打击计算机犯罪新课题计算机取证技术

        目前，打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证(Computer Forensics)技术，它是计算机领域和法学领域的一门交叉科学。计算机取证被用来解决大量的计算机 犯罪和事故，包括网络入侵、盗用知识产权和E-mail欺骗等，它已成为所有公司和政府部门信息安全保证的基本工作。


Lee Garber在IEEE Security发表的文章中认为，计算机取证是分析硬盘驱动、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其它形式的储存介质以发现犯罪证据的过程。计算机取证资深专家Judd Robbins对此给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司则归结为:计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

因此，计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。

电子证据

计算机取证主要是围绕电子证据来展开工作的，其目的就是将储存在计算机及相关设备中反映犯罪者犯罪的信息成为有效的诉讼证据提供给法庭。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据在计算机屏幕上的表现形式是多样的，尤其是多媒体技术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。与传统证据一样，电子证据必须是:可信的、准确的、完整的、符合法律法规的，即可为法庭所接受的。但是，电子证据还具有与传统证据有别的其它特点:例如，高科技性，电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输;无形性，不是肉眼直接可见的，必须借助适当的工具;易破坏性，可能被篡改甚至删除而不留任何痕迹。因此，如何对电子物证收集、保护、分析和展示，成了司法和计算机科学领域新的研究课题。

电子证据的来源很多，主要有系统日志，IDS、防火墙、ftp、www和反病毒软件日志，系统的审计记录(Audit trails)，网络监控流量(Network monitor traffic)，E-mail，Windows操作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱动的交换(swap)分区、slack区和空闲区，软件设置，完成特定功能的脚本文件，Web浏览器数据缓冲，书签、历史记录或会话日志、实时聊天记录等等。

值得注意的是，聪明的入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉，犹如犯罪者销毁犯罪证据一样尽量删除或修改日志文件及其它有关记录。殊不知一般地删除文件操作，即使在清空了回收站后，要不是将硬盘低级格式化或将硬盘空间装满，仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)file(一般用户不曾意识到它的存在)，大概有20-200M的容量，记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外，在windows下还存在着file slack，记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集，作为潜在的电子证据。

计算机取证的原则和步骤

根据电子证据的特点，计算机取证的主要原则有以下几点:

1)尽早搜集证据，并保证其没有受到任何破坏;

2)必须保证“证据连续性(chain of custody)”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化;

3)整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所做的所有调查取证工作，都应该受到由其他方委派的专家的监督。

计算机取证过程和技术比较复杂，在打击计算机犯罪时，执法部门还没有形成统一标准的程序来进行计算机取证工作。根据我们的研究和工作经验，计算机取证步骤应有以下几点:

1、保护目标计算机系统

计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分子破坏证据提供机会。在这方面，计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。

2、电子证据的确定

现在存储介质容量越来越大，必须在海量的数据中区分哪些是电子证据，相对计算机取证来说哪些是垃圾数据。因此，根据系统的破坏程度，应确定哪些由犯罪者留下的活动记录作为主要的电子证据，确定这些记录存在哪里、是怎样存储的。

3、电子证据的收集

1)调查员要记录系统的硬件配置，把各硬件之间的连接情况记录在案，以便计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。

2)用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理，万一对收集来的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原始状态，作为分析数据的原始参考数据，使得分析的结果具有可信性。

3)用取证工具(如EnCase，详见取证工具的Encase例子)收集相关的电子证据，对系统的日期和时间进行记录归档，对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对UNIX系统可能还需要一些命令做辅助，收集有关信息，对操作情况要做记录归档。对关键的证据数据用光盘备份，有条件的可以直接将电子证据打印成文件证据。

根据我们目前的研究，在缺乏自主知识产权的计算机取证工具的前提下，收集电子证据上传到取证服务器统一保护和分析，采用基于代理(Agent)的C/S结构(见图一)。client端即目标系统端程序采用主动搜索和被动接受两种相结合的方式将电子证据上传给取证服务器。定义已知常见的电子证据来源如系统名称、时期时间、系统日志、应用软件日志、邮件数据、临时文件信息、Email数据等，利用程序的自动搜索功能，将可疑为电子证据的文件或数据罗列出来，由调查员确认发送给取证服务器。对数据量特别大的电子证据文件如网络防火墙和NIDS的日志，可由调查员先对其光盘备份进行原始数据保全，然后将可疑为入侵者IP的相关信息挖掘出来发送给取证服务器。由受害方提供的其它相关信息也可通过client端程序上传。

Server端的取证服务器采用LDAP目录形式组织上传的电子证据，由控制台对电子证据进行管理。各类电子证据上传时，将相关的文件证据存入取证服务器特定目录并将存放目录、文件类型(是系统日志，应用日志，还是邮件文件或是其它临时文件等)、来源(IP)等信息存入取证服务器的数据库中。
控制台主要用于电子证据加密上传的密钥分配，电子证据的审计与分析、产生报告并打印，结案后管理员对电子证据的处理等。

4、电子证据的保护

由于电子证据可能被不留痕迹的修改或破坏，应用适当的储存介质(如Mess storage或CD-ROM)进行原始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决，取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的电子证据采用安全措施进行保护，非相关人员不准操作存放电子证据的计算机。不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。

[1] [2]  下一页