浅议计算机取证及网络行为取证

浅议计算机取证及网络行为取证

马建军

马建军（同济大学北京网络行业协会电子数据司法鉴定中心）

摘要：由于互联网的异构性和复杂性，对网络行为的分析和挖掘也成为一个复杂的课题。由于互联网的规模巨大，如何在有限的资源限制条件下，尽可能多地揭示网络的信息也是网络行为研究的一个值得关注的方向。对于计算机取证学来讲，网络行为取证的难点不仅在于上述限制，各种安全问题、资源限制问题、准确度问题都会在取证学中有所反映。本论文探讨了网络行为取证中的若干问题，通过背景分析和理论探讨提出了问题研究的迫切性，理论上的可行性，并致力于其性能、准确性的对比。

关键词：计算机取证学网络行为取证

1取证学研究背景

现在美国至少有70%的法律部门拥有自己的计算机取证实验室，对于计算机取证学的研究也走在比较前沿的方向。通常取证专家除了可以在实验室内静态分析从犯罪现场获取的计算机或者其他的数据，也可以动态跟踪数据的发生、发展和消亡，试图从中找出谁、在什么时间、从哪里、以什么方式进行了什么非法活动。

计算机取证包括物理证据获取和信息发现两个阶段，前者主要是执法的方式进行，后者则严重依赖于对物理数据的分析。

物理证据获取是指调查人员来到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件，达到数据获取的目的；信息发现是指从在犯罪现场获取的原始数据(包括文件，日志等)中寻找可以用来证明或者反驳某些揣想或者假设的证据。与其他证据一样，电子证据必须是真实、可靠、完整和符合法律规定的。而关于电子证据的法律问题的研究同时在发展，现有的法律基础是薄弱的，本文不会在这里泼墨太多。

物理证据获取及数据分析是全部取证工作的基础，因为现场的情况复杂，取证必须由专业人员来进行，在获取物理证据时最重要的工作是保证存到的原始证据不受任何破坏，同时证据的收集更全面。无论在任何情况下，调查者都必须牢记。

不同的案例对信息发现的要求是不一样的，与案件的性质和对一方造成的损失等因素息息相关。在有些情况下，只需找到关键的文件、图片或邮件就可以了，在其他时候则可能要求重现计算机在过去工作的细节(比如入侵取证)。在电视剧《越狱》里一块硬盘被从河里发现，通过电镜静态分析，警官找到了一些犯罪倾向并进行了阻止，此时取证的难点在于从损毁的硬盘上恢复原始数据，其难度可想而知。

计算机证据具有数字性、高技术含量、脆弱性、多态性、交互性、复合性、动态性几个特点，与数据的信息特性高度相关，表明其高科技属性。

基于计算机证据的以上特征，我国有的法学专家建议，把计算机证据作为一个独立的证据种类或者用“电、磁、光记录物”取代视听资料作为一个证据种类以涵盖视听资料和计算机证据。而网络行为取证又由于其动态特性，使得其难度比其他计算机取证领域的难度要高，也值得我们投入精力去研究。

针对取证的多样性，有些研究已经开始了循环取证的研究，对取证进行抽象。

目前除TCT和EnCase以外，被大量使用的取证工具还有DiskSearch32，DiskSig，DM，DRIVESPY，FileCNVT，ForensiX，GetSlack等等，大多是基于磁盘和文件的取证工具。

2现有研究存在的问题

取证的成功与否与诸多因素有关，但是现有取证学的研究还存在诸多问题，首先是取证条件的限制，其次是诸多反取证技术的发展甚至超过了取证技术的发展。

2.1取证的条件现在计算机取证学找到犯罪证据的过程还比较原始，处于初级阶段，主要是因为找到犯罪的证据需要具备三个条件：

2.1.1有关犯罪的电子证据必须没有被覆盖。

比如硬盘上的数据被多次物理删除和格式化了，如何恢复是一个难题，依赖于现有的硬盘修复手段可能会无效，借助于扫描电镜查看每次磁头读写时磁畴的晶相差异，有可能恢复该数据，此时恢复数据的成本就比较高昂。如果是U盘上的数据被覆盖，现在可以想到的方法还没有见到奏效的例子。如果原始数据都没有拿到，自然证据也就无法立足。

