計(jì)算機(jī)取證技術(shù)綜述

【摘要】計(jì)算機(jī)取證技術(shù)已經(jīng)人們生活息息相關(guān)，越來越多的國家及科研機(jī)構(gòu)、學(xué)校正在加強(qiáng)該技術(shù)的研究。文中介紹了計(jì)算機(jī)取證技術(shù)的相關(guān)知識，接著列出研究現(xiàn)狀及相關(guān)產(chǎn)品，最后提出了研究方向。

【關(guān)鍵詞】計(jì)算機(jī)取證技術(shù)；研究現(xiàn)狀；研究方向

1.引言

計(jì)算機(jī)取證學(xué)涉獵計(jì)算機(jī)科學(xué)與技術(shù)、刑事偵查學(xué)和法學(xué)三大學(xué)科，它是一門較為綜合的交叉學(xué)科。隨著網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)科學(xué)與技術(shù)及移動(dòng)通信技術(shù)的飛速發(fā)展，相關(guān)技術(shù)也廣泛地滲入了社會(huì)的各個(gè)領(lǐng)域，三大技術(shù)使用門檻降低，越來越多的普通民眾享受著新興技術(shù)提供的無限便利。然而，許多資深黑客、甚至是有一點(diǎn)點(diǎn)計(jì)算機(jī)技術(shù)的初學(xué)者利用網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)及移動(dòng)通信技術(shù)做著違法的勾當(dāng)，嚴(yán)重?fù)p害了人們的經(jīng)濟(jì)利益。計(jì)算機(jī)取證學(xué)為狠狠打擊這些違法犯罪行為提供有利的法律證據(jù)，越來越多的國家及各國科研機(jī)構(gòu)、學(xué)校正在加強(qiáng)該學(xué)科的研究。

2.計(jì)算機(jī)取證相關(guān)知識

2.1 概念

計(jì)算機(jī)取證概念首次提出是在1991年，距今已有20多年的時(shí)間。當(dāng)時(shí)，它由計(jì)算機(jī)專家國際聯(lián)盟（IACIS）在美國召開的會(huì)議上闡明。簡單地說，計(jì)算機(jī)取證就是對犯罪嫌疑人遺留在計(jì)算機(jī)中的證據(jù)進(jìn)行提取、存儲、鑒定和歸檔的過程。提取出的證據(jù)被稱為數(shù)字證據(jù)或電子證據(jù)。當(dāng)然，提取的電子證據(jù)必須是全面的、可靠的、具有法律效力的。

伴隨著網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)科學(xué)與技術(shù)及移動(dòng)通信技術(shù)三大技術(shù)的快速發(fā)展，計(jì)算機(jī)取證概念已被擴(kuò)充。按照國家法律條文規(guī)定，具有取證資格的人員將存在于計(jì)算機(jī)本身、相關(guān)外部設(shè)備及網(wǎng)絡(luò)傳輸介質(zhì)中的或存在于移動(dòng)通訊設(shè)備中的證據(jù)進(jìn)行提取、存儲、鑒定和歸檔的過程。比如網(wǎng)絡(luò)設(shè)備接入記錄、防火墻日志、系統(tǒng)日志、文件修改記錄、電子郵件、通訊記錄，甚至一張不顯眼的圖片或?qū)⒖梢猿蔀榇驌舴缸锏膹?qiáng)有力證據(jù)。

2.2 分類

按照取證源分類，分為計(jì)算機(jī)主機(jī)取證、網(wǎng)絡(luò)取證及其他電子通訊設(shè)備取證三類。 來自計(jì)算機(jī)主機(jī)取證、網(wǎng)絡(luò)取證、其他電子通訊設(shè)備的證據(jù)類型均可分為硬件數(shù)據(jù)和軟件數(shù)據(jù)。比如寄存器數(shù)據(jù)、硬盤盤片數(shù)據(jù)、用戶創(chuàng)建的文檔、軟件使用記錄等來自于計(jì)算機(jī)主機(jī)取證；交換機(jī)或路由器上存在的記錄、IDS日志、通信信道上的數(shù)據(jù)記錄來自于網(wǎng)絡(luò)取證；而電子通訊設(shè)備證據(jù)來源有手機(jī)、PAD設(shè)備中存在的密碼、地址簿、計(jì)劃任務(wù)表或SIM卡里存放的含有日期時(shí)間標(biāo)記的視頻、文檔等信息等。

