數(shù)字取證的三維過程模型

趙 倩，宋如順

南京師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，南京 245041

數(shù)字取證的三維過程模型

趙 倩，宋如順

南京師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，南京 245041

1 引言

在技術(shù)時(shí)代，電子信息在人們的生活中占據(jù)著越來越重要的位置。更多的個(gè)人信息、重要的文件等都是用電子設(shè)備來保存的，因此，電子設(shè)備成為偷竊或其他犯罪行為的目標(biāo)。犯罪證據(jù)不僅是實(shí)物還有可能是電子設(shè)備中存儲(chǔ)的信息，由于涉及犯罪的電子證據(jù)多種多樣，針對(duì)不同的電子設(shè)備，所采用的取證方法與取證工具也不盡相同，錯(cuò)誤的處理方法，可能會(huì)導(dǎo)致電子證據(jù)的丟失和對(duì)電子證據(jù)真實(shí)性和完整性的破壞。

在文獻(xiàn)[1]中，提出了一種三維過程模型，在該模型中，作者從實(shí)踐的角度出發(fā)，根據(jù)現(xiàn)場(chǎng)可能碰到的電子證據(jù)的不同類型、電子證據(jù)不同的取證方式（動(dòng)態(tài)和靜態(tài)取證）以及取證的不同階段建立了一個(gè)三維的取證模型。文獻(xiàn)[1]雖然是從實(shí)踐的角度出發(fā)，卻沒有考慮到取證人員在取證過程當(dāng)中所起的重要作用，一個(gè)取證過程是否成功，取證人員起著關(guān)鍵的作用。文獻(xiàn)[2]中，把取證過程進(jìn)行了智能化處理，但在檢查階段卻沒能實(shí)現(xiàn)智能化，需要調(diào)查人員來進(jìn)行檢查。因此，本文中提出了一個(gè)三維過程模型，在該模型中引入了取證團(tuán)隊(duì)的思想，根據(jù)電子證據(jù)的不同種類，分別對(duì)電子證據(jù)進(jìn)行取證，同時(shí)在取證過程中實(shí)現(xiàn)了自動(dòng)收集和分析證據(jù)的功能，為確保證據(jù)的可信性和真實(shí)性，本文還在取證過程中加入監(jiān)督過程。

2 模型描述

在每個(gè)犯罪案件中，所涉及的電子設(shè)備并不是單一的，往往是多種多樣的，不同的電子設(shè)備在數(shù)字取證的過程中，所使用的收集和分析工具往往是不一樣的，而且在數(shù)字取證的各個(gè)階段某些活動(dòng)是需要反復(fù)進(jìn)行的，同時(shí)，要想對(duì)一個(gè)犯罪案件進(jìn)行數(shù)字取證，單靠某一個(gè)或某幾個(gè)人來完成是不可能的。為解決以上問題，本文基于取證團(tuán)隊(duì)的思想，針對(duì)不同電子設(shè)備進(jìn)行取證，并列出常見的一些活動(dòng)，提出了一個(gè)三維取證過程模型。該模型由三個(gè)正交軸x，y，z組成一個(gè)三維空間，其中x軸代表了電子證據(jù)的四種類型（開放的計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)、嵌入式計(jì)算機(jī)系統(tǒng)及其他設(shè)備）；y軸代表了數(shù)字取證過程的五個(gè)主要階段（準(zhǔn)備階段、收集階段、檢查分析階段、提交階段和結(jié)束階段）；z軸則代表了用于各個(gè)主要階段的五個(gè)主要活動(dòng)（監(jiān)控、文檔記錄、保存與檢驗(yàn)、團(tuán)隊(duì)的組建與案件管理及計(jì)算機(jī)工具的使用）。如圖1所示。

圖1 三維過程模型圖

在現(xiàn)實(shí)社會(huì)中，任何一個(gè)犯罪案件都至少涉及一種電子證據(jù)，對(duì)于不同類型的電子證據(jù)，所采取的收集方法和工具也不一樣。從模型中可以看出，在取證的每一個(gè)階段，取證過程會(huì)涉及到五個(gè)常用的活動(dòng)和不同的電子證據(jù)，因此，取證過程中的任一事件都可以用一個(gè)三維向量來表示。特別地，當(dāng)針對(duì)某一類型的電子證據(jù)進(jìn)行取證時(shí)，該模型就變成了一個(gè)二維的取證過程模型。在該模型中，主要的取證人員，也就是這個(gè)取證團(tuán)隊(duì)的領(lǐng)導(dǎo)者——指揮員，是決定取證是否成功的關(guān)鍵。下面就針對(duì)該三維過程模型進(jìn)行說明。

