电子数据取证研究综述

顾广宇，易 庆

(1.国网安徽省电力科学研究院，安徽 合肥 230601;2.安徽电气工程职业技术学院，安徽 合肥 230051;3.国网安徽省电力公司培训中心，安徽 合肥 230022)

0 引言

在互联网技术飞速发展给人们生活带来深刻变革的今天，计算机及网络犯罪也日益威胁着个人、企业乃至国家的信息安全。黑客入侵、网络钓鱼诈骗、商业机密盗窃等网络犯罪愈演愈烈，网络罪犯在实施犯罪行为过程中，难免会留下作案的痕迹，通过相关技术手段，发现、提取罪犯遗留的蛛丝马迹，形成有效的证据，将罪犯绳之以法，这一完整的证据识别、提取、保存、分析过程，称为电子数据取证(简称数据取证)。数据取证又称为计算机取证(computer forensics)、数字取证(digital forensics)。

1 电子数据取证的特点

与传统证据中的物证、人证不同，电子数据看不见、摸不着，而且又易于修改、删除和复制，甚至恶劣的环境，比如电磁、静电、雨水等都会对其造成损坏，这些特性决定了电子数据收集、传输、保存和分析具有一定的难度;同时，数据取证不仅是复杂的技术工作，更是严格的法律程序，提取的电子数据最终是否具有法律效力，能否成为电子证据，要取决于证据收集、审查和鉴定是否都满足法律上的要求［1］，在取证过程中使用的技术、工具和流程是否符合法律上的规定，否则不仅取得的证据会丧失法律效力，甚至可能会污染、损毁相关证据。只有借助于专业化的取证工具，建立起规范的取证流程，提高电子数据取证与分析水平，才能有效地打击计算机及网络犯罪，震慑入侵者，预防信息安全事件的发生。

2 电子数据取证模型

数据取证模型是一套标准化、规范化的取证流程、工具以及方法的集合，是通用的、一致化的技术框架，应该可以覆盖各类型的数据取证过程，能够适应未来新技术的发展变化，模型对于数据取证工作具有普遍的指导意义。

数据取证研究者针对取证模型做了大量的研究工作，其中较有代表性的包括Farmer和Venema模型，Mandia和Prosise模型以及NIJ(National Institute of Justice)的取证过程模型。Farmer和Venema模型是在IBM Watson Research Center开设的“UNIX计算机取证培训课程”［2］中提出的，该模型中包含“安全和隔离，记录场景，执行系统化的证据搜索等，证据收集和打包”以及“维持监管链”等步骤，这个模型强调了监管链的重要性，Farmer和Venema在此模型的基础上，还开发了一套针对UNIX系统取证的工具集-The Coroner's Toolkit(TCT)。

Mandia与Prosise等从信息安全事件响应的角度提出了另外一种取证模型［3］，该模型包括事件前准备、事件调查，初始响应、响应策略形成(response strategy formulation)、复制、调查、安全度量实现、网络监视、恢复、报告等步骤，并针对不同的平台提出了详细的取证操作指南，但是此取证模型只是针对计算机犯罪，没有覆盖到PDA，手机等手持设备。

2001年美国国家司法研究所出版了“电子犯罪场景调查:事件响应人员指南”，其中提出了一种适用于电子犯罪现场的取证模型-NIJ取证过程模型［4］，该模型对从事电子数据取证人员的职责做出了要求，指出取证人员负责电子证据的识别、收集、保护、传送和存储。NIJ模型将取证过程分为四个阶段，分别是收集(collection)、检查(examination)、分析(analysis)和报告(report)，其中收集是最关键阶段，是该模型中的重点，该阶段包括电子证据的搜索、识别、收集和记录工作;检查阶段要记录收集到证据的内容和状态，保证证据的完整，并且在保证证据完整性的基础上筛查出真正有价值的证据;分析阶段在检查工作的基础上，深入发掘证据对于案件的价值，也就是确定证据的相关性;最后是报告阶段，提交的报告要说明取证的过程以及取证中发现的证据，报告还应包括取证人员就取证工作、取证过程有效性以及自身资质的证词。

3 电子数据取证的IOCE六原则

在1999年10月召开的国际高技术犯罪与取证会议(International Hi-Tech Crime and Forensics Conference)上，权威的国际电子证据组织IOCE(International Organization on Digital Evidence)提出并通过了指导电子数据取证工作的六项原则(principle)［5］:

(1)When dealing with digital evidence，all of the general forensic and procedural principles must be applied(处理电子数据时，必须采用标准的取证过程);

(2)Upon seizing digital evidence，actions taken should not change that evidence(获取数字证据后，不能改变原始证据);

(3)When it is necessary for a person to access original digital evidence，that person must be forensically competent(只有取得资质取证人员，才能处理电子证据);

(4)All activity relating to the seizure，access，storage，or transfer of digital evidence must be fully documented，preserved，and available for review(完整地记录对证据的获取、访问、存储或者传输的过程，并对这些记录妥善保存以便随时查阅);

(5)An individual is responsible for all actions taken with respect to digital evidence while the digital evidence is in their possession(每一位保管电子证据的人应该对他的每一项针对电子证据的行为负责);

