网络信息安全第10章计算机与网络取证技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第10章 计算机与网络取证技术,第10章 计算机与网络取证技术,10.1 数字证据,10.2 计算机取证原那么,10.3 计算机取证步骤,10.4 计算机取证方法,10.5 常用取证工具,10.6 当前计算机取证技术的局限和反取证技术,10.7 计算机取证的开展趋势,习题,10.1,数,字,证,据,1计算机取证的概念,一种新的证据形式，即计算机及相关外围设备中的数字证据逐渐成为新的诉讼证据之一。大量的计算机犯罪(如商业机密信息的窃取和破坏、网络欺诈、对政府和军事网站的入侵等案例)的取证工作需要提取存在于计算机和网络系统中的数据，甚至需要从已被删除、加密或破坏的文件中复原数字信息。数字证据的特殊特点，对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学：计算机取证(Computer Forensics)正逐渐成为人们研究与关注的焦点。那么，什么是计算机取证呢？目前已有的定义有：,(1) 计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据确实定与获取上。,(2) 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。,(3) 计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保存有关计算机犯罪的证据。,目前在国内外，对于计算机证据的定义还没有一个完整、统一的定义。一般认为，计算机证据是存储在电、磁、光记录物的数字信息，这些数字数据信息是在计算机和网络系统运行过程中产生的，并能够以其内容证明案件事实，它们可以转换为不同的输出表现形式。计算机证据本身的存在形式是数字形式，人们不能识别，只有计算机及其附属设备才能识别。在理解计算机证据的概念时应该特别注意不要将计算机证据的输出形式作为标准来界定计算机证据，因为同样的计算机可能产生各种不同的输出形式，这会导致将同样的证据归入不同的证据种类。同时，这样做还容易将计算机证据与传统的证据方式混杂在一起，法律就难以同时对其特性及运用规那么做出比较准确的规定。,2数字证据的特点,与传统证据一样，电子证据必须是可信的、准确的、完整的、可信服的、符合法律法规的；数字证据还具有与传统证据有别的一些特点：,(1) 易变的：计算机和网络数据随时都可能发生改变。,(2) 不可见的：数字证据不是肉眼直接可见的，必须借助适当的工具。,(3) 搜集计算机数据的过程，可能会对原始数据造成严重的修改，因为翻开文件、打印文件等一般都不是原始操作。 。,电子证据问题是由于技术开展引起的，因为计算机和电信技术的开展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。,(1) 数字性：数字证据的物质载体是电、磁和光类。数字证据的获取需要特殊的手段，与其他类型的证据的获取是完全不同的。,(2) 技术性：数字证据的产生、储存和传输及其采集、分析和判断都必须借助于计算机科学中的计算技术、存储技术、网络通信技术等。,(3),脆弱性：由于计算机信息容易被修改，并且对其进行真正意义上的修改,(,不可恢复的修改,),后不留痕迹，从而使得计算机信息具有了脆弱而不可靠的一面。人为操纵数据和程序的破坏在某种程度上具有普遍性。计算机系统对数据的处理具有环节多、使用的技术和设备复杂的特点。而且由于计算机的处理速度越来越快，数据的修改都是在瞬间完成的，因此计算机证据有时是不可靠的。,(4) 多态性：是指计算机证据的外在表现形式可以是多种多样的，源于同一计算机存储的数字信息本身可以在不同层次，用不同形式表现出来。虽然不同的证据表现形式并不能说明其在审查判断上有根本的区别，但是不同形态的证据材料的审查规那么却是不同的。,(5),人机交互性：这是指数字证据的形成的各个环节过程中有不同的计算机操作人员的参与，他们在不同程度上都可能影响计算机系统的运转。而且这种影响的层次和程度与这些人员的工作性质有关。也就是说，计算机管理员、网络管理员、程序员、系统分析员以及一般的计算机操作人员对数据信息的影响是不同的。所以，可能出现的问题也就存在于人、机两个方面。为了保证证据的可靠性和真实性，应该从技术和管理上严格控制人机系统。同时，在采集和获取计算机证据时应注意分析人和机器两个方面。