《信息安全原理与实践教程》课件第9章

第9章计算机取证技术

9.1计算机取证技术概述

9.2计算机取证的过程

9.3BitSureⅠ现场勘验取证系统的使用

9.4FinalForensics的使用

9.5小结

9.1计算机取证技术概述计算机取证(ComputerForensics)这个名词是由TheInternationalAssociationofComputerInvestigativeSpecialists(IACIS)在1991年首次提出的。目前还没有权威组织给出一个统一的定义，很多专业人士和机构从不同的角度给出了计算机取证的定义。LeeGarber在IEEEsecurity发表的文章中认为，计算机取证是分析硬盘、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的存储介质以发现犯罪证据的过程。计算机取证专业资深人士JuddRobins指出：计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上的。计算机紧急事件响应组CERT和取证咨询公司NTI(NewTechnologiesIncorporated)进一步扩展了该定义：计算机取证包括了对以磁盘介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司给出了如下定义：计算机取证是使用工具和软件，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。取证专家ReithClintMark认为计算机取证可以是从计算机中收集和发现证据的技术和工具。参考一般取证的含义，关注计算机取证本质层面的意义，综合起来，我们认为计算机取证是运用计算机及其相关科学和技术的原理与方法，获取与计算机相关的证据以证明某个客观事实的过程。它包括对计算机证据的确定、收集、保护、分析、归档以及法庭出示。

9.2计算机取证的过程计算机取证可以说是计算机调查人员与利用计算机作案的犯罪分子的一场没有硝烟的战争，更多的是斗智的过程。9.2.1计算机取证的准备计算机取证准备阶段的两个必要过程：

1.计算机取证人员培训计算机犯罪是一种新型犯罪，犯罪手段与以往的传统犯罪有所不同，计算机在整个犯罪过程中起到重要的作用。国外开设了针对计算机取证的相关课程，目的是培养针对计算机犯罪的计算机调查人员。在此领域比较著名的是美国NewTechnologiesInc.公司(NTI)，它在1996年由国际知名的计算机取证和计算机安全领域的专家组织成立，是目前最大的取证设备制造和销售企业。NTI公司提供完善的计算机取证培训。 培训覆盖了计算机取证理论、方法和过程。培训课程几乎包括计算机取证所需要的所有知识。

2.计算机取证工具计算机取证工作需要一些相应的工具软件和设备来支持，随着问题越来越复杂，将来还需要自动化程度更高的取证工具。这些工具既包括操作系统中已经存在的一些命令行工具，也包括专门开发的工具软件和取证工具包。在进行电子证据收集之前，要对计算机硬件进行常规取证，目的是获取收集数字信息的设备，所需的工具必须要满足整个设备的收集过程，包括：存档、收集、封装和运输。

在取证过程中，数据获取和分析工具是计算机取证工具包中最基本、最重要的工具。在选用有的系统命令和工具软件作为取证工具之前，首先要验证所选用的工具能否满足要求，即需要准确地核实工具的用途，判定它的输出是否可信以及确定如何操作这个工具。这种验证对于确保计算机系统内部信息的正确提取十分重要。通常我们需要证据获取工具、证据保全工具、证据分析工具、证据归档工具这四种取证工具。9.2.2计算机取证的步骤由于电子证据的独特性，因此，在进行取证的时候，证据必须要尽早搜集，并保证“证据的连续性”。整个检查取证过程必须是受到监督的。计算机取证的一般流程如下：第1步：保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统，保护可疑计算机中可能含有的数字证据。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染等情况。

第2步：确定电子证据。在计算机存储介质容量越来越大的情况下，必须根据系统的破坏程度，在海量数据中区分哪些是电子证据，哪些是无用证据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据，确定这些记录的存放位置和存储方式。第3步：收集电子证据。获取存储在可疑计算机上的潜在数字证据，保证所有的证据都没有被破坏。对目标计算机系统磁盘中的所有数据进行备份，备份后可对电子证据进行处理，如果将来出现对收集的电子证据的疑问时，可通过镜像备份的数据将目标系统恢复到原始状态。第4步：保护电子证据。将调查取证的数据镜像备份介质贴上封条存放在安全的地方。对获取的电子证据采用安全措施保护，无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免导致有价值的证据文件的永久丢失。第5步：传输证据。有些数字证据如果采用网络进行传输，则必须保证传输的安全性。第6步：分析证据。结合各种工具软件对所收集的证据进行分析，从中找出合法的、有效的证据。第7步：归档。对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理，形成能提供给法庭的呈堂证据。另外，在处理电子证据的过程中，为保证数据的可信度，必须确保证据的连续性，对各个步骤的情况进行归档，包括收集证据的地点、日期、时间、人员、方法及理由等，以使证据经得起法庭的质询。调查人员在收集、保护和分析电子证据的时候，每一个步骤都必须填写证据保全表格。9.2.3对现场取证的评估

