论文部分内容阅读
摘 要:本文从计算机取证技术的现状入手,分析了当前主要的计算机取证应用技术,并引出了完整的计算机取证系统架构,展望了计算机取证的发展。
关键词:计算机取证;取证技术;取证系统
中图分类号:D918.2
计算机取证又称计算机法医学,是研究如何对计算机、网络入侵与犯罪的证据进行获取、保存、分析和出示的科学技术。新刑诉法将电子数据作为刑事诉讼证据的种类之一,电子证据的效力和作用已经得到法律的认可。由于电子证据的易失性、易被篡改、伪造、破坏、毁灭等特性,如何在实施计算机取证过程中做到取证的准确和可靠,必须要遵守一定的规范和原则。
1 计算机取证技术现状
在国外,尤其是欧美等计算机发达的国家,打击计算机犯罪已有二三十年历史,在计算机取证方面积累了相当的经验,有许多专门的计算机取证部门、研究机构和公司。各研究机构与公司所开发的计算机取证产品几乎覆盖了电子证据的获取、保全、分析和归档的全过程。美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机取证产品约有80%产自美国、英国。
国内计算机取证研究尚处在初步阶段,研究的方向也多以使用量较大(如:介质分析软件)和填补进口产品缺陷(如:虚拟仿真、易载助手、在线取证、手机取证)的软件产品为主,硬件研发尚不太成熟。特点是使用简单、贴合业务应用(如Foxmail、QQ、下载软件的解析)、符合国内使用习惯,但和进口产品相比尚缺乏深度。
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,计算机取证的研究领域已经越来越广泛。从近年来国际市场上出现的多种工具可以发现,同时支持Windows,MacOS,Linux三个平台的取证工具越来越多,这标志着多平台分析取证是未来计算机取證分析工具的发展方向。计算机虽然已经非常普及,但手机的拥有量和更新换代速度更令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子数据,让世界各国计算机取证研究机构不得不全力应对。值得一提的是厦门美亚柏科、上海盘石软件、北京瑞源等机构针对国内软件及系统的取证调查研究,其在自动化取证、智能取证领域都有各自的特色,与欧美之间的研究差距再逐步缩小。
2 计算机取证技术分析
现阶段常用的计算机取证技术按取证对像分为计算机类(包括光存储介质类、移动介质存储类)、手机类两大类。按取证领域分为网络型和单机型两种情况,也可以说成是动态型或静态型两种情况。网络型主要是指对运行在互联网上计算机进行取证分析并最终做出鉴定,例如网络赌球、黑客攻击、偷盗虚拟币、网络色情等,该类案件的特点是动态、实时、网络连接、涉及人员广、涉及地域广,取证分析多在事件进行过程中。单机型是指对非涉及互联网的单机、服务器或单位内部网络的计算机、服务器进行取证分析。该类案件的特点是静态、非实时或实时性不强,涉及人员少,取证分析多在事件发生后。
这里主要谈一下单机型的计算机取证,其主要应用到的取证技术大致有数据获取、综合分析、数据恢复、密码破解、虚拟仿真、逻辑分析、数据备份擦除等几大类。这些技术种类从技术层面可以分为逻辑型取证、物理型取证、关联型取证三种情况。逻辑型取证是相对于物理型取证而言,指不需要对取证设备进行元件级拆卸或物理修复,不需要对获得的数据进行数据编辑即可得到需要数据的取证分析方法。同理,物理型取证是相对于逻辑型取证而言的,是指需要对取证设备进行元件级拆卸(如硬盘物理修复、无尘实验室建设、手机芯片拆除等)或物理修复(如Data Compass?、光盘修复机等)或数据编辑(如Winhex、Finaldata、easyrecovery等)后才能获得需要数据的取证分析方法。关联型取证是指需要在获得的数据间进行关联性逻辑分析,才能获得需要数据的取证分析。此三种取证分析方法并非孤立单纯的,而是需要结合起来使用。实践中经常同时使用以上三种取证分析方法,才能获得我们需要的数据。
在取证分析过程中要充分考虑各种存储介质的记录方式、分区格式、文件系统及数据的编码结构和加密方法等。不同的记录方式、文件系统、分区格式,不同的数据编码结构和加密方法需要使用不同的业务应用软件去加载解析。现阶段计算机取证鉴定工作中常见的操作系统有windows、Macintosh、Linux、Unix、FreeBSD等。其中以windows操作系统最为常见,Macintosh操作系统最为特殊。在电子取证领域支持windows操作系统的业务应用软件一般均支持Linux、Unix、FreeBSD操作系统。Macintosh操作系统需要单独的业务应用软件来处理。支持Windows、Linux、Unix、FressBSD操作系统的应用软件也有部分支持Macintosh操作系统如EnCase等,但处理深度相对有限。
3 如何构建完整的计算机取证系统
