計(jì)算機(jī)信息獲取系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

孫麗霞，石春菊

山東外事翻譯職業(yè)學(xué)院

計(jì)算機(jī)信息獲取系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

孫麗霞，石春菊

山東外事翻譯職業(yè)學(xué)院

現(xiàn)如今利用計(jì)算機(jī)進(jìn)行的犯罪事件正在不斷地增加，因此計(jì)算機(jī)取證技術(shù)成為了人們逐漸研究以及關(guān)注的重點(diǎn)課題。計(jì)算機(jī)取證作為計(jì)算機(jī)領(lǐng)域以及法學(xué)領(lǐng)域的交叉科學(xué)，能夠?qū)Ω鞣N計(jì)算機(jī)犯罪案件以及安全事故進(jìn)行解決，本課題設(shè)計(jì)了計(jì)算機(jī)信息獲取系統(tǒng)的模塊結(jié)構(gòu)，并對(duì)其關(guān)鍵技術(shù)的實(shí)現(xiàn)進(jìn)行了重點(diǎn)研究。

計(jì)算機(jī)信息；獲取系統(tǒng)；計(jì)算機(jī)取證

隨著社會(huì)信息化的不斷發(fā)展，利用計(jì)算機(jī)犯罪的案件數(shù)量也在不斷的上升。近年來(lái)，利用網(wǎng)絡(luò)進(jìn)行的違法犯罪活動(dòng)發(fā)展速度越來(lái)越快，僅金融犯罪案件就已經(jīng)出現(xiàn)了200余起，其中最大一起造成了近2100萬(wàn)的經(jīng)濟(jì)損失。

目前，現(xiàn)有的技術(shù)難以滿足新形勢(shì)的需求，因此利用法律的力量對(duì)網(wǎng)絡(luò)犯罪進(jìn)行應(yīng)對(duì)已經(jīng)成為了十分重要的方式。同時(shí)由于國(guó)內(nèi)取證機(jī)構(gòu)長(zhǎng)期使用國(guó)外軟件，這也一定程度上對(duì)國(guó)家機(jī)密的安全問(wèn)題造成了影響。本課題項(xiàng)目基于計(jì)算機(jī)取證，對(duì)于國(guó)內(nèi)這一方面的空白有著十分重要的作用。

與國(guó)外的產(chǎn)品相比，本課題研究的系統(tǒng)具有以下特點(diǎn)：

（1）快速，根據(jù)預(yù)定任務(wù)，U盤能夠快速的從嫌疑計(jì)算機(jī)上對(duì)數(shù)字證據(jù)進(jìn)行獲取。

（2）隱形，利用本系統(tǒng)能夠在嫌疑人沒(méi)有察覺(jué)的情況下對(duì)證據(jù)進(jìn)行獲取。

（3）支持各種即時(shí)通訊軟件以及電子郵件取證。

（4）由于U盤具有讀寫方便的特點(diǎn)，同時(shí)與光盤相比，U盤還能夠多次寫入，且體積更小，容易攜帶。

一、系統(tǒng)總體設(shè)計(jì)

本課題研究的系統(tǒng)共分為兩個(gè)部分，為后臺(tái)服務(wù)器以及U盤客戶端，后臺(tái)服務(wù)器主要有兩種功能，分別為取證定制以及證據(jù)分析，取證定制包含類型以及關(guān)鍵詞兩個(gè)方面的定制；而在證據(jù)分析當(dāng)中則包含案件管理以及證據(jù)搜索。