2.1 電子證據(jù)的種類

在實(shí)際的數(shù)字取證過程中，電子證據(jù)的來源有很多，如計(jì)算機(jī)、網(wǎng)絡(luò)、手機(jī)、光盤等，一般來說，可以把這些電子證據(jù)分為四類[1]：

（1）開放的計(jì)算機(jī)系統(tǒng)：主要是指一般意義上的計(jì)算機(jī)，包括：硬盤、鍵盤、顯示器，它可以是筆記本、臺(tái)式機(jī)和服務(wù)器。在這些設(shè)備中，數(shù)據(jù)一般保存在硬盤中，是電子證據(jù)的主要來源。硬盤中的文件可能包括和案件相關(guān)的信息，為調(diào)查指明方向。

（2）通信系統(tǒng)：包括通信網(wǎng)絡(luò)中的傳輸節(jié)點(diǎn)以及正在傳輸中的數(shù)據(jù)。例如電子郵件的發(fā)送/接收時(shí)間，服務(wù)器以及路由器的日志都要進(jìn)行檢查，因?yàn)檫@些都是通信系統(tǒng)的一部分。

（3）嵌入式計(jì)算機(jī)系統(tǒng)：包括手機(jī)、PDA、智能卡、PSP、GPS和其他很多系統(tǒng)。這些設(shè)備的檢查可能會(huì)對(duì)證據(jù)的收集有意想不到的幫助。

（4）其他設(shè)備：包括光盤、軟盤、U盤，存儲(chǔ)卡等不被納入以上三種類型的電子證據(jù)。這些都是生活中人們常常用來存儲(chǔ)重要信息的設(shè)備，其中的信息在對(duì)證據(jù)進(jìn)行分析的過程中可能會(huì)起到重要的作用。

2.2 取證的主要階段

2.2.1 準(zhǔn)備階段

在該階段，為了使取證過程能夠順利開展，根據(jù)需要，安排了兩個(gè)主要的角色，一個(gè)是指揮員，另一個(gè)是檢查員。在接到案件報(bào)警時(shí)，指揮員首先派出檢查員去現(xiàn)場(chǎng)查看。檢查員是在第一時(shí)間對(duì)案件作出反應(yīng)的人員，其主要任務(wù)有：保護(hù)現(xiàn)場(chǎng)、確定事件是否發(fā)生（防止誤報(bào)）并把現(xiàn)場(chǎng)的基本情況列個(gè)清單上報(bào)給指揮員。指揮員根據(jù)檢查員上報(bào)的信息，作出相應(yīng)的安排。主要任務(wù)有：根據(jù)上報(bào)情況，立即組建取證團(tuán)隊(duì)、安排相應(yīng)人員準(zhǔn)備現(xiàn)場(chǎng)取證工具和派出相應(yīng)人員去現(xiàn)場(chǎng)提取證據(jù)；獲取相應(yīng)的搜查令；研究相應(yīng)案件，并對(duì)所發(fā)生的事件進(jìn)行評(píng)估，根據(jù)經(jīng)驗(yàn)對(duì)檢查人員給出的清單，列出案件的一個(gè)大致輪廓，指揮員還有個(gè)最重要的任務(wù)就是監(jiān)督、指導(dǎo)整個(gè)取證過程。

2.2.2 收集階段

該階段主要是由調(diào)查團(tuán)隊(duì)來執(zhí)行的，它分為現(xiàn)場(chǎng)收集證據(jù)階段和實(shí)驗(yàn)室收集證據(jù)階段，然而不管是在現(xiàn)場(chǎng)收集還是在實(shí)驗(yàn)室收集階段，證據(jù)都包括實(shí)物證據(jù)和電子證據(jù)。這是因?yàn)樵谟?jì)算機(jī)犯罪案件中，證據(jù)一般是存放在電子設(shè)備中，要想獲得電子證據(jù)，首先要對(duì)可疑的電子設(shè)備進(jìn)行保存和記錄（與傳統(tǒng)案件中證據(jù)的收集相同，這里就不再重復(fù)），再對(duì)設(shè)備中的信息進(jìn)行提取、保存和記錄。現(xiàn)場(chǎng)收集階段，主要是對(duì)現(xiàn)場(chǎng)的可疑證據(jù)進(jìn)行收集，對(duì)于在現(xiàn)場(chǎng)由于設(shè)備等條件不足，而無法收集的含可疑證據(jù)的電子設(shè)備，就需要帶到實(shí)驗(yàn)室中進(jìn)行證據(jù)的收集。

