計(jì)算機(jī)取證技術(shù)研究

尉永青　劉培德

山東警察學(xué)院　山東經(jīng)濟(jì)學(xué)院

摘要：隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)越來越多的出現(xiàn)在犯罪活動(dòng)當(dāng)中，計(jì)算機(jī)取證正逐漸成為人們研究與關(guān)注的焦點(diǎn)。本文首先介紹了計(jì)算機(jī)取證的概念、特點(diǎn)、取證的原則和取證的步驟，然后探討了計(jì)算機(jī)取證的相關(guān)技術(shù)和軟件。

關(guān)鍵詞：計(jì)算機(jī)取證;電子證據(jù)

中圖分類號(hào)：TP39

Research on Computer Forensics

WEI Yongqing　LIU Peide

Shandong Police Institute　Shandong economic Institute

Abstract：With the development of information technology and network technology, more and more criminal activities adopt computer technology. People are paying more attention to computer forensics in their research. This paper give a brief introduce to computer forensics from the angel of concept, procedure, technology, function, and so on.

Keywords：Computer Forensics; Electronic evidence

　　隨著社會(huì)信息化、網(wǎng)絡(luò)化大潮的推進(jìn)，計(jì)算機(jī)越來越多地參與到人們的工作與生活中。與此同時(shí)，新的漏洞與攻擊方式不斷出現(xiàn)，計(jì)算機(jī)越來越多的出現(xiàn)在犯罪活動(dòng)當(dāng)中，與計(jì)算機(jī)相關(guān)的法庭案例（如電子商務(wù)糾紛，計(jì)算機(jī)犯罪等）也不斷出現(xiàn)。存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備（包括網(wǎng)絡(luò)介質(zhì)）中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué)：計(jì)算機(jī)取證（Computer Forensics）正逐漸成為人們研究與關(guān)注的焦點(diǎn)。

1.計(jì)算機(jī)取證及取證步驟

1.1計(jì)算機(jī)取證的概念、發(fā)展及特點(diǎn)

　　作為計(jì)算機(jī)取證的定義有比較多的說法，其中較為廣泛的定義是：計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f服力的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)(Electronic Evidence)的確定、收集、保護(hù)、分析、歸檔以及法庭出示的過程。

　　計(jì)算機(jī)取證是伴隨著計(jì)算機(jī)犯罪事件的出現(xiàn)而發(fā)展起來的，在我國計(jì)算機(jī)證據(jù)出現(xiàn)在法庭上只是近10年左右的事情，在信息技術(shù)較發(fā)達(dá)的美國已有了30年左右的歷史。最初的電子證據(jù)是從計(jì)算機(jī)中獲得的正式輸出，法庭不認(rèn)為它與普通的傳統(tǒng)物證有什么不同。但隨著計(jì)算機(jī)技術(shù)的發(fā)展，以及隨著與計(jì)算機(jī)相關(guān)的法庭案例的復(fù)雜性的增加，電子證據(jù)與傳統(tǒng)證據(jù)之間的類似性逐漸減弱。于是90年代中后期，對(duì)計(jì)算機(jī)取證的技術(shù)研究、專門的工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)陸續(xù)出現(xiàn)并發(fā)展起來。從近幾年的計(jì)算機(jī)安全技術(shù)論壇（FIRST年會(huì)）上看，計(jì)算機(jī)取證分析日益成為計(jì)算機(jī)網(wǎng)絡(luò)的重點(diǎn)課題。可以預(yù)見，計(jì)算機(jī)取證將是未來幾年信息安全領(lǐng)域的研究熱點(diǎn)。

　　計(jì)算機(jī)取證針對(duì)的是電子證據(jù)，電子證據(jù)的出現(xiàn)，是對(duì)傳統(tǒng)證據(jù)規(guī)則的一次挑戰(zhàn)。電子證據(jù)亦即計(jì)算機(jī)證據(jù)，是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄物。電子證據(jù)的表現(xiàn)形式是多樣的，幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。作為一種證據(jù)，電子證據(jù)與傳統(tǒng)證據(jù)一樣，必須是：可信的、準(zhǔn)確的、完整的、使法官信服的、符合法律法規(guī)的，即可為法庭所接受的。

