第十二章 计算机取证
12.1 计算机取证发展史
20世纪70年代,涉及电子数据的犯罪案件数量不断增加,特别是在金融领域,计算机犯罪问题频发。很多执法部门人员不懂计算机,无法正确质询,无法获得并存储有效证据,这给立案、处置和量刑等一系列工作带来了诸多棘手问题。到了80年代,PC 逐步发展普及,出现了不同类型的操作系统,大大促进计算机取证的发展。一方面,pc 的普及使得更多的司法从业人员开始接触和认识计算机,办案人员的计算机应用水平得到了提升。另一方面,一些商业公司看到了这个领域的商业机会,开发并推出了一系列简单的电脑取证工具。例如:Xtree Gold,可识别多种⽂件类型、恢复用户已删除的⽂件。Norton DiskEdit / Pctools,是当时查找和恢复已删除⽂件的最佳⼯具。美国联邦调查局于1984年成立了计算机分析响应组(the Computer Analysis and Response Team, CART)。
计算机取证(Computer Forensics)这个术语是由国际计算机调查专家委员会(The International Association of Computer Investigative Specialists, IACIS)在 1991年首次提出的,该组织成立之初主要是专门培训取证分析软件的使用并颁发认证证书。20世纪90年代磁盘技术快速发展,磁盘容量不断增大给调查取证带来了更多的困难。同一时期,ExpertWitness for Mac上市,这是第一个图形化计算机取证软件,支持恢复删除文件和文件碎片重组还原。
20世纪90年代计算机取证技术的发展伴随着计算机技术的快速发展出现了一系列里程碑事件。1993年,第⼀届计算机证据的国际会议成功举办。1995年,国际计算机证据组织(International Organization on Computer Evidence, IOCE)正式成立。1997年,⼋国集团在莫斯科宣称:司法部门的职员应得到新的培训、新装备以应对⾼技术犯罪。1998年,⼋国集团指定IOCE组织建立处理数据证据的国际准则。2000年,美国联邦调查局(Federal Bureau of Investigation, FBI)建立了正式的区域性计算机取证实验室。
2001年,计算机取证技术的概念从国外引⼊国内,从⼊侵取证反⿊客开始逐渐形成,但取证相关法律⽅面的建设仍不健全,随着技术的快速发展,计算机犯罪⼿段的不断提⾼,我们需要健全规范的计算机取证流程,加强计算机取证技术研究,制定和完善相关的法律法规。进入21世纪之后,计算机技术呈现出爆炸式快速发展,云计算、移动互联网、物联网、VR/AR等代表性新兴技术的出现,更加丰富了计算机取证的内涵和外延。
2011年,云取证概念在数字取证领域权威会议 IFIP WG 11.9 International Conference on Digital Forensics 被首次提出,云用户只需投入很少的开销就能获得大量的计算资源和云存储空间,但云计算的资源共享特性也导致了许多安全方面的隐患,如为传播恶意程序提供了便利、用户隐私数据更易泄露、数据更易被破坏等。为保证云环境的健康发展,针对云犯罪展开取证分析(即云取证)显得尤为重要。云取证是云计算和计算机取证的交叉学科,云计算本身的特性使得传统的计算机取证框架、 取证工具不再适用,同时云取证过程比传统数字取证涉及的调查对象更多(包括云用户、云服务提供商、云服务审计方等),所以交互也更为复杂。
无线通信技术的普及和智能终端应用的便捷带来了诸多的安全问题,针对智能终端的犯罪活动频繁出现。移动支付等涉及个人财产和隐私信息的应用层出不穷,导致针对移动通信系统的犯罪激增。据统计,美国70%的犯罪涉及移动数字取证,欧洲80%的犯罪涉及移动数字取证,英国90%的犯罪涉及移动数字取证。移动取证正在发展成为数字取证的主要工作。同时,移动通信安全事件的事前安全防护与事后追责的讼诉相关理论和技术的研究也是信息安全和取证领域的研究热点问题。无线通信技术的复杂性和多样性使得数字取证面临诸多难点问题。从移动互联网的组成看,移动取证包括:
