计算机取证分析

1、摘要信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与工作当中。然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求，为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。关键词：电子取证 动态取证 动态电子证据采

2、集网络数据协议目录一、概述（一）、研究背景目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、 学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了 深远的影响。然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击， 致使美 国Internet网络上6000多台计算机感染，直接经济损失 9600万美元。2000年5月， “爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。而在国内，人们利用计算机网络犯罪的案例也层出不穷。2002年，作案人吕薜文

3、通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分 文件进行删除、修改、增加等一系列非法操作，造成严重后果。2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业 部部分股票交易数据，致使股价短时间内剧烈震荡。计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系 统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。 针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。（二）、国内外研究现状目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处 理案件的技

4、术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多 端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。而类似美国 等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法 律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其 实用的取证产品。例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打 击计算机犯罪提供了有效的工具。因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全 相关法律法规，以应对日益增加的犯

5、罪活动，使得用户的权益不受侵犯。开展计算机 取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其 重要的意义。（三）、论文研究内容与时俱进的时代性不仅体现在社会与经济的快速发展，同时体现于社会各个领域 的全面进步，计算机取证已经成为当今社会不可置旁的话题，执法机关对计算机取证 技术的要求也越来越高，本文将通过对计算机取证技术的基础知识进行拓展，比计算 机静态取证做更进一步的探讨，对动态电子证据采集系统的实现进行研究以及对计算 机证据的收集和分析研究。本文各部分的内容组织如下：第一章概述，介绍课题的研究背景，以及国内外关于计算机取证的发展现状和本 课题的主要研究内容。第二章

6、计算机取证技术，较系统介绍计算机取证的定义、特点、基本原则和简单 介绍比较计算机动态取证和计算机静态取证。第三章计算机动态取证采集系统的实现研究，分析计算机动态取证采集系统的功 能，从而研究计算机动态取证采集系统的组成。第四章计算机证据收集与分析，讨论网路数据的分析和网络证据的收集。最后结语，对本论文进行总结。二、计算机取证技术（一）、计算机取证的定义计算机取证即对计算机入侵与犯罪，进行证据获取、保存、分析和出示，它是一 个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。计算机取证包 括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机入侵或者 犯罪现场寻找以及扣留计

7、算机硬件，而信息发现则指专业人员从原始电子数据（包括 日志、文件等）中寻找破案所需要的电子证据。计算机取证对计算机和网络犯罪的作用至关重要，执着证据真实、可靠、完整和 符合法律法规的原则，它被用于解决现代社会中出现的许多计算机和网络犯罪活动。（二）、计算机取证的特点电子证据是以电或磁的脉冲形式和二进制的数据格式存储于计算机的硬盘上的高 科技证据，它与传统的证据相比具有高科技性、无形性和易破坏性等特点。高科技性 是指电子证据的产生、储存和传输，都必须借助于、存储技术、网络技术等，离开了 相应技术设备，电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可 见的，必须借助适当的工具。易破坏性

8、是指电子证据很容易被篡改、删除而不留任何 痕迹。根据电子证据的特点，获取 对计算机系统进行彻检，进而提取以及保护计算机和 网络犯罪的证据。在电子证据获取的过程中，需要保持及时性、无破坏性、连续性和 受监督性。及时性和无破坏性是指要尽早地搜集证据，而保证证据完整不受破坏；连 续性是指在取证过程中必须保证证据的连续性，以保全其具备的证据能力和证明力；受监督性是指原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专 家的监督。（三）、计算机取证的基本原则计算机取证的基本原则主要有以下几点：首先，保持及时的原则，对证据要及时搜集，以免错过取证的最佳时段；其次，保全证据，保持证据完整而不受损坏

