数字取证技术课件

第8章数字取证技术8.1数字取证概述8.2电子证据8.3数字取证原则和过程8.4网络取证技术8.5数字取证常用工具第8章数字取证技术8.1数字取证概述

8.1数字取证概述随着计算机及网络技术的高速发展和广泛应用，利用计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的发生,就需要能证明犯罪的证据,从计算机中提取证据成为案件侦破的关键。计算机取证对于起诉这类犯罪行为至关重要。计算机犯罪取证（数字取证）也被称为计算机法医学，是指把计算机看做犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学，正逐渐成为人们关注的焦点。8.1数字取利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据。电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。数字证据是指任何使用计算机存储和传输的数据，用于支持和反驳犯罪发生的推测，或者用于表述诸如动机、犯罪现场等的犯罪关键要素。一般情况数字证据与电子证据经常交替使用。

利用计算机和其他数字产品进行犯罪的证据都以数数字取证主要是对电子证据识别、保存、收集、分析和呈堂，从而揭示与数字产品相关的犯罪行为或过失。数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。从计算机取证技术的发展来看，先后有数字取证（DigitalForensics）、电子取证（ElectricForensics）、计算机取证（ComputerForensic）、网络取证（NetworksForensics）等术语。数字取证主要是对电子证据识别、保存、收集、分1．电子取证电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示，如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。2.计算机取证计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。3．网络取证网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流、审计、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。1．电子取证

8.2电子证据8.2.1电子证据的特点

电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。证据一经生成，会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中，客观真实地记录了案件事实情况。但由于计算机数字信息存储、传输不连续和离散，容易被截取、监听、剪接、删除，同时还可能由于计算机系统、网络系统、物理系统的原因，造成其变化且难有痕迹可寻。刑事电子证据的特点要求数字取证应遵循电子证据的特点，严格执行证据规则，客观、真实、合法，利用专门工具、专业人士取证保证，司法活动合法、高效、公正。

8.2.2数字证据存在的问题1.数字证据只是片断或摘要计算机在工作时产生数据冗余只是人们操作电脑的一部分，对于鼠标的电击，键盘的敲打是记录不下来的。所以记录的数字证据只是片断或摘要。2.容易被改变所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链，认定犯罪事实。8.2.2数字证据存在的问题3.模糊的证据形式

我国《刑事诉讼法》中明确规定七种形式的证据：物证、书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定结论；勘验、检查笔录；视听资料。对于日益增多的计算机犯罪案件中，只能根据具体的情况把电子证据作为视听资料、物证或者书证使用，以便让电子证据具有法律根据，在公安、检察、法院三家认定上也有不同的看法，从而使得在一些案件中即使抓住了犯罪嫌疑人，在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。3.模糊的证据形式8.2.3常见电子设备中的电子证据电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的家用电器等。在这些存储介质中应检查的应用数据包括:1．用户自建的文档；2．用户保护文档；3．计算机创建的文档；4．其他数据区中的数据证据；5．ISP计算机系统创建的文档、ftp文件等。8.2.3常见电子设备中的电子证据

8.3数字取证原则和过程8.3.1数字取证原则

1．尽早搜集证据，并保证其没有受到任何破坏；2．必须保证取证过程中计算机病毒不会被引入到目标计算机；3．必须保证“证据连续性”，即在证据被正式提交给法庭时必须保证一直能跟踪证据，要能够说明用于拷贝这些证据的进程是可靠、可复验的等；4．整个检查、取证过程必须是受到监督的；5．必须保证提取出来的可能有用的证据不会受到机械或电磁损害；6．被取证的对象如果必须运行某些商务程序，只能影响一段有限的时间；7．应当尊重不小心获取的任何关于客户代理人的私人信息。8.3数字取8.3.2数字取证过程

