用戶本地行為司法鑒定*

趙亞杰，陳 龍

（重慶郵電大學(xué)計算機取證與調(diào)查研究所 重慶 400065）

1 引言

計算機取證在現(xiàn)有的司法實踐中發(fā)揮著越來越重要的作用，隨著證據(jù)理論的不斷發(fā)展，鑒定結(jié)論逐漸成為一些犯罪案件的主要定案證據(jù)[1，2]。如2007年“熊貓燒香”病毒案，就是以針對犯罪分子主機的司法鑒定構(gòu)成定案的主要證據(jù)，從而將犯罪分子繩之以法[2]。當前，隨著案件的復(fù)雜化以及多樣化，使得不僅是刑事犯罪需要用到計算機司法鑒定，民事案件的調(diào)查取證同樣也要用到它。一般而言，用戶的行為都會或多或少地在計算機或相關(guān)系統(tǒng)中留下一些行為痕跡。目前的司法實踐中已出現(xiàn)多種需要對用戶是否實施了某種特定行為進行專門性鑒別的需求，用戶行為鑒定可作為電子數(shù)據(jù)司法鑒定的一個獨立種類，但業(yè)內(nèi)尚未對該類鑒定進行歸納總結(jié)，規(guī)范該類計算機司法鑒定活動對電子數(shù)據(jù)司法鑒定的開展有指導(dǎo)意義。用戶行為整體上可分為兩類：一是用戶本地行為，二是用戶網(wǎng)絡(luò)行為。限于篇幅，本文先討論用戶本地行為鑒定，主要討論Windows平臺，并且假設(shè)在鑒定分析之前已經(jīng)進行了鏡像等必要的準備工作。

2 用戶本地行為鑒定事項

從宏觀上看，用戶行為鑒定主要從幾個方面確認相關(guān)行為：分析用戶行為的時間屬性，查找分析用戶行為實施過程留下的痕跡，分析與該目標行為有關(guān)聯(lián)的行為，分析該行為的前提條件與實施結(jié)果。根據(jù)實際鑒定需求和操作行為的目的，我們將其分為以下幾種鑒定事項 。

·持有電子數(shù)據(jù)。分析、判斷用戶是否在相關(guān)存儲介質(zhì)上存儲有如已知的病毒程序、惡意軟件、公司的機密資料等違法、違規(guī)的電子數(shù)據(jù)文件。根據(jù)具體的鑒定要求，可以涉及文檔、表格、圖片、視頻等，其內(nèi)容可以由人的經(jīng)驗性知識判斷或由普通的工具進行比較來判定。

·軟件安裝及使用。分析、判斷用戶是否在計算機上安裝、使用過某些軟件。

·本地系統(tǒng)資源使用。分析、判斷用戶是否訪問、使用了計算機系統(tǒng)資源，例如，某時間段內(nèi)用戶是否開機，創(chuàng)建、修改、刪除某些數(shù)據(jù)文檔等。

·可移動設(shè)備接入。分析、判斷用戶是否接入過某些可移動設(shè)備。典型的實例是使用U盤、可讀寫光盤及其他存儲介質(zhì)或設(shè)備。

3 用戶本地行為鑒定方法

用戶行為的司法鑒定即針對不同的用戶行為，進行具體分析、檢查、測定，最后提出結(jié)論性意見。針對上述鑒定事項，分別討論如下。

3.1 持有電子數(shù)據(jù)

根據(jù)鑒定需求，對某類信息進行查找分析，必要時先進行數(shù)據(jù)恢復(fù)。依據(jù)實際需要采用關(guān)鍵字查找、縮略圖瀏覽、基于內(nèi)容的分類查找、Hash查找等方法，導(dǎo)出目標數(shù)據(jù)，生成相關(guān)數(shù)字摘要。

3.2 軟件安裝及使用

注冊表信息、殘存的目錄、該軟件關(guān)聯(lián)文件的創(chuàng)建、訪問等方面均可提供相關(guān)證據(jù)信息。如注冊表鍵HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall 給出了安裝的程序列表，有些已卸載的程序還會在這里留下殘跡[5]。如系統(tǒng)中某軟件還存在，可查看最近打開文檔并分析文件訪問情況，管理控制面板中程序的添加和刪除信息。另外，某些軟件只是卸載并未刪除徹底，可以通過查看它殘留的有關(guān)目錄或文件來獲取相關(guān)信息。

