網(wǎng)絡(luò)電子證據(jù)取證技術(shù)與反取證技術(shù)研究

杜 威，彭建新，楊奕琦

(廣東警官學(xué)院 計(jì)算機(jī)系，廣東 廣州 510232)

一、引言

隨著網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息的犯罪形式 (如網(wǎng)絡(luò)侵犯知識(shí)產(chǎn)權(quán)、網(wǎng)絡(luò)恐怖、網(wǎng)絡(luò)報(bào)復(fù)、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)欺詐等)也日趨增多。與一般的社會(huì)犯罪形式不同，網(wǎng)絡(luò)犯罪是一種新興的高技術(shù)犯罪，很多犯罪證據(jù)都以數(shù)字形式通過計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行存儲(chǔ)和傳輸。這些數(shù)字形式的犯罪證據(jù)通常與海量的正常數(shù)據(jù)混雜，難以提取且易于篡改、銷毀。

作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉性學(xué)科，網(wǎng)絡(luò)電子證據(jù)取證與反取證技術(shù)正逐漸成為人們研究與關(guān)注的焦點(diǎn)。近幾年來，我國成功組織了4次全國計(jì)算機(jī)取證技術(shù)峰會(huì)，在取證理論、取證技術(shù)、數(shù)據(jù)分析技術(shù)、反取證技術(shù)、取證業(yè)務(wù)法律、司法實(shí)踐等方面不斷完善和創(chuàng)新，但網(wǎng)絡(luò)電子取證無論是立法還是技術(shù)的研究與發(fā)達(dá)國家相比還有很大的差距。如何采用科學(xué)的技術(shù)手段從多數(shù)據(jù)源收集、鑒別、調(diào)查、分析電子證據(jù)，并能夠?yàn)榉ㄍヌ峁┚哂锌陀^性、關(guān)聯(lián)性和合法性的電子證據(jù)從而能更加有效地打擊和遏制網(wǎng)絡(luò)犯罪，這就是網(wǎng)絡(luò)電子證據(jù)取證技術(shù)所需要研究的內(nèi)容。

二、網(wǎng)絡(luò)電子證據(jù)的概念

網(wǎng)絡(luò)電子證據(jù)是指在網(wǎng)絡(luò)設(shè)備和軟件中以電子形式表現(xiàn)出來的，能夠證明案件事實(shí)的一切材料。所謂電子形式是指以介質(zhì)的、數(shù)字的、電磁的、光學(xué)的或類似性能的相關(guān)技術(shù)形式保存于計(jì)算機(jī)、磁性物、光學(xué)設(shè)備或類似設(shè)備及介質(zhì)中或通過以上設(shè)備生成、發(fā)送、接受的一切數(shù)據(jù)或信息。在司法實(shí)踐中，網(wǎng)絡(luò)電子證據(jù)主要包括電子郵件、BBS(電子公告欄)、網(wǎng)頁、鏈接、網(wǎng)上聊天記錄 (E－chat)、電子簽名、電子數(shù)據(jù)交換(EDI)、系統(tǒng)文件及日志等。［1］

三、網(wǎng)絡(luò)電子證據(jù)取證特點(diǎn)

由于網(wǎng)絡(luò)電子證據(jù)是通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，其存在形式是電磁或電子脈沖。同時(shí)，網(wǎng)絡(luò)電子證據(jù)又具有表現(xiàn)形式的多樣性、存儲(chǔ)介質(zhì)的電子性、準(zhǔn)確性、脆弱性、海量性及分散性等特點(diǎn)，因此網(wǎng)絡(luò)電子證據(jù)必須通過專門工具和技術(shù)來進(jìn)行正確的提取和分析，使之具備證明案件事實(shí)的能力。

在網(wǎng)絡(luò)電子證據(jù)取證的過程中需要著重注意以下幾個(gè)方面的特點(diǎn)［2］:

1.嫌疑網(wǎng)絡(luò)的結(jié)構(gòu)及系統(tǒng)配置，包括網(wǎng)絡(luò)服務(wù)器、工作站、交換機(jī)等硬件及網(wǎng)絡(luò)操作系統(tǒng)、有關(guān)的應(yīng)用軟件的名稱和版本等信息。