数字取证的过程一般可划分为四个阶段：电子证据的确定和收集、电子证据的保护、电子证据的分析、展示阶段。1．电子证据的确定和收集

要保存计算机系统的状态，避免无意识破坏现场，同时不给犯罪者破坏证据提供机会，以供日后分析。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。8.3.2数字取证过程获取证据从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。要注意以下几个方面：（1）收集数据前首先要咨询证人使用计算机的习惯。（2）可以通过质疑来获取目标计算机网络上的相关信息。（3）咨询系统管理员和其他可能与计算机系统有关的人员，确保掌握了关于备份系统的所有信息和数据可能的储存位置。（4）不要对硬盘和其他媒介进行任何操作，甚至不要启动它们。（5）必须保护所有的媒介，对所有媒介进行病毒扫描。（6）牢记“已删除”并不意味着真的删除了。（7）对不同类型的计算机采取不同的策略。获取证据从本质上说就是从众2．电子证据的保护这一阶段将使用原始数据的精确副本，应保证能显示存在于镜像中的所有数据，而且证据必须是安全的，有非常严格的访问控制。为此必须注意以下几点：（l）通过计算副本和原始证据的hash值来保证取证的完整性；（2）通过写保护和病毒审查文档来保证数据没有被添加、删除或修改；（3）使用的硬件和软件工具都必须满足工业上的质量和可靠性标准；（4）取证过程必须可以复验；（5）数据写入的介质在分析过程中应当写保护，以防止被破坏。2．电子证据的保护3.电子证据的分析具体包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；密码破译技术等。分析阶段首先要确定证据的类型，主要可分为三种：（1）使人负罪的证据，支持已知的推测；（2）辨明无罪的证据，同已知的推测相矛盾；（3）篡改证据，以证明计算机系统已被篡改而无法用来作证。4．展示阶段给出调查所得结论及相应的证据，供法庭作为公诉证据。还要解释是如何处理和分析证据的，以便说明监管链和方法的彻底性。3.电子证据的分析4．展示阶段

目前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化，计算机犯罪取证还需要更高的技术。

1.数据复制技术

数据复制包括数据备份、数据镜像、拍照、摄像等。如，具有视听资料的证据，可以采用拍照、摄像的方法对取证全程进行拍照、摄像，增加证明力、防止翻供。案发后，通过数据镜像将备份迅速恢复到另一台主机上，在映像上进行分析工作要比在原件上操作更安全。8.3.3数字取证技术目前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术2.信息加密技术

信息加密是信息安全的主要措施之一，是通过密钥技术，来保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性。数据加密技术是所有网络上通信安全所依赖的基本技术。有三种方式：链路加密方式、节点对节点加密方式和端对端加密方式。链路加密方式是一般网络通信安全主要采取这种方式。链路加密方式把网络上传输的数据报文每一个比特进行加密。不但对数据报文正文加密，而且把路由信息、校验和等控制信息全部加密。端对端加密方式由发送方加密的数据在没有到达最终目的地接受节点之前是不被解密的，加解密只是在源、目的节点进行。端对端加密方式是将来的发展趋势。

2.信息加密技术3.数据复原技术

电子证据复原即对不同程度上数据的破坏所进行的恢复，及不可见区域数据的恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，较难篡改。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏时，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。3.数据复原技术4.数据截取技术

数据截取是指在犯罪者进行计算机犯罪的同时，侦查人员利用某些技术把犯罪证据进行截获的技术。数据截取就是通过传输介质进行截取，数据传输分为有线传输和无线传输，在有线传输中采用网络监听，网络监听需要主机网卡设置为混杂模式，主机就能接受本网段内在统一物理通道上传输的所有信息，来获取本某次通信中的信息。常用的工具由Sniffer、TCPDump。无线传输通道的截获是通过电磁波捕获。通过对捕获的证据进行分析作为犯罪证据。

4.数据截取技术5.数据欺骗技术

进行数据欺骗所采取的手段主要是陷阱和伪装等。通过构造一个虚拟等系统、服务或环境诱骗攻击者对其发起进攻。这种方式多用于网络攻击中的证据的获取，在攻击者不知情的情况下，取证系统就潜伏在这里记录下攻击者完整的攻击流程、路径等取得证实攻击或入侵行为的有力证据。蜜罐和迷网就是广泛使用的陷阱工具。

5.数据欺骗技术6.数字签名技术和数字时间戳技术

数字签名和数字时间戳都可以证明数据有效性的内容。通常要进行时间标记的信息内容包括：被调查机器的硬盘的映像文件、关机前被保留下来的所有信息、在收集证据过程中得到的证据、在可疑机器上得到的调查结果、调查人员每天得到的副本等。

6.数字签名技术和数字时间戳技术

7.扫描技术

扫描技术可分为主机扫描和网络扫描。端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中，如Superscan和X-scan。端口扫描是通过与目标系统的TCP/IP端口连接，并查看该系统处于监听或运行状态的服务。漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。