9、；第三，必须保持证据的连续性，将证据提交给法庭时，必须能够说明证据从获取 至提交法庭整个过程的证据状态是否出现变化，或者没有任何变化。最后，原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家 的监督。（四）、计算机取证技术按计算机取证发生时间的不同，将计算机取证分为事后的静态取证和实时的动态 取证。静态取证的电子取证的证明力相对较低，事后的取证使取证工作处于被动的状 态，取证工作很大程度上受限于计算机犯罪分子留下的现场，从而难以对付计算机犯 罪。而计算机动态取证是将取证技术结合到防火墙和入侵检测中，对所有可能的计算 机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施

10、切断链接或 诱敌深入，在确保系统安全的情况下获取大量的证据，并保全、分析和提交证据的过 程。动态取证较静态取证的优越性在于动态取证在时间上具有实时性，一般在网络入 侵发生时便开始启动，这样所提取的证据相对比较充分和完整，同时，证据的有效性 也变得更强。另外，动态取证对于取证人员的要求相对较低，而不像静态取证工具种 类繁多，取证操作过程繁琐，技术单一。三、计算机动态取证采集系统的实现研究（一）、计算机动态取证采集系统功能针对网络犯罪日益严重的现象，动态电子证据采集技术在电子取证技术中起着举 足轻重的地位，动态电子证据采集技术包括 IP地址和MAC地址获取和识别技术、数 据包捕获技术、身份认证技术

11、、漏洞扫描技术、电子邮件的取证和坚定技术等。为能 够有效对网络入侵犯罪活动进行证据采集，计算机动态取证采集系统必须具备以下功 能：首先，系统能够检测本地互联网各系统配置的正确性和安全漏洞，监视和分析互 联网用户和系统的活动，预防系统被越权操作；其次，能够跟踪所有网络活动和对应用层协议会话过程进行实时与历史重现；最后，能够完整、及时和有效采集电子证据。采集的信息可以实施全面分析，提 取与案件相关的证据。（二）、计算机动态取证采集系统组成计算机动态取证采集系统组成主要包括：事件采集模块，事件分析模块，事件数 据库，安全预警模型和响应单元。事件采集模块，负责完成从整个网络环境中获得事件，并向系统的其

12、他部分提供 此事件。此处的事件并非所收集的原始的信息，而是将采集到的原始信息经过一定的 处理，如过滤、重组，组合等，最终产生和实现功能相关的事件。事件分析模块，从事件采集模块接受数据，进行分析，并产生新的数据传给其他 组件。分析模块可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件中检测 是否有已知的滥用攻击特征；止匕外，事件分析器还可以是一个相关器，观察事件之间 的关系，将有联系的事件放在一起，以利于以后的进一步分析。事件数据库，存放各种中间很最终数据的地方的统称，它可以是复杂的数据库，也可 以是简单的文件文本。安

13、全预警模型，通过事件分析模块提供的各种统计结果、审计数据以及标准的规 则建立入侵检测的安全预警模型，用于对网络数据进行监测，并将报警信息发送给响 应单元。响应单元，处理事件分析模块传送过来的状态信息或其它信息，并据此采取相应 的措施，如杀死相关的程序、将连接复位、修改文件权限等。（三）、计算机动态取证采集系统的体系结构计算机动态取证采集系统为专门加强网络核心部安全性的一种安全预警系统，根 据其组成，设计动态电子证据采集系统结构如图1所示：图1动态电子取证采集系统结构计算机动态取证采集系统由事件采集模块、事件分析模块、事件数据库、预警模 型和事件响应和结果处理模块组成。事件采集模块采用NetFl

14、ow技术采集数据，并将采集的原始数据存入数据库；事 件分析模块采用基于统计的分析方法，将数据进行基于流量和协议的统计分析，采用 数据挖掘方法建立数据仓库；预警模块是有原始报文、流量统计值和流量告警值生成 异常检测模型，进行事件告警；事件响应和结果处理模块用于处理告警信息，另外， 结果处理模块还可以定期生成统计报表，并反馈给事件分析模块，用来同台的调整安 全预警模型。四、计算机证据收集与分析(一)、网络证据的收集网络犯罪时，无论是利用哪种攻击方法，攻击行为都是在网络上传输通信数据， 到达入侵的目的系统。只要将攻击行为在网上传输的通信数据利用事件采集模块采集 下来，用事件分析模块分析后，将其保存下