U盤客戶端主要是利用U盤做主要的數(shù)據(jù)獲取設(shè)備，而快速信息提取系統(tǒng)的功能則主要包含有以下幾個(gè)方面：

（1）利用U盤的自動(dòng)播放功能實(shí)現(xiàn)U盤對(duì)證據(jù)進(jìn)行可選擇獲取。

（2）基于IKEY的安全登錄。

（3）磁盤備份。

（4）全盤加密。

（5）數(shù)字簽名。

（6）實(shí)現(xiàn)文件名、關(guān)鍵詞、WEB日志等搜索。

二、對(duì)常見文檔的搜索

1.Lucene介紹

作為一種對(duì)文件當(dāng)中所有文本進(jìn)行檢索的方法，全文檢索能夠利用計(jì)算機(jī)程序?qū)ξ恼碌闹械拿恳粋€(gè)單詞進(jìn)行掃描并建立索引，并且對(duì)該詞匯在文章當(dāng)中出現(xiàn)的位置以及次數(shù)進(jìn)行指明。一旦用戶能夠根據(jù)索引進(jìn)行查找，就可以利用檢索的過(guò)程來(lái)進(jìn)行查詢。作為按照全文檢索理論建立的軟件系統(tǒng)，全文檢索系統(tǒng)具有索引、增加索引等不同的功能。

作為全文檢索引擎工具包，Lucene是全文檢索引擎的架構(gòu)，但并不是完整的檢索引擎，它能夠?qū)ν暾牟樵円妗⑽谋痉治鲆孢M(jìn)行索引。其目的在于為開發(fā)人員提供簡(jiǎn)單的工具包，從而實(shí)現(xiàn)更好的全文檢索，或者將其作為全文檢索引擎的基礎(chǔ)。

2.對(duì)PDF文件內(nèi)部文字的搜索

Lucene只能夠直接處理文本，但在計(jì)算機(jī)當(dāng)中還存在PDF等其他的文件格式，在對(duì)這些文件進(jìn)行檢索過(guò)程當(dāng)中，需要將其轉(zhuǎn)換成統(tǒng)一格式。如果這些文檔中有些格式不公開或者是半公開的，缺乏外部操作接口，就需要逐一的進(jìn)行解決。

PDF格式文件將文字、顏色等封閉在一個(gè)文件當(dāng)中，如果想對(duì)其文本信息進(jìn)行抽取，就需要解析其文件格式。PDFBox、Xpdf等是比較常見的解析工具。利用Xpdf能夠?qū)崿F(xiàn)對(duì)PDF的相關(guān)操作，作為開源項(xiàng)目，Xpdf還可以利用Java來(lái)對(duì)PDF當(dāng)中的部分內(nèi)容進(jìn)行抽取。

3.WORD文本的抽取

WORD文檔作為復(fù)合文檔，是基于對(duì)象連接嵌入技術(shù)定義的文件系統(tǒng)結(jié)構(gòu)，除了格式信息，WORD文檔當(dāng)中還有很多的附加信息。作為Apache軟件基金會(huì)的開放源碼庫(kù)，Apache POI能夠?qū)ava程序提供出Microsoft Office格式的檔案的讀寫功能。利用Apache當(dāng)中的POI能夠?qū)ORD以及Excel文檔進(jìn)行抽取，POI項(xiàng)目能夠提供對(duì)WORD、Excel進(jìn)行訪問(wèn)的組件，并提供純Java的解決方案。

要對(duì)WORD格式進(jìn)行抽取，一般能夠采用以下兩種方法：

（1）利用POI，POI能夠?qū)ORD的文件格式進(jìn)行直接訪問(wèn)。由于Lucene以及POI都是Apache的子項(xiàng)目，因此兩者能夠無(wú)縫連接。這種方法實(shí)施簡(jiǎn)單，只要對(duì)封裝之后的POI包進(jìn)行下載，就能夠?qū)ζ溥M(jìn)行正確的配置，從而實(shí)現(xiàn)對(duì)WORD文本的抽取。

（2）利用COM-Java的方法，微軟公司的WORD程序能夠以COM的形式存在，如果能夠?qū)OM組件進(jìn)行調(diào)用，就能夠利用組件來(lái)對(duì)文本信息進(jìn)行獲取。一般來(lái)講，Jacob是COM最為常用的組件，Jacob是對(duì)Java以及COM進(jìn)行連接的中間件，但是其不能夠?qū)ORD文件進(jìn)行直接的抽取，還需要對(duì)DLL等其他文件進(jìn)行寫入。

