大數據及云環境下計算機反取證技術研究＊

羅暉，佟暉

(1.北京市公安局網安總隊，北京100053；2.北京警察學院，北京102202)

大數據及云環境下計算機反取證技術研究＊

羅暉1，佟暉2＊＊

(1.北京市公安局網安總隊，北京100053；2.北京警察學院，北京102202)

本文針對大數據和云計算背景下的計算機反取證技術進行研究，并對取證人員如何有效的破解犯罪分子的反取證技術進行了闡述。文章首先分析了目前反取證技術發展趨勢、反取證技術對司法活動的影響、反取證技術研究對取證人員的積極意義，然后針對反取證技術中常見的數據清除、數據隱藏、數據加密、虛擬機、影子系統、去中心化、對抗取證分析、VPN等技術從技術層面進行了分析。文章站在取證人員的角度，結合取證工作中的一些難點、熱點問題，對犯罪分子可能采取的反取證手段提出了破解之法。

反取證技術；計算機犯罪；黑客；

0 引言

隨著大數據和云計算時代的到來，越來越多的黑客在浩瀚的網絡海洋中隱藏自己，他們像幽靈一樣時隱時現，開展各種違法犯罪活動，他們使用計算機反取證技術隱匿自己的犯罪證據，躲避公安機關的偵查。隨著我國法制建設的深入，電子證據在司法活動中的作用越來越重要，一項電子證據經常在一起司法活動中發揮關鍵的作用，黑客們采取一些反取證措施躲避打擊，或者減輕法院的判決，由于電子證據具有“易滅失”的特點，在實際辦案過程中經常會發生證據不充分的情況，黑客的反取證手段也會發揮一定的作用，干擾辦案的正常進行。目前，取證和反取證的博弈正在持續，計算機取證人員必須了解和掌握反取證技術，才能有效打擊網絡黑客的囂張氣焰，提高取證工作的針對性和完整性。

1 意義

反取證技術的研究對電子數據取證人員具有非常重要的意義，一方面可以了解犯罪份子重要電子數據的去向，明確取證重點，另一方面可以提高取證的可靠性和全面性，還可以針對反取證技術來完善取證工具的功能，提高取證工具的實用性，加大對計算機犯罪人員的打擊力度。

2 反取證技術分析

當前反取證技術主要包括數據深度清除、數據隱藏、數據加密、虛擬機技術、影子系統技術、去中心化技術、對抗取證分析技術、VPN技術等等[1]，下面分別加以介紹并簡單分析破解之法。

2.1 數據清除技術

數據清除技術是指將計算機內文件刪除后，用一些隨機產生并且毫無意義的數據對文件磁盤區域進行覆蓋，這樣避免取證人員可以利用恢復技術將文件恢復，達到數據擦除的目的。同時一些專門軟件可以對計算機文件尾部數據殘留區和硬盤未使用空間進行隨機數據覆蓋，目的是徹底清除硬盤中以往操作殘留的數據，達到徹底清除、無法恢復的目的[2]。覆蓋的次數是可以選擇的，次數越多，殘留數據被恢復的可能性越小。就好像你在一張紙的格子里先寫了一個字，然后在這個格子里又寫了另一個字，雖然兩個字重疊，但有經驗的人還是能看出來，當你在相同的格子里寫上第三、第四文字后，你第一個字被識別的可能性就越來越小。國際上已有出臺數據擦除標準，比如美國海軍工作人員辦公室出版的NAVSO P-5239-26擦除標準次數是3次，美國空軍系統安全指令5020擦除標準次數是4次，目前在一款名為“無影無蹤”的計算機數據清除軟件中可以采用“彼得加特曼”覆蓋方法，可以對硬盤覆蓋35次，從而保證數據消除的徹底性。在不了解硬盤實際編碼方式的情況下，覆寫次數是確定硬盤數據擦除是否徹底的重要衡量指標。PGP等加密軟件也集成了數據覆蓋刪除和文件殘留區、磁盤未使用空間覆蓋功能，如果犯罪分子使用這些軟件數據清除功能會給計算機取證人員帶來干擾。2015年初，某市公安部門辦理了一起“某公司云平臺被攻擊案”，該云平臺內100余臺服務器被植入木馬，被黑客控制，淪陷為對外進行DDOS攻擊的工具，在對黑客進行抓捕過程中，發現該黑客使用數據清除技術對服務器內木馬等涉案程序進行數據清除，銷毀作案痕跡，以此躲避偵查。2015年中旬，某市公安局破獲了“某大學城網站被攻擊案”，該大學城網站在短時間內被人上傳1000余萬條小廣告貼文，造成了服務器癱瘓和惡劣的社會影響，三名黑客破解了大學城網站高級登錄權限后，利用“發帖器”批量登錄賬號并發布廣告，在對黑客進行抓捕時發現，黑客使用了數據清除技術將該團伙網絡聊天記錄、發帖器軟件等關鍵證據進行了數據清除，以此來躲避偵查。

