《电子数据取证技术》课件-第11章

11.其他取证技术(区块链、云计算、智能系统)目录CONTENTS11.1区块链取证技术11.1.1 区块链介绍 11.1.2 区块链取证要点

11.2云取证技术11.2.1 云计算介绍 11.2.2 云计算取证要点 11.3智能系统取证技术11.3.1 智能系统取证介绍 11.3.2 智能系统取证要点 11.3.3 智能系统取证内容

11.1区块链取证技术11.1.1 区块链介绍区块链是一种分布式的记账系统，在基础的技术层面为用户提供一种公共账本，结合区块存储、签名和链式加密等技术来记录交易信息，以确保交易的完整性和不可抵赖性。区块链的核心思想首次出现于1991年，在一篇名为“怎样为电子文件添加时间戳”的论文中，作者论述了怎样使用链式签名账本的方法，确保文档的不可修改特性。2008年11月1日，中本聪发表了一篇名为“比特币：一种点对点的电子现金系统”的论文，提出了以区块链为核心的电子货币解决方案。在比特币之前有很多电子货币形式，但是都没有获得广泛的应用，通过采用区块链技术，比特币获得了压倒性的优势。此后，区块链技术和电子货币的发展紧密相连，莱特币、以太币、门罗币、瑞波币等新的币种和技术持续出现，至今已经有2000多种。由于区块链中密码学技术的广泛应用，这些电子货币也被称为加密货币。11.1.1 区块链介绍2017年可以说是加密货币之年，在这一年内比特币由1月1日的970美金上涨到12月17日的峰值20,089美金,涨幅有20倍之多。整个加密货币的市场规模则从2017年初的180亿美金上涨到2018年初的峰值8,300亿美金，涨幅更是达到惊人的46倍。加密货币的热潮同时激发了区块链及相关行业的快速发展，全球正跑步进入区块链经济时代。加密货币是区块链最早也是最有影响力的应用，同时也是在取证中涉及最多的，后续对区块链取证的描述更多围绕加密货币中的比特币展开。由于区块链和加密货币的内容太过繁多，本节仅涉及其中部分内容。11.1.1 区块链介绍1.区块链的核心概念按照维基百科给出的定义，区块链是“借由密码学串接并保护内容的串连交易记录，又称区块。每一个区块包含了前一个区块的加密散列、相应时间戳记以及交易数据，这样的设计使得区块内容具有难以窜改的特性。用区块链所串接的分布式账本能让两方有效纪录交易，且可永久查验此交易。”从这个定义来看，区块链是用来存储交易记录数据的一个分布式账本数据库，区块链中有三个最基本概念，就是交易、区块和链。交易是对账本的操作，会带来数据库状态的改变；交易保存在区块中，通过追加的方式写入账本数据库；区块以线性链表的方式进行保存，所以也称之为区块链，构成了数据库。区块链技术最早的应用是比特币项目，其基础就是中本聪所发表的论文，我们以比特币为例来对这些概念进行说明。需要注意的是，区块链相关的一些算法和数据结构也在不断演进，在其他区块链实现中，则会有更多的差异。11.1.1 区块链介绍在比特币白皮书的描述中，对相关联的交易记录存储采用了如下图的链式结构：图11-1比特币中的交易记录关系11.1.1 区块链介绍货币拥有者在和对方交易或者说是转账时，在区块链中会记录这个交易信息，记录的内容包括：接收者的公钥、交易货币的来源（上一笔交易）、交易时间、对以上信息计算的哈希以及拥有者对这个哈希所做的签名。所有交易信息的存储构成了账本，同时账本中的记录也是交易中的货币，一切都是以电子形式分布式保存。11.1.1 区块链介绍同时，在比特币白皮书方案中，每十分钟就会对期间发生的交易进行打包生成一个区块，区块之间通过链式结构进行保存形成区块链，如下图所示。在每一个区块中，分为区块头和数据两部分。区块头的内容包括：上一个区块（头）的哈希值、区块中数据的哈希值（默克尔根）、当前时间、全网指定的难度系数和一个随机数等。通过保存上一个区块的哈希，区块之间进行了前后关联。这一点对区块链具有重大意义，如果有人修改了一个区块，该区块的哈希就变了。为了让后面的区块还能连到它，必须同时修改后面所有的区块。通过哈希函数的特性，既保证了区块的唯一性，也保证了区块链中数据的完整性、不可修改性。