浅谈计算机动态隐秘取证系统

2011-07-30 08:42袁尚华
中国新技术新产品 2011年21期
关键词:枚举存储设备证据

袁尚华

(四川化工职业技术学院,四川 泸州 646005)

从上个世纪开始,网络就走入人们的生活、工作等各个方面,并且发展越来越迅速,但是,随着而来的安全问题也越来越受到人们的关注。在网络案件发送后,公安部门首先需要取证,由于网络的广泛性、多样性、不定性等特性,从办案的业务实际需求出发,对情报的获取和案件的侦破需要一套新型能够自动地进行信息取证、能够隐蔽地获取一些使用常规手段较难获得的电子证据、并在取证的过程中具有较高的隐秘性和安全性的取证系统。这类较难获得的电子证据包括被取证主机上的各类隐蔽数据,如经过加密软件加密的重要文档以及移动硬盘、密码、USB盘等外围设备上的重要数据信息。

1 计算机动态隐秘取证

计算机取证就是研究如何对计算机和网络犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。

当系统在预计的计算机和网络违法犯罪事件正在发生之时,为了防止违法犯罪事件的进一步恶化,或者及时的收集违法犯罪活动的证据,采用动态取证系统主动进行取证的工作方式,即将计算机取证结合到入侵检测、远程监控等网络安全工具和网络体系结构中,在计算机犯罪过程中动态获取数据并进行分析,实施相应的动作获取证据,这种取证方式为动态取证。这种方法能迅速生成计算机证据,减少调查的时间和降低对取证人员的要求。与静态取证相比,动态取证具有主动性、实时性、有效性等特点。

计算机和网络犯罪活动一般持续过程比较短暂,涉案的电子证据也具有一定的"挥发性",如存储重要犯罪证据的移动硬盘、USB盘等外围存储设备,在短时间连入涉案主机后,即被犯罪分子转移、藏匿、销毁,这样就很难取得这类设备中的犯罪证据。因此,在实际取证业务中,需要采用计算机动态隐秘取证。

2 计算机动态隐秘取证系统整体功能

根据实际需求出发,计算机动态隐秘取证系统应该具有可靠性、隐蔽性、实时性和自动性的特点,并且还需完成以下功能:

2.1 外围存储设备监控功能。U盘、移动硬盘等外围存储设备体积小巧、使用方便,很容易被犯罪分子藏匿、破坏、销毁,导致这类设备中的重要证据流失,因此本系统最主要的功能就是对外围存储设备连入被取证主机的情况进行监控,以实现后续取证功能。

2.2 为了不让被取证对象发觉,保证重要证据信息或藏匿犯罪证据不被销毁,动态隐秘取证系统必须具有很高的隐蔽性,其中包括取证过程隐蔽、证据传输隐蔽。

2.3 密码数据及密钥获取功能。动态隐秘取证系统能够通过键盘记录、屏幕截取、密码分析等技术对被取证主机上的密码数据以及密钥文件进行收集和获取。

2.4 取证信息传输功能。动态隐秘取证系统能够及时的将取证信息通过网络传输给取证人员,以便及时分析证据,进行后续取证工作。

2.5 友好的界面和完善的证据管理,以便于操作和对获取证据的后续分析。

3 使用的关键技术及实现

为了能更好的实现系统所具有的功能,本系统采用了移动设备监控技术、进程隐藏技术、文件加密技术、数据隐秘通信技术和基于NTFS的ADS文件隐藏技术。在此主要分析移动设备监控技术。

监控移动设备连入主机的方法主要有:GUID枚举技术、系统消息监控技术等,在本系统中主要使用到的是GUID枚举技术。

所谓 GUID(Globlly Unique Identifier,全球唯一标识符)是同类或同种设备的一种识别码,它是一个 128 bit(16字节)的整形数,可以保证在时间和空间上具有唯一性。用上述 API函数和数据结构,可以实现从 GUID到设备路径的转换,主要代码实现如下:

采用 GUID枚举的方法,其优点通过对系统中相应 GUID设备的枚举,很容易得到该设备的详细信息,如盘符、接口类型、序列号、产品ID等。但是这种方法的缺点也很明显,由于GUID具有唯一性,采用移动存储设备的 GUID只能枚举出移动存储设备的信息,如想要得到虚拟磁盘的信息,则需采用虚拟磁盘的 GUID进行枚举,这样的程序实现效率不高。另外,GUID枚举技术缺乏触发条件,需通过监控注册表或结合前面的系统消息监控技术,才能达到监控移动存储设备的目标。

[1]陈龙,王国胤.计算机取证技术综述 [J].重庆邮电学院学报(自然科学版).2005,17(6):726-732.

[2]黄步根.NTFS系统存储介质上文件操作痕迹分析 [J].计算机工程.2007,33(23):281-283.

[3]李伟斌,王华勇,罗平.通过注册表监控实现木马检测 [J].计算机工程与设计.2006,27(12):2200-2222.

猜你喜欢
枚举存储设备证据
基于理解性教学的信息技术教学案例研究
一种高效的概率图上Top-K极大团枚举算法
对于家庭暴力应当如何搜集证据
Windows 7下USB存储设备接入痕迹的证据提取
基于Flash芯片的新型存储设备数据恢复技术研究
基于太阳影子定位枚举法模型的研究
“大禹治水”有了新证据
手上的证据
用批处理管理计算机USB设备的使用
USB开发中易混淆的概念剖析