電子取證技術(shù)面臨的問題與展望

王巍

摘要：電子取證的理論和軟件工具是近年來計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成就。從電子取證的軟件和工具實(shí)現(xiàn)過程的分析中可以發(fā)現(xiàn)，當(dāng)前電子取證技術(shù)還存在很大局限性和挑戰(zhàn)。根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段和未來黑客技術(shù)的發(fā)展趨勢，以及電子取證研究工作的不斷深入和改善，電子取證將向智能化，專業(yè)化和自動(dòng)化方向發(fā)展。

關(guān)鍵詞：電子取證；局限性；發(fā)展方向

面對(duì)數(shù)量不斷增加的計(jì)算機(jī)犯罪，電子取證成為獲得電子證據(jù)的有力手段。然而。電子取證并不是一個(gè)輕松和簡單的證據(jù)保全行為，電子取證需要通過特定的技術(shù)手段，對(duì)保全的電子證據(jù)進(jìn)行分析和獲取，還原電子證據(jù)的真實(shí)形態(tài)，為案件提供證據(jù)支持。由于犯罪分子的故意行為，電子證據(jù)常常會(huì)遭到破壞，這為偵破信息化犯罪帶來了難度，怎樣才能找到有利于案件偵破的證據(jù)？電子取證過程中，需要哪些關(guān)鍵技術(shù)呢？這是目前面臨的一個(gè)重要的課題。

一、電子取證的局限性以及面臨的問題

電子取證的理論和軟件工具是近年來計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成就。從電子取證的軟件和工具實(shí)現(xiàn)過程的分析中可以發(fā)現(xiàn)，當(dāng)前電子取證技術(shù)還存在很大局限性。

從理論上講。電子取證人員能否找到犯罪證據(jù)取決于：有關(guān)犯罪證據(jù)必須沒有被覆蓋；取證軟件必須能找到這些數(shù)據(jù)；取證人員能知道這些文件。并且能證明它們與犯罪有關(guān)。從當(dāng)前軟件的實(shí)現(xiàn)情況來看。許多所謂的“取證分析”軟件還僅僅是恢復(fù)使用rlTl或strip命令刪除的文件。

電子取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化。反取證技術(shù)的發(fā)展。反取證就是刪除或隱藏證據(jù)使取證調(diào)查失效。反取證技術(shù)分為3類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏和數(shù)據(jù)加密。這些技術(shù)還可以結(jié)合起來使用。讓取證工作的效果大打折扣。NestWatch、NetTraeker、LogSurfer、VBStats。NetLog和Analog等工具可以對(duì)日志進(jìn)行分析。以得到入侵者的蛛絲馬跡。一些入侵者利用RootKit（系統(tǒng)后門、木馬程序等）繞開系統(tǒng)日志，一旦攻擊者獲得了Root權(quán)限。就可以輕易修改或破壞或刪除操作系統(tǒng)的日志。

電子取證軟件局限性表現(xiàn)。目前開發(fā)的取證軟件的功能主要集中在磁盤分析上。如磁盤映像拷貝。被刪除數(shù)據(jù)恢復(fù)和查找等工具軟件的開發(fā)研制。其他取證工作依賴于取證專家人工進(jìn)行。也造成了電子取證等同于磁盤分析軟件的錯(cuò)覺?，F(xiàn)在電子取證是一個(gè)新的研究領(lǐng)域。許多組織、公司都投入了大量人力進(jìn)行研究。但沒有統(tǒng)一標(biāo)準(zhǔn)和規(guī)范。軟件的使用者很難對(duì)這些工具的有效性和可靠性進(jìn)行比較。也沒有任何機(jī)構(gòu)對(duì)電子取證和工作人員進(jìn)行認(rèn)證。使得取證權(quán)威性受到質(zhì)疑。

二、電子取證技術(shù)面臨的挑戰(zhàn)

電子數(shù)據(jù)司法鑒定通常需要對(duì)電子證據(jù)的真?zhèn)渭靶纬蛇^程進(jìn)行鑒定。電子證據(jù)在形成過程中，常會(huì)被復(fù)制修改，而電子證據(jù)是否被復(fù)制修改對(duì)其證明力有著重要影響，也是審查電子證據(jù)可靠性的重要方面。在很多情況下，通常認(rèn)為經(jīng)過編輯后復(fù)制的電子數(shù)據(jù)不能用作證據(jù)。因而，需要通過鑒定以解決電子數(shù)據(jù)是否經(jīng)過編輯、復(fù)制或修改等真實(shí)性問題，從而找出與案件相關(guān)的真實(shí)數(shù)據(jù)。

