計(jì)算機(jī)取證(Computer Forensics)在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵,它的目的是要將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計(jì)算機(jī)取證是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué),被用來解決大量的計(jì)算機(jī)犯罪和事故,包括網(wǎng)絡(luò)入侵、盜用知識產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等。
1.什么是計(jì)算機(jī)取證
從技術(shù)角度看,計(jì)算機(jī)取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內(nèi)存緩沖和其他形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程,即計(jì)算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預(yù)先定義的程序,全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。
計(jì)算機(jī)取證主要是圍繞電子證據(jù)進(jìn)行的。電子證據(jù)也稱為計(jì)算機(jī)證據(jù),是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的,以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。多媒體技術(shù)的發(fā)展,電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種類型的信息。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的,是法庭所能夠接受的。同時(shí),電子證據(jù)與傳統(tǒng)證據(jù)不同,具有高科技性、無形性和易破壞性等特點(diǎn)。高科技性是指電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸,都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等,離開了相應(yīng)技術(shù)設(shè)備,電子證據(jù)就無法保存和傳輸。無形性是指電子證據(jù)肉眼不能夠直接可見的,必須借助適當(dāng)?shù)墓ぞ?。易破壞性是指電子證據(jù)很容易被篡改、刪除而不留任何痕跡。計(jì)算機(jī)取證要解決的重要問題是電子物證如何收集、如何保護(hù)、如何分析和如何展示。
可以用做計(jì)算機(jī)取證的信息源很多,如系統(tǒng)日志,防火墻與入侵檢測系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計(jì)記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫文件和操作記錄、硬盤交換分區(qū)、軟件設(shè)置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會(huì)話日志、實(shí)時(shí)聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動(dòng)結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關(guān)記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對硬盤進(jìn)行低級格式化處理或?qū)⒂脖P空間裝滿,仍有可能恢復(fù)已經(jīng)刪除的文件。
2.如何進(jìn)行計(jì)算機(jī)取證
根據(jù)電子證據(jù)的特點(diǎn),在進(jìn)行計(jì)算機(jī)取證時(shí),首先要盡早搜集證據(jù),并保證其沒有受到任何破壞。在取證時(shí)必須保證證據(jù)連續(xù)性,即在證據(jù)被正式提交給法庭時(shí),必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當(dāng)然最好是沒有任何變化。特別重要的是,計(jì)算機(jī)取證的全部過程必須是受到監(jiān)督的,即由原告委派的專家進(jìn)行的所有取證工作,都應(yīng)該受到由其他方委派的專家的監(jiān)督。計(jì)算機(jī)取證的通常步驟如下。
(1)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)取證時(shí)首先必須凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng),不給犯罪嫌疑人破壞證據(jù)的機(jī)會(huì)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。
(2)確定電子證據(jù)。在計(jì)算機(jī)存儲(chǔ)介質(zhì)容量越來越大的情況下,必須根據(jù)系統(tǒng)的破壞程度,在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù),哪些是無用數(shù)據(jù)。要尋找那些由犯罪嫌疑人留下的活動(dòng)記錄作為電子證據(jù),確定這些記錄的存放位置和存儲(chǔ)方式。
(3)收集電子證據(jù)。
·記錄系統(tǒng)的硬件配置和硬件連接情況,以便將計(jì)算機(jī)系統(tǒng)轉(zhuǎn)移到安全的地方進(jìn)行分析。
·對目標(biāo)系統(tǒng)磁盤中的所有數(shù)據(jù)進(jìn)行鏡像備份。備份后可對計(jì)算機(jī)證據(jù)進(jìn)行處理,如果將來出現(xiàn)對收集的電子證據(jù)發(fā)生疑問時(shí),可通過鏡像備份的數(shù)據(jù)將目標(biāo)系統(tǒng)恢復(fù)到原始狀態(tài)。
·用取證工具收集的電子證據(jù),對系統(tǒng)的日期和時(shí)間進(jìn)行記錄歸檔,對可能作為證據(jù)的數(shù)據(jù)進(jìn)行分析。對關(guān)鍵的證據(jù)數(shù)據(jù)用光盤備份,也可直接將電子證據(jù)打印成文件證據(jù)。
·利用程序的自動(dòng)搜索功能,將可疑為電子證據(jù)的文件或數(shù)據(jù)列表,確認(rèn)后發(fā)送給取證服務(wù)器。
·對網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)的日志數(shù)據(jù),由于數(shù)據(jù)量特別大,可先進(jìn)行光盤備份,保全原始數(shù)據(jù),然后進(jìn)行犯罪信息挖掘。
·各類電子證據(jù)匯集時(shí),將相關(guān)的文件證據(jù)存入取證服務(wù)器的特定目錄,將存放目錄、文件類型、證據(jù)來源等信息存入取證服務(wù)器的數(shù)據(jù)庫。
(4)保護(hù)電子證據(jù)
對調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)加封條存放在安全的地方。對獲取的電子證據(jù)采用安全措施保護(hù),無關(guān)人員不得操作存放電子證據(jù)的計(jì)算機(jī)。不輕易刪除或修改文件以免引起有價(jià)值的證據(jù)文件的永久丟失。
3.如何分析電子證據(jù)
電子證據(jù)需要借助計(jì)算機(jī)的輔助程序來查看,分析電子證據(jù)的信息需要很深的專業(yè)知識,應(yīng)依靠專業(yè)的取證專家。通常進(jìn)行的工作包括。
(1)借助自動(dòng)取證的文本搜索工具,進(jìn)行一系列的關(guān)鍵字搜索查找最重要的信息。
(2)對文件屬性、文件的摘要和日志進(jìn)行分析,根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語法、寫作或軟件設(shè)計(jì)編制風(fēng)格,推斷可能的作者。
(3)利用數(shù)據(jù)解密技術(shù)和密碼破譯技術(shù),對電子介質(zhì)中的被保護(hù)信息進(jìn)行強(qiáng)行訪問,獲取信息。
(4)分析Windows系統(tǒng)的交換文件和硬盤中未分配的空間,這些地方往往存放著犯罪嫌疑人容易忽視的證據(jù)。
(5)對電子證據(jù)進(jìn)行智能相關(guān)性分析,發(fā)掘同一事件不同證據(jù)間的聯(lián)系。如分析分布式拒絕服務(wù)攻擊證據(jù)時(shí),可對某一時(shí)間段來自攻擊者的IP在不同系統(tǒng)中留下的痕跡,按一定順序羅列和評估其相關(guān)性。
4.計(jì)算機(jī)取證常用工具
計(jì)算機(jī)取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
