计算机取证概述 5页

计算机取证概述许榕生吴海燕刘宝旭（中国科学院高能物理研究所，北京100039）E-mail：liubx@mail.ihep.ac.cn摘要：随着信息技术的发展，电子证据逐渐成为一种新的诉讼证据，作为计算机领域和法学领域的一门交叉科学：计算机取证（computerforensics）正逐渐称为人们研究与关注的焦点。本文简要介绍了计算机取证的定义、发展历史、主要原则、一般步骤和相关的技术工具，最后指出了计算机取证的发展方向。关键词：计算机取证，电子证据，计算机犯罪ComputerForensicsIntroductionXuRong-ShengWuHai-yanLiuBao-xu(ComputingCenter，InstituteofHighEnergyPhysics，CAS100039)Abstract：Withthedevelopmentofinformationtechnologies,electronicevidenceisbecominganewtypeoflegalevidence.Asafrontierscience,ComputerForensicsisnowthefocusofresearchandattention.Thispaperbrieflydescribedthedefinition,history,mainprinciplesandcommonstepsofcomputerforensics,aswellastherelatedtechniquesandtools.Itconcludesbyshowingthefuturedirectionsofcomputerforensics.Keywords：ComputerForensics，electronicevidence，computercrime附注：本文研究得到中国科学院知识创新工程重大项目基金（编号：KJCX1-09）资助。许榕生，1947年生，研究员，博士生导师，主要研究领域为计算机网络安全、黑客入侵防范；吴海燕，1974年生，博士生，主要研究领域为计算机网络安全、黑客入侵防范；刘宝旭，1972年生，博士生，主要研究领域为计算机网络安全、黑客入侵防范。本文通讯联系人：刘宝旭，北京918信箱7分箱100039，中国科学院高能物理研究所一．什么是计算机取证随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中，与计算机相关的法庭案例（如电子商务纠纷，计算机犯罪等）也不断出现。一种新的证据形式——存在于计算机及相关外围设备（包括网络介质）中的电子证据逐渐成为新的诉讼证据之一。大量的计算机犯罪——如商业机密信息的窃取和破坏，计算机欺诈，对政府、军事网站的破坏——案例的取证工作需要提取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点，对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学：计算机取证（computerforensics）正逐渐称为人们研究与关注的焦点。那么什么是计算机取证呢？作为计算机取证方面的一名专业及资深人士，JuddRobbins[1]给出了如下的定义：l计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。附注：本文研究得到中国科学院知识创新工程重大项目基金（编号：KJCX1-09）资助。许榕生，1947年生，研究员，博士生导师，主要研究领域为计算机网络安全、黑客入侵防范；吴海燕，1974年生，博士生，主要研究领域为计算机网络安全、黑客入侵防范；刘宝旭，1972年生，博士生，主要研究领域为计算机网络安全、黑客入侵防范。本文通讯联系人：刘宝旭，北京918信箱7分箱100039，中国科学院高能物理研究所\nNewTechnologies[6]是一家专业的计算机紧急事件响应和计算机取证咨询公司，扩展了Judd的定义：l计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS[2]的一篇综述文章[3]给出了如下的定义：l计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。我们认为计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。二．计算机取证的发展历史2.1电子证据的特点证据在司法证明的中的作用是无庸质疑的，它是法官判定罪与非罪的标准。在人类的司法证明发展过程中，证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明的转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的转变[4]。在很长的历史时期内，物证在司法活动中的运用一直处于随机和分散发展的状态。直到18世纪以后，与物证有关的科学技术才逐渐形成体系和规模，物证在司法证明中的作用也才越来越重要起来。随着科学技术的突飞猛进，各种以人身识别为核心的物证技术层出不穷。例如，继笔迹鉴定法、人体测量法和指纹鉴定法之后，足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充着司法证明的“武器库”。特别是20世纪80年代出现的DNA遗传基因鉴定技术，更带来了司法证明方法的一次新的飞跃。而电子证据的出现，则是对传统证据规则的一个挑战。与传统证据一样，电子证据必须是[5]：l可信的；l准确的；l完整的；l使法官信服的；l符合法律法规的，即可为法庭所接受的；电子证据还具有与传统证据有别的一些特点：l计算机数据无时无刻不在改变；l计算机数据不是肉眼直接可见的，必须借助适当的工具；l搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；l电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。2.3计算机取证的历史计算机证据出现在法庭上在我国只是近10年左右的事情，在信息技术较发达的美国确已经有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出，法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复杂性的增加，电子证据与传统证据之间的类似性逐渐减弱，从1976年的“FederalRulesofEvidence”起，在美国出现了一些法律解决由电子证据带来的问题：lTheEconomicEspionageActof\n1996：处理商业机密窃取问题；lTheElectronicCommunicationsPrivacyActof1986：处理电子通讯的监听问题；lTheComputerSecurityActof1987(PublicLaw100-235)：处理政府计算机系统的安全问题。在我国，有关计算机取证的研究与实践都尚在起步阶段，只有一些法律法规涉及到了一些有关计算机证据的说明，如《关于审理科技纠纷案件的若干问题的规定》，《计算机软件保护条例》等。法庭案例中出现的计算机证据也都比较简单，如电子邮件、程序源代码等不需要使用特殊的工具就能够得到的信息。但随着技术的不断发展，计算机犯罪手段的不断提高，我们必须制定相关的法律，开发相关的自主软件以保护人们的合法权益不受侵害。