浅谈信息安全之计算机取证技术

浅谈信息安全之计算机取证技术

艾洪1，钟平峰2

艾洪1，钟平峰2

（1.重庆南岸供电局，重庆400060;2.重庆重邮信科通信技术有限公司，重庆400065）

摘要：计算机取证学属于计算机科学、刑事侦查学和法学的交叉学科，正日益受到各国和科研机构的重视和研究，随着计算机犯罪断网络化和职能化，计算机取证方式由以前的静态取证，渐发展为动态取证，这两种取证方式相互依存，各有侧重。

关键词：计算机；取证学；动态取证；静态取证

中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2010)05-0000-01

TheInformationSecurityofComputerCollectionTechnology

AiHong1，ZhongPingfeng2

(1.ChongqingNan’anPowerSupplyBureau,Chongqing400060,China;2.ChongqingCYITCommunicationTechnologyCo.,Ltd,Chongqing400065,China)

Abstract:Computerforensicsscienceiscomputerscience,criminalinvestigationandlawofthecross-disciplineisincreasingly,subjecttotheattentionofcountriesandresearchinstitutionsandresearch,withthebrokencomputercrimeandfunctionsofnetworking,computerforensicsstaticmethodfromthepreviousevidencegraduallydevelopingtodynamicevidence,bothwaysofevidenceinterdependent,havedifferentemphases.

Keyword:ComputerEvidence;Collection;Dynamicevidencecollection;Staticevidencecollection

一、计算机取证的相关概念

计算机取证技术发展不到20年，其中美国取证技术的发展最具有代表。计算机取证的定义由InternationalAssociationofComputerSpecialists(IACIS)在1991年美国举行的国际计算机专家会议上首次提出。计算机取证也称数字取证、电子取证，是指对取证人员如何按照符合法律规范的方式，对能够成为合法、可靠、可信的，存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。数字证据一般情况下是指关键的文件、图片和邮件，有时候则应要求重现计算机在过去工作中的细节，比如入侵取证，网络活动状态取证等。

电子证据与传统物证相比较，具有技术性、易挥发性、复合型、无形性、脆弱性等特性，动态取证相对静态取证，其电子证据的技术特性在各个方面都要强很多。

二、计算机取证步骤

计算机证据的获取一般分为两大步骤，第一步是实体物理设备或软件系统的获取，即计算机系统的获取，第二步是证据分析。具体操作步骤一般是：保护和勘察现场；证据的保全和收集；恢复证据和分析证据；证据的保存和提交。在实际的调查取证过程中，会面临各种不同的应用环境，静态取证环境和动态取证环境还是有一定的差别的，其取证步骤和方式也有一定的差异。在静态取证环境中，取证人员往往处于被动方式，在案发后才前往犯罪现场，对犯罪现场情况和计算机设备信息毫不知情，不能确定是否能从物理证据中获取有用的电子证据，这是属于事后调查取证摸索和探索的过程，对于时效性的要求不高。在动态取证环境中，要注意单机动态取证和网络动态取证的区别：

（一）单机动态取证其取证环境和静态取证环境差不多，也是属于事后调查取证，但是在取证过程中需要特别注意取证策略和方法，重点获取计算机运行状态信息、内存和缓存交换空间等资料信息。美国计算机紧急事件响应小组(CERT)培训是所使用的教材《计算机取证一第一时间响应人员指南》中就该情况提出了一个取证步骤，其中就特别强调了如何获取、保存计算机运行状态是的相关数据信息，其时效性的要求比静态取证要高一些。

（二）网络动态取证就比较复杂，与静态取证相比，网络取证具有以下特点：1.在网络环境下数据分布广泛，涉及的网络设备比较多，当计算机犯罪发生网络犯罪时，不可避免地在多个地方留下痕迹，而这些痕迹是很难销毁干净的。2.网络上的数据是动态，这个特性也就决定了网络取证的实时性和连续性。3.由于网络的连通性，决定了取证人员可以通过网络实时监听和获取犯罪嫌疑人计算机的网络活动，对其进行不间断的监控，从而收集罪嫌疑人的犯罪电子证据。这个特性相对静态举证具有主动获取证据的特点。

三、计算机取证技术

自从计算机诞生之日起，计算机取证技术和计算机反取证技术之间的对抗就一直存在，并不断升级。为了防止敏感信息被发现，常将系统中带有这些信息的文件加密、隐藏或者删除。

(一)静态取证技术

静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析，主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。目前，国内外对相关技术研究比较多，也有比较成熟的取证软件。

针对计算机静态取证技术，目前反取证技术主要有：数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术，这些技术可以单独使用也可以混合使用。如果采用这些方法消除操作系统中的敏感信息，有可能使取证人员得不到电子证据，给计算机取证工作带来了一定的难度。传统的计算机取证主要针对稳定的数据，包括未删除和已删除的文件、windows注册表、临时文件、交换文件、休眠文件、slack空间、浏览器缓存和各种可移动的介质等。不同于传统的计算机取证，计算机内存取证是从内存中提取信息，这些信息被称为挥发(易失)数据，挥发数据是指存在于正在运行的计算机或网络设备的内存中的数据，关机或重启后这些数据将不复存在。

（二）动态取证技术

因为静态取证技术涉及到基础研究，因此在静态取证中所涉及到的技术大部分都适用动态取证，也是属于动态取证技术中的一部份。在动态取证中最具特设的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术，IP地址获取技术等技术。针对计算机动态取证技术，其反取证技术除包含静态反取证技术的相关内容外，还有以下反取证技术：数据转换技术、数据混淆技术、防止数据创建技术，以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用，这些技术的使用在一定程度上给取证人员带来了一定的困难。

结束语

虽然计算机取证概念从提出到现在已经发展近20年，在国内也发展近10年，但是相对计算机取证技术和反取证技术来说还处于起步研究阶段，越来越多的数据保护、加密、隐藏技术应用于计算机犯罪和反取证。计算机取证环境也越来越复杂，其静态取证和动态取证相互之间的界限也越来越模糊，取证过程的系统化、智能化和合法化将是日后取证技术研究的重要方向。

参考文献：

[1]于波,涂敏.计算机取证分析.计算机与现代化,2006,12

[2]王俊.论计算机取证相关问题．中国司法鉴定,2008,2

[3]戴士剑.计算机取证技术体系研究[A].第二届中国计算机取证技术峰会,2006

[4]张有东,王建东,朱梧梗.反计算机取证技术研究．河海大学学报(自然科学版),2007,55