计算机取证的研究现状分析

1、 计算机取证的研究现状分析 丁丽萍（中国科学院软件研究所基础软件国家工程研究中心，北京100190）Reference：本文从技术和法律相结合的角度对于国内外计算机取证的研究现状进行了总结和分析。以电子证据的来源为标准，计算机取证技术可分为：单机取证技术、网络取证技术和相关设备取证技术。而以计算机取证的过程为标准，计算机取证技术可以分为：电子证据的发现技术、固定技术、提取技术、分析技术和表达技术等。本文结合这两种分类，全面地分析了计算机取证这一领域的技术法律研究现状，提出了目前存在的问题和解决问题的建议。Keys：计算机取证；研究现状；技术；工具；理论TP393.08 ：A网络和计算机是一把双

2、刃剑，在为人们的生活和工作带来便利的同时，也为犯罪提供了机会和便利。近年来，国内外计算机犯罪呈明显上升趋势，已经严重威胁到了国家和合法公私财产的安全。而且，与其他犯罪相比，计算机犯罪所造成的损失要严重得多。据统计，平均每起计算机犯罪造成的损失高达45万美元，而传统的银行欺诈与侵占案平均损失只有1.9万美元，银行抢劫案的平均损失不过4900美元，一般抢劫案的平均损失仅370美元。与财产损失相比，利用计算机进行恐怖活动等犯罪更为可怕，“一场电子战的珍珠港事件时时都有可能发生”。计算机犯罪给公私财产造成的严重损失和为国家安全、社会治安带来的严重威胁以及这种犯罪采取的特殊手段，给计算机犯罪侦查取证领域

3、的研究提供了机遇也提出了挑战，引起了国内外学术界的关注。如何及时发现并获取犯罪分子作案的电子证据，惩治犯罪分子，警示民众，保障国家和公民财产的安全，维护国家安全和社会治安稳定已成为亟待研究的课题。1 计算机取证概念分析计算机取证(C。mputer Forensics)也称为电子取证（Digital Forensics）等，是计算机科学与技术和法学的交叉学科，是指科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行保护( Preservation)、收集(Collection)、验证(Validation)、鉴定( Identification)、分析(Analysis)、解释(Inte

4、rpetation)、存档(documentation)和出示(Presentation)，以有助于进一步的犯罪事件重构或者帮助分析某些与计划操作无关的非授权性活动。计算机取证作为一个较新的研究领域，无论在硬件设备制造，还是在软件系统的研发方面都取得了一定的进展。这对于有效地打击犯罪，保护公私财产的安全都发挥了很好的作用。2005年颁布的中华人民共和国电子签名法21正式确定了电子证据在我国的法律地位。由于电子证据是用来证明犯罪事实的存在与否的，并且其具有易伪造和损毁的特点。因而，为了保证电子证据符合法律规定的可采用性标准，电子证据的获取与分析都要遵循严格的过程、使用可信的工具并把整个操作过程记

5、录下来形成一个证据链。如果计算机取证过程操作不当，取证工具质量低劣或者功能欠缺会直接影响到电子证据的可获取性及获取的电子证据的质量。因此，研究电子证据的发现、固定、提取和鉴定应该遵循的程序和步骤，制定用于取证的相关技术和产品的检测标准，具有重要意义。以电子证据的来源为标准，计算机取证技术可分为：单机取证技术、网络取证技术和相关设备取证技术。而以计算机取证的过程为标准，计算机取证技术可以分为：电子证据的发现技术、固定技术、提取技术、分析技术和表达技术等。2 计算机取证技术的发展现状2.1电子证据发现技术电子证据的发现就是通过侦查和现场勘察搜集最原始的证据数据。电子证据的发现技术实际上属于侦查技术

6、。可以把一般的侦查技术与计算机技术相结合进行研究。这方面的研究包括取证专用的IDS（Intrusion Detection System，入侵检测系统）、网络线索自动挖掘技术、溯源技术、数据过滤、磁盘镜像技术等等。根据电子证据的来源不同，电子证据的发现可以分为网络证据的发现、单机证据的发现和相关设备证据的发现。网络证据的发现技术包括基于非数字取证方法的电子证据现场勘查和发现模式。取证专用IDS是把一般的IDS的规则库或入侵行为特征库按照法律法规的规定改成电子证据规则和有关的犯罪行为特征库，在此基础上再做一些改进就可以用于计算机取证。作者曾经撰文论述了Web数据挖掘技术在电子证据发现中的应用，设

