◆肖俊飛

計(jì)算機(jī)取證技術(shù)研究

◆肖俊飛

（廣西海警第一支隊(duì)司令部 廣西 536000）

隨著個(gè)人計(jì)算機(jī)、國(guó)際互聯(lián)網(wǎng)的應(yīng)用廣泛普及化、以及其計(jì)算能力的快速發(fā)展，在全球化通信及信息交換成為現(xiàn)實(shí)的同時(shí)隨之而來(lái)的計(jì)算機(jī)犯罪行為也日益增多，而存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備中的電子證據(jù)逐漸成為新的公訴證據(jù)之一，所以計(jì)算機(jī)取證正日益成為各國(guó)各研究機(jī)構(gòu)和公司對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪的重點(diǎn)研究課題。

計(jì)算機(jī)取證；電子證據(jù)；取證技術(shù)；陷阱網(wǎng)絡(luò)

0 引言

0.1 計(jì)算機(jī)取證的概念

計(jì)算機(jī)取證就是一種可以被法庭采信、且真實(shí)可靠有說服力的，其通常來(lái)源于電腦及相關(guān)設(shè)施的電子憑證的確立、歸集、保護(hù)、解析、保存和于法庭中進(jìn)行出示的一系列過程[1]。

由于計(jì)算機(jī)取證的方式可以應(yīng)用到涉及大量和其相關(guān)的犯罪及其他事故中，如網(wǎng)絡(luò)犯罪、盜版、網(wǎng)絡(luò)詐騙等，因此其當(dāng)下為各個(gè)公司及政府單位在信息安全方面的最基礎(chǔ)工作。

0.2 電子證據(jù)

1 取證的原則

在實(shí)際進(jìn)行犯罪證據(jù)取證的時(shí)候，一定是要嚴(yán)格遵循法律原則的。這些原則也是一定要在計(jì)算機(jī)取證中進(jìn)行遵守的：

（1）盡可能早地進(jìn)行取證，同時(shí)要確保證據(jù)的完整性；

（2）就證據(jù)本身而言必須是“連續(xù)性”的，也就是說當(dāng)證據(jù)被提交到法庭的時(shí)候，可以表明其是從最原始的前提下獲得且直到傳遞到法庭沒有任何的改變；

（3）在檢查、取證的整個(gè)過程都必須處于監(jiān)督之下。通常來(lái)說就是，原告所委派的任何專家進(jìn)行的任何取證都必須有其他方面進(jìn)行監(jiān)督。

2 計(jì)算機(jī)取證工具及陷阱網(wǎng)絡(luò)

2.1 取證工具

在計(jì)算機(jī)取證的時(shí)候，在基于必需的方法、經(jīng)驗(yàn)之外，通常還會(huì)涉及一些軟件的使用。其中數(shù)據(jù)的提取、分析應(yīng)用到的軟件是相關(guān)專家需要的最基礎(chǔ)工具。這里面涉及操作系統(tǒng)自帶的部分工具還有特定的相關(guān)工具軟件或者是工具包。例如tcpdump、NFR、network等等。

2.2 陷阱網(wǎng)絡(luò)

通常情況下被害人都是自系統(tǒng)被入侵之后才會(huì)想到去進(jìn)行證據(jù)的收集，進(jìn)而將犯罪分子繩之以法。然而絕大多數(shù)情況下，犯罪分子都會(huì)將其留下的蛛絲馬跡進(jìn)行清除或者隱藏，從而導(dǎo)致取證工作非常的麻煩和煩瑣[2]。

常說的陷阱網(wǎng)絡(luò)則是由設(shè)置于網(wǎng)絡(luò)里面的多個(gè)陷阱機(jī)及遠(yuǎn)程管理端構(gòu)成。此類設(shè)置于網(wǎng)絡(luò)中的陷阱機(jī)可以通過組合的方式構(gòu)成一個(gè)網(wǎng)絡(luò)安全方面的主動(dòng)防御體系，從而達(dá)到提升網(wǎng)絡(luò)安全的初衷。

