數字取證的三維過程模型

趙 倩，宋如順

南京師范大學 數學科學學院，南京 245041

數字取證的三維過程模型

趙 倩，宋如順

南京師范大學 數學科學學院，南京 245041

1 引言

在技術時代，電子信息在人們的生活中占據著越來越重要的位置。更多的個人信息、重要的文件等都是用電子設備來保存的，因此，電子設備成為偷竊或其他犯罪行為的目標。犯罪證據不僅是實物還有可能是電子設備中存儲的信息，由于涉及犯罪的電子證據多種多樣，針對不同的電子設備，所采用的取證方法與取證工具也不盡相同，錯誤的處理方法，可能會導致電子證據的丟失和對電子證據真實性和完整性的破壞。

在文獻[1]中，提出了一種三維過程模型，在該模型中，作者從實踐的角度出發(fā)，根據現場可能碰到的電子證據的不同類型、電子證據不同的取證方式（動態(tài)和靜態(tài)取證）以及取證的不同階段建立了一個三維的取證模型。文獻[1]雖然是從實踐的角度出發(fā)，卻沒有考慮到取證人員在取證過程當中所起的重要作用，一個取證過程是否成功，取證人員起著關鍵的作用。文獻[2]中，把取證過程進行了智能化處理，但在檢查階段卻沒能實現智能化，需要調查人員來進行檢查。因此，本文中提出了一個三維過程模型，在該模型中引入了取證團隊的思想，根據電子證據的不同種類，分別對電子證據進行取證，同時在取證過程中實現了自動收集和分析證據的功能，為確保證據的可信性和真實性，本文還在取證過程中加入監(jiān)督過程。

2 模型描述

在每個犯罪案件中，所涉及的電子設備并不是單一的，往往是多種多樣的，不同的電子設備在數字取證的過程中，所使用的收集和分析工具往往是不一樣的，而且在數字取證的各個階段某些活動是需要反復進行的，同時，要想對一個犯罪案件進行數字取證，單靠某一個或某幾個人來完成是不可能的。為解決以上問題，本文基于取證團隊的思想，針對不同電子設備進行取證，并列出常見的一些活動，提出了一個三維取證過程模型。該模型由三個正交軸x，y，z組成一個三維空間，其中x軸代表了電子證據的四種類型（開放的計算機系統、通信系統、嵌入式計算機系統及其他設備）；y軸代表了數字取證過程的五個主要階段（準備階段、收集階段、檢查分析階段、提交階段和結束階段）；z軸則代表了用于各個主要階段的五個主要活動（監(jiān)控、文檔記錄、保存與檢驗、團隊的組建與案件管理及計算機工具的使用）。如圖1所示。

圖1 三維過程模型圖

在現實社會中，任何一個犯罪案件都至少涉及一種電子證據，對于不同類型的電子證據，所采取的收集方法和工具也不一樣。從模型中可以看出，在取證的每一個階段，取證過程會涉及到五個常用的活動和不同的電子證據，因此，取證過程中的任一事件都可以用一個三維向量來表示。特別地，當針對某一類型的電子證據進行取證時，該模型就變成了一個二維的取證過程模型。在該模型中，主要的取證人員，也就是這個取證團隊的領導者——指揮員，是決定取證是否成功的關鍵。下面就針對該三維過程模型進行說明。

2.1 電子證據的種類

在實際的數字取證過程中，電子證據的來源有很多，如計算機、網絡、手機、光盤等，一般來說，可以把這些電子證據分為四類[1]：

（1）開放的計算機系統：主要是指一般意義上的計算機，包括：硬盤、鍵盤、顯示器，它可以是筆記本、臺式機和服務器。在這些設備中，數據一般保存在硬盤中，是電子證據的主要來源。硬盤中的文件可能包括和案件相關的信息，為調查指明方向。

（2）通信系統：包括通信網絡中的傳輸節(jié)點以及正在傳輸中的數據。例如電子郵件的發(fā)送/接收時間，服務器以及路由器的日志都要進行檢查，因為這些都是通信系統的一部分。

（3）嵌入式計算機系統：包括手機、PDA、智能卡、PSP、GPS和其他很多系統。這些設備的檢查可能會對證據的收集有意想不到的幫助。

（4）其他設備：包括光盤、軟盤、U盤，存儲卡等不被納入以上三種類型的電子證據。這些都是生活中人們常常用來存儲重要信息的設備，其中的信息在對證據進行分析的過程中可能會起到重要的作用。

2.2 取證的主要階段

2.2.1 準備階段

在該階段，為了使取證過程能夠順利開展，根據需要，安排了兩個主要的角色，一個是指揮員，另一個是檢查員。在接到案件報警時，指揮員首先派出檢查員去現場查看。檢查員是在第一時間對案件作出反應的人員，其主要任務有：保護現場、確定事件是否發(fā)生（防止誤報）并把現場的基本情況列個清單上報給指揮員。指揮員根據檢查員上報的信息，作出相應的安排。主要任務有：根據上報情況，立即組建取證團隊、安排相應人員準備現場取證工具和派出相應人員去現場提取證據；獲取相應的搜查令；研究相應案件，并對所發(fā)生的事件進行評估，根據經驗對檢查人員給出的清單，列出案件的一個大致輪廓，指揮員還有個最重要的任務就是監(jiān)督、指導整個取證過程。

