袁鎧鋒

摘 要 隨著計算機信息技術(shù)的不斷發(fā)展與成熟，計算機網(wǎng)絡(luò)逐漸成為了各行各業(yè)在開展工作時不可缺少的重要工具，各種依托計算機信息而實施的計算機網(wǎng)絡(luò)犯罪現(xiàn)象也日益猖狂起來。本文圍繞幾種常見的計算機取證技術(shù)介紹、計算機取兩個證技術(shù)的發(fā)展方向以及未來展望兩個方面展開討論，對計算機取證技術(shù)進行了綜述，并提出了一些筆者自己的見解，希望能夠?qū)窈笥嬎銠C取證技術(shù)的研究提供一些理論建議。

關(guān)鍵詞 計算機 取證技術(shù) 數(shù)據(jù)信息可靠性

中圖分類號：TP309 文獻標(biāo)識碼：A

1幾種常見的計算機取證技術(shù)介紹

在美國地區(qū)，至少有百分之七十的法律部門都已經(jīng)設(shè)置了專門的計算機取證實驗室，取證專家在實驗室內(nèi)對各種從犯罪現(xiàn)場收集的數(shù)據(jù)信息進行分析，從中提取中與作案相關(guān)的信息。

由于取證時刻上具有一定的潛在屬性，因此我們可將計算機取證分為兩組不同的模式，分別為靜態(tài)取證模式以及動態(tài)取證模式。其中，靜態(tài)取證指的是對各種潛在證據(jù)進行提取，如存儲在各種未運行狀態(tài)媒介中的證據(jù)；而動態(tài)取證指的是對各種存儲有網(wǎng)絡(luò)以及運行媒介中的證據(jù)進行提取。由于網(wǎng)絡(luò)數(shù)據(jù)以及計算機系統(tǒng)數(shù)據(jù)在屬性上具有本質(zhì)區(qū)別，因此人們在取證過程中使用的取證方式往往也會分為兩種，分別為依托計算機系統(tǒng)的取證以及依托網(wǎng)絡(luò)數(shù)據(jù)的取證。

1.1預(yù)備取證技術(shù)

一般情況下，計算機系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)中存在的數(shù)據(jù)在使用后均會被刪除，即使是各種潛在數(shù)據(jù)也可能面臨被黑客刪除的風(fēng)險，所以說在事發(fā)后從受害者計算機中獲得的數(shù)據(jù)并不一定真實可靠，這就使得事發(fā)前的預(yù)備取證能力越來越得到關(guān)注。預(yù)備取證的目標(biāo)在于構(gòu)建一個科學(xué)可靠的系統(tǒng)，對于各種可疑數(shù)據(jù)進行自動搜索、識別、匯集以及過濾，同時對于各種可靠數(shù)據(jù)進行自動存儲、保留以及分析。預(yù)備取證系統(tǒng)的建立能夠確保安全事件發(fā)生后的證據(jù)數(shù)量、真實度、可靠度同時實現(xiàn)最大化。

布拉德等學(xué)者針對企業(yè)構(gòu)建預(yù)備取證技系統(tǒng)的基本原理進行了總結(jié)，具體如下：（1）小安全漏洞原理：一個極小的安全漏洞便可以導(dǎo)致系統(tǒng)的安全防護完全失效；（2）小用戶世界原理：對于一些特殊的用戶而言，個別的設(shè)備以及系統(tǒng)便可滿足他們的使用需求；（3）安全策略行為違反遞減原理：隨著用戶對于系統(tǒng)知識的不斷了解以及掌握，各種完全違反行為的發(fā)生頻率也逐漸增加。

通常情況下，安全審計系統(tǒng)能夠結(jié)合相應(yīng)安全策略，并通過對歷史操作事件的處理以及分析來識別出系統(tǒng)中可能存在的安全隱患，在此基礎(chǔ)上進行相應(yīng)的改善。同時還能夠?qū)崿F(xiàn)對個體用戶行為的實時跟蹤，給用戶施加相應(yīng)壓力，要求其對自己所作出的行為負(fù)責(zé)，對各種攻擊人員發(fā)出警告，最大程度降低入侵行為的發(fā)生，從而提高系統(tǒng)的安全性。安全審計系統(tǒng)在部分特性上與預(yù)備取證相似，但是在數(shù)據(jù)存儲安全性以及可靠性、自動分析等方面卻缺乏有效的考慮。趙小敏在原有安全審計系統(tǒng)的基礎(chǔ)上進行了優(yōu)化，設(shè)計了一種能夠支持計算機取證的安全審計系統(tǒng)，能夠保障系統(tǒng)遭到入侵之前的數(shù)據(jù)信息始終處于保護狀態(tài)下，并能夠一直完整地保留下來，從而為取證人員提供關(guān)鍵的線索。