随着数字取证技术和安全技术的融合发展，数字取证技术有效地抑制了网络安全事件和计算机犯罪的发生，我们的网络世界将会愈来愈安全和谐。7.扫描技术

8.4网络取证技术8.4.1网络取证概述

网络流的相关性、数据的完整性和包捕获的速率是网络取证、分析首要考虑的事情。相关性是指在某些环境下，应当在捕获网络流时应用过滤器去掉不相关的数据。数据的完整性要求网络取证工具应当一直监控网络流。网络取证对数据的保护和一般的数字取证过程要求相同，网络取证分析的相关技术包括人工智能、机器学习、数据挖掘、IDS技术、蜜阱技术、SVM和专家系统等。网络取证模型根据网络攻击一般过程，网络取证模型如图所示。

8.4.2网络取证模型8.4.3IDS取证技术

将计算机取证结合到入侵检测等网络安全工具和网络体系结构中进行动态取证，可使整个取证过程更加系统并具有智能性和实时性，并且还能迅速做出响应。IDS取证的具体步骤如下:（l）寻找嗅探器（如sniffer）；（2）寻找远程控制程序；（3）寻找黑客可利用的文件共享或通信程序；（4）寻找特权程序；（5）寻找文件系统的变动；8.4.3IDS取证技术（6）寻找未授权的服务；（7）寻找口令文件的变动和新用户；（8）核对系统和网络配置，特别注意过滤规则；（9）寻找异常文件，这将依赖于系统磁盘容量的大小；（10）查看所有主机，特别是服务器；（11）观察攻击者，捕获攻击者，找出证据；（12）如果捕获成功则准备起诉，如立刻联系律师等；（13）做完全的系统备份，将系统备份转移到单用户模式下，在单用户模式下制作和验证备份。（6）寻找未授权的服务；在收集证据过程中，还要监视攻击者，监视时要注意以下几点：（1）最好利用备份作掩护来暗中监视攻击者，因为攻击者如果发现自己被监视，就会离开甚至破坏主机；（2）多查看shell命令历史记录，如果攻击者忘记清除该历史记录，就可以清楚地了解他们使用过什么命令；（3）对付攻击者可以使用“以毒攻毒”的办法；（4）最后要记住适时退出系统，因为断开网络一两天是整理系统的最容易的办法，以提高安全性和日志功能。在收集证据过程中，还要监视攻击者，监视时要注8.4.4蜜阱取证技术

蜜阱是包括蜜罐和蜜网等以诱骗技术为核心的网络安全技术。它是一种精心设计的诱骗系统，当黑客攻击时，它能够监视攻击者的行径、策略、工具和目标，从而自动收集相关的电子证据，实现实时网络取证。利用蜜阱进行取证分析时，一般遵循如下原则和步骤：1．确定攻击的方法、日期和时间（假设IDS的时钟和NTP参考时间源同步）；

2．尽可能多地确定有关入侵者的信息；8.4.4蜜阱取证技术

3．列出所有入侵者添加或修改的文件，并对这些程序（包括末编译或未重组部分，因为这些部分可能对确定函数在此事件中的作用和角色有帮助）进行分析。4．建立一条事件时间线，对系统行为进行详细分析，注意确认证据的来源；5．给出适合管理层面或新闻媒体需要的报告；6．对事故进行费用估计。

3．列出所有入侵者添加或修改的文件，并对这些程8.4.5模糊专家系统取证技术

Jun-SunKim等人开发了一个基于模糊专家系统的网络取证系统，由六个组件组成，如教材P214图8-4所示。1．网络流分析器组件。完成网络流的捕获和分析，它要求捕获所有的网络流，为了保证数据的完整性。分析器应用规则对捕获的网络流进行重组，这种分类数据包的规则是协议相同的和时间连续的。

2．知识库组件。存储模糊推理引擎所使用的模糊规则，其形式为：IFX1=A1andX2=A2…andXn=AnTHENY=Z

8.4.5模糊专家系统取证技术3．模糊化组件。确定每个语义变量的模糊集所定义的隶属函数和每个模糊集中输入值的隶属度。4．模糊推理引擎组件。当所有的输入值被模糊化为各自的语义变量，模糊推理引擎访问模糊规则库，进行模糊运算，导出各语义变量的值。

