计算机取证技术研究

计算机取证技术研究

尉永青　刘培德

山东警察学院　山东经济学院

摘要：随着信息技术、网络技术的发展，计算机越来越多的出现在犯罪活动当中，计算机取证正逐渐成为人们研究与关注的焦点。本文首先介绍了计算机取证的概念、特点、取证的原则和取证的步骤，然后探讨了计算机取证的相关技术和软件。

关键词：计算机取证;电子证据

中图分类号：TP39

Research on Computer Forensics

WEI Yongqing　LIU Peide

Shandong Police Institute　Shandong economic Institute

Abstract：With the development of information technology and network technology, more and more criminal activities adopt computer technology. People are paying more attention to computer forensics in their research. This paper give a brief introduce to computer forensics from the angel of concept, procedure, technology, function, and so on.

Keywords：Computer Forensics; Electronic evidence

　　随着社会信息化、网络化大潮的推进，计算机越来越多地参与到人们的工作与生活中。与此同时，新的漏洞与攻击方式不断出现，计算机越来越多的出现在犯罪活动当中，与计算机相关的法庭案例（如电子商务纠纷，计算机犯罪等）也不断出现。存在于计算机及相关外围设备（包括网络介质）中的电子证据逐渐成为新的诉讼证据之一。作为计算机领域和法学领域的一门交叉科学：计算机取证（Computer Forensics）正逐渐成为人们研究与关注的焦点。

1.计算机取证及取证步骤

1.1计算机取证的概念、发展及特点

　　作为计算机取证的定义有比较多的说法，其中较为广泛的定义是：计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。

　　计算机取证是伴随着计算机犯罪事件的出现而发展起来的，在我国计算机证据出现在法庭上只是近10年左右的事情，在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出，法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复杂性的增加，电子证据与传统证据之间的类似性逐渐减弱。于是90年代中后期，对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。从近几年的计算机安全技术论坛（FIRST年会）上看，计算机取证分析日益成为计算机网络的重点课题。可以预见，计算机取证将是未来几年信息安全领域的研究热点。

　　计算机取证针对的是电子证据，电子证据的出现，是对传统证据规则的一次挑战。电子证据亦即计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的，几乎涵盖了所有传统证据类型。作为一种证据，电子证据与传统证据一样，必须是：可信的、准确的、完整的、使法官信服的、符合法律法规的，即可为法庭所接受的。

　　然而作为一种新出现的证据形式，它的特殊性决定了电子证据除了具有传统证据的特点之外，还具有与传统证据有别的一些特点：

（1）无形性：计算机数据不是肉眼直接可见的。

（2）脆弱性：磁性介质保存的内容很容易被修改，并且修改不易留下痕迹。

（3）高科技性：证据的产生、传输、保存都要借助高科技含量的技术与设备。

（4）多态性：是指计算机证据的表现形式是多种多样的。

（5）人机交互性：计算机证据的形成，在不同的环节上有不同的计算机操作人员的参与，它们在不同程度上都可能影响计算机系统的运转。正是由于电子证据的这些特点，使得计算机取证变得复杂起来，有关计算机取证的研究得到了广泛的关注，并成为司法和计算机科学领域的一项研究课题。

1.2计算机取证的原则和步骤

　　计算机取证与传统的取证有所区别，在取证过程中应遵循的主要原则有以下几点：

(1)尽早搜集证据，并保证其没有受到任何破坏；

(2)必须保证“证据连续性”（有时也被称为“chain of custody”），即在证据被正式提交给法庭时，必须能说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；

(3)整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。

　　计算机取证过程和技术比较复杂，在打击计算机犯罪时，执法部门还没有形成统一标准的程序来进行计算机取证工作。一般的，在保证以上几项基本原则的情况下，计算机取证工作按照下面步骤进行：

（1）保护现场和现场勘查

　　现场勘查是获取证据的第一步，主要是物理证据的获取。这项工作为后面的环节打下基础，包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。

（2）获取证据

　　证据的获取从本质上说就是通过使用具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具从众多的未知和不确定性中找到确定性的东西。

（3）鉴定证据

　　计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点。所以，取证过程中应注重采取保护证据的措施。

（4）分析证据

　　这是计算机取证的核心和关键。通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。可通过该计算机的所有者或电子签名、密码、回邮信箱、上网IP等计算机特有信息识别体，结合全案其他证据进行综合审查。注意该计算机证据要同其他证据相互印证、相互联系起来综合分析。

（5）进行追踪

　　上面提到的计算机取证步骤是静态的，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级，这种静态的分析已经无法满足要求。可以通过将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合，进行动态取证。对于在取证期间犯罪还在不断进行的计算机系统，采用入侵检测系统对网络攻击进行监测，还可以通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。

（6）提交结果

　　打印对目标计算机系统的全面分析和追踪结果，然后给出分析结论，并给出专家证明，以证据的形式按照合法的程序提交给司法机关。

　　这里只是计算机取证过程中需要遵循的主要原则与一般步骤，在实际中，还应该按照具体问题，进行综合考虑，保证取证过程的合理性与证据的完整性。

2.计算机取证相关技术

　　数字证据主要来源于两个方面，一个是系统方面的，另一个是网络方面的。系统方面的证据包括：系统日志文件、备份介质、入侵者残留物、交换区文件、临时文件、硬盘未分配的空间、系统缓冲区、打印机及其它设备的内存等。网络方面的证据有：防火墙日志、入侵检测系统日志、其它网络工具所产生的记录和日志等。针对这些证据来源，计算机取证技术可分为：单机取证技术、网络取证技术和相关设备取证技术。