立足上述立法背景存在的現(xiàn)實(shí)需求，以《知識(shí)產(chǎn)權(quán)基本法》的指導(dǎo)思想為指導(dǎo)，《知識(shí)產(chǎn)權(quán)基本法》立法應(yīng)當(dāng)秉持如下原則。

2.2.1陷阱機(jī)的概念

陷阱機(jī)實(shí)際上為一類專門設(shè)計(jì)來(lái)被“攻陷”的網(wǎng)絡(luò)、主機(jī)，若其被攻入，那么入侵者涉及的任何信息都將被特定的工具記錄下來(lái)，從而其將被解析，也可能會(huì)成為控告入侵者的證據(jù)。

陷阱機(jī)是基于網(wǎng)絡(luò)開放性這個(gè)特性進(jìn)行設(shè)計(jì)的。任何系統(tǒng)只要和網(wǎng)絡(luò)連接，其都有機(jī)會(huì)暴露在探知和攻擊之下。

2.2.2 Honeypot

Honeypot:即常說的蜜罐系統(tǒng)。僅從其名稱上就可以知道其是用于吸引入侵者的。其原理是通過模擬一系列常見的漏洞，在操作系統(tǒng)或其他系統(tǒng)上進(jìn)行設(shè)計(jì)從而使其形成一個(gè)“牢籠”主機(jī)，進(jìn)而最終實(shí)現(xiàn)對(duì)入侵者進(jìn)行誘騙。

2.2.3 Honeynet

Honeynet:就是所說的陷阱網(wǎng)絡(luò)，是基于對(duì)黑客思想進(jìn)行的相關(guān)研究及解析。應(yīng)用一個(gè)隱藏于防火墻之后的網(wǎng)絡(luò)體系，從而實(shí)現(xiàn)對(duì)任何出入數(shù)據(jù)的關(guān)注、獲取和控制。這些數(shù)據(jù)都作為研究和解析黑客采用的工具、方式、動(dòng)機(jī)的數(shù)據(jù)源。

3 反取證技術(shù)

3.1 反取證

計(jì)算機(jī)取證涉及的理論及相關(guān)的軟件為2018年度在涉及的計(jì)算機(jī)安全方面最為奪目的成果，但是就當(dāng)下采用的電腦取證涉及的理論、具體軟件進(jìn)行深入的分析不難發(fā)現(xiàn)，眼下其所涉及的理論、工具都還有非常巨大的提升空間。

3.2 反取證技術(shù)分類

簡(jiǎn)單來(lái)說當(dāng)下反取證技術(shù)大致可以分為三類：1)數(shù)據(jù)清除;2)數(shù)據(jù)隱藏;3)數(shù)據(jù)加密。并且此三類技術(shù)還可以進(jìn)行聯(lián)合應(yīng)用，這就極大地提升了取證工作的難度和準(zhǔn)確性。

3.2.1數(shù)據(jù)擦除

數(shù)據(jù)擦除作為當(dāng)下反取證的最佳方式，其所指的是清除任何潛在的證據(jù)（索引、目錄、塊數(shù)據(jù)等涉及的原始數(shù)據(jù)）。當(dāng)原始數(shù)據(jù)無(wú)法獲得的情況下取證就理所應(yīng)當(dāng)無(wú)法開展。

反取證工具包（TDT）中有兩種專門用于數(shù)據(jù)清除的工具軟件，分別為Necrofile、Klismafile。前者常用于對(duì)文件信息、數(shù)據(jù)的清除，其通過將TCT中設(shè)計(jì)的索引節(jié)點(diǎn)包含的工具進(jìn)行占據(jù)，將任何TCT有可能發(fā)現(xiàn)的索引節(jié)點(diǎn)的相關(guān)信息進(jìn)行覆蓋，并且還用隨機(jī)數(shù)進(jìn)行相關(guān)數(shù)據(jù)塊的重寫[3]。

3.2.2數(shù)據(jù)隱藏

基于取證逃脫的意圖，罪犯會(huì)將短時(shí)間無(wú)法迅速刪除掉的文檔進(jìn)行偽裝，比如在文件類型方面的偽裝、隱藏到圖形、影像、音樂等文件中；還有一些將此類數(shù)據(jù)文件放到磁盤自身的隱藏空間里面，例如runefs這種反取證工具即利用了TCT無(wú)法對(duì)磁盤損壞處進(jìn)行檢查的原理，從而將相關(guān)的犯罪數(shù)據(jù)或文件標(biāo)記為壞塊實(shí)現(xiàn)逃脫取證的目的。