5．反模糊化组件。运用“最小-最大”运算产生输出值，作为取证分析器的输入。6．取证分析器。判断捕获的数据包是否存在攻击，它的主要功能是收集数据、分析相关信息，并且生成数字证据。3．模糊化组件。确定每个语义变量的模糊集所8.4.6SVM取证技术SVM取证技术是为了发现信息行为的关键特征，去除无意义的噪声，有助于减少信息存储量，提高计算速度等。同时，网络取证应该是主动的防御，对未知的网络攻击具有识别和取证能力。

SVM特征选择的基本思想是：1．选择训练集和测试集，对每个特征重复以下步骤；2．从训练集和测试集中删除该特征；3．使用结果数据集训练分类器（SVM）；4．根据既定的性能准则，使用测试集分析分类器的性能；5．根据规则标记该特征的重要性等级。8.4.6SVM取证技术

8.4.7恶意代码技术恶意代码指能够长期潜伏、秘密窃取敏感信息的有害代码程序，应用同样的原理，可以设计用来进行取证。8.4.7恶意代码技术

8.5数字取证常用工具

计算机取证技术也日益成熟，各种计算机取证软件、计算机取证工具层出不穷，仅仅针对逻辑层的就有Guidance的Encase、AccessData的FTK、FINALData的FINALForensics等诸多软件，针对物理层的计算机取证工具也不胜枚举，但是要达到更有效打击计算机犯罪的目的，法证界迫切需要多元化的计算机取证综合解决方案。计算机取证的相关工具包括一般工具软件，如用于检测分区的工具软件、杀毒软件、各种压缩工具软件等。还有取证专用工具软件，如文件浏览器、图片检查工具、反删除工具、CD-ROM工具、磁盘擦除工具等。8.5Encaee自称是唯一一个完全集成的基于Windows界面的取证应用程序，是专业的计算机取证工具，包括Encase取证版解决方案和Encase企业版解决方案。Encase取证版解决方案是国际领先的受法院认可的计算机调查取证的工具。具有以下主要特性:（1）支持并能管理易变的时区；（2）能分析UNIX和LINUX的系统文件；（3）能查看并搜索NTFS压缩文件，能检测NTFS文件系统中的附加分区中的信息；（4）允许查看NTFS文件/文件夹的所有者和访问权；（5）允许用户限制其可查看的数据，并能保护特权数据；（6）良好的EnScript程序界面，编辑和调试代码操作更方便；Encaee自称是唯一一个完全集成的基于Wi（7）可以隐藏用户定义的扇区或提前读取一定数量的扇区，从而提高导航函数的速度；（8）多个关键词搜索算法能够动态加快搜索速度；（9）支持RAID，了解动态磁盘分区结构并能处理所有可能的配置。

Encase企业版解决方案是世界上第一个可有效执行远程企业紧急事件响应（Response）、审计（Audit）和发现（Discovery）任务的解决方案。Encase企业版解决方案由SAFE、Examiner和Servlet三部分组成。（7）可以隐藏用户定义的扇区或提前读取一定数量的扇区，目前计算机取证技术已经在全球范围内被广泛用于计算机犯罪和事故的破获和解决，而我国司法机关在日常的刑侦工作也多次借助计算机取证、数据恢复技术等信息化手段成功破获多起案件，如浙江省东阳市镇乡财政管理中心单位受贿以及重庆丰都高额贪污在内的系列案件，为国家挽回巨额的经济损失。随着网络和计算机技术的发展，以数字形式存贮和传输的计算机证据逐渐增多，用于计算机取证的工具软件随之出现，如何保证计算取证工具软件的质量关系到法律的公正和国家的尊严，因此，对计算机取证工具软件的严格管理和检测势在必行。目前计算机取证技术已经在全球范围内被广泛用于计本章教学要求：（1）知道数字取证、电子证据的特点；（2）掌握数字取证原则和过程；（3）了解网络取证概念；（4）了解IDS取证技术；（5）了解蜜阱取证技术；（6）了解数字取证常用工具。本章教学要求：第8章数字取证技术8.1数字取证概述8.2电子证据8.3数字取证原则和过程8.4网络取证技术8.5数字取证常用工具第8章数字取证技术8.1数字取证概述

