計算機網絡取證和調查的科學研究

鄒錦沛　陳航　徐菲

摘要：認為針對計算機犯罪，現代的調查是對電子證據進行智能相關性分析，并發掘同一事件不同證據之間的聯系；而證據分析又包括電子數據證據的分析、對收集的數據和備份進行查找、分折、歸類，以及犯罪現場重建等。提出犯罪現場重建是計算機網絡犯罪調查的重要部分。通過理論和實驗分析，將取證科學應用到網絡犯罪調查上，并以P2P網絡調查作為例子，分析如何通過調查取證來尋找數據的第一個上傳者。認為只有將恰當的法證科學適時應用到電子證據取證調查中，才能夠更好地重構犯罪場景，還原案件真相并實現法律正義。

關鍵詞：電子證據；調查；法證科學；犯罪現場重構

1 計算機法證的概況

1.1 電子證據與取證調查

人們常把由計算機制作的文件和計算機活動日志當作電子證據。根據香港特別行政區的《證據條例》第22A條[1]，一項由計算機制作的文件的陳述，由在有關計算機的運作或有關活動的管理方面身居要職的人，依法簽署的證明書依法證明后，則可在任何刑事法律程序中，接納為該陳述內所述任何事實的表面證據。該證明書對由計算機制作的文件的制作方式予以描述，并在有關法律程序關系的范圍內，說明該文件的性質及內容。

現代的計算機網絡罪行更為復雜[2-4]。犯罪分子不僅竄改計算機記錄，還用計算機來存儲他們的數據，例如：非法金融交易和地址簿。此外，犯罪分子還利用互聯網作為犯罪平臺，例如分布式拒絕服務攻擊、網絡拍賣詐欺、分享受版權保護的作品等。現代計算機網絡犯罪的主要特點是專業性強、有組織、并利用網絡。

傳統的計算機法證取證技術，已無法應對當今的計算機網絡犯罪。現代的調查是對電子證據進行智能相關性分析，并發掘同一事件不同證據之間的聯系。現代的分析證據是指對電子數據證據的分析，對收集的數據和備份進行查找、分折、歸類等。

1.2 計算機法證的發展

計算機法證成立于20世紀70年代，其發展階段可分為：嬰兒期、兒童期和青春期。嬰兒期為1985—1995年，兒童期為1995—2005年，青春期為2005—2010年[6-9]。計算機法證的研究重點是資料恢復，其中最主要是數據恢復、密碼恢復和文件恢復[10]技術。數據恢復指恢復已被移走或刪除的電子邏輯或物理數據，例如一個破碎的硬盤；密碼恢復指處理受密碼保護的原始數據，如密碼加密的文件；文件恢復則嘗試從硬盤內的數據塊的片段恢復刪除的文件。目前，文件恢復技術在計算機法證工作中，是一個主要的工作內容，例如手機的數據恢復[11]。

傳統的法證主要集中在識別和重建。識別包括指紋、DNA和毒品。指紋和DNA被用來識別特定的人，而毒品分析用于確定毒品的化學成分。識別的目的是用來判斷樣品是否來自一個特定的對象，諸如人或毒品。重建[12]則包括犯罪現場重建與彈道重建。犯罪現場重建指試圖重建在犯罪現場所發生的事件，例如重現一宗謀殺案如何發生；而彈道的重建被用來重建從槍炮發射的子彈的軌跡。

計算機法證與傳統法證相似，它們都試圖解答一些問題，如：發生了什么事情？當事人是誰？什么時間、什么地點、如何發生的？這件事情發生的動機是什么？

2 計算機法證犯罪現場重建

在香港特別行政區及世界各地，藏有兒童色情物品是一種犯罪行為。香港地區某犯罪嫌疑人被指控藏有兒童色情物品，警方查獲計算機一臺。

2.1 犯罪現場重建過程

為了進行計算機法證分析，警方按標準的程序檢查檢獲的計算機。這些標準程序基于確立的計算機采證程序，并產生法證克隆、計算哈希算法值、掃描計算機病毒等等。在標準的計算機采證過程后，計算機法證鑒定人將會分析檢獲的計算機硬盤驅動器，并收集電子證據。對于兒童色情物品的案件，電子證據便是兒童色情圖片和動態影像。所以第一步是尋找在計算機內儲存的兒童色情圖片和動態影像，這些會包括：現存的兒童色情圖片和動態影像、恢復刪除的兒童色情圖片和動態影像。圖1顯示了恢復刪除的文件。

執法人員已為兒童色情圖片和動態影像建立哈希值數據庫，計算機法證鑒定人便不需要閱覽個別的兒童色情圖片和動態影像。相反，計算機法證鑒定人只需要把計算機里面的文件的哈希值與數據庫比較。圖2顯示出根據該文件的創建時間和最后寫入的時間的事件恢復過程。 根據這兩個時間戳，文件在2005年2月22日上午12時37分09秒被復制到當前位置。