1.2計算機證據(jù)獲取與分析技術(shù)

在進行計算機取證時必須嚴(yán)格遵循下述基本原則：（1）應(yīng)在不損壞原有證物的基礎(chǔ)上進行取證；（2）必須通過有效方式來證明獲得證據(jù)與原有數(shù)據(jù)之間的吻合性；（3）應(yīng)在確保數(shù)據(jù)不發(fā)生改變的情況下展開進一步分析與研究。

數(shù)據(jù)獲取與分析技術(shù)的重點在于確保數(shù)據(jù)獲取的同時原始介質(zhì)不發(fā)生損壞，因此通常情況下不主張對原始介質(zhì)進行取證分析。最常使用的數(shù)據(jù)獲取技術(shù)主要包括以下幾種：確保計算機系統(tǒng)以及文件安全性的獲取技術(shù)，預(yù)防原始介質(zhì)遭到損壞；確保數(shù)據(jù)以及軟件安全收集的獲取技術(shù)；對已刪除文件進行重新恢復(fù)的獲取技術(shù)；對長期未使用磁盤文件進行挖掘的獲取技術(shù)；針對網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的獲取技術(shù)。

目前所使用的取證技術(shù)基本是依托物理存儲介質(zhì)而實現(xiàn)的，主要作用在于對已刪除數(shù)據(jù)的恢復(fù)以及重新顯示等?，F(xiàn)階段大部分取證軟件的功能均體現(xiàn)在磁盤的處理方面，不支持深入的分析功能，除此之外的其它工作基本都是依靠取證專家的人工操作來實現(xiàn)，基本上形成了一種錯覺，即計算機取證軟件與磁盤分析軟件相同的錯覺。

計算機證據(jù)分析主要是基于獲取信息的基本含義、特征、關(guān)系等內(nèi)容來還原事件發(fā)生的真實場景，從而尋找出各種與案件相關(guān)的信息，這些信息主要包括犯罪的具體行為、犯罪嫌疑人的具體動機以及犯罪嫌疑人的作案手法等等。

其中，在已經(jīng)取得的數(shù)據(jù)流當(dāng)中識別出各種匹配的關(guān)鍵詞，是現(xiàn)階段數(shù)據(jù)分析中使用頻率最高的一種技術(shù)，它主要由以下幾種技術(shù)構(gòu)成：文件特征分析技術(shù)、文件關(guān)鍵詞分析技術(shù)、日志分析技術(shù)、邏輯關(guān)系挖掘技術(shù)、被保護信息的訪問技術(shù)等。

現(xiàn)階段， 人們對于各種自動分析技術(shù)的探索步伐逐漸加快，如試圖于挖掘問題產(chǎn)生的潛在規(guī)則，同時研究其中存在的程序化步驟，將其編寫成為軟件工具。此外，還可以通過人工智能技術(shù)來研究部分?jǐn)?shù)據(jù)之間存在的關(guān)聯(lián)性，這一方法能夠幫助破案人員快速將犯罪分子的輪廓進行勾勒，使取證專家的取證工作更加高效。

卡西針對計算機證據(jù)的不確定性以及信息缺失等問題展開了深入的研究，并在此基礎(chǔ)上設(shè)計了一種按級度量的方法，這一研究結(jié)果在一定程度上促進了取證人員工作的開展，同時也能夠適當(dāng)啟發(fā)其它研究人員的思路。由于計算機證據(jù)存在一定的不確定性，因此在取證后還應(yīng)對證據(jù)實施進一步量化處理，尤其在遇到若干個關(guān)聯(lián)性極強的證據(jù)時，這些不確定性更應(yīng)該同量化方式進行有效表達。只有當(dāng)計算機證據(jù)的確定性通過十分精確的方式表達出啦后，才能有效降低人們對計算機證據(jù)的質(zhì)疑度，從而法官將會有更高的概率度證據(jù)進行采納。