2.在網(wǎng)絡(luò)取證的過程中不要僅局限于本地計(jì)算機(jī)中的數(shù)據(jù)，要著重注意網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)報(bào)或數(shù)據(jù)流。

3.網(wǎng)絡(luò)電子證據(jù)取證的過程是動(dòng)態(tài)的。由于網(wǎng)絡(luò)電子證據(jù)的數(shù)據(jù)是動(dòng)態(tài)地進(jìn)行傳輸，因此為滿足證據(jù)的實(shí)時(shí)性和連續(xù)性，網(wǎng)絡(luò)電子證據(jù)取證也必須是動(dòng)態(tài)的。

4.網(wǎng)絡(luò)電子證據(jù)取證有時(shí)是分布式的。由于網(wǎng)絡(luò)證據(jù)的分散性，網(wǎng)絡(luò)電子證據(jù)取證有時(shí)需要部署多個(gè)聯(lián)動(dòng)的取證點(diǎn)或取證代理，從而保證了電子證據(jù)的完整性。

5.在實(shí)現(xiàn)方式上，網(wǎng)絡(luò)電子證據(jù)取證通常與網(wǎng)絡(luò)監(jiān)控技術(shù)相結(jié)合，例如入侵檢測(cè)技術(shù)和蜜網(wǎng)技術(shù)，利用網(wǎng)絡(luò)監(jiān)控技術(shù)激活取證系統(tǒng)實(shí)現(xiàn)自動(dòng)取證。

四、網(wǎng)絡(luò)電子證據(jù)取證技術(shù)

網(wǎng)絡(luò)電子取證就是指對(duì)能夠?yàn)榉ㄍソ邮?、足夠可靠和有說服性的，存在于計(jì)算機(jī)網(wǎng)絡(luò)和相關(guān)設(shè)備中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。由于電子證據(jù)自身特殊的特點(diǎn)，在取證的過程中必須保持?jǐn)?shù)據(jù)的原始性、真實(shí)性和合法性，同時(shí)在取證技術(shù)及相關(guān)輔助設(shè)備上也必須可靠、可信。

網(wǎng)絡(luò)電子取證從取證的過程上可分為靜態(tài)取證和動(dòng)態(tài)取證。靜態(tài)取證是針對(duì)網(wǎng)絡(luò)系統(tǒng)以及相關(guān)設(shè)備中的文件、日志等靜態(tài)數(shù)據(jù)的分析取證過程;動(dòng)態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測(cè)技術(shù)以及蜜罐技術(shù)中，針對(duì)存在于網(wǎng)絡(luò)數(shù)據(jù)流和運(yùn)行于計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)動(dòng)態(tài)監(jiān)控和智能分析，在確保系統(tǒng)安全的情況下獲取嫌疑人的犯罪證據(jù)。

1.IP地址獲取技術(shù)

使用Ping或Traceroute命令，Ping命令通過向目標(biāo)主機(jī)發(fā)送echo_request請(qǐng)求數(shù)據(jù)報(bào)并監(jiān)聽ICMP應(yīng)答，并且可以通過Traceroute命令可以獲知信息從源主機(jī)到互聯(lián)網(wǎng)另一端的目標(biāo)主機(jī)所通過的路徑參數(shù)，如測(cè)試時(shí)間、設(shè)備名稱及其IP地址等。

2.網(wǎng)絡(luò)數(shù)據(jù)截獲技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)包截獲技術(shù)適用于動(dòng)態(tài)即時(shí)取證的情況。即嫌疑人在進(jìn)行網(wǎng)絡(luò)犯罪的同時(shí)，偵查人員采用技術(shù)手段截獲對(duì)方的犯罪證據(jù)，通過對(duì)截獲的電子證據(jù)分析并將其呈交法庭，達(dá)到認(rèn)定犯罪、確定犯罪嫌疑人的目的。該技術(shù)主要運(yùn)用于網(wǎng)絡(luò)傳輸中，利用“抓包工具”等相關(guān)的軟件或命令可實(shí)現(xiàn)對(duì)防火墻、主機(jī)、網(wǎng)絡(luò)管理設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備等網(wǎng)絡(luò)設(shè)備中嫌疑數(shù)據(jù)的截獲。目前常用的捕獲嫌疑數(shù)據(jù)工具是嗅探器 (Sniffer)，如Windows平臺(tái)上的Sniffer工具:Netxray和Sniffer-Pro軟件;Linux平臺(tái)中的TCP Dump等，可以根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲并進(jìn)行分析。

