計算機取證技術(shù)的發(fā)展困境與前景

曾學(xué)軍

中圖分類號:TP309 文獻標(biāo)識碼:A

內(nèi)容摘要:計算機取證科學(xué)是一個迅速成長的研究領(lǐng)域,它在國家安全保護、網(wǎng)絡(luò)入侵和犯罪調(diào)查方面有著重要的應(yīng)用前景。本文通過對計算機取證概念的詮釋,進而分析計算機取證技術(shù)發(fā)展的前景與面臨的困境,提出有效建議,為計算機取證總結(jié)出一套程序和方法,以指導(dǎo)實踐,為取證科學(xué)發(fā)揮更大的作用提供理論參考。

關(guān)鍵詞:計算機 取證技術(shù) 發(fā)展 前景 困境

隨著信息技術(shù)的應(yīng)用和普及,利用計算機和網(wǎng)絡(luò)或以計算機和網(wǎng)絡(luò)作為攻擊目標(biāo)的犯罪活動日益猖獗。與計算機相關(guān)的法庭案例也不斷出現(xiàn)。一種新的證據(jù)形式即存在于計算機及相關(guān)外圍設(shè)備中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。面對計算機犯罪手段的多樣化,加大信息安全防范技術(shù)和計算機犯罪取證技術(shù)的研究力度勢在必行。目前的研究多著眼于入侵防范,對于入侵后取證技術(shù)的研究相對滯后。而僅僅通過現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)打擊日新月異的計算機犯罪技術(shù),已經(jīng)不能確保計算機信息系統(tǒng)的安全。 因此,需要發(fā)動社會和法律的力量去對付計算機和網(wǎng)絡(luò)犯罪,計算機取證學(xué)的出現(xiàn)和應(yīng)用是網(wǎng)絡(luò)安全防御理論走向成熟的標(biāo)志,也是相應(yīng)法律得以有效執(zhí)行的重要保障,從而使電子證據(jù)作為一種新的證據(jù)形式出現(xiàn)在法庭。

計算機取證的概念詮釋

Lee Garber在IEEE Security發(fā)表的文章中認(rèn)為,計算機取證是分析硬盤驅(qū)動、光盤、軟盤、ZIP和Jazz 磁盤、內(nèi)存緩沖以及其它形式的儲存介質(zhì),以發(fā)現(xiàn)犯罪證據(jù)的過程。計算機取證資深專家Judd Robbins對此給出了如下的定義:計算機取證是將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取。計算機緊急事件響應(yīng)組和取證咨詢公司New Technologies進一步擴展了該定義:計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認(rèn)、提取和歸檔。SANS公司則歸結(jié)為:計算機取證是使用軟件和工具,按照一些預(yù)先定義的程序,全面地檢查計算機系統(tǒng),以提取和保護有關(guān)計算機犯罪的證據(jù)。

因此,計算機取證是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術(shù),按照符合法律規(guī)范的方式進行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上,計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解,以對入侵事件進行重建的過程。計算機取證又稱為數(shù)字取證或電子取證、計算機法醫(yī)學(xué),包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調(diào)查人員到犯罪或入侵的現(xiàn)場,尋找并扣留相關(guān)的計算機硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件、日志等)中尋找可以用來證明或者反駁的證據(jù),即電子證據(jù)。與傳統(tǒng)的證據(jù)一樣,電子證據(jù)必須是真實、可靠、完整和符合法律規(guī)定的。

計算機取證技術(shù)的發(fā)展前景

計算機取證技術(shù)的概念是外來品,是從入侵取證反黑客開始逐漸形成的。我國有關(guān)計算機取證的研究還處于起步階段,技術(shù)水平與國外相比還有一定差距;同時我國電子證據(jù)的相關(guān)法律仍不夠健全,有待完善。隨著科學(xué)技術(shù)的快速發(fā)展,計算機犯罪手段的不斷提高,我們迫切需要進一步健全、規(guī)范計算機取證流程,加強計算機取證技術(shù)研究,制定和完善相關(guān)的法律法規(guī)。

