数字取证的三维过程模型

赵 倩，宋如顺

南京师范大学 数学科学学院，南京 245041

数字取证的三维过程模型

赵 倩，宋如顺

南京师范大学 数学科学学院，南京 245041

1 引言

在技术时代，电子信息在人们的生活中占据着越来越重要的位置。更多的个人信息、重要的文件等都是用电子设备来保存的，因此，电子设备成为偷窃或其他犯罪行为的目标。犯罪证据不仅是实物还有可能是电子设备中存储的信息，由于涉及犯罪的电子证据多种多样，针对不同的电子设备，所采用的取证方法与取证工具也不尽相同，错误的处理方法，可能会导致电子证据的丢失和对电子证据真实性和完整性的破坏。

在文献[1]中，提出了一种三维过程模型，在该模型中，作者从实践的角度出发，根据现场可能碰到的电子证据的不同类型、电子证据不同的取证方式（动态和静态取证）以及取证的不同阶段建立了一个三维的取证模型。文献[1]虽然是从实践的角度出发，却没有考虑到取证人员在取证过程当中所起的重要作用，一个取证过程是否成功，取证人员起着关键的作用。文献[2]中，把取证过程进行了智能化处理，但在检查阶段却没能实现智能化，需要调查人员来进行检查。因此，本文中提出了一个三维过程模型，在该模型中引入了取证团队的思想，根据电子证据的不同种类，分别对电子证据进行取证，同时在取证过程中实现了自动收集和分析证据的功能，为确保证据的可信性和真实性，本文还在取证过程中加入监督过程。

2 模型描述

在每个犯罪案件中，所涉及的电子设备并不是单一的，往往是多种多样的，不同的电子设备在数字取证的过程中，所使用的收集和分析工具往往是不一样的，而且在数字取证的各个阶段某些活动是需要反复进行的，同时，要想对一个犯罪案件进行数字取证，单靠某一个或某几个人来完成是不可能的。为解决以上问题，本文基于取证团队的思想，针对不同电子设备进行取证，并列出常见的一些活动，提出了一个三维取证过程模型。该模型由三个正交轴x，y，z组成一个三维空间，其中x轴代表了电子证据的四种类型（开放的计算机系统、通信系统、嵌入式计算机系统及其他设备）；y轴代表了数字取证过程的五个主要阶段（准备阶段、收集阶段、检查分析阶段、提交阶段和结束阶段）；z轴则代表了用于各个主要阶段的五个主要活动（监控、文档记录、保存与检验、团队的组建与案件管理及计算机工具的使用）。如图1所示。

图1 三维过程模型图

在现实社会中，任何一个犯罪案件都至少涉及一种电子证据，对于不同类型的电子证据，所采取的收集方法和工具也不一样。从模型中可以看出，在取证的每一个阶段，取证过程会涉及到五个常用的活动和不同的电子证据，因此，取证过程中的任一事件都可以用一个三维向量来表示。特别地，当针对某一类型的电子证据进行取证时，该模型就变成了一个二维的取证过程模型。在该模型中，主要的取证人员，也就是这个取证团队的领导者——指挥员，是决定取证是否成功的关键。下面就针对该三维过程模型进行说明。

2.1 电子证据的种类

在实际的数字取证过程中，电子证据的来源有很多，如计算机、网络、手机、光盘等，一般来说，可以把这些电子证据分为四类[1]：

（1）开放的计算机系统：主要是指一般意义上的计算机，包括：硬盘、键盘、显示器，它可以是笔记本、台式机和服务器。在这些设备中，数据一般保存在硬盘中，是电子证据的主要来源。硬盘中的文件可能包括和案件相关的信息，为调查指明方向。

（2）通信系统：包括通信网络中的传输节点以及正在传输中的数据。例如电子邮件的发送/接收时间，服务器以及路由器的日志都要进行检查，因为这些都是通信系统的一部分。

（3）嵌入式计算机系统：包括手机、PDA、智能卡、PSP、GPS和其他很多系统。这些设备的检查可能会对证据的收集有意想不到的帮助。

（4）其他设备：包括光盘、软盘、U盘，存储卡等不被纳入以上三种类型的电子证据。这些都是生活中人们常常用来存储重要信息的设备，其中的信息在对证据进行分析的过程中可能会起到重要的作用。

2.2 取证的主要阶段

2.2.1 准备阶段

在该阶段，为了使取证过程能够顺利开展，根据需要，安排了两个主要的角色，一个是指挥员，另一个是检查员。在接到案件报警时，指挥员首先派出检查员去现场查看。检查员是在第一时间对案件作出反应的人员，其主要任务有：保护现场、确定事件是否发生（防止误报）并把现场的基本情况列个清单上报给指挥员。指挥员根据检查员上报的信息，作出相应的安排。主要任务有：根据上报情况，立即组建取证团队、安排相应人员准备现场取证工具和派出相应人员去现场提取证据；获取相应的搜查令；研究相应案件，并对所发生的事件进行评估，根据经验对检查人员给出的清单，列出案件的一个大致轮廓，指挥员还有个最重要的任务就是监督、指导整个取证过程。

