計算機取證技術研究

◆肖俊飛

計算機取證技術研究

◆肖俊飛

（廣西海警第一支隊司令部 廣西 536000）

隨著個人計算機、國際互聯網的應用廣泛普及化、以及其計算能力的快速發展，在全球化通信及信息交換成為現實的同時隨之而來的計算機犯罪行為也日益增多，而存在于計算機及相關外圍設備中的電子證據逐漸成為新的公訴證據之一，所以計算機取證正日益成為各國各研究機構和公司對計算機網絡犯罪的重點研究課題。

計算機取證；電子證據；取證技術；陷阱網絡

0 引言

0.1 計算機取證的概念

計算機取證就是一種可以被法庭采信、且真實可靠有說服力的，其通常來源于電腦及相關設施的電子憑證的確立、歸集、保護、解析、保存和于法庭中進行出示的一系列過程[1]。

由于計算機取證的方式可以應用到涉及大量和其相關的犯罪及其他事故中，如網絡犯罪、盜版、網絡詐騙等，因此其當下為各個公司及政府單位在信息安全方面的最基礎工作。

0.2 電子證據

1 取證的原則

在實際進行犯罪證據取證的時候，一定是要嚴格遵循法律原則的。這些原則也是一定要在計算機取證中進行遵守的：

（1）盡可能早地進行取證，同時要確保證據的完整性；

（2）就證據本身而言必須是“連續性”的，也就是說當證據被提交到法庭的時候，可以表明其是從最原始的前提下獲得且直到傳遞到法庭沒有任何的改變；

（3）在檢查、取證的整個過程都必須處于監督之下。通常來說就是，原告所委派的任何專家進行的任何取證都必須有其他方面進行監督。

2 計算機取證工具及陷阱網絡

2.1 取證工具

在計算機取證的時候，在基于必需的方法、經驗之外，通常還會涉及一些軟件的使用。其中數據的提取、分析應用到的軟件是相關專家需要的最基礎工具。這里面涉及操作系統自帶的部分工具還有特定的相關工具軟件或者是工具包。例如tcpdump、NFR、network等等。

2.2 陷阱網絡

通常情況下被害人都是自系統被入侵之后才會想到去進行證據的收集，進而將犯罪分子繩之以法。然而絕大多數情況下，犯罪分子都會將其留下的蛛絲馬跡進行清除或者隱藏，從而導致取證工作非常的麻煩和煩瑣[2]。

常說的陷阱網絡則是由設置于網絡里面的多個陷阱機及遠程管理端構成。此類設置于網絡中的陷阱機可以通過組合的方式構成一個網絡安全方面的主動防御體系，從而達到提升網絡安全的初衷。

立足上述立法背景存在的現實需求，以《知識產權基本法》的指導思想為指導，《知識產權基本法》立法應當秉持如下原則。

2.2.1陷阱機的概念

陷阱機實際上為一類專門設計來被“攻陷”的網絡、主機，若其被攻入，那么入侵者涉及的任何信息都將被特定的工具記錄下來，從而其將被解析，也可能會成為控告入侵者的證據。

陷阱機是基于網絡開放性這個特性進行設計的。任何系統只要和網絡連接，其都有機會暴露在探知和攻擊之下。

2.2.2 Honeypot

Honeypot:即常說的蜜罐系統。僅從其名稱上就可以知道其是用于吸引入侵者的。其原理是通過模擬一系列常見的漏洞，在操作系統或其他系統上進行設計從而使其形成一個“牢籠”主機，進而最終實現對入侵者進行誘騙。

2.2.3 Honeynet

Honeynet:就是所說的陷阱網絡，是基于對黑客思想進行的相關研究及解析。應用一個隱藏于防火墻之后的網絡體系，從而實現對任何出入數據的關注、獲取和控制。這些數據都作為研究和解析黑客采用的工具、方式、動機的數據源。

3 反取證技術

3.1 反取證

計算機取證涉及的理論及相關的軟件為2018年度在涉及的計算機安全方面最為奪目的成果，但是就當下采用的電腦取證涉及的理論、具體軟件進行深入的分析不難發現，眼下其所涉及的理論、工具都還有非常巨大的提升空間。