1.确定取证的范围为了确定后面的具体行动，应当对计算机取证的现场范围进行彻底的评估。首先要通过搜查令或其他授权，根据案件的细节、硬件和软件系统的性质、潜在证据以及整个获取证据现场的环境来确定哪些证据将要进行重点检查。计算机调查人员不一定是第一时间到达现场，可能有前期的现场调查人员已经对现场进行常规的调查。

2.界定电子证据如今电子证据可以连接到用户计算机的很多其他外设上获取，而不是单纯地只是盯着计算机来寻找电子证据。潜在证据，是指通常在可以存储数据的硬件驱动器、存储设备或媒体中被发现的数据证据。计算机调查员应该对所有可能成为证据的设备有详细的了解。许多电子设备都有存储器，并且这些存储器需要持续的电源来保证内部的数据不会丢失。所以要注意数据很容易在取下电池或拔下电源时而丢失。各种潜在证据通常情况下存储于计算机系统、数码相机、手持设备(PDA等)、移动存储设备、网络部件、打印机、复印机、扫描仪和传真机等设备中。在某一案件中不一定会出现以上所有的设备。但是计算机调查人员进入现场后应该首先留意以上设备，这些是数字犯罪的证据收集中的常见设备。由于技术的进步可能会在犯罪现场出现更新的设备，这就要求计算机调查人员在平时要多了解一些新的数字设备，熟悉这些数字设备的功能，这样会提高在犯罪现场识别潜在证据的能力。9.3BitSureⅠ现场勘验取证系统的使用曾有知名犯罪学家预言：“在未来的信息化社会，犯罪的形式将主要是计算机网络犯罪”。在我国，执法机构借助数据恢复、计算机取证技术破获的案件数不胜数。但随着计算机网络犯罪发案率逐年攀升，对司法机构的数据恢复、计算机取证等技术也将提出更高要求，相关机构必须更新数据恢复、计算机取证技术，配置更高级的计算机取证设备才能应对更大的挑战。下面介绍重庆爱思网安信息技术有限公司自主研发的BitSureⅠ现场勘验取证系统，该产品前期技术研究是公安部立项的科研项目，并已经通过项目验收(该项目验收结论是：填补了国内空白)。该产品核心技术已经申请多项国家发明专利，是目前国内唯一具有电子数据取证与调查过程强审计功能的勘验取证产品。

1.实验目的掌握BitSureⅠ现场勘验取证系统的取证过程。

2.实验环境基于WindowsXP或Windows2003等的操作系统、BitSureⅠ现场勘验取证系统。

3.实验内容

BitSureⅠ现场勘验取证系统是一套高集成、易携带、高效率的电子数据提取与分析设备，专为司法取证与调查用途而设计。它具有硬件防差错设计，一体化结构抗干扰能力强；数据位对位(Bit-to-bit)精确复制；底层独立硬件保护原始盘和分析盘的数据安全(数据硬件只读保护)；审计信息贯穿整个数据拷贝和提取过程，全过程强审计设计的特点。BitSureⅠ现场勘验取证系统原理图如图9.1所示。图9.1BitSureⅠ现场勘验取证系统原理图