所有区块的ID前后关联，则保证了区块链中的内容不能更改，一旦更改将导致整个区块链的断裂。11.1.1 区块链介绍2.挖矿、客户端、钱包和地址如前所述，比特币的所有交易记录都保存在区块链中。每十分钟左右就会有一个新的区块生成并加入区块链，这个新的区块中记录了期间进行的所有交易。区块的产出速度不是通过命令达成的，而是通过全网设置的难度系数决定的。每一个区块有一个ID，这个ID既不是随机数，也不是顺序产生的，而是根据区块头数据计算出来的两次SHA256哈希，并且这个哈希值需要满足一定的条件，例如当前对这个哈希的要求是前14位以上的数字必须为0。参与区块链运算的节点在收到任务后，需要组合区块头中的几部分数据，并且需要加入一个随机数，使得计算出来的区块头两次SHA256哈希值满足上面的要求。由于哈希运算的不可逆特性，此时仅能使用穷举的方法进行计算，一般来说需要10多亿次的尝试，所以想快也不可以，这个计算所需要的时间就被控制在10分钟左右。如果时间有较大的偏离，比10分钟更快或更慢，那么将通过定期调整难度系数的方式进行调节。首先计算出这个ID的节点将会获得一定的奖励，当前的奖励是12.5个比特币。这个也就是比特币所采用的基于工作量的共识算法，对于任何节点都是公平的。由于计算这个哈希的难度系数很高，收获也很大，所以这个过程被称为挖矿，所有参与挖矿的人被称为矿工。11.1.1 区块链介绍2.挖矿、客户端、钱包和地址随着加密货币的持续走高和迅速发展，更多的人参与到挖矿活动中，挖矿设备也是日新月异。刚开始挖矿就是利用计算机自带的CPU，已经能有很好的收获；在一段时间的发展之后，CPU开始升级到GPU，因为GPU在计算哈希的时候具有更高的性能，差不多能有CPU的几十倍；随后有人设计出采用FPGA芯片的专业矿机，比GPU挖矿再次提高100倍算力；而现在采用的大部分是ASIC矿机，其算力又是FPGA矿机的100倍以上[请注意，这里的算力倍数都是大致的倍数。不同加密货币的算法不同，其倍数会有很大差异。]。按照全网的算力来计算，现在大概有三百多万台矿机参与挖矿，购买一台矿机以个人能力来进行挖矿其概率已经是不到三百万分之一，比中彩票的概率都要低。所以，现在已经很少有个人参与挖矿，大家都会选择加入一个矿池，很多人一起挖矿共享收益，这样挖矿的收益就会稳定的多。11.1.1 区块链介绍2.挖矿、客户端、钱包和地址比特币的这些特性，是通过一个客户端程序软件实现的，延续中本聪官方概念的客户端程序被称为核心版本，这个版本的使用人数最多。由于比特币是开源项目，任何个人或组织都可以根据需要发布一个新的版本。经过多年的发展，出现的版本还包括BitcoinClassic、BitcoinXT等等，它们可能会使用不同的共识算法、不同的时间间隔和区块大小等，造成区块链的分叉。以比特币核心客户端为例，其功能包括比特币核心节点、管理钱包和参与交易。在运行客户端程序之后，其中的核心节点进程会参与到比特币网络中，比特币网络终端的节点是去中心化或者是分布式的，处于一个对等的网络中，没有中心服务器。加入到网络中的节点首先进行的操作是同步区块链的账本数据，由于包含了之前的所有交易信息，这个同步的数据量已经到200多G大小。在进行完整的数据同步之后，就可以启用钱包、交易、数据交换等其他功能了。11.1.1 区块链介绍2.挖矿、客户端、钱包和地址客户端中的钱包功能就是用来管理用户的比特币地址、发起交易、查看交易记录等。在使用比特币钱包的时候，经常会用到“地址”这一概念。比特币地址就像一个物理地址或者电子邮件地址，是交易或转移比特币时唯一需要提供的信息，通过钱包转账就是将比特币从一个地址转移到另外一个地址。11.1.1 区块链介绍2.挖矿、客户端、钱包和地址那么地址是如何和个人绑定的？比特币地址的产生和用户的私钥有关，大致过程可以参见文章“比特币地址是如何产生的”，简单描述就是用户通过用户私钥可以产生用户公钥，然后通过公钥可以生成比特币地址。这个生成过程是单向的，也就是无法从地址生成公钥，也无法通过公钥找到私钥，所以真正需要保护的是用户的私钥，而比特币钱包的功能就是保管私钥。