(6)Any agency that is responsible for seizing，accessing，storing，or transferring digital evidence is respo nsible for compliance with these principles(任何负责获取、访问、存储或传输电子证据的机构有责任遵循这些原则)。

IOCE六原则对于数据取证主体合法性、取证过程监管以及证据关联性提出了明确的要求，现已成为电子数据取证需要遵循的原则框架，是保证取证活动合法、有效的必要条件，也是取证技术手段得以有效发挥的重要保障。

4 电子证据监管链的维护

在法律条文中，监管链是指按时间顺序排列的文档，用于记录证据的收缴、监管控制、运送、分析以及处置的完整过程。监管链也适用于运动员的兴奋剂检测、食品生产的追溯甚至木质产品的原产地保证等。

监管链的维护对于数据取证过程非常重要，是保证电子证据有效的必要条件，维护监管链需要记录哪些人员接触了证据，证据中的数据是否进行了修改等。监管链是证据按时间顺序排列的历史，从获取证据开始，记录每一次证据的处理时间以及处理目的，由于电子数据的易损性，所以需要更为详细的监管链，以保证电子证据在法律上的有效性。

5 电子数据取证工作主要流程

按照数据取证的工作内容，取证过程可以分为两个主要阶段，分别为现场勘查和证据分析，每个阶段中又包含不同的工作步骤和技术内容。

5.1 现场勘查

现场勘查工作，需要详细记录取证的全过程，记录应采用笔录、口述和摄录三种形式同时进行，重要证物还需要使用相机进行拍摄留存。取得的硬盘、U盘等重要证物，要按照类别进行登记，并记录下型号、序列号和编号等关键信息。由于电子证物的特殊性，在取得电子证物后，首先应该对证物进行证据固定—制作原始证物的复制品。对于硬盘等原始盘的读取必须采用写保护接口箱来进行，以防止对原始证物造成损坏。为了保证磁盘数据在保存过程中的完整，还需要对磁盘存储数据内容进行“数字签名”，通常做法是使用MD5或者SHA-1算法产生一个校验值，以备审核和鉴验。

5.2 证据分析

证据分析是电子数据取证工作的核心，由于电子数据的隐蔽性，获得的电子证物，需要借助Encase、FTK和取证大师等专业化分析软件，经过专业人员的分析和鉴定，才能成为可见的证据。证据分析的方法很多，应根据安全事件的类型和具体情况，来进行针对性的选用。

6 电子数据取证研究中的关键技术

6.1 蜜罐(honeypot)技术

蜜罐技术是一种主动防御技术，“蜜罐是一种信息系统资源，其价值在于被未授权和非法的使用”［6］，从蜜罐的这个定义中可以看出来，蜜罐的价值就在于被攻击者访问和攻击，所以理论上任何对于蜜罐的访问都是未经授权的，任何出入蜜罐的流量都是非善意的。蜜罐的种类很多，如具备模拟不同网络协议栈和服务功能的低交互(low-interaction)蜜罐，用于捕捉蠕虫和缓冲区溢出攻击的高交互(high-interaction)蜜罐，以及用于信息内网敏感信息保护的蜜标(honeytokens)等。蜜罐的主要作用有两点，一是通过监视攻击者对蜜罐的访问、攻击的过程，了解攻击者的攻击动机、使用的方法、采用的技术和工具，实现对于攻击全过程的取证，二是通过将攻击引向蜜罐自身，耗费了攻击资源，从而迟滞和阻止了对于真正信息系统的攻击，实现对信息资产的保护。

6.2 数据恢复技术

数据恢复按照恢复手段的不同，可以分为文件恢复、固件恢复、介质恢复以及磁力显微(Magnetic force microscopy，MFM)恢复［7］等:

*文件恢复:针对使用一般删除命令删除的文件，通过R-studio、Final Data等工具可以进行恢复;

*固件恢复:固件损坏硬盘中的数据，可以采用固件回写的方法进行恢复;

*介质恢复:电路或者机械结构出现故障而磁介质完好的硬盘，可以通过更换故障部件的方法进行恢复;

*磁力显微恢复:磁力显微恢复是一种深度数据恢复技术，源于扫描探测显微技术(Scanning Probe Microscopy SPM)，是进行数据恢复时，使用一个加装在弹性悬臂上的锋利磁力探针，将探针悬浮在需要恢复的磁介质样品表面，探针与检测样品漏磁场进行交互，通过悬臂带动探针在样品表面进行移动，检测不同位置处的漏磁力，这是磁力关于位置的函数:

再利用光学干涉仪或者隧道传感器检测悬臂的位置，然后将样品表面所有位置点及其该位置点的磁力完整记录下来，这样能够形成表面漏磁场强度的分布函数:

