计算机取证技术的发展困境与前景

曾学军

中图分类号:TP309 文献标识码:A

内容摘要:计算机取证科学是一个迅速成长的研究领域,它在国家安全保护、网络入侵和犯罪调查方面有着重要的应用前景。本文通过对计算机取证概念的诠释,进而分析计算机取证技术发展的前景与面临的困境,提出有效建议,为计算机取证总结出一套程序和方法,以指导实践,为取证科学发挥更大的作用提供理论参考。

关键词:计算机 取证技术 发展 前景 困境

随着信息技术的应用和普及,利用计算机和网络或以计算机和网络作为攻击目标的犯罪活动日益猖獗。与计算机相关的法庭案例也不断出现。一种新的证据形式即存在于计算机及相关外围设备中的电子证据逐渐成为新的诉讼证据之一。面对计算机犯罪手段的多样化,加大信息安全防范技术和计算机犯罪取证技术的研究力度势在必行。目前的研究多着眼于入侵防范,对于入侵后取证技术的研究相对滞后。而仅仅通过现有的网络安全技术打击日新月异的计算机犯罪技术,已经不能确保计算机信息系统的安全。 因此,需要发动社会和法律的力量去对付计算机和网络犯罪,计算机取证学的出现和应用是网络安全防御理论走向成熟的标志,也是相应法律得以有效执行的重要保障,从而使电子证据作为一种新的证据形式出现在法庭。

计算机取证的概念诠释

Lee Garber在IEEE Security发表的文章中认为,计算机取证是分析硬盘驱动、光盘、软盘、ZIP和Jazz 磁盘、内存缓冲以及其它形式的储存介质,以发现犯罪证据的过程。计算机取证资深专家Judd Robbins对此给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司则归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。

因此,计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。计算机取证又称为数字取证或电子取证、计算机法医学,包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件、日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。

计算机取证技术的发展前景

计算机取证技术的概念是外来品,是从入侵取证反黑客开始逐渐形成的。我国有关计算机取证的研究还处于起步阶段,技术水平与国外相比还有一定差距;同时我国电子证据的相关法律仍不够健全,有待完善。随着科学技术的快速发展,计算机犯罪手段的不断提高,我们迫切需要进一步健全、规范计算机取证流程,加强计算机取证技术研究,制定和完善相关的法律法规。

(一)国内取证技术的发展

在国内,公安部门打击计算机犯罪是近几年的事,有关计算机取证方面的研究和实践也才刚起步。计算机取证技术随着黑客技术的提高而不断发展。为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,计算机取证技术的研究必须不断深入和改进,向智能化、专业化和自动化方向发展。

计算机取证科学涉及到多方面的知识。现在许多工作依赖于人工实现,大大降低了取证速度和取证结果的可靠性。所以,在工具软件的开发上必须结合计算机领域内的其他理论和技术,以代替大部分人工操作。利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年在上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些证据需要针对不同的硬件和信息格式做出相应取证的工具。因此,此类取证工具已经成为取证技术研究的新方向。另外,计算机取证技术将进一步与信息安全技术相结合。同时,在网络协议的设计过程中,今后将考虑到未来取证的需要,为潜在的取证活动保留充足的信息。

(二)取证相关技术的发展

从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关的证据,需进行相关性分析技术研究,需要高效率的搜索算法、 完整性检测算法优化、数据挖掘算法以及优化等方面的研究。

对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的Caller ID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,提出基于聚类的流量压缩算法,研究基于概率的追踪算法优化研究,对于应用层根据信息论和编码理论,提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究。

计算机取证的另一个技术问题就是对取证模型的研究和实现,当前应该开始着手分析网络取证的详细需求 建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库,有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型,并开始着手研究对此模型的评价机制。

计算机取证技术的局限

(一)取证软件的局限性

首先,有关犯罪的电子证据必须没有被覆盖;其次,取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看,许多取证分析软件并不能恢复所有被删除的文件。许多“取证分析软件”还仅仅是可以恢复使用rm 或strip命令删除的文件, 显然仅使用它们的犯罪手段还相差甚远。

由于自身的局限性和计算机犯罪手段的变化,现有的取证技术已经不能完全满足打击犯罪的要求。另外,由于当前取证软件的功能集中在磁盘分析上,而其他工作全部依赖于取证专家人工进行,几乎造成计算机取证软件等同于磁盘分析软件的错觉。这些情况必将随着对计算机取证研究工作的深入和新取证软件的开发而得到改善。此外,计算机取证技术还会受到其他计算机理论和技术的影响。