3.數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)就是將遭受到有意或無意破壞的數(shù)據(jù)還原為正常數(shù)據(jù)的過程。嫌疑人在實(shí)施網(wǎng)絡(luò)犯罪行為后，通常會(huì)采取格式化磁盤或刪除相關(guān)文件的方式來毀滅證據(jù)，所以要想找到犯罪的證據(jù)就必須對(duì)已格式化的磁盤或已被刪除的文件進(jìn)行恢復(fù)和重建［3］。其實(shí)，磁盤的格式化只是對(duì)用于訪問文件系統(tǒng)的各種表進(jìn)行了重新構(gòu)造，同時(shí)創(chuàng)建一個(gè)新的空索引列表指向未分配的簇，因此，在格式化后，磁盤上原始數(shù)據(jù)并沒有被刪除。同樣，刪除文件也不是真正的把數(shù)據(jù)消除掉，只是把存放數(shù)據(jù)的簇釋放出來，放入未分配空間里面。這樣，我們可以使用取證軟件或工具軟件，例如TCT(The Coronor’s Toolkit)、Encase、FTK(Forensic Toolkit)、Final Data等，突破系統(tǒng)的尋址和編址方式，重新找到那些沒有被覆蓋的簇并合成原來的文件。

4.數(shù)據(jù)挖掘技術(shù) (Data Mining)

數(shù)據(jù)挖掘是一種特定應(yīng)用的數(shù)據(jù)分析、知識(shí)發(fā)現(xiàn)的過程，可以從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏知識(shí)，從而為做出正確判斷提供依據(jù)。數(shù)據(jù)挖掘的主要功能有關(guān)聯(lián)分析、分類、聚類和偏差分析等功能，每一種功能都可根據(jù)取證的不同要求為網(wǎng)絡(luò)取證所用。在對(duì)網(wǎng)絡(luò)電子證據(jù)進(jìn)行分析、挖掘之前，需將電子證據(jù)相關(guān)屬性和相應(yīng)的法律條文、證據(jù)規(guī)則進(jìn)行形式化描述形成網(wǎng)絡(luò)證據(jù)采集規(guī)則，根據(jù)采集規(guī)則在網(wǎng)絡(luò)設(shè)備上采集的數(shù)據(jù)經(jīng)過數(shù)據(jù)清洗及預(yù)處理后就可以形成數(shù)據(jù)挖掘技術(shù)能夠分析和應(yīng)用的數(shù)據(jù)集［4］。在實(shí)際應(yīng)用中，數(shù)據(jù)挖掘技術(shù)可以從海量網(wǎng)絡(luò)數(shù)據(jù)中對(duì)犯罪行為的入侵時(shí)間、IP地址、文件屬性、日志、犯罪特點(diǎn)等進(jìn)行分析和跟蹤，并能有效挖掘潛在的犯罪行為［5］。

5.IDS取證技術(shù)

入侵檢測(cè)系統(tǒng) (IDS)的主要作用是對(duì)網(wǎng)絡(luò)或系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊。由于IDS是能提供實(shí)時(shí)攻擊信息的最好工具，因此IDS新的應(yīng)用方向就是在檢測(cè)到非法入侵或惡意行為時(shí)利用入侵檢測(cè)系統(tǒng)收集電子證據(jù)，對(duì)主機(jī)上的日志信息、異動(dòng)信息，甚至是網(wǎng)絡(luò)流量變化等進(jìn)行分析，并做出快速響應(yīng)。

6.蜜阱取證技術(shù)