　　然而作為一種新出現(xiàn)的證據(jù)形式，它的特殊性決定了電子證據(jù)除了具有傳統(tǒng)證據(jù)的特點(diǎn)之外，還具有與傳統(tǒng)證據(jù)有別的一些特點(diǎn)：

（1）無形性：計(jì)算機(jī)數(shù)據(jù)不是肉眼直接可見的。

（2）脆弱性：磁性介質(zhì)保存的內(nèi)容很容易被修改，并且修改不易留下痕跡。

（3）高科技性：證據(jù)的產(chǎn)生、傳輸、保存都要借助高科技含量的技術(shù)與設(shè)備。

（4）多態(tài)性：是指計(jì)算機(jī)證據(jù)的表現(xiàn)形式是多種多樣的。

（5）人機(jī)交互性：計(jì)算機(jī)證據(jù)的形成，在不同的環(huán)節(jié)上有不同的計(jì)算機(jī)操作人員的參與，它們?cè)诓煌潭壬隙伎赡苡绊懹?jì)算機(jī)系統(tǒng)的運(yùn)轉(zhuǎn)。正是由于電子證據(jù)的這些特點(diǎn)，使得計(jì)算機(jī)取證變得復(fù)雜起來，有關(guān)計(jì)算機(jī)取證的研究得到了廣泛的關(guān)注，并成為司法和計(jì)算機(jī)科學(xué)領(lǐng)域的一項(xiàng)研究課題。

1.2計(jì)算機(jī)取證的原則和步驟

　　計(jì)算機(jī)取證與傳統(tǒng)的取證有所區(qū)別，在取證過程中應(yīng)遵循的主要原則有以下幾點(diǎn)：

(1)盡早搜集證據(jù)，并保證其沒有受到任何破壞；

(2)必須保證“證據(jù)連續(xù)性”（有時(shí)也被稱為“chain of custody”），即在證據(jù)被正式提交給法庭時(shí)，必須能說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當(dāng)然最好是沒有任何變化；

(3)整個(gè)檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派的專家所作的所有調(diào)查取證工作，都應(yīng)該受到由其它方委派的專家的監(jiān)督。

　　計(jì)算機(jī)取證過程和技術(shù)比較復(fù)雜，在打擊計(jì)算機(jī)犯罪時(shí)，執(zhí)法部門還沒有形成統(tǒng)一標(biāo)準(zhǔn)的程序來進(jìn)行計(jì)算機(jī)取證工作。一般的，在保證以上幾項(xiàng)基本原則的情況下，計(jì)算機(jī)取證工作按照下面步驟進(jìn)行：

（1）保護(hù)現(xiàn)場(chǎng)和現(xiàn)場(chǎng)勘查

　　現(xiàn)場(chǎng)勘查是獲取證據(jù)的第一步，主要是物理證據(jù)的獲取。這項(xiàng)工作為后面的環(huán)節(jié)打下基礎(chǔ)，包括封存目標(biāo)計(jì)算機(jī)系統(tǒng)并避免發(fā)生任何的數(shù)據(jù)破壞或病毒感染，繪制計(jì)算機(jī)犯罪現(xiàn)場(chǎng)圖、網(wǎng)絡(luò)拓?fù)鋱D等，在移動(dòng)或拆卸任何設(shè)備之前都要拍照存檔，為今后模擬和還原犯罪現(xiàn)場(chǎng)提供直接依據(jù)。

（2）獲取證據(jù)

　　證據(jù)的獲取從本質(zhì)上說就是通過使用具有磁盤鏡像、數(shù)據(jù)恢復(fù)、解密、網(wǎng)絡(luò)數(shù)據(jù)捕獲等功能的取證工具從眾多的未知和不確定性中找到確定性的東西。

（3）鑒定證據(jù)

　　計(jì)算機(jī)證據(jù)的鑒定主要是解決證據(jù)的完整性驗(yàn)證和確定其是否符合可采用標(biāo)準(zhǔn)。計(jì)算機(jī)取證工作的難點(diǎn)之一是證明取證人員所搜集到的證據(jù)沒有被修改過。而計(jì)算機(jī)獲取的證據(jù)又恰恰具有易改變和易損毀的特點(diǎn)。所以，取證過程中應(yīng)注重采取保護(hù)證據(jù)的措施。