,(6) 复合性：证据的复合性是指当证据以某种形式表现时，往往就具有了这种表现形式的证据特征。而计算机证据的表现形式是多种多样的，可以是打印在纸上的文字，可以是在显示器上输出的视频、图像、文字，也可以是声音设备输出的声音。在诉讼活动中采纳某一证据形式时，应当既考虑该证据生成过程的可靠程度，又要考虑这一证据的表现形式是否被伪造或剪辑、删改正。所以，计算机证据的采集和鉴别不仅技术含量高，而且其过程是十分复杂的。,10.2 计算机取证原那么,计算机取证，亦即收集计算机证据，是指在现场勘查和搜查的过程中及时、准确、完整地获取或者扣押与案件有关的电子数据和相关的证据。计算机在相关的犯罪案件中(不仅仅是计算机犯罪案件)要么是入侵的目标，要么是作案的工具，要么是犯罪信息的存储器。无论作为哪种角色，机器中都会存留大量的与犯罪有关的数据信息。计算机取证就是对能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子证据加以确认、保存、提取和归档的过程。这一过程从某种意义上讲是一个重建犯罪事件的过程。计算机证据的易受损特性对收集证据、审查判断证据都提出了严格的要求。犯罪分子大局部是通过网络做案而不需要到案发现场去。另外，由于网络的无国界性，不同国家在法律、道德和意识形态上的差异，可能会造成案件无法继续侦查。,根据这样的特点，计算机取证的原那么有：,(1) 及时性原那么。这一原那么要求计算机证据的获取要有一定的时效性。,(2) 取证过程合法的原那么。这一原那么要求计算机取证过程必须按照法律的规定公开进行，得到第一手具有证明力的公正的证据信息。,(3) 多备份的原那么。即对于含有计算机证据的媒体至少应制作两个副本，原始媒体应存放在专门的房间由专人保管，复制品可以用于计算机取证人员进行证据的提取和分析。,(4) 环境平安的原那么。计算机证据应妥善保存，以备随时重组、试验或者展示。该原那么是指存储计算机证据的媒体或介质应远离磁场、高温、灰尘、积压、潮湿、腐蚀性化学试剂等。在包装计算机设备和元器件时，应尽量使用纸袋等不易产生静电的材料，以防止静电消磁。环境平安的原那么还要求防止人为地损毁数据。,(5) 严格管理过程的原那么。含有计算机证据的媒体的移交、保管、开封、拆卸的过程必须由侦查人员和保管人员共同完成，每一个环节都必须检查真实性和完整性，并拍照和制作详细的笔录，由行为人共同签名。,10.3,计算机取证步骤,1保护现场和现场勘查,现场勘查是获取证据的第一步，主要是物理证据的获取。这项工作包括封存目标计算机系统并防止发生任何数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和复原犯罪现场提供直接依据。要特别注意保证“证据连续性，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现的状态之间的任何变化，当然最好是没有任何变化。而且，整个检查、取证过程必须是受到监督的。也就是说，所有调查取证工作，都应该有其他方委派的专家的监督。,2获取证据,证据的获取，从本质上说就是从众多的未知和不确定性中找到确定性的东西。而取证人员面对的是各种互不相同的案件，有些甚至不是刑法上定义的计算机犯罪，而是其他犯罪。比方，北京市公安局与福建省公安厅联合破获的某两高校爆炸案，从性质上看纯粹是一般刑事案件，但该案件的证据又确实是通过计算机获取的，即计算机取证应该不仅仅是计算机犯罪证据的获取。因此，证据的获取很难说有固定的、一成不变的方法和模式，应该具体问题具体分析。,有的专家认为：检查一个系统并保持可靠证据的理想的方法是冻结现有的系统并分析原有数据的拷贝。但是这种做法并不总是可行的。例如，机器设备的冻结是否合法、是否会引起非议以及在停机时间难以确定时，是否会引起有关人员的反对等等。所以，证据的获取方法首先要合法并不会造成太大的政治和经济上的损失。又比方，对于到达现场后，是否要立即切断电源的问题也应当具体分析，在理想状态下，任何一台需要分析的计算机都可以关掉电源，重新启动，做一个完整的镜像。这时，取证人员只需取下硬盘，进行各种操作即可。但是，这仅仅是个理想状态而已。计算机取证领域最具争议的话题之一就是：在取证时究竟是让一台计算机继续运行还是立即拔掉电源，或者进行正常的管理关机过程。,一般地，在防止远程攻击的同时保护现场证据的方法有如下几种：,(1) 在取证中心设置专门的取证计算机来进行硬盘的检查和镜像。