淺談計算機動態隱秘取證系統

袁尚華

（四川化工職業技術學院，四川 瀘州 646005）

從上個世紀開始，網絡就走入人們的生活、工作等各個方面，并且發展越來越迅速，但是，隨著而來的安全問題也越來越受到人們的關注。在網絡案件發送后，公安部門首先需要取證，由于網絡的廣泛性、多樣性、不定性等特性，從辦案的業務實際需求出發，對情報的獲取和案件的偵破需要一套新型能夠自動地進行信息取證、能夠隱蔽地獲取一些使用常規手段較難獲得的電子證據、并在取證的過程中具有較高的隱秘性和安全性的取證系統。這類較難獲得的電子證據包括被取證主機上的各類隱蔽數據，如經過加密軟件加密的重要文檔以及移動硬盤、密碼、USB盤等外圍設備上的重要數據信息。

1 計算機動態隱秘取證

計算機取證就是研究如何對計算機和網絡犯罪的證據進行獲取、保存、分析和出示的法律規范和科學技術。

當系統在預計的計算機和網絡違法犯罪事件正在發生之時，為了防止違法犯罪事件的進一步惡化，或者及時的收集違法犯罪活動的證據，采用動態取證系統主動進行取證的工作方式，即將計算機取證結合到入侵檢測、遠程監控等網絡安全工具和網絡體系結構中，在計算機犯罪過程中動態獲取數據并進行分析，實施相應的動作獲取證據，這種取證方式為動態取證。這種方法能迅速生成計算機證據，減少調查的時間和降低對取證人員的要求。與靜態取證相比，動態取證具有主動性、實時性、有效性等特點。

計算機和網絡犯罪活動一般持續過程比較短暫，涉案的電子證據也具有一定的"揮發性"，如存儲重要犯罪證據的移動硬盤、USB盤等外圍存儲設備，在短時間連入涉案主機后，即被犯罪分子轉移、藏匿、銷毀，這樣就很難取得這類設備中的犯罪證據。因此，在實際取證業務中，需要采用計算機動態隱秘取證。

2 計算機動態隱秘取證系統整體功能

根據實際需求出發，計算機動態隱秘取證系統應該具有可靠性、隱蔽性、實時性和自動性的特點，并且還需完成以下功能：

2.1 外圍存儲設備監控功能。U盤、移動硬盤等外圍存儲設備體積小巧、使用方便，很容易被犯罪分子藏匿、破壞、銷毀，導致這類設備中的重要證據流失，因此本系統最主要的功能就是對外圍存儲設備連入被取證主機的情況進行監控，以實現后續取證功能。

2.2 為了不讓被取證對象發覺，保證重要證據信息或藏匿犯罪證據不被銷毀，動態隱秘取證系統必須具有很高的隱蔽性，其中包括取證過程隱蔽、證據傳輸隱蔽。

2.3 密碼數據及密鑰獲取功能。動態隱秘取證系統能夠通過鍵盤記錄、屏幕截取、密碼分析等技術對被取證主機上的密碼數據以及密鑰文件進行收集和獲取。

2.4 取證信息傳輸功能。動態隱秘取證系統能夠及時的將取證信息通過網絡傳輸給取證人員，以便及時分析證據，進行后續取證工作。

2.5 友好的界面和完善的證據管理，以便于操作和對獲取證據的后續分析。

3 使用的關鍵技術及實現

為了能更好的實現系統所具有的功能，本系統采用了移動設備監控技術、進程隱藏技術、文件加密技術、數據隱秘通信技術和基于NTFS的ADS文件隱藏技術。在此主要分析移動設備監控技術。

監控移動設備連入主機的方法主要有：GUID枚舉技術、系統消息監控技術等，在本系統中主要使用到的是GUID枚舉技術。

所謂 GUID（Globlly Unique Identifier，全球唯一標識符）是同類或同種設備的一種識別碼，它是一個 128 bit(16字節)的整形數，可以保證在時間和空間上具有唯一性。用上述 API函數和數據結構，可以實現從 GUID到設備路徑的轉換，主要代碼實現如下：

采用 GUID枚舉的方法，其優點通過對系統中相應 GUID設備的枚舉，很容易得到該設備的詳細信息，如盤符、接口類型、序列號、產品ID等。但是這種方法的缺點也很明顯，由于GUID具有唯一性，采用移動存儲設備的 GUID只能枚舉出移動存儲設備的信息，如想要得到虛擬磁盤的信息，則需采用虛擬磁盤的 GUID進行枚舉，這樣的程序實現效率不高。另外，GUID枚舉技術缺乏觸發條件，需通過監控注冊表或結合前面的系統消息監控技術，才能達到監控移動存儲設備的目標。

[1]陳龍,王國胤.計算機取證技術綜述 [J].重慶郵電學院學報(自然科學版).2005,17(6):726-732.

[2]黃步根.NTFS系統存儲介質上文件操作痕跡分析 [J].計算機工程.2007,33(23):281-283.

[3]李偉斌,王華勇,羅平.通過注冊表監控實現木馬檢測 [J].計算機工程與設計.2006,27(12):2200-2222.