（4）分析證據(jù)

　　這是計(jì)算機(jī)取證的核心和關(guān)鍵。通過將收集的程序、數(shù)據(jù)和備份與當(dāng)前運(yùn)行的程序數(shù)據(jù)進(jìn)行對(duì)比，從中發(fā)現(xiàn)篡改痕跡。可通過該計(jì)算機(jī)的所有者或電子簽名、密碼、回郵信箱、上網(wǎng)IP等計(jì)算機(jī)特有信息識(shí)別體，結(jié)合全案其他證據(jù)進(jìn)行綜合審查。注意該計(jì)算機(jī)證據(jù)要同其他證據(jù)相互印證、相互聯(lián)系起來綜合分析。

（5）進(jìn)行追蹤

　　上面提到的計(jì)算機(jī)取證步驟是靜態(tài)的，即事件發(fā)生后對(duì)目標(biāo)系統(tǒng)的靜態(tài)分析。隨著計(jì)算機(jī)犯罪技術(shù)手段的升級(jí)，這種靜態(tài)的分析已經(jīng)無法滿足要求。可以通過將計(jì)算機(jī)取證與入侵檢測(cè)等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)技術(shù)相結(jié)合，進(jìn)行動(dòng)態(tài)取證。對(duì)于在取證期間犯罪還在不斷進(jìn)行的計(jì)算機(jī)系統(tǒng)，采用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)，還可以通過采用相關(guān)的設(shè)備或設(shè)置陷阱跟蹤捕捉犯罪嫌疑人。

（6）提交結(jié)果

　　打印對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析和追蹤結(jié)果，然后給出分析結(jié)論，并給出專家證明，以證據(jù)的形式按照合法的程序提交給司法機(jī)關(guān)。

　　這里只是計(jì)算機(jī)取證過程中需要遵循的主要原則與一般步驟，在實(shí)際中，還應(yīng)該按照具體問題，進(jìn)行綜合考慮，保證取證過程的合理性與證據(jù)的完整性。

2.計(jì)算機(jī)取證相關(guān)技術(shù)

　　數(shù)字證據(jù)主要來源于兩個(gè)方面，一個(gè)是系統(tǒng)方面的，另一個(gè)是網(wǎng)絡(luò)方面的。系統(tǒng)方面的證據(jù)包括：系統(tǒng)日志文件、備份介質(zhì)、入侵者殘留物、交換區(qū)文件、臨時(shí)文件、硬盤未分配的空間、系統(tǒng)緩沖區(qū)、打印機(jī)及其它設(shè)備的內(nèi)存等。網(wǎng)絡(luò)方面的證據(jù)有：防火墻日志、入侵檢測(cè)系統(tǒng)日志、其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。針對(duì)這些證據(jù)來源，計(jì)算機(jī)取證技術(shù)可分為：單機(jī)取證技術(shù)、網(wǎng)絡(luò)取證技術(shù)和相關(guān)設(shè)備取證技術(shù)。

2.1基于單機(jī)的計(jì)算機(jī)取證技術(shù)

　　單機(jī)取證技術(shù)是針對(duì)一臺(tái)可能含有證據(jù)的非在線計(jì)算機(jī)進(jìn)行證據(jù)獲取的技術(shù)，包括存儲(chǔ)設(shè)備的數(shù)據(jù)恢復(fù)技術(shù)，加密解密技術(shù)，磁盤映像拷貝技術(shù)和信息搜索與過濾技術(shù)等等。

（1）數(shù)據(jù)恢復(fù)技術(shù)

　　數(shù)據(jù)恢復(fù)技術(shù)主要用于把犯罪嫌疑人刪除或者通過格式化磁盤擦除的數(shù)字證據(jù)恢復(fù)出來。由于磁盤的格式化只不過是對(duì)用于訪問文件系統(tǒng)的各種表進(jìn)行了重新構(gòu)造，因此，如果格式化之前的硬盤上有數(shù)據(jù)存在，則格式化操作后這些數(shù)據(jù)仍然存放在磁盤上；刪除文件的操作也不能真正刪除文件，只不過把構(gòu)成這些文件的數(shù)據(jù)簇放回到系統(tǒng)中，對(duì)于通常的讀寫操作而言，這些簇不可見。數(shù)據(jù)恢復(fù)技術(shù)正是用來恢復(fù)這些通常不可見的數(shù)據(jù)。