- 移动设备取证,包括各种不同型号品牌的手机 、平板电脑 (PAD)、自带设备办公(BYOD)、各种不同的物联网终端等。
- 移动系统取证,包括各种移动终端操作系统的取证。
- 移动网络取证,包括对于各种协议的分析和网络中传输的数据包的截获与提取分析。
- 移动应用取证,包括对各种不同的应用采用不同的技术方法有 针对性地进行证据获取和分析。
移动设备取证、移动系统取证、移动网络取证、移动应用取证是无法完全隔离开来的,需要综合考虑。
近年来,随着手机、相机、摄像机这些低廉、便携、 操作简单的设备以及影像编辑软件的普及,获取、编辑和传播数字影像越来越简单易行,检材样本真实性的鉴定变得越来越困难。在未进行原始性和真实性鉴定的情况下,视频和图像不再被认为是“眼见为实”的证据,因此,研究人员致力于研究数字影像取证这一重要的课题。数字图像因在法学、医学、监控等应用领域被大量用于提供客观证据,而得到更多的关注和研究,目前数字图像取证技术已经能够对一幅图像是原始图像还是合成图像、图像是否被篡改以及如何篡改等给出鉴定意见。
相比于数字图像,数字视频取证的研究较少。随着通过篡改视频进行敲诈勒索案件的增多,视频取证变得日益重要。一方面,所有能用在数字图像上的修改,均能在视频图像序列的单帧图像上应用,以达到从视频所记录场景中隐藏或擦除细节的目的。另一方面,数字视频有图像所不具备的时空特性,可以通过删除帧、复制帧和插入帧的方式进行篡改。同时,在实际应用中,视频数据通常经过压缩后进行存储,再加上视频反取证技术的出现,视频取证分析更为困难。多媒体数字内容取证,包括图像取证、视频取证、音频取证,主要涉及到复制粘贴、篡改、合成等反取证、证据伪造等技术的检测。
综上,计算机取证技术经过几十年发展,无论是理论完备性还是应用多样性都在不断发展和变化,融合了计算机科学、法学、刑事侦查学等学科的诸多理论和技术的计算机取证方向是信息安全诸多研究方向中别具特色的一个分支。
12.2 计算机取证理论
计算机取证是近⼏年发展起来的新学科,其领域涉及计算机科学、法学、刑事侦查学等。计算机取证目标包括:谁(Who)、在什么时间(When)、从哪里(Where)、怎样地(How)进⾏了什么(What)(非法)活动。关于计算机取证的定义,很多专家从自己的专业背景和当时的技术现状给出了不同的理解和表述。Lee Garber 在 IEEE Computer 发表的⽂章《Computer Forensics: High-Tech Law Enforcement》里是这样描述计算机取证的:
计算机取证是分析硬盘、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形似的存储介质以发现犯罪证据的过程。
计算机取证资深专家 Judd Robbins 对于计算机取证给出了如下的定义:
计算机取证是将计算机调查和分析技术应用于潜在的、有法律效⼒的证据的确定和获取。
计算机紧急事件响应组 CERT 和取证咨询公司NTI对计算机取证的定义:
计算机取证包括了对以磁介质编码信息⽅式存储的计算机证据的保护、确认、提取和归档。
著名的信息安全研究和教育机构 SANS 公司对计算机取证的定义:
计算机取证是使用软件和⼯具,按照⼀些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
国内通行的计算机取证定义是:
计算机取证是运用计算机及其相关科学和技术的原理和⽅法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。
在本书中,我们结合以上相关理论总结了计算机取证的两大特征:
- 目的:提供证据,证明事实。
- 手段:计算机调查和分析技术。
12.2.1 相关概念比较