8.1数字取证概述随着计算机及网络技术的高速发展和广泛应用，利用计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的发生,就需要能证明犯罪的证据,从计算机中提取证据成为案件侦破的关键。计算机取证对于起诉这类犯罪行为至关重要。计算机犯罪取证（数字取证）也被称为计算机法医学，是指把计算机看做犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学，正逐渐成为人们关注的焦点。8.1数字取利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据。电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。数字证据是指任何使用计算机存储和传输的数据，用于支持和反驳犯罪发生的推测，或者用于表述诸如动机、犯罪现场等的犯罪关键要素。一般情况数字证据与电子证据经常交替使用。

利用计算机和其他数字产品进行犯罪的证据都以数数字取证主要是对电子证据识别、保存、收集、分析和呈堂，从而揭示与数字产品相关的犯罪行为或过失。数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。从计算机取证技术的发展来看，先后有数字取证（DigitalForensics）、电子取证（ElectricForensics）、计算机取证（ComputerForensic）、网络取证（NetworksForensics）等术语。数字取证主要是对电子证据识别、保存、收集、分1．电子取证电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示，如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。2.计算机取证计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。3．网络取证网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流、审计、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。1．电子取证

8.2电子证据8.2.1电子证据的特点

电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。证据一经生成，会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中，客观真实地记录了案件事实情况。但由于计算机数字信息存储、传输不连续和离散，容易被截取、监听、剪接、删除，同时还可能由于计算机系统、网络系统、物理系统的原因，造成其变化且难有痕迹可寻。刑事电子证据的特点要求数字取证应遵循电子证据的特点，严格执行证据规则，客观、真实、合法，利用专门工具、专业人士取证保证，司法活动合法、高效、公正。

8.2.2数字证据存在的问题1.数字证据只是片断或摘要计算机在工作时产生数据冗余只是人们操作电脑的一部分，对于鼠标的电击，键盘的敲打是记录不下来的。所以记录的数字证据只是片断或摘要。2.容易被改变所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链，认定犯罪事实。8.2.2数字证据存在的问题3.模糊的证据形式

我国《刑事诉讼法》中明确规定七种形式的证据：物证、书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定结论；勘验、检查笔录；视听资料。对于日益增多的计算机犯罪案件中，只能根据具体的情况把电子证据作为视听资料、物证或者书证使用，以便让电子证据具有法律根据，在公安、检察、法院三家认定上也有不同的看法，从而使得在一些案件中即使抓住了犯罪嫌疑人，在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。3.模糊的证据形式8.2.3常见电子设备中的电子证据电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的家用电器等。在这些存储介质中应检查的应用数据包括:1．用户自建的文档；2．用户保护文档；3．计算机创建的文档；4．其他数据区中的数据证据；5．ISP计算机系统创建的文档、ftp文件等。8.2.3常见电子设备中的电子证据

8.3数字取证原则和过程8.3.1数字取证原则

1．尽早搜集证据，并保证其没有受到任何破坏；2．必须保证取证过程中计算机病毒不会被引入到目标计算机；3．必须保证“证据连续性”，即在证据被正式提交给法庭时必须保证一直能跟踪证据，要能够说明用于拷贝这些证据的进程是可靠、可复验的等；4．整个检查、取证过程必须是受到监督的；5．必须保证提取出来的可能有用的证据不会受到机械或电磁损害；6．被取证的对象如果必须运行某些商务程序，只能影响一段有限的时间；7．应当尊重不小心获取的任何关于客户代理人的私人信息。8.3数字取8.3.2数字取证过程

