反計算機(jī)取證技術(shù)的應(yīng)用研究

林翔

【摘要】 文章對反計算機(jī)取證技術(shù)的應(yīng)用進(jìn)行研究和探討，主要包含數(shù)據(jù)加密、數(shù)據(jù)隱藏和數(shù)據(jù)銷毀技術(shù)。反計算機(jī)取證技術(shù)的應(yīng)用為電子證據(jù)取證技術(shù)的“三性”問題提供依據(jù)，也有助于優(yōu)化和完善現(xiàn)有的取證工具，在對個人隱私和網(wǎng)絡(luò)敏感數(shù)據(jù)的保護(hù)也具有重要應(yīng)用價值。

【關(guān)鍵詞】 反計算機(jī)取證 數(shù)據(jù)加密 數(shù)據(jù)隱藏 數(shù)據(jù)銷毀

一、引言

近年來，計算機(jī)取證理論和軟件是計算機(jī)安全領(lǐng)域內(nèi)取得的重大成果，然而，在實(shí)際取證應(yīng)用中，還存在著很多局限性，大量取證工具也并沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，軟件使用者很難對這些取證工具的有效性和可靠性進(jìn)行比較。正是由于取證技術(shù)上的局限性以及計算機(jī)技術(shù)的普及，以及在計算機(jī)犯罪手段與數(shù)據(jù)安全防御技術(shù)之間的對抗不斷升級，反計算機(jī)取證技術(shù)（Anti-Computer Forensic）日益受到關(guān)注。

二、反計算機(jī)取證技術(shù)應(yīng)用現(xiàn)狀

反計算機(jī)取證技術(shù)（Anti-Computer Forensic）的定義最早在2005年由美國普度大學(xué)的Marc Rogers博士提出。當(dāng)時，反計算機(jī)取證技術(shù)被定義為“刪除或破壞電子證據(jù)，使得取證方法無效”。隨著計算機(jī)取證的程序化及其技術(shù)的完善，反計算機(jī)取證基本方法發(fā)展為策略上的考慮和技術(shù)上的方法。在技術(shù)層面上，反計算機(jī)取證技術(shù)主要是針對證據(jù)的收集和分析，罪犯利用取證調(diào)查開始時影響判斷的素來干擾、阻撓取證，導(dǎo)致調(diào)查偏離犯罪活動場所，這些因素包括數(shù)據(jù)集的信息異常、失效或不產(chǎn)生指定的結(jié)果。證據(jù)收集階段的反計算機(jī)取證技術(shù)主要有摧毀、隱藏、假造信息以及防止證據(jù)的創(chuàng)建等。這些技術(shù)相互結(jié)合使用，使得電子取證工作變得更加困難。

國外關(guān)于反計算機(jī)取證技術(shù)公開的報道不多，但當(dāng)前最有效的反計算機(jī)取證技術(shù)是數(shù)據(jù)銷毀，它可以清除所有可能的證據(jù)（包括索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)等），原始數(shù)據(jù)不存在了，取證工作自然無法進(jìn)行。雖然摧毀所有潛在的證據(jù)很有效，但罪犯可能想保存一些有用的數(shù)據(jù)，為了使這些數(shù)據(jù)不被取證人員所理解，罪犯通常會使用加密技術(shù)?，F(xiàn)代加密技術(shù)的發(fā)展使得這種方法很容易被犯罪分子所利用。數(shù)據(jù)隱藏（Data Hiding）也是一種有效的對付取證收集的技術(shù)，包括隱秘術(shù)（Steganography）和數(shù)字水印2個主要研究方向。國內(nèi)的反計算機(jī)取證技術(shù)還處于起步階段，整體滯后于國外的發(fā)展。隨著計算機(jī)取證技術(shù)的發(fā)展，以及計算機(jī)犯罪的日益猖獗，反計算機(jī)取證技術(shù)的研究已成為我國信息安全與取證技術(shù)研究的重要方向，越來越多的安全技術(shù)與理論，尤其是為保護(hù)個人穩(wěn)私所采取的加密、隱藏、數(shù)據(jù)擦除等技術(shù)，被應(yīng)用于反計算機(jī)取證研究。

