淺議計(jì)算機(jī)取證及網(wǎng)絡(luò)行為取證

摘要:由于互聯(lián)網(wǎng)的異構(gòu)性和復(fù)雜性，對(duì)網(wǎng)絡(luò)行為的分析和挖掘也成為一個(gè)復(fù)雜的課題。由于互聯(lián)網(wǎng)的規(guī)模巨大，如何在有限的資源限制條件下，盡可能多地揭示網(wǎng)絡(luò)的信息也是網(wǎng)絡(luò)行為研究的一個(gè)值得關(guān)注的方向。對(duì)于計(jì)算機(jī)取證學(xué)來講，網(wǎng)絡(luò)行為取證的難點(diǎn)不僅在于上述限制，各種安全問題、資源限制問題、準(zhǔn)確度問題都會(huì)在取證學(xué)中有所反映。本論文探討了網(wǎng)絡(luò)行為取證中的若干問題，通過背景分析和理論探討提出了問題研究的迫切性，理論上的可行性，并致力于其性能、準(zhǔn)確性的對(duì)比。

關(guān)鍵詞:計(jì)算機(jī)取證學(xué) 網(wǎng)絡(luò)行為取證

1 取證學(xué)研究背景

現(xiàn)在美國(guó)至少有70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室，對(duì)于計(jì)算機(jī)取證學(xué)的研究也走在比較前沿的方向。通常取證專家除了可以在實(shí)驗(yàn)室內(nèi)靜態(tài)分析從犯罪現(xiàn)場(chǎng)獲取的計(jì)算機(jī)或者其他的數(shù)據(jù)，也可以動(dòng)態(tài)跟蹤數(shù)據(jù)的發(fā)生、發(fā)展和消亡，試圖從中找出誰、在什么時(shí)間、從哪里、以什么方式進(jìn)行了什么非法活動(dòng)。

計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段，前者主要是執(zhí)法的方式進(jìn)行，后者則嚴(yán)重依賴于對(duì)物理數(shù)據(jù)的分析。

物理證據(jù)獲取是指調(diào)查人員來到計(jì)算機(jī)犯罪或入侵的現(xiàn)場(chǎng)，尋找并扣留相關(guān)的計(jì)算機(jī)硬件，達(dá)到數(shù)據(jù)獲取的目的;信息發(fā)現(xiàn)是指從在犯罪現(xiàn)場(chǎng)獲取的原始數(shù)據(jù)(包括文件，日志等)中尋找可以用來證明或者反駁某些揣想或者假設(shè)的證據(jù)。與其他證據(jù)一樣，電子證據(jù)必須是真實(shí)、可靠、完整和符合法律規(guī)定的。而關(guān)于電子證據(jù)的法律問題的研究同時(shí)在發(fā)展，現(xiàn)有的法律基礎(chǔ)是薄弱的，本文不會(huì)在這里潑墨太多。

物理證據(jù)獲取及數(shù)據(jù)分析是全部取證工作的基礎(chǔ)，因?yàn)楝F(xiàn)場(chǎng)的情況復(fù)雜，取證必須由專業(yè)人員來進(jìn)行，在獲取物理證據(jù)時(shí)最重要的工作是保證存到的原始證據(jù)不受任何破壞，同時(shí)證據(jù)的收集更全面。無論在任何情況下，調(diào)查者都必須牢記。

不同的案例對(duì)信息發(fā)現(xiàn)的要求是不一樣的，與案件的性質(zhì)和對(duì)一方造成的損失等因素息息相關(guān)。在有些情況下，只需找到關(guān)鍵的文件、圖片或郵件就可以了，在其他時(shí)候則可能要求重現(xiàn)計(jì)算機(jī)在過去工作的細(xì)節(jié)(比如入侵取證)。在電視劇《越獄》里一塊硬盤被從河里發(fā)現(xiàn)，通過電鏡靜態(tài)分析，警官找到了一些犯罪傾向并進(jìn)行了阻止，此時(shí)取證的難點(diǎn)在于從損毀的硬盤上恢復(fù)原始數(shù)據(jù)，其難度可想而知。