在電子證據(jù)收集的過程中，由于電子證據(jù)的來源多種多樣，對(duì)于不同電子證據(jù)的種類，需要采用不同的數(shù)據(jù)收集方法，同時(shí)隨著技術(shù)的不斷發(fā)展，目前的存儲(chǔ)設(shè)備具有很大的容量，而對(duì)于系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)包中的信息，由于里面含有諸如日志、注冊(cè)表之類的信息，信息量很大，同樣需要很大的存儲(chǔ)空間，而且分析起來也比較費(fèi)時(shí)、費(fèi)力，因此調(diào)查員在收集證據(jù)之前，可以適當(dāng)?shù)販p輕調(diào)查的壓力，根據(jù)檢查員提供的信息，結(jié)合指揮員在準(zhǔn)備階段給出的初始關(guān)鍵字，與由案件庫組成的專家系統(tǒng)進(jìn)行相似案件關(guān)鍵字的比對(duì)，通過不斷增加的關(guān)鍵字，迅速地對(duì)信息進(jìn)行過濾。具體的取證過程如圖2所示。

圖2 取證過程圖

根據(jù)案件的不同，收集內(nèi)容也不盡相同，主要包括：系統(tǒng)的一些基本信息（如：系統(tǒng)狀況、版本號(hào)等）；日志、注冊(cè)表中的可疑信息（告警信息、錯(cuò)誤信息等）；以及與可疑信息相關(guān)的信息；通過關(guān)鍵字過濾后的信息等。兩個(gè)事件相關(guān)聯(lián)指的是兩個(gè)事件中至少含有一個(gè)相同的因素，在這里把至少含有兩個(gè)相同因素的兩個(gè)事件稱為事件相關(guān)聯(lián)。而事件的因素可以用5W1H來表示，即who、when、where、what，why、how，也就是說能清楚、詳細(xì)地記錄在什么時(shí)間、什么地點(diǎn)、誰因?yàn)槭裁丛?，做了什么，是如何做的?/p>

最后，把所有這些收集的證據(jù)，都統(tǒng)一存儲(chǔ)到一個(gè)設(shè)備當(dāng)中，以方便下面的檢查分析。同時(shí)要對(duì)該設(shè)備進(jìn)行加密，確保證據(jù)的真實(shí)性和可信性。

2.2.3 檢查分析階段

檢查與分析是一個(gè)不可分割的一個(gè)整體，該階段是由檢查分析團(tuán)隊(duì)來執(zhí)行的，主要是對(duì)所收集到的可疑證據(jù)進(jìn)行分析，組建證據(jù)鏈，還原犯罪事實(shí)。面對(duì)收集來的成百上千甚至上萬的文件或文件記錄，要想從中發(fā)現(xiàn)有用的證據(jù)，可以說是一件浩大的工程，文獻(xiàn)[3]中給出的證據(jù)可靠性放大算法提高了取證的效率和準(zhǔn)確性，但是對(duì)于每個(gè)有沖突的證據(jù)卻不能顯現(xiàn)出其在所有沖突證據(jù)中所占的比重，而且也沒有給出信任因子的極限。因此，本文對(duì)證據(jù)可靠性放大算法進(jìn)行了改進(jìn)，在該算法中沖突極限MCF不再取所有沖突因子的平均值，而是把所有沖突因子加權(quán)平均。這樣做就顯現(xiàn)出每個(gè)沖突的證據(jù)在所有沖突證據(jù)中所占的比重，有效地降低了沖突極限MCF，更好地對(duì)可疑證據(jù)進(jìn)行了篩選。同時(shí)，本文也給出了信任因子極限MRF的計(jì)算方法，過濾出大于信任因子極限MRF的證據(jù)，從而篩選出最可信的犯罪證據(jù)。下面簡(jiǎn)單地將算法描述如下：

