計(jì)算機(jī)取證技術(shù)及其發(fā)展分析

【摘 要】隨著我國(guó)經(jīng)濟(jì)的飛速發(fā)展以及科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)技術(shù)已經(jīng)滲透到社會(huì)各行各業(yè)中，成為行業(yè)發(fā)展的必須品。在這種背景下，以計(jì)算機(jī)為犯罪工具和對(duì)象的新型犯罪活動(dòng)日益增加，嚴(yán)重威脅人們?nèi)粘Ｉ钆c財(cái)產(chǎn)安全。接下來(lái)，本文將詳細(xì)論述計(jì)算機(jī)取證技術(shù)及其發(fā)展。

【關(guān)鍵詞】計(jì)算機(jī) 取證技術(shù) 發(fā)展

近年來(lái)，我國(guó)互聯(lián)網(wǎng)技術(shù)得到了突飛猛進(jìn)的發(fā)展。但是，由于我國(guó)互聯(lián)網(wǎng)起步晚、發(fā)展快，相應(yīng)的法律體制、網(wǎng)絡(luò)安全體系均不健全。犯罪分子正是利用網(wǎng)絡(luò)缺陷從事犯罪活動(dòng)，給網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重隱患。新形勢(shì)下，加強(qiáng)計(jì)算機(jī)取證技術(shù)的研究，具有重要意義。

一、簡(jiǎn)要論述計(jì)算機(jī)取證概念

計(jì)算機(jī)取證指的是充分利用軟件工具，按照預(yù)先設(shè)定的定義程序，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行全面檢查從而有效提取與保護(hù)計(jì)算機(jī)犯罪證據(jù)。相比于傳統(tǒng)證據(jù)來(lái)說(shuō)，計(jì)算機(jī)證據(jù)具有如下特點(diǎn)：①計(jì)算機(jī)證據(jù)易逝、脆弱、精密性比較高。②計(jì)算機(jī)證據(jù)隱蔽性非常強(qiáng)。③具有多媒體特性。④計(jì)算機(jī)證據(jù)還具有容量小、占用空間小、易于傳輸與保存等特點(diǎn)。

二、計(jì)算機(jī)取證技術(shù)與工具分析

（一）計(jì)算機(jī)取證技術(shù)

目前來(lái)說(shuō)，結(jié)合計(jì)算機(jī)證據(jù)的特點(diǎn)，可以分為兩種取證方法：第一，靜態(tài)取證。證據(jù)存放在獨(dú)立的磁盤或未運(yùn)行的電腦系統(tǒng)等介質(zhì)上。這種取證方式主要事后取證的一種方法，是在已經(jīng)遭到外界破壞前提下，通過(guò)各種技術(shù)方式對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行詳細(xì)研究，進(jìn)而獲得攻擊者的攻擊證據(jù)。第二，動(dòng)態(tài)取證。這種取證方式是實(shí)時(shí)取證的一種方法，犯罪證據(jù)存放在運(yùn)行的電腦系統(tǒng)以及網(wǎng)絡(luò)數(shù)據(jù)流當(dāng)中，對(duì)網(wǎng)絡(luò)現(xiàn)場(chǎng)以及計(jì)算機(jī)系統(tǒng)進(jìn)行全面監(jiān)視從而獲得有效數(shù)據(jù)，與此同時(shí)，加強(qiáng)與陷阱網(wǎng)絡(luò)、入侵檢測(cè)的聯(lián)系，對(duì)入侵者意圖進(jìn)行動(dòng)態(tài)分析，從而及時(shí)獲得電子信息。計(jì)算機(jī)取證技術(shù)主要分為以下幾個(gè)方面：

1.磁盤映像拷貝技術(shù)。通過(guò)磁盤映像拷貝將原始磁盤進(jìn)行復(fù)制，同時(shí)包括臨時(shí)文件、交換區(qū)文件等全面復(fù)制。通過(guò)對(duì)復(fù)制磁盤進(jìn)行操作，能有效避免數(shù)據(jù)損壞。