計(jì)算機(jī)證據(jù)具有數(shù)字性、高技術(shù)含量、脆弱性、多態(tài)性、交互性、復(fù)合性、動(dòng)態(tài)性幾個(gè)特點(diǎn)，與數(shù)據(jù)的信息特性高度相關(guān)，表明其高科技屬性。

基于計(jì)算機(jī)證據(jù)的以上特征，我國(guó)有的法學(xué)專家建議，把計(jì)算機(jī)證據(jù)作為一個(gè)獨(dú)立的證據(jù)種類或者用“電、磁、光記錄物”取代視聽資料作為一個(gè)證據(jù)種類以涵蓋視聽資料和計(jì)算機(jī)證據(jù)。而網(wǎng)絡(luò)行為取證又由于其動(dòng)態(tài)特性，使得其難度比其他計(jì)算機(jī)取證領(lǐng)域的難度要高，也值得我們投入精力去研究。

針對(duì)取證的多樣性，有些研究已經(jīng)開始了循環(huán)取證的研究，對(duì)取證進(jìn)行抽象。

目前除TCT 和EnCase 以外，被大量使用的取證工具還有DiskSearch 32，DiskSig，DM，DRIVESPY，F(xiàn)ileCNVT，F(xiàn)orensiX，GetSlack 等等，大多是基于磁盤和文件的取證工具。

2 現(xiàn)有研究存在的問題

取證的成功與否與諸多因素有關(guān)，但是現(xiàn)有取證學(xué)的研究還存在諸多問題，首先是取證條件的限制，其次是諸多反取證技術(shù)的發(fā)展甚至超過了取證技術(shù)的發(fā)展。

2.1 取證的條件 現(xiàn)在計(jì)算機(jī)取證學(xué)找到犯罪證據(jù)的過程還比較原始，處于初級(jí)階段，主要是因?yàn)檎业椒缸锏淖C據(jù)需要具備三個(gè)條件:

2.1.1 有關(guān)犯罪的電子證據(jù)必須沒有被覆蓋。

比如硬盤上的數(shù)據(jù)被多次物理刪除和格式化了，如何恢復(fù)是一個(gè)難題，依賴于現(xiàn)有的硬盤修復(fù)手段可能會(huì)無效，借助于掃描電鏡查看每次磁頭讀寫時(shí)磁疇的晶相差異，有可能恢復(fù)該數(shù)據(jù)，此時(shí)恢復(fù)數(shù)據(jù)的成本就比較高昂。如果是U盤上的數(shù)據(jù)被覆蓋，現(xiàn)在可以想到的方法還沒有見到奏效的例子。如果原始數(shù)據(jù)都沒有拿到，自然證據(jù)也就無法立足。

2.1.2 取證軟件和手段必須能夠找到這些數(shù)據(jù)。

獲得物理載體，電子證據(jù)也沒有被覆蓋，但是如何從大量的數(shù)據(jù)源利找到與事件相關(guān)的部分，排除干擾，也是非常必須的。對(duì)于一些場(chǎng)合，有效地信息往往只是滄海一粟，如何挖掘有效的信息是不被數(shù)據(jù)淹沒的重要研究方向。

2.1.3 取證人員必須能夠知道文件的內(nèi)容，并且能夠證明它們和犯罪有關(guān)。

2.1.4 取得的證據(jù)必須能夠得到法律的認(rèn)可。

這一點(diǎn)也至關(guān)重要。如果找到目標(biāo)文件，卻發(fā)現(xiàn)該文件是加密的，如何解開這個(gè)文件就是一個(gè)難點(diǎn)。PGP加密的文件的暴力破解還有待于理論的發(fā)展，但是取得證據(jù)的要求卻時(shí)不我待。解開文件后要證明文件內(nèi)容和犯罪相關(guān)也是一個(gè)重要研究?jī)?nèi)容。

