淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)

楊泉清 許元進(jìn)

淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)

楊泉清 許元進(jìn)

福建伊?xí)r代信息科技有限公司

隨著互聯(lián)網(wǎng)的應(yīng)用普及，各種利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行詐騙、盜竊、色情傳播等網(wǎng)絡(luò)犯罪活動(dòng)日益猖獗，已經(jīng)嚴(yán)重威脅到人們正常的生產(chǎn)和生活。如何及時(shí)準(zhǔn)確地從計(jì)算機(jī)網(wǎng)絡(luò)中獲取證據(jù)，有效遏制網(wǎng)絡(luò)犯罪，已成為近年來(lái)計(jì)算機(jī)取證的研究熱點(diǎn)。由于這類證據(jù)具有動(dòng)態(tài)、實(shí)時(shí)、海量、異構(gòu)和多態(tài)等特性，有別于傳統(tǒng)證據(jù)，需要具備較強(qiáng)的取證技術(shù)。同時(shí)，網(wǎng)絡(luò)取證技術(shù)的研究在我國(guó)尚處于起步階段，還無(wú)法及時(shí)跟上犯罪技術(shù)的更新和變化。因此，網(wǎng)絡(luò)證據(jù)的獲取一直還處于比較艱難的局面，嚴(yán)重阻礙了網(wǎng)絡(luò)案件的偵破。面對(duì)這種現(xiàn)實(shí)，加快網(wǎng)絡(luò)取證技術(shù)的研究和應(yīng)用，已經(jīng)引起各級(jí)政府和機(jī)構(gòu)的高度重視。

計(jì)算機(jī)取證技術(shù) 網(wǎng)絡(luò)犯罪 網(wǎng)絡(luò)取證工具 電子證據(jù)

1 網(wǎng)絡(luò)證據(jù)取證概述

計(jì)算機(jī)取證（Computer Forensics）是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式進(jìn)行獲取、保存、分析和出示的過(guò)程。從技術(shù)上，計(jì)算機(jī)取證是一個(gè)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解，以對(duì)入侵事件進(jìn)行重建的過(guò)程。網(wǎng)絡(luò)取證（Network Forensics）包含了計(jì)算機(jī)取證，是廣義的計(jì)算機(jī)取證，是網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)取證。

計(jì)算機(jī)取證包括了物理證據(jù)獲取和信息分析發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)是指調(diào)查人員到犯罪現(xiàn)場(chǎng)，尋找和扣留犯罪相關(guān)的計(jì)算機(jī)軟硬件設(shè)備；信息分析發(fā)現(xiàn)是指從計(jì)算機(jī)原始數(shù)據(jù)中通過(guò)技術(shù)手段分析查找與案件相關(guān)的系統(tǒng)日志、聊天記錄、電子郵件和文件等可以用來(lái)證明或者反駁的電子數(shù)據(jù)證據(jù)，即電子證據(jù)。

與傳統(tǒng)的證據(jù)不同的是，計(jì)算機(jī)證據(jù)易丟失、易篡改、易刪除并且很難獲取，這就要求在進(jìn)行計(jì)算機(jī)取證時(shí)必須嚴(yán)格遵守一定的規(guī)則?；驹瓌t如下：

1.1 合法性原則

應(yīng)采用合法的取證設(shè)備和工具軟件按照法律法規(guī)的要求，合理合法地進(jìn)行計(jì)算機(jī)證據(jù)收集。

1.2 原始性原則

及時(shí)收集、保存和固化原始證據(jù)，確保證據(jù)不被嫌疑人刪除、篡改和偽造。

1.3 連續(xù)性原則

證據(jù)被提交給法庭時(shí)，必須能夠說(shuō)明證據(jù)從最初的獲取到出庭證明之間的任何變化。

1.4 過(guò)程完整性原則

整個(gè)取證過(guò)程應(yīng)該在受監(jiān)督的情況下完成，證據(jù)的移交、分類、保管等過(guò)程應(yīng)該有詳細(xì)的記錄，確保證據(jù)獲取的真實(shí)可信。

1.5 多備份原則

對(duì)存放計(jì)算機(jī)證據(jù)的載體至少制作兩個(gè)以上的副本。原件應(yīng)存放在專門(mén)的保管設(shè)施中，副本可用于證據(jù)的提取和分析；