數據清除技術雖然給案件偵破帶來了困難，但是這種技術也存在漏洞。目前有“磁道強弱判斷法”和“磁道邊緣探測法”兩種方法理論可以讀取硬盤上被覆蓋的原始數據。第一種理論認為，當硬盤磁頭在硬盤上寫入數據時，它使用的信號強度只是用來寫入一位數據，這個寫入信號并不是很強，因此，你可以通過它寫入的數據位的信號強度來判斷此前該數據位所保存的是何種數據。比如，如果數據0被數據1所覆蓋，其信號強度會比數據1被數據1覆蓋要弱一些。使用專門的硬件就可以檢測出準確的信號強度，通過數據信號強度來判斷原始數據；第二種方法理論認為，硬盤磁頭向磁盤內寫數據時，每次進行寫操作的位置并不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數據。但是目前互聯網上并不能找到如此專業的“數據清除技術”破解軟件。在實際運用中，由于數據清除軟件可靠性和磁盤應用復雜性的特點，經常會導致使用這種軟件覆蓋不徹底的情況，所以取證人員仍然可以利用各種數據取證軟件進行嘗試性的數據恢復，仍然可以發現一些蛛絲馬跡；筆者曾多次進行過實驗，用某種軟件將U盤插拔記錄清除后，使用PGP和無影無蹤軟件對文件殘留區、磁盤未使用空間進行多次覆蓋，從實驗的結果看，被清除U盤記錄有時可以徹底清除無法恢復，但有時經多次覆蓋后仍然可以通過數據恢復技術恢復出來，其結果具有不確定性。另外，數據清除軟件在進行文件尾部數據殘留區清除時會掃描所有文件，這樣會大大加長數據清除的時間，如果對一塊硬盤進行多次的覆蓋可能會用幾天的時間，犯罪分子不可能經常實施對整塊硬盤的多次覆蓋，這就給取證人員提供了數據恢復機會；同時，一般的犯罪人員的重要數據不會輕易的刪除，經常會在硬盤不同位置或者U盤中進行備份，這也給取證提供了新的重點方向。

2.2 數據隱藏技術

數據隱藏技術是指把一些重要的文件偽裝成其他的類型，或者直接隱藏磁盤的未分配空間中或者其他文件中。改變文件的擴展名是一種最簡單的方法，可以逃過經驗不足的取證人員的檢查。數字隱寫是數據隱藏技術的重要分支，是將秘密數據隱藏于公開的數字媒體之中。現有的隱寫軟件主要以GIF、JPEG、BMP等圖像文件為載體，比如DStego、Steganography等。Steganography軟件是將信息隱藏于GIF文件的文件結束符0x003B之后，隱寫后的圖片改變是肉眼無法區分的，這些軟件簡單易用，只需幾個簡單步驟便可實現數據隱藏功能，非專業人員可以非常容易的操作[3]。

圖1 Steganography軟件操作界面

有些專門的反取證軟件會把數據存儲在磁盤中，然后把數據的位置標記成磁盤壞塊，操作系統會讓其他程序在訪問磁盤時跳過這些壞塊，從而保證的這些數據不被任何程序所訪問，實現了對數據的隱藏[4]。取證人員只要了解數據隱藏技術并且有足夠的經驗，通常可以發現隱藏數據的線索。通對于改變擴展名的隱藏方式，取證人員可以使用專業工具通過掃描文件特征的方式區分出來；其他的隱藏方式通常要借助專用的工具，如果發現犯罪分子計算機中存在數據隱藏功能的軟件，就可以針對該軟件的功能和特點有針對性的進行數據的查找。