2.2.2 收集阶段

该阶段主要是由调查团队来执行的，它分为现场收集证据阶段和实验室收集证据阶段，然而不管是在现场收集还是在实验室收集阶段，证据都包括实物证据和电子证据。这是因为在计算机犯罪案件中，证据一般是存放在电子设备中，要想获得电子证据，首先要对可疑的电子设备进行保存和记录（与传统案件中证据的收集相同，这里就不再重复），再对设备中的信息进行提取、保存和记录。现场收集阶段，主要是对现场的可疑证据进行收集，对于在现场由于设备等条件不足，而无法收集的含可疑证据的电子设备，就需要带到实验室中进行证据的收集。

在电子证据收集的过程中，由于电子证据的来源多种多样，对于不同电子证据的种类，需要采用不同的数据收集方法，同时随着技术的不断发展，目前的存储设备具有很大的容量，而对于系统和网络数据包中的信息，由于里面含有诸如日志、注册表之类的信息，信息量很大，同样需要很大的存储空间，而且分析起来也比较费时、费力，因此调查员在收集证据之前，可以适当地减轻调查的压力，根据检查员提供的信息，结合指挥员在准备阶段给出的初始关键字，与由案件库组成的专家系统进行相似案件关键字的比对，通过不断增加的关键字，迅速地对信息进行过滤。具体的取证过程如图2所示。

图2 取证过程图

根据案件的不同，收集内容也不尽相同，主要包括：系统的一些基本信息（如：系统状况、版本号等）；日志、注册表中的可疑信息（告警信息、错误信息等）；以及与可疑信息相关的信息；通过关键字过滤后的信息等。两个事件相关联指的是两个事件中至少含有一个相同的因素，在这里把至少含有两个相同因素的两个事件称为事件相关联。而事件的因素可以用5W1H来表示，即who、when、where、what，why、how，也就是说能清楚、详细地记录在什么时间、什么地点、谁因为什么原因，做了什么，是如何做的。

最后，把所有这些收集的证据，都统一存储到一个设备当中，以方便下面的检查分析。同时要对该设备进行加密，确保证据的真实性和可信性。

2.2.3 检查分析阶段

检查与分析是一个不可分割的一个整体，该阶段是由检查分析团队来执行的，主要是对所收集到的可疑证据进行分析，组建证据链，还原犯罪事实。面对收集来的成百上千甚至上万的文件或文件记录，要想从中发现有用的证据，可以说是一件浩大的工程，文献[3]中给出的证据可靠性放大算法提高了取证的效率和准确性，但是对于每个有冲突的证据却不能显现出其在所有冲突证据中所占的比重，而且也没有给出信任因子的极限。因此，本文对证据可靠性放大算法进行了改进，在该算法中冲突极限MCF不再取所有冲突因子的平均值，而是把所有冲突因子加权平均。这样做就显现出每个冲突的证据在所有冲突证据中所占的比重，有效地降低了冲突极限MCF，更好地对可疑证据进行了筛选。同时，本文也给出了信任因子极限MRF的计算方法，过滤出大于信任因子极限MRF的证据，从而筛选出最可信的犯罪证据。下面简单地将算法描述如下：

（1）初始化：C=B=E=P=Φ，其中C表示证据库。

（2）尽可能多地收集电子证据。

（4）定义＜ci,Ei＞、ci的信任因子 RF(ci)=0，其中 Ei表示ci对应的证据源的集合。

（5）C=C∪B，把新收集的单个证据集B加入到证据库C中。

（7）定义count=CF(ei)=CF(ej)=count(ei)=count(ej)=0。

（8）Ifei和ej冲突，ThenCF(ei)和CF(ej)则分别加1，count=count+1,count(ei)=count(ei)+1;count(ej)=count(ej)+1,其中CF(ei)和CF(ej)分别表示事件ei和事件ej的冲突因子。

（10）If∀e，e∈P，CF(e)≤MCF，Then E=E∪{} e，其中E表示所有可信且不冲突事件的集合。

（11）B=P=Φ，为了减少字符的数量，将B和P清空。

（12）对于∀e∈E:{对于事件e中的任一个单一的证据

（14）IfRF(c)≥MRF，ThenP=P∪{c}，筛选出最可信的证据集P。

由于电子证据具有易修改等特点，证据库中的信息并不一定都是可靠的，为确定收集到的信息就是犯罪的有力证据，需要对收集的信息进行提纯，过滤掉那些大于冲突极限MCF的源事件，得到可信的、不冲突的源事件集E，再根据信任因子极限MRF过滤出最可信的证据集P，即是所要寻找的犯罪证据。根据证据，检查分析人员组建证据链对案件进行重构。