(二)反取证技术的干扰性

正是由于技术上的局限性,使得一些犯罪分子有机可乘。因此在取证技术迅速发展的同时, 一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、 数据隐藏和数据加密。这些技术还可结合使用,使取证工作变得更加困难。

1.数据擦除。数据擦除是最有效的反取证方法,指清除所有可能的证据(索引节点目录文件和数据块中的原始数据)。原始数据不存在了,取证自然就无法进行。反取证工具包TDT(The Defiler、Toolkit)专门设计了两款用于数据擦除的工具软件Necrofil和 Klismafile .Necrofil用于擦除文件的信息和数据,它直接将 TCT工具包中检查索引节点状态的工具ils据为己用,把所有TCT可以找到的索引节点的内容用特定的数据覆盖,同时它还会用随机数重写相应的数据块;Klismafile用于擦除目录中的残存信息,它从目录文件的入口开始寻找所有被删除的目录项,然后用零覆盖满足特定条件的目录项内容。Klismafile不是一个完美的解决工具,因为被它修改后的目录文件中会出现目录项大小不正常的情况,当然现在还没有工具做这项检查。

2.数据隐藏。为了逃避取证,犯罪者还会把暂时不能被删除的文件伪装成其他类型(如库文件),或者把它们隐藏在图形或音乐文件中;也有人把数据文件藏在磁盘上的隐藏空间中。比如,反取证工具Runefs就利用TCT工具包不检查磁盘坏块的特点,把存放敏感文件的数据块标记为坏块来逃避取证。这类技术统称为数据隐藏。数据隐藏仅仅在取证者不知道到哪里寻找证据时才有效,所以它仅适用于短期保存数据。

3.数据加密。为了长期保存数据,必须把数据隐藏和其他技术联合使用,比如使用别人不知道的文件格式或加密(包括对数据文件的加密和对可执行文件的加密)。加密数据文件的作用已经为我们所熟知了。而对可执行文件加密是因为在被入侵的主机上执行的黑客程序无法被隐藏, 而黑客又不想让取证人员反向分析出这些程序的作用。尽管对可执行文件加密的具体方法随处理器的能力和操作系统的不同而发生变化,但基本思想是相同的:运行时先执行一个文本解密程序来解密被加密的代码,而被解密的代码可能是黑客程序,也可能是另一个解密程序。

除此之外,黑客还可以利用Root Kit (系统后门木马程序等),绕开系统日志或者利用窃取的密码冒充其他用户登录,使取证调查变得更加困难。

克服计算机取证技术局限性的建议

吸收计算机领域内其他的理论和技术有助于更好地打击计算机犯罪。对下列领域的进一步研究就有可能帮助计算机取证技术克服当前的局限性:

磁盘数据恢复。磁盘是利用它表面介质的磁性方向表示数据的。在将数据写入磁盘时,磁头产生的磁场会使存储数据的介质朝着某个方向磁化。由于新的数据很难精确地写在原有数据的位置上,即使经过多次随机覆盖之后,原来的数据还是可能被找出来。这一结论为取证专家提供了新的思路,使得恢复被覆盖了的数据成为可能。

解密技术。由于越来越多的计算机犯罪者使用加密技术保存关键文件,为了取得最终的证据,需要取证人员将文件中的内容进行解密。另外,在调查被加密的可执行文件时,也需要用到解密技术。

更安全的操作系统。当前,计算机取证软件的功能很大程度上取决于操作系统的支持。如何提高系统的安全性和更好地保存证据也是一个值得研究的问题。

取证的工具和过程标准化。由于计算机取证倍受关注,很多组织和机构都投入了人力对这个领域进行研究,并且已经开发出大量的取证工具。目前除TCT和En Case以外,还有很多其它的工具。因为没有统一的标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得取证结果的权威性受到质疑。为了能让计算机取证工作进一步向纵深方向发展,制定取证工具的评价标准、取证机构和从业人员的资质审核办法,以及取证工作的操作规范是非常必要的。

参考文献:

1.殷联甫.计算机取证技术研究[J].计算机系统应用,2005(8)

2.王玉林,申普兵,李泼,高晓飞.基于两种数据类型的计算机取证技术研究[J].网络安全技术与应用,2008(4)

3.李涛.网络安全概论[M].电子工业出版社,2004

4.黄毅铭,汪海航.基于Palm OS移动设备的计算机取证与分析[J].计算机应用与软件,2007(9)

5.张有东,王建东,朱梧槚.反计算机取证技术研究[J].河海大学学报(自然科学版),2007(1)