2.2 反取證技術(shù) 反取證技術(shù)的出現(xiàn)對(duì)于取證技術(shù)的進(jìn)行是致命的，就好像矛和盾，反取證技術(shù)是盾，取證技術(shù)是矛，盾牌太堅(jiān)實(shí)，矛就顯得無用武之地。但是這對(duì)于取證學(xué)的研究和發(fā)展卻是必須的，反取證技術(shù)為取證學(xué)提供了新方向和練兵場(chǎng)。

簡(jiǎn)單地說，反取證就是刪除或者隱藏證據(jù)使取證調(diào)查無效，任何使得取證失效的行為都可以看作是反取證技術(shù)。

數(shù)據(jù)擦除是最有效的反取證方法。它是指清除所有可能的證據(jù)(索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)，甚至是通過強(qiáng)力磁力來給硬盤消磁)。原始數(shù)據(jù)不存在了，取證自然就無法進(jìn)行。現(xiàn)在已有反取證工具包TDT(The Defiler’s Toolkit)專門設(shè)計(jì)了兩款用于數(shù)據(jù)擦除的工具軟件Necrofile 和Klismafile。Necrofile用于擦除文件的信息和數(shù)據(jù)，它直接將TCT 工具包中檢查索引節(jié)點(diǎn)狀態(tài)據(jù)為己用，消除刪除的文件索引信息，它把所有TCT 可以找到的索引節(jié)點(diǎn)的內(nèi)容用特定的數(shù)據(jù)覆蓋，同時(shí)它還會(huì)用隨機(jī)數(shù)重寫其相應(yīng)的數(shù)據(jù)區(qū);Klismafile 用于擦除目錄中的殘存信息，它從目錄文件的入口開始尋找所有被刪除的目錄項(xiàng)，然后用零覆蓋滿足特定條件的目錄項(xiàng)內(nèi)容。Klismafile不是一個(gè)完美的解決工具，因?yàn)楸凰薷暮蟮哪夸浳募袝?huì)出現(xiàn)目錄項(xiàng)大小不正常的情況，當(dāng)然現(xiàn)在還沒有工具做這項(xiàng)檢查。NEC推出過一個(gè)消磁機(jī)器，在一個(gè)強(qiáng)磁場(chǎng)的作用下，任何數(shù)據(jù)都會(huì)蕩然無存。

為了逃避取證，計(jì)算機(jī)犯罪者還會(huì)把暫時(shí)還不能被刪除的文件偽裝成其他類型(例如庫文件)或者把它們隱藏在圖形或音樂文件中;也有人把數(shù)據(jù)文件藏在磁盤上的隱藏空間中，比如，反取證工具Runefs 就利用TCT 工具包不檢查磁盤壞塊的特點(diǎn)，把存放敏感文件的數(shù)據(jù)塊標(biāo)記為壞塊來逃避取證。這類技術(shù)統(tǒng)稱為數(shù)據(jù)隱藏。

數(shù)據(jù)隱藏僅僅在取證者不知道到哪里尋找證據(jù)時(shí)才有效，所以它僅適用于短期保存數(shù)據(jù)。一旦取證者發(fā)現(xiàn)了這條隱藏的通道，數(shù)據(jù)將會(huì)直接暴露，因此為了長(zhǎng)期保存數(shù)據(jù)，必須把數(shù)據(jù)隱藏和其他技術(shù)聯(lián)合使用，比如使用別人不知道的文件格式或加密(包括對(duì)數(shù)據(jù)文件的加密和對(duì)可執(zhí)行文件的加密)。