由于核心钱包是和核心节点在一起使用的，因此在转账交易时可以进行完整性的验证，但是代价也不小，需要下载完整的账本数据，所以使用起来并不是很方便。时至今日，已经存在各种各样的比特币钱包，包括桌面软件、硬件钱包、手机钱包和网页钱包等。要注意的是每一种钱包的功能可能是经过裁剪的，所以和核心钱包会有所不同。11.1.1 区块链介绍3.区块链的技术特点和应用使用以上机制构建的区块链应用，具有一些与众不同的特点，包括：不可篡改性、分布式存储、匿名性、价值传递、网络共识、可编程合约等等。在比特币的交易中，只需要提供地址就可以接收对方的转账，而地址是对公钥进行哈希运算得到的一个杂乱的字符串，用户可以生成任意多的地址。用户可以在每一次转账中使用不同的地址，可以将资产分散保存在不同的地址中。比特币、莱特币、以太坊等系统的账本数据都是公开的，但是我们却不能知道背后的操作者是谁。这就实现了用户身份的匿名性，在很大程度上可以满足人们对隐私安全的需求。11.1.1 区块链介绍3.区块链的技术特点和应用我们之所以认同货币，是因为货币具有一定的价值，可以交换到我们需要的商品。货币的这种价值是由政府信用来背书的，获得了人们的认可和信任。通过加密机制、共识价值的建立、认可和信任，在很长的一段时间内，加密货币的价值传递功能已经得到了确认，其市值虽然有交大的波动，但是稳定在一个区间内。这种信任关系的建立，是通过区块链系统自身创建的，在这样一个无需第三方参与的信任环境中，可以大大简化各种资产交易的过程，降低交易成本。同时，区块链系统的分布特性，使得其可以实现无边界的价值传递。11.1.1 区块链介绍3.区块链的技术特点和应用可编程合约，也就是智能合约的意思。在上面的比特币应用中，如何确定一个交易是有效的交易？交易转出方具有足够的资产，而交易转入方可以得到资产？这些都是通过解锁脚本和锁定脚本来实现的。这种可编程合约的思想在以太坊中得到了进一步发扬光大，不但支持加密数字货币，还可以支持更加复杂的金融和商业合约编程。根据区块链参与者的不同，区块链可以分为公有链、私有链和联盟链。公有链就是任何人都可以参与使用和维护，例如比特币构成的区块链就是完全公开的，使用中可以下载完整的区块链，并且可以参与挖矿。私有链由集中管理者进行管理，只有少数人可以使用，信息不公开。联盟链则介于两者之间，由若干组织一起合作维护，该区块链的使用必须是带有权限的限制访问，相关信息会得到保护，如供应链机构或银行联盟。11.1.1 区块链介绍3.区块链的技术特点和应用有人将区块链比作第三次技术巨变的引擎，将其同互联网的建立和Web技术的发明相提并论。在在工信部主编的《2018年中国区块链产业白皮书》中提到：“区块链作为一项颠覆性技术，正在引领全球新一轮技术变革和产业变革”。同时，在白皮书列举的应用中已经包括：供应链、征信、产品溯源、版权交易、数字身份、电子证据、能源、医疗、物联网、电子政务等众多领域。11.1.2 区块链取证要点区块链在现实中有很多用途，目前最大的应用是在加密货币领域，案件中出现的大多是针对加密货币的取证，由于篇幅的原因，这里仅介绍加密货币的取证，在一些基本的原理上适用于其它区块链的取证。加密货币可以用来汇款、兑取外汇、定票、购买网络上的商品等，有些国家和地区还设置了专门为加密货币使用的ATM存取款机。由于加密货币的匿名性，在犯罪活动中的用途更加方便，包括在线赌博、暗网黑市、敲诈勒索、隐匿资产、传销吸金、洗钱等各种犯罪活动。同时，由于加密货币的价值不断走高，也有很多关于挖矿、攻击、盗取、欺诈等方面的案例。根据案件类型和显示调查的场景，对加密货币的取证分析可能涉及到钱包的取证以及对网络中交易记录的取证等几个层面。11.1.2 区块链取证要点1.对钱包的取证分析对比特币等加密货币进行取证的一个重要方面就是对客户端钱包的取证，在各类涉及到加密货币的案件中都会出现。根据上文的定义，钱包主要是用来管理私钥、地址以及交易相关的内容，钱包可能是以多种方式存在，包括硬件钱包、桌面钱包、手机钱包和Web钱包等，对不同形态的钱包取证应该采取和其标准应用相适应的方式。