该函数反映的是样品表面整体漏磁场强度分布情况，通过这些数据可以恢复出样品中残留的数据信息。

6.3 数据销毁技术

数据销毁分为逻辑销毁和物理销毁，逻辑销毁中最常用的技术是数据擦除，即采用随机数覆盖的方式来销毁数据，国际上关于数据擦除的标准有:美国海军标准NAVSO P-5239-26-RLL，美国国防部DoD 5220.22-M，Peter Gutmann算法等，这些方法核心都是使用0、1或者伪随机序列，反复多次地对需要擦除的存储区域进行数据覆盖，不同方法，覆盖的次数各不相同;此外，采用消磁技术对磁介质存储器进行信息擦除，也是一种常用的逻辑销毁方式。物理销毁是指对存储介质进行直接物理损毁，如焚烧或者粉碎。

7 电子数据取证技术的新特点

作为一种新兴的技术领域，数据取证是当今信息安全领域的研究和应用热点之一，信息安全技术特别是信息技术的飞速发展，也深刻影响着数据取证技术的发展方向，数据取证技术的发展呈现如下的新特点。

7.1 取证技术体系标准化

标准化是取证结果公正性和科学性的保证，特别是数据取证这种高度流程化的技术，取证技术体系的标准化包括取证主体标准化、取证工具标准化和取证流程标准化等［8］，取证主体标准化就是要求从事取证工作的机构和人员必须具备国家或者行业认定的合格资质;取证工具标准化就是要求取证工具必须满足一定的技术规范，并且针对取证工具还要有标准的检测与校准方法，建立了相应的评估标准;由于电子证据的特殊性，取证流程是否标准规范直接影响取证结果的完整性与客观性，只有严谨的工作程序与完善的技术手段，才能有效地保障取证结果的有效公正。

7.2 取证对象日益多样化

1984年，美国联邦调查局(FBI)成立计算机分析响应组(CART，Computer Analysis and Response Team)开展取证工作时，取证对象还只是单台的计算机设备。如今，随着互联网技术的突飞猛进，特别是近年来以云存储为代表的云计算技术和移动智能终端的大规模使用，传统的桌面终端、基于Android系统和IOS系统的手机等移动智能终端都互联而成为云终端，智能终端的使用和普及带来了诸多安全问题，针对智能终端的信息犯罪活动也日益猖獗，网银失窃、木马吸费、隐私泄露等安全事件层出不穷，智能终端的安全防护及取证技术目前也成为研究的热点［9］。取证对象从最初的单台设备发展到跨地区甚至跨越国界，伸展到互联网的各个角落。这种对象的多样化，是取证技术当前面临的严峻挑战，也为取证技术发展提出了新的课题。

8 研究电子数据取证技术对于电网信息安全的意义

数据取证技术在保障电网信息安全方面起着十分关键的作用。首先是打击计算机及网络犯罪的需要，近年来，针对电网信息网络的网络攻击愈演愈烈，建立有效的数据取证技术手段，及时发现黑客进行网络攻击的证据，能够有效打击和遏制犯罪行为，震慑犯罪分子;其次，研究电子数据取证技术，能够分析攻击者的攻击过程，剖析黑客的技术手段，从而采用更有针对性的预防措施，提高信息安全防护的水平，增强信息安全防护的能力。此外，研究电子数据取证技术，还能促进取证相关技术在电网信息安全中的应用推广，如电子数据取证中的常用数据恢复数据及销毁技术，对于保证关键业务数据的可用性和保密性，起着独特而关键性的作用。

9 结束语

近年来，数据取证技术在预防打击网络犯罪、净化网络环境、保障关键数据安全、解决知识产权纠纷方面得到了广泛的应用，取得了良好的效果，电子数据作为一种新的证据种类，已列入了新版的《刑事诉讼法》和《民事诉讼法》中，在法律上得到明确的认可。随着数据取证技术研究和应用不断深入，必将在信息安全防护工作中发挥越来越独特和重要的作用。

［1］丁丽萍，王永吉.计算机取证的相关法律技术问题研究［J］.软件学报，2005，16(2):260-275.

［2］Farmer D，Venema W.Computer forensics analysis class handouts［EB/OL］.http://www.fish.com/forensics/class.html.2014.

［3］Kevin Mandia，Chris Prosise＆ Matt Pepe.Incident response＆ computer forensics second edition［M］.Osborne/McGraw-Hill，2003.

［4］U.S.Department of justice office of justice programs.electronic crime scene investigation:a guide for first responders［EB/OL］.https://www.ncjrs.gov/pdffiles1/nij/187736.pdf.2014.

［5］International organization on digital evidence(IOCE).digital evidence:standards and principles［EB/OL］.http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm.2014.

［6］Lance spitzner honeypots:catching the insider threat［EB/OL］.http://craigchamberlain.com/library/insider/Honeypots%20-%20%20Catching%20the%20Insider%20Threat.pdf.2014.

［7］Gutmann P.Secure deletion of data from magnetic and solid-state memory.in proceedings of the 6th USENIX Security Symposium.San Jose，California:USENIX，1996.77～90［EB/OL］.https://www.usenix.org/legacy/publications/library/proceedings/sec96/full_papers/gutmann/.2014.

［8］刘建军，陈光宣.电子取证技术体系研究［J］.网络安全技术与应用，2013(5):8-10.

［9］付忠勇，赵振洲.电子取证现状及发展趋势［J］.计算机与网络，2014(10):67-70.