（2）加密解密技術(shù)和口令獲取

　　取證在很多情況下都面臨如何將加密的數(shù)據(jù)進(jìn)行解密的問題。計(jì)算機(jī)取證中使用的密碼破解與口令獲取技術(shù)和方法主要有：密碼分析技術(shù)、密碼破解技術(shù)、口令搜索、網(wǎng)絡(luò)竊聽和口令提取。

（3）磁盤映像拷貝技術(shù)

　　由于證據(jù)的提取和分析工作不能直接在被攻擊機(jī)器的磁盤上進(jìn)行，所以，磁盤的映像拷貝技術(shù)就顯得十分重要和必要了。而且，這一技術(shù)可以實(shí)現(xiàn)磁盤數(shù)據(jù)的逐字節(jié)拷貝。

（4）信息搜索與過濾技術(shù)

　　在計(jì)算機(jī)取證的分析階段往往使用搜索技術(shù)進(jìn)行相關(guān)數(shù)據(jù)信息的查找，這些信息可以是文本、圖片、音頻或視頻。這方面的技術(shù)主要有：數(shù)據(jù)過濾技術(shù)、數(shù)據(jù)挖掘技術(shù)等。

2.2基于網(wǎng)絡(luò)的計(jì)算機(jī)取證技術(shù)

　　所謂網(wǎng)絡(luò)取證技術(shù)就是在網(wǎng)上跟蹤犯罪分子或通過網(wǎng)絡(luò)通信的數(shù)據(jù)信息資料獲取證據(jù)的技術(shù)。包括IP地址獲取技術(shù)，針對(duì)電子郵件和新聞組的取證技術(shù)，網(wǎng)絡(luò)入侵追蹤技術(shù)等。

（1）IP地址獲取技術(shù)

　　IP地址是揭示犯罪嫌疑人身份和地理位置的重要線索，通過對(duì)系統(tǒng)日志、E-Mail頭信息得分析，和被調(diào)查對(duì)象進(jìn)行直接通信等方法可以獲得對(duì)方的IP地址，進(jìn)而可利用TraceRoute、VisualRoute等軟件和全球IP地址分配表定位該IP地址的位置，并采取適當(dāng)?shù)拇胧?/p>

（2）針對(duì)電子郵件和新聞組的取證技術(shù)

　　電子郵件和新聞組的共同特征是，都是用簡單的應(yīng)用協(xié)議和文本存儲(chǔ)轉(zhuǎn)發(fā)，只允許信息在多個(gè)中間系統(tǒng)上穿過，信息的主體由可打印的字符構(gòu)成，頭信息中包含了從發(fā)送者到接收者之間的路徑。所以，可以對(duì)信息發(fā)送路徑上的痕跡進(jìn)行分析以獲取證據(jù)。

（3）網(wǎng)絡(luò)入侵追蹤技術(shù)

　　入侵追蹤的最終目標(biāo)是能夠定位攻擊源的位置，推斷出攻擊報(bào)文在網(wǎng)絡(luò)中的串行路線，從而找到攻擊者。IP報(bào)文入侵追蹤技術(shù)包括連接檢測(cè)，日志記錄，ICMP追蹤法，標(biāo)記報(bào)文法等，可以追溯到發(fā)送帶有假冒源地址報(bào)文的攻擊者的真實(shí)位置，還可以發(fā)現(xiàn)在網(wǎng)絡(luò)連接鏈中“前一跳”的信息，特點(diǎn)是需要利用路由器作為中間媒介。

　　在實(shí)際應(yīng)用中往往將基于單機(jī)和設(shè)備的計(jì)算機(jī)取證技術(shù)、基于網(wǎng)絡(luò)的計(jì)算機(jī)取證技術(shù)進(jìn)行結(jié)合使用，從而提供更加充足可靠的計(jì)算機(jī)證據(jù)。