1.6 可重現(xiàn)原則

由于電子證據(jù)的特殊性，確保取證過(guò)程和結(jié)果的可重現(xiàn)性。

2 計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)就是在網(wǎng)絡(luò)上跟蹤犯罪分子或通過(guò)網(wǎng)絡(luò)通信的數(shù)據(jù)信息資料獲取證據(jù)的技術(shù)。主要包括以下幾種技術(shù)。

2.1 基于入侵檢測(cè)取證技術(shù)

是指通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，簡(jiǎn)稱IDS。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。它的原理就是利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ牛W(wǎng)絡(luò)證據(jù)的動(dòng)態(tài)獲取也需要對(duì)位于傳輸層的網(wǎng)絡(luò)數(shù)據(jù)通信包進(jìn)行實(shí)時(shí)的監(jiān)控和分析，從中發(fā)現(xiàn)和獲得嫌疑人的犯罪信息。因此，計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)的獲取完全可以依賴現(xiàn)有IDS系統(tǒng)的強(qiáng)大網(wǎng)絡(luò)信息收集和分析能力，結(jié)合取證應(yīng)用的實(shí)際需求加以改進(jìn)和擴(kuò)展，就可以輕松實(shí)現(xiàn)網(wǎng)絡(luò)證據(jù)的獲取。只是具體的獲取方法和獲取的信息不同而已。

2.2 來(lái)源取證技術(shù)

其主要的目的是確定嫌疑人所處位置和具體作案設(shè)備。主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕捉和分析，或者對(duì)電子郵件頭等信息進(jìn)行分析，從中獲得犯罪嫌疑人通信時(shí)的計(jì)算機(jī)IP地址和MAC 地址等相關(guān)信息。

IP地址是Internet協(xié)議地址，每個(gè)Internet包必須帶有IP地址，每個(gè)Internet服務(wù)提供商（ISP）必須向有關(guān)組織申請(qǐng)一組IP地址，然后一般是動(dòng)態(tài)分配給其用戶。調(diào)查人員通過(guò)IP地址定位追蹤技術(shù)進(jìn)行追蹤溯源，查找出嫌疑人所處的具體位置。MAC地址是由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)直接寫(xiě)在每個(gè)硬件內(nèi)部的全球唯一地址。調(diào)查人員通過(guò)MAC 地址和相關(guān)調(diào)查信息最終確認(rèn)犯罪分子的作案設(shè)備。

2.3 痕跡取證技術(shù)

是指通過(guò)專用工具軟件和技術(shù)手段，對(duì)犯罪嫌疑人所使用過(guò)的計(jì)算機(jī)設(shè)備中相關(guān)記錄和痕跡信息進(jìn)行分析取證，獲得案件相關(guān)的犯罪證據(jù)。主要有文件內(nèi)容、電子郵件、網(wǎng)頁(yè)內(nèi)容、聊天記錄、系統(tǒng)日志、應(yīng)用日志、服務(wù)器日志、網(wǎng)絡(luò)日志、防火墻日志、入侵檢測(cè)、磁盤(pán)驅(qū)動(dòng)器、文件備份、已刪除可恢復(fù)的記錄信息等等。痕跡取證技術(shù)要求取證人員需要具備較高的計(jì)算機(jī)專業(yè)水平和豐富的取證經(jīng)驗(yàn)，結(jié)合密碼破解、加密數(shù)據(jù)的解密、隱藏?cái)?shù)據(jù)的再現(xiàn)、數(shù)據(jù)恢復(fù)、數(shù)據(jù)搜索等技術(shù)。對(duì)系統(tǒng)分析和采集來(lái)獲得證據(jù)。

2.4 海量數(shù)據(jù)挖掘技術(shù)

計(jì)算機(jī)的存儲(chǔ)容量越來(lái)越大，網(wǎng)絡(luò)傳輸?shù)乃俣纫苍絹?lái)越快。對(duì)于計(jì)算機(jī)內(nèi)部存儲(chǔ)和網(wǎng)絡(luò)傳輸中的大量數(shù)據(jù)，可以用海量數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)特定的與犯罪有關(guān)的數(shù)據(jù)。相關(guān)專家提出了NFAT(NetWork Forensics Analysis Tools)的設(shè)計(jì)框架和標(biāo)準(zhǔn)。核心是開(kāi)發(fā)專家系統(tǒng)（Expret System，簡(jiǎn)稱ES）并配合入侵檢測(cè)系統(tǒng)和防火墻，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)的監(jiān)控、提取和分析，對(duì)于發(fā)現(xiàn)的異常數(shù)據(jù)進(jìn)行可視化報(bào)告，從中獲得嫌疑人的相關(guān)犯罪信息。