2.3 數據加密技術

數據加密技術一般分兩類，一類是本地數據加密，另一類是網絡通訊數據加密。本地加密是將明文變成密文，目前很多軟件都提供加密功能，最常見的如WinRAR、Office軟件等，常見的加密容器軟件如PGP、TrueCrypt等。比如常見的PGP軟件是全世界最流行的加密軟件。它的源代碼是公開的，經受住了成千上萬頂尖黑客的破解挑戰，事實證明PGP加密是安全的，PGP技術是美國禁止出口的技術，如果數據密碼的復雜性足夠的話，采用暴力破解的方法會有很大難度，沒有密碼，軟件開發者本人也無法解密[5]。TrueCrypt是一款免費開源的加密軟件，支持多種加密算法，比如AES-256，Blowfish(448-bit key)等，它可以在硬盤上建立虛擬磁盤，用戶可以按照盤符進行訪問，打開盤符時需要密碼。更為重要的是TrueCrypt支持隱藏加密卷功能，該功能是指在一個加密卷里面再創建一個加密卷，使用外層卷的剩余空間來存儲內層卷的數據，外層的那個加密卷是“明”的，內層的是“案”的。當你要打開加密卷的時候，如果輸入的是外層的口令，那就打開外層的卷；反之，輸入內層的口令，則打開內層的卷，這時候看不到外層的數據。狡猾的犯罪人員會把最敏感、最重要的數據放在隱藏卷，把相對不太重要的數據放在外層卷。如果公安機關發現了加密卷，犯罪分子如果裝出一副很無奈的樣子，很不情愿地把外層卷的口令告訴警方。這時候，外層卷雖然暴露了，但是內層的隱藏卷并沒有暴露，警方無法判斷是否存在內層加密卷，這給辦案帶來了非常大的難度。但是加密的數據也給辦案人員提供了重點的目標，因為加密數據通常是跟案件相關的，也是對犯罪分子來說最重要的數據，發現了被加密的數據也就確定了重點突破的目標。

網絡通訊加密通常用于網絡賭博、網絡傳銷、網絡傳播淫穢信息、黑客攻擊類案件中，比如目前一些分布式拒絕服務攻擊(DDOS)軟件的控制端與被控制的肉雞之間的通訊數據是加密的，從而躲過了網絡的監控。境外的賭博網站也是通過HTTPS加密協議使境內參與賭博人員無法被發現，這些加密的通訊給發現犯罪帶來了難度，但是這種方式也是有明顯的弱點，這個弱點就是本地計算機，數據在本地并沒有被加密，取證人員可以針對本地計算機開展大量的工作。

2.4 虛擬機技術

虛擬機技術指通過軟件模擬具有完整硬件系統功能的、運行在一個現有操作系統之中的、可以完全模擬另外一臺計算機的、具有真實windows系統完全一樣的功能的計算機系統的技術。進入虛擬機系統后，所有操作都是在這個虛擬系統里面進行，擁有自己的獨立桌面，可以獨立安裝運行各種程序，不會對真正的系統產生任何影響，程序的各種日志、系統的操作記錄都會保存在虛擬機中，虛擬機具有非常方便的系統鏡像和還原功能，能夠非常快捷的刪除虛擬機的各種操作記錄，犯罪份子經常會利用虛擬機的這個功能來隱藏自己的犯罪行為。目前常用的虛擬機軟件主要是VMware。目前大多數黑客類網絡犯罪都會涉及到虛擬機技術，比如在前期某市公安機關辦理的“某檢查院網站被篡改案”中，兩名黑客就入侵了大量的政府網站，修改網頁源代碼，添加黑鏈代碼，對這些網站的主頁進行修改，并采用虛擬機技術來躲避公安機關的偵查。