2.1基于单机的计算机取证技术

　　单机取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术，包括存储设备的数据恢复技术，加密解密技术，磁盘映像拷贝技术和信息搜索与过滤技术等等。

（1）数据恢复技术

　　数据恢复技术主要用于把犯罪嫌疑人删除或者通过格式化磁盘擦除的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行了重新构造，因此，如果格式化之前的硬盘上有数据存在，则格式化操作后这些数据仍然存放在磁盘上；删除文件的操作也不能真正删除文件，只不过把构成这些文件的数据簇放回到系统中，对于通常的读写操作而言，这些簇不可见。数据恢复技术正是用来恢复这些通常不可见的数据。

（2）加密解密技术和口令获取

　　取证在很多情况下都面临如何将加密的数据进行解密的问题。计算机取证中使用的密码破解与口令获取技术和方法主要有：密码分析技术、密码破解技术、口令搜索、网络窃听和口令提取。

（3）磁盘映像拷贝技术

　　由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行，所以，磁盘的映像拷贝技术就显得十分重要和必要了。而且，这一技术可以实现磁盘数据的逐字节拷贝。

（4）信息搜索与过滤技术

　　在计算机取证的分析阶段往往使用搜索技术进行相关数据信息的查找，这些信息可以是文本、图片、音频或视频。这方面的技术主要有：数据过滤技术、数据挖掘技术等。

2.2基于网络的计算机取证技术

　　所谓网络取证技术就是在网上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术。包括IP地址获取技术，针对电子邮件和新闻组的取证技术，网络入侵追踪技术等。

（1）IP地址获取技术

　　IP地址是揭示犯罪嫌疑人身份和地理位置的重要线索，通过对系统日志、E-Mail头信息得分析，和被调查对象进行直接通信等方法可以获得对方的IP地址，进而可利用TraceRoute、VisualRoute等软件和全球IP地址分配表定位该IP地址的位置，并采取适当的措施。

（2）针对电子邮件和新闻组的取证技术

　　电子邮件和新闻组的共同特征是，都是用简单的应用协议和文本存储转发，只允许信息在多个中间系统上穿过，信息的主体由可打印的字符构成，头信息中包含了从发送者到接收者之间的路径。所以，可以对信息发送路径上的痕迹进行分析以获取证据。

（3）网络入侵追踪技术

　　入侵追踪的最终目标是能够定位攻击源的位置，推断出攻击报文在网络中的串行路线，从而找到攻击者。IP报文入侵追踪技术包括连接检测，日志记录，ICMP追踪法，标记报文法等，可以追溯到发送带有假冒源地址报文的攻击者的真实位置，还可以发现在网络连接链中“前一跳”的信息，特点是需要利用路由器作为中间媒介。

　　在实际应用中往往将基于单机和设备的计算机取证技术、基于网络的计算机取证技术进行结合使用，从而提供更加充足可靠的计算机证据。

3.计算机取证软件系统

　　目前已经出现了一些计算机取证工具，包括磁盘擦除工具、反删除工具、驱动器映像程序、取证分析软件等等，然而这些工具往往只能处理取证中的一小部分工作，缺少自动化流程，需要具有相当技术的专业人员操作，不能满足计算机犯罪日益增长的现实要求，急需一种同时拥有收集及分析数据的功能的计算机取证软件。

　　一个较完善的计算机取证软件应该满足最基本的取证要求，具备下列基本功能（如图略）

（1）收集计算机证据：能够对主机信息及网络信息进行收集,并进行存储，一方面保证能够获得充足的计算机证据，另一方面确保从获取到提交法庭这段时间内没有被修改过。

（2）分析计算机证据：对收集到的计算机证据进行分析，发现和犯罪事实相关联的全部数据资料。

（3）提取计算机证据：用于从可疑主机或网络上自动提取出计算机证据。

　　以上只是计算机取证软件的基本功能，事实上，作为对计算机证据进行取证的软件其功能还远不止如此，例如：自身保护功能等等。

4.结束语

　　尽管计算机取证技术已经得到了一定的发展，然而随着计算机技术及计算机犯罪的发展，现有的取证技术已经不能满足打击犯罪的要求；同时，计算机理论和技术的发展也影响着计算机取证技术的发展，使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。 

参考文献

[1] 王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635 1644.

[2] 何明.计算机安全学的新焦点——计算机取证学.系统安全,2002,7:42 43.
[3] 梁锦华,蒋建春,戴飞雁,卿斯汉.计算机取证技术研究.计算机工程,2002,28(8):12 14.
[4] 钱桂琼,杨泽明,许榕生.计算机取证的研究与设计.计算机工程,2002,28(6):56 58.
[5] 赵小敏, 陈庆章. 打击计算机犯罪新课题──计算机取证技术. 信息网络安全,2002,9.