计算机取证(Computer forensics)是恢复隐藏或删除的,可以用于证据的数据。重点调查从计算机硬盘和其他存储介质中获得的数据,这些数据可以作为“使⼈定罪的”或“辨明⽆罪的”证据。⽹络取证 (Network forensics)与计算机取证的区别在于重点调查针对网络实施的犯罪行为或入侵行为。数据恢复 (Data Recovery)是指恢复由于意外原因而删除或丢失的信息,通常明确知道需要查找的数据。灾难恢复 (Disaster Recovery)是指使用计算机取证技术恢复客户丢失的信息,包括数据恢复和业务重建。
12.2.2 司法鉴定
司法鉴定是鉴定⼈运用科学技术或者专门知识对涉及诉讼的专门性问题进⾏检验、鉴别和判断并提供鉴定结论的活动。计算机司法鉴定的检验、鉴别和判断等活动属于计算机取证的⼀部分。
12.2.2.1 计算机证据的理论
证据是法官判定罪与非罪的标准。在⼈类的司法证明发展过程中,证明⽅法和⼿段经历了两次重⼤转变。第⼀次是从以“神证”为主的证明向以“⼈证”为主的证明的转变。第⼆次是从以“⼈证”为主的证明向以“物证”或“科学证据”为主的证明的转变。
证据的三个基本属性是:客观性、关联性和合法性。计算机证据与传统证据⼀样,计算机证据必须是可信的、准确的、完整的、使法官信服的并且符合法律法规的,即可为法庭所接受的。
从概念和内涵上来说,电子证据 = 数字证据 > 计算机证据,因此电子证据的提法更为普遍。电子证据自出现以来,已经历过两次代际转换,产生了 计算机证据、网络证据 和 大数据证据 三种形式的证据。
人们形象地称 计算机证据 是“最大的谎言”、“眼见不为实”,这反映出计算机证据面临的最大问题是如何判断其 真实性 。查阅我国电子证据立法现状,现有规范中关于电子证据内容的法规普遍关注如何审查判断电子证据的真实性。如 2005 年《计算机犯罪现场勘验与电子证据检查规则》第十二条指出,固定和封存电子证据的目的是保护电子证据的完整性、真实性和原始性。最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十二条明确了判断电子证据是否真实的审查内容,该法第二十八条指出不具备真实性的电子证据不得作为定案的根据。《公安机关办理刑事案件电子数据取证规则》第二条规定要确保收集提取的电子数据真实、完整。
20 世纪 90 年代以来,以现代信息技术为基础的互联网在全球迅速兴起,人类社会进入互联网时代。互联网的蓬勃发展促成了电子证据的更迭换代,第二代电子证据悄然出现。由于与互联网紧密相连,第二代电子证据被称为 互联网证据 或 网络证据 ,其表现形式主要有:电子邮件、网页记录、网络聊天记录、网络购物信息等等。网络证据登上“司法舞台”后,电子证据的真实性问题得到了有效缓解,这是因为网络证据会在多个环节留痕,办案机关可以向网络服务商等中立第三方调查取证。也即“网络证据既可以通过现场的计算机以及其他电子设备收集,还可以委托网络运营单位在现场以外的网络中继设备、网络监控设备收集。通过网络运营单位或者网络监察机构收集网络证据,可以有效地避免诉讼当事人对证据的影响。网络证据面临的最大挑战是如何判断其 关联性。网络空间的行为只能证明是机器作出的,却不能证明是某个具体的人所为。电子证据的关联性不仅仅是指证据内容与案件事实之间具有关联,而应当是具有特色的 双联性 ,也即包括 内容关联性 和 载体关联性 。内容关联性是电子证据的数据信息同案件事实之间的关联性,载体关联性是电子证据的信息载体同当事人或其他诉讼参与人之间的关联性。
大数据智能时代的特点是“一切皆可量化”。大数据证据出现后,电子证据的关联性问题得到了缓解。通过对海量数据信息的分析,办案人员可以轻易地将“行为”与“人”联系起来。在“大数据反腐”或“大数据反扒”中,办案人员通过对关联数据的分析,便可以得知哪些主体已经有或可能有腐败行为或扒窃行为。大数据证据面临的最大挑战是 证明力问题 。确定证据证明力大小有两种方式,一种是法律事先作出明确规定,一种是司法人员根据经验法则作出判断等。在以互联网金融犯罪为代表的新型犯罪中,办案人员往往面临海量数据信息,如上千万的个人身份信息、几十亿的资金往来记录等,如此海量的信息无法由人力一一审查。例如,e 租宝被认定为非法集资,最初就是由机器而非人作出的预测性“判定”。由机器作出法律判断,这就挑战了法官等法律群体的经验法则,进而影响到确定证据证明力大小的方式。大数据证据超越了传统法律规范与法学理论的规范框架,法律控制机制的空缺导致出现了法律真空状态。