(一)國內(nèi)取證技術(shù)的發(fā)展

在國內(nèi),公安部門打擊計算機犯罪是近幾年的事,有關(guān)計算機取證方面的研究和實踐也才剛起步。計算機取證技術(shù)隨著黑客技術(shù)的提高而不斷發(fā)展。為確保取證所需的有效法律證據(jù),根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來黑客技術(shù)的發(fā)展趨勢,計算機取證技術(shù)的研究必須不斷深入和改進,向智能化、專業(yè)化和自動化方向發(fā)展。

計算機取證科學(xué)涉及到多方面的知識?，F(xiàn)在許多工作依賴于人工實現(xiàn),大大降低了取證速度和取證結(jié)果的可靠性。所以,在工具軟件的開發(fā)上必須結(jié)合計算機領(lǐng)域內(nèi)的其他理論和技術(shù),以代替大部分人工操作。利用無線局域網(wǎng)和手機、PDA、便攜式計算機進行犯罪的案件逐年在上升,這些犯罪的證據(jù)會以不同形式分布在計算機、路由器、入侵檢測系統(tǒng)等不同設(shè)備上,要找到這些證據(jù)需要針對不同的硬件和信息格式做出相應(yīng)取證的工具。因此,此類取證工具已經(jīng)成為取證技術(shù)研究的新方向。另外,計算機取證技術(shù)將進一步與信息安全技術(shù)相結(jié)合。同時,在網(wǎng)絡(luò)協(xié)議的設(shè)計過程中,今后將考慮到未來取證的需要,為潛在的取證活動保留充足的信息。

(二)取證相關(guān)技術(shù)的發(fā)展

從計算機取證的過程看,對于電子證據(jù)的識別獲取可以加強動態(tài)取證技術(shù)研究,將計算機取證結(jié)合到入侵檢測、防火墻、網(wǎng)絡(luò)偵聽等網(wǎng)絡(luò)安全產(chǎn)品中進行動態(tài)取證技術(shù)研究;對于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M行加密技術(shù)研究;對于電子證據(jù)的分析,是從海量數(shù)據(jù)中獲取與計算機犯罪有關(guān)的證據(jù),需進行相關(guān)性分析技術(shù)研究,需要高效率的搜索算法、 完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。

對入侵者要進行計算機犯罪取證學(xué)的入侵追蹤技術(shù)研究,目前有基于主機追蹤方法的Caller ID,基于網(wǎng)絡(luò)追蹤方法的IDIP、SWT產(chǎn)品。有學(xué)者針對網(wǎng)絡(luò)層的追蹤問題,提出基于聚類的流量壓縮算法,研究基于概率的追蹤算法優(yōu)化研究,對于應(yīng)用層根據(jù)信息論和編碼理論,提出采用數(shù)字水印和對象標(biāo)記的追蹤算法和實現(xiàn)技術(shù),很有借鑒意義。在調(diào)查被加密的可執(zhí)行文件時,需要在計算機取證中針對入侵行為展開解密技術(shù)研究。

計算機取證的另一個技術(shù)問題就是對取證模型的研究和實現(xiàn),當(dāng)前應(yīng)該開始著手分析網(wǎng)絡(luò)取證的詳細需求 建立犯罪行為案例、入侵行為案例和電子證據(jù)特征的取證知識庫,有學(xué)者提出采用XML和OEM數(shù)據(jù)模型、數(shù)據(jù)融合技術(shù)、取證知識庫、專家推理機制和挖掘引擎的取證計算模型,并開始著手研究對此模型的評價機制。

