基于主機(jī)的行為分析取證技術(shù)研究

王文奇,庫(kù)金龍

(中原工學(xué)院,鄭州 450007)

基于主機(jī)的行為分析取證技術(shù)研究

王文奇,庫(kù)金龍

(中原工學(xué)院,鄭州 450007)

在分析電子取證技術(shù)相關(guān)研究基礎(chǔ)上,針對(duì)主機(jī)取證的特點(diǎn),提出了主機(jī)行為分析取證模型,并對(duì)其中的關(guān)鍵技術(shù)進(jìn)行了研究,目的是通過分析用戶在主機(jī)上遺留的痕跡,分析用戶對(duì)主機(jī)操作的行為,從而發(fā)現(xiàn)可能的犯罪信息.

計(jì)算機(jī)取證;取證模型;行為分析模型

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、計(jì)算機(jī)的普及,安全形勢(shì)日趨嚴(yán)峻,計(jì)算機(jī)犯罪案件越來越多,但是由于取證困難的原因,實(shí)際起訴的案件卻相當(dāng)少.因此,利用法律手段對(duì)計(jì)算機(jī)犯罪予以制裁,有效打擊犯罪分子,是解決計(jì)算機(jī)安全問題的有效途徑,其中關(guān)鍵的技術(shù)之一就是計(jì)算機(jī)取證技術(shù)[1].

在國(guó)外,打擊計(jì)算機(jī)犯罪有著二三十年的歷史,在計(jì)算機(jī)取證方面積累了一定的經(jīng)驗(yàn),出現(xiàn)了許多專門的計(jì)算機(jī)取證部門、實(shí)驗(yàn)室和咨詢服務(wù)公司.例如美國(guó) GU IDANCE軟件公司研制的 Encase,主要針對(duì)Window s系統(tǒng),生成一個(gè)映像文件并進(jìn)行分析,從而發(fā)現(xiàn)犯罪證據(jù)[2-3];英國(guó) VOGON公司開發(fā)了基于W indow s、M AC、Unix等系統(tǒng)的數(shù)據(jù)收集和分析系統(tǒng)(Flightserver),可逐個(gè)扇區(qū)(包括壞扇區(qū))進(jìn)行復(fù)制、拷貝,對(duì)文件進(jìn)行字符匹配查找,從而發(fā)現(xiàn)證據(jù)[4].已有的取證研究和相關(guān)軟件中,或者側(cè)重于主機(jī)數(shù)據(jù)恢復(fù)方面技術(shù),或者側(cè)重于獲得信息關(guān)聯(lián)分析取證,或者僅僅側(cè)重于某些特定應(yīng)用的取證(比如QQ聊天記錄的取證等).計(jì)算機(jī)上犯罪分子的犯罪行為多種多樣,這些取證技術(shù)已不能夠很好地滿足司法取證的要求[5],特別是取證犯罪嫌疑人在主機(jī)上進(jìn)行的操作活動(dòng).為此,我們?cè)诒M可能獲得主機(jī)數(shù)據(jù)基礎(chǔ)上,進(jìn)行分析主機(jī)行為操作模型研究,目的是提供一種新的可行取證手段,進(jìn)而維護(hù)司法公正.

1 系統(tǒng)模型

主機(jī)的行為分析取證系統(tǒng)模型如圖1所示.系統(tǒng)各模塊功能如下:在得到待取證目標(biāo)主機(jī)硬盤后,為了保證取證內(nèi)容的完整性,首先要對(duì)原始數(shù)據(jù)進(jìn)行備份,在此基礎(chǔ)上進(jìn)行文件/文件夾分析、上網(wǎng)記錄/聊天記錄分析、USB插拔/復(fù)制分析等,通過在備份的數(shù)據(jù)盤上展開數(shù)據(jù)恢復(fù)和排序工作,并依次進(jìn)行數(shù)據(jù)分析(主要包括用技術(shù)手段對(duì)分析的數(shù)據(jù)進(jìn)行加密固定),最終提呈給要求取證的目標(biāo)群體.圖1所示為主機(jī)的行為分析取證系統(tǒng)模型.

圖1 主機(jī)的行為分析取證系統(tǒng)模型

目前數(shù)據(jù)備份、恢復(fù)技術(shù)是相對(duì)成熟的技術(shù),因此數(shù)據(jù)分析過程是取證模型需要重點(diǎn)解決的部分.