数字取证的过程一般可划分为四个阶段：电子证据的确定和收集、电子证据的保护、电子证据的分析、展示阶段。1．电子证据的确定和收集

要保存计算机系统的状态，避免无意识破坏现场，同时不给犯罪者破坏证据提供机会，以供日后分析。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。8.3.2数字取证过程获取证据从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。要注意以下几个方面：（1）收集数据前首先要咨询证人使用计算机的习惯。（2）可以通过质疑来获取目标计算机网络上的相关信息。（3）咨询系统管理员和其他可能与计算机系统有关的人员，确保掌握了关于备份系统的所有信息和数据可能的储存位置。（4）不要对硬盘和其他媒介进行任何操作，甚至不要启动它们。（5）必须保护所有的媒介，对所有媒介进行病毒扫描。（6）牢记“已删除”并不意味着真的删除了。（7）对不同类型的计算机采取不同的策略。获取证据从本质上说就是从众2．电子证据的保护这一阶段将使用原始数据的精确副本，应保证能显示存在于镜像中的所有数据，而且证据必须是安全的，有非常严格的访问控制。为此必须注意以下几点：（l）通过计算副本和原始证据的hash值来保证取证的完整性；（2）通过写保护和病毒审查文档来保证数据没有被添加、删除或修改；（3）使用的硬件和软件工具都必须满足工业上的质量和可靠性标准；（4）取证过程必须可以复验；（5）数据写入的介质在分析过程中应当写保护，以防止被破坏。2．电子证据的保护3.电子证据的分析具体包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；密码破译技术等。分析阶段首先要确定证据的类型，主要可分为三种：（1）使人负罪的证据，支持已知的推测；（2）辨明无罪的证据，同已知的推测相矛盾；（3）篡改证据，以证明计算机系统已被篡改而无法用来作证。4．展示阶段给出调查所得结论及相应的证据，供法庭作为公诉证据。还要解释是如何处理和分析证据的，以便说明监管链和方法的彻底性。3.电子证据的分析4．展示阶段

目前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化，计算机犯罪取证还需要更高的技术。

1.数据复制技术

数据复制包括数据备份、数据镜像、拍照、摄像等。如，具有视听资料的证据，可以采用拍照、摄像的方法对取证全程进行拍照、摄像，增加证明力、防止翻供。案发后，通过数据镜像将备份迅速恢复到另一台主机上，在映像上进行分析工作要比在原件上操作更安全。8.3.3数字取证技术目前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术2.信息加密技术

信息加密是信息安全的主要措施之一，是通过密钥技术，来保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性。数据加密技术是所有网络上通信安全所依赖的基本技术。有三种方式：链路加密方式、节点对节点加密方式和端对端加密方式。链路加密方式是一般网络通信安全主要采取这种方式。链路加密方式把网络上传输的数据报文每一个比特进行加密。不但对数据报文正文加密，而且把路由信息、校验和等控制信息全部加密。端对端加密方式由发送方加密的数据在没有到达最终目的地接受节点之前是不被解密的，加解密只是在源、目的节点进行。端对端加密方式是将来的发展趋势。

2.信息加密技术3.数据复原技术

电子证据复原即对不同程度上数据的破坏所进行的恢复，及不可见区域数据的恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，较难篡改。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏时，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。3.数据复原技术4.数据截取技术

数据截取是指在犯罪者进行计算机犯罪的同时，侦查人员利用某些技术把犯罪证据进行截获的技术。数据截取就是通过传输介质进行截取，数据传输分为有线传输和无线传输，在有线传输中采用网络监听，网络监听需要主机网卡设置为混杂模式，主机就能接受本网段内在统一物理通道上传输的所有信息，来获取本某次通信中的信息。常用的工具由Sniffer、TCPDump。无线传输通道的截获是通过电磁波捕获。通过对捕获的证据进行分析作为犯罪证据。

4.数据截取技术5.数据欺骗技术

进行数据欺骗所采取的手段主要是陷阱和伪装等。通过构造一个虚拟等系统、服务或环境诱骗攻击者对其发起进攻。这种方式多用于网络攻击中的证据的获取，在攻击者不知情的情况下，取证系统就潜伏在这里记录下攻击者完整的攻击流程、路径等取得证实攻击或入侵行为的有力证据。蜜罐和迷网就是广泛使用的陷阱工具。

5.数据欺骗技术6.数字签名技术和数字时间戳技术

数字签名和数字时间戳都可以证明数据有效性的内容。通常要进行时间标记的信息内容包括：被调查机器的硬盘的映像文件、关机前被保留下来的所有信息、在收集证据过程中得到的证据、在可疑机器上得到的调查结果、调查人员每天得到的副本等。

6.数字签名技术和数字时间戳技术

7.扫描技术

扫描技术可分为主机扫描和网络扫描。端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中，如Superscan和X-scan。端口扫描是通过与目标系统的TCP/IP端口连接，并查看该系统处于监听或运行状态的服务。漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。