2.2.4 提交阶段

该阶段由指挥员指派参与调查分析的一名人员称为汇报员来进行，汇报员要整理所有的文件记录和各个阶段得到的结论，并按照法律程序对整个案件的处理过程进行解释和说明，同时，对案件进行最后的审查和测试。

2.2.5 案件结束

在该阶段，指挥员要对整个案件进行总结和分析，并对记录进行归档，同时，案件中的证据和文件记录要上交档案库进行归档、保存。

2.3 取证阶段涉及的五个活动

（1）监控：主要是对取证的全过程进行监督，包括人员监督以及取证技术的监督，可采用双摄像、拍照等设备进行监督。双摄像即是通过视频录制软件在被取证计算机上对整个取证过程进行实时录制，同时再通过DV从外部对整个取证过程进行拍摄。

（2）文档记录：记录收集了哪些证据，对其进行了哪些操作，发现的初始步骤是什么等。

（3）保存与检验：在准备阶段，保护现场不被破坏，在收集阶段保护实物证据和电子证据免受干扰和损害，在检查分析阶段，分析证据的真实性。

（4）团队的组建与案件管理：该阶段主要是由指挥员来完成的，指挥员除了要处理监督团队成员的细节任务，还要给出整个过程和结果的大方向来避免偏离正确的路径。在任何与预期重要目标不同的情况下，应尽快找到原因，及时给出引导。当然这也可以通过召开团队会议来解决。

（5）计算机工具的使用：计算机工具的使用是整个取证过程所不可缺少的一部分，从证据的发现到呈堂证据的检查、分析和案件重现都离不开计算机工具的使用。为保证证据的可信度，一般采用目前比较可信的取证工具。

这五个活动经常用在取证过程的各个阶段，有利于维护取证过程的质量，并能保证证据的可信性和完整性。

3 小结

本文主要结合实际取证过程中电子证据的多样性，突出在整个过程中监督、记录、保存和鉴定、案件管理和团队组建以及计算机工具的使用这五项活动的重要性，并在证据的分析中引入了改进的证据可靠性放大算法对证据进行分析，提高了证据的可靠性和工作效率。该模型的优点是：（1）针对不同的案件中涉及的不同证据来源，可以采用不同的证据收集方案，扩大了模型的使用范围；（2）在收集阶段采用了先用工具对证据进行关键字的筛选，减少了调查分析人员的工作量；（3）对生产的新的关键字以及案件信息，可加入到专家系统中，实现了信息的重复使用，降低了先前对指挥员技术和能力的要求。模型的缺点，首先是在关键字生成阶段可能需要人工干预，以实现最佳收集效果，这样虽然显现了调查团队的重要性，但只是实现了半自动化，不能达到完全的自动化。如何实现自动化的取证过程，需要继续地研究与探讨。

[1]薛跃，胡武宏.一种三维的电子证据取证流程模型[J].警察技术，2007.

[2]Ruibin G，Yun T，Gaertner M.Case-relevance information investigation：binding computer intelligence to the current computer forensic framework[J].International Journal of Digital Evidence，2005，4（1）.

[3]Khatir M，Hejazi S M，Sneiders E.Two-dimensional evidence reliability amplification process model for digital forensics[C]// WDFIA'08.Washingtion，DC，USA：IEEE Computer Society，2008：21-29.

[4]蒋平，黄淑华，杨莉莉.数字取证[M].北京：清华大学出版社，2007.

ZHAO Qian,SONG Rushun

School of Mathematical Science,Nanjing Normal University,Nanjing 245041,China

This paper presents a three-dimension digital forensic process model based on emphasizing the importance of forensic numbers and different data sources.In this model,collecting methods are different varying from data source to data source which involved in the event in order to explore the scope of the model used.Meanwhile in this paper the evidence can collect and analyze automatically.Knowledge can re-use.In the phase of investigation and analysis it improves the evidence reliability amplification in order to improve evidence reliability and work effectively.

digital forensic;evidence reliability;digital forensic process

在强调取证人员重要性的基础上，根据电子证据来源的不同，提出了一个三维过程模型，针对不同的案件中涉及的不同证据来源，可以采用不同的证据收集方案，扩大了数字取证模型的使用范围，同时实现了证据的自动收集和分析功能，及知识的重复使用功能，并在调查分析阶段对证据可靠性放大算法进行了改进，提高了证据的可靠性和工作效率。

数字取证；证据可靠性；数字取证过程

A

TP309

10.3778/j.issn.1002-8331.1108-0253

ZHAO Qian,SONG Rushun.Three-dimension digital forensic process model.Computer Engineering and Applications, 2013,49（5）：93-95.

国家“211工程”建设项目（No.181070H901）。

赵倩（1985—），女，研究生，主要研究领域为数字取证模型；宋如顺，男，教授。E-mail：qqqad@163.com

2011-08-22

2011-10-08

1002-8331（2013）05-0093-03

CNKI出版日期：2011-12-09 http://www.cnki.net/kcms/detail/11.2127.TP.20111209.1001.034.html