以比特币桌面钱包应用为例。例如对桌面应用钱包的取证应采用和桌面应用取证标准相应的方式。在桌面钱包中，最经典的是来自比特币官方的钱包客户端，其原名成为bitcoinqt,现在的名称是比特币核心钱包（bitcoincore）。这个钱包是最完整的、最安全的钱包，也是最早的比特币客户端。主流的钱包都支持iOS/安卓，各在线交易平台也都支持手机、电脑版本，对于这些版本的钱包进行取证也非常重要。11.1.2 区块链取证要点1.对钱包的取证分析图11-3有多种不同形式的钱包应用可供选择11.1.2 区块链取证要点1.对钱包的取证分析在实际取证工作中，主要应提取：1）电脑中虚拟货币钱包应用程序及相关数据，例如BitcoinCore的“wallet.dat”2）电脑浏览器中交易平台的浏览记录3）电脑中存储的秘钥文件、助记词、提币地址等比特币地址：34位，以1开头以太坊地址：42位的，以0x开头莱特币：34位，L开头比特币现金：以'q'或'bitcoincash：q'开头后面接base32编码的字符串4）手机中钱包APP的用户数据等。11.1.2 区块链取证要点2.交易的取证分析除了对使用者的电脑进行取证之外，也可以通过对交易的分析进行取证。由于比特币设计是基于p2p的网络格式的，所有交易都存储在比特币网络中，使得证据收集受到限制。但是，比特币是伪匿名或非匿名的，它不会凭空消失，相反每笔交易都是公共知识且对使用比特币网络的每个人都是可见的。比特币的交易是按照时间序组织的公开记录。有一些可以对虚拟货币交易进行溯源追踪的网站，非常好用。可以通过网络取证固定交易详情。在这些网站上，输入提币地址等交易特征，可以对交易进行溯源，可以追踪到涉及交易的比特币从挖矿产生到最后的全部过程。提取数据后，使用分析软件可以快速分析。11.1.2 区块链取证要点3.交易所的落地取证通过平台注册信息、交易IP等，对交易双方的真实身份信息进行落地查证。目前，国内用户使用最多的火币网、OKCoin、可盈可乐交易平台都提供对公的身份落地服务，提供警官证、调证手续，可以调取注册信息、在平台上的交易记录。平台调取的信息包括：姓名、身份证号、手机号、支付宝账号、交易记录等。11.1.2 区块链取证要点4.其他取证针对不同的应用，还可以结合其他取证方式进行取证分析。例如，在进行比特币交易时，可以通过嗅探技术监听交易中继，从而记录IP地址信息；可以通过区块链浏览器的痕迹信息发现或判断用户比特币地址，或通过Cookies发现蛛丝马迹；对于使用比特币支付的电子商务交易中，还可以利用电子商务平台的跟踪用户信息的历史数据发现线索。11.2云取证技术11.2 云取证技术云取证是指云计算环境下的数据取证，随着亚马逊弹性计算云以及国内阿里云等服务商业务的迅速推广，案件中碰到云取证的情况也越来越多。一方面是因为很多公司的业务已经迅速部署到云计算的应用环境中，另外一方面云环境的匿名性、便捷性、分布式等特点也为罪犯提供了便利。例如在我们调查的一个P2P金融案件中，就出现了云主机、云数据库、云存储、微信应用等多种互联网服务形态，而且需要对多个厂商的多种服务数据进行取证。11.2.1 云计算介绍如果我们登录阿里云网站，可以发现阿里云的服务已包括弹性计算、数据库、存储与CDN、网络与监控、应用服务等近10个大类。如果继续对各大类进行展开，算上所有的小类已可达上百种，而国内外的云服务商并非阿里一家。从云取证和应用关联的技术层面来看，云服务已经涵盖计算机的各个方面，这些要素可能在各个层面发生关联。11.2.1 云计算介绍1.云计算定义1966年，在计算机诞生初期，D.F.Parkhill(Thechallengeofthecomputerutility)就提出“计算资源应为共享资源”这一概念。在过去，互联网公司需要耗费人力资源成立单独的部门或数据中心来支撑自己的特定的业务或产品，并需要采购大量硬件、软件设备。