1.3反取證技術(shù)

隨著計算機取證技術(shù)的不斷發(fā)展，各種反取證技術(shù)也隨之出現(xiàn)。反取證技術(shù)通常是由數(shù)據(jù)加密技術(shù)、數(shù)據(jù)隱藏技術(shù)以及數(shù)據(jù)刪除技術(shù)構(gòu)成的，對于一些經(jīng)驗豐富的黑客來說，反取證技術(shù)是他們在作案過程中必須采用的基本手段，可以將自己的作案數(shù)據(jù)進行有效銷毀，隱藏自己的入侵痕跡，從而加大取證工作的難度。目前市場中已逐漸出現(xiàn)了各種反取證工具，例如TDT以及RUNEFS等。在面對不同的反取證技術(shù)時，我們應(yīng)采用合適的策略進行對應(yīng)。例如，遇到文件加密這一反取證技術(shù)時，最簡單直接的方法便是找回密碼，如向指導(dǎo)密碼的人進行詢問，或者根據(jù)自己的了解來猜測密碼，又或者是在電腦周圍尋找各種與密碼相關(guān)的線索。當(dāng)上述方法都無效時，可運用強效破解工具來破解密碼，也可向密碼分析專家發(fā)送請求。在破解的過程中盡可能猜測黑客所使用的數(shù)據(jù)隱藏技術(shù)，并選擇合適的措施進行對應(yīng)，譬如對文件進行壓縮或者將文件后綴進行更改等。在壓縮過程中可能導(dǎo)致取證人員搜索磁盤關(guān)鍵詞失效，這個時候我們應(yīng)使用解壓工具進行解壓?？偠灾?，取證技術(shù)與反取證技術(shù)之間的對抗關(guān)系將會不斷發(fā)展下去，反取證技術(shù)也會一直成為計算機取證技術(shù)的阻礙因素。

1.4反向工程以及密碼分析技術(shù)

在計算機取證工作當(dāng)中，對侵入主機中的可疑程序進行分析是其中一項非常重要的內(nèi)容，當(dāng)已確定某個特定的人在某個特定的主機設(shè)備中安裝了相應(yīng)程序后，且該程序?qū)τ谥鳈C安全具有一定的危害性，那么這一程序安裝者就必須承擔(dān)應(yīng)用的責(zé)任。對可執(zhí)行程序進行分析來確定程序功能的過程叫做反向工程，這一類型的工具軟件數(shù)量非常少，且相應(yīng)的開發(fā)設(shè)計難度也較大，特別是當(dāng)可執(zhí)行程序本身已使用壓縮或者加密技術(shù)時，要想對犯罪分子的軟件進行分析，就必須向?qū)I(yè)的反向分析工程師尋求幫助。

為了能夠進一步確保計算機系統(tǒng)的安全性，越來越多的人們開始傾向于使用加密技術(shù)來實現(xiàn)網(wǎng)絡(luò)通信，或者是用來對各種重要信息進行儲存。因為對于犯罪嫌疑人來說，他們同樣可以使用加密技術(shù)來進行反取證。

2計算機取證技術(shù)的發(fā)展方向以及未來展望

計算機取證技術(shù)是目前來說較為新穎的一門學(xué)科，在歷經(jīng)了多年的發(fā)展后，無論是在理論還是在實踐方面都獲得了顯著的業(yè)績，盡管如此，目前的取證技術(shù)在很多方面都存在一定的局限性，無法完全滿足社會需求。隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計算機取證在未來還將面臨著更加嚴(yán)峻的挑戰(zhàn)。筆者認(rèn)為，未來的計算機取證技術(shù)將會朝著以下幾個方向發(fā)展。