2.數(shù)據(jù)恢復(fù)技術(shù)。該技術(shù)主要是把犯罪分子通過(guò)格式化或刪除的數(shù)據(jù)恢復(fù)出來(lái)。格式化之后數(shù)據(jù)仍然存放在磁盤上。被刪除文件的數(shù)據(jù)簇仍然在磁盤上。數(shù)據(jù)恢復(fù)技術(shù)正是充分利用這一特點(diǎn)進(jìn)行證據(jù)取證。

3.數(shù)據(jù)傳輸技術(shù)。數(shù)據(jù)傳輸技術(shù)指的是通過(guò)RS- 232接口光纜進(jìn)行數(shù)據(jù)的異步傳輸，從而安全的將數(shù)據(jù)傳輸?shù)饺∽C計(jì)算機(jī)中。要想進(jìn)一步提升遠(yuǎn)程信息的安全性，可通過(guò)IP加密、DES加密、VPN等方式進(jìn)行傳輸。與此同時(shí)，充分利用MAC加密技術(shù)來(lái)確保傳輸信息的完整性。

4.數(shù)據(jù)保存技術(shù)。數(shù)據(jù)信息完整、安全的傳輸?shù)侥繕?biāo)計(jì)算機(jī)上以后，必須通過(guò)機(jī)密技術(shù)進(jìn)行數(shù)據(jù)的安全保存。激光穿孔加密、芯片加密、修改磁盤參數(shù)表、掩膜加密等方式均是常用的磁盤加密方法。

5.數(shù)據(jù)分析技術(shù)。數(shù)據(jù)分析技術(shù)主要分為日志、數(shù)據(jù)解密、文件屬性、Erased Files、證據(jù)相關(guān)性等技術(shù)分析。

6.取證。在受到侵害的系統(tǒng)上設(shè)立Honeypot，一旦被入侵者所攻破，一切信息、工具等都將被用來(lái)分析學(xué)習(xí)。

（二）計(jì)算機(jī)取證工具

Hard Drive Mechanic獲取數(shù)據(jù)工具、SEIZED數(shù)據(jù)證據(jù)保全工具、Net Threat AnaLyzer證據(jù)分析工具、NTI- DOC數(shù)據(jù)歸檔工具等均是常用的計(jì)算機(jī)取證工具。

（三）計(jì)算機(jī)取證局限性

近年來(lái)，計(jì)算機(jī)取證軟件以及取證理論都是安全領(lǐng)域中的主要成就，但不可回避，計(jì)算機(jī)取證技術(shù)還存在自身的局限性。站在理論角度分析：犯罪證據(jù)必須沒被覆蓋、軟件必須可以找到犯罪數(shù)據(jù)、取證人員必須知道文件內(nèi)容且與犯罪有關(guān)，這三個(gè)條件是取證成功的關(guān)鍵。但是，現(xiàn)階段的取證軟還僅僅是可以恢復(fù)使用rm或strip 命令刪除的文件，這就使得犯罪分子有機(jī)可乘，在取證技術(shù)發(fā)展的同時(shí)，反取證技術(shù)也迅速發(fā)展。數(shù)據(jù)加密、數(shù)據(jù)隱藏、數(shù)據(jù)擦除是現(xiàn)階段主要的三種反取證方式，三種方式聯(lián)合使用，大幅度降低了取證效果。與此同時(shí)，黑客常常通過(guò)木馬、系統(tǒng)程序等竊取密碼或繞開日志，進(jìn)一步增加了取證困難度。

三、計(jì)算機(jī)取證未來(lái)發(fā)展趨勢(shì)

（一）取證向著自動(dòng)化、專業(yè)化方向發(fā)展

計(jì)算機(jī)犯罪的領(lǐng)域不斷擴(kuò)大，幾乎達(dá)到了無(wú)孔不入的境界。而且，其犯罪證據(jù)也會(huì)通過(guò)不同方式存儲(chǔ)在路由器、計(jì)算機(jī)等設(shè)備上。要想取證這些犯罪證據(jù)，必須使用針對(duì)性的硬件與信息格式進(jìn)行?，F(xiàn)階段，大量的取證結(jié)果依靠人工實(shí)現(xiàn)，這就降低了取證速度以及結(jié)果的可信性。在將來(lái)將會(huì)出現(xiàn)更多的取證工具與取證操作軟件，全面推動(dòng)計(jì)算機(jī)取證的自動(dòng)化、專業(yè)化發(fā)展。

