淺談計算機動態(tài)隱秘取證系統(tǒng)

袁尚華

（四川化工職業(yè)技術學院，四川 瀘州 646005）

從上個世紀開始，網(wǎng)絡就走入人們的生活、工作等各個方面，并且發(fā)展越來越迅速，但是，隨著而來的安全問題也越來越受到人們的關注。在網(wǎng)絡案件發(fā)送后，公安部門首先需要取證，由于網(wǎng)絡的廣泛性、多樣性、不定性等特性，從辦案的業(yè)務實際需求出發(fā)，對情報的獲取和案件的偵破需要一套新型能夠自動地進行信息取證、能夠隱蔽地獲取一些使用常規(guī)手段較難獲得的電子證據(jù)、并在取證的過程中具有較高的隱秘性和安全性的取證系統(tǒng)。這類較難獲得的電子證據(jù)包括被取證主機上的各類隱蔽數(shù)據(jù)，如經(jīng)過加密軟件加密的重要文檔以及移動硬盤、密碼、USB盤等外圍設備上的重要數(shù)據(jù)信息。

1 計算機動態(tài)隱秘取證

計算機取證就是研究如何對計算機和網(wǎng)絡犯罪的證據(jù)進行獲取、保存、分析和出示的法律規(guī)范和科學技術。

當系統(tǒng)在預計的計算機和網(wǎng)絡違法犯罪事件正在發(fā)生之時，為了防止違法犯罪事件的進一步惡化，或者及時的收集違法犯罪活動的證據(jù)，采用動態(tài)取證系統(tǒng)主動進行取證的工作方式，即將計算機取證結合到入侵檢測、遠程監(jiān)控等網(wǎng)絡安全工具和網(wǎng)絡體系結構中，在計算機犯罪過程中動態(tài)獲取數(shù)據(jù)并進行分析，實施相應的動作獲取證據(jù)，這種取證方式為動態(tài)取證。這種方法能迅速生成計算機證據(jù)，減少調(diào)查的時間和降低對取證人員的要求。與靜態(tài)取證相比，動態(tài)取證具有主動性、實時性、有效性等特點。

計算機和網(wǎng)絡犯罪活動一般持續(xù)過程比較短暫，涉案的電子證據(jù)也具有一定的"揮發(fā)性"，如存儲重要犯罪證據(jù)的移動硬盤、USB盤等外圍存儲設備，在短時間連入涉案主機后，即被犯罪分子轉移、藏匿、銷毀，這樣就很難取得這類設備中的犯罪證據(jù)。因此，在實際取證業(yè)務中，需要采用計算機動態(tài)隱秘取證。

2 計算機動態(tài)隱秘取證系統(tǒng)整體功能

根據(jù)實際需求出發(fā)，計算機動態(tài)隱秘取證系統(tǒng)應該具有可靠性、隱蔽性、實時性和自動性的特點，并且還需完成以下功能：

2.1 外圍存儲設備監(jiān)控功能。U盤、移動硬盤等外圍存儲設備體積小巧、使用方便，很容易被犯罪分子藏匿、破壞、銷毀，導致這類設備中的重要證據(jù)流失，因此本系統(tǒng)最主要的功能就是對外圍存儲設備連入被取證主機的情況進行監(jiān)控，以實現(xiàn)后續(xù)取證功能。

2.2 為了不讓被取證對象發(fā)覺，保證重要證據(jù)信息或藏匿犯罪證據(jù)不被銷毀，動態(tài)隱秘取證系統(tǒng)必須具有很高的隱蔽性，其中包括取證過程隱蔽、證據(jù)傳輸隱蔽。

2.3 密碼數(shù)據(jù)及密鑰獲取功能。動態(tài)隱秘取證系統(tǒng)能夠通過鍵盤記錄、屏幕截取、密碼分析等技術對被取證主機上的密碼數(shù)據(jù)以及密鑰文件進行收集和獲取。

2.4 取證信息傳輸功能。動態(tài)隱秘取證系統(tǒng)能夠及時的將取證信息通過網(wǎng)絡傳輸給取證人員，以便及時分析證據(jù)，進行后續(xù)取證工作。

2.5 友好的界面和完善的證據(jù)管理，以便于操作和對獲取證據(jù)的后續(xù)分析。

3 使用的關鍵技術及實現(xiàn)

為了能更好的實現(xiàn)系統(tǒng)所具有的功能，本系統(tǒng)采用了移動設備監(jiān)控技術、進程隱藏技術、文件加密技術、數(shù)據(jù)隱秘通信技術和基于NTFS的ADS文件隱藏技術。在此主要分析移動設備監(jiān)控技術。

監(jiān)控移動設備連入主機的方法主要有：GUID枚舉技術、系統(tǒng)消息監(jiān)控技術等，在本系統(tǒng)中主要使用到的是GUID枚舉技術。

所謂 GUID（Globlly Unique Identifier，全球唯一標識符）是同類或同種設備的一種識別碼，它是一個 128 bit(16字節(jié))的整形數(shù)，可以保證在時間和空間上具有唯一性。用上述 API函數(shù)和數(shù)據(jù)結構，可以實現(xiàn)從 GUID到設備路徑的轉換，主要代碼實現(xiàn)如下：

采用 GUID枚舉的方法，其優(yōu)點通過對系統(tǒng)中相應 GUID設備的枚舉，很容易得到該設備的詳細信息，如盤符、接口類型、序列號、產(chǎn)品ID等。但是這種方法的缺點也很明顯，由于GUID具有唯一性，采用移動存儲設備的 GUID只能枚舉出移動存儲設備的信息，如想要得到虛擬磁盤的信息，則需采用虛擬磁盤的 GUID進行枚舉，這樣的程序?qū)崿F(xiàn)效率不高。另外，GUID枚舉技術缺乏觸發(fā)條件，需通過監(jiān)控注冊表或結合前面的系統(tǒng)消息監(jiān)控技術，才能達到監(jiān)控移動存儲設備的目標。

[1]陳龍,王國胤.計算機取證技術綜述 [J].重慶郵電學院學報(自然科學版).2005,17(6):726-732.

[2]黃步根.NTFS系統(tǒng)存儲介質(zhì)上文件操作痕跡分析 [J].計算機工程.2007,33(23):281-283.

[3]李偉斌,王華勇,羅平.通過注冊表監(jiān)控實現(xiàn)木馬檢測 [J].計算機工程與設計.2006,27(12):2200-2222.