加密數(shù)據(jù)文件的作用已經(jīng)為我們所熟知了，通過對(duì)原始文件進(jìn)行數(shù)學(xué)變換來達(dá)到數(shù)據(jù)隱藏的目的。而對(duì)可執(zhí)行文件加密是因?yàn)樵诒蝗肭值闹鳈C(jī)上執(zhí)行的黑客程序無法被隱藏，而黑客又不想讓取證人員反向分析出這些程序的作用。盡管對(duì)可執(zhí)行文件加密的具體方法隨處理器的能力和操作系統(tǒng)的不同而發(fā)生變化，但基本思想是相同的:運(yùn)行時(shí)先執(zhí)行一個(gè)文本解密程序來解密被加密的代碼，而被解密的代碼可能是黑客程序，也可能是另一個(gè)解密程序。

使用水印技術(shù)保護(hù)和取證是反取證技術(shù)得一個(gè)克星。

2.3 取證的工具和過程標(biāo)準(zhǔn)化 由于取證學(xué)上處于初級(jí)階段，所以對(duì)于取證的工具和過程標(biāo)準(zhǔn)化的工作才顯得更加重要。取證工具和過程的標(biāo)準(zhǔn)化有利于減少取證過程中犯錯(cuò)的幾率，少走彎路，提高取證的準(zhǔn)確性和可靠性。但是取證需要組織和機(jī)構(gòu)大量的投入，包括工具的研究，需要投入大量的金錢和人力物力;標(biāo)準(zhǔn)的制定，法律的認(rèn)可都有待于研究者的參與與改進(jìn)。

特別地，由于沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，軟件的使用者和研究者很難對(duì)其有效性和可靠性進(jìn)行比較，導(dǎo)致所有的工作都處于摸索階段，軟件的開發(fā)和功能也只能根據(jù)開發(fā)者自己的經(jīng)驗(yàn)來進(jìn)行，移植性也有待于考證。

如果沒有標(biāo)準(zhǔn)化的工作，就沒有任何機(jī)構(gòu)對(duì)計(jì)算機(jī)取證機(jī)構(gòu)和工作人員的資質(zhì)進(jìn)行認(rèn)證，權(quán)威性受到質(zhì)疑，其作為證據(jù)的特性也會(huì)大打折扣。

國(guó)外已經(jīng)有一些標(biāo)準(zhǔn)化的例子。國(guó)內(nèi)學(xué)者也開始重視取證學(xué)及其標(biāo)準(zhǔn)化的研究工作。

2.4 安全問題 除此之外，黑客利用Root Kit(系統(tǒng)后門、木馬程序等)，繞開系統(tǒng)日志或者利用竊取的密碼冒充其他用戶登錄，充分利用受控及其的資源來為所欲為，使取證調(diào)查變得更加困難。

涉及到安全問題時(shí)，取證所面臨的法律風(fēng)險(xiǎn)更加巨大，因?yàn)榘踩珕栴}可能是導(dǎo)致行為發(fā)起者是被陷害的善意第三人，此時(shí)獲得的“證據(jù)”是不能作為有效證據(jù)的。但是安全問題本身就非常復(fù)雜，也沒有一個(gè)非常完備的安全解決方案，特別是作為自然人的社會(huì)個(gè)體在自由的復(fù)雜環(huán)境下，其安全特性依賴于個(gè)體的安全意識(shí)、所使用的計(jì)算機(jī)系統(tǒng)自身的安全性和網(wǎng)絡(luò)的安全性來共同保證的，而這些方面都是安全脆弱的，所以安全問題對(duì)取證學(xué)的影響巨大，如果這個(gè)方面沒有做好，與計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)的取證學(xué)的全面發(fā)展可能是舉步維艱。

2.5 網(wǎng)絡(luò)行為的復(fù)雜性 互聯(lián)網(wǎng)已經(jīng)融入日常生活，而網(wǎng)民數(shù)量群體巨大，自我保護(hù)能力差，人性的弱點(diǎn)在面對(duì)這個(gè)虛擬的沒有管制的社會(huì)的時(shí)候會(huì)暴露無遺，其帶有深厚的社會(huì)的烙印，使得網(wǎng)絡(luò)行為異常復(fù)雜，很多行為是否屬于犯罪都有待于法律的討論和完善。

