1、第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 1第第8 8章章 數字取證技術數字取證技術8.1 數字取證概述數字取證概述8.2 電子證據電子證據8.3 數字取證原則和過程數字取證原則和過程8.4 網絡取證技術網絡取證技術8.5 數字取證常用工具數字取證常用工具 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 2 8.1 數字取證概述數字取證概述 隨著計算機及網絡技術的高速發展和廣泛應用，利用計算機進行犯罪也在日趨增加。要想遏制這類犯罪案件的發生, 就需要能證明犯罪的證據, 從計算機中提取證據成為案件偵破的關鍵。計算機取證對于起訴這類

2、犯罪行為至關重要。 計算機犯罪取證（數字取證）也被稱為計算機法醫學，是指把計算機看做犯罪現場，運用先進的辨析技術，對電腦犯罪行為進行法醫式的解剖，搜尋確認罪犯及其犯罪證據，并據此提起訴訟。它作為計算機領域和法學領域的一門交叉科學，正逐漸成為人們關注的焦點。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 3 利用計算機和其他數字產品進行犯罪的證據都以數字形式通過計算機或網絡進行存儲和傳輸，從而出現了電子證據。電子證據是指以電子的、數字的、電磁的、光學的或類似性能的相關技術形式保存記錄于計算機、磁性物、光學設備或類似設備及介質中或通過以上設備生成、發送、接受的能夠證

3、明刑事案件情況的一切數據或信息。 數字證據是指任何使用計算機存儲和傳輸的數據，用于支持和反駁犯罪發生的推測，或者用于表述諸如動機、犯罪現場等的犯罪關鍵要素。一般情況數字證據與電子證據經常交替使用。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 4 數字取證主要是對電子證據識別、保存、收集、分析和呈堂，從而揭示與數字產品相關的犯罪行為或過失。 數字取證技術將計算機調查和分析技術應用于對潛在的、有法律效力的電子證據的確定與獲取，同樣它們都是針對黑客和入侵的，目的都是保障網絡的安全。 從計算機取證技術的發展來看，先后有數字取證（Digital Forensics）、電

4、子取證（Electric Forensics）、計算機取證（Computer Forensic）、網絡取證（Networks Forensics）等術語。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 51電子取證 電子取證則主要研究除計算機和網絡以外的電子產品中的數字證據獲取、分析和展示，如數碼相機、復印機、傳真機甚至有記憶存儲功能的家電產品等。2. 計算機取證 計算機取證的主要方法有對文件的復制、被刪除文件的恢復、緩沖區內容獲取、系統日志分析等等，是一種被動式的事后措施，不特定于網絡環境。3網絡取證 網絡取證更強調對網絡安全的主動防御功能，主要通過對網絡數據流

5、、審計、主機系統日志等的實時監控和分析，發現對網絡系統的入侵行為，記錄犯罪證據，并阻止對網絡系統的進一步入侵。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 6 8.2 電子證據電子證據8.2.1 電子證據的特點電子證據的特點 電子證據以文本、圖形、圖像、動畫、音頻、視頻等多種信息形式表現出來。證據一經生成，會在計算機系統、網絡系統中留下相關的痕跡或記錄并被保存于系統自帶日志或第三方軟件形成的日志中，客觀真實地記錄了案件事實情況。但由于計算機數字信息存儲、傳輸不連續和離散，容易被截取、監聽、剪接、刪除，同時還可能由于計算機系統、網絡系統、物理系統的原因，造成其變化

6、且難有痕跡可尋。刑事電子證據的特點要求數字取證應遵循電子證據的特點，嚴格執行證據規則，客觀、真實、合法，利用專門工具、專業人士取證保證，司法活動合法、高效、公正。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 78.2.2 數字證據存在的問題數字證據存在的問題1.數字證據只是片斷或摘要數字證據只是片斷或摘要 計算機在工作時產生數據冗余只是人們操作電腦的一部分，對于鼠標的電擊，鍵盤的敲打是記錄不下來的。所以記錄的數字證據只是片斷或摘要。 2.容易被改變容易被改變 所有的證據都要證明它的真實性和惟一性。而電子數據證據的特殊數據信息形式，需要計算機技術和原有的操作系統環

7、境才能再現數據形式。此外，從目前數字技術來說，所有的數字記錄都很難說明是否是原存儲介質中的資料，是否進行了修改，在證據中很難鑒別。目前的做法多是從旁證上同電子證據一起形成證據鏈，認定犯罪事實。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 83.模糊的證據形式 我國刑事訴訟法中明確規定七種形式的證據：物證、書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定結論；勘驗、檢查筆錄；視聽資料。對于日益增多的計算機犯罪案件中，只能根據具體的情況把電子證據作為視聽資料、物證或者書證使用，以便讓電子證據具有法律根據，在公安、檢察、法院三家認定上也有不同的看法，從而