蜜阱 (Honeytrap)是包括蜜罐 (Honeypot)和蜜網(wǎng) (Honeynet)等以誘騙技術(shù)為核心的網(wǎng)絡(luò)安全技術(shù)［6］。蜜罐的方法是構(gòu)造一個(gè)虛擬的系統(tǒng)、服務(wù)或環(huán)境以詐騙攻擊者對(duì)其發(fā)起攻擊。在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在系統(tǒng)中記錄下攻擊者完整的攻擊流程、路徑等對(duì)取證極為有利的信息。對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒，系統(tǒng)安全防護(hù)人員無法得到諸如嫌疑人、攻擊目的、攻擊方法、時(shí)間等重要信息。而蜜罐進(jìn)出的數(shù)據(jù)大部分都是攻擊流量，技術(shù)人員查詢、分析攻擊者的實(shí)際行為也就容易多了。因此蜜罐技術(shù)使得取證工作更加容易，因?yàn)樗蟠鬁p少了所要分析的數(shù)據(jù)。蜜網(wǎng)是蜜罐技術(shù)的高級(jí)形式，它是在一臺(tái)或多臺(tái)蜜罐主機(jī)的基礎(chǔ)上，結(jié)合防火墻、路由器、入侵檢測(cè)系統(tǒng)等設(shè)備面形成的網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)關(guān)注、捕獲及控制所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，能夠采取有效的防范措施保護(hù)網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)犯罪行為發(fā)生時(shí)，可以利用這些捕獲的數(shù)據(jù)來監(jiān)視入侵者的行徑、策略、工具和目標(biāo)，從而自動(dòng)收集相關(guān)的電子證據(jù)，實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)取證。

此外，用于網(wǎng)絡(luò)電子證據(jù)取證及證據(jù)分析的技術(shù)還有日志分析技術(shù)、惡意代碼技術(shù)［7］、數(shù)據(jù)監(jiān)控技術(shù)、掃描技術(shù)等，這些技術(shù)對(duì)于網(wǎng)絡(luò)取證及證據(jù)分析也有很重要的作用。

五、反取證技術(shù)

在網(wǎng)絡(luò)取證技術(shù)蓬勃發(fā)展的同時(shí)，反取證技術(shù)也在快速發(fā)展。所謂網(wǎng)絡(luò)反取證技術(shù)，就是通過數(shù)據(jù)隱藏、數(shù)據(jù)刪除、數(shù)據(jù)加密等計(jì)算機(jī)技術(shù)刪除、隱藏、加密涉案電子證據(jù)，抹除作案痕跡［8］137－143。網(wǎng)絡(luò)反取證的目的在于對(duì)抗網(wǎng)絡(luò)取證，以使不法行為逃避法律的制裁。

1.數(shù)據(jù)隱藏

數(shù)據(jù)隱藏是指嫌疑人把暫時(shí)不需要?jiǎng)h除的文件進(jìn)行偽裝并存儲(chǔ)在不容易被取證人員察覺的位置或磁盤的隱藏空間中，逃避取證人員的調(diào)查。數(shù)據(jù)隱藏僅適用于短期的數(shù)據(jù)保存。數(shù)據(jù)隱藏主要包括:文件的隱藏、磁盤的隱藏、“我的電腦”的隱藏、“回收站”的隱藏等。

文件的隱藏可以通過更改后綴名或?qū)⑵鋵傩愿臑椤半[藏”屬性的方法實(shí)現(xiàn)，磁盤的隱藏、“我的電腦”的隱藏、“回收站”的隱藏等可以通過修改注冊(cè)表中相關(guān)對(duì)象的屬性值來實(shí)現(xiàn)。

2.數(shù)據(jù)刪除

數(shù)據(jù)隱藏只有在取證人員不知道到哪里尋找證據(jù)時(shí)才有效，而數(shù)據(jù)刪除則清除所有的證據(jù)。數(shù)據(jù)刪除是目前最有效的反取證方法，它是指清除所有可能的證據(jù)索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)。倘若原始數(shù)據(jù)不存在了，取證自然就無法進(jìn)行。