而基于這樣的網(wǎng)絡(luò)的犯罪的隱密性性強(qiáng)，你不知道與你聊天的“人”的身份;犯罪的靈活性高，不管是什么時(shí)候，什么地方，凡接入網(wǎng)絡(luò)的時(shí)候，就為網(wǎng)絡(luò)犯罪提供了基礎(chǔ)設(shè)施;犯罪的高技術(shù)含量，一根電話線可以控制小到一個(gè)機(jī)場(chǎng)的飛機(jī)起降、大到交通的指揮甚至是核武器的發(fā)射，其危害也是巨大的。近期針對(duì)網(wǎng)絡(luò)金融的犯罪日趨廣泛，危害程度也在日益加深。最后，缺少管制和應(yīng)對(duì)措施，使得犯罪的心理特別囂張，各種私欲得到無限制地膨脹，沒有節(jié)制的時(shí)候就會(huì)引發(fā)犯罪。

網(wǎng)絡(luò)行為取證研究的難點(diǎn)諸多，對(duì)于投入的要求也非常高。

2.5.1 難以追蹤

2.5.2 網(wǎng)絡(luò)行為的復(fù)雜性 除了正常的網(wǎng)絡(luò)行為，一些危及網(wǎng)絡(luò)安全的行為如掃描、DDoS攻擊、發(fā)垃圾郵件也在網(wǎng)上大量存在，近期這些行為因?yàn)榻?jīng)濟(jì)利益的原因已經(jīng)自動(dòng)化了;蠕蟲、木馬、病毒、黑客等，安全威脅的解決任重道遠(yuǎn)。

2.5.3 數(shù)據(jù)的海量特性 由于接入費(fèi)用的日益低廉和帶寬的日益增長(zhǎng)，主干網(wǎng)絡(luò)1G-40Gbps，已經(jīng)到達(dá)網(wǎng)絡(luò)采集設(shè)備的極限;可以想象這些數(shù)據(jù)保存下來的存儲(chǔ)開銷和分析時(shí)的資源開銷，其分析的時(shí)效性已經(jīng)受到影響。

2.5.4 動(dòng)態(tài)特性 數(shù)據(jù)稍縱即逝，網(wǎng)絡(luò)上的實(shí)時(shí)流信息如何保存;新技術(shù)的出現(xiàn)使得以前的取證系統(tǒng)結(jié)構(gòu)難以適應(yīng)變化;ADSL的IP地址易變;僵尸網(wǎng)絡(luò)的動(dòng)態(tài)存在使得獲取的“證據(jù)”難以獲得法律的認(rèn)可。法律上難以成為直接證據(jù)。

2.5.5 地理分散特性 網(wǎng)絡(luò)行為的交互在地理上是分散的，比如P2P下載，可能涉及跨地域、跨國(guó)的協(xié)同追蹤。行為人在虛擬社會(huì)中的全局性流動(dòng)也使得局部的分析失效。

2.5.6 利益集團(tuán)的角逐 網(wǎng)絡(luò)的易用性和普及性使得其作為基礎(chǔ)設(shè)施的特性，對(duì)經(jīng)濟(jì)、政治、金融、科技、生活等各種社會(huì)現(xiàn)象的影響日益增強(qiáng)，各種社會(huì)的沉渣在網(wǎng)絡(luò)里以新的形式泛濫，對(duì)其管理的呼聲日益高漲。

基于計(jì)算機(jī)的取證研究已經(jīng)展開，但是網(wǎng)絡(luò)行為取證也有人開始展開研究，其動(dòng)態(tài)特性和復(fù)雜性不應(yīng)該是阻難網(wǎng)絡(luò)行為取證的攔路石，而應(yīng)該是墊腳石。