計算機取證技術(shù)的局限

(一)取證軟件的局限性

首先,有關(guān)犯罪的電子證據(jù)必須沒有被覆蓋;其次,取證軟件必須能夠找到這些數(shù)據(jù)。并能知道它代表的內(nèi)容。但從當(dāng)前軟件的實現(xiàn)情況來看,許多取證分析軟件并不能恢復(fù)所有被刪除的文件。許多“取證分析軟件”還僅僅是可以恢復(fù)使用rm 或strip命令刪除的文件, 顯然僅使用它們的犯罪手段還相差甚遠。

由于自身的局限性和計算機犯罪手段的變化,現(xiàn)有的取證技術(shù)已經(jīng)不能完全滿足打擊犯罪的要求。另外,由于當(dāng)前取證軟件的功能集中在磁盤分析上,而其他工作全部依賴于取證專家人工進行,幾乎造成計算機取證軟件等同于磁盤分析軟件的錯覺。這些情況必將隨著對計算機取證研究工作的深入和新取證軟件的開發(fā)而得到改善。此外,計算機取證技術(shù)還會受到其他計算機理論和技術(shù)的影響。

(二)反取證技術(shù)的干擾性

正是由于技術(shù)上的局限性,使得一些犯罪分子有機可乘。因此在取證技術(shù)迅速發(fā)展的同時, 一種叫做反取證的技術(shù)也悄悄出現(xiàn)了。反取證技術(shù)就是刪除或隱藏證據(jù),使取證調(diào)查無效?，F(xiàn)在反取證技術(shù)主要分為三類:數(shù)據(jù)擦除、 數(shù)據(jù)隱藏和數(shù)據(jù)加密。這些技術(shù)還可結(jié)合使用,使取證工作變得更加困難。

1.數(shù)據(jù)擦除。數(shù)據(jù)擦除是最有效的反取證方法,指清除所有可能的證據(jù)(索引節(jié)點目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù))。原始數(shù)據(jù)不存在了,取證自然就無法進行。反取證工具包TDT(The Defiler、Toolkit)專門設(shè)計了兩款用于數(shù)據(jù)擦除的工具軟件Necrofil和 Klismafile .Necrofil用于擦除文件的信息和數(shù)據(jù),它直接將 TCT工具包中檢查索引節(jié)點狀態(tài)的工具ils據(jù)為己用,把所有TCT可以找到的索引節(jié)點的內(nèi)容用特定的數(shù)據(jù)覆蓋,同時它還會用隨機數(shù)重寫相應(yīng)的數(shù)據(jù)塊;Klismafile用于擦除目錄中的殘存信息,它從目錄文件的入口開始尋找所有被刪除的目錄項,然后用零覆蓋滿足特定條件的目錄項內(nèi)容。Klismafile不是一個完美的解決工具,因為被它修改后的目錄文件中會出現(xiàn)目錄項大小不正常的情況,當(dāng)然現(xiàn)在還沒有工具做這項檢查。

2.數(shù)據(jù)隱藏。為了逃避取證,犯罪者還會把暫時不能被刪除的文件偽裝成其他類型(如庫文件),或者把它們隱藏在圖形或音樂文件中;也有人把數(shù)據(jù)文件藏在磁盤上的隱藏空間中。比如,反取證工具Runefs就利用TCT工具包不檢查磁盤壞塊的特點,把存放敏感文件的數(shù)據(jù)塊標(biāo)記為壞塊來逃避取證。這類技術(shù)統(tǒng)稱為數(shù)據(jù)隱藏。數(shù)據(jù)隱藏僅僅在取證者不知道到哪里尋找證據(jù)時才有效,所以它僅適用于短期保存數(shù)據(jù)。