这一方法不必担忧可疑主机上软硬件环境的有效性，产生的证据在法庭上很容易得到认可。但是这样做很不方便，要取走可疑主机的硬盘比较费时，容易丧失数据。,(2) 将可疑主机关闭后，用经过验证的写保护的软盘或者光盘启动被检查的系统。这种做法方便、快捷。如果可以将硬盘以只读方式装载的话，产生的证据是比较有证明力的。但是，这一方法容易使可疑主机的硬件系统受损害，也容易丧失数据。,(3) 使用经过验证的软件的外部介质来检查原有的系统。这种方法方便、快捷，能够检查易失信息。但当系统内核受到损害时，产生的结果可能是错误的。同时，外部介质可能不具备所有需要的工具。,(4),首先验证可疑系统上的软件，并使用经验证的本地软件来进行检查。这需要很少的前期准备，可以检查易失信息，能够进行远程的检查。然而，由于这样做缺乏对可疑硬盘的写保护，使得产生的证据很难具有可靠性。而且，需要的时间较长。,(5) 不经验证地使用可疑系统上的软件检查可疑系统。这样的做法所需要的准备时间最少，可以检查易失信息，能够进行远程检查。但是，这样做是最不可靠的，入侵者也最希望取证人员采用这种技术以便他们发现后采取反取证措施。所以，在某种情况下，这种方法完全是浪费时间。,因为计算机证据必须是真实、可靠、完整和符合法律规定的，所以，取证人员在开始取证阶段所采取的行动对整个取证工作是至关重要的，如果这一阶段采取的方法不正确或者程序不正确都会导致证据可靠性的丧失，甚至一无所获。,3鉴定证据,计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改正。而计算机证据又恰恰具有易改变和易损毁的特点。例如，腐蚀、强磁场的作用，人为的破坏等等都会造成原始证据的改变和消失。所以，取证过程中应注重采取保护证据的措施。例如，可以采用形成所谓的证据监督链的技术和方法。电子指纹技术是常用的技术，它也被称为数字指纹，其对象可以是单个的文件，也可以是整张软盘或者硬盘。其原理是：如果一方的身份“签名未与任何应签署的报文(message)本身相联系，就留下了篡改、冒充或抵赖的可能性。我们需要从报文中提取一种格式确定的、符号性的摘要，以将千差万别的报文与数字签名不可分割地结合起来，这种“报文摘要(message digest)就是“数字指纹(digital fingerprint)。,在开始取证时就使用数字指纹技术，而且，每做一个分析动作，都要再生成数字指纹，与分析前进行比照以保证所收集到的证据是可靠的。时间戳也是取证工作中非常有用的技术，必将成为一种有效的证据鉴定方法。它是对数字对象进行登记来提供注册后特定事物存在于特定日期的时间和证据。时间戳对于收集和保存数字证据非常有效。因为它提供了数字证据在特定的时间和日期里是存在的，并且从该时刻到出庭这段时间里不曾被修改正。,4分析证据,证据分析的内容包括：分析计算机的类型、采用的操作系统是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意，分析过程的开机、关机过程，尽可能地防止正在运行的进程数据丧失或存在的不可逆转的删除程序。分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行比照，从中发现篡改痕迹。可以通过该计算机的所有者，或电子签名、密码、交易记录、回邮信箱、邮件发送效劳器的日志、上网IP等计算机特有信息识别体，结合全案其他证据进行综合审查。注意，该计算机证据要与其他证据相互印证、相互联系起来综合分析。同时，要注意计算机证据能否为侦破该案提供线索或确定可能的做案时间和罪犯。,例如，在单机情况下，证据的分析过程是：,(1) 使用Image MaSSter(这是专门为取证设计的工具，有两个版本，这是桌面版。可移动的便携式版本的体积比硬盘稍大，适合室外使用，称为Solo Forensic)制作两份原始数据的备份，每次取出原始证据都必须在报告和证据监督链记录中作相应的记录。并且要严格按照操作准那么(尽管目前没有这种准那么)进行。在处理证据时，采取的步骤越少，发生错误的可能性就越小。分析过程是基于原始证据的数字拷贝进行的。一份用于取证的备份必须是对原始数据的每一比特的精确克隆。同时，在进行分析之前，一定要为被分析的数据生成数字指纹。接下来就可以正式开始分析工作了。,(2) 分析硬盘的分区表。分区表的内容是我们最后提交法庭的报告的一项重要内容，同时也决定着下一步分析工具的采用。