15、来作为网络犯罪的证据。1、网络数据收集的理论基础我们在前面一章讲到了计算机动态取证采集系统的相关知识，在共享型以太网中，所有的通讯都是广播的，同一网段中的所有接口都能访问在物理媒体上传输的所有数 据包。每个网络接口都有唯一对应的硬件地址 一MAC地址，在MAC地址和IP地址之 问用ARP和RARP协议进行互相转换。一般情况，一个网络接口指响应两种数据：与 自己硬件地址相匹配的数据帧和广播数据帧；而对于网卡而言通常有四种接受模式： 广播方式、组播方式、直接方式和混杂模式。网卡处于混杂模式下时，主机要处理的网络数据大大增加，若网络到达网卡的数 据包的速率远大于网卡数据包提交给用户进程的速率，这时便

16、会出现丢包的现象。为 了保存证据的完整性，必须解决网络数据收集的拼劲问题，利用分组捕获程序，直接 将数据包从网卡缓存拷贝到用户进程，而不是经过内核空间的TCP/IP栈，如此一来，数据的获取速率便提升了，同时内存的开销也减少了。2、网络数据包收集的实现网络数据包的收集即对网络中传输的数据包进行截取，实现网络数据包的截取课 使用Jpacap它是一个Java类包，通过直接访问数据链路层，从而为应用层 Java程序 提供实时捕获底层数据包的API。Jpcap需要依赖底层本地库：在Windows上是 WinPcap, Linux 上是 Libpcap。同时，Jpcap也支持 RAW SOCKET。Win

17、cap 基于 Libpcap 函数库和BPF模型，支持 Win32平台，可以进行网络数据包的捕获、分析和发送。Winpcap是从Unix平台下的Lipbcap移植而来，它除了具备 Libpcap的抓包功能 外，还提供了底层的数据包驱动程序，可以使用原始模型在网络中发送和接受数据包。Winpcap的数据捕获操作主要依赖两个主要部件：.包过滤器(Packet Filter),它决定一个输入的数据包是否应该被接受，进而将它复 制给监听程序。许多使用NPF的应用程序拒收的数据包远比接受的数据包要多，因此 一个能完成诸多功能且高效的包过滤器是获得整体上好性能的关键条件。包过滤器是 一个输出为布尔值的函数

18、，将它应用于数据包时，若函数的输出值是真值，捕获驱动 程序便将这个包复制给应用程序；如果函数的输出值为假，则丢弃该数据包。.内核缓冲区(Kernel Buffer),用来存储数据包，避免数据包丢失。数据包添加一 个头部后存储在内核缓冲区里，数据包头部记录了时间戳和数据包大小等信息。为了 加速应用程序对包中数据的访问，包与包之间填充了额外的字节。内核和用户缓冲区都可以在运行时改变，和都提供了改变缓冲区大小的函数。在混杂模式下，回调函数 Network Tap在得到监听命令后，从网络适配器获得数据包，然后通过调用设备驱动程 序，将数据传递给每一个参与进程的包过滤器。当包过滤器监听到有数据包到达时， 由包过滤器的过滤程序决定是否接受或丢弃数据包以及是否需要将接受数据复制到相 应的应用程序。通过包过滤判断后，将过滤的数据包提交给核心缓冲区。然后等待系 统缓冲区满后，再将数据包拷贝到用户缓冲区，从而应用程序可以直接从用户缓冲区 中读取捕获的数据包。（二）、网络数据的分析网络入侵证据的动态获取主要是通过网络入侵检测Agent实现的。随着网络技术的不断发展，网络规模越来越大，要从大量的网络流量中实时检测出入侵行为，要求 网络入侵检测Agent采用高效的网络数据流分析技术。1、网络数据分析原理