随着数字取证技术和安全技术的融合发展，数字取证技术有效地抑制了网络安全事件和计算机犯罪的发生，我们的网络世界将会愈来愈安全和谐。7.扫描技术

8.4网络取证技术8.4.1网络取证概述

网络流的相关性、数据的完整性和包捕获的速率是网络取证、分析首要考虑的事情。相关性是指在某些环境下，应当在捕获网络流时应用过滤器去掉不相关的数据。数据的完整性要求网络取证工具应当一直监控网络流。网络取证对数据的保护和一般的数字取证过程要求相同，网络取证分析的相关技术包括人工智能、机器学习、数据挖掘、IDS技术、蜜阱技术、SVM和专家系统等。网络取证模型根据网络攻击一般过程，网络取证模型如图所示。

8.4.2网络取证模型8.4.3IDS取证技术

将计算机取证结合到入侵检测等网络安全工具和网络体系结构中进行动态取证，可使整个取证过程更加系统并具有智能性和实时性，并且还能迅速做出响应。IDS取证的具体步骤如下:（l）寻找嗅探器（如sniffer）；（2）寻找远程控制程序；（3）寻找黑客可利用的文件共享或通信程序；（4）寻找特权程序；（5）寻找文件系统的变动；8.4.3IDS取证技术（6）寻找未授权的服务；（7）寻找口令文件的变动和新用户；（8）核对系统和网络配置，特别注意过滤规则；（9）寻找异常文件，这将依赖于系统磁盘容量的大小；（10）查看所有主机，特别是服务器；（11）观察攻击者，捕获攻击者，找出证据；（12）如果捕获成功则准备起诉，如立刻联系律师等；（13）做完全的系统备份，将系统备份转移到单用户模式下，在单用户模式下制作和验证备份。（6）寻找未授权的服务；在收集证据过程中，还要监视攻击者，监视时要注意以下几点：（1）最好利用备份作掩护来暗中监视攻击者，因为攻击者如果发现自己被监视，就会离开甚至破坏主机；（2）多查看shell命令历史记录，如果攻击者忘记清除该历史记录，就可以清楚地了解他们使用过什么命令；（3）对付攻击者可以使用“以毒攻毒”的办法；（4）最后要记住适时退出系统，因为断开网络一两天是整理系统的最容易的办法，以提高安全性和日志功能。在收集证据过程中，还要监视攻击者，监视时要注8.4.4蜜阱取证技术

蜜阱是包括蜜罐和蜜网等以诱骗技术为核心的网络安全技术。它是一种精心设计的诱骗系统，当黑客攻击时，它能够监视攻击者的行径、策略、工具和目标，从而自动收集相关的电子证据，实现实时网络取证。利用蜜阱进行取证分析时，一般遵循如下原则和步骤：1．确定攻击的方法、日期和时间（假设IDS的时钟和NTP参考时间源同步）；

2．尽可能多地确定有关入侵者的信息；8.4.4蜜阱取证技术

3．列出所有入侵者添加或修改的文件，并对这些程序（包括末编译或未重组部分，因为这些部分可能对确定函数在此事件中的作用和角色有帮助）进行分析。4．建立一条事件时间线，对系统行为进行详细分析，注意确认证据的来源；5．给出适合管理层面或新闻媒体需要的报告；6．对事故进行费用估计。

3．列出所有入侵者添加或修改的文件，并对这些程8.4.5模糊专家系统取证技术

Jun-SunKim等人开发了一个基于模糊专家系统的网络取证系统，由六个组件组成，如教材P214图8-4所示。1．网络流分析器组件。完成网络流的捕获和分析，它要求捕获所有的网络流，为了保证数据的完整性。分析器应用规则对捕获的网络流进行重组，这种分类数据包的规则是协议相同的和时间连续的。

2．知识库组件。存储模糊推理引擎所使用的模糊规则，其形式为：IFX1=A1andX2=A2…andXn=AnTHENY=Z

8.4.5模糊专家系统取证技术3．模糊化组件。确定每个语义变量的模糊集所定义的隶属函数和每个模糊集中输入值的隶属度。4．模糊推理引擎组件。当所有的输入值被模糊化为各自的语义变量，模糊推理引擎访问模糊规则库，进行模糊运算，导出各语义变量的值。

5．反模糊化组件。运用“最小-最大”运算产生输出值，作为取证分析器的输入。6．取证分析器。判断捕获的