假定是NTFS格式的分区，那么只能采用支持这种格式的工具，例如，“诺顿反删除工具就不支持这种文件系统。,(3) 浏览文件系统的目录树并将其打印出来。在分析过程中还要注意分析犯罪嫌疑人的技术实力。假设他经常使用加密程序或解密程序的话，他可能就是一位狡猾的高手。,(4) 进行关键字搜索。使用特制的取证程序检查主引导区记录和引导扇区。要特别注意那些标记为已损坏的簇，要使用工具仔细检查，因为其中可能藏有有效的证据。对关键字要进行多种可能的变换，如张三，可以用张三、章三等进行多种尝试。,(5) 使用数据恢复工具找回那些已经被删除的文件。,(6) 使用专门的工具软件，检查文件系统中的未分配空间和闲散空间，以寻找残留的数据。,5进行追踪,随着计算机犯罪技术手段的升级，这种静态的分析已经无法满足要求，开展趋势是将计算机取证与入侵检测等网络平安工具和网络体系结构技术相结合，进行动态取证。整个取证过程将更加系统化并具有智能性，也将更加灵活多样。对某些特定案件，如网络遭受黑客攻击，应收集的证据包括：系统登录文件、应用登录文件、AAA登录文件(比方RADIUS登录)、网络单元登录(Network Element Logs)、防火墙登录、HIDS 事件、NIDS事件、磁盘驱动器、文件备份、 记录等等。对于在取证期间犯罪还在不断进行着的计算机系统，采用入侵检测系统对网络攻击进行监测是十分必要的。也可以通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。,6提交结果,打印出对目标计算机系统的全面分析和追踪结果，然后给出分析结论。该分析结论包括系统的整体情况，发现的文件结构、数据、作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其他相关信息。标明提取时间、地点、机器、提取人及见证人。然后以证据的形式按照合法的程序提交给司法机关。,10.4,计算机取证方法,1) 数据恢复技术,数据恢复技术主要用于把犯罪嫌疑人删除或者通过格式化磁盘擦除的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行了重新构造，因此，如果格式化之前的硬盘上有数据存在，那么格式化操作后这些数据仍然存放在磁盘上，同时，格式化操作会创立一个新的空索引列表，指向未分配数据块。删除文件的操作也不能真正删除文件，只不过把构成这些文件的数据簇放回到系统中，对于通常的读写操作而言，这些簇不可见。这些簇可以从空闲块列表中得到，而从目录项(或inode项)中那么访问不到。,可能包含已删除数据的文件系统区域有：应用程序产生的数据文件(包含文件系统中的游离数据)；文件的最后一个簇通常会因为没有被完全使用而使得上次写进这个簇的数据没有被全部覆盖；不在使用中的文件系统的未分配数据块(或簇)；计算机的当前配置可能没有使用硬盘上的所有空间，但以前的配置可能使用了，那么这些空间就可能含有隐藏数据；分区表和引导信息所在的磁道也可能有证据信息。我们可以使用国际取证专家普遍看好的取证软件TCT(the Coronors toolkit)和Encase等把这些数据恢复出来。即使使用平安删除工具删除的数据也会留有痕迹，擦除一个磁道的数据时留下的边缘数据和被覆盖后仍留下的痕迹称为阴影数据(shadow data)，我们可以使用特殊的电子显微镜一比特一比特地恢复写过屡次的磁道。一个有经验的技术人员，可以使用适当的设备恢复被覆盖过7次以上的数据。,2) 加密解密技术和口令获取,取证在很多情况下都面临如何将加密的数据进行解密的问题。目前的加密解密算法及工具很多，计算机取证中使用的密码破解技术和方法主要有：,(1) 密码分析技术：这种技术需要取证专家具有密码学专业领域的知识，目前的软件工具也并不实用。,(2) 密码破解技术：包括口令字典、重点猜测、穷举破解等技术。其中口令字典一般是基于软件的，而且已经有了多种字典可供使用。目前基于字典的口令破解软件很多，如专门用于Office文件的破解工具(AOPR，Advanced Office Password Recovery)等，这些软件的破解效率很高。,(3) 口令搜索：包括物理搜索(在计算机四周搜查可能有口令的地方)、逻辑搜索(在文档或电子邮件中搜索明文的口令)和网络窃听(从网络中捕获明文口令)。,(4) 口令提取：许多Windows的口令都以明文的形式存储在注册表或其他指定的地方，我们可以从注册表中提取口令。,(5),口令恢复：使用密钥恢复机制可以从高级管理员那里获得口令。