然而这些耗费高昂成本建立的数据计算中心，在高峰时段无法满足所有需求，在日常运营时期又浪费资源、开销巨大，所以一些大型互联网企业将自己一部分计算资源计费出租给其他企业，使得集中的计算资源在分配给不同企业时变得弹性且按需使用。11.2.1 云计算介绍1.云计算定义许多信息科技类企业对计算资源的性能于成本考量平衡之时，更倾向于托管自己的数据中心，于是云计算服务诞生。另外随着一些非计算机行业（如教育行业、政府机构、制造业、工业等）对数据计算及处理的需求增长，使得云计算服务的市场迅速扩张。NIST将云计算定义为一种模型，可以随时、随地、随需通过网络分配集中计算资源池中的资源（如网络、服务器、存储、应用及服务），这些资源可以高效率的供给、释放，并最小化服务提取方的管理成本。云计算有五个特点、三种服务模型、四种部署模式。11.2.1 云计算介绍2.云计算特点1）按需自助服务：消费者可以自助管理自己的计算资源（如使用时长、网络带宽、存储等方面），自助管理过程不需要服务提供方参与。2）网络访问：不同平台（移动端、手提电脑、工作站）均可通过网络访问服务。3）资源共享池：服务提供方将计算资源集中至资源池中，按需求将物理、虚拟资源动态分配给不同消费者。消费者通常无法得知也无法精确指定其所使用的资源所属位置，但消费者可以指定一个大致地理位置范围（如国家、省、数据中心）。4）即时弹性资源：资源通常可以根据需求自动弹性分配、回收。对于消费者来说，这些资源可以随时、无限获取。5）计量付费：云计算系统通过计量系统自动管理、量化计算资源（存储、处理器、带宽、用户账户数）。所有资源的使用都是可计量，可控制，且有凭据，以达到计费模式在消费者与服务提供方之间完全透明。11.2.1 云计算介绍3.云计算分类NIST将云定义为三种服务模型，基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）：IaaS通常提供对网络、计算机（物理资源、虚拟资源）以及数据存储空间的访问。IaaS对计算资源提供最高等级的灵活性控制管理。PaaS剔除了对底层基础设施的管理需要，使用者跳过了对网络、系统、存储容量、软件维护、资源配置的管理，直接对应用程序的部署和配置进行管理。SaaS类似于一套完整的产品，由服务提供方负责运行和管理，在云基础设施上运行的应用程序。消费者跳过对云基础设施的管理（网络、服务器、操作系统、存储），只需根据需求、场景选择应用即可。电子邮件服务是SaaS一个很典型的例子，消费者不需要维护电子邮件服务所运行的服务器，可直接使用电子邮件服务对邮件进行管理。11.2.1 云计算介绍4.云计算部署模式云计算的部署模式分为四种：私有云、社区云、公有云、混合云。按服务使用方的类型和需求进行分类。私有云的服务使用方一般为某一个人或企业，可以自己管理或托管给第三方；社区云一般为有相似特点的社区服务，费用需要使用方共同分担；公有云为大众服务，可以被企业、学校、政府机构等使用，混合云由两种及以上的云部署类型组成，可以互相发挥各自的优势。11.2.1 云计算介绍5.云计算发展自传统电子设备（个人电脑、智能手机）诞生以来，云计算服务是当今信息科技时代最杰出的产物之一。云计算将个人电脑时代转变为个人云时代，它改变了我们对计算处理能力、存储的传统认知，同时改变了信息技术服务的运营模式。亚马逊的AWS平台在2002年7月启动，在启动初期，AWS仅能提供有限的工具和服务。在2003年末，AWS的BenjaminBlack和ChrisPinkham提出了标准化的云计算自助服务框架，并表示通过出售虚拟服务器可以创收。AWS在2006年正式发布了亚马逊S3云存储、SQS和EC2三种服务，为开发者、网站、客户端、企业等提供云计算服务，首次通过云计算服务为使用者解决了存储有限、数据安全、数据有效性和成本等问题。2013年AWS启动了云计算培训项目以培养专业的云计算工程师。因为AWS的成功，它在2017年的全年净收入为30亿美元。在2016年AWS与电子货币组织合作，为区块链技术提供环境。11.2.1 云计算介绍5.云计算发展与此同时，阿里巴巴集团也成立了旗下云计算品牌“阿里云”。