3.3 本地系統(tǒng)資源使用

（1）用戶登錄

系統(tǒng)開、關(guān)機將對相關(guān)系統(tǒng)文件進行訪問，注冊表和有關(guān)日志也可能會留下相關(guān)信息，關(guān)注用戶名、用戶類別、用戶權(quán)限等，需要特別關(guān)注最后登錄用戶的有關(guān)信息。例如，注冊表鍵 SAMSAMDomainsAccountusers{RID}的鍵值中存有大量的用戶登錄信息，包括用戶名、用戶登錄次數(shù)、賬戶建立日期、賬戶的最后登錄日期、最后重設(shè)口令的日期及最后一次登錄失敗的日期等[3]。

（2）文件訪問

在文件系統(tǒng)中，有一個重要的文件屬性是時間屬性，以常用的Windows下的文件系統(tǒng)NTFS為例，該文件系統(tǒng)中的時間屬性有4項：文件的創(chuàng)建時間、最后修改時間、最后訪問時間以及MFT修改時間。最后訪問時間是文件操作行為中最敏感的證據(jù)特征。文件操作行為反映在文件的刪除、創(chuàng)建和修改[4]。例如，對文件修改的行為進行鑒定，我們可以首先對目標文件的時間屬性進行分析，確定最后訪問時間。然后對比文件修改行為的特定查看是否有修改的痕跡。最后根據(jù)時間和行為得出結(jié)論：在哪一時間是否對文件進行了修改操作。

（3）打印文件

在Windows中打印文件時，先將其以一個文件或一組文件的形式放到打印隊列目錄中排隊等待打印。通常有兩類打印文件：一類是有關(guān)打印任務(wù)信息的SHD文件，另一類是包括實際打印任務(wù)本身及其相關(guān)頭信息的SPL文件。它們能提供證據(jù)信息，證明打印了什么、誰打印的、什么時候打印的、打印了多少份，甚至打印任務(wù)的內(nèi)容。

3.4 可移動設(shè)備接入鑒定

可移動設(shè)備接入一般會在最近使用文檔以及注冊表中留下相關(guān)信息，對該行為的鑒定可以通過分析注冊表，得到相關(guān)可移動設(shè)備接入記錄，關(guān)注設(shè)備名稱、接入時間，設(shè)備加載等信息。同時，打開最近使用文檔可以查看到最近可移動存儲設(shè)備的接入情況，是否有可移動設(shè)備接入。但一般不顯示具體設(shè)備名稱，只顯示本地系統(tǒng)分配的設(shè)備名稱。例如，對U盤的接入進行鑒定。可以通過查看計注冊表鍵HKLMSYSTEMCurrentControlsetEnumUSBSTOR，該鍵顯示了所有的USB存儲設(shè)備以及相關(guān)接入信息，如接入時間，設(shè)備顯示名稱等[6]。通過這些信息，可以證明相關(guān)設(shè)備的接入行為。

而對于接入后的復(fù)制（U盤）及刻錄（CD）行為，目標文件的時間屬性、設(shè)備的接入時間以及與刻錄行為關(guān)聯(lián)的軟件可提供相關(guān)證據(jù)信息。如可以通過比較文件創(chuàng)建時間與接入時間來證明是否有復(fù)制行為。也可以查看注冊表中是否有相關(guān)刻錄軟件，同時搜索該軟件的編譯文件，來證明是否本機中有刻錄行為。

4 結(jié)束語

本文把用戶行為鑒定作為電子數(shù)據(jù)司法鑒定的獨立鑒定種類，分析了用戶本地計算機操作行為的相關(guān)要素，討論了本地行為的鑒定方法，逐步推動司法鑒定活動的規(guī)范化。其他用戶行為鑒定和執(zhí)業(yè)規(guī)范等方面的內(nèi)容還需要進一步的分析和研究。

1 陳龍，麥永浩，黃傳河等.計算機取證技術(shù).武漢：武漢大學(xué)出版社，2007

2 麥永浩，孫國梓等.計算機取證與司法鑒定.北京：清華大學(xué)出版社，2009

3 Harlan Carvey著.王智慧，崔孝晨等譯.Windows取證分析.北京：科學(xué)出版社，2009

4 Huang Bugen.Analysis of traces on storage media by file operation for NTFS file system.Computer Engineering,2007,33(23):281～283

5 Youngsoo Kim,Dowon Hong.Windows registry and hiding suspects'secret in registry.In:International Conference on Information Security and Assurance,Busan：IEEE Press，2008

6 Kisik Change,Gibum Kim,Kwonyoup Kim,et al.Initial case analysis using windows registry in computer forensics.Future Generation Communication and Networking(FGCN 2007),2008