三、即時(shí)通訊證據(jù)獲取

1.QQ工具的證據(jù)獲取

作為一款即時(shí)通信軟件，QQ支持在線聊天、文件共享等許多功能。QQ用戶每天在線人數(shù)超過(guò)一千萬(wàn)，已經(jīng)成為了目前最廣泛使用的聊天軟件之一。

針對(duì)QQ信息的提取主要是通過(guò)客戶端的方式來(lái)進(jìn)行獲取，其中涉及到漢字編碼轉(zhuǎn)換、安裝路徑等多種問(wèn)題。QQ正常登錄之后，能夠?qū)Ρ緳C(jī)上的聊天記錄進(jìn)行記錄。而對(duì)QQ的取證主要就是對(duì)其聊天記錄、群消息等數(shù)據(jù)庫(kù)文件進(jìn)行獲取。

每一個(gè)用戶的資料都會(huì)保存在QQ號(hào)碼下的文件夾當(dāng)中，其中，Ewh.db、MsgEX.db等是比較重要的文件，文件當(dāng)中后綴為.db的文件都經(jīng)過(guò)了算法加密。在MsgEX.db當(dāng)中，保存著QQ聊天記錄，利用VC++復(fù)合瀏覽器，則能夠?qū)ζ渲械膬?nèi)容進(jìn)行查看。

2.MSN的證據(jù)獲取

作為微軟網(wǎng)絡(luò)服務(wù)，MSN是微軟公司推出的及時(shí)消息軟件，能夠進(jìn)行及時(shí)的文字聊天、視頻會(huì)議等。MSN當(dāng)中的信息主要是依靠明碼發(fā)送的形式，并能夠?qū)?duì)話歷史記錄進(jìn)行保存，xml文件當(dāng)中對(duì)其記錄進(jìn)行了全部的存放，“用戶昵稱+賬號(hào)代碼.xml”是其文件夾的名稱，與此同時(shí)，還能夠?qū)τ脩艚邮艿奈募畔⑦M(jìn)行記錄。因此，想要對(duì)MSN取證需要以下兩步：第一，對(duì)存放歷史記錄的文件夾進(jìn)行獲取，第二，對(duì)MessageLog.xsl文件進(jìn)行格式解析，通過(guò)對(duì)文件的讀取，就能夠?qū)ζ錃v史記錄當(dāng)中的信息進(jìn)行獲取。

當(dāng)然在xml文件當(dāng)中，可能會(huì)同時(shí)存在多個(gè)節(jié)點(diǎn)，xml文檔對(duì)象模型提供了標(biāo)準(zhǔn)的方法來(lái)對(duì)文檔當(dāng)中的信息進(jìn)行操作。比如利用MSxml解析器能夠生成DOM樹結(jié)構(gòu)，并對(duì)文檔進(jìn)行讀取。根據(jù)xml文檔內(nèi)容對(duì)邏輯結(jié)構(gòu)進(jìn)行創(chuàng)建，文檔本身能夠包含其他的節(jié)點(diǎn)，我們通過(guò)解析器可以解析每個(gè)節(jié)點(diǎn)，并對(duì)需要的信息進(jìn)行獲得。

四、郵箱證據(jù)獲取

作為優(yōu)秀的國(guó)產(chǎn)電子郵件客戶端，F(xiàn)oxmail在郵件接發(fā)時(shí)利用了安全套接層協(xié)議，嚴(yán)格的對(duì)傳輸數(shù)據(jù)進(jìn)行加密，能夠?qū)?shù)據(jù)的安全進(jìn)行有效的保證。

對(duì)其郵件的獲取，主要分為以下兩個(gè)步驟進(jìn)行實(shí)現(xiàn)：首先，將文件解析成為單個(gè)文件；第二，解析單個(gè)文件，對(duì)郵件當(dāng)中的詳細(xì)信息進(jìn)行獲取。在安裝目錄下，我們能夠看到mail文件夾中對(duì)各賬戶的郵件信息進(jìn)行了存放，其中in.box、out.box、sent.box以及trash.box分別對(duì)應(yīng)為收件箱、發(fā)件箱、已發(fā)送郵件以及廢件箱。

