羅威麗, 夏 天, 顧益軍

(1.中國人民公安大學(xué),北京 100038;2.中國人民大學(xué)信息資源管理學(xué)院,北京 100872)

0 引言

隨著計算機技術(shù)的發(fā)展和信息化的普及,與電子數(shù)據(jù)相關(guān)的新型高科技刑事案件不斷增加,為此,業(yè)界開發(fā)出一系列相關(guān)工具用于支持電子數(shù)據(jù)鑒定。但與鑒定相關(guān)的數(shù)字取證工具種類繁多、功能各異,既有商業(yè)產(chǎn)品,也有開源實現(xiàn),它們適用的過程和選用的標準難以確定。設(shè)計科學(xué)合理的分類體系,通過把鑒定工具納入不同分類之中,有助于規(guī)范工具的應(yīng)用,促進工具功能的發(fā)展,保證司法的效力。

目前,根據(jù)鑒定工具功能進行分類是較為通用的方法。但由于某一工具大都支持多種不同的鑒定功能,如 Encase提供了鏡像、恢復(fù)、搜索等功能;另一方面,某個鑒定功能往往會有多種工具的支持。因此,在實際應(yīng)用過程中,我們很難把一個具體的工具納入到唯一的、特定的分類體系之中。

本文試圖在我國法律體系下,結(jié)合已有的電子數(shù)據(jù)取證工具的分類方法,對與電子數(shù)據(jù)鑒定相關(guān)的功能進行劃分,根據(jù)功能所服務(wù)的鑒定過程和功能所面向的數(shù)據(jù)處理對象,以功能劃分取代直接的工具劃分方法,進而通過工具所支持的鑒定功能,確定工具的定位,并為工具的選用提供指導(dǎo)。

2 現(xiàn)有分類體系及優(yōu)缺點

參考數(shù)字取證工具現(xiàn)有的分類方法,抽象出目前關(guān)于電子數(shù)據(jù)司法鑒定工具分類的方法,總體來源于三個方面:基于取證過程的分類;基于抽象層的分類;基于取證技術(shù)的分類。

(1)采用基于取證過程的分類[1],其優(yōu)點是對于工具的使用范圍及在鑒定中所起的作用進行了很好的界定。但這種分類體系依賴于明確電子數(shù)據(jù)司法鑒定的流程,根據(jù)不同的鑒定目的,鑒定流程亦有所差別,使得該分類體系并非完善。

(2)基于抽象層的分類[2],主要是出于對證據(jù)分析工具評價的需要,通過討論從上一個層次進入下一層次過程中的規(guī)則集、輸入輸出以及可能發(fā)生的錯誤,來滿足證據(jù)分析工具定義的需要,不能推及對整個電子數(shù)據(jù)司法鑒定工具的分類上來。

(3)基于取證技術(shù)的分類,本質(zhì)上是一種基于功能的分類方法,該方法可以對工具群提供一種較為詳細的分解,但其缺點也是顯而易見的。單純的根據(jù)工具功能分類使得該分類方法涉及較多的技術(shù)細節(jié),不利于推廣應(yīng)用,同時由于計算機技術(shù)的飛速發(fā)展,也會對基于取證技術(shù)的分類體系的穩(wěn)定性帶來較大影響。

目前,很難直接提出一種截然不同、更有說服力的、較有特點的分類體系以區(qū)別于現(xiàn)有的方法。較為可行的方法是綜合現(xiàn)有方法的優(yōu)缺點,包容各家之長,選擇合理的分析視角,進而提出一種科學(xué)的分類方法。這種劃分方式更符合事物發(fā)展的客觀規(guī)律,但必須要將其與各種分類方式的簡單匯總區(qū)分開,角度的選擇要有必要性和代表性,才能保證下一步分類方法符合分類的原則。

2 功能交叉劃分法

2.1 分類基本粒度

現(xiàn)有的鑒定工具往往支持多種不同的功能,在實際應(yīng)用過程中,很難把某個工具唯一的歸入某一個分類之中,因此,面向鑒定功能進行劃分更為合理。實際上,現(xiàn)有的許多分類體系本質(zhì)上也是針對鑒定工具的功能而并非鑒定工具本身進行描述的。