值得注意的是,电子证据的迭代不能被简单理解为三个时期、三种证据,而是呈现出“三代并存”的特点。也就是说,计算机证据、网络证据、大数据证据在当下司法办案实践中是同时并存的。这是我国进行电子证据立法所面临的基本背景。
本章仅从技术的角度来探讨如何:(1)获取计算机证据;(2)确保计算机证据的原始性和完整性;(3)保证计算机取证⼿段的科学性;(4)计算机取证过程的可再现性。
12.2.2.2 计算机证据的获取
新型计算机取证问题包括云取证、移动取证、数字多媒体取证等,传统的计算机取证区别于新型计算机取证,包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员来到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件。信息发现是指从原始数据(包括文件,日志等)中寻找可以用来佐证或者驳回案件陈述的证据。
- 物理证据获取
物理证据获取是全部取证工作的基础,在获取物理证据时最重要的工作是保证存储的原始证据不受任何破坏。无论在任何情况下,调查者都必须牢记:(1) 不要改变原始记录;(2) 不要在作为证据的计算机上执行无关的程序;(3) 不要给犯罪者销毁证据的机会;(4) 详细记录所有的取证活动;(5) 妥善保存得到的物证。
若现场的计算机正处于工作状态,取证人员还应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和记数器、用户进程存储区、堆栈、文件缓冲区、文件系统本身等不同的位置,要收集到所有的数据是非常困难的,在关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标,为了防止犯罪者销毁证据文件,最佳的选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器,则应该尽量保存缓存中的数据。
- 信息发现
取得了物理证据后,下一个重要的工作就是信息发现。不同的案例对信息发现的要求是不一样的。在有些情况下,只需找到关键的文件、图片或邮件就可以了,在其他时候则可能要求重现计算机在过去工作的细节(比如入侵取证)。为了保护原始数据,除非有特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。物理复制的工作可以使用Unix系统的dd命令或使用专用设备进行。一般情况下,取证专家还要用MD5对原始证据上的数据做摘要,然后把原始证据和摘要信息及相关文档妥善保存。
由于包含着犯罪证据的文件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其他的线索。事实上,现在的取证软件已经具有了很好的数据恢复能力,同时它们还可以做一些基本的文件属性获取和档案处理工作。
数据恢复以后,取证专家还要仔细进行关键字查询、分析文件属性和数字摘要、搜索系统日志、解密文件、评估Windows交换区等工作。由于现在缺乏对计算机上的所有数据进行综合分析的工具,所以信息发现的结果在很大程度上还依赖于取证专家的经验和智慧。这就要求一个合格的取证人员必须掌握计算机组成、操作系统、分布式计算、数据库、网络体系和协议等多方面的知识,对信息系统有深刻的了解。最后,取证专家会就计算机信息发现的结果作出完整的报告。这个报告将成为打击犯罪者的依据。
12.2.2.3 计算机证据的特点
计算机证据的特点包括:(1)同时具有较⾼的精密性和脆弱易逝性,很多二进制文件格式一旦损坏一个字节就可能整个文件都无法被解析查看;(2)较强的隐蔽性,例如使用数据加密、信息隐藏、私有自定义数据结构等存储数据;(3)多媒性,例如音频、视频、图像等媒体文件包含的信息;(4)收集迅速、易于保存、占用空间少、容量⼤、传送和运输⽅便、可以反复重现、易于使用、便于操作。(5)相关数据的“挥发性”,例如内存中的数据一旦关机就会丢失无法查看。