（1）初始化：C=B=E=P=Φ，其中C表示證據(jù)庫。

（2）盡可能多地收集電子證據(jù)。

（4）定義＜ci,Ei＞、ci的信任因子 RF(ci)=0，其中 Ei表示ci對(duì)應(yīng)的證據(jù)源的集合。

（5）C=C∪B，把新收集的單個(gè)證據(jù)集B加入到證據(jù)庫C中。

（7）定義count=CF(ei)=CF(ej)=count(ei)=count(ej)=0。

（8）Ifei和ej沖突，ThenCF(ei)和CF(ej)則分別加1，count=count+1,count(ei)=count(ei)+1;count(ej)=count(ej)+1,其中CF(ei)和CF(ej)分別表示事件ei和事件ej的沖突因子。

（10）If?e，e∈P，CF(e)≤MCF，Then E=E∪{} e，其中E表示所有可信且不沖突事件的集合。

（11）B=P=Φ，為了減少字符的數(shù)量，將B和P清空。

（12）對(duì)于?e∈E:{對(duì)于事件e中的任一個(gè)單一的證據(jù)

（14）IfRF(c)≥MRF，ThenP=P∪{c}，篩選出最可信的證據(jù)集P。

由于電子證據(jù)具有易修改等特點(diǎn)，證據(jù)庫中的信息并不一定都是可靠的，為確定收集到的信息就是犯罪的有力證據(jù)，需要對(duì)收集的信息進(jìn)行提純，過濾掉那些大于沖突極限MCF的源事件，得到可信的、不沖突的源事件集E，再根據(jù)信任因子極限MRF過濾出最可信的證據(jù)集P，即是所要尋找的犯罪證據(jù)。根據(jù)證據(jù)，檢查分析人員組建證據(jù)鏈對(duì)案件進(jìn)行重構(gòu)。

2.2.4 提交階段

該階段由指揮員指派參與調(diào)查分析的一名人員稱為匯報(bào)員來進(jìn)行，匯報(bào)員要整理所有的文件記錄和各個(gè)階段得到的結(jié)論，并按照法律程序?qū)φ麄€(gè)案件的處理過程進(jìn)行解釋和說明，同時(shí)，對(duì)案件進(jìn)行最后的審查和測(cè)試。

2.2.5 案件結(jié)束

在該階段，指揮員要對(duì)整個(gè)案件進(jìn)行總結(jié)和分析，并對(duì)記錄進(jìn)行歸檔，同時(shí)，案件中的證據(jù)和文件記錄要上交檔案庫進(jìn)行歸檔、保存。

2.3 取證階段涉及的五個(gè)活動(dòng)

（1）監(jiān)控：主要是對(duì)取證的全過程進(jìn)行監(jiān)督，包括人員監(jiān)督以及取證技術(shù)的監(jiān)督，可采用雙攝像、拍照等設(shè)備進(jìn)行監(jiān)督。雙攝像即是通過視頻錄制軟件在被取證計(jì)算機(jī)上對(duì)整個(gè)取證過程進(jìn)行實(shí)時(shí)錄制，同時(shí)再通過DV從外部對(duì)整個(gè)取證過程進(jìn)行拍攝。

（2）文檔記錄：記錄收集了哪些證據(jù)，對(duì)其進(jìn)行了哪些操作，發(fā)現(xiàn)的初始步驟是什么等。

（3）保存與檢驗(yàn)：在準(zhǔn)備階段，保護(hù)現(xiàn)場(chǎng)不被破壞，在收集階段保護(hù)實(shí)物證據(jù)和電子證據(jù)免受干擾和損害，在檢查分析階段，分析證據(jù)的真實(shí)性。

（4）團(tuán)隊(duì)的組建與案件管理：該階段主要是由指揮員來完成的，指揮員除了要處理監(jiān)督團(tuán)隊(duì)成員的細(xì)節(jié)任務(wù)，還要給出整個(gè)過程和結(jié)果的大方向來避免偏離正確的路徑。在任何與預(yù)期重要目標(biāo)不同的情況下，應(yīng)盡快找到原因，及時(shí)給出引導(dǎo)。當(dāng)然這也可以通過召開團(tuán)隊(duì)會(huì)議來解決。

（5）計(jì)算機(jī)工具的使用：計(jì)算機(jī)工具的使用是整個(gè)取證過程所不可缺少的一部分，從證據(jù)的發(fā)現(xiàn)到呈堂證據(jù)的檢查、分析和案件重現(xiàn)都離不開計(jì)算機(jī)工具的使用。為保證證據(jù)的可信度，一般采用目前比較可信的取證工具。

