1、 計算機取證技術綜述 任雪飛，楊永川（中國人民公安大學，北京102600）Reference：本文對計算機取證中的數據獲取和數據分析展開討論，針對不同現場環境給出了不同的數據獲取的方法，并歸納了對證據文件進行數據分析的基本步驟和技術手段。Keys：計算機取證；電子證據；數據恢復TP393.08 ：A ：1671-1122( 2011) 01-0056-021計算機取證的概念和特點計算機取證的概念眾說紛紜。其中，較為廣泛的認識是：計算機取證是指能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據的確定、收集、保護、分析、歸檔以及法庭出示的過程。計算機取證基本圍繞電子證據展開

2、。電子證據是指在計算機或計算機系統運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄物。電子證據的表現形式是多樣的，尤其是多媒體技術的出現，使電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計算機證據幾乎涵蓋了所有傳統證據類型。與傳統證據一樣，電子證據必須是可信的、準確的、完整的、符合法律法規的。與傳統證據相比較，電子證據還具有以下特點：1)脆弱性：由于數據自身的特點導致電子證據易被修改，且不易留痕跡；2)無形性：計算機數據必須借助于輸出設備才能呈現結果；3)高科技性：證據的產生、傳輸、保存都要借助高科技含量的技術與設備；4)人機交互性：電子證據的形

3、成，在不同的環節上有不同的操作人員參與，它們在不同程度上都可能影響電子證據的最終結果；5)電子證據是由計算機和電信技術引起的，由于其它技術的不斷發展，所以取證步驟和程序必須不斷調整以適應技術的進步。電子證據的來源很多，主要有系統日志、IDS、防火墻、FTP、反病毒軟件日志、系統的審計記錄、網絡監控流量、電子郵箱、操作系統和數據庫的臨時文件或隱藏文件，數據庫的操作記錄，硬盤驅動的交換( Swap)分區、Slack區和空閑區，軟件設置，完成特定功能的腳本文件，Web瀏覽器數據緩沖，書簽、歷史記錄或會話日志、實時聊天記錄等等。電子證據的獲取方法包括數字鑒定、數據檢查、數據對比、數據保護、數據分析和證

4、據抽取。而這些方法的實施將貫穿整個計算機取證過程。圖l給出計算機取證的基本流程和法律約束。計算機取證應用模型包含四個步驟：1)取證準備，這個過程要對取證環境和條件作客觀性分析；2)現場勘查及證據固定，這個過程必須保證證據獲取的合法性；3)數據分析及證據提取，這個過程需要對獲取的數據進行分析找出與案件相關能夠證明犯罪事實的數據，即要保證數據與案件的關聯性；4)證據的呈遞，這個過程要對所獲取的電子證據進行鑒定，從而保證證據對犯罪定性的有效。上述流程中技術研究點主要集中在證據固定和數據分析過程。下面將主要對取證過程中的證據固定和數據分析進行詳細討論。2計算機取證的證據固定證據固定即將嫌疑計算機或存儲

5、介質的數據進行獲取的過程。證據固定必須符合嚴格的操作規范，并且需要使用專業的數據獲取工具進行，將存儲介質中的每一個字節進行精確地復制，并以單獨文件或連續文件片段來保存。同時證據文件格式還要符合法庭接受的標準。目前，國際法庭普遍接受兩種證據文件格式是，Linux DD鏡像格式和Expert Witness證據文件格式（即Encase采用的E01鏡像格式）。考慮到電子證據的法律效力，建議采用這兩種格式。以Encase E01鏡像格式為例，其證據文件中包含有三個組成部分：文件頭、校驗值和數據塊。這三部分組成了對于一個原始證據的描述，并可重新恢復成數據的原始狀態。在生成E01格式證據文件時，要求用戶輸

6、入與調查案件相關的信息，如調查人員、地點、機構、備注等。這些信息將隨證據數據信息一同存入E01文件中。文件的每個字節都經過32位的CRC校驗，這就使得證據被篡改的可能性幾乎為0。為了保證證據文件真實有效，獲取證據同時需要利用特定哈希算法（例如MD5算法）計算并驗證證據文件的哈希值。妥善記錄、保存原始的哈希值、校驗值，以備法庭指派的第三方機構或法政工具重新驗證。針對不同的數據存儲介質和存儲環境，現給出以下幾種數據獲取方式。2,1移動存儲介質的數據獲取移動存儲介質包括U盤、SD卡、TF卡、移動硬盤、光盤等與計算機分離的春初設備。對這些存儲介質的數據獲取需要采用與存儲介質相應的數據讀取設備通過只讀鎖