12.2.2.4 计算机证据的法律规定
我国目前没有专门的证据法,对证据在法律上进行分类,是通过刑事、民事与行政三大诉讼法实现的。
| 刑事诉讼法 | 民事诉讼法 | 行政诉讼法 | |
|---|---|---|---|
| 更新时间 | 2018-10-26 | 2012-08-31 | 2017-06-27 |
| 第五十条 | 第六十三条 | 第三十三条 | |
| 书证 | 书证 | 书证 | |
| 物证 | 物证 | 物证 | |
| 视听资料、电子数据 | 视听资料 | 视听资料 | |
| 证人证言 | 电子数据 | 电子数据 | |
| 被害人陈述 | 证人证言 | 证人证言 | |
| 犯罪嫌疑人、被告人供述和辩解 | 当事人的陈述 | 当事人的陈述 | |
| 鉴定意见 | 鉴定意见 | 鉴定意见 | |
| 勘验、检查、辨认、侦查实验等笔录 | 勘验笔录 | 勘验笔录、现场笔录 |
以上通过表格的形式对比了一下三大诉讼法里关于证据的文字表述,相比较于法条原文的文字表述顺序做了调整,把相同、相近表述的次序尽量保持一致。基于文字表述来看,三大诉讼法对证据的分类是基本一致的。
《最高人民法院关于修改<关于民事诉讼证据的若干规定>的决定》 已于2019年10月14日由最高人民法院审判委员会第1777次会议通过,自2020年5月1日起施行。现摘录其中关于电子数据的认定说明如下:
第十四条 电子数据包括下列信息、电子文件:
(一)网页、博客、微博客等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音频、视频、数字证书、计算机程序等电子文件;
(五)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。
我国对计算机犯罪进⾏规定的法律条⽂主要有:非法侵⼊计算机信息系统罪、破坏计算机信息系统罪、《刑法》第⼆百⼋⼗七条规定、《最⾼⼈民法院、最⾼⼈民检察院关于办理危害计算机信息系统安全刑事案件应用法律若⼲问题的解释》(2011年6月20日最⾼⼈民法院审判委员会第1524次会议、2011年7月11日最⾼⼈民检察院第⼗⼀届检察委员会第63次会议通过,自2011年9月1日起施⾏)。
计算机取证可以用来打击计算机犯罪,但计算机取证是以打击计算机犯罪为目标的观点是片面的,这主要体现在:刑事犯罪侦查需要计算机取证技术,民事案件的调查、鉴定等也会应用计算机取证技术,国家安全部门、军事部门都会使用计算机取证技术进⾏取证。
12.2.3 计算机取证发展趋势
从立法层面来看,迄今为止,我国电子证据的法律规范体系已经形成。据不完全统计,共有近百部法律规范,包括两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,最高人民法院发布的《关于民事诉讼证据的若干规定》,最高人民法院《关于互联网法院审理案件若干问题的规定》,公安部《计算机犯罪现场勘验与电子证据检查规则》,公安部《公安机关办理刑事案件电子数据取证规则》,等等。但从整体上评价,目前我国立法还停留在对第一代电子证据——计算机证据真实性问题的规制阶段,对第二代电子证据——网络证据关联性问题的关注较少或不够具体。至于针对第三代电子证据——大数据证据的证明力问题,现行法律则几乎没有进行规制。
从技术层面来看,计算机取证领域面临的主要挑战包括:(1)在海量数据中准确有效地查找计算机犯罪证据;(2)计算机证据的出示困难;(3)计算机取证专业⼈员及具备⼀定取证知识的计算机系统、⽹络等⽅面的安全管理⼈员比较缺乏。
计算机取证的发展遵循如下特点:(1)计算机取证需求逐步融⼊系统的研究与设计,主动取证措施将普遍化;(2)取证⼯具自动化与集成化;(3)计算机取证领域继续扩⼤,取证⼯具出现专门化趋势;(4)标准化⼯作将逐步展开,法律法规将逐步完善;(5)计算机取证、计算机司法鉴定等的规范管理。