3.2.3加密數(shù)據(jù)

加密數(shù)據(jù)文件相關(guān)的作用已是耳熟能詳?shù)牧恕２捎眠@種方式是因?yàn)楸蝗肭值碾娔X或主機(jī)中運(yùn)行了入侵者運(yùn)行的不可能被隱藏的程序，但是入侵者又想逃脫取證人員通過反向分析的方式獲得這些程序的功能。雖然這些文件加密具體涉及的方式可以根據(jù)涉及的主機(jī)CPU及操作系統(tǒng)的改變而改變，然而其基本的原理是一致的；即運(yùn)行之初通過一個(gè)文本解密的程序?qū)用艽a進(jìn)行解密，其解密的代碼可能是其他程序、黑客程序、甚至其他的解密程序。

4 取證的局限性

在上述內(nèi)容之外，在進(jìn)行計(jì)算機(jī)取證時(shí)涉及的其他局限也是非常有研究?jī)r(jià)值的，例如磁盤數(shù)據(jù)恢復(fù)、反向工程、解密等等。

4.1 磁盤數(shù)據(jù)恢復(fù)

應(yīng)用磁力顯微鏡（MFN），此類專業(yè)工具可對(duì)磁盤中的一層或兩層數(shù)據(jù)進(jìn)行恢復(fù)。因?yàn)閿?shù)據(jù)是非常難做到精確地寫回原位，因此即便采用多次的隨機(jī)覆蓋之后，其原數(shù)據(jù)還是有被找出的可能性。

4.2 反向工程

對(duì)被黑主機(jī)上存在的可以進(jìn)行解析的程序進(jìn)行解析，也是電腦取證工作的重要組成。當(dāng)下可應(yīng)用于UNIX系統(tǒng)中的二進(jìn)制程序展開分析的軟件是極為稀少的，其更適用于程序的調(diào)試而非反向工程，尤其是可執(zhí)行程序在壓縮、加密等技術(shù)的應(yīng)用，導(dǎo)致反向工程難度不斷提升[4]。從而若想從計(jì)算機(jī)罪犯應(yīng)用的軟件功能方面進(jìn)行解析就必須借助于專業(yè)的反向分析人員的力量。

4.3 加密技術(shù)

伴隨計(jì)算機(jī)犯罪分子更加傾向于應(yīng)用加密技術(shù)對(duì)可能涉及的核心文件進(jìn)行保存，想要獲得最初始的證據(jù)，這就要求取證者對(duì)涉及的加密文件進(jìn)行解密。為此，在進(jìn)行加密文件的調(diào)查時(shí)，還是要應(yīng)用到相關(guān)的解密技術(shù)。

5 結(jié)束語(yǔ)

由于計(jì)算機(jī)取證自身的局限性和計(jì)算機(jī)犯罪手段的不斷提高（特別是反取證軟件的出現(xiàn)），使得現(xiàn)在所有的取證技術(shù)已經(jīng)不能完全滿足打擊計(jì)算機(jī)犯罪的要求了。另外，由于目前的取證軟件的功能都集中在磁盤分析上，而其他的工作還得全部依賴于取證專家人工進(jìn)行，幾乎造成計(jì)算機(jī)取證軟件等同于磁盤分析軟件的錯(cuò)覺。這些情況必將隨著對(duì)計(jì)算機(jī)取證研究工作的深入和新的取證軟件的開發(fā)而得到改善。此外，計(jì)算機(jī)取證技術(shù)還會(huì)受到其他計(jì)算機(jī)理論和技術(shù)的影響。

[1]李福琳.計(jì)算機(jī)數(shù)據(jù)取證修復(fù)技術(shù)研究[J].信息系統(tǒng)工程，2018.

[2]褚洪波.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].南方農(nóng)機(jī)，2018.

[3]李亞軒.信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[4]信息犯罪與計(jì)算機(jī)取證[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2018.