這五個(gè)活動(dòng)經(jīng)常用在取證過程的各個(gè)階段，有利于維護(hù)取證過程的質(zhì)量，并能保證證據(jù)的可信性和完整性。

3 小結(jié)

本文主要結(jié)合實(shí)際取證過程中電子證據(jù)的多樣性，突出在整個(gè)過程中監(jiān)督、記錄、保存和鑒定、案件管理和團(tuán)隊(duì)組建以及計(jì)算機(jī)工具的使用這五項(xiàng)活動(dòng)的重要性，并在證據(jù)的分析中引入了改進(jìn)的證據(jù)可靠性放大算法對(duì)證據(jù)進(jìn)行分析，提高了證據(jù)的可靠性和工作效率。該模型的優(yōu)點(diǎn)是：（1）針對(duì)不同的案件中涉及的不同證據(jù)來源，可以采用不同的證據(jù)收集方案，擴(kuò)大了模型的使用范圍；（2）在收集階段采用了先用工具對(duì)證據(jù)進(jìn)行關(guān)鍵字的篩選，減少了調(diào)查分析人員的工作量；（3）對(duì)生產(chǎn)的新的關(guān)鍵字以及案件信息，可加入到專家系統(tǒng)中，實(shí)現(xiàn)了信息的重復(fù)使用，降低了先前對(duì)指揮員技術(shù)和能力的要求。模型的缺點(diǎn)，首先是在關(guān)鍵字生成階段可能需要人工干預(yù)，以實(shí)現(xiàn)最佳收集效果，這樣雖然顯現(xiàn)了調(diào)查團(tuán)隊(duì)的重要性，但只是實(shí)現(xiàn)了半自動(dòng)化，不能達(dá)到完全的自動(dòng)化。如何實(shí)現(xiàn)自動(dòng)化的取證過程，需要繼續(xù)地研究與探討。

[1]薛躍，胡武宏.一種三維的電子證據(jù)取證流程模型[J].警察技術(shù)，2007.

[2]Ruibin G，Yun T，Gaertner M.Case-relevance information investigation：binding computer intelligence to the current computer forensic framework[J].International Journal of Digital Evidence，2005，4（1）.

[3]Khatir M，Hejazi S M，Sneiders E.Two-dimensional evidence reliability amplification process model for digital forensics[C]// WDFIA'08.Washingtion，DC，USA：IEEE Computer Society，2008：21-29.

[4]蔣平，黃淑華，楊莉莉.數(shù)字取證[M].北京：清華大學(xué)出版社，2007.

ZHAO Qian,SONG Rushun

School of Mathematical Science,Nanjing Normal University,Nanjing 245041,China

This paper presents a three-dimension digital forensic process model based on emphasizing the importance of forensic numbers and different data sources.In this model,collecting methods are different varying from data source to data source which involved in the event in order to explore the scope of the model used.Meanwhile in this paper the evidence can collect and analyze automatically.Knowledge can re-use.In the phase of investigation and analysis it improves the evidence reliability amplification in order to improve evidence reliability and work effectively.

digital forensic;evidence reliability;digital forensic process

在強(qiáng)調(diào)取證人員重要性的基礎(chǔ)上，根據(jù)電子證據(jù)來源的不同，提出了一個(gè)三維過程模型，針對(duì)不同的案件中涉及的不同證據(jù)來源，可以采用不同的證據(jù)收集方案，擴(kuò)大了數(shù)字取證模型的使用范圍，同時(shí)實(shí)現(xiàn)了證據(jù)的自動(dòng)收集和分析功能，及知識(shí)的重復(fù)使用功能，并在調(diào)查分析階段對(duì)證據(jù)可靠性放大算法進(jìn)行了改進(jìn)，提高了證據(jù)的可靠性和工作效率。

數(shù)字取證；證據(jù)可靠性；數(shù)字取證過程

A

TP309

10.3778/j.issn.1002-8331.1108-0253

ZHAO Qian,SONG Rushun.Three-dimension digital forensic process model.Computer Engineering and Applications, 2013,49（5）：93-95.

國家“211工程”建設(shè)項(xiàng)目（No.181070H901）。

趙倩（1985—），女，研究生，主要研究領(lǐng)域?yàn)閿?shù)字取證模型；宋如順，男，教授。E-mail：qqqad@163.com

2011-08-22

2011-10-08

1002-8331（2013）05-0093-03

CNKI出版日期：2011-12-09 http://www.cnki.net/kcms/detail/11.2127.TP.20111209.1001.034.html