計算機法證鑒定人試圖從文件中包含的關于文檔的信息，例如創建者、修改的日期和其他細節，和其他計算機活動日志和電子證據，去重建產生該兒童色情圖片和動態影像的經過。例如2004年1月4日，疑犯從互聯網下載童色情圖片和動態影像，并使用信用卡號碼 0000-1111-2222-3333 在網上支付，然后在2009年8月5日備份到外部媒體。

圖3顯示了犯罪現場重建，犯罪嫌疑人在2004年1月2日使用他的信用卡購買在互聯網上的兒童色情物品，然后在2009年8月4日做一個備份到外部硬盤上。

2.2 犯罪現場重建的法證科學

犯罪現場重建之所以重要，是因為在法庭上，計算機法證鑒定人需要給非技術人員（法官和陪審團）解釋 “技術細節”，讓他們做出裁決。法律可能有特定的要求，例如控方需要證明犯罪嫌疑人知悉兒童色情圖片和動態影像儲存在計算機里。許多時候，犯罪嫌疑人的辯解是，兒童色情裸照是被木馬下載的，他并不知道它們為什么在計算機里。辯方可以聘請專家質疑檢察官的說法，或混淆法官和陪審團對“技術細節”的了解。計算機法證鑒定人的證言不僅受到辯方的質疑，還受到法庭的監察。

美國最高法院在Daubert一案裁定，主審法官必須確保接納的科學證言或證據，不但全部切題并且全部可靠。所提出的科學證言須以恰當的驗證方法，獲科學上已知的有力理據支持，具體包括：

（1）通過可靠性測試。

（2）通過同行評審。

（3）提供方法或理論的錯誤率，并在一定范圍之內。

（4）符合標準和控制。

（5）得到普遍接受。

有關的法律也規定專家的科學證言須結合“科學知識”，并就證據的可靠性及可信性立下標準。證據的可靠程度取決于科學上能否驗證。

現代的電子調查是對電子證據進行智能相關性分析并重建犯罪過程，例如通過計算機的所有者、電子簽名、密碼、交易紀錄、郵件、發送服務器的日志、上網IP等計算機特有信息識別體，同其他證據互相印證、相互關聯，然后進行綜合分析。

同時，很多時候電子證據還需要傳統的調查手法相輔助。調查人員在重建罪行時，需要適當考慮其他可能存在的解釋，并在解釋與證據之間進行相互印證。可能在某種假設情況下，需要查找更多的證據；又可能在新的證據下，得出新的假設和解釋。調查人員要把證據互相印證，相互關聯起來進行綜合分析。調查人員要找出與理論假設與證據之間如何構成證實的關系，才能準確地重構犯罪過程。構建假設并驗證就是可以采用的科學方法。

3 P2P網絡中發布者取證調查

我們以Foxy軟件為例，介紹在一個點對點分享（P2P）網絡中，如何通過調查取證找到數據的上傳者，以及何時調查能夠找到數據的最先上傳者。2008年香港艷照門事件中，嫌疑人就是利用Foxy對艷照進行共享，使得藝人的裸照在Foxy網絡中迅速傳播。想要抓捕嫌疑人，需要通過對Foxy進行分析，找到物理世界中的人。

Foxy是一個繁體中文P2P軟件，發行者為一家已于2010年關閉的臺灣公司。該軟件只有正體中文版，沒有英文等其他語言的版本，因此主要流行在臺灣、香港及澳門等使用繁體中文的地區。它利用強制上傳增加分享速度，但用戶無法停止上傳。它沒有路由機制，源頭的私隱（例如IP位址，所在地點）不受保障。它沒有連接加密，連接容易被監視。它容易讓使用者誤設為全機分享，分享用戶所有檔案，每次下載完成后會自動重新分享用戶的所有檔案，并且用戶無法停止。

當Foxy客戶端試圖連接到Foxy網絡，會執行以下任務，如圖4所示。

（1）用戶連接到Foxy的服務器，以獲得一個對等端列表。

（2）服務器回答一個對等的用戶列表。

（3）用戶發送一個PING請求到各個對端。

（4）各個對等端回答一個PING請求到用戶。

（5）用戶現在在Foxy網絡上。

在Foxy網絡中，每個共享文件都使用它的名字。當一個用戶要尋找一個文件，他輸入了一個搜索查詢的文件名（或只是其中的一部分）。查詢信息發送到所有對等端，然后傳遞給其他相鄰對等端。當一個對等端擁有一個文件名和查詢信息字符串相匹配，就回答一個QueryHit消息給發出請求的用戶。QueryHit消息中包含的信息包括IP地址和端口號，共享文件和文件本身的信息。這使用戶能夠建立一個連接到該對等端，并啟動下載。

在接收QueryHit信息以及有關的連接信息，用戶需要先選擇一個文件，并發送一個TCP HTTP GET至承載該文件的等端，請求下載。承載該文件的等端然后回應，并開始發送所請求的數據。

