計算機取證技術綜述

【摘要】計算機取證技術已經人們生活息息相關，越來越多的國家及科研機構、學校正在加強該技術的研究。文中介紹了計算機取證技術的相關知識，接著列出研究現狀及相關產品，最后提出了研究方向。

【關鍵詞】計算機取證技術；研究現狀；研究方向

1.引言

計算機取證學涉獵計算機科學與技術、刑事偵查學和法學三大學科，它是一門較為綜合的交叉學科。隨著網絡技術、計算機科學與技術及移動通信技術的飛速發展，相關技術也廣泛地滲入了社會的各個領域，三大技術使用門檻降低，越來越多的普通民眾享受著新興技術提供的無限便利。然而，許多資深黑客、甚至是有一點點計算機技術的初學者利用網絡技術、計算機技術及移動通信技術做著違法的勾當，嚴重損害了人們的經濟利益。計算機取證學為狠狠打擊這些違法犯罪行為提供有利的法律證據，越來越多的國家及各國科研機構、學校正在加強該學科的研究。

2.計算機取證相關知識

2.1 概念

計算機取證概念首次提出是在1991年，距今已有20多年的時間。當時，它由計算機專家國際聯盟（IACIS）在美國召開的會議上闡明。簡單地說，計算機取證就是對犯罪嫌疑人遺留在計算機中的證據進行提取、存儲、鑒定和歸檔的過程。提取出的證據被稱為數字證據或電子證據。當然，提取的電子證據必須是全面的、可靠的、具有法律效力的。

伴隨著網絡技術、計算機科學與技術及移動通信技術三大技術的快速發展，計算機取證概念已被擴充。按照國家法律條文規定，具有取證資格的人員將存在于計算機本身、相關外部設備及網絡傳輸介質中的或存在于移動通訊設備中的證據進行提取、存儲、鑒定和歸檔的過程。比如網絡設備接入記錄、防火墻日志、系統日志、文件修改記錄、電子郵件、通訊記錄，甚至一張不顯眼的圖片或將可以成為打擊犯罪的強有力證據。

2.2 分類

按照取證源分類，分為計算機主機取證、網絡取證及其他電子通訊設備取證三類。 來自計算機主機取證、網絡取證、其他電子通訊設備的證據類型均可分為硬件數據和軟件數據。比如寄存器數據、硬盤盤片數據、用戶創建的文檔、軟件使用記錄等來自于計算機主機取證；交換機或路由器上存在的記錄、IDS日志、通信信道上的數據記錄來自于網絡取證；而電子通訊設備證據來源有手機、PAD設備中存在的密碼、地址簿、計劃任務表或SIM卡里存放的含有日期時間標記的視頻、文檔等信息等。

按照取證時刻分類，分為靜態取證和動態取證兩類。計算機靜態取證也被稱為事后取證、被動取證；計算機動態取證也被稱為實時取證、主動取證。由于電子證據有易失性特點，取證人員如果僅單一地憑借計算機靜態取證技術無法滿足為當今網絡、計算機及移動通訊設備取證的需要。為更全面地獲取電子證據，靜、動態取證技術兩者結合已經成為必然趨勢。比如，在組網時，建立DMZ區域聯合蜜罐、蜜網技術形成主動防御區域。該防御區域既可以對入侵行為進行阻止， 又可以完成對入侵行為事后的分析，為獲得全面的電子證據奠定了基礎。

2.3 取證步驟

取證步驟包括保護目標、證據確定、收集、保護、分析和歸檔等六個步驟。保護目標系統是指鎖定疑似取證源進而起到保護證據的作用。確定和收集證據提取目標系統中的潛在證據，這與在提取普通物證的過程類似，需要取證人員有專業知識且非常細心，以免遺漏一些對打擊犯罪嫌疑人十分有力的證據。證據保護指必須保證被提取出的證據在提交過程未被篡改，否則無法確保電子證據的有效性。證據分析的目的是利用一些已有的法則、規則將潛在證據中合法的、有效的證據找出，為歸檔做準備。歸檔是整個取證過程中的最后一步，這階段存放電子證據的編號可以借鑒較為成熟的普通物證存放編號法則來編寫存放編號，便于呈堂時電子證據的查找。以上六個步驟環環相扣，缺一不可。