8、使得在一些案件中即使抓住了犯罪嫌疑人，在移送起訴階段由于對證據的采信上的不同認識而導致認定的障礙。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 98.2.3 常見電子設備中的電子證據常見電子設備中的電子證據 電子證據幾乎無所不在。如計算機中的內存、硬盤、光盤、移動存儲介質、打印機、掃描儀、帶有記憶存儲功能的家用電器等。 在這些存儲介質中應檢查的應用數據包括: 1用戶自建的文檔； 2用戶保護文檔； 3計算機創建的文檔； 4其他數據區中的數據證據； 5ISP計算機系統創建的文檔、ftp文件等。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀

9、書 10 8.3 數字取證原則和過程數字取證原則和過程8.3.1 數字取證原則數字取證原則 1盡早搜集證據，并保證其沒有受到任何破壞； 2必須保證取證過程中計算機病毒不會被引入到目標計算機； 3必須保證“證據連續性”，即在證據被正式提交給法庭時必須保證一直能跟蹤證據，要能夠說明用于拷貝這些證據的進程是可靠、可復驗的等； 4整個檢查、取證過程必須是受到監督的； 5必須保證提取出來的可能有用的證據不會受到機械或電磁損害； 6被取證的對象如果必須運行某些商務程序，只能影響一段有限的時間； 7應當尊重不小心獲取的任何關于客戶代理人的私人信息。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為

10、中華之崛起而讀書 118.3.2 數字取證過程數字取證過程 數字取證的過程一般可劃分為四個階段：電子證據的確定和收集、電子證據的保護、電子證據的分析、展示階段。1電子證據的確定和收集 要保存計算機系統的狀態，避免無意識破壞現場，同時不給犯罪者破壞證據提供機會，以供日后分析。包括封存目標計算機系統并避免發生任何的數據破壞或病毒感染，繪制計算機犯罪現場圖、網絡拓撲圖等，在移動或拆卸任何設備之前都要拍照存檔，為今后模擬和還原犯罪現場提供直接依據。在這一階段使用的工具軟件由現場自動繪圖軟件、檢測和自動繪制網絡拓撲圖軟件等組成。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀

11、書 12 獲取證據從本質上說就是從眾多的未知和不確定性中找到確定性的東西。這一步使用的工具一般是具有磁盤鏡像、數據恢復、解密、網絡數據捕獲等功能的取證工具。 要注意以下幾個方面：（1）收集數據前首先要咨詢證人使用計算機的習慣。（2）可以通過質疑來獲取目標計算機網絡上的相關信息。（3）咨詢系統管理員和其他可能與計算機系統有關的人員，確保掌握了關于備份系統的所有信息和數據可能的儲存位置。（4）不要對硬盤和其他媒介進行任何操作，甚至不要啟動它們。（5）必須保護所有的媒介，對所有媒介進行病毒掃描。（6）牢記“已刪除”并不意味著真的刪除了。（7）對不同類型的計算機采取不同的策略。第第8 8章章 數字取證

12、技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 132電子證據的保護 這一階段將使用原始數據的精確副本，應保證能顯示存在于鏡像中的所有數據，而且證據必須是安全的，有非常嚴格的訪問控制。為此必須注意以下幾點： （l）通過計算副本和原始證據的hash值來保證取證的完整性； （2）通過寫保護和病毒審查文檔來保證數據沒有被添加、刪除或修改； （3）使用的硬件和軟件工具都必須滿足工業上的質量和可靠性標準； （4）取證過程必須可以復驗； （5）數據寫入的介質在分析過程中應當寫保護，以防止被破壞。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 143.電子證據的分析 具

13、體包括：文件屬性分析技術；文件數字摘要分析技術；日志分析技術；密碼破譯技術等。分析階段首先要確定證據的類型，主要可分為三種： （1）使人負罪的證據，支持已知的推測； （2）辨明無罪的證據，同已知的推測相矛盾； （3）篡改證據，以證明計算機系統已被篡改而無法用來作證。4展示階段 給出調查所得結論及相應的證據，供法庭作為公訴證據。還要解釋是如何處理和分析證據的，以便說明監管鏈和方法的徹底性。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 15 目前，計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化，計算機犯罪取證還需要更高的技術。 1.數據復制技術 數據復制包

14、括數據備份、數據鏡像、拍照、攝像等。如，具有視聽資料的證據，可以采用拍照、攝像的方法對取證全程進行拍照、攝像，增加證明力、防止翻供。案發后，通過數據鏡像將備份迅速恢復到另一臺主機上，在映像上進行分析工作要比在原件上操作更安全。8.3.3 數字取證技術數字取證技術第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 16 2.信息加密技術 信息加密是信息安全的主要措施之一，是通過密鑰技術，來保護在公用通信網絡中傳輸、交換和存儲的信息的機密性、完整性和真實性。數據加密技術是所有網絡上通信安全所依賴的基本技術。有三種方式：鏈路加密方式、節點對節點加密方式和端對端加密方式。鏈路