以鑒定功能作為分類的基本粒度,可以明確鑒定的本質(zhì)和分類的對象即功能才是鑒定活動中最為重要的組成部分,鑒定工具則是支持功能的具體實現(xiàn)。對于一個鑒定功能來說,它具有相對固定的需求,可以有多種不同的實現(xiàn),能夠保證功能與實現(xiàn)分離的原則。由于技術(shù)的快速發(fā)展,鑒定功能的數(shù)量和需求很可能會隨之變化,因此,必須把每一個基本粒度的鑒定功能納入到一個相對穩(wěn)定的分類體系之中。

2.2 分類基本原則

由于可用于電子數(shù)據(jù)司法鑒定技術(shù)方法的快速發(fā)展,電子數(shù)據(jù)司法鑒定工具的分類體系應(yīng)該是穩(wěn)定的、開放性強的、適用性強的,應(yīng)遵循以下規(guī)則。

一是開放性原則,電子數(shù)據(jù)司法鑒定工具分類體系能適應(yīng)技術(shù)發(fā)展需要,縱向兼容基于新舊技術(shù)方法開發(fā)的工具;二是抽象性原則,分類體系應(yīng)能屏蔽掉一些技術(shù)細節(jié),具有較高的抽象性才能保證體系的穩(wěn)定性;三是穩(wěn)定性原則,在開放性和抽象性基礎(chǔ)上,電子數(shù)據(jù)司法鑒定工具分類體系應(yīng)在一段較長的發(fā)展期間能滿足對工具的描述和歸類;四是定位性原則,要求依據(jù)電子數(shù)據(jù)司法鑒定工具分類體系模型,能將現(xiàn)有的工具合理歸位,不產(chǎn)生歧義和重復(fù);五是體系模型的實用性,要貼近實際工作,為一線司法鑒定人員所接受。

2.3 分類視角的選擇

2.3.1 視角一:基于電子數(shù)據(jù)司法鑒定工具的作用

為了更好地理解各電子數(shù)據(jù)司法鑒定工具在鑒定中所起到的作用,需要對所對應(yīng)的鑒定過程及涉及的相關(guān)任務(wù)進行階段劃分。參考國外的取證過程模型[3-11],結(jié)合我國電子數(shù)據(jù)司法鑒定的實際特點,筆者認為我國電子數(shù)據(jù)司法鑒定過程總體抽象為以下五個階段。

(1)評估階段:即送檢材料評估階段,該階段針對數(shù)據(jù)司法鑒定機構(gòu)的調(diào)查委托事件為初始。這一階段的目的是了解與案件及送檢材料有關(guān)的相關(guān)情況、分析鑒定要求是否合理可行、決定是否受理鑒定、評價送檢材料是否符合送檢要求,并制定鑒定策略,這些均為主觀性的活動,一般不需電子數(shù)據(jù)鑒定工具的介入。

(2)保全階段:依據(jù)電子數(shù)據(jù)鑒定的受理鑒定流程接受鑒定及驗證送檢材料后,對檢材進行備份、保存。保全階段電子數(shù)據(jù)鑒定工具所需的功能相對單一,主要是數(shù)據(jù)獲取功能,即對所檢驗介質(zhì)的相關(guān)數(shù)據(jù)進行復(fù)制或鏡像。同時,為保證數(shù)據(jù)的完整性和真實性,需要有各類只讀轉(zhuǎn)換接口保證檢材的原始性。此外,還需具有數(shù)據(jù)校驗功能(如計算 SHA、MD5值等)或?qū)ｉT用于校驗數(shù)據(jù)的工具 (如MD5SUM)。

(3)識別階段:完成分析的準備工具,主要目的將隱藏數(shù)據(jù)或被破壞數(shù)據(jù)、密文等不可直接識別數(shù)據(jù)轉(zhuǎn)換為可識別數(shù)據(jù)及數(shù)據(jù)格式。該階段所需的工具主要有數(shù)據(jù)恢復(fù)和介質(zhì)修復(fù)工具、加解密工具、數(shù)據(jù)格式轉(zhuǎn)換工具、文件瀏覽工具。

(4)分析階段:分析階段的目的是進行確定的分析(確定或反駁可疑活動的辯解)和/或事件的重建(回答“誰、什么、哪里、什么時候、為什么和怎樣”類型問題)。分析階段最終數(shù)據(jù)是數(shù)據(jù)分析階段被調(diào)查、抽取和重建的數(shù)據(jù)。