,3) 信息搜索与过滤技术,在计算机取证的分析阶段往往使用搜索技术进行相关数据信息的查找。这些信息可以是文本、图片、音频或视频。这方面的技术主要有：数据过滤技术、数据挖掘技术等。目前这方面的软件种类繁多，既有基于单机的，又有基于网络的，例如美国NTI(New Technologies Inc)公司的系列取证工具中的Filter、中软通用产品研发中心信息平安实验室的NetMonitor网络信息监控与取证系统等。,4) 磁盘映像拷贝技术,由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行，因此，磁盘的映像拷贝技术就显得十分重要和必要了。而且，这一技术可以实现磁盘数据的逐字节拷贝。,5) 反向工程技术,反向工程技术用于分析目标主机上可疑程序的作用，从而获取证据。但目前这方面的工具还很少。,2基于网络的计算机取证技术,所谓网络取证技术，就是在网上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术。包括,IP,地址和,MAC,地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术、漏洞扫描技术等。应该说，在基于网络犯罪日益猖獗的今天，网络取证技术在计算机取证技术中占有举足轻重的地位。,1) IP地址获取技术,(1) 使用ping或traceroute命令。ping是一个简单而又非常有用的程序，它使用了因特网信息控制协议的ECHO_REQUEST数据报。该数据报向目标主机发送请求并监听ICMP应答。我们可以使用ping这样的命令来判断一台机器是否在线，然后使用Whats Up Gold这样的程序继续检查这台运行着的机器。但是，ping的这种行为很容易被原系统发现。假设对方是一个比较高明的罪犯，它会对到自己机器的任何连接进行监视，从而发现你在调查他。,(2) 混乱地址的恢复。很多高明的罪犯使用伪造或混乱的地址发送信息，这种混乱的地址一般是一个10位长度的整数，例如。我们可以采用数学方法变换成正常格式：把2280853951转换成十六进制的87F311BF。然后依次把每两位十六进制数都转换成十进制数并加上点号。缺乏两位在后边加0。从而得到正常的IP：。反过来也可以把正常的IP转化成十进制数。当然，也可以使用ping命令：C：ping 2280853951得到结果。,(3) 使用IP扫描工具程序，就是利用特定的软件来获取IP地址。一般这种软件都有较好的用户界面，使用简单、方便。,(4) 由DNS获取IP地址。大多数的域名效劳器都支持逆向查询，也可以使用工具软件进行手工解析。一流的工具就是nslookup，它基于Windows、UNIX和NT使用，可以进行正向和逆向查询。,(5) MAC地址的获取。MAC地址只能使用在硬件层上，IP地址和MAC地址的转化是通过查找ARP表来实现的，该表是由地址解析协议(APR，Address Resolution Protocol)自动创立的。需要指出的是，MAC地址也不能绝对信赖，因为现在已经有很多软件可以对MAC地址进行修改，例如在UNIX中，可以通过命令改变MAC地址。所以，有时虽然找到的MAC地址与我们所掌握的并不一致，但也不能说明这台主机不是嫌疑主机。,(6) 在ISP的支持下获取IP。一个互联网效劳提供商一般通过RADIUS协议支持拨号路由器和中央用户目录之间的验证请求，这一协议可以用于用户身份认证，也可以用于记账。RADIUS效劳器通常是互联网效劳提供商可以为跟踪罪犯提供记录的惟一设备，所以它对取证工作非常重要，该效劳器通常会将每一个注册请求的记录保存一年以上。一般情况下，ISP都愿意提供这种日志，因为他们也不想让人利用他们的系统从事非法活动。,2) 针对电子邮件和新闻组的取证技术,(1) 从电子邮件中获取证据。电子邮件中获取证据的关键是要了解电子邮件协议中的邮件信息的存储位置，例如接收邮件时，对于仅存储收到信息的POP3协议，我们必须访问工作站才能对邮件进行跟踪。基于网页进行发送和接收的HTTP协议将发送和接收到的信息存储到效劳器上，但可以手工下载到本地，有助于鉴别假冒行为。微软的邮件应用编程接口(MAPI，Mail API)能够存储所有信息。发送邮件时，采用的协议是SMTP(简单邮件传输协议)，网络黑客最先学会的技术之一就是通过telnet到SMTP效劳器的25端口手工发送邮件信息。他们可以插入任何信息到你要发送的邮件的头文件中包括伪造的源地址和目标地址。