计算机取证技术及其研究论文

计算机取证技术研究摘要随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中。与计算机相关的法庭案例，如电子商务纠纷、计算机犯罪等也不断出现。判定或处置各类纠纷和刑事案件过程中，一种新的证据形式，即存在于计算机及相关外围设备包括网络介质中的电子证据逐渐成为新的诉讼证据之一。计算机取证学属于计算机科学、刑事侦查学和法学的交叉学科，正日益受到各国和科研机构的重视和研究，随着计算机犯罪不断网络化和职能化，计算机取证方式由以前的静态取证逐渐发展为动态取证，这两种取证方式相互依存，各有侧重。关键词 计算机取证 电子证据 静态取证 动态取证 第 2 页 共 17 页目 录1 引言 .42 计算机取证技术 .52.1 计算机取证的概述 .52.2 静态取证技术 .62.3 动态取证技术 .72.3.1 数据恢复技术 .72.3.2IP 地址获取技术 .102.4 取证技术的局限性 .133 反取证技术 .134 计算机取证技术的发展 .145 结束语 .15参考文献 .17致 谢 .18第 3 页 共 17 页1 引言一般犯罪证据的提取目前己经有很多较为成熟的技术,例如,指纹提取和识别、法医鉴定、DNA 鉴定等等。这些技术的特点是针对性强,获取的证据符合证据的采用标准,而且取证工作有明确的法律依据。随着计算机应用的普及,计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或网络进行存储和传输,从而出现了计算机证据。由于计算机证据具有与一般犯罪证据不同的特点,例如计算机证据的脆弱性、不可靠性、表现形式的多样性等，导致了其获取和对其可靠性的保证一直是计算机犯罪案件和其它与计算机有关的犯罪案件侦破工作的难点。因此,计算机取证技术的研究变得越来越迫切。取证专家 Reith Clint Mark 认为:计算机取证可以认为是“从计算机中收集和发现证据的技术和工具” 。以计算机证据的来源为划分准,计算机取证技术可分为:单机取证技术、网络取证技术和相关设备取证技术。而应用于计算机取证的工具可以分为软件工具和硬件工具两大类，即基于单机和设备的计算机取证技术，单机取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术。随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中。与计算机相关的法庭案例，如电子商务纠纷、计算机犯罪等也不断出现。判定或处置各类纠纷和刑事案件过程中，一种新的证据形式电子证据逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点，对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学，计算机取证正逐渐称为人们研究与关注的焦点。计算机取证亦被称为数字取证或电子取证。随着计算机犯罪断网络化和职能化，计算机取证方式由以前的静态取证逐渐发展为动态取证，这两种取证方式相互依存，各有侧重。计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式，同时也为违法犯罪分子提供了新的犯罪手段和空间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多，造成的危害也越来越大。大量的计算机犯罪如商业机密信息的窃取和破坏，计算机诈骗，第 4 页 共 17 页攻击政府、军事部门网站，色情信息、网站的泛滥等等。侦破这些案件必须要用到计算机取证技术，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有许多不同于传统物证和取证的特点，给司法工作和计算机科学领域都提出了新的挑战。2 计算机取证技术计算机取证（Computer Forensics）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即：获取、保存、分析、出示、提供的证据必须可信。计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。2.1 计算机取证的概述计算机取证又称为数字取证或电子取证，从技术角度看，计算机取证是分析硬盘、光盘、软盘、Zip 磁盘、U 盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。计算机取证基本围绕电子证据展开。电子证据是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的，尤其是多媒体技术的出现，使电子证据综合厂文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。与传第 5 页 共 17 页统证据一样，电子证据必须是可信的、准确的、完整的、符合法律法规的。