15、加密方式是一般網絡通信安全主要采取這種方式。鏈路加密方式把網絡上傳輸的數據報文每一個比特進行加密。不但對數據報文正文加密，而且把路由信息、校驗和等控制信息全部加密。端對端加密方式由發送方加密的數據在沒有到達最終目的地接受節點之前是不被解密的，加解密只是在源、目的節點進行。端對端加密方式是將來的發展趨勢。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 173.數據復原技術 電子證據復原即對不同程度上數據的破壞所進行的恢復，及不可見區域數據的恢復。大多數計算機系統都有自動生成備份數據和恢復數據、剩余數據的功能，有些重要的數據庫安全系統還會為數據庫準備專門的備份。這些

16、系統一般是由專門的設備、專門的操作管理組成，較難篡改。因此，當發生計算機犯罪，其中有關證據已經被修改、破壞時，可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復，獲取定案所需證據。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 184. 數據截取技術 數據截取是指在犯罪者進行計算機犯罪的同時，偵查人員利用某些技術把犯罪證據進行截獲的技術。數據截取就是通過傳輸介質進行截取，數據傳輸分為有線傳輸和無線傳輸，在有線傳輸中采用網絡監聽，網絡監聽需要主機網卡設置為混雜模式，主機就能接受本網段內在統一物理通道上傳輸的所有信息，來獲取本某次通信中的信息。常用的工具由

17、Sniffer、TCP Dump。無線傳輸通道的截獲是通過電磁波捕獲。通過對捕獲的證據進行分析作為犯罪證據。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 195. 數據欺騙技術 進行數據欺騙所采取的手段主要是陷阱和偽裝等。通過構造一個虛擬等系統、服務或環境誘騙攻擊者對其發起進攻。這種方式多用于網絡攻擊中的證據的獲取，在攻擊者不知情的情況下，取證系統就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實攻擊或入侵行為的有力證據。蜜罐和迷網就是廣泛使用的陷阱工具。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 206.數字簽名技術和

18、數字時間戳技術 數字簽名和數字時間戳都可以證明數據有效性的內容。通常要進行時間標記的信息內容包括：被調查機器的硬盤的映像文件、關機前被保留下來的所有信息、在收集證據過程中得到的證據、在可疑機器上得到的調查結果、調查人員每天得到的副本等。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 217. 掃描技術 掃描技術可分為主機掃描和網絡掃描。端口掃描技術和漏洞掃描技術是網絡安全掃描技術中的兩種核心技術，并且廣泛運用于當前較成熟的網絡掃描器中，如Superscan和X-scan。端口掃描是通過與目標系統的TCP/IP端口連接，并查看該系統處于監聽或運行狀態的服務。漏洞掃

19、描通常是在端口掃描的基礎上，對得到的信息進行相關處理，進而檢測出目標系統存在的安全漏洞。 隨著數字取證技術和安全技術的融合發展，數字取證技術有效地抑制了網絡安全事件和計算機犯罪的發生，我們的網絡世界將會愈來愈安全和諧。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 22 8.4 網絡取證技術網絡取證技術8.4.1 網絡取證概述網絡取證概述 網絡流的相關性、數據的完整性和包捕獲的速率是網絡取證、分析首要考慮的事情。相關性是指在某些環境下，應當在捕獲網絡流時應用過濾器去掉不相關的數據。數據的完整性要求網絡取證工具應當一直監控網絡流。 網絡取證對數據的保護和一般的數字取

20、證過程要求相同，網絡取證分析的相關技術包括人工智能、機器學習、數據挖掘、IDS技術、蜜阱技術、SVM和專家系統等。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 238.4.2 網絡取證模型網絡取證模型 根據網絡攻擊一般過程，網絡取證模型如圖所示。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 248.4.3 IDS取證技術取證技術 將計算機取證結合到入侵檢測等網絡安全工具和網絡體系結構中進行動態取證，可使整個取證過程更加系統并具有智能性和實時性，并且還能迅速做出響應。 IDS取證的具體步驟如下: （l）尋找嗅探器（如sniffer

21、）； （2）尋找遠程控制程序 ； （3）尋找黑客可利用的文件共享或通信程序 ； （4）尋找特權程序 ； （5）尋找文件系統的變動；第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 25 （6）尋找未授權的服務； （7）尋找口令文件的變動和新用戶； （8）核對系統和網絡配置，特別注意過濾規則； （9）尋找異常文件，這將依賴于系統磁盤容量的大小； （10）查看所有主機，特別是服務器； （11）觀察攻擊者，捕獲攻擊者，找出證據； （12）如果捕獲成功則準備起訴，如立刻聯系律師等； （13）做完全的系統備份，將系統備份轉移到單用戶模式下，在單用戶模式下制作和驗證備份。第第8