三、反計算機(jī)取證技術(shù)的應(yīng)用意義

3.1增強(qiáng)犯罪打擊力度，促進(jìn)取證技術(shù)發(fā)展

目前，電子數(shù)據(jù)取證主要采用“人+工具”的取證模式，取證過程中，一個業(yè)務(wù)熟練、經(jīng)驗(yàn)豐富的取證人員通常對取證現(xiàn)場具備較強(qiáng)的駕馭能力，能夠準(zhǔn)確地做出判斷，減少失誤。同時，取證工具有自身的局限性，世上沒有完美的工具，取證工具的一個小缺陷有可能造成取證過程中關(guān)鍵數(shù)據(jù)的丟失或遺漏，這對于取證工作是很不利的。因此，通過研究反計算機(jī)取證技術(shù)，可挖掘并發(fā)現(xiàn)犯罪分子潛在手段，有助于對現(xiàn)有取證技術(shù)的缺點(diǎn)和不足進(jìn)行優(yōu)化和改進(jìn)，開發(fā)出更加實(shí)用的取證軟件。

3.2保護(hù)敏感數(shù)據(jù)和個人隱私

隨著互聯(lián)網(wǎng)的飛速發(fā)展和普及，美國棱鏡計劃的揭露，個人隱私和銀行賬號等敏感信息的泄露和竊取問題日益受到關(guān)注。同時，許多行業(yè)或部門會再利用被淘汰的計算機(jī)設(shè)備，特別對于我國某些非常重要的部門更新?lián)Q代的計算機(jī)，循環(huán)利用轉(zhuǎn)手他人的過程中，不可避免地存在數(shù)據(jù)安全的問題。通過反計算機(jī)取證技術(shù)，比如數(shù)據(jù)隱藏、數(shù)據(jù)加密和數(shù)據(jù)銷毀技術(shù)的研究，可以為個人或集體正當(dāng)法律權(quán)利不受侵犯提供有力的技術(shù)支持，這對個人隱私和企業(yè)敏感數(shù)據(jù)的保護(hù)具有重要價值。

3.3為電子證據(jù)的“三性”提供依據(jù)

公安機(jī)關(guān)收集到的材料要想成為證據(jù)，必須具備“三性”，即客觀性、關(guān)聯(lián)性、合法性。電子證據(jù)要能呈堂，就需要對其實(shí)質(zhì)證據(jù)的客觀性、與案件的關(guān)聯(lián)性、合法性進(jìn)行證明。比如，取證工具的效能傾向于同時擁有收集和分析數(shù)據(jù)的功能，在使用分析機(jī)器之前，為了確保分析機(jī)器的驅(qū)動器中不包含殘余數(shù)據(jù)，僅僅對分析工具磁盤進(jìn)行格式化是肯定不行的。需要對工具磁盤進(jìn)行深度的數(shù)據(jù)擦除，而這正好可以應(yīng)用上反計算機(jī)取證技術(shù)中數(shù)據(jù)銷毀技術(shù)。因此，對反計算機(jī)取證技術(shù)的研究，可以大大提高取證工具的可靠性、可信任性和可采信性，最終為電子證據(jù)在呈堂時的合法性、客觀性和關(guān)聯(lián)性提供有效的依據(jù)。

四、反計算機(jī)取證關(guān)鍵技術(shù)

4.1數(shù)據(jù)加密

目前加密方法很多，但是大部分加密技術(shù)需要人工進(jìn)行加密解密過程，十分繁瑣。使用時需要每次加密解密，然而近年來針對企業(yè)文件保密需求應(yīng)運(yùn)而生的一種文件加密技術(shù)—透明加密技術(shù)，以“強(qiáng)制”、“透明”“安全”等特點(diǎn)成為目前信息安全市場主流的加密技術(shù)。所謂透明，是指對使用者的使用來說是透明的，不顯示加密過程，不會被察覺。相對于市面上的一些偽加密、隱藏加密、轉(zhuǎn)移加密等加密技術(shù)，透明加密是作用在Windows系統(tǒng)核心層的，與Windows緊密結(jié)合。通過對原始數(shù)據(jù)信息改變算法進(jìn)行加密處理，屬于真正意義上的加密。