与传统证据相比较，电子证据还具有以下特点 ：1)脆弱性：由于数据本身的特点导致电子证据易被修改，且不易留痕迹；2)无形性：计算机数据必须借助于输出设备才能呈现结果；3)高科技件：证据的产生、传输、保存都要借助高科技含量的技术与设备；4)人机交互性：电子证据的形成，在不同的环节上有不同的操作人员参与，它们在不同程度上都可能影响电子证据的最终结果；电子证据的来源很多，主要有系统日志、IDS、防火墙、FTP、反病毒软件日志、系统的审计记录、网络监控流量、电子邮箱、操作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱动的交换(Swap)分区、Slack 区和空闲区，软件设置，完成特定功能的脚本文件，Web 浏览器数据缓冲，书签、历史记录或会话日志、实时聊天记录等等。电子证据的获取方法包括数字鉴定、数据检查、数据对比、数据保护、数据分析和证据抽取。而这些方法的实施将贯穿整个计算机取证过程。2.2 静态取证技术静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析，主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。目前，国内外对相关技术研究比较多，也有比较成熟的取证软件。针对计算机静态取证技术，目前反取证技术主要有：数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术，这些技术可以单独使用也可以混合使用。如果采用这些方法消除操作系统中的敏感信息，有可能使取证人员得不到电子证据，给计算机取证工作带来了一定的难度。传统的计算机取证主要针对稳定的数据，包括未删除和已删除的文件、windows 注册表、临时文件、交换文件、休眠文件、slack 空间、浏览器缓存和各种可移动的介质等。不同于传统的计算机取证，计算机内存取证是从内存中提取信息，这些信息被称为挥发数据，挥发数据是指存在于正在运行的计算机或网络设备的内存中的数据，关机或重启后这些数据第 6 页 共 17 页将不复存在。2.3 动态取证技术因为静态取证技术涉及到基础研究，因此在静态取证中所涉及到的技术大部分都适用动态取证，也是属于动态取证技术中的一部份。在动态取证中最具特设的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信 息技术、人工智能和数据挖掘技术，IP 地址获取技术等技术。针对计算机动态取证技术，其反取证技术除包含静态反取证技术的相关内容外，还有以下反取证技术：数据转换技术、数据混淆技术、防止数据创建技术，以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用，这些技术的使用在一定程度上给取证人员带来了一定的困难。2.3.1 数据恢复技术（1）数据恢复原理数据恢复原理是硬盘内部利用一定的校验公式来保障数据的完整性。当硬盘保存完原始数据后，系统会根据每一个扇区内数据的内容、扇区的伺服信息，再利用一定的校验公式经过运算，产生一个唯一的校验和，并把它保存到硬盘上。对于每一个扇区，由于伺服信息不相同，校验和都是不同的，而同一个扇区如果数据的内容不同也会导致校验和不同。系统正是利用了这样的原理，当硬盘信息因为错误操作而丢失或改变时，系统根据校验和等其他原始信息，通过逆向运算，把数据尽可能地还原出来。从根本上说，系统在执行一些常用的操作，如删除文件、高级格式化、硬盘分区等，不是把数据从硬盘的物理扇区中实际删除，而仅仅是修改了硬盘中的一部分信息。（2）数据恢复的分类1.基于文件目录的数据恢复在操作系统中，数据的管理是通过文件来完成的，文件的管理是通过目录完成的。文件包括两部分内容：一是文件锁；包涵的内容数据，二是文件目录数据。文件系统中文件目录和文件内容基本上都是分开存放的文件内容以簇为单位，放在数根据文件目录数据定位文件的存储位置。当执行“删除文件”操作时，系统做了两方面的工作：一是将目录区第 7 页 共 17 页中该文件的第一个字符改为“E5H”来表示该文件已经被删除。二是将文件所占的文件簇在文件分配表中在对应表项值全部置“0” 。系统在文件分配表中相应位置检测到“0”时，就认为该文件簇处于空闲状态，可以写入其他的文件。而实际上硬盘是数据并没有被删除，除非新的数据被写进那些扇区，才会把原来是数据真正删除。2.基于文件数据特征的数据恢复文件删除后，某些存放文件内容的簇可能被重新分配使用，这将导致无法使用文件目录信息来恢复数据。由于存放文件内容的簇不一定完全被分配到，这将导致可能会有某些残余的碎片数据还存在。虽然文件目录数据破坏后，无法确定哪个数据簇属于那个哪个文件，但是各种类型的文件有一定的数据特征，我们可以根据不同文件类型的数据特征从数据区直接回复文件数据。3逻辑分区的恢复数据恢复还包括分区表和 BPB 的恢复内容。文件管理是通过目录来完成的，而目录又是建立在分区基础上的。一个物理磁盘通过分区表分成若干个逻辑分区，分区表损坏就不能定位逻辑盘。但还是每个分区的开头有其特征，根据这些特征可以恢复分区表，重新分区后也能找到先前的分区。4.原始信号恢复当删除文件、格式化硬盘等操作后，再对相应分区写入大量信息时，这些需要恢复的数据就很可能被覆盖，那么，只是用上述方式找回数据就不可能了。这时候就需要采用软硬件相结合的办法从磁盘本事的物理性质进行恢复。关建在于恢复用的仪器设备。