电子数据被纳入法定证据种类之一,是适应时代发展、科技进步的必然结果。在实施计算机取证如何做到取证的准确和可靠,如何保证取证中的电子证据合规有效,如何规避在电子取证实施过程中的安全风险,是计算机取证领域研究亟待解决的问题,而构建安全可靠的计算机取证系统,是解决这一问题的有效途径。国内计算机取证的应用尚处在初步阶段,进入国内的国外取证软件和硬件产品时间相对较短,所以除使用量较大、进入较早的综合分析软件外其余的多为英文界面,英文使用操作手册,即使汉化后的综合分析软件也不例外。据不完全了解,目前国外大部分在国内销售的取证软件(综合分析软件除外,由于使用较多在国内已经具有了基本的培训和技术支持能力)尚没有在国内建立正规的培训机构和技术支持机构,国内具有电子取证系统培训能力的机构也很少,并且尚不完善。这一切都为在探索中建设的完备的计算机取证系统带来了不小的麻烦也为将来的使用和升级带来了不小的麻烦。
计算机取证的应用多为取证软件的应用,在现有的技术资料、技术支持和培训能力的情况下,相对使用难度大、学习周期长,而计算机技术和计算机取证技术的发展和更新比较快,建设需要资金多。根据以上分析,在计算机取证系统建设中应采取整体规划、分步实施的方法,笔者建议遵循以下原则:第一步:首先实现对最常见文件系统、分区格式存储介质数据进行获取、加载分析。第二步:实现对其它文件系统、分区格式存储介质数据进行获取、加载分析和部分物理型取证分析。第三步:实现关联型取证分析和物理型取证分析。
4 结束语
世界各国电子证据技术研究和发展,带动了中国计算机取证技术的研究和发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。2004年11月在北京由北京人民警察学院、中国科学院软件研究所和北京市公安局网络信息安全监察处联合举办了首届全国计算机取证技术研讨会。2005年4月1日在北京人民警察学院成立了中国电子学会计算机取证专家委员会并召开工作会议。2009、2012年全国刑事技术标准化技术委员会电子物证检验分技术委员会相继出台了一些列电子物证检验技术规范和检验规程。现在越来越多的科研机构活跃在我国计算机取证领域,相信再发展几年,中国的计算机取证技术会取得自己的一片天空。
参考文献:
[1]本刊编辑部.电子取证实验室建设谈[J].信息网络安全,2010(11).
[2]殷联甫.计算机取证技术[M].北京:科学出版社,2008.
作者单位:焦作市人民检察院,河南焦作 454002;修武县人民检察院,河南修武 454350
关键词:计算机取证;取证技术;取证系统
中图分类号:D918.2
计算机取证又称计算机法医学,是研究如何对计算机、网络入侵与犯罪的证据进行获取、保存、分析和出示的科学技术。新刑诉法将电子数据作为刑事诉讼证据的种类之一,电子证据的效力和作用已经得到法律的认可。由于电子证据的易失性、易被篡改、伪造、破坏、毁灭等特性,如何在实施计算机取证过程中做到取证的准确和可靠,必须要遵守一定的规范和原则。
1 计算机取证技术现状
在国外,尤其是欧美等计算机发达的国家,打击计算机犯罪已有二三十年历史,在计算机取证方面积累了相当的经验,有许多专门的计算机取证部门、研究机构和公司。各研究机构与公司所开发的计算机取证产品几乎覆盖了电子证据的获取、保全、分析和归档的全过程。美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机取证产品约有80%产自美国、英国。
国内计算机取证研究尚处在初步阶段,研究的方向也多以使用量较大(如:介质分析软件)和填补进口产品缺陷(如:虚拟仿真、易载助手、在线取证、手机取证)的软件产品为主,硬件研发尚不太成熟。特点是使用简单、贴合业务应用(如Foxmail、QQ、下载软件的解析)、符合国内使用习惯,但和进口产品相比尚缺乏深度。
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,计算机取证的研究领域已经越来越广泛。从近年来国际市场上出现的多种工具可以发现,同时支持Windows,MacOS,Linux三个平台的取证工具越来越多,这标志着多平台分析取证是未来计算机取證分析工具的发展方向。计算机虽然已经非常普及,但手机的拥有量和更新换代速度更令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子数据,让世界各国计算机取证研究机构不得不全力应对。值得一提的是厦门美亚柏科、上海盘石软件、北京瑞源等机构针对国内软件及系统的取证调查研究,其在自动化取证、智能取证领域都有各自的特色,与欧美之间的研究差距再逐步缩小。
2 计算机取证技术分析