阿里云从2009年开始起步，基本上保持每年增长超过100%的发展速度，当前提供的云服务项目已经超过100项内容。在国内的数据中心之外，阿里云同时在新加坡、迪拜、纽约等地开设国际数据中心，致力于以低成本、高效率的模式帮助使用者解决复杂的计算问题、处理海量问题，并通过云安全解决方案和大数据分析为客户提供安全产品和服务。云计算在给服务双方带来收益的同时，也滋生了不少以云计算为工具、或以云计算平台为攻击目标的犯罪分子，针对云计算平台的取证需求也是越来越多，同时由于云计算平台的复杂性，带来了与传统数字取证不同的实践和挑战。11.2.2 云计算取证要点云计算环境中的数据存储方式和传统的数据存储不同，不是保存于单台计算机中，而是可能存储于各种不同的、大量的异构服务节点中。在2011年，Ruan等人第一次定义了“云取证”这个词，认为云取证是云计算和电子数据取证的交叉学科，其中云取证的定义可以套用NIST对电子取证的定义：在保证电子物证数据链和数据完整性的情况下，研究电子数据的识别、保全、分析、展示等过程的学科。并将云取证定义为网络取证的一个分支，认为云取证应当遵循网络取证的相关流程和技术。11.2.2 云计算取证要点云取证是一种飞速发展的、涉及多维度的技术。云取证主要包含三个层面：一是技术层面，其中包含收集数据的流程、云取证相关工具的研发、在线取证、对获取镜像的仿真、取证前期准备、分析等多个方面；二是管理层面，管理层面主要涉及多个责任方，云计算服务提供方、云计算使用者、云安全管理协会、执法部门、第三方鉴定机构/安全审计机构等，云安全管理协会主要负责指定安全行业规定，云计算服务提供方负责部署安全管理设施、完善使用者登记、告知使用者一些服务遵守条款等等，而云计算服务使用者则负责遵守云服务使用手册，合规合法使用云服务等，执法部门负责调查与云端犯罪相关的案件、证据收集等，第三方鉴定机构/安全审计机构负责审计、鉴定等相关业务；三是法律层面，法律层面需要解决的问题有很多，例如多用户共享同一虚拟主机如何判定使用者、参与云计算行业相关法律法规的制定等、如何保证云取证合法合规、收集的证据如何确保完整性和原始性等。11.2.2 云计算取证要点1.云取证技术根据云计算的定义，可以分为IaaS、PaaS、SaaS三种不同的服务形式。对这三种服务形式，都可以在三个层面进行证据的获取，包括：应用层面，以应用账号进行登录，获取应用/服务内的数据；服务层面，以云服务账号进行登录，对云用户租用的各种资源和使用情况进行固定；管理层面，以云服务提供商的账号进行登录，对提供的资源、数据、日志等进行固定11.2.2 云计算取证要点2.应用层面的证据固定IaaS相当于租用的主机/服务器，简而言之就是云主机。亚马逊最早推出的弹性计算云即属于这种服务，国内的阿里云、腾讯云、UCloud等很多服务商都提供这种服务，一些公司自己搭建的私有云也属于这种类型。对云主机的应用取证就是获取主机内的数据。其特殊性在于云主机的计算和存储资源等都是虚拟化技术来实现的，虚拟化的主机没有实体的机器可以扣押，所以只能在获取主机用户账号后，以在线取证的方式完成数据固定工作。云主机的在线取取证和一般远程服务器取证基本相同，可以获取的数据包括操作系统和应用的动态易失数据、内存、应用数据文件、分区甚至整个存储的镜像。11.2.2 云计算取证要点2.应用层面的证据固定PaaS的应用取证相对复杂。从PaaS的原理来看，PaaS服务商提供的是资源平台，例如Python、PHP、MySQL等服务的等运行环境。用户租用PaaS平台完成程序开发、搭建和数据配置工作后，运行用户定制的应用，将数据保存在应用平台中。当前的PaaS平台尝使用Docker技术，从程序层面看是无状态的，而数据可以持久化存储。PaaS本身是以一种SaaS服务方式提供的，所以PaaS是一种定制的服务，对于每一种PaaS并没有统一的证据固定的方式。在对PaaS数据进行取证时，必须按照PaaS提供的服务方式登录，以完成PaaS程序和数据的证据固定工作。