2.5 網(wǎng)絡(luò)流量監(jiān)控技術(shù)

可以通過(guò)Sniffer協(xié)議分析軟件和P2P流量監(jiān)控軟件實(shí)時(shí)動(dòng)態(tài)來(lái)跟蹤犯罪嫌疑人的通信過(guò)程，對(duì)嫌疑人正在傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)連續(xù)的采集和監(jiān)測(cè)，對(duì)獲得的流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)計(jì)算，從而得到網(wǎng)絡(luò)主要成分的性能指標(biāo)。根據(jù)對(duì)網(wǎng)絡(luò)主要成分進(jìn)行性能分析，發(fā)現(xiàn)性能變化趨勢(shì)，得到嫌疑人的相關(guān)犯罪痕跡。

2.6 事前取證技術(shù)

現(xiàn)有的取證技術(shù)基本上都是建立在案件發(fā)生后，根據(jù)案情需要利用各種技術(shù)對(duì)所需的證據(jù)進(jìn)行獲取即事后取證。而由于計(jì)算機(jī)網(wǎng)絡(luò)犯罪的特殊性，許多重要的信息，只存在于案件發(fā)生的當(dāng)前狀態(tài)下如環(huán)境信息、網(wǎng)絡(luò)狀態(tài)信息等在事后往往是無(wú)據(jù)可查，而且電子數(shù)據(jù)易遭到刪除、覆蓋和破壞。因此，對(duì)自我認(rèn)為可能發(fā)生的事件進(jìn)行預(yù)防性的取證保全，對(duì)日后出現(xiàn)問(wèn)題的案件的調(diào)查和出庭作證都具有無(wú)可比擬的作用，它將是計(jì)算機(jī)取證技術(shù)未來(lái)發(fā)展的重要方向之一。對(duì)此類防范和預(yù)防性的取證工具軟件，在國(guó)內(nèi)外還比較少見(jiàn)?，F(xiàn)有據(jù)可查的就是福建伊?xí)r代公司于2007年推出的電子證據(jù)生成系統(tǒng)。該系統(tǒng)采用其獨(dú)創(chuàng)的“數(shù)據(jù)原生態(tài)保全技術(shù)”來(lái)標(biāo)識(shí)電子證據(jù)，并將其上傳存放于安全性極高的電子證據(jù)保管中心，充分保證電子證據(jù)的完整性、真實(shí)性和安全性，使之具備法律效力。它可以全天候提供電子郵件、電子合同、網(wǎng)絡(luò)版權(quán)、網(wǎng)頁(yè)內(nèi)容、電子商務(wù)、電子政務(wù)等電子證據(jù)的事前保全服務(wù)。

3 現(xiàn)有取證存在的問(wèn)題

3.1 法律法規(guī)的不健全

由于我國(guó)在計(jì)算機(jī)取證方面的立法相對(duì)滯后，到目前為止還未有計(jì)算機(jī)取證方面的專門(mén)的法律法規(guī)，計(jì)算機(jī)證據(jù)即電子證據(jù)還不能做為一種單獨(dú)的證據(jù)類型在法庭上予以承認(rèn)。

計(jì)算機(jī)取證工作程序沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，獲取證據(jù)的過(guò)程沒(méi)有嚴(yán)格的規(guī)定，存在較大的隨意性。因此，獲取的證據(jù)的證明力不足。

3.2 取證工作缺乏標(biāo)準(zhǔn)和規(guī)范

由于計(jì)算機(jī)取證倍受關(guān)注,很多組織和機(jī)構(gòu)都投入了人力對(duì)這個(gè)領(lǐng)域進(jìn)行研究,也開(kāi)發(fā)出大量的取證工具，但沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,軟件的使用者很難對(duì)這些工具的有效性和可靠性進(jìn)行比較。