对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务出现的始自于90年代中后期。从近两年的计算机安全技术论坛（FIRST年会）上看，计算机取证分析都是重点课题。可以预见，计算机取证将是未来几年计算机安全领域的研究热点。三．计算机取证的主要原则和一般步骤3.1主要原则l尽早搜集证据，并保证其没有受到任何破坏；l必须保证“证据连续性”（有时也被称为“chainofcustody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；l整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作都应该受到由其它方委派的专家的监督。3.2基本步骤l在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染；l发现目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件；l全部（或尽可能）恢复发现的已删除文件；l最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；l如果可能并且如果法律允许，访问被保护或加密文件的内容；l分析在磁盘的特殊（通常是无法访问的）区域中发现的所有相关数据。包括但并不局限于：所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留；文件中的“slack”空间——文件的磁盘存储空间是以簇为单位分配的，如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据；l\n打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据。然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息；l给出必需的专家证明。四．相关技术与工具4.1相关技术对于传统的静态取证来说，工作对象往往是发生了紧急事件（受到入侵）的计算机系统、磁盘或其它数据存储介质，主要涉及数据获取和数据分析技术。稍有经验的犯罪分子都会尽可能地消灭自己在系统中留下的足迹，他们使用的方法通常是大量地删除系统日志和相关文件。因此取证工作往往需要从系统的隐蔽之处（如未分配的磁盘空间、slack空间、临时文件或交换文件）获得数据，重建数据，并对数据进行分析，最后得到取证报告。这通常是一个十分枯燥、耗时的过程。数据的获取技术的关键是如何保证在获取数据的同时不破坏原始介质，一般不推荐使用原始介质进行取证分析。常用的数据获取技术包括：对计算机系统和文件的安全获取技术，避免对原始介质任何的破坏和干扰；对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤备份技术；对已删除文件的恢复、重建技术；对slack磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复原技术；计算机在某一特定时刻活动内存中的数据的搜集技术；网络流动数据的获取技术等。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术，具体包括：文件属性分析；文件的数字摘要分析；日志分析；根据已经获得的文件或数据的用词、语法和写作（编程）风格，推断出其可能的作者的技术；如何发掘同一事件的不同证据间的联系；数据解密技术，密码破译技术，对电子介质中的被保护信息的强行访问技术等。4.2相关工具计算机证据是由技术发展引发的，计算机取证过程中经验无疑是很重要的，但也必然要借助于一些软件工具。数据提取和分析工具是计算机取证专家的工具包中的最基本工具。其中既包括操作系统中已经存在的一些命令行工具，也包括专门的工具软件和工具包。tcpdump、Argus、NFR、tcpwrapper、sniffers、nstat、tripwire，DOS命令如diskcopy（使用/v选项），UNIX命令如dd、md5sum、lsof、grep等都是常用的取证工具。有人甚至认为计算机取证实际上是系统管理和网络管理的延伸。于1999年发布的Coroners工具包，是由SATAN的作者，DanFarmer和WietseVenema，编写的开放源代码软件，是能够帮助对计算机进行取证检查的一些工具软件的集合。它的最初设计平台是UNIX系统，但也能对非UNIX的磁盘、介质做有限的数据获取和分析。是目前应用较广泛的免费计算机取证工具包，包括下列工具：lgrave-robber：以数据的易变性为序搜集数据供以后的取证分析工具（如mactime）使用，它搜集的数据包括进程和网络信息、磁盘文件信息等；lunrm：磁盘数据恢复工具，拷贝所有未分配的数据块到指定文件；llazarus：恢复已删除文件的工具;lmactime：确定在一个特定的时间段内那些文件被访问或修改过；\n计算机取证是一个十分耗时且昂贵的过程，很多公司看到了其中包含的大量商业机会，许多专门的咨询、服务提供公司迅速发展，并开发出了一些专门的商业软件：l由NewTechnologies[6]公司提供的磁盘搜索和安全备份工具软件：lEncase[7]：商业软件，基于Windows平台，从数据发现到分析到生成报表的全面的解决方案；lAccessData[9]：口令获取软件；l其它软件，如ThumbsPlus[10]，Snapback[11]，Data-SnifferToolkit[12]，DriveSpy[13]等。五．未来的发展方向上面提到的计算机取证步骤、技术、工具等都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统和具有智能性，采用的方法也将更加灵活多样。参考文献1．Robbins,Judd."AnExplanationofComputerForensics."URL:http://www.computerforensics.net/forensics.htm2．http://www.sans.org/3．DorothyA.Lunn.“ComputerForensics:anOverview.”URL:http://www.sans.org/infosecFAQ/incident/forensics.htm4．杨晨光：《电子商务中的电子证据及其法律地位》，URL:http://netrule.home.chinaren.com/essay/eb10.htm5．PeterSommer:“ComputerForensics:anIntroduction”URL:http://www.virtualcity.co.uk/vcaforens.htm6．http://www.forensics-intl.com7．Encase：http://www.guidancesoftware.com/html/index.html8．TCT(TheCoronersToolkit)：http://www.porcupine.org/for9．http://www.accessdata.com/10．http://www.cerious.com/11．http://www.cdpi.com/12．http://www.data-sniffer.com/13．http://www.digitalintel.com/