史伟奇 何 平
摘要本文简述了计算机取证的概念,分析了计算机取证的相关技术及取证工具软件,提出了计算机取证专业的课程体系建设框架。
关键词计算机取证计算机取证专业课程建设
1 引言
随着计算机技术的迅猛发展和Internet规模的不断增大,以网络系统作为犯罪对象和以计算机作为犯罪工具的各类计算机犯罪活动越来越多,为了打击这类犯罪,需要对存在于计算机及相关外围设备(包括网络介质)中的电子证据(Electronic Evidence)进行取证,计算机取证学作为计算机科学和法学的交叉学科应运而生。
计算机取证是对计算机犯罪的证据进行获取、保存、分析和出示,它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。
国外十分重视计算机取证(Computer Forensics)研究,美国至少有70%的法律部门拥有自己的计算机取证实验室。我国虽然还没有专门的取证机构,但已在公安部门设置了专门的网络监察机构,该机构的一部分职责是负责计算机取证工作。
目前,虽然国内学界已在计算机取证技术研究方面作出了积极反应,开发出了一些系统和工具,并且运用这些技术侦破了一些实际犯罪案例,但由于计算机取证工作专业性要求较高,计算机取证专业人才十分匮乏。据了解,国内各高校都尚未开设计算机取证学专业或建立计算机取证学专业方向。因此,对计算机取证专业(方向)课程设置的研究,对取证专业人才的培养已成当务之急,它将在我国高等院校尤其是公安高校的专业课程设置中占有重要的地位。
2 计算机取证概念
2.1计算机取证概述
计算机取证专业资深人士Judd Robins认为:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。2004年6月,我国公安部11局许建卓博士在西安召开的“第十九次全国计算机安全学术交流会”上提出了数字化证据学的概念,阐明了数字证据的发现、固定、提取、分析和表达等五个层次的框架学说。因此,我们可以将计算机取证技术分为证据发现技术(获取证据)、证据固定技术、证据提取技术、证据分析技术和证据表达技术五个方面。
2.2计算机取证技术
证据的发现技术实际上属于侦查技术。根据计算机证据的来源不同,可以分为网络证据、单机证据和相关设备证据的发现。网络证据的发现涉及到入侵检测、网络监控、蜜罐(网)、防火墙、网络线索自动挖掘技术等;单机证据的发现主要涉及溯源技术、数据过滤、磁盘镜像技术等。
证据的固定技术是解决证据的完整性验证,即通过数字签名和见证人签名等措施保证现场勘察和侦查获得的数据的完整性和真实性。通常采用的技术有加密、时间戳、软件水印和电子签名技术等,它们都可以产生证据监督链(Chain of custody)以证实电子证据的真实完整性。
证据的提取技术是从众多未知和不确定的数据中找到确定性的东西,一般包括:恢复——找到被删除的数据、被部分覆盖以及以特殊方式存储的残缺数据;过滤——提取出需要分析的数据,如专题信息挖掘、软件残留痕迹自动分析等;解码——将数据表达成分析人员能够理解的数据,包括解密、隐藏信息的提取、元数据解码、普通编码数据的解码等。
证据的分析技术是通过关联分析证实信息的存在、信息的来源以及信息传播途径,重构犯罪行为、动机以及嫌疑人特征。它包括分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境;分析开机、关机过程,尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序;分析在磁盘特殊区域中发现的所有相关数据,利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹;分析计算机的所有者,或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体,结合全案其他证据进行综合审查。
证据的表达技术把对目标计算机系统的全面分析和追踪结果进行汇总,然后给出分析结论,标明提取时间、地点、机器、提取人及见证人,然后以证据的形式按照合法程序提交给司法机关。
2.3计算机取证软件
目前,国际上主要有以下几种主流计算机取证软件产品。Forensic Toolkit:它是一个一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为;The Coroner's Toolkit(TCT):它主要用来调查被“黑”的Unix主机,并提供了强大的调查能力,其特点是可以对运行着的主机的活动进行分析,并捕获目前的状态信息;EnCase:它是一个完全集成的基于Windows界面的取证应用程序,其功能包括:数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等;ForensicX:它是一个以收集数据及分析数据为主要目的基于Linux环境取证软件,它与配套的硬件组成专门工作平台,利用了Linux支持多种文件系统的特点,提供在不同的文件系统里自动装配映像等功能,能够发现分散空间里的数据,可以分析Unix系统是否含有木马程序。