,(2) 跟踪新闻组。跟踪的方式和跟踪电子邮件一样，不仅需要与所跟踪的信息有关的所有新闻效劳器管理员协作，而且还需要这些管理员提供足够的日志文件。但由于繁忙的USENET站点每天都更新日志文件，因此必须在24小时内完成取证工作。跟踪的方法也是从接收点开始往回查找，对路径中的每个主机进行验证。解读分析头文件信息也是关键。,3) 网络输入输出系统取证技术,可以使用,NetBIOS,的,nbtstat,命令来跟踪嫌疑人。该命令可以获取嫌疑人的机器所在的域名和,MAC,地址等，并且可以将获得的信息打印出来。最常用的技术是入侵检测技术,(IDS),。,IDS,一般有两种使用方式：基于网络的和基于主机的。基于网络的,IDS,一般安置在一个网段内，检查网段内每台主机的流量，寻找未授权活动的证据。,4) 网络入侵追踪技术,入侵追踪的最终目标是能够定位攻击源的位置，推断出攻击报文在网络中的串行路线，从而找到攻击者。IP报文入侵追踪技术包括连接检测、日志记录、ICMP追踪法、标记报文法等，可以追溯到发送带有假冒源地址报文的攻击者的真实位置，还可以发现在网络连接链中“前一跳的信息，特点是需要利用路由器作为中间媒介。基于主机的入侵追踪技术的代表是“身份识别系统，它是为了在多台“跳板主机追踪入侵者而设计的，其目标是向处于“扩展连接的主机报警，提供前假设干跳的连接信息。此外，“指纹技术(thumbprint)、网络入侵源点的平安管理框架以及协同的入侵追踪和相应框架(CITRA)、基于主动网络的入侵检测框架(SWT，Sleepy Watermark Tracing)都是具有代表性的入侵追踪技术。,5) 人工智能和数据挖掘技术,计算机的存储容量越来越大，网络的传输速度越来越快。对于计算机内存储的和网络中传输的大量数据，可以应用数据挖掘技术以发现与特定的犯罪有关的数据。有的专家提出了,NFAT(Network Forensics Analysis Tools),的设计框架和标准，核心是开发专家系统并配合入侵检测系统或者防火墙，对网络数据流进行实时提取和分析，对于发现的异常情况进行可视化报告。,10.5,常用取证工具,1文件浏览器,这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能，从而体积较小并可以防止证据的破坏。比较好的软件是Quick View Plus( ：/ jasc )。它可以识别200种以上文件类型，可以浏览各种电子邮件文档。比起WordPerfect的频繁转换要方便得多。Conversion Plus可以用于在Windows系统下浏览Macintosh文件。,2图片检查工具,ThumbsPlus是一个功能很全面的图片检查工具，反删除工具。这方面的取证分析工具中最主要的是诺顿工具，虽然这是一个老式的工具，但在有些时候是很有用的。,3CD-ROM工具,使用,CD-R Diagnostics,可以看到在一般情况下看不到的数据。,4文本搜索拷贝工具,dtSearch是一个很好的用于文本搜索的工具，特别是具有搜索Outlook的.pst文件的能力。驱动器映像程序。可以满足取证分析(即逐位拷贝以建立整个驱动器的映像)的磁盘映像软件，包括SafeBack( :/ forensics-intl )，SnapBack( :/ cdp )、Ghost( :/Symantec )和dd(UNIX中的标准工具)等。,5磁盘擦除工具,这类工具主要用在使用取证分析之前，为了确保分析机器的驱动器中不包含剩余数据，显然，只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都去除掉。,6取证程序,(1) Forensic Toolkit,是一系列基于命令行的工具，可以帮助推断,Windows NT,文件系统中的访问行为。这些程序包括的命令有：,AFind(,根据最后访问时间给出文件列表，而这并不改变目录的访问时间,),、,HFind(,扫描磁盘中有隐藏属性的文件,),、,SFind(,扫描整个磁盘寻找隐藏的数据流,),、,FileStat(,报告所有单独文件的属性,),、,NTLast(,提供标准的,GUI,事件浏览器之外对每一个会话都记录了登录及登出时间，并且它能够指出登录是远程的还是本地的,),。,(2) The Coroners Toolkit(TCT)主要用来调查被“黑的UNIX主机，它提供了强大的调查能力，它的特点是可以对正在运行的主机的活动进行分析，并捕获目前的状态信息。