7、计了基于Agent的Web证据发现模型框架。网络证据的溯源主要是有关地址的定位技术，我国的吉林大学正在进行这方面的研究（网络逆向追踪研究）。中科院软件所的基于网络文件系统的网络监控技术也可以用于电子证据的发现。有些学者提出了利用反病毒引擎的计算机取证。还有的提出了_一种计算机取证协议STOP(Session Token Protocol)的设计。该协议是一种专用的取证协议，为网络证据的实时获取奠定了基础。单机证据的发现一般就是指硬盘上的证据的发现技术。人们在研究计算机取证之初就已经意识到电子证据的隐蔽性和易篡改性，因而要求电子证据的分析处理必须在原始证据的备份上进行。所以，可疑硬盘的逐字节备份

8、成了关键技术。目前的磁盘镜像技术已经很成熟，有的磁盘拷贝机的速度已经达到3.3GB/分钟以上。很多论文都论述了磁盘镜像的原理和重要性。单机证据的溯源技术是要发现计算机的使用者、软件的开发者和使用者等。相关设备中的证据包括PDA、有关的存储设备、手机SIM卡、打印机、传真机以及其它各种数码设备存储器中的证据。这些设备的取证主要是拷贝和镜像技术的应用。目前被广泛使用的取证软件Encase也实现了以上相关设备中数据的获取。有专家提出了_一种通过使用数字水印芯片( Wartermarking Chip)和加密技术提取拍摄者的视网膜特征和所拍摄的照片，从而从数码相机中提取证据和形成证据监督链的方法。2.

9、2电子证据固定技术计算机取证的难点之一是证明取证人员所搜集到的证据没有被修改过。电子证据的固定主要是解决证据的完整性验证。即通过数字签名和见证人签名等保证现场勘察和侦查获得数据的完整性和真实性。例如，美国取证专家采用的加密技术、时间戳技术和电子指纹技术等都可以产生证据监督链以证实电子证据的真实完整性。另外，国内外有些学者提出了用某些监控软件进行取证过程的全程审计监督，但这种方法占用系统资源，效率很低。我国的电子证据鉴定审计系统就是在电子证据鉴定系统中模拟会计的审计工作，对电子证据鉴定系统的活动进行监视和记录的一种安全审计、监控与管理技术。运用电子证据鉴定审计技术的目的就是对取证计算机的一系列取

10、证步骤和过程进行自动记录，制作报告，实现安全审计、监控与管理。这一电子证据的审计监管功能由操作系统层次的审计系统和应用软件层次的审计系统共同完成，两者互相配合、互为补充。另外，由于证据的有效性依赖于证据固定和分析系统的科学性，因此，证据固定技术的标准化也是固定层的研究重点。目前，美国已针对用于证据固定的软件和硬件制定了详细的标准。2.3电子证据提取技术证据的提取本质上就是从众多的未知和不确定性中找到确定性的东西，通过数据恢复、残缺数据提取、解码、解密、过滤等技术将原始数据表达成可以理解的数据。取证人员面对的是各种互不相同的案件，有些甚至不是刑法定义的计算机犯罪而是其他犯罪（如诈骗、杀人等）种类

11、。从这种意义上看，计算机取证应该不仅仅是计算机犯罪证据的获取。提取层的研究应该包括：1)全面获取证据数据源，即恢复和提取被删除的数据、被部分覆盖以及以特殊方式存储的残缺数据。有些文献指出，采用适当的技术可以恢复被覆盖了七次以上的数据。但一般认为磁盘数据恢复只能恢复那些没有被其他数据覆盖过的数据。数据恢复技术主要用于把犯罪嫌来自wwW.L疑人删除或者通过格式化磁盘擦除的数据恢复出来。使用国际取证专家普遍看好的取证软件TCT( The Coronors Toolkit)和Encase等可以很容易地把这些数据恢复出来。即使使用安全删除工具删除的数据也会留有痕迹，就像人们在纸上用铅笔写字又用橡皮擦除后

12、总会在纸上留下痕迹一样，擦除一个磁道的数据时留下的边缘数据和被覆盖后仍留下的痕迹称为影子数据( Shadow Data)。可以使用特殊的电子显微镜一比特一比特地恢复写过多次的磁道上的这些影子数据。目前，国外这种数据恢复服务公司或机构已经存在，如Ontrack公司，Ibas挪威实验室等。反向工程技术有分析目标主机上可疑程序的作用，从而获取犯罪线索或者可疑程序的操作结果证据。但目前这方面的工具很少。2)过滤，过滤的目的是要提取出需要分析的数据或者进行专题信息挖掘、软件残留痕迹自动分析等。在计算机取证的分析阶段往往使用搜索技术进行相关数据信息的查找。这些源信息可以是文本、图片、音频或视频。这方面的技