2.1.2取证软件和手段必须能够找到这些数据。

获得物理载体，电子证据也没有被覆盖，但是如何从大量的数据源利找到与事件相关的部分，排除干扰，也是非常必须的。对于一些场合，有效地信息往往只是沧海一粟，如何挖掘有效的信息是不被数据淹没的重要研究方向。

2.1.3取证人员必须能够知道文件的内容，并且能够证明它们和犯罪有关。

2.1.4取得的证据必须能够得到法律的认可。

这一点也至关重要。如果找到目标文件，却发现该文件是加密的，如何解开这个文件就是一个难点。PGP加密的文件的暴力破解还有待于理论的发展，但是取得证据的要求却时不我待。解开文件后要证明文件内容和犯罪相关也是一个重要研究内容。

2.2反取证技术反取证技术的出现对于取证技术的进行是致命的，就好像矛和盾，反取证技术是盾，取证技术是矛，盾牌太坚实，矛就显得无用武之地。但是这对于取证学的研究和发展却是必须的，反取证技术为取证学提供了新方向和练兵场。

简单地说，反取证就是删除或者隐藏证据使取证调查无效，任何使得取证失效的行为都可以看作是反取证技术。

数据擦除是最有效的反取证方法。它是指清除所有可能的证据(索引节点、目录文件和数据块中的原始数据，甚至是通过强力磁力来给硬盘消磁)。原始数据不存在了，取证自然就无法进行。现在已有反取证工具包TDT(TheDefiler’sToolkit)专门设计了两款用于数据擦除的工具软件Necrofile和Klismafile。Necrofile用于擦除文件的信息和数据，它直接将TCT工具包中检查索引节点状态据为己用，消除删除的文件索引信息，它把所有TCT可以找到的索引节点的内容用特定的数据覆盖，同时它还会用随机数重写其相应的数据区；Klismafile用于擦除目录中的残存信息，它从目录文件的入口开始寻找所有被删除的目录项，然后用零覆盖满足特定条件的目录项内容。Klismafile不是一个完美的解决工具，因为被它修改后的目录文件中会出现目录项大小不正常的情况，当然现在还没有工具做这项检查。NEC推出过一个消磁机器，在一个强磁场的作用下，任何数据都会荡然无存。

为了逃避取证，计算机犯罪者还会把暂时还不能被删除的文件伪装成其他类型(例如库文件)或者把它们隐藏在图形或音乐文件中；也有人把数据文件藏在磁盘上的隐藏空间中，比如，反取证工具Runefs就利用TCT工具包不检查磁盘坏块的特点，把存放敏感文件的数据块标记为坏块来逃避取证。这类技术统称为数据隐藏。

数据隐藏仅仅在取证者不知道到哪里寻找证据时才有效，所以它仅适用于短期保存数据。一旦取证者发现了这条隐藏的通道，数据将会直接暴露，因此为了长期保存数据，必须把数据隐藏和其他技术联合使用，比如使用别人不知道的文件格式或加密(包括对数据文件的加密和对可执行文件的加密)。

加密数据文件的作用已经为我们所熟知了，通过对原始文件进行数学变换来达到数据隐藏的目的。而对可执行文件加密是因为在被入侵的主机上执行的黑客程序无法被隐藏，而黑客又不想让取证人员反向分析出这些程序的作用。尽管对可执行文件加密的具体方法随处理器的能力和操作系统的不同而发生变化，但基本思想是相同的：运行时先执行一个文本解密程序来解密被加密的代码，而被解密的代码可能是黑客程序，也可能是另一个解密程序。

使用水印技术保护和取证是反取证技术得一个克星。

2.3取证的工具和过程标准化由于取证学上处于初级阶段，所以对于取证的工具和过程标准化的工作才显得更加重要。取证工具和过程的标准化有利于减少取证过程中犯错的几率，少走弯路，提高取证的准确性和可靠性。但是取证需要组织和机构大量的投入，包括工具的研究，需要投入大量的金钱和人力物力；标准的制定，法律的认可都有待于研究者的参与与改进。