(5)歸檔階段:歸檔階段的目的是將相關(guān)鑒定結(jié)果傳達給相關(guān)人,包括公安執(zhí)法人員、檢查審判機構(gòu)相關(guān)人員和鑒定委托人,以及根據(jù)鑒定結(jié)果進行檢材處置和相關(guān)信息處理。歸檔階段使用的電子數(shù)據(jù)鑒定工具主要完成有關(guān)介質(zhì)的銷毀和已轉(zhuǎn)化為證據(jù)的電子數(shù)據(jù)管理,其中數(shù)據(jù)擦除工具在保全階段數(shù)據(jù)獲取時,對復(fù)制或鏡像的目標盤進行初始化時使用。證據(jù)管理工具的使用貫穿整個鑒定過程,對各個步驟的情況進行歸檔,其實質(zhì)也是為保證結(jié)論的可信度,可歸結(jié)到數(shù)據(jù)保全工具中。

根據(jù)對電子數(shù)據(jù)司法鑒定過程分析,我們將電子數(shù)據(jù)司法鑒定工具基于該視角的分類體系定義為三類:數(shù)據(jù)保全工具、數(shù)據(jù)識別工具、數(shù)據(jù)分析工具。其中數(shù)據(jù)保全工具包括數(shù)據(jù)獲取工具、數(shù)據(jù)校驗工具、數(shù)據(jù)銷毀工具、數(shù)據(jù)寫保護工具和證據(jù)歸檔工具;數(shù)據(jù)識別工具包括數(shù)據(jù)恢復(fù)工具、數(shù)據(jù)加解密工具、數(shù)據(jù)格式轉(zhuǎn)換工具和文件瀏覽工具;數(shù)據(jù)分析工具包括數(shù)據(jù)抽取工具、事件重建工具和數(shù)據(jù)挖掘工具。該視角的分類方法能從紛繁復(fù)雜的電子數(shù)據(jù)司法鑒定工具中整理出三條主線,對已有工具進行合理安排,摒棄技術(shù)細節(jié),并對新開發(fā)或新介入電子數(shù)據(jù)司法鑒定的工具兼容并包,總體上具有穩(wěn)定性和一定開放性,是有關(guān)電子數(shù)據(jù)司法鑒定工具初級的分類體系。

2.3.2 視角二:基于數(shù)據(jù)抽象層

電子數(shù)據(jù)司法鑒定針對的客體根據(jù)其存在形式分為物理介質(zhì)和邏輯介質(zhì)。物理介質(zhì)是指有硬件載體包括硬盤、可移動存儲裝置、手持電子設(shè)備、計算機 /服務(wù)器、網(wǎng)絡(luò)設(shè)備(交換機 、路由器 、HUB等),邏輯介質(zhì)包括磁盤的分區(qū)、通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)等;根據(jù)數(shù)據(jù)特征分為動態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù),動態(tài)數(shù)據(jù)主要是基于網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)和運行的計算機實時產(chǎn)生的信息,靜態(tài)數(shù)據(jù)主要是基于計算機或其他電子設(shè)備已有的電子數(shù)據(jù)。無論采取何種角度對電子數(shù)據(jù)司法鑒定客體進行分解,不可否認的是電子數(shù)據(jù)司法鑒定客體是存在于計算機或網(wǎng)絡(luò)不同結(jié)構(gòu)層級上,故有必要對電子數(shù)據(jù)存在的數(shù)據(jù)層進行分析確定。

結(jié)合 Brain Carrier[12]的研究,從電子數(shù)據(jù)鑒定所面對的數(shù)據(jù)對象出發(fā),我們將數(shù)據(jù)對象抽象為四個層次,由下到上依次為傳輸層、物理層、識別層和理解層。

(1)傳輸層的電子數(shù)據(jù)是有關(guān)的磁信號、電信號或電磁信號經(jīng)過網(wǎng)絡(luò)硬件設(shè)備和驅(qū)動程序解釋后的字節(jié)流數(shù)據(jù)。這一層的數(shù)據(jù)是電子數(shù)據(jù)司法鑒定中所研究的動態(tài)數(shù)據(jù),對 TCP/IP網(wǎng)絡(luò)而言,以 IP數(shù)據(jù)包為主。如果計算機處于未聯(lián)網(wǎng)狀態(tài),則不包括該層數(shù)據(jù),對于運行中的計算機是線路中的動態(tài)信息。