我們利用二進(jìn)制查看器的方法能夠?qū)?box當(dāng)中的二進(jìn)制信息進(jìn)行查看，不管是什么郵件，其開頭都有16字節(jié)的特征信息，而在特征頭后面則為郵件的內(nèi)容。因此可以對(duì)每個(gè)郵箱文件進(jìn)行相應(yīng)的二進(jìn)制掃描，將郵箱特征頭寫到全新的.eml文件當(dāng)中，最終實(shí)現(xiàn)對(duì)全部文件的解析。

五、利用WEB瀏覽器采集歷史數(shù)據(jù)

瀏覽器是能夠?qū)W(wǎng)頁(yè)服務(wù)器當(dāng)中的HTML文件進(jìn)行顯示，并使得用戶與這些文件進(jìn)行互動(dòng)的軟件。Internet Explore等是個(gè)人電腦當(dāng)中最常見的瀏覽器，為了對(duì)網(wǎng)頁(yè)訪問(wèn)的速度進(jìn)行提高，該瀏覽器通常會(huì)利用累計(jì)式加速的方法，將訪問(wèn)過(guò)的網(wǎng)頁(yè)在電腦當(dāng)中進(jìn)行存放，我們將該空間稱之為IE緩存。用戶在日后每次對(duì)網(wǎng)站進(jìn)行訪問(wèn)時(shí)，IE都會(huì)對(duì)這個(gè)目錄進(jìn)行搜索，如果有已經(jīng)訪問(wèn)過(guò)的內(nèi)容，那么IE就不需要從網(wǎng)上直接下載，并直接從緩存當(dāng)中進(jìn)行調(diào)出，從而提高網(wǎng)站的訪問(wèn)速度，并為信息提取提供相應(yīng)的來(lái)源。默認(rèn)的IE是安裝在Windows系統(tǒng)當(dāng)中，此外還是很多用戶的默認(rèn)瀏覽器。而在對(duì)網(wǎng)頁(yè)進(jìn)行瀏覽的過(guò)程當(dāng)中，IE會(huì)對(duì)歷史記錄進(jìn)行保留，我們只要利用相應(yīng)的工具就能夠?qū)ζ渖暇W(wǎng)行為進(jìn)行分析，從而對(duì)證據(jù)進(jìn)行獲取。

結(jié)束語(yǔ)

作為一門專業(yè)性、技術(shù)性極強(qiáng)的應(yīng)用學(xué)科，隨著信息產(chǎn)業(yè)的不斷發(fā)展，計(jì)算機(jī)取證也給我國(guó)的司法工作人員提出了很大的挑戰(zhàn)。通過(guò)一定的研究我們發(fā)現(xiàn)，取證工具會(huì)與機(jī)器學(xué)習(xí)、安全技術(shù)、數(shù)據(jù)挖掘技術(shù)等開發(fā)技術(shù)相結(jié)合。與此同時(shí)，網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)也需要考慮未來(lái)取證的需要。現(xiàn)如今，在實(shí)際的工作過(guò)程當(dāng)中還比較缺乏適用的取證工具，但我國(guó)也正在投入巨大的人力、物力進(jìn)行開發(fā)，相信通過(guò)不懈的努力，最終能夠創(chuàng)造出實(shí)用的取證工具。

[1]許存芝.檔案信息的采集[J].中國(guó)檔案，2011（03）

[2]陳奇軍.基于計(jì)算機(jī)網(wǎng)絡(luò)的企業(yè)信息應(yīng)用價(jià)值及收集策略[J].中國(guó)商貿(mào)，2011（12）

[3]紀(jì)兆輝.本體的查詢與推理研究[J].微電子學(xué)與計(jì)算機(jī)，2011（10）

孫麗霞（1982-），女，漢族，山東乳山人，本科，講師職稱，主要研究方向：計(jì)算機(jī)軟件設(shè)計(jì)與信息服務(wù)；

石春菊（1981-），女，漢族，山東乳山人，本科，講師職稱。