7、與取證計算機連接，利用特定取證工具(例如Encase)，將證據存儲介質添加為取證設備，然后按取證工具使用流程對其做數據鏡像，從而形成證據文件。2.2在線數據獲取計算機取證的理想狀態是關閉計算機，實施硬盤完整鏡像，然后對鏡像進行分析。而在線取證，就是在計算機處于開機狀態下的取證方法。這種狀態是為了保證證據的完整性，避免去運行額外的程序，以免使操作系統下注冊表、內存、臨時文件中的數據發生更改。但近年來，由于在線取證日趨重要，一旦將運行狀態的計算機關閉，往往會失去很多重要的內存數據、加密分區數據，而且局域網服務器、互聯網服務器都不能夠隨意關閉的。因此，現在研究重點轉向在線取證。 目前常見的在線取證方

8、式，通常是在嫌疑人的計算機中直接運行取證軟件，可以自動獲取內存、注冊表中的數據。同時也可以通過取證軟件，實現對硬盤的完整鏡像。此種方法缺來自wWw.lw5u.coM點在于可能造成內存中、硬盤中過多的信息被覆蓋，影響取證效果。通過，在運行的系統下獲取鏡像，還有可能造成系統死機，破壞證據的完整性。還有一種在線取證方式，是通過網絡連接兩臺計算機或局域網內的更多計算機，將任意一臺計算機的硬盤或其他存儲介質，以物理磁盤的方式顯示到調查員計算機中，在調查員計算機中直接運行任意分析工具或鏡像工具，實現對嫌疑硬盤數據的完整獲取。這種方法是最為理想的。這種方法僅需要在嫌疑計算機中運行一個微小的取證客戶端程序，僅

9、在嫌疑計算機中占用極少的內存，不會造成死機等問題。目前F-Response工具就是采用這樣的工作方式。2.3關閉狀態計算機硬盤數據獲取對于關閉狀態的計算機，數據獲取一般采用兩種方法：1)計算機主機機箱打開，將硬盤取出，利用USB或1394A/B設備，利用取證工具獲取鏡像，或者利用硬盤復制機進行磁盤復制。2)直接對嫌疑計算機中的數據進行快速搜索及預覽，并以證據文件格式完整進行數據獲取。這種方法適用于無法將硬盤取出的情況。這種方法要保證特制啟動程序不會像嫌疑計算機硬盤寫數據。當嫌疑計算機被引導啟動后，即可配合在線取證工具實施在線取證。光盤啟動進行數據獲取的方法操作簡單，是應急響應和大規模數據獲取的

10、理想方法。3計算機取證的數據分析電子取證要求取證和分析數據的信息網絡系統，以及其輔助的設備必須安全、可靠，從取證系統或裝置中只獲取原始數據，不做分析，整個信息獲取過程要盡可能不被干擾、覆蓋，或破壞原始信息和環境，在對原始數據進行分析前，需對原始數據進行數字簽名。所以在數據分析前要做證據固定，取得鏡像證據文件，然后再對鏡像證據文件進行數據分析。取證人員能否找到犯罪證據關鍵在于：1)有關犯罪證據的數據必須沒有被破壞或篡改；2)取證軟件必須能找到這些數據；3)取證人員能知道這些文件，并且能證明它們與犯罪有關。實際過程中遇到的問題往往是我們得到的海量數據中，重要的證據往往并不是顯性存在的，可能已被刪除

11、或篡改。取證人員面對這樣的問題就必須首先對證據文件做數據恢復。3.1數據恢復目前常用的取證軟件都具備數據恢復功能，但不同的工具數據恢復的側重點以及恢復方式各不相同，達到的效果也就大相徑庭。有的側重于某種類型的文件的恢復，有的側重于某種丟失形式的恢復，取證人員可以通過不同的需要選擇不同的工具進行多次數據恢復，邊分析邊恢復?，F階段數據恢復還是一個熱門研究，特別是對離散存儲數據文件的恢復技術的研究，針對不同的文件系統提出很多不同的恢復方案和算法，有基于概率預測碎片匹配方法，有a-p剪枝匹配算法等等。這還需要去做進一步的研究，來做出更高效的恢復工具。3.2數據分析數據分析是一個工具分析和人工分析緊密結

12、合的過程，這個過程往往需要數據分析專家的參與。數據分析完成的是證據抽取工作，它的結果將直接影響案件的偵破和審理。在已經獲取的數據流或信息流中尋找、匹配Keys或關鍵短語是目前的主要數據分析技術，具體包括：密碼破譯；數據解密；日志分析；文件屬性分析；對電子介質中的被保護信息的強行訪問等。通過詳細地審查系統日志文件，分析系統的日志文件，獲取操作記錄，修改記錄等信息。目前常用于電子數據證據分析較的工具是Net ThreatAnalyzer。該軟件使用人工智能中的模式識別技術，分析Slack磁盤空間、未分配磁盤空間、自由空間中所包含的信息，研究交換文件、緩存文件、臨時文件及網絡流動數據，從而發現系統中曾發生過的Email交流、Internet瀏覽及文件上傳下載等活動，以及與特定領域相關的信息。4結語針對計算機取證流程，本文對其中證據固定和數據分析兩個技術點做了詳細討論，對不同環境和類型的電子證據給出了詳細的證據固定方案，歸納了目前主要的數據分析方法和工具。由于自身的局限性和