(2)物理層的電子數(shù)據(jù)包括:硬盤等存儲介質(zhì)是指以扇區(qū)為單位的二進制數(shù)據(jù)和硬件標識信息,內(nèi)存信息;網(wǎng)絡(luò)設(shè)備是指在集線器、HUB、交換機、路由器等網(wǎng)絡(luò)設(shè)備中直接存儲轉(zhuǎn)發(fā)的二進制數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)報,介質(zhì)訪問控制(MAC)地址等網(wǎng)絡(luò)標識類信息等。

(3)計算機中的數(shù)據(jù)不是無序堆砌的,而是按照關(guān)鍵字、應(yīng)用程序等分類存放的。識別層的電子數(shù)據(jù)對于硬盤等存儲介質(zhì)是指有關(guān)文件系統(tǒng)的引導(dǎo)扇區(qū)、文件分配表和 MFT等描述性信息;對內(nèi)存而言識別出系統(tǒng)為單個進程分配的虛擬空間。

(4)理解層的電子數(shù)據(jù)是指由二進制數(shù)據(jù)轉(zhuǎn)換的人類能夠理解的文字、符號、圖形、照片、表格和數(shù)值等。

對電子數(shù)據(jù)設(shè)定抽象層能夠幫助我們更好地了解電子數(shù)據(jù)司法鑒定中所研究客體的范圍和其在計算機/網(wǎng)絡(luò)中所發(fā)揮的作用,以此為依據(jù)來選取適當(dāng)?shù)墓ぞ?。但基于?shù)據(jù)抽象層的方法,并不能推及到對整個電子數(shù)據(jù)司法鑒定工具體系的分類,該方法涉及到一些技術(shù)細節(jié),是一種較為細致的整合方法,適合對部分技術(shù)功能復(fù)雜的工具群進行二級子類的劃分,如對數(shù)據(jù)獲取工具、數(shù)據(jù)恢復(fù)工具和數(shù)據(jù)抽取工具的二級劃分。

2.4 交叉劃分法

根據(jù)以上提出的分類基本粒度和分類基本原則,結(jié)合現(xiàn)有的分類方法,依據(jù)所選擇的視角,筆者認為,電子數(shù)據(jù)司法鑒定功能的科學(xué)分類,一方面應(yīng)該遵從與業(yè)務(wù)流程相關(guān)的鑒定過程,即說明功能所位于的鑒定階段;另一方面,還應(yīng)明確鑒定所面向的數(shù)據(jù)對象。交叉劃分法把基本粒度的鑒定功能納入到與鑒定過程和鑒定數(shù)據(jù)對象同時關(guān)聯(lián)的交叉體系下,如圖1所示。

圖1 鑒定功能交叉劃分法

在這種劃分法中,橫坐標代表的是不同的鑒定階段?？v坐標代表的是鑒定功能所面向的數(shù)據(jù)對象的不同抽象層次。對于某一鑒定工具的每一個鑒定功能在圖中以灰色圓圈表示,都位于整個鑒定過程的某個特定階段之中,說明該功能在業(yè)務(wù)流程中的作用;而鑒定功能所面向的數(shù)據(jù)對象則由橫坐標標識,處于相對穩(wěn)定的四個類別之一。

從圖1中可知目前鑒定工具可能完成的工作任務(wù)及數(shù)據(jù)輸入輸出。目前工具可完成評估階段對各數(shù)據(jù)層數(shù)據(jù)的基本評估,但需人工介入;在保全階段,工具可完成對傳輸層數(shù)據(jù)的獲取,對物理層數(shù)據(jù)的校驗,對識別層數(shù)據(jù)的獲取和寫保護,對理解層數(shù)據(jù)的獲取和校驗;在識別階段,工具可完成對傳輸層、物理層數(shù)據(jù)的恢復(fù)、加解密,完成對識別層數(shù)據(jù)的恢復(fù),完成對理解層數(shù)據(jù)的恢復(fù)、加解密格式、格式轉(zhuǎn)換和文件瀏覽;在分析階段,可完成對傳輸層和物理層數(shù)據(jù)的抽取和數(shù)據(jù)挖掘,對識別層數(shù)據(jù)的抽取、重建和挖掘,對理解層數(shù)據(jù)的抽取和挖掘。目前工具可對傳輸、物理、識別和理解層各層因鑒定活動而產(chǎn)生的記錄加以文檔化。