12.3 计算机取证关键技术
一个典型的计算机取证技术流程包括 4 个阶段,依次是:保护现场、证据获取、证据鉴定与分析和证据追踪与提交结果。
为了保证取证信息的准确性,不受到外界因素的过多干扰方便后续的办案过程,应在进行计算机取证工作前 保护现场 ,并在实际工作开展的过程中对现场进行仔细的勘察,判定信息的存在点位以及信息的有效性。另外,计算机取证人员在现场也需要对问题进行具体分析,想要保证数据的完整性与安全性,首先需要落实目标检材工作的基本要点,保证流程能够在这一环节中得到整合以此提升取证的实效性。物理证据的收集工作包括影像资料的提取、证据的管理以及规范收集工作的流程,这样才能提升现场证据保护的效果,为后续的取证工作与信息分析过程打下良好的基础。
电子数据的获取是必要的信息收集环节,在收集到规定的电子信息后要立即对其进行分析与进一步处理,并在数据结构的整合基础上利用计算机技术进行证据阐释,在这一过程中产
生的各种信息都需要执行统一的归档管理规定。这就是 证据获取 阶段的主要工作。
证据在提取后,首先需要对其进行 鉴定,并就其合理性执行具体的判定分析活动。另外,由于计算取证这一环节可能涉及到修改或是损毁,因此更要充分利用计算机取证技术优化处理过程。同时,在执行取证的过程中全程都需要有人监督以保证证据的准确性。证据分析 是最为重要的信息处理步骤,计算机类型与使用系统等都需要根据证据类型与周围环境进行集中判定,在优化证据体系的同时也能够强化其关联作用。
证据追踪 与上述的各个环节均有所区别,区别的关键在于这一过程属于「动态取证」步骤,既需要整合互联要求,还要在控制管理效果的同时完善取证过程,以此保证取证过程的最终效果;证据的提交 是整个取证流程中的最后一个环节,需要做的工作很多,包括证据的划分与信息约束,都可以利用计算机取证技术进行。在得出最终数据后,应进行汇总以方便后续的工作过程。
经过以上计算机取证技术流程的梳理,可以归纳出计算机取证技术主要包括:数据获取技术(主要的数据来源包括:存储介质和网络通信数据。例如可以通过网络嗅探方式将捕获的数据持久化存储从而将数据获取问题转换为存储介质数据获取问题)、数据分析技术、计算机犯罪分析技术、数据解密技术、证据保管、证据完整性的实现技术以及反取证技术。
12.3.1 数据获取技术
根据数据获取状态的差异,数据获取技术又可以分为:静态获取和实时在线获取两种。静态获取数据主要是从持久化存储介质获取数据,常见方法有4种:位对位:整盘⾄镜像⽂件、位对位:整盘⾄整盘、逻辑磁盘分区⾄磁盘和选型性拷贝(挑选⽂件或⽂件夹)。
- 位对位:整盘⾄镜像⽂件(disk-to-image) 。这是最通用的数据获取方式,由于是对原始磁盘比特对比特的内容复制,因此支持同时制作多个精确内容一致的备份文件。
- 位对位:整盘⾄整盘⽂件(disk-to-disk) 。这适用于某些无法创建镜像文件的场景,这种方式的拷贝需要考虑目标(克隆)磁盘容量 。
- 逻辑获取 或 选择数据获取。逻辑获取和选择数据获取是在数据量过大、含有隐私数据,数据持续变化等约束性条件的驱动下产生的技术。逻辑获取只能获取与调查案件相关的数据,选择数据获取还可以收集未分配空间数据(包含已逻辑删除的数据)。
在进行逻辑获取或选择数据获取时,还需要考虑嫌疑磁盘的容量、⽆损压缩、数据校验等问题。事前了解是否可以封存嫌疑磁盘,对于⼤容量磁盘进⾏获取,也可采用磁带备份的⽅式。
12.3.2 数据分析技术
数据分析技术主要包括语义还原和场景还原。语义还原包括重构特定类型文件和元数据分析(文件系统、文档、邮件、图片等)。场景还原例如从网络嗅探数据还原完整入侵过程和细节。
12.3.3 计算机犯罪分析技术
计算机犯罪分析包括动机分析、过程分析和影响分析。常见的犯罪动机包括:窃密、破坏、控制和篡改。过程分析的目的是重现犯罪现场,包括现实空间和虚拟空间的重构。犯罪造成的影响包括经济、政治、社会和人身安全等诸多方面。