其中的grove-robber可以收集大量的正在运行的进程、网络连接以及硬盘驱动器方面的信息。数据根本上以挥发性顺序收集。收集所有的数据是个很缓慢的过程，要花上几个小时的时间。TCT还包括数据恢复和浏览工具unrm&lazarus、获取MAC时间的工具mactime。另外，还包括一些小工具，如ils(用来显示被删除的索引节点的原始资料)、icat(用于取得特定的索引节点对应的文件的内容)等等。,(3) EnCase自称是惟一一个完全集成的基于Windows界面的取证应用程序，其功能包括数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。,(4) ForensicX,主要运行于,Linux,环境，是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门的工作平台。它利用了,Linux,支持多种文件系统的特点，提供在不同的文件系统里自动装配映像的能力，能够发现分散空间里的数据，可以分析,UNIX,系统是否含有木马程序。其中的,Webtrace,可以自动搜索互联网上的域名，为网络取证进行必要的收集工作，新版本具有识别隐藏文件的工具。,(5) New Technologies Incorporated(NTI， :/ forensics-intl )是取证软件最为固定的商家之一。NTI以命令的形式执行软件，所以速度很快，软件包的体积小，适合于在软盘上使用。该公司提供的取证工具包括：,* CRCMD5：可以验证一个或多个文件内容的CRC工具。,* DiskScrub：用于去除硬盘驱动器中所有数据的工具。,* DiskSig：CRC程序，用于验证映像备份的精确性。,* FileList：磁盘目录工具，用来建立用户在该系统上的行为时间表。,* Filter_we：一种用于周围环境数据的智能模糊逻辑过滤器。,* GetSlack：一种周围环境数据收集工具，用于捕获未分配的数据。,* GetFile：一种周围环境数据收集工具，用于捕获分散的文件。,* Net Threat Analyzer：网络取证分析软件，用于识别公司互联网络账号滥用。,* M-Sweep：一种周围环境数据去除工具。,* NTI-DOC：一种文件程序，用于记录文件的日期、时间以及属性。,* PTable：用于分析及证明硬盘驱动器分区的工具。,* Seized：一种用于对证据计算机上锁及保护的程序。,* ShowFL：用于分析文件输出清单的程序。,* TextSearch Plus,：用来定位文本或图形文件中的字符串的工具。,10.6,当前计算机取证技术的局限和反取证技术,计算机取证的理论和软件是近年来计算机平安领域内取得的重大成就。然而从对计算机取证理论和软件实现过程的分析中我们都可以发现，当前的计算机取证技术还存在着很大的局限性。从理论上讲，计算机取证人员能否找到犯罪的证据取决于以下三个条件：首先，有关犯罪的电子证据必须没有被覆盖；其次，取证软件必须能够找到这些数据；再次，取证人员还要能够知道文件的内容，并且能够证明它们和犯罪有关。从当前软件的实现情况来看，许多所谓的“取证分析软件还仅仅是可以恢复使用rm或strip命令删除的文件，要用它们对付老奸巨猾的犯罪者还相差甚远。,反取证工具包(TDT，The Defilers Toolkit)专门设计了两款用于数据擦除的工具软件Necrofile和Klismafile。Necrofile 用于擦除文件的信息和数据，它直接将TCT工具包中检查索引节点状态的工具ils据为己用，它把所有,TCT,可以找到的索引节点的内容用特定的数据覆盖，同时它还会用随机数重写相应的数据块。,Klismafile,用于擦除目录中的残存信息，它从目录文件的入口开始寻找所有被删除的目录项，然后用零覆盖满足特定条件的目录项内容。,Klismafile,不是一个完美的解决工具，因为被它修改后的目录文件中会出现目录项大小不正常的情况，当然现在还没有工具做这项检查。,为了逃避取证，计算机犯罪者会把暂时还不能被删除的文件伪装成其他类型(例如库文件)或者把它们隐藏在图形或音乐文件中；也有人把数据文件藏在磁盘上的隐藏空间中，比方，反取证工具Runefs就利用TCT工具包不检查磁盘坏块的特点，把存放敏感文件的数据块标记为坏块来逃避取证。这类技术统称为数据隐藏。数据隐藏仅仅在取证者不知道到哪里寻找证据时才有效，所以它仅适用于短期保存数据。