電子證據(jù)的內(nèi)容，常常需要借助相關(guān)的設(shè)備才能成為人們可以感知的信息，而當(dāng)發(fā)現(xiàn)可能成為電子證據(jù)的電子數(shù)據(jù)材料時(shí)。首先需要確定其記載內(nèi)容，有時(shí)調(diào)查人員不知道有關(guān)材料的讀取方式，從而失去有價(jià)值的證據(jù)；有時(shí)記錄的信息不夠清晰，難于分辨其價(jià)值；有時(shí)有證據(jù)價(jià)值的材料遭到人為或因自然原因而損壞，其內(nèi)容難以讀出。在這些情況下，需要利用專門的數(shù)據(jù)修復(fù)技術(shù)手段來獲得有價(jià)值的證據(jù)。

無論是網(wǎng)絡(luò)犯罪，還是計(jì)算機(jī)犯罪，主機(jī)核心數(shù)據(jù)往往是重要的“犯罪現(xiàn)場”。主機(jī)核心數(shù)據(jù)包括內(nèi)存映像、系統(tǒng)交換文件、進(jìn)程信息、網(wǎng)絡(luò)狀態(tài)、系統(tǒng)日志等，其中操作系統(tǒng)的內(nèi)存映像尤其重要，它是提取計(jì)算機(jī)犯罪證據(jù)的重要來源。在國內(nèi)，目前還是一個(gè)技術(shù)難點(diǎn)。

數(shù)據(jù)修復(fù)技術(shù)在司法鑒定過程中也起到了非常重要的作用。許多重大案件中相關(guān)的電子數(shù)據(jù)都是不完整的，很難直接用作電子證據(jù)。通常情況下，犯罪分子會(huì)人為地破壞記錄數(shù)據(jù)的介質(zhì)或直接刪除與案件相關(guān)的數(shù)據(jù)。因此，還原數(shù)據(jù)的真實(shí)性，需要利用數(shù)據(jù)修復(fù)技術(shù)，對(duì)被破壞的介質(zhì)或數(shù)據(jù)進(jìn)行修復(fù)。

如今，計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)進(jìn)入了我們的生活，許多業(yè)務(wù)也需要依托網(wǎng)絡(luò)。因此。一旦發(fā)生糾紛，電子證據(jù)可以在解決矛盾過程中發(fā)揮關(guān)鍵作用。按照目前的規(guī)定，電子郵件、QQ聊天記錄、軟件、電子文檔等，都可以成為電子證據(jù)，但前提是必須先經(jīng)過指定機(jī)構(gòu)認(rèn)定。日常生活中，一旦遭到黑客的網(wǎng)上攻擊，可以立刻通知專業(yè)計(jì)算機(jī)司法鑒定機(jī)構(gòu)，請(qǐng)技術(shù)人員進(jìn)行現(xiàn)場取證，而如果黑客在取得一臺(tái)計(jì)算機(jī)的控制權(quán)后繼續(xù)危害他人，專業(yè)部門會(huì)根據(jù)線索反向查找，布陣“捕捉”入侵者。另外，如果沒有保存相關(guān)信息，也不用擔(dān)心，專業(yè)人網(wǎng)絡(luò)安全協(xié)同控制技術(shù)員在一定條件下可以恢復(fù)相關(guān)操作或數(shù)據(jù)，并對(duì)計(jì)算機(jī)硬盤、軟盤，以及互聯(lián)網(wǎng)上網(wǎng)頁、BBS、博客等數(shù)據(jù)進(jìn)行證據(jù)的固化、查找、提取、分析等操作。

三、電子取證技術(shù)的發(fā)展方向

最初的電子證據(jù)是從計(jì)算機(jī)輸出中直接獲得，法庭認(rèn)為它與普通的傳統(tǒng)物證沒有什么不同，但隨著計(jì)算機(jī)技術(shù)的發(fā)展，以及相關(guān)復(fù)雜案件的增多。電子證據(jù)與傳統(tǒng)證據(jù)之間的差異逐漸明顯，電子取證技術(shù)隨著黑客技術(shù)的提高而不斷發(fā)展。為了確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段和未來黑客技術(shù)的發(fā)展趨勢，以及電子取證研究工作的不斷深人和改善，電子取證將向智能化，專業(yè)化和自動(dòng)化方向發(fā)展。