按照取證時(shí)刻分類，分為靜態(tài)取證和動(dòng)態(tài)取證兩類。計(jì)算機(jī)靜態(tài)取證也被稱為事后取證、被動(dòng)取證；計(jì)算機(jī)動(dòng)態(tài)取證也被稱為實(shí)時(shí)取證、主動(dòng)取證。由于電子證據(jù)有易失性特點(diǎn)，取證人員如果僅單一地憑借計(jì)算機(jī)靜態(tài)取證技術(shù)無法滿足為當(dāng)今網(wǎng)絡(luò)、計(jì)算機(jī)及移動(dòng)通訊設(shè)備取證的需要。為更全面地獲取電子證據(jù)，靜、動(dòng)態(tài)取證技術(shù)兩者結(jié)合已經(jīng)成為必然趨勢。比如，在組網(wǎng)時(shí)，建立DMZ區(qū)域聯(lián)合蜜罐、蜜網(wǎng)技術(shù)形成主動(dòng)防御區(qū)域。該防御區(qū)域既可以對入侵行為進(jìn)行阻止， 又可以完成對入侵行為事后的分析，為獲得全面的電子證據(jù)奠定了基礎(chǔ)。

2.3 取證步驟

取證步驟包括保護(hù)目標(biāo)、證據(jù)確定、收集、保護(hù)、分析和歸檔等六個(gè)步驟。保護(hù)目標(biāo)系統(tǒng)是指鎖定疑似取證源進(jìn)而起到保護(hù)證據(jù)的作用。確定和收集證據(jù)提取目標(biāo)系統(tǒng)中的潛在證據(jù)，這與在提取普通物證的過程類似，需要取證人員有專業(yè)知識且非常細(xì)心，以免遺漏一些對打擊犯罪嫌疑人十分有力的證據(jù)。證據(jù)保護(hù)指必須保證被提取出的證據(jù)在提交過程未被篡改，否則無法確保電子證據(jù)的有效性。證據(jù)分析的目的是利用一些已有的法則、規(guī)則將潛在證據(jù)中合法的、有效的證據(jù)找出，為歸檔做準(zhǔn)備。歸檔是整個(gè)取證過程中的最后一步，這階段存放電子證據(jù)的編號可以借鑒較為成熟的普通物證存放編號法則來編寫存放編號，便于呈堂時(shí)電子證據(jù)的查找。以上六個(gè)步驟環(huán)環(huán)相扣，缺一不可。

3.計(jì)算機(jī)取證技術(shù)現(xiàn)狀及相關(guān)產(chǎn)品

國外計(jì)算機(jī)取證技術(shù)研究起步早于我國，已形成理論體系，建立了計(jì)算機(jī)取證實(shí)驗(yàn)室用來調(diào)查恐怖襲擊和計(jì)算機(jī)犯罪，并且有公司推出了已在使用的應(yīng)用產(chǎn)品。Security Focus和Forensics Focus兩大國際著名的網(wǎng)絡(luò)安全站一直在跟蹤國際上最新的取證技術(shù)前沿知識并為全球從事取證的研究人員提供交流平臺。我國計(jì)算機(jī)取證的研究與實(shí)踐仍處起步階段，國內(nèi)許多科研機(jī)構(gòu)及高校已致力于取證技術(shù)研究，取證公司推出了取證相關(guān)產(chǎn)品及配套的解決方案，取證工具逐步智能、專業(yè)和自動(dòng)化，但相關(guān)法律法規(guī)仍待健全。國家十五科技攻關(guān)項(xiàng)目電子數(shù)字證據(jù)鑒定技術(shù)、國家863項(xiàng)目電子物證分析保護(hù)技術(shù)、取證重放技術(shù)等方面全方位開展了研究。每年都有以計(jì)算機(jī)取證為主題的國際學(xué)術(shù)會(huì)議召開，各國取證專家齊聚一堂，為取證技術(shù)的發(fā)展提供導(dǎo)向。

國內(nèi)外較為常用的取證技術(shù)有數(shù)據(jù)保護(hù)、恢復(fù)、挖掘技術(shù)、磁盤鏡像拷貝技術(shù)、內(nèi)存信息獲取技術(shù)、信息過濾技術(shù)、IDS技術(shù)、網(wǎng)絡(luò)逆向追蹤、信道信息盲取證技術(shù)、手機(jī)信息取證。倘若犯罪分子使用反取證技術(shù)實(shí)施犯罪，而取證人員如果單一使用上述技術(shù)，很難實(shí)現(xiàn)全面提取電子證據(jù)。比如黑客常常使用控制國內(nèi)肉雞的方法完成后續(xù)不可告人的入侵目的，或使用代理跳板方法控制國外肉雞，實(shí)現(xiàn)跨國網(wǎng)絡(luò)攻擊。即便是取證人員利用追蹤技術(shù)查獲IP，只會(huì)顯示肉雞地址，黑客實(shí)現(xiàn)了自身非法入侵痕跡不被發(fā)現(xiàn)，案件偵破將陷入僵局。再有，不法分子將非法鏈接或支付信息做成二維碼吸附手機(jī)用戶的話費(fèi)或與捆綁的銀行卡中的金額，如果僅僅依靠單一取證手法，無法完成有力打擊犯罪分子的目的。當(dāng)前國內(nèi)外取證研究熱門在云計(jì)算領(lǐng)域，國內(nèi)部分學(xué)者已經(jīng)給出了云計(jì)算取證方案，中國人民公安大學(xué)則加強(qiáng)了在這方面的研究。