2.2.2 收集階段

該階段主要是由調查團隊來執(zhí)行的，它分為現場收集證據階段和實驗室收集證據階段，然而不管是在現場收集還是在實驗室收集階段，證據都包括實物證據和電子證據。這是因為在計算機犯罪案件中，證據一般是存放在電子設備中，要想獲得電子證據，首先要對可疑的電子設備進行保存和記錄（與傳統案件中證據的收集相同，這里就不再重復），再對設備中的信息進行提取、保存和記錄。現場收集階段，主要是對現場的可疑證據進行收集，對于在現場由于設備等條件不足，而無法收集的含可疑證據的電子設備，就需要帶到實驗室中進行證據的收集。

在電子證據收集的過程中，由于電子證據的來源多種多樣，對于不同電子證據的種類，需要采用不同的數據收集方法，同時隨著技術的不斷發(fā)展，目前的存儲設備具有很大的容量，而對于系統和網絡數據包中的信息，由于里面含有諸如日志、注冊表之類的信息，信息量很大，同樣需要很大的存儲空間，而且分析起來也比較費時、費力，因此調查員在收集證據之前，可以適當地減輕調查的壓力，根據檢查員提供的信息，結合指揮員在準備階段給出的初始關鍵字，與由案件庫組成的專家系統進行相似案件關鍵字的比對，通過不斷增加的關鍵字，迅速地對信息進行過濾。具體的取證過程如圖2所示。

圖2 取證過程圖

根據案件的不同，收集內容也不盡相同，主要包括：系統的一些基本信息（如：系統狀況、版本號等）；日志、注冊表中的可疑信息（告警信息、錯誤信息等）；以及與可疑信息相關的信息；通過關鍵字過濾后的信息等。兩個事件相關聯指的是兩個事件中至少含有一個相同的因素，在這里把至少含有兩個相同因素的兩個事件稱為事件相關聯。而事件的因素可以用5W1H來表示，即who、when、where、what，why、how，也就是說能清楚、詳細地記錄在什么時間、什么地點、誰因為什么原因，做了什么，是如何做的。

最后，把所有這些收集的證據，都統一存儲到一個設備當中，以方便下面的檢查分析。同時要對該設備進行加密，確保證據的真實性和可信性。

2.2.3 檢查分析階段

檢查與分析是一個不可分割的一個整體，該階段是由檢查分析團隊來執(zhí)行的，主要是對所收集到的可疑證據進行分析，組建證據鏈，還原犯罪事實。面對收集來的成百上千甚至上萬的文件或文件記錄，要想從中發(fā)現有用的證據，可以說是一件浩大的工程，文獻[3]中給出的證據可靠性放大算法提高了取證的效率和準確性，但是對于每個有沖突的證據卻不能顯現出其在所有沖突證據中所占的比重，而且也沒有給出信任因子的極限。因此，本文對證據可靠性放大算法進行了改進，在該算法中沖突極限MCF不再取所有沖突因子的平均值，而是把所有沖突因子加權平均。這樣做就顯現出每個沖突的證據在所有沖突證據中所占的比重，有效地降低了沖突極限MCF，更好地對可疑證據進行了篩選。同時，本文也給出了信任因子極限MRF的計算方法，過濾出大于信任因子極限MRF的證據，從而篩選出最可信的犯罪證據。下面簡單地將算法描述如下：

（1）初始化：C=B=E=P=Φ，其中C表示證據庫。

（2）盡可能多地收集電子證據。

（4）定義＜ci,Ei＞、ci的信任因子 RF(ci)=0，其中 Ei表示ci對應的證據源的集合。

（5）C=C∪B，把新收集的單個證據集B加入到證據庫C中。

（7）定義count=CF(ei)=CF(ej)=count(ei)=count(ej)=0。

（8）Ifei和ej沖突，ThenCF(ei)和CF(ej)則分別加1，count=count+1,count(ei)=count(ei)+1;count(ej)=count(ej)+1,其中CF(ei)和CF(ej)分別表示事件ei和事件ej的沖突因子。

（10）If?e，e∈P，CF(e)≤MCF，Then E=E∪{} e，其中E表示所有可信且不沖突事件的集合。

（11）B=P=Φ，為了減少字符的數量，將B和P清空。

（12）對于?e∈E:{對于事件e中的任一個單一的證據

（14）IfRF(c)≥MRF，ThenP=P∪{c}，篩選出最可信的證據集P。

由于電子證據具有易修改等特點，證據庫中的信息并不一定都是可靠的，為確定收集到的信息就是犯罪的有力證據，需要對收集的信息進行提純，過濾掉那些大于沖突極限MCF的源事件，得到可信的、不沖突的源事件集E，再根據信任因子極限MRF過濾出最可信的證據集P，即是所要尋找的犯罪證據。根據證據，檢查分析人員組建證據鏈對案件進行重構。