3.計(jì)算機(jī)取證軟件系統(tǒng)

　　目前已經(jīng)出現(xiàn)了一些計(jì)算機(jī)取證工具，包括磁盤擦除工具、反刪除工具、驅(qū)動(dòng)器映像程序、取證分析軟件等等，然而這些工具往往只能處理取證中的一小部分工作，缺少自動(dòng)化流程，需要具有相當(dāng)技術(shù)的專業(yè)人員操作，不能滿足計(jì)算機(jī)犯罪日益增長的現(xiàn)實(shí)要求，急需一種同時(shí)擁有收集及分析數(shù)據(jù)的功能的計(jì)算機(jī)取證軟件。

　　一個(gè)較完善的計(jì)算機(jī)取證軟件應(yīng)該滿足最基本的取證要求，具備下列基本功能（如圖略）

（1）收集計(jì)算機(jī)證據(jù)：能夠?qū)χ鳈C(jī)信息及網(wǎng)絡(luò)信息進(jìn)行收集,并進(jìn)行存儲(chǔ)，一方面保證能夠獲得充足的計(jì)算機(jī)證據(jù)，另一方面確保從獲取到提交法庭這段時(shí)間內(nèi)沒有被修改過。

（2）分析計(jì)算機(jī)證據(jù)：對(duì)收集到的計(jì)算機(jī)證據(jù)進(jìn)行分析，發(fā)現(xiàn)和犯罪事實(shí)相關(guān)聯(lián)的全部數(shù)據(jù)資料。

（3）提取計(jì)算機(jī)證據(jù)：用于從可疑主機(jī)或網(wǎng)絡(luò)上自動(dòng)提取出計(jì)算機(jī)證據(jù)。

　　以上只是計(jì)算機(jī)取證軟件的基本功能，事實(shí)上，作為對(duì)計(jì)算機(jī)證據(jù)進(jìn)行取證的軟件其功能還遠(yuǎn)不止如此，例如：自身保護(hù)功能等等。

4.結(jié)束語

　　盡管計(jì)算機(jī)取證技術(shù)已經(jīng)得到了一定的發(fā)展，然而隨著計(jì)算機(jī)技術(shù)及計(jì)算機(jī)犯罪的發(fā)展，現(xiàn)有的取證技術(shù)已經(jīng)不能滿足打擊犯罪的要求；同時(shí)，計(jì)算機(jī)理論和技術(shù)的發(fā)展也影響著計(jì)算機(jī)取證技術(shù)的發(fā)展，使得目前計(jì)算機(jī)取證技術(shù)呈現(xiàn)出領(lǐng)域擴(kuò)大化、學(xué)科融合化、標(biāo)準(zhǔn)化、智能化等發(fā)展趨勢(shì)。?

參考文獻(xiàn)

[1] 王玲,錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì).軟件學(xué)報(bào),2003,14(9):1635 1644.

[2] 何明.計(jì)算機(jī)安全學(xué)的新焦點(diǎn)——計(jì)算機(jī)取證學(xué).系統(tǒng)安全,2002,7:42 43.
[3] 梁錦華,蔣建春,戴飛雁,卿斯?jié)h.計(jì)算機(jī)取證技術(shù)研究.計(jì)算機(jī)工程,2002,28(8):12 14.
[4] 錢桂瓊,楊澤明,許榕生.計(jì)算機(jī)取證的研究與設(shè)計(jì).計(jì)算機(jī)工程,2002,28(6):56 58.
[5] 趙小敏, 陳慶章. 打擊計(jì)算機(jī)犯罪新課題──計(jì)算機(jī)取證技術(shù). 信息網(wǎng)絡(luò)安全,2002,9.

????????????

再分享一下我老師大神的人工智能教程吧。零基礎(chǔ)！通俗易懂！風(fēng)趣幽默！還帶黃段子！希望你也加入到我們?nèi)斯ぶ悄艿年?duì)伍中來！https://blog.csdn.net/jiangjunshow

總結(jié)

以上是生活随笔為你收集整理的计算机取证技术研究的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。