為方便描述,我們進一步把五個鑒定階段由左到右,分別用 A、B、C、D、E五個符號表示,四種抽象層次由下到上用數(shù)字 1、2、3、4表示。對每一個實際工具來說,通過坐標交叉定位,即可把其所具有的特征完整地表達出來,以 Encase為例,可以用如下功能特征的集合予以描述:

Encase={＜B,2＞, ＜C,3＞,＜D,2＞,＜D,3＞,＜D,4＞,＜E,4＞}

該集合描述了 Encase工具在鑒定中所能發(fā)揮的作用及面向的數(shù)據(jù)對象,具體表述如下:Encase工具在保全階段可以使用,對處于物理底層的數(shù)據(jù)進行獲取、校驗、寫保護;在識別階段可選用,對識別層數(shù)據(jù)識別、恢復(fù),并轉(zhuǎn)化為可理解的圖文信息;在分析階段可選用,分別對處于物理層、識別層和理解層的數(shù)據(jù)進行搜索和抽取;在歸檔階段形成可理解的文檔記錄。

通過這種方式,還可以建立鑒定功能工具特征庫,已有的符合要求的工具都可以上述交叉坐標的描述方式納入特征庫中,同時記錄工具的穩(wěn)定性、價格等信息,這樣,在選擇鑒定工具時,就可以由該特征庫自動出具選擇方案。需要注意的是,圖中每個交叉格子的目的是用于對鑒定功能進行分類,也就是說,每個格子中擁有多個不同的功能點,這些功能點在短時間內(nèi)相對穩(wěn)定,不隨工具版本的改變而變化。但隨著技術(shù)的發(fā)展,功能點本身會不斷動態(tài)演化,即功能點會增加或過時,動態(tài)演進的功能點不影響整個交叉分類體系的穩(wěn)定性。另外,為便于實際使用,還有必要對格子中的功能點進行統(tǒng)一標號。

3 結(jié)論

通過對目前電子數(shù)據(jù)鑒定工具的分類方法的優(yōu)劣評述,我們提出了基于工具作用和基于數(shù)據(jù)抽象層的二級分類視角,以功能為基本粒度,建立了一種新的電子數(shù)據(jù)鑒定工具功能交叉劃分法。這種分類方法保證了電子數(shù)據(jù)鑒定工具分類體系的穩(wěn)定性,對技術(shù)細節(jié)合理取舍,具有一定開放性,可兼容并包新的鑒定工具,并易為鑒定人員所接受和理解。

[1] 陳祖義.計算機取證的工具體系[J].計算機工程,2005,31(5).

[2] Carrier B.Defining digital forensic exam ination and analysis tools using abstraction Layers[J].IJDE Winter 2003,Volume 1,Issue 4.

[3] Pollitt M computer Forensics:an Approach to Evidence in Cyberspace.Proceedings(Vol.Ⅱ,PP487-491)of the National Information Systems Security Conference,Baltimore,MD.1995.

[4] Nob lett M,Pollitt M,Presley L.Recovering and Examining Computer Forensic Evidence[J].Forensic Science Communications,2000,2(4).

[5] Gary Palmer.A road map for digital forensic research,report from the first digital forensic research Workshop(DFRWS)August 7-8,2001 Utica,New York

[6] Carrier B,Spafford E.Getting physical with the digital investigation process[J].IJDE Fall 2003,2(2).

[7] Peter Stephenson.A comprehensive approach to digital incident investigation[J].Information Security Technical Report,2003,8(2):42-54.

[8] Baryamureeba V,Tushabe F.The enhanced digital investigation processModel,DFRWS 2004,Baltimore,MD

[9] Beebe N,Clark J.A hierarchical,ob jectives-based framework for the digital investigations process[M].DFRWS 2004 Baltimore,MD.

[10] Robert F,Erbacher,Kim Christensen,Amanda Sundberg.Visual forensic techniques and p rocess[C].Proceedings of the 9th Annual NYS Cyber Security Conference Symposium on Information Assurance,Albany,NY,June 2006:72-80.

[11] 丁麗萍.多維計算機取證模型研究[J].信息網(wǎng)絡(luò)安全,2005(10).

[12] Carrier B.Defining digital forensic examination and analysis tools using abstraction layers[J].IJDEW inter 2003,1(4).