现阶段常用的计算机取证技术按取证对像分为计算机类(包括光存储介质类、移动介质存储类)、手机类两大类。按取证领域分为网络型和单机型两种情况,也可以说成是动态型或静态型两种情况。网络型主要是指对运行在互联网上计算机进行取证分析并最终做出鉴定,例如网络赌球、黑客攻击、偷盗虚拟币、网络色情等,该类案件的特点是动态、实时、网络连接、涉及人员广、涉及地域广,取证分析多在事件进行过程中。单机型是指对非涉及互联网的单机、服务器或单位内部网络的计算机、服务器进行取证分析。该类案件的特点是静态、非实时或实时性不强,涉及人员少,取证分析多在事件发生后。
这里主要谈一下单机型的计算机取证,其主要应用到的取证技术大致有数据获取、综合分析、数据恢复、密码破解、虚拟仿真、逻辑分析、数据备份擦除等几大类。这些技术种类从技术层面可以分为逻辑型取证、物理型取证、关联型取证三种情况。逻辑型取证是相对于物理型取证而言,指不需要对取证设备进行元件级拆卸或物理修复,不需要对获得的数据进行数据编辑即可得到需要数据的取证分析方法。同理,物理型取证是相对于逻辑型取证而言的,是指需要对取证设备进行元件级拆卸(如硬盘物理修复、无尘实验室建设、手机芯片拆除等)或物理修复(如Data Compass?、光盘修复机等)或数据编辑(如Winhex、Finaldata、easyrecovery等)后才能获得需要数据的取证分析方法。关联型取证是指需要在获得的数据间进行关联性逻辑分析,才能获得需要数据的取证分析。此三种取证分析方法并非孤立单纯的,而是需要结合起来使用。实践中经常同时使用以上三种取证分析方法,才能获得我们需要的数据。
在取证分析过程中要充分考虑各种存储介质的记录方式、分区格式、文件系统及数据的编码结构和加密方法等。不同的记录方式、文件系统、分区格式,不同的数据编码结构和加密方法需要使用不同的业务应用软件去加载解析。现阶段计算机取证鉴定工作中常见的操作系统有windows、Macintosh、Linux、Unix、FreeBSD等。其中以windows操作系统最为常见,Macintosh操作系统最为特殊。在电子取证领域支持windows操作系统的业务应用软件一般均支持Linux、Unix、FreeBSD操作系统。Macintosh操作系统需要单独的业务应用软件来处理。支持Windows、Linux、Unix、FressBSD操作系统的应用软件也有部分支持Macintosh操作系统如EnCase等,但处理深度相对有限。
3 如何构建完整的计算机取证系统
电子数据被纳入法定证据种类之一,是适应时代发展、科技进步的必然结果。在实施计算机取证如何做到取证的准确和可靠,如何保证取证中的电子证据合规有效,如何规避在电子取证实施过程中的安全风险,是计算机取证领域研究亟待解决的问题,而构建安全可靠的计算机取证系统,是解决这一问题的有效途径。国内计算机取证的应用尚处在初步阶段,进入国内的国外取证软件和硬件产品时间相对较短,所以除使用量较大、进入较早的综合分析软件外其余的多为英文界面,英文使用操作手册,即使汉化后的综合分析软件也不例外。据不完全了解,目前国外大部分在国内销售的取证软件(综合分析软件除外,由于使用较多在国内已经具有了基本的培训和技术支持能力)尚没有在国内建立正规的培训机构和技术支持机构,国内具有电子取证系统培训能力的机构也很少,并且尚不完善。这一切都为在探索中建设的完备的计算机取证系统带来了不小的麻烦也为将来的使用和升级带来了不小的麻烦。
计算机取证的应用多为取证软件的应用,在现有的技术资料、技术支持和培训能力的情况下,相对使用难度大、学习周期长,而计算机技术和计算机取证技术的发展和更新比较快,建设需要资金多。根据以上分析,在计算机取证系统建设中应采取整体规划、分步实施的方法,笔者建议遵循以下原则:第一步:首先实现对最常见文件系统、分区格式存储介质数据进行获取、加载分析。第二步:实现对其它文件系统、分区格式存储介质数据进行获取、加载分析和部分物理型取证分析。第三步:实现关联型取证分析和物理型取证分析。
4 结束语
世界各国电子证据技术研究和发展,带动了中国计算机取证技术的研究和发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。2004年11月在北京由北京人民警察学院、中国科学院软件研究所和北京市公安局网络信息安全监察处联合举办了首届全国计算机取证技术研讨会。2005年4月1日在北京人民警察学院成立了中国电子学会计算机取证专家委员会并召开工作会议。2009、2012年全国刑事技术标准化技术委员会电子物证检验分技术委员会相继出台了一些列电子物证检验技术规范和检验规程。现在越来越多的科研机构活跃在我国计算机取证领域,相信再发展几年,中国的计算机取证技术会取得自己的一片天空。
参考文献:
[1]本刊编辑部.电子取证实验室建设谈[J].信息网络安全,2010(11).
[2]殷联甫.计算机取证技术[M].北京:科学出版社,2008.
作者单位:焦作市人民检察院,河南焦作 454002;修武县人民检察院,河南修武 454350