(1)文件/文件夾分析.獲取目標(biāo)主機(jī)文件操作記錄,包括文件格式、文件大小、建立時(shí)間、修改時(shí)間、最后一次訪問時(shí)間等詳細(xì)信息,從而發(fā)現(xiàn)用戶在目標(biāo)機(jī)器上進(jìn)行各種文件操作的非法活動(dòng).

(2)上網(wǎng)記錄/聊天記錄分析.針對(duì)目前流行的各種瀏覽器和聊天軟件記錄進(jìn)行分析,定位用戶的上網(wǎng)記錄和聊天記錄,獲取用戶瀏覽的網(wǎng)站內(nèi)容、實(shí)時(shí)聊天內(nèi)容.

(3)USB插拔/復(fù)制分析.調(diào)用系統(tǒng)函數(shù),對(duì)系統(tǒng)特定位置展開分析,通過數(shù)據(jù)庫(kù)比對(duì),獲取目標(biāo)主機(jī)使用的USB設(shè)備記錄、初始使用和最終使用日期,進(jìn)而分析出USB設(shè)備的插拔、復(fù)制文件等操作.

2 提取信息過程

上述模型中有幾個(gè)關(guān)鍵問題需要解決.首先,如何從海量的計(jì)算機(jī)存儲(chǔ)信息中獲取用戶在計(jì)算機(jī)上遺留的可用的信息,是一個(gè)必須解決的問題;其次,計(jì)算機(jī)中存儲(chǔ)的信息各種各樣,種類繁多,如何對(duì)這些不同格式信息綜合分析也是一個(gè)需要解決的問題.根據(jù)模型設(shè)計(jì),我們采用如圖2所示的技術(shù)方案.描述如下:

圖2 取證系統(tǒng)分析過程

(1)分析用戶操作在主機(jī)上遺留的信息.利用Regsnap、Regfile等軟件和其他類型的監(jiān)控軟件進(jìn)行大量測(cè)試,反復(fù)比對(duì)測(cè)試結(jié)果,分析用戶在目標(biāo)主機(jī)上進(jìn)行各種操作活動(dòng)時(shí)遺留的痕跡以及發(fā)生的變化,包括文件和注冊(cè)表、相關(guān)日志信息及配置文件等相關(guān)信息的變化.例如在主機(jī)上插入U(xiǎn)SB設(shè)備后,注冊(cè)表增加16項(xiàng)主鍵,修改46項(xiàng)主鍵;而拔出USB設(shè)備后,注冊(cè)表刪除16項(xiàng)主鍵,修改44項(xiàng)主鍵;分析插入和拔出USB設(shè)備后,注冊(cè)表修改了2項(xiàng)主鍵:

HKEY_LOCAL_MACH INESOFTWAREM icrosoftCryp tographyRNGSeed:

插入 USB設(shè)備前:類型—REG_B INARY;長(zhǎng)度—80(0x50)字節(jié).

插入 USB設(shè)備后:類型—REG_BINARY;長(zhǎng)度—80(0x50)字節(jié).

結(jié)論:長(zhǎng)度不變,內(nèi)容發(fā)生變化.

HKEY_LOCAL_MACH INESYSTEMMountedDevices\DosDevicesG:

插入 USB設(shè)備前:類型—REG_B INARY;長(zhǎng)度—212(0xd4)字節(jié).

插入 USB設(shè)備后:類型—REG_B INARY;長(zhǎng)度—162(0xa2)字節(jié).

結(jié)論:長(zhǎng)度、內(nèi)容均發(fā)生變化.

(2)提取用戶活動(dòng)信息.利用API函數(shù)得到系統(tǒng)文件和注冊(cè)表相關(guān)數(shù)據(jù);對(duì)于不能夠直接利用API函數(shù)調(diào)取的數(shù)據(jù),要根據(jù)其不同的文件格式,分別展開分析,并最終提取相關(guān)信息.而為了方便取證,對(duì)得到的不同類型的數(shù)據(jù),需要進(jìn)行歸一化格式處理.例如,應(yīng)用程序日志、安全性日志、系統(tǒng)日志可以直接調(diào)用API函數(shù)提取,被刪除的文件可以在系統(tǒng)回收站或者使用專業(yè)數(shù)據(jù)恢復(fù)軟件得到,臨時(shí)文件可以在COOKIES和最近打開的文檔等目錄下找到,但是得到的信息格式卻不盡相同,為了便于取證系統(tǒng)工作,要把這些不同的格式進(jìn)行歸一化處理.