22、 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 26 在收集證據過程中，還要監視攻擊者，監視時要注意以下幾點： （1）最好利用備份作掩護來暗中監視攻擊者，因為攻擊者如果發現自己被監視，就會離開甚至破壞主機； （2）多查看shell命令歷史記錄，如果攻擊者忘記清除該歷史記錄，就可以清楚地了解他們使用過什么命令； （3）對付攻擊者可以使用“以毒攻毒”的辦法； （4）最后要記住適時退出系統，因為斷開網絡一兩天是整理系統的最容易的辦法，以提高安全性和日志功能。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 278.4.4蜜阱取證技術蜜阱取證技術

23、蜜阱是包括蜜罐和蜜網等以誘騙技術為核心的網絡安全技術。它是一種精心設計的誘騙系統，當黑客攻擊時，它能夠監視攻擊者的行徑、策略、工具和目標，從而自動收集相關的電子證據，實現實時網絡取證。 利用蜜阱進行取證分析時，一般遵循如下原則和步驟： 1確定攻擊的方法、日期和時間（假設IDS的時鐘和NTP參考時間源同步）； 2盡可能多地確定有關入侵者的信息；第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 28 3列出所有入侵者添加或修改的文件，并對這些程序（包括末編譯或未重組部分，因為這些部分可能對確定函數在此事件中的作用和角色有幫助）進行分析。 4建立一條事件時間線，對系統行為

24、進行詳細分析，注意確認證據的來源； 5給出適合管理層面或新聞媒體需要的報告； 6對事故進行費用估計。 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 298.4.5 模糊專家系統取證技術模糊專家系統取證技術 Jun-Sun Kim等人開發了一個基于模糊專家系統的網絡取證系統，由六個組件組成，如教材P214圖8-4所示。 1網絡流分析器組件。完成網絡流的捕獲和分析，它要求捕獲所有的網絡流，為了保證數據的完整性。 分析器應用規則對捕獲的網絡流進行重組，這種分類數據包的規則是協議相同的和時間連續的。 2知識庫組件。存儲模糊推理引擎所使用的模糊規則，其形式為：IF X1=

25、A1 and X2=A2and Xn=An THEN Y=Z 第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 30 3模糊化組件。確定每個語義變量的模糊集所定義的隸屬函數和每個模糊集中輸入值的隸屬度。 4模糊推理引擎組件。當所有的輸入值被模糊化為各自的語義變量，模糊推理引擎訪問模糊規則庫，進行模糊運算，導出各語義變量的值。 5反模糊化組件。運用“最小-最大”運算產生輸出值，作為取證分析器的輸入。 6取證分析器。判斷捕獲的數據包是否存在攻擊，它的主要功能是收集數據、分析相關信息，并且生成數字證據。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起

26、而讀書 318.4.6 SVM取證技術取證技術 SVM取證技術是為了發現信息行為的關鍵特征，去除無意義的噪聲，有助于減少信息存儲量，提高計算速度等。同時，網絡取證應該是主動的防御，對未知的網絡攻擊具有識別和取證能力。 SVM特征選擇的基本思想是：特征選擇的基本思想是： 1選擇訓練集和測試集，對每個特征重復以下步驟； 2從訓練集和測試集中刪除該特征； 3使用結果數據集訓練分類器（SVM）； 4根據既定的性能準則，使用測試集分析分類器的性能； 5根據規則標記該特征的重要性等級。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 32 8.4.7惡意代碼技術惡意代碼技術 惡

27、意代碼指能夠長期潛伏、秘密竊取敏感信息的有害代碼程序，應用同樣的原理，可以設計用來進行取證。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 33 8.5 數字取證常用工具數字取證常用工具 計算機取證技術也日益成熟，各種計算機取證軟件、計算機取證工具層出不窮，僅僅針對邏輯層的就有Guidance的Encase、AccessData的FTK、FINALData的FINALForensics等諸多軟件，針對物理層的計算機取證工具也不勝枚舉，但是要達到更有效打擊計算機犯罪的目的，法證界迫切需要多元化的計算機取證綜合解決方案。 計算機取證的相關工具包括一般工具軟件，如用于檢測分區的工具軟件、殺毒軟件、各種壓縮工具軟件等。還有取證專用工具軟件，如文件瀏覽器、圖片檢查工具、反刪除工具、CD-ROM工具、磁盤擦除工具等。第第8 8章章 數字取證技術數字取證技術為中華之崛起而讀書為中華之崛起而讀書 34 Encaee自稱是唯一一個完全集成的基于Windows界面的取證應用程序，是專業的計算機取證工具，包括Encase取證版解決方