3 计算机取证专业课程体系
从专业计划构建的角度看,课程体系主要由基础课、专业基础课、专业课以及选修课程四个部分组成。专业计划是高等院校教学的基础,它集中体现了学校人才培养和科学研究的中心任务,直接影响并决定着高等院校人才培养和科学研究的水平、质量和层次。
根据计算机取证学形成的基本原理、基础理论、技术及应用范畴,按照专业课程体系构建的基本框架要素,结合21世纪计算机取证技术的发展趋势和研究热点,笔者认为,要全方位地建立起计算机取证专业(方向),一方面要加强基础理论体系的创建和完善,另一方面还应当强调专业理论知识的深入,重视贴近实战的应用型科技技术。本文初步提出计算机取证专业课程建设的覆盖范围。
3.1基础课体系
公共基础体系涵盖了大学生的人文修养基础课与学科能力基础课,是培养健全人格与学科学习基础的必修课。开设的课程包括:人文选修课类(包括多门学科,由学校根据需要开设)、英语、高等数学、计算机取证学导论、法学基础、信息安全法规与标准等。
3.2专业基础课体系
专业基础理论是专业核心课程开展的前提,是培养学生扎实理论和基本专业技能的重要环节。开设的课程包括:离散数学、计算机原理、数据结构、程序设计基础、面向对象编程、计算机取证工具软件、数据库系统原理、操作系统、人工智能导论、密码学及应用、专业英语、证据学、现场勘察等。
3.3专业课体系
专业核心课程包括:计算机网络、汇编语言程序设计、网络与信息安全概论、计算机取证学、UNIX操作系统、Windows操作系统、网络编程与计算技术、取证协议研究、入侵检测技术、蜜罐与蜜网实现、计算机病毒原理、恶意代码识别研究、常用取证软件应用等。
3.4选修课体系
选修课程包括:计算机安全、网络安全、刑法、民法、经济法、合同法、取证相关法律汇编、计算机取证法律研究、计算机取证法定程序研究、互联网法律汇编及其立法研究等。
3.5实践课程
计算机取证专业是一门实践性很强的专业,所以,在培养过程中必须重视专业实践,即必须组织学生到计算机取证的第一线进行综合实践训练,只有这样才能达到培养目标。本课程设置中未单独设立实践课,是因为除了最后的综合实践外,实践应该贯穿于整个学习过程,如专业课大多包括技能训练实践,具体安排教学计划时应将其重点列入,特别是综合训练应该成为学生毕业的必修课。
4 培养目标
目前,计算机取证人员的角色主要是执法者如警察,当然也包括警察授权下的专业技术人员。由于社会的发展,今后中立的取证机构工作人员或者是代表当事人利益的法律维护者(如律师)也会越来越多,但无论何种身份,他都必须达到如下目标:熟悉并遵守相关法律,具有良好的法律素养与职业道德;掌握牢固的计算机技术、信息技术、通信技术等基础理论;熟练掌握计算机取证理论及证据获取、固定、提取、分析技术,具有使用常用计算机取证软件进行综合取证分析的能力。
总之,本课程设置培养的人才是较精通计算机取证技术,有一定法律知识、职业道德高尚、有一定实践能力和研究能力的工学与法学复合型人才。课程体系的设置适用于大学专科、大学本科教学,若仅为大学专科,根据应用型人才培养目标的要求可做适当压缩,并侧重加强实践性环节教学。
5 结论
按照上述课程设计框架,可以开设计算机取证专业(方向),但构建一个完善的计算机取证专业体系,还需要做大量的工作。首先是在相关学科理论的指导下,结合取证工作的特点,及时吸收先进的取证技术和理论,充实到计算机取证学中来;其次是要加强学科队伍建设,建立起计算机取证学专门的学会、学术刊物和学术机构,争取学科独立,多方位、多层次地开展学术交流和学术争论,不断完善学科体系;第三,加强配套教材建设和专门实验室建设。
总之,计算机取证学是一个新的学科,也是一种交叉学科,计算机取证特殊人才的需求需要特定的专业培养。不断归纳、总结和完善取证专业理论、技术和课程体系,是建立计算机取证学科体系的长期任务。
(本文获得“2005年全国青年教师计算机教育优秀论文评比”职业教育与培训三等奖)
参考文献
1王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635~1644
2 Judd Robbins.An Explanation Of Computer Forensics[OL].
http//www.computerforensics. net/forensics.htm
3丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260~274
4钱桂琼,杨泽明.许榕生.计算机取证的研究与设计.计算机工程,2002,28(6):56~58
5赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全,2003,10:23~25
6刘欣,计算机取证技术教案.http://infosec.pku.edu.cn/~hjbin/course/security/courseware//securityl5.ppt
7张斌,李辉.计算机取证有效打击计算机犯罪.网络安全技术与应用,2004,7:59~61