这些设备的恢复原理也是大同小异的，都是把硬盘拆开，把磁碟放进机器的超净工作台，然后用激光束对盘片表面进行扫描，因为盘面上的磁信号其实是数字信号 0 和 1，所以相应地，反应到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描，一丝不漏地把把整个硬盘的原始信号记录在一起附带的电脑里面，然后再通过专门的软件来进行数据恢复。可以说，这种设备的数据恢复率是相当惊人的，既使是位于物理的坏道上面的数据，由于多种信息的缺失而无法第 8 页 共 17 页找出准确的数据值，也可以通过大量的数据运算，在多种可能的数据值之间进行逐一代入，结合其他相关扇区的数据信息，进行逻辑合理性校验，从而找出逻辑上最符合的真值。（3）数据恢复工具使用实例关于数据恢复的软硬件都非常多，我们以 EasyreCovery 为例来看看具体的数据恢复过程。1恢复被删除的文件在 EasyreCovery 主界面中选择“DataRecovery” ，然后选择“DeletedRecovery”进入修复删除文件向导，在第一部首先选择被删除文件所在分区，单“Nest”按钮，软件会对该分区进行扫描，完成后会在窗口左边窗格中显示该分区的所有文件夹包括已删除的文件夹，右边窗格显示已删除了的文件，可先浏览到被删除文件所在文件夹，然后就可以在右边的文件栏中看到该文件夹下已经删除的文件列表，选定要恢复的文件。单击“Nest”按钮，先在“Recovery to Local Driver”处指定恢复的文件锁保存的位置，注意这个位置必须是在另一个分区中。单击 Nest”按钮即开始恢复文件，最后会显示文件恢复的相关信息，单击“Finish”按钮后就可以在设置恢复文件所保存的位置找到被恢复的文件。文件夹的恢复也和文件恢复类似。2恢复已格式化分区中的文件在主界面的“数据恢复”中选择“Format Recovery”,接下来先选择已格式化的的分区，然后扫描分区。扫面完成后，你可以看到 easyrecovery扫描出来的文件夹都以 DIRXX(X 是数字)命名，打开其下的子文件夹，名称没有发生改变，文件名也是完整的，其后的步骤也和前面的一样，先要选定要恢复的文件或文件及，然后指定恢复后的文件所保存的位置，最后将文件恢复在指定位置。3从损坏的分区中恢复文件如果分区和文件目录结构受损，可使用 RAW Recovery 从损坏分区中扫描并抢救出重要文件。RAW Recovery 使用文件表识搜索算法从头搜索分区的每一个簇，完全不依赖于分区的文件系统结构，也就是说只要是分第 9 页 共 17 页区中的数据块都有可能被扫描出来，并判断出其文件类型，从而将文件恢复过来。2.3.2IP 地址获取技术（1）IP 地址获取技术1使用 ping 或 traceroute 命令：ping 是一个简单而又非常有用的程序，由于存在利用 ping 进行攻击，所以现在很多计算机都屏蔽 ping 命令，不予回应。2使用 IP 扫描工具程序：利用特定的软件来获取 IP 地址。一般这类软件都有较好的用户界面，使用简单、方便。3由 DNS 获取 IP 地址：大多数的域名服务器都支持逆向查询，也可以使用工具软件进行手工解析，如 nslookup。协议支持拨号路由器和中央用户目录之间的验证请求，这一协议可以用于用户身份认证，也是在 ISP 的支持下获取 IP：一个互联网服务提供商一般通过 RADIUS 可以用于记账。RADIUS 服务器通常是互联网服务提供商为跟踪犯罪提供记录的惟一设备，所以它对般情况下，ISP 都愿意提供这种日志，因为他们也不想让别人利用他们的系取证工作非常重要，该服务器通常会将每一个注册请求的记录保存一年以上。一统从事非法活动。（2）IP 地址获取技术的使用实例1邮件查询法 使用这种方法查询对方计算机的 IP 地址时，首先要求对方先给你发一封电子邮件，然后你可以通过查看该邮件属性的方法，来获得邮件发送者所在计算机的 IP 地址;下面就是该方法的具体实施步骤: 首先运行 OutLook express 程序，并单击工具栏中的 “接受全部邮件”按钮，将朋友发送的邮件接受下来，再打开收件箱面，找到朋友发送过来的邮件，并用鼠标右键单击之，从弹出的右键菜单中，执行“属性”命令; 在其后打开的属性设置窗口中，单击“详细资料”标签，并在打开的标签面中，你将看到“Received: from xiecaiwen (unknown 5)”这样的信息，其中的“5”就是对方好友的 IP 地址;当然，要是对方好友通过 Internet 中的 WEB 信箱给你发送电子邮件的话，那么你在这里看到的 IP 地址其实并不是他所在工作站的真实 IP 地址，而是 WEB 信第 10 页 共 17 页箱所在网站的 IP 地址。 当然，如果你使用的是其他邮件客户端程序的话，查看发件人 IP 地址的方法可能与上面不一样;例如要是你使用 foxmail 来接受好友邮件的话，那么你可以在收件箱中，选中目标邮件，再单击菜单栏中的“邮件”选项，从弹出的下拉菜单中选中“原始信息”命令，就能在其后的界面中看到对方好友的 IP 地址了。 2.日志查询法 这种方法是通过防火墙来对 QQ 聊天记录进行实时监控，然后打开防火墙的日志记录，找到对方好友的 IP 地