2.2.4 提交階段

該階段由指揮員指派參與調查分析的一名人員稱為匯報員來進行，匯報員要整理所有的文件記錄和各個階段得到的結論，并按照法律程序對整個案件的處理過程進行解釋和說明，同時，對案件進行最后的審查和測試。

2.2.5 案件結束

在該階段，指揮員要對整個案件進行總結和分析，并對記錄進行歸檔，同時，案件中的證據和文件記錄要上交檔案庫進行歸檔、保存。

2.3 取證階段涉及的五個活動

（1）監(jiān)控：主要是對取證的全過程進行監(jiān)督，包括人員監(jiān)督以及取證技術的監(jiān)督，可采用雙攝像、拍照等設備進行監(jiān)督。雙攝像即是通過視頻錄制軟件在被取證計算機上對整個取證過程進行實時錄制，同時再通過DV從外部對整個取證過程進行拍攝。

（2）文檔記錄：記錄收集了哪些證據，對其進行了哪些操作，發(fā)現的初始步驟是什么等。

（3）保存與檢驗：在準備階段，保護現場不被破壞，在收集階段保護實物證據和電子證據免受干擾和損害，在檢查分析階段，分析證據的真實性。

（4）團隊的組建與案件管理：該階段主要是由指揮員來完成的，指揮員除了要處理監(jiān)督團隊成員的細節(jié)任務，還要給出整個過程和結果的大方向來避免偏離正確的路徑。在任何與預期重要目標不同的情況下，應盡快找到原因，及時給出引導。當然這也可以通過召開團隊會議來解決。

（5）計算機工具的使用：計算機工具的使用是整個取證過程所不可缺少的一部分，從證據的發(fā)現到呈堂證據的檢查、分析和案件重現都離不開計算機工具的使用。為保證證據的可信度，一般采用目前比較可信的取證工具。

這五個活動經常用在取證過程的各個階段，有利于維護取證過程的質量，并能保證證據的可信性和完整性。

3 小結

本文主要結合實際取證過程中電子證據的多樣性，突出在整個過程中監(jiān)督、記錄、保存和鑒定、案件管理和團隊組建以及計算機工具的使用這五項活動的重要性，并在證據的分析中引入了改進的證據可靠性放大算法對證據進行分析，提高了證據的可靠性和工作效率。該模型的優(yōu)點是：（1）針對不同的案件中涉及的不同證據來源，可以采用不同的證據收集方案，擴大了模型的使用范圍；（2）在收集階段采用了先用工具對證據進行關鍵字的篩選，減少了調查分析人員的工作量；（3）對生產的新的關鍵字以及案件信息，可加入到專家系統中，實現了信息的重復使用，降低了先前對指揮員技術和能力的要求。模型的缺點，首先是在關鍵字生成階段可能需要人工干預，以實現最佳收集效果，這樣雖然顯現了調查團隊的重要性，但只是實現了半自動化，不能達到完全的自動化。如何實現自動化的取證過程，需要繼續(xù)地研究與探討。

[1]薛躍，胡武宏.一種三維的電子證據取證流程模型[J].警察技術，2007.

[2]Ruibin G，Yun T，Gaertner M.Case-relevance information investigation：binding computer intelligence to the current computer forensic framework[J].International Journal of Digital Evidence，2005，4（1）.

[3]Khatir M，Hejazi S M，Sneiders E.Two-dimensional evidence reliability amplification process model for digital forensics[C]// WDFIA'08.Washingtion，DC，USA：IEEE Computer Society，2008：21-29.

[4]蔣平，黃淑華，楊莉莉.數字取證[M].北京：清華大學出版社，2007.

ZHAO Qian,SONG Rushun

School of Mathematical Science,Nanjing Normal University,Nanjing 245041,China

This paper presents a three-dimension digital forensic process model based on emphasizing the importance of forensic numbers and different data sources.In this model,collecting methods are different varying from data source to data source which involved in the event in order to explore the scope of the model used.Meanwhile in this paper the evidence can collect and analyze automatically.Knowledge can re-use.In the phase of investigation and analysis it improves the evidence reliability amplification in order to improve evidence reliability and work effectively.

digital forensic;evidence reliability;digital forensic process

在強調取證人員重要性的基礎上，根據電子證據來源的不同，提出了一個三維過程模型，針對不同的案件中涉及的不同證據來源，可以采用不同的證據收集方案，擴大了數字取證模型的使用范圍，同時實現了證據的自動收集和分析功能，及知識的重復使用功能，并在調查分析階段對證據可靠性放大算法進行了改進，提高了證據的可靠性和工作效率。

數字取證；證據可靠性；數字取證過程

A

TP309

10.3778/j.issn.1002-8331.1108-0253

ZHAO Qian,SONG Rushun.Three-dimension digital forensic process model.Computer Engineering and Applications, 2013,49（5）：93-95.

國家“211工程”建設項目（No.181070H901）。

趙倩（1985—），女，研究生，主要研究領域為數字取證模型；宋如順，男，教授。E-mail：qqqad@163.com

2011-08-22

2011-10-08

1002-8331（2013）05-0093-03

CNKI出版日期：2011-12-09 http://www.cnki.net/kcms/detail/11.2127.TP.20111209.1001.034.html