3.計算機取證技術現狀及相關產品

國外計算機取證技術研究起步早于我國，已形成理論體系，建立了計算機取證實驗室用來調查恐怖襲擊和計算機犯罪，并且有公司推出了已在使用的應用產品。Security Focus和Forensics Focus兩大國際著名的網絡安全站一直在跟蹤國際上最新的取證技術前沿知識并為全球從事取證的研究人員提供交流平臺。我國計算機取證的研究與實踐仍處起步階段，國內許多科研機構及高校已致力于取證技術研究，取證公司推出了取證相關產品及配套的解決方案，取證工具逐步智能、專業和自動化，但相關法律法規仍待健全。國家十五科技攻關項目電子數字證據鑒定技術、國家863項目電子物證分析保護技術、取證重放技術等方面全方位開展了研究。每年都有以計算機取證為主題的國際學術會議召開，各國取證專家齊聚一堂，為取證技術的發展提供導向。

國內外較為常用的取證技術有數據保護、恢復、挖掘技術、磁盤鏡像拷貝技術、內存信息獲取技術、信息過濾技術、IDS技術、網絡逆向追蹤、信道信息盲取證技術、手機信息取證。倘若犯罪分子使用反取證技術實施犯罪，而取證人員如果單一使用上述技術，很難實現全面提取電子證據。比如黑客常常使用控制國內肉雞的方法完成后續不可告人的入侵目的，或使用代理跳板方法控制國外肉雞，實現跨國網絡攻擊。即便是取證人員利用追蹤技術查獲IP，只會顯示肉雞地址，黑客實現了自身非法入侵痕跡不被發現，案件偵破將陷入僵局。再有，不法分子將非法鏈接或支付信息做成二維碼吸附手機用戶的話費或與捆綁的銀行卡中的金額，如果僅僅依靠單一取證手法，無法完成有力打擊犯罪分子的目的。當前國內外取證研究熱門在云計算領域，國內部分學者已經給出了云計算取證方案，中國人民公安大學則加強了在這方面的研究。

較成熟的取證工具有針對計算機及網絡的Encase系統、TCT系統、Netlntercept系統、取證機、取證箱、計算機在線取證系統。EnCase基于 Windows 界面的取證應用程序，功能包括建立保存案例、建立證據文件等；TCT基于 Unix 系統的主機的取證程序，可以對運行著的主機進行信息捕獲并分析；Netlntercept系統絡取證系統可支持60 多種網絡協議格式并產生詳細的報告。山東省科學院計算中心研發的計算機在線取證系統與國際前沿研究水平同步，在同類系統研究中達到領先水平。針對移動通訊設備取證的手機取證專用系統，廈門美亞柏科出品的FL-900實驗室級手機取證塔主要應用于實驗室取證和現場取證中。網絡上提供了針對計算機取證技術愛好者的免費軟件，比如Helix包含內核信息、硬件檢測等信息；Wireshark針對網絡通信，可查看有無可疑信息發出； Live View首要為用戶現有系統創建一個虛擬機，并結合開源的Live View軟件使用；OpenFilesView只占82.88k，但可以羅列出系統上所有基于本地或網絡的文件。

4.計算機取證技術研究方向

隨著網絡犯罪案例的日益增多，如計算機詐騙、竊取和篡改個人信息、電子商務糾紛、手機詐騙，作為打擊網絡犯罪的計算機取證技術也逐漸走進普通百姓的生活之中。計算機取證技術的發展遭遇了眾多攔路虎，網絡技術的發展導致網絡取證猶如大海撈針，計算機科學與技術的發展導致硬件、軟件取證困難重重，移動通訊技術的發展導致定向取證技術步履維艱，加之反取證技術的阻撓，取證技術舉步維艱。

取證技術面對海量、動態的數據，如何快速獲取、實時分析和有效存儲是取證技術亟待解決的問題。無論這些數據是來自網絡、計算機、還是來自移動通訊設備，如何從紛繁復雜的數據里獲取打擊犯罪嫌疑人有力證據，對辦案人員來說是考驗，對研究人員來說是機會。

我國在計算機取證技術方面的提升空間還很大，希望在各機構、學校的努力下，使我國的取證技術達到世界領先水平。

參考文獻

[1]劉文儉.淺談計算機取證技術[J].電腦知識與技術，2010，6（28）：7939-7941.

[2]趙利，王昌華.存儲介質安全取證研究[J].中國人民公安大學學報，2013，4（4）：62-65.

[3]陳光宣，杜彥輝等.云環境下電子取證研究[J].信息網絡安全，2013，8，87-90.

[4]王志鋒.基于信道信息的數字音頻盲取證關鍵問題研究[D].廣州：華南理工大學，2013.