国内典型的PaaS平台有新浪云应用平台（SinaAppEngine即SAE），在创建新浪云应用之后，可以使用设置的用户名和安全密码对相关应用的代码进行证据固定（参见下图），同时也需要对应用相关的数据服务进行单独固定。11.2.2 云计算取证要点2.应用层面的证据固定11.2.2 云计算取证要点2.应用层面的证据固定SaaS的类型和应用更加广泛，任何基于互联网开发的、在互联网上提供服务的应用形式都可以称为SaaS，所以之前才有云服务商提供的IaaS或PaaS本身也是一种SaaS的说法。针对SaaS应用，需要根据SaaS的功能和使用方法进行证据固定，所以说SaaS的证据固定并没有一种确定的方法。互联网上最常用的SaaS服务就是Web服务，具体的Web服务又可以分成论坛、博客、微博、电商、邮件、支付等各种形式。以腾讯企业邮箱应用为例，需要使用企业邮箱的账号登录应用，固定邮箱内各个文件夹下的邮件数据。类似这样的应用可以说每天会出现很多新的应用，针对SaaS应用必须按照类别，设定灵活的框架定制完成11.2.2 云计算取证要点3.服务层面的证据固定就是服务消费者的角度进行证据固定，使用嫌疑人的云服务账号登录，完成相关的证据固定。由于竞争和云计算的高速发展，BAT等几家比较大的服务商提供的服务类型都已在几十种以上，在管理和细节上各个厂商的服务会有所不同，但是从取证的角度来看主要关注账号、资源、配置、支付、使用、工单等各种信息。以阿里云服务为例，其控制台的管理界面大致如下：11.2.2 云计算取证要点3.服务层面的证据固定从服务层面来看，IaaS、PaaS和SaaS可以提取的数据可能会有所不同。针对IaaS类的主机服务，可以获取如下数据：实例信息，运行历史信息网络资源，配置信息，历史信息存储/块设备镜像存储/磁盘/数据快照，如果是私有格式，需要提供解析方法存储磁盘/数据历史备份针对PaaS类的服务，可以获取如下数据实例信息、历史运行信息程序、数据、配置和日志程序、数据历史备份针对SaaS类的服务，则需要获取的数据如下：服务类型，服务配置和历史变动当前服务数据服务历史数据备份11.2.2 云计算取证要点4.管理层面的证据固定由于云计算应用的发展，数据和应用在不断向云平台集中，案件中和云服务商进行交流和合作的场景已相当普遍。BAT等几家公有云厂商都建立了证据调取和协助的机制，在碰到私有云的情况下，也可以和云服务的管理者进行沟通，从管理的层面获得更多的证据信息。在确定云服务账号的情况下，通过管理端的界面都可以获得该账号的访问日志信息，包括主机访问日志、应用访问日志和账号访问日志等。在这些用户操作的日志信息之外，系统也会对数据进行主动的备份和安全防护，这样就会生成定期快的照和历史备份数据，包括主机镜像/快照/备份、应用数据快照/备份以及数据的快照/备份等。这些数据都是海量级别，不会保存很长的时间，在案件的侦办过程中应该及时和云服务商沟通，主动生成并获取这部分数据。管理层面对服务者和数据来说就是上帝视角，在定制和可能的情况下，可以快速获得完整的证据数据，达到重构云计算操作和历史事件的目的。云取证在应用复杂性、数据的海量和分布性、证据的隐蔽性和时效性等各个层面都要超过传统的应用形式，在后续的相当长的时间内会成为我们实战的难点和挑战。11.3智能系统取证技术11.3.1 智能系统取证介绍智能系统取证，是指通过综合使用计算机技术、物联网技术以及其他各种取证技术，按照符合法律法规规定的方式，依据设定的取证规则、取证策略，对涉及案件的智能系统客体进行数据的保全与提取，然后进行智能分析推理，对犯罪行为作出判断，并以此作为法定证据的过程。11.3.2智能系统取证要点对于智能系统来说，传统的离线取证方法在大规模分布式的存储环境中已然失效，一个完整的文件被分割成若干个数据块，并存储在不同的节点上，其硬件平台也由传统的硬盘提取转换到IntelEdison开发板、ARMmbed开发板、Arduino开发板等硬件平台的提取，更加技术化。而这些开发板大多置于车辆、无人机、以及智能家居中，智能手表中也有这些开发板的身影。其次，智能系统的操作系统平台已不再是我们熟知的Windows、Android等系统，而是mbed