1)取证前的操作

(1)打开取证箱箱盖，在审计钥接口上插上审计钥，USB口接上无线鼠标的接收器和分析软件的加密狗。

(2)取出“原始盘”盒，选择证据硬盘对应的接口板，将接口板插入卡座，按入定位楔整平，然后将证据硬盘放入托架，滑动硬盘使之与接口板连接在一起。

(3)保持“原始盘”盒的抽屉挂钩垂直，将“原始盘”盒送入箱体，然后将抽屉挂钩扣上。

(4)“复制盘”盒、“只读盘”盒里的硬盘接入方式与上相同。

(5)先后打开“审计开关”和“电源开关”。

2)取证过程

(1)打开BitSureⅠ现场勘验取证系统，其主界面如图9.2所示。

(2)磁盘复制。BitSureⅠ现场勘验取证系统磁盘复制界面如图9.3所示。

(3)扇区提取。BitSureⅠ现场勘验取证系统扇区提取界面如图9.4所示。

图9.2BitSureⅠ现场勘验取证系统主界面图9.3BitSureⅠ现场勘验取证系统磁盘复制界面图9.4BitSureⅠ现场勘验取证系统扇区提取界面

(4)取证重现。BitSureⅠ现场勘验取证系统取证重现界面如图9.5所示。图9.5BitSureⅠ现场勘验取证系统取证重现界面

(5)证据验证。BitSureⅠ现场勘验取证系统证据验证界面如图9.6所示。图9.6BitSureⅠ现场勘验取证系统证据验证界面

(6)文件提取。BitSureⅠ现场勘验取证系统文件提取界面如图9.7所示。图9.7BitSureⅠ现场勘验取证系统文件提取界面

(7)文件验证。BitSureⅠ现场勘验取证系统文件验证界面如图9.8所示。图9.8BitSureⅠ现场勘验取证系统文件验证界面

(8)系统设置。

BitSureⅠ现场勘验取证系统设置界面如图9.9所示。①在系统设置页面，可以选择使用不同的串口。②点击“使用串口”下拉菜单，选择串口，然后点击【应用设置】按钮即修改成功。图9.9BitSureⅠ现场勘验取证系统设置界面

(9)系统日志。

BitSureⅠ现场勘验取证系统日志界面如图9.10所示。①在系统日志界面，记录了对整个系统的操作，包括对证据提取的成功与否、取证重现的成功与否、证据验证的结果、检查设备信息等过程。②在查看审计记录界面，记录了审计操作过程及结果，包括证据提取、文件提取、扇区提取、取证重现、证据验证及文件验证等。

图9.10BitSureⅠ现场勘验取证系统日志界面

(10)报表设置。

BitSureⅠ现场勘验取证系统报表设置界面如图9.11所示。①点击主界面上的“报表预览”选项，可以对取证报告进行打印、预览、输出、设置操作。②在打印设置界面，可以自己定义报告标题及选择输出信息。图9.11BitSureⅠ现场勘验取证系统报表设置界面

4.注意事项在用BitSureⅠ现场勘验取证系统时首先需要初始化审计钥和复制盘，选择主界面上的“初始化审计钥”选项，可清除审计钥中的信息。点击图9.2主界面上的“初始化复制盘”选项，即开始进行复制盘的初始化，将复制盘中的数据清除，如图9.12所示。图9.12BitSureⅠ现场勘验取证系统磁盘数据清除界面9.4FinalForensics的使用

FinalForensics是重庆爱思网安信息技术有限公司代理的一款取证分析软件。FinalForensics软件基于FinalData公司强大的数据恢复平台，是一款专业的计算机司法取证工具，各层次计算机取证人员均可使用，同时适用于计算机取证专家或是入门者。同时，FinalForensics还提供了电子取证分析所需的众多工具。

FinalForensics有四个主要功能，即易于使用且强大的数据恢复功能、快速准确的搜索功能、数据恢复分析功能和邮件分析功能。

FinalForensics软件有如下八大特征：

(1)具有能够高效并行分析多个物理磁盘的功能。

(2)可同时生成多个磁盘或逻辑驱动器的镜像。

(3)提供对Encase镜像文件的兼容功能。

(4)预先计算和保存被选择文件的哈希值，提供通过哈希函数快速查找定位所需文件的功能。

(5)在后台运行磁盘/驱动器扫描搜索的同时，可以并行执行各项分析操作。

(6)支持基于Unicode的多种语言分析操作。

(7)通过生成SHA-256/MD5哈希值，验证磁盘的完整性。

(8)自动生成详细的取证分析书面报告。

1.实验目的使用FinalForensics进行数据恢复。

2.实验环境基于WindowsXP或Windows2003等的操作系、FinalForensics软件。

3.实验内容

1)创建证据文件创建证据文件的目的是保持证据的完整性，用镜像文件来代替物理证据媒介，对镜像进行分析的功能。点击“添加证据”菜单，打开“证据管理器”窗口。可通过“证据管理器”窗口对磁盘进行设置，如图9.13所示。

图9.13FinalForensics创建证据文件窗口

2)比较