为了长期保存数据，必须把数据隐藏和其他技术结合使用，比方使用别人不知道的文件格式或加密(包括对数据文件的加密和对可执行文件的加密)。加密数据文件的作用已经为我们所熟知了。,而对可执行文件加密是因为在被入侵的主机上执行的黑客程序无法被隐藏，而黑客又不想让取证人员反向分析出这些程序的作用。尽管对可执行文件加密的具体方法随处理器的能力和操作系统的不同而发生变化，但根本思想是相同的：运行时先执行一个文本解密程序来解密被加密的代码，而被解密的代码可能是黑客程序，也可能是另一个解密程序。除此之外，黑客还可以利用Root Kit(系统后门、木马程序等)，绕开系统日志或者利用窃取的密码冒充其他用户登录，使取证调查变得更加困难。,10.7 计算机取证的开展趋势,1取证的领域扩大与取证工具专业化和自动化,现在的计算机犯罪已经到达了无孔不入的地步，除台式机外，大量的移动设备如便携式计算机、掌上电脑、 等都可能成为犯罪的目标。而犯罪的证据也会以各种不同的形式分布在计算机、便携式设备、路由器、入侵检测系统等不同设备上。要找到这些证据就需要针对不同的硬件和信息格式做出相应的取证工具。在2002年FIRST年会上，Joe Grand 介绍的针对手持式操作系统设备进行取证的工具pdd就是这一类工具的代表。相信在不久的将来会有更多针对特定硬件、操作系统数据结构的取证工具出现，可弥补现有取证工具的匮乏。,另外，计算机取证科学是一门综合性的学科，涉及到磁盘分析、加密、图形和多媒体文件的研究、日志信息开掘、数据库技术、媒介的物理性质等许多方面的知识。现在，很多工作都依赖于人工实现的情况大大降低了取证的速度和取证结果的可靠性。相信未来的取证软件会参加更多的信息(系统数据、日志、数据库等)分析和自动证据发现的功能，以代替大局部人工操作。,2融合其他理论和技术,1) 磁盘数据恢复,磁盘是利用它外表介质的磁性方向表示数据的。在将数据写入磁盘时，磁头产生的磁场会使存储数据的介质朝着某个方向磁化。值得注意的是，在写入新数据时，介质所具有的磁性强度不能完全摆脱其原始状态的影响。通俗地说，假设我们认为“1被写到磁盘上时介质的磁力强度应该是1。但事实上，我们把这个“1写在原来为“0的地方得到的磁力强度大约是0.95，而写在原来是“1的地方就是1.05。,普通的磁盘电路会把这两个值都认为是1，但是使用磁力显微镜(MFM，Magnetic Force Microscope)这样的专门工具，人们完全可以恢复出磁盘上的上一层甚至上两层的数据。另外，由于新的数据很难精确地写在原有数据的位置上，即使经过屡次随机覆盖之后，原来的数据还是可能被找出来。这一结论为取证专家提供了新的思路，使得恢复被覆盖了的数据成为可能。,2) 反向工程,分析被入侵主机上可疑程序的作用是计算机取证工作的一局部。现在对UNIX系统上二进制程序进行分析的工具软件屈指可数，它们更适合于对程序进行调试而不是反向工程，特别是可执行程序压缩和加密方法的使用，使得反向工程变得更加困难。为了分析计算机犯罪者所使用的软件的作用，需要专业的反向分析工程师的帮助。,3) 解密技术,由于越来越多的计算机犯罪者使用加密技术保存关键文件，因此为了取得最终的证据，需要取证人员将文件中的内容进行解密。另外，在调查被加密的可执行文件时，也需要用到解密技术。,4) 更平安的操作系统,当前，计算机取证软件的功能很大程度上取决于操作系统的支持。如何提高系统的平安性和更好地保存证据也是一个值得研究的问题。,3取证的工具和过程标准化,由于计算机取证倍受关注，很多组织和机构都投入了人力对这个领域进行研究，并且已经开发出大量的取证工具。目前除TCT和Encase以外，被大量使用的取证工具还有DiskSearch32、DiskSig、DM、DRIVESPY、FileCNVT、ForensiX、GetSlack等等。因为没有统一的标准和标准，软件的使用者很难对这些工具的有效性和可靠性进行比较。另外，到现在为止，还没有任何机构对计算机取证机构和工作人员的资质进行认证，使得取证结果的权威性受到质疑。为了能让计算机取证工作向着更好的方向开展，制定取证工具的评价标准、取证机构和从业人员的资质审核方法以及取证工作的操作标准是非常必要的。,习,题,10.1 什么是计算机取证技术？,10.2 什么是数字证据？数字证据有什么特点？,10.3 计算机取证的一般步骤有哪些？,10.4 常用的计算机取证工具有哪些？它们各有哪些主要功能？,10.5 当前计算机取证技术的开展趋势有哪些？,