13、术主要有：数据过滤技术、数据挖掘技术等。比较成熟的软件工具有美国的NTI(New Technologies Inc.) (http:/www)公司的系列取证工具中的Filter、Encase、TCT等。3)解码，即将数据表达成分析人员能够理解的形式。包括解密、隐藏信息的提取、元数据( metadata)解码、普通编码数据的解码等。取证在很多情况下都面临着如何将加密的数据进行解密的问题。目前的加密解密算法及工具很多，计算机取证中使用的与密码破解相关的技术和方法主要有：1)密码分析技术，这一技术需要取证专家具有密码学专业领域的知识，目前的软件工具并不实用。2)密码破解技术，包括口令字典、重点猜测、

14、穷举破解等方法。其中口令字典是常用的方法。口令字典一般是基于软件的，而且已经有了多种字典可供使用。目前基于字典的口令破解软件包括专门用于Office文件的破解工具AOPR( Advanced Office Password Recovery)等，这些软件的破解效率很高。国内外普遍使用的密码破解工具是可以破解多种文件类型的分布式密码破解系统( Dstributed Network Attrack，DNA)。3)口令搜索，包括物理搜索（在计算机四周搜查可能有口令的地方）、逻辑搜索（在文档或电子邮件中搜索明文口令）和网络窃听（从网络中捕获明文口令）。4)口令提取，许多Windows口令都以明文的形式

15、存储在注册表或其他指定的位置，我们可以从注册表中或指定的位置提取口令。5)口令恢复，使用密钥恢复机制可以从高级管理员那里获得口令。比较典型的Windows开机口令恢复（或称口令绕过）工具是WindowsKey。2.4电子证据分析技术分析证据是计算机取证的核心和关键。即通过关联分析证实信息的存在、信息的来源以及信息的传播途径，重构犯罪行为、动机以及嫌疑人特征。证据分析的内容包括：分析计算机的类型；采用的操作系统，是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意分析过程的开机、关机过程，尽可能避免正在运行的进程数据丢失或可能存在的不可逆转的删除

16、程序。分析在磁盘的特殊区域中发现的所有相关数据。获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行对比，发现篡改痕迹。通过该计算机的所有者或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体，结合全案其他证据进行综合分析审查。电子证据的分析还包括电子证据同其他证据的相互印证、相互联系和综合分析。2.5电子证据表达技术电子证据表达技术就是把对目标计算机系统的全面分析和追踪结果进行汇总，然后给出分析结论。结论的内容应包括：系统的整体情况，发现的文件结构、数据、作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中

17、发现的其它的相关信息。在鉴定结论中应该标明提取时间、地点、机器、提取人及见证人。然后以规定的形式按照合法的程序提交给司法机关。3 计算机取证工具的发展现状计算机取证的工具包括：1)硬件工具，计算机取证的硬件主要集中在对可疑硬盘数据的克隆、硬盘数据的擦除、一些取证接口机器转换装置和网络监控器等。国内外的取证硬件产品主要有：便携式取证机、硬盘克隆机、硬盘只读锁、通用取证接口套件、网络计算机取证系统、分布式密码破解系统等有关产品。在国外，特别是美国，取证产品琳琅满目，专业公司也比比皆是。比较，流行的取证硬件产品有美国Logigube公司的计算机取证和硬盘复制工具，这些工具得到了美国政府的认可，其产品曾用于“911”事件、印尼巴厘岛爆炸案等案件的证据搜集工作。而国内的硬盘克隆和取证系来自w列产品也已达到国际先进水平。2)软件工具，计算机取证相关软件工具归纳起来主要有：文件浏览器，证据分析工具，图片检查工具，反删除工具等。我国近年来也开始了计算机取证工具软件的研发，比较有代表性的是厦门市美亚柏科信息股份有限公司，该公司的产品已经得到了公安部的认可。他们的软件产品主要有电子数据司法鉴定审计监管系统等。他们提出了电子证据鉴定实验室的可行的配置方案，目前正在推广。我国安天实验室的AGBE SDK是面向安全厂商和软件开