2.1計算機取證技術(shù)的研究需要逐步走向系統(tǒng)化軌道

受到計算機證據(jù)特殊性質(zhì)的影響，再加上網(wǎng)絡(luò)攻擊者以及權(quán)力濫用者采用的各種反取證技術(shù)，預(yù)備取證措施的重要地位正在逐步突顯出來。在未來的系統(tǒng)研究以及設(shè)計的過程中，在最初的安全管理設(shè)施設(shè)計環(huán)節(jié)當(dāng)中就必須做好計算機取證工作的事先部署，將其作為一項重要工作來對待，盡可能以最低的開發(fā)成本來獲得最高的證據(jù)數(shù)量以及最優(yōu)的證據(jù)質(zhì)量，使取證工作變得更加便捷、簡單。

2.2取證工具將會朝著自動化以及集成化方向發(fā)展

計算機的存儲能力十分驚人，它的增長速度已超過了莫爾定律。在幾年前，個人計算機硬盤通常是由幾百個M字節(jié)做成的，發(fā)展至今，個人計算機硬盤已經(jīng)實現(xiàn)了幾十個甚至是上百個G的字節(jié)，其它大規(guī)模的服務(wù)器系統(tǒng)就更不需要說了，在這一環(huán)境中，我們所采用的計算機取證技術(shù)也必須迎合其發(fā)展步伐，選擇功能更強大、自動化程度更高的取證工具。未來的取證工具將會隨著信息處理技術(shù)的更新而不斷更新，同時對其進行有效利用，如數(shù)據(jù)挖掘技術(shù)以及人工智能技術(shù)等，以此來充分地應(yīng)對各種海量數(shù)據(jù)的來襲。目前來說，在計算機取證工作當(dāng)中仍然有很大一部分的工作是依賴人工完成的，這在很大程度上制約了取證技術(shù)的發(fā)展，使取證速度以及取證可靠性都是無法得到有效保障。因此，為了能夠使取證人員的工作更為便捷，同時應(yīng)用范圍更加廣泛，有必要對產(chǎn)品實施適度的集成。

2.3計算機取證領(lǐng)域持續(xù)擴展，取證工具朝著專業(yè)化發(fā)展

犯罪分子不僅僅會將計算機設(shè)備作為犯罪工具，各種手機、掌上電腦等移動設(shè)備也會成為犯罪分子的作案工具，因此犯罪證據(jù)也會通過不同的方式分布在各種不同的設(shè)備當(dāng)中。通常來說，我們認(rèn)為各種支持?jǐn)?shù)據(jù)儲存功能的設(shè)備都終將被納入計算機取證工作范疇內(nèi)。要想獲取理想的證據(jù)，就必須針對每一個場合來制定專業(yè)化產(chǎn)品，同時使用合適的取證工具。此外，計算機取證科學(xué)的綜合性非常強，其中所涉及的內(nèi)容很多，包括文件加密技術(shù)、磁盤分析技術(shù)、數(shù)據(jù)挖掘技術(shù)等。

參考文獻

[1] 錢勤，張瑊，張坤，伏曉，茅兵. 用于入侵檢測及取證的冗余數(shù)據(jù)刪減技術(shù)研究[J]. 計算機科學(xué)，2014，S2：252-258.

[2] 庫德來提·熱西提，亞森·艾則孜，萬瓊. 計算機取證技術(shù)及局限性[J]. 中國公共安全（學(xué)術(shù)版），2011，04：122-125.

[3] 施昌林，陳曉紅，楊旭，施少培，徐徹，卞新偉. 視頻化計算機取證系統(tǒng)的設(shè)計與實現(xiàn)[J]. 信息安全與通信保密，2009，07：99-101+104.

[4] 陳龍，譚響林，高如岱. 智能取證技術(shù)研究[J]. 重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2009，04：518-522.

[5] 田志宏，姜偉，張宏莉. 一種支持犯罪重現(xiàn)的按需取證技術(shù)[J]. 清華大學(xué)學(xué)報（自然科學(xué)版），2014，01：20-28.

[6] 秦拯，李建輝，鄒建軍，綦朝暉. 基于模糊理論的實時取證模型[J]. 湖南大學(xué)學(xué)報（自然科學(xué)版），2006，04：115-118.

[7] 趙志巖，王任華，邵翀. 計算機動態(tài)取證技術(shù)的挑戰(zhàn)[A]. 中國計算機學(xué)會計算機安全專業(yè)委員會.全國計算機安全學(xué)術(shù)交流會論文集·第二十五卷[C].中國計算機學(xué)會計算機安全專業(yè)委員會：，2010：4.