缺少對(duì)取證人員的認(rèn)證和培訓(xùn)機(jī)制，由于取證人員水平的參差不齊，取得的證據(jù)不具備可靠性。

4 取證技術(shù)的完善

首先，應(yīng)加快計(jì)算機(jī)取證法律法規(guī)的立法步伐，使其具備合法性。盡早在法律層面上確立電子證據(jù)作為一種單獨(dú)證據(jù)類型。另外，還應(yīng)制定統(tǒng)一的計(jì)算機(jī)取證規(guī)范和取證過(guò)程標(biāo)準(zhǔn)，從制度上保證取證的科學(xué)性和權(quán)威性。

其次，由于計(jì)算機(jī)取證是一個(gè)高技術(shù)含量的學(xué)科，需結(jié)合計(jì)算機(jī)軟硬件的多項(xiàng)技術(shù)才能完成，因此，有必要建立一個(gè)計(jì)算機(jī)取證綜合實(shí)驗(yàn)室。對(duì)網(wǎng)絡(luò)犯罪和取證技術(shù)進(jìn)行綜合研究，找出一個(gè)切實(shí)可行的網(wǎng)絡(luò)犯罪防范和治理辦法。

由于現(xiàn)有的取證技術(shù)都是事后取證，缺乏對(duì)網(wǎng)絡(luò)犯罪的事前防范和預(yù)防，無(wú)法從根源上防止和杜絕網(wǎng)絡(luò)犯罪。因此，必須加快計(jì)算機(jī)網(wǎng)絡(luò)犯罪的事前防范和預(yù)防的研究，把網(wǎng)絡(luò)犯罪掐斷在萌芽階段，才能做到從源頭上治理計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為。

5 發(fā)展趨勢(shì)

現(xiàn)在的計(jì)算機(jī)取證，很大程度是手工操作硬件或者使用取證工具軟件，能夠在作案的同時(shí)或一定時(shí)限內(nèi)獲得證據(jù)的機(jī)會(huì)微乎其微。取證工作的成敗主要取決于技術(shù)人員的經(jīng)驗(yàn)和智慧，缺少證據(jù)的主動(dòng)獲取技術(shù)。所以取證技術(shù)的發(fā)展方向之一就是證據(jù)獲取的自動(dòng)化。

由于計(jì)算機(jī)取證技術(shù)是近年來(lái)才得以發(fā)展和重視，相對(duì)反取證技術(shù)還比較落后。而且反取證技術(shù)也在不斷發(fā)展，如同病毒和防病毒軟件的發(fā)展一樣，取證技術(shù)的進(jìn)一步發(fā)展也基于研究反取證技術(shù)的基礎(chǔ)上。

6 結(jié)論

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的普及，計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)是一個(gè)快速成長(zhǎng)的研究領(lǐng)域,它在國(guó)家安全、消費(fèi)者保護(hù)和犯罪調(diào)查方面有著重要的應(yīng)用前景。本文主要研究了計(jì)算機(jī)網(wǎng)絡(luò)取證的基本原則、取證技術(shù)的應(yīng)用。并結(jié)合法律和技術(shù)方面指出目前存在的問(wèn)題和今后取證技術(shù)的完善和發(fā)展趨勢(shì)。對(duì)計(jì)算機(jī)取證的法律和技術(shù)問(wèn)題進(jìn)行深入探討和研究，希望有助于我國(guó)計(jì)算機(jī)取證法律法規(guī)的健全和計(jì)算機(jī)取證技術(shù)的進(jìn)一步完善和發(fā)展。

[1] 郭建朝.計(jì)算機(jī)取證技術(shù)的應(yīng)用研究[D].蘭州:蘭州大學(xué)碩士學(xué)位論文,2007.

[2]張凱.電子證據(jù)研究[D].北京:中國(guó)政法大學(xué)博士學(xué)位論文,2006.

[3]何明.計(jì)算機(jī)安全學(xué)的新焦點(diǎn)——計(jì)算機(jī)取證學(xué)[J].系統(tǒng)安全,2002.

[4]梁錦華,蔣建春,戴飛雁,卿斯?jié)h.計(jì)算機(jī)取證技術(shù)研究[J].計(jì)算機(jī)工程,2002.

[5]錢(qián)桂瓊,楊澤明,許榕生.計(jì)算機(jī)取證的研究與設(shè)計(jì)[J].計(jì)算機(jī)工程,2002.

[6] 張?jiān)浇?網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪勘查技術(shù)學(xué)[M].北京:清華大學(xué)出版社,2003.