文件刪除的主要原理是采用多次覆蓋的方法來達(dá)到完全刪除重要文件的目的，即在目標(biāo)文件所在的硬盤扇區(qū)上反復(fù)多次寫入無用的數(shù)據(jù)，并進(jìn)行多次地覆蓋，從而達(dá)到使得調(diào)查取證人員無法獲取有用信息。比較常見的徹底刪除軟件有CleanDiskSecurity、File Pulverizer(文件粉碎機(jī))、Privacy Expert、Necrofile、Klismafile、 Deganussers等等。使用這些軟件對(duì)文件進(jìn)行刪除之后，文件將不能再被恢復(fù)。

對(duì)于一般的文件記錄或歷史信息的刪除方法可以采用手動(dòng)刪除法，也可以采用一些軟件工具進(jìn)行刪除。常見的軟件工具有Yahoo助手、卡卡上網(wǎng)安全助手、360safe，Windows全能優(yōu)化王、Windows優(yōu)化大師等。

3.數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)原本是為保護(hù)數(shù)據(jù)安全，防止信息泄密而研發(fā)。數(shù)據(jù)加密技術(shù)廣泛應(yīng)用于商業(yè)、軍事、信息、安全等領(lǐng)域，由于加密后的數(shù)據(jù)往往很難被破解，所以加密技術(shù)也常常被嫌疑人用于逃避網(wǎng)絡(luò)取證。反取證中涉及的數(shù)據(jù)加密技術(shù)可分為文件的加密、應(yīng)用程序 (軟件)的加密和磁盤加密三類。

對(duì)于文件加密的常用方法一方面可以采用某些文件 (如Office、WPS、壓縮文件等)本身所具有的加密功能進(jìn)行加密，如Office中的“工具/選項(xiàng)/安全性”可以對(duì)本文件進(jìn)行加密處理;另一方面也可以對(duì)文件采用軟件加密法，軟件加密操作簡單而且加密后一般不易破解。常見的優(yōu)化大師、文件加鎖王、加密金剛鎖、Steganos Security Suit等都具有加密的功能。以上兩種加密方法可以結(jié)合使用，從而給文件加上雙層密碼，這樣一來破解密碼的難度增加，一般的解密軟件很難將此加密文件解密。

六、小結(jié)

雖然反取證技術(shù)的應(yīng)用會(huì)對(duì)取證造成很大的威脅，并可能造成嚴(yán)重的后果。但取證技術(shù)和反取證技術(shù)的發(fā)展是相輔相成的，反取證技術(shù)是取證技術(shù)的練兵場，為取證技術(shù)提供了發(fā)展方向。只有清楚地掌握反取證技術(shù)的特點(diǎn)及可能造成的后果，才能更加有效地促進(jìn)取證技術(shù)的發(fā)展，取證技術(shù)人員才能開發(fā)出更加完備、高效地取證工具和技術(shù)，并找出入侵者利用反取證技術(shù)破壞的犯罪證據(jù)，最終將其繩之以法。

［1］李蘋，陳立毅．刑事電子證據(jù)的收集與運(yùn)用問題研究［J］．貴州警官職業(yè)學(xué)院學(xué)報(bào)，2009，(4):54－60．

［2］張俊，麥永浩，張?zhí)扉L．論黑客入侵的網(wǎng)絡(luò)取證［J］．警察技術(shù)，2006，(4):21－23．

［3］游君臣，彭尚源．基于數(shù)據(jù)恢復(fù)技術(shù)的計(jì)算機(jī)取證應(yīng)用 ［J］．甘肅科技，2005，(9):53－55．

［4］董曉梅，王大玲，于戈，等．電子證據(jù)的獲取及可靠性關(guān)鍵技術(shù)研究［J］．計(jì)算機(jī)科學(xué)，2004，(6):143－145．

［5］張基溫，魏士靖．關(guān)聯(lián)規(guī)則技術(shù)在計(jì)算機(jī)犯罪取證中的應(yīng)用 ［J］．微計(jì)算機(jī)應(yīng)用，2007，(7):776－779．

［6］蔣平，楊莉莉．電子證據(jù) ［M］．北京:清華大學(xué)出版社，2007．

［7］王曉平．惡意代碼的入侵檢測(cè)技術(shù)研究 ［J］．哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，(3):124－125．

［8］殷聯(lián)甫．計(jì)算機(jī)取證技術(shù)［M］．北京:科學(xué)出版社，2008．