(3)重構(gòu)用戶主機(jī)行為.在分析已獲取的數(shù)據(jù)信息和操作痕跡的基礎(chǔ)上,建立重構(gòu)模型,還原用戶在目標(biāo)主機(jī)上進(jìn)行的操作活動(dòng).

圖3 “Forensics”軟件運(yùn)行界面

3 軟件設(shè)計(jì)

在以上研究的基礎(chǔ)上,我們?cè)O(shè)計(jì)了主機(jī)行為取證分析軟件“Forensics”.該軟件采用 M icrosoft Visual C++2008編寫,主要實(shí)現(xiàn)了以下功能:包含文件/文件夾分析(最近文件信息);被刪除的敏感文件(COOKIES,收藏夾,我的文檔,最近打開的文件);上網(wǎng)記錄/聊天記錄(目前使用較多的瀏覽器 IE,聊天工具QQ,下載軟件迅雷);事件查看器(應(yīng)用程序日志,安全性日志,系統(tǒng)日志);U盤插拔/復(fù)制記錄分析(U盤操作信息,U盤插拔記錄);調(diào)制解調(diào)器;以及網(wǎng)卡信息如IP地址、MAC等.通過以上功能,基本實(shí)現(xiàn)了對(duì)目標(biāo)主機(jī)用戶在主機(jī)上個(gè)各種操作行為以及操作行為結(jié)果進(jìn)行分析,進(jìn)而取得取證用戶犯罪行為的證據(jù).

4 結(jié) 語(yǔ)

計(jì)算機(jī)取證技術(shù)涉及到多方面,大大降低取證速度和取證結(jié)果的可靠性.同時(shí),它也是一個(gè)迅速成長(zhǎng)的研究領(lǐng)域.本文僅對(duì)通過取證主機(jī)分析取證目標(biāo)用戶的操作行為方面進(jìn)行了階段性的初步分析,分析結(jié)果的完備性、可驗(yàn)證性、以及取證模型的理論分析等方面還需要進(jìn)一步研究,這也是下一步要做的工作.

[1] 貊猛,郭鑫.計(jì)算機(jī)安全取證技術(shù)研究[J].西安郵電學(xué)院學(xué)報(bào),2007(3):86-91.

[2] 李玉龍.計(jì)算機(jī)取證技術(shù)的探討與研究[J].計(jì)算機(jī)安全,2007(5):11-13.

[3] 黃毅銘,汪海航.基于Palm OS移動(dòng)設(shè)備的計(jì)算機(jī)取證與分析[J].計(jì)算機(jī)應(yīng)用與軟件,2007,24(9):25-28.

[4] 張有東,王建東,朱梧.反計(jì)算機(jī)取證技術(shù)研究[J].河海大學(xué)學(xué)報(bào)(自然科學(xué)版),2007,35(1):104-106.

[5] 蘇成.計(jì)算機(jī)取證與反取證的較量[J].計(jì)算機(jī)安全,2006(1):67-69.

[6] 殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)研究[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2004(7):89-91.

The Research on Behavioral Forensic Based on Host

WANGWen-qi,KU Jin-long
(Zhongyuan University of Technology,Zhengzhou 450007,China)

Based on anglicizing related research on forensics,considering the characteristics of the host evidence,a forensic model on host behavio r analysis is p roposed in this paper,and the key technologies is analyzed.The aim of the research is to analyze the user’s behavior of the host operation and find possible criminal info rmation by collecting trace in host.

computer forensics;forensic model;behavior analysis

TP24

A

10.3969/j.issn.1671-6906.2010.04.005

1671-6906(2010)04-0019-03

2010-07-16

河南省科技攻關(guān)計(jì)劃項(xiàng)目(082102210082;082102210092);河南省教育廳自然科學(xué)基金項(xiàng)目(2008B520045)

王文奇(1971-),男,副教授,博士.