4.2數(shù)據(jù)銷毀

數(shù)據(jù)銷毀技術(shù)主要包含消磁銷毀數(shù)據(jù)、物理破壞法、焚燒銷毀法。存儲設(shè)備利用磁性技術(shù)來進(jìn)行保存數(shù)據(jù)，因此磁一旦被消除了，數(shù)據(jù)就會被銷毀。而物理破壞，顧名思義就是搗毀磁盤存儲介質(zhì)，但是往往磁盤的碎片仍可以被意圖不軌的人利用，因此專業(yè)的磁盤銷毀機(jī)還是有用武之地的。事實(shí)上，最直接和安全的銷毀方式就是將存儲介質(zhì)進(jìn)行焚燒，將其化為灰燼，數(shù)據(jù)也就不復(fù)存在了。但對于需要循環(huán)使用存儲介質(zhì)的普通用戶來說，軟件銷毀方法也是一種選擇。軟件銷毀的核心思想是用垃圾數(shù)據(jù)來替代敏感數(shù)據(jù)。目前，隨著大數(shù)據(jù)和云計算應(yīng)用，銷毀數(shù)據(jù)的機(jī)制集中在對敏感數(shù)據(jù)的自主感知和自動銷毀的模型研究。

4.3數(shù)據(jù)隱藏

數(shù)據(jù)隱藏是指利用特殊的手段和軟件，使受保護(hù)的文件不被竊取者看到的防護(hù)措施，對于普通用戶而言，常用的Windows系統(tǒng)數(shù)據(jù)隱藏方法有： 1）通過修改注冊表信息“HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼Curren tVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL”，使得用戶無法在windows系統(tǒng)文件“查看”選項(xiàng)里設(shè)置顯示“隱藏的文件和文件夾”，從而達(dá)到使隱藏文件“隱形”的目的。2）利用回收站隱藏文件。將需要隱藏的文件剪切到回收站的“Recycled”文件夾中，再設(shè)置“Recycled”文件夾“屬性”為“只讀”。此后，雙擊“回收站”將看不到里面有任何文件。即便其他用戶執(zhí)行了文件刪除操作，同時又執(zhí)行了“清空回收站”的操作，原先被隱藏在這里的文件仍不會被刪除。3）創(chuàng)建保密文件夾。利用命令提示符創(chuàng)建帶有“.”的文件夾，比如創(chuàng)建一個名為123..的保密文件夾，只需在在命令提示符中輸入md 123..＼。而后，在資源管理器中打開該文件夾，將需要隱藏的文件或文件夾放入其中。當(dāng)雙擊文件夾123..時，看到系統(tǒng)提示“該文件夾為空”，但事實(shí)上該文件夾非空。

五、總結(jié)

當(dāng)前，計算機(jī)信息和網(wǎng)絡(luò)安全存在許多需要解決的重要問題，特別是隨著大數(shù)據(jù)時代物聯(lián)網(wǎng)和云計算等新興互聯(lián)網(wǎng)技術(shù)的誕生和應(yīng)用，計算機(jī)犯罪將成為破壞性最大的一類犯罪?？梢灶A(yù)見，未來的計算機(jī)取證與反計算機(jī)取證的對抗必然越來越激烈，只有對反計算機(jī)取證技術(shù)深入了解，才能不斷提高取證軟件的可靠性、可信任性和可采信性。同時，研究反計算機(jī)取證技術(shù)也為個人隱私和公司企業(yè)敏感數(shù)據(jù)的保護(hù)提供了有效保證。

參 考 文 獻(xiàn)

[1]李佟鴻，王寧，劉志軍.計算機(jī)系統(tǒng)信息隱藏反取證技術(shù)[J].計算機(jī)系統(tǒng)應(yīng)用.2013，22（5）.

[2]楊德明等.基于Word文檔的數(shù)據(jù)隱藏方法[J].計算機(jī)應(yīng)用與軟件.2015-5，32（5）.

[3]龔健虎.云計算反取證的關(guān)鍵技術(shù)及其應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2014-8，41（3）：37-40.