3.數(shù)據(jù)加密。為了長期保存數(shù)據(jù),必須把數(shù)據(jù)隱藏和其他技術(shù)聯(lián)合使用,比如使用別人不知道的文件格式或加密(包括對數(shù)據(jù)文件的加密和對可執(zhí)行文件的加密)。加密數(shù)據(jù)文件的作用已經(jīng)為我們所熟知了。而對可執(zhí)行文件加密是因為在被入侵的主機上執(zhí)行的黑客程序無法被隱藏, 而黑客又不想讓取證人員反向分析出這些程序的作用。盡管對可執(zhí)行文件加密的具體方法隨處理器的能力和操作系統(tǒng)的不同而發(fā)生變化,但基本思想是相同的:運行時先執(zhí)行一個文本解密程序來解密被加密的代碼,而被解密的代碼可能是黑客程序,也可能是另一個解密程序。

除此之外,黑客還可以利用Root Kit (系統(tǒng)后門木馬程序等),繞開系統(tǒng)日志或者利用竊取的密碼冒充其他用戶登錄,使取證調(diào)查變得更加困難。

克服計算機取證技術(shù)局限性的建議

吸收計算機領(lǐng)域內(nèi)其他的理論和技術(shù)有助于更好地打擊計算機犯罪。對下列領(lǐng)域的進一步研究就有可能幫助計算機取證技術(shù)克服當(dāng)前的局限性:

磁盤數(shù)據(jù)恢復(fù)。磁盤是利用它表面介質(zhì)的磁性方向表示數(shù)據(jù)的。在將數(shù)據(jù)寫入磁盤時,磁頭產(chǎn)生的磁場會使存儲數(shù)據(jù)的介質(zhì)朝著某個方向磁化。由于新的數(shù)據(jù)很難精確地寫在原有數(shù)據(jù)的位置上,即使經(jīng)過多次隨機覆蓋之后,原來的數(shù)據(jù)還是可能被找出來。這一結(jié)論為取證專家提供了新的思路,使得恢復(fù)被覆蓋了的數(shù)據(jù)成為可能。

解密技術(shù)。由于越來越多的計算機犯罪者使用加密技術(shù)保存關(guān)鍵文件,為了取得最終的證據(jù),需要取證人員將文件中的內(nèi)容進行解密。另外,在調(diào)查被加密的可執(zhí)行文件時,也需要用到解密技術(shù)。

更安全的操作系統(tǒng)。當(dāng)前,計算機取證軟件的功能很大程度上取決于操作系統(tǒng)的支持。如何提高系統(tǒng)的安全性和更好地保存證據(jù)也是一個值得研究的問題。

取證的工具和過程標(biāo)準(zhǔn)化。由于計算機取證倍受關(guān)注,很多組織和機構(gòu)都投入了人力對這個領(lǐng)域進行研究,并且已經(jīng)開發(fā)出大量的取證工具。目前除TCT和En Case以外,還有很多其它的工具。因為沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,軟件的使用者很難對這些工具的有效性和可靠性進行比較。另外,到現(xiàn)在為止,還沒有任何機構(gòu)對計算機取證機構(gòu)和工作人員的資質(zhì)進行認(rèn)證,使得取證結(jié)果的權(quán)威性受到質(zhì)疑。為了能讓計算機取證工作進一步向縱深方向發(fā)展,制定取證工具的評價標(biāo)準(zhǔn)、取證機構(gòu)和從業(yè)人員的資質(zhì)審核辦法,以及取證工作的操作規(guī)范是非常必要的。

參考文獻:

1.殷聯(lián)甫.計算機取證技術(shù)研究[J].計算機系統(tǒng)應(yīng)用,2005(8)

2.王玉林,申普兵,李潑,高曉飛.基于兩種數(shù)據(jù)類型的計算機取證技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4)

3.李濤.網(wǎng)絡(luò)安全概論[M].電子工業(yè)出版社,2004

4.黃毅銘,汪海航.基于Palm OS移動設(shè)備的計算機取證與分析[J].計算機應(yīng)用與軟件,2007(9)

5.張有東,王建東,朱梧槚.反計算機取證技術(shù)研究[J].河海大學(xué)學(xué)報(自然科學(xué)版),2007(1)