12.3.4 数据解密技术
密码学技术和产品的普及使得很多取证案件中需要使用到诸如软件破解工具来解密出加密文档、加密磁盘、加密镜像等文件中的原始秘密数据。常见的破解技术如彩虹表(Rainbow Table)、雷表(Thunder Table)、GPU破解等,基本破解思想主要是时间换空间和分布式破解。
12.3.5 证据保管技术
常见的电子证据专用文件格式如:原始格式、专有格式和 AFF (Advanced Forensics Format) 格式(一种开放标准的证据保存格式),它们在证据保管方面的优势和缺陷如下:
| 计算机证据专用文件格式 | 格式说明 | 优势 | 缺陷 |
|---|---|---|---|
| 原始格式 | raw 例如 Linux 平台上的dd工具直接按比特镜像克隆原始磁盘数据到一个镜像文件 | 数据传输较快;可以忽略源盘数据读取中的⼀些小错误;⼤部分数据获取⼯具可以读取原始dd格式镜像;⼀旦中断,已获取数据可继续使用 | 需要与原始磁盘或数据相同容量的空间;⽆法获取某些扇区 |
| 专有格式 | e01, Smart, FinalForensics 等专有的电子取证工具使用的证据私有保存格式,知名取证工具软件Encase采用的专有证据保存格式E01 | 可以选择是否压缩;可以分卷或分段(将⼀个镜像分为若⼲小片断);可以在镜像⽂件中加⼊元数据 | 数据获取过程一旦中断,已获取数据不可使用;由于文件格式兼容性问题,不同取证⼯具可能⽆法打开其他取证工具保存的证据文件;分卷⼤小、⽂件⼤小受限制 |
| AFF 格式 (Advanced Forensics Format) |
由Dr. Simson L. Garfinkel和Basis Technology公司共同研发出的一种开放标准的证据保存格式。 | 提供压缩的或非压缩的证据⽂件;磁盘之镜像⽅法,没有⼤小限制;为镜像⽂件或分段镜像⽂件保存元数据;设计简单便于扩展;针对多系统平台设计,开源;可进⾏内部完整性校验;扩展名包括.afd 分段⽂件和.afm 元数据 | 暂无 |
12.3.6 证据(数据)校验技术
校验对于电⼦证据获取的合法性⾄关重要, 需要使用哈希计算⼯具。常见文件校验算法如:CRC32, MD5, SHA-1 ⾄ SHA-512(256,384)。MD5 和 SHA1可以说是目前应用最⼴泛的 Hash 算法,⽽它们都是以MD4为基础设计的。专业取证⼯具均具备哈希校验功能,原始镜像格式不包含元数据,⽆法包含校验信息,对所有的原始格式获取⽅式进⾏单独校验,保存校验信息。
由于MD5碰撞问题及一些特定场景利用工具的公布,证据文件在保存校验和时应使用更安全的 SHA-256、SHA-384 和 SHA-512。
12.3.7 反取证技术
常见的反取证技术主要包括数据销毁和数据隐藏。例如数据销毁技术常见于:覆写法、消磁法、捣碎法/剪碎法以及焚毁法;数据隐藏技术则常见于:数据加密、更改⽂件扩展名、隐写术以及改变系统环境。
12.4 计算机取证案例学习
The Honeynet Project 在 2010 年主办了一个计算机取证挑战系列赛,关于计算机取证案例的学习和练习可以移步:Challenge 1 of the Forensic Challenge 2010 - pcap attack trace,亲自动手做一遍这个挑战题目可以体验一次完整的计算机取证过程。
参考文献
- 王玲, and 钱华林. "计算机取证技术及其发展趋势." 软件学报 9.2 (2003).
- 丁丽萍, 岳晓萌, 李彦峰. 移动数字取证技术[J]. 中兴通讯技术, 2015, 21(3): 30-33.
- 高运, 伏晓, and 骆斌. "云取证综述." 计算机应用研究 33.1 (2016): 1-6.
- 张旭, et al. "视频取证技术研究进展." 刑事技术 40.2 (2015): 87-93.
- 刘品新,陈丽. 电子证据的迭代与立规[N]. 人民法院报,2020-10-22(005).