特别地，由于没有统一的标准和规范，软件的使用者和研究者很难对其有效性和可靠性进行比较，导致所有的工作都处于摸索阶段，软件的开发和功能也只能根据开发者自己的经验来进行，移植性也有待于考证。

如果没有标准化的工作，就没有任何机构对计算机取证机构和工作人员的资质进行认证，权威性受到质疑，其作为证据的特性也会大打折扣。

国外已经有一些标准化的例子。国内学者也开始重视取证学及其标准化的研究工作。

2.4安全问题除此之外，黑客利用RootKit(系统后门、木马程序等)，绕开系统日志或者利用窃取的密码冒充其他用户登录，充分利用受控及其的资源来为所欲为，使取证调查变得更加困难。

涉及到安全问题时，取证所面临的法律风险更加巨大，因为安全问题可能是导致行为发起者是被陷害的善意第三人，此时获得的“证据”是不能作为有效证据的。但是安全问题本身就非常复杂，也没有一个非常完备的安全解决方案，特别是作为自然人的社会个体在自由的复杂环境下，其安全特性依赖于个体的安全意识、所使用的计算机系统自身的安全性和网络的安全性来共同保证的，而这些方面都是安全脆弱的，所以安全问题对取证学的影响巨大，如果这个方面没有做好，与计算机和网络相关的取证学的全面发展可能是举步维艰。

2.5网络行为的复杂性互联网已经融入日常生活，而网民数量群体巨大，自我保护能力差，人性的弱点在面对这个虚拟的没有管制的社会的时候会暴露无遗，其带有深厚的社会的烙印，使得网络行为异常复杂，很多行为是否属于犯罪都有待于法律的讨论和完善。

而基于这样的网络的犯罪的隐密性性强，你不知道与你聊天的“人”的身份；犯罪的灵活性高，不管是什么时候，什么地方，凡接入网络的时候，就为网络犯罪提供了基础设施；犯罪的高技术含量，一根电话线可以控制小到一个机场的飞机起降、大到交通的指挥甚至是核武器的发射，其危害也是巨大的。近期针对网络金融的犯罪日趋广泛，危害程度也在日益加深。最后，缺少管制和应对措施，使得犯罪的心理特别嚣张，各种私欲得到无限制地膨胀，没有节制的时候就会引发犯罪。

网络行为取证研究的难点诸多，对于投入的要求也非常高。

2.5.1难以追踪

2.5.2网络行为的复杂性除了正常的网络行为，一些危及网络安全的行为如扫描、DDoS攻击、发垃圾邮件也在网上大量存在，近期这些行为因为经济利益的原因已经自动化了；蠕虫、木马、病毒、黑客等，安全威胁的解决任重道远。

2.5.3数据的海量特性由于接入费用的日益低廉和带宽的日益增长，主干网络1G－40Gbps，已经到达网络采集设备的极限；可以想象这些数据保存下来的存储开销和分析时的资源开销，其分析的时效性已经受到影响。

2.5.4动态特性数据稍纵即逝，网络上的实时流信息如何保存；新技术的出现使得以前的取证系统结构难以适应变化；ADSL的IP地址易变；僵尸网络的动态存在使得获取的“证据”难以获得法律的认可。法律上难以成为直接证据。

2.5.5地理分散特性网络行为的交互在地理上是分散的，比如P2P下载，可能涉及跨地域、跨国的协同追踪。行为人在虚拟社会中的全局性流动也使得局部的分析失效。

2.5.6利益集团的角逐网络的易用性和普及性使得其作为基础设施的特性，对经济、政治、金融、科技、生活等各种社会现象的影响日益增强，各种社会的沉渣在网络里以新的形式泛滥，对其管理的呼声日益高涨。

基于计算机的取证研究已经展开，但是网络行为取证也有人开始展开研究，其动态特性和复杂性不应该是阻难网络行为取证的拦路石，而应该是垫脚石。