（二）加強(qiáng)與其他技術(shù)的融合

加強(qiáng)與其他技術(shù)的融合，能有效克服現(xiàn)階段計(jì)算機(jī)取證技術(shù)的局限性。①恢復(fù)磁盤數(shù)據(jù)。磁盤是通過(guò)其介質(zhì)磁性方向來(lái)進(jìn)行數(shù)據(jù)表達(dá)的。在數(shù)據(jù)寫入磁盤時(shí)，磁場(chǎng)會(huì)使得數(shù)據(jù)介質(zhì)發(fā)生方向磁化。新寫入數(shù)據(jù)其磁性強(qiáng)度無(wú)法完全擺脫其原始狀態(tài)影響。通過(guò)磁力顯微鏡，可以將磁盤上一層或兩層數(shù)據(jù)進(jìn)行恢復(fù)。因?yàn)樾聰?shù)據(jù)無(wú)法精確寫在原位置上，多次的隨機(jī)覆蓋仍可以找到原來(lái)數(shù)據(jù)。②反向工程。分析系統(tǒng)可以程序是取證的重要環(huán)節(jié)，現(xiàn)階段，分析Unix二進(jìn)制程序的工具比較少。尤其是加密方法以及可執(zhí)行程序壓縮使得反向工程更加困難。為了更好的分析犯罪人員的軟件作用，必須取得專業(yè)反向工程師的幫助。③解密技術(shù)。計(jì)算機(jī)犯罪人員傾向于使用加密技術(shù)進(jìn)行關(guān)鍵文化保護(hù)。為了獲得有效數(shù)據(jù)，取證人員必須進(jìn)行文件解密。與此同時(shí)，在調(diào)查加密文件時(shí)，也需要解密技術(shù)。④提高操作系統(tǒng)的安全性。在很大程度上，計(jì)算機(jī)取證功能取決于操作系統(tǒng)支持，加強(qiáng)證據(jù)保存、提高系統(tǒng)的安全性成為未來(lái)研究的重點(diǎn)。

（三）取證過(guò)程日益標(biāo)準(zhǔn)化

越來(lái)越多的機(jī)構(gòu)致力于計(jì)算機(jī)取證技術(shù)的發(fā)展，并且已經(jīng)研發(fā)出了新型取證工具。除了Encase以及ftk之外，F(xiàn)orensiX，Get lack， Disk Sig，Disk Search 32等取證工具也被廣泛應(yīng)用。因?yàn)槿狈y(tǒng)一的規(guī)范與標(biāo)準(zhǔn)，很難對(duì)上述工具的可靠性與有效性進(jìn)行對(duì)比。為了促進(jìn)計(jì)算機(jī)取證技術(shù)快速、健康發(fā)展，必須制定全面取證工具認(rèn)定標(biāo)準(zhǔn)、取證操作規(guī)范以及取證人員資格審查機(jī)制，促進(jìn)取證過(guò)程的標(biāo)準(zhǔn)化發(fā)展。

四、結(jié)語(yǔ)

綜上所述，本文針對(duì)計(jì)算機(jī)取證概念以及取證技術(shù)、工具開始入手分析，從四個(gè)方面：取證向著自動(dòng)化、專業(yè)化方向發(fā)展，加強(qiáng)與其他技術(shù)的融合，取證過(guò)程日益標(biāo)準(zhǔn)化，詳細(xì)論述了計(jì)算機(jī)取證未來(lái)發(fā)展趨勢(shì)，旨在為一線工作提供理論指導(dǎo)。

作者簡(jiǎn)介：

樊武勇（1982-），男，河南清豐人，學(xué)歷：本科，研究方向：計(jì)算機(jī)工程。