取證人員遇到虛擬機通常要到虛擬機內部或使用專業工具開展檢查，以發現相關操作記錄，同時虛擬機通常與本地計算機使用相同的網絡，這也給虛擬機使用者的定位提供了方便。

2.5 影子系統技術

影子系統技術是使用軟件來隔離Windows操作系統，并創建一個虛擬化影像系統。在影子系統中，對計算機的所有操作都是虛擬的，所有的操作記錄、上網記錄、存儲的數據、產生垃圾文件等，只需重啟計算機，一切又恢復到初始狀態。影子系統的工作原理，就是把需要保護的硬盤通過只讀技術保護起來，對內容的編輯操作都是只做標記，在空白的硬盤區進行記錄，并沒有真正改變數據。當計算機重啟時，放棄所有新編輯的內容。目前常見的是硬件還原卡技術和軟件ShadowDefender技術。影子系統通常是被用來在網吧管理、學校機房、防病毒等領域，但是有些犯罪份子也將其用于犯罪和反取證。影子系統在從新啟動之后雖然刪除了之前標記的數據和內容，但是由于之前操作的標記會存儲在臨時硬盤的特定區域中，取證人員使用數據恢復技術仍然可以恢復部分有價值的內容[6]。

2.6 其它反取證技術

目前還有一些其他的反取證技術在發展當中，比如通訊軟件去中心化技術，這種P2P的技術使得通訊軟件中的人與人的交流內容不再通過第三方，可以躲過各種監管，使得通訊的內容更具有私密性，更難被發現；再比如對抗取證分析技術，該技術可以在計算機內安裝特定程序，該程序可以檢測是否有人在進行取證分析，如果發現則銷毀證據、自動退出，或殺掉取證分析進程；還有VPN代理技術，可以有效的隱藏犯罪分子的真實IP地址，給案件的偵破帶來極大的挑戰，在2013年某市公安部門辦理的一起電信詐騙案件中，共抓獲了30余名犯罪分子，在這些人中有90%是使用代理服務器作案的，由此可見，取證和反取證的較量還在繼續進行著，并有愈演愈烈的趨勢。

3 結語

目前，越來越多的為個人穩私所采取的保護措施，比如之前提到的數據加密等技術已經被應用于計算反取證，犯罪分子使用這些反取證技術確實給正常的司法活動造成了干擾，但是世間萬物矛盾相克，任何技術都有漏洞或破解之法，取證與反取證的對抗和博弈將越來越激烈。只有對反取證技術研究深入了，才能促進取證技術的發展，計算機取證人員要能加強學習，了解最新的各種取證和反取證技術，才能對計算機取證工作游刃有余。

[1]王彩玲，陳賀明.淺析計算機犯罪取證與反取證[J].吉林公安高等專科學校學報:2007，22(2):13-15.

[2]秦玉海，麥永浩主編.電子數據檢驗技術與應用[J].北京:中國人民公安大學出版社，2015:59-64.

[3]李佟鴻，王宇，劉志軍.計算機系統信息隱藏反取證技術[J].計算機系統應用:2013，22(5):1-4.

[4]楊義先，鈕心忻.多媒體信息偽裝[J].通信學報:2002，23(5):32-38.

[5]Anti-forensics[EB/OL].http://www.aversion.net/presentations/HTCIA-02/anti-forensics.ppt.2004.

[6]Forensics and Anti-forensics Computing[EB/OL].http://www.fukt.bth.se/～uncle/papers/foren-sic200212.pdf.2005.

Computer Anti－Forensics Technology in Big Data and Cloud Environment

LUO Hui1，TONG Hui2
(1.Network Security Department of Beijing Municipal Public Security Bureau，Beijing 100053，China；2.Beijing Police Academy，Beijing 102202，China)

This paper briefly tells of the computer anti-forensics technology under the background of big data and cloud computing，and describes how to effectively break with the anti-forensics technology of the criminal elements.Firstly，the development trend，the influence and the positive significance of anti-forensic technology，and analyzed，and the aspects，including:data removal，data hiding，data encryption，virtual machine，shadow subsystem，de-centering，anti-forensic analysis and VPN also technically discussed.The authors finally point out some difficulties and hot spots in the evidence collection，and put forward the methods to break with the anti-forensics means maybe taken by the criminals.

anti-forensic technology； computer crime； hacker

TP309 [文獻標志碼]A [文章編號]1009-8054(2016)04-0099-03

2016-01-25