較成熟的取證工具有針對計(jì)算機(jī)及網(wǎng)絡(luò)的Encase系統(tǒng)、TCT系統(tǒng)、Netlntercept系統(tǒng)、取證機(jī)、取證箱、計(jì)算機(jī)在線取證系統(tǒng)。EnCase基于 Windows 界面的取證應(yīng)用程序，功能包括建立保存案例、建立證據(jù)文件等；TCT基于 Unix 系統(tǒng)的主機(jī)的取證程序，可以對運(yùn)行著的主機(jī)進(jìn)行信息捕獲并分析；Netlntercept系統(tǒng)絡(luò)取證系統(tǒng)可支持60 多種網(wǎng)絡(luò)協(xié)議格式并產(chǎn)生詳細(xì)的報(bào)告。山東省科學(xué)院計(jì)算中心研發(fā)的計(jì)算機(jī)在線取證系統(tǒng)與國際前沿研究水平同步，在同類系統(tǒng)研究中達(dá)到領(lǐng)先水平。針對移動(dòng)通訊設(shè)備取證的手機(jī)取證專用系統(tǒng)，廈門美亞柏科出品的FL-900實(shí)驗(yàn)室級手機(jī)取證塔主要應(yīng)用于實(shí)驗(yàn)室取證和現(xiàn)場取證中。網(wǎng)絡(luò)上提供了針對計(jì)算機(jī)取證技術(shù)愛好者的免費(fèi)軟件，比如Helix包含內(nèi)核信息、硬件檢測等信息；Wireshark針對網(wǎng)絡(luò)通信，可查看有無可疑信息發(fā)出； Live View首要為用戶現(xiàn)有系統(tǒng)創(chuàng)建一個(gè)虛擬機(jī)，并結(jié)合開源的Live View軟件使用；OpenFilesView只占82.88k，但可以羅列出系統(tǒng)上所有基于本地或網(wǎng)絡(luò)的文件。

4.計(jì)算機(jī)取證技術(shù)研究方向

隨著網(wǎng)絡(luò)犯罪案例的日益增多，如計(jì)算機(jī)詐騙、竊取和篡改個(gè)人信息、電子商務(wù)糾紛、手機(jī)詐騙，作為打擊網(wǎng)絡(luò)犯罪的計(jì)算機(jī)取證技術(shù)也逐漸走進(jìn)普通百姓的生活之中。計(jì)算機(jī)取證技術(shù)的發(fā)展遭遇了眾多攔路虎，網(wǎng)絡(luò)技術(shù)的發(fā)展導(dǎo)致網(wǎng)絡(luò)取證猶如大海撈針，計(jì)算機(jī)科學(xué)與技術(shù)的發(fā)展導(dǎo)致硬件、軟件取證困難重重，移動(dòng)通訊技術(shù)的發(fā)展導(dǎo)致定向取證技術(shù)步履維艱，加之反取證技術(shù)的阻撓，取證技術(shù)舉步維艱。

取證技術(shù)面對海量、動(dòng)態(tài)的數(shù)據(jù)，如何快速獲取、實(shí)時(shí)分析和有效存儲是取證技術(shù)亟待解決的問題。無論這些數(shù)據(jù)是來自網(wǎng)絡(luò)、計(jì)算機(jī)、還是來自移動(dòng)通訊設(shè)備，如何從紛繁復(fù)雜的數(shù)據(jù)里獲取打擊犯罪嫌疑人有力證據(jù)，對辦案人員來說是考驗(yàn)，對研究人員來說是機(jī)會(huì)。

我國在計(jì)算機(jī)取證技術(shù)方面的提升空間還很大，希望在各機(jī)構(gòu)、學(xué)校的努力下，使我國的取證技術(shù)達(dá)到世界領(lǐng)先水平。

參考文獻(xiàn)

[1]劉文儉.淺談?dòng)?jì)算機(jī)取證技術(shù)[J].電腦知識與技術(shù)，2010，6（28）：7939-7941.

[2]趙利，王昌華.存儲介質(zhì)安全取證研究[J].中國人民公安大學(xué)學(xué)報(bào)，2013，4（4）：62-65.

[3]陳光宣，杜彥輝等.云環(huán)境下電子取證研究[J].信息網(wǎng)絡(luò)安全，2013，8，87-90.

[4]王志鋒.基于信道信息的數(shù)字音頻盲取證關(guān)鍵問題研究[D].廣州：華南理工大學(xué)，2013.