與所有對等網絡的文件共享，所有等端在Foxy網絡中都是同等級的。所有擁有與“Query”請求匹配的副本的等端都回復它的IP地址給請求者。圖5顯示了在P2P網絡中文件的分發種子數據增長曲線。當一個文件被廣泛地分布后想要確認哪個等端是發起者多是不可能的。 也許可以在下列情形中找到：

（1）在peer緩慢的增長期。

（2）分享文件非常大。

在緩慢增長期后找到誰是發起者也是不可能的。在連續監察下，我們認為如果識別到大量關于特定名字的查詢，并且發現大量查詢命中來自同一個IP地址，則很有可能該IP地址就是第1個上傳者。我們進行了一系列相關的實驗， 實驗結果驗證了緩慢增長期的存在。實驗結果如圖6所示。

對于網絡上數據的上傳者，需要進行如下的科學分析：

（1）查清網絡物品的來源。

（2）查清“虛擬嫌疑人”。通過上傳人IP地址（包括靜態IP、動態IP）、上網賬號、密碼及其相關登記資料、通過關聯點分析網上活動軌跡及對資訊內容的分析，判斷行為人的網絡行為、個性特征，鎖定虛擬嫌疑人。

（3）確認“現實嫌疑人”。這一般屬于通常所說的落地調查，即通過詢問嫌疑人，并通過現場搜查、勘驗、檢查及電子數據鑒定確定現實嫌疑人，其中硬盤、手機、日志、光盤的電子數據的固定和提取尤為重要。

4 結束語

現代計算機網絡犯罪調查的重要部分是犯罪現場重建。在計算機網絡取證中，電子證據在犯罪現場重建中往往能夠起到關鍵作用。運用各種科學手段、方法和技術，分析電子證據中隱含的信息及線索，能夠更好地重新構建或模擬一個犯罪現場。我們相信計算機網絡犯罪調查既是一門技術，更是一門科學，只有將恰當的法證科學適時應用到電子證據取證調查中，才能夠更好地重構犯罪場景，還原案件真相并實現法律正義。

參考文獻

[1] KWAN M， OVERILL R E， CHOW K P， et al.Sensitivity Analysis of Digital Forensic Reasoning in Bayesian Network Models [C]//Proceeding of 7th Annual IFIP WG 11.9 International Conference on Digital Forensics， Orlano， Florida， USA， 2011

[2] 鐘琳， 黎家盈， 鄒錦沛， 等. 基于多視圖分析的復雜網絡犯罪現場重構[J]. 電信科學， 2010， （S2）：165-170

[3] LAW F， LAI P， CHOW K P， et al. Memory Acquisition： A 2-Take Approach [C]//The 2009 International Workshop on Forensics for Future Generation Communication environments （F2GC-09）， Jeju Island， Korea， Dec 10 - 12， 2009

[4] FRANK Y W， LAW， CHOW K P， et al. A Host-Based Approach to BotNet Investigation [C]// Proceeding of the 1st International Conference on Digital Forensics and Cyber Crime， Albany， NY， Sept 30-Oct 2， 2009

[5] HE Y， ZHANG P， HUI C K， et al. Cloud Forensics Investigation： Tracing Infringing Sharing of Copyrighted Files in Cloud [C]//Proceeding of 2012 ADFSL Conference on Digital Forensics， Security and Law （ADFSL12）， 30-31 May 2012

[6] XU F， CHOW K P， He J， et al. Privacy Reference Monitor-A Computer Model for Law Compliant Privacy Protection [C]//2009 IEEE International Conference on Parallel and Distributed Systems， Shenzhen， China， 2009

[7] PUN K H， HUI L C K， CHOW K P， et al. Review of the Electronic Transaction Ordiance， Can the Personal Identification Number Replace the Digital Signature [J]. Hong Kong Law Journal， 2002， 32（2）：241-257

[8] IEONG S C R， CHOW K P. Enhanced Monitoring Rule Through Direct Node Query for Foxy Network Investigation[C]// The First International Conference on Digital Forensics and Investigation （ICDFI）， Beijing， China， 2012

[9] YE Y， WU Q， LI Y， CHOW K P， et al. Unknown Chinese Word Extraction Based on Variety of Overlapping Strings [J]. Information Processing and Management， 2013， 49（2） ： 497-512

[10] CASEY E. Digitla Evidence and Computer Crime： Forensic Science， Computers and the Internet [J].Jurimetrics， 2011， 11（3）： 373

[11] 戴士劍. 電子證據調查指南[M]. 北京： 中國檢察出版社， 2014

[12] LAI P K Y， CHOW K P， HUI L， et al. Modelling the Initial Stage of a File Sharing Process on a BitTorrent Network [J]. Peer-to-Peer Networking and Applications， 2014， 7（4）： 311-319