3.2 反取證技術分類

簡單來說當下反取證技術大致可以分為三類：1)數據清除;2)數據隱藏;3)數據加密。并且此三類技術還可以進行聯合應用，這就極大地提升了取證工作的難度和準確性。

3.2.1數據擦除

數據擦除作為當下反取證的最佳方式，其所指的是清除任何潛在的證據（索引、目錄、塊數據等涉及的原始數據）。當原始數據無法獲得的情況下取證就理所應當無法開展。

反取證工具包（TDT）中有兩種專門用于數據清除的工具軟件，分別為Necrofile、Klismafile。前者常用于對文件信息、數據的清除，其通過將TCT中設計的索引節點包含的工具進行占據，將任何TCT有可能發現的索引節點的相關信息進行覆蓋，并且還用隨機數進行相關數據塊的重寫[3]。

3.2.2數據隱藏

基于取證逃脫的意圖，罪犯會將短時間無法迅速刪除掉的文檔進行偽裝，比如在文件類型方面的偽裝、隱藏到圖形、影像、音樂等文件中；還有一些將此類數據文件放到磁盤自身的隱藏空間里面，例如runefs這種反取證工具即利用了TCT無法對磁盤損壞處進行檢查的原理，從而將相關的犯罪數據或文件標記為壞塊實現逃脫取證的目的。

3.2.3加密數據

加密數據文件相關的作用已是耳熟能詳的了。采用這種方式是因為被入侵的電腦或主機中運行了入侵者運行的不可能被隱藏的程序，但是入侵者又想逃脫取證人員通過反向分析的方式獲得這些程序的功能。雖然這些文件加密具體涉及的方式可以根據涉及的主機CPU及操作系統的改變而改變，然而其基本的原理是一致的；即運行之初通過一個文本解密的程序對加密代碼進行解密，其解密的代碼可能是其他程序、黑客程序、甚至其他的解密程序。

4 取證的局限性

在上述內容之外，在進行計算機取證時涉及的其他局限也是非常有研究價值的，例如磁盤數據恢復、反向工程、解密等等。

4.1 磁盤數據恢復

應用磁力顯微鏡（MFN），此類專業工具可對磁盤中的一層或兩層數據進行恢復。因為數據是非常難做到精確地寫回原位，因此即便采用多次的隨機覆蓋之后，其原數據還是有被找出的可能性。

4.2 反向工程

對被黑主機上存在的可以進行解析的程序進行解析，也是電腦取證工作的重要組成。當下可應用于UNIX系統中的二進制程序展開分析的軟件是極為稀少的，其更適用于程序的調試而非反向工程，尤其是可執行程序在壓縮、加密等技術的應用，導致反向工程難度不斷提升[4]。從而若想從計算機罪犯應用的軟件功能方面進行解析就必須借助于專業的反向分析人員的力量。

4.3 加密技術

伴隨計算機犯罪分子更加傾向于應用加密技術對可能涉及的核心文件進行保存，想要獲得最初始的證據，這就要求取證者對涉及的加密文件進行解密。為此，在進行加密文件的調查時，還是要應用到相關的解密技術。

5 結束語

由于計算機取證自身的局限性和計算機犯罪手段的不斷提高（特別是反取證軟件的出現），使得現在所有的取證技術已經不能完全滿足打擊計算機犯罪的要求了。另外，由于目前的取證軟件的功能都集中在磁盤分析上，而其他的工作還得全部依賴于取證專家人工進行，幾乎造成計算機取證軟件等同于磁盤分析軟件的錯覺。這些情況必將隨著對計算機取證研究工作的深入和新的取證軟件的開發而得到改善。此外，計算機取證技術還會受到其他計算機理論和技術的影響。

[1]李福琳.計算機數據取證修復技術研究[J].信息系統工程，2018.

[2]褚洪波.計算機取證技術及其發展趨勢[J].南方農機，2018.

[3]李亞軒.信息化警務模式下網絡取證技術完善的研究[J].網絡安全技術與應用，2018.

[4]信息犯罪與計算機取證[J].網絡與信息安全學報，2018.