電子取證的相關(guān)技術(shù)發(fā)展。從電子取證的過程看，對(duì)于電子證據(jù)的識(shí)別獲取可以加強(qiáng)動(dòng)態(tài)取證技術(shù)研究，將電子取證結(jié)合到入侵檢測、防火墻、網(wǎng)絡(luò)偵聽等網(wǎng)絡(luò)安全產(chǎn)品中進(jìn)行動(dòng)態(tài)取證技術(shù)研究；對(duì)于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M(jìn)行加密技術(shù)研究；對(duì)于電子證據(jù)的分析，是從海量數(shù)據(jù)中獲取與計(jì)算機(jī)犯罪有關(guān)的證據(jù)，需進(jìn)行相關(guān)性分析技術(shù)研究，需要高效率的搜索算法、完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。

對(duì)入侵者要進(jìn)行計(jì)算機(jī)犯罪取證學(xué)的入侵追蹤技術(shù)研究。目前有基于主機(jī)追蹤方法的calerID，基于網(wǎng)絡(luò)追蹤方法的IDIP、SWT產(chǎn)品，有學(xué)者針對(duì)網(wǎng)絡(luò)層的追蹤問題提出基于聚類的流量壓縮算法，研究基于概率的追蹤算法優(yōu)化。對(duì)于應(yīng)用層根據(jù)信息論和編碼理論提出采用數(shù)字水印和對(duì)象標(biāo)記的追蹤算法和實(shí)現(xiàn)技術(shù)，很有借鑒意義。在調(diào)查被加密的可執(zhí)行文件時(shí)，需要在電子取證中針對(duì)入侵行為展開解密技術(shù)研究。

電子取證的另一個(gè)迫切技術(shù)問題就是對(duì)取證模型的研究和實(shí)現(xiàn)。當(dāng)前應(yīng)該開始著手分析網(wǎng)絡(luò)取證的詳細(xì)需求，建立犯罪行為案例、入侵行為案例和電子證據(jù)特征的取證知識(shí)庫。有學(xué)者提出采用XLM和OEM數(shù)據(jù)模型、數(shù)據(jù)融合技術(shù)、取證知識(shí)庫、專家推理機(jī)制和挖掘引擎的取證計(jì)算模型。并開始著手研究對(duì)此模型的評(píng)價(jià)機(jī)制。

電子取證的標(biāo)準(zhǔn)化研究。公安執(zhí)法機(jī)關(guān)還缺乏有效的電子取證工具，僅只利用國外一些常用的取證工具或者自身技術(shù)經(jīng)驗(yàn)開發(fā)應(yīng)用，在程序上還缺乏一套電子取證的流程。提出的證據(jù)很容易遭到質(zhì)疑，對(duì)電子取證應(yīng)該制定相關(guān)法律、技術(shù)標(biāo)準(zhǔn)。制度以及取證原則、流程、方法等。到目前為止，還沒有專門的機(jī)構(gòu)對(duì)電子取證機(jī)構(gòu)或工作人員的資質(zhì)進(jìn)行認(rèn)定，加強(qiáng)對(duì)具有取證職能的計(jì)算機(jī)司法鑒定機(jī)構(gòu)的建設(shè)。指定取證工具的評(píng)價(jià)標(biāo)準(zhǔn)。對(duì)電子取證操作規(guī)范是很必要的。

網(wǎng)絡(luò)協(xié)同化電子取證。根據(jù)電子證據(jù)的來源，電子取證可以分為基于主機(jī)的取證和基于網(wǎng)絡(luò)的取證，初始的研究多數(shù)是基于主機(jī)的取證。如：磁盤的鏡像、日志的保存和分析、數(shù)據(jù)的查找和恢復(fù)等。隨著網(wǎng)絡(luò)的發(fā)展和通過網(wǎng)絡(luò)攻擊事件的增多，日益需要保存網(wǎng)絡(luò)數(shù)據(jù)作為攻擊的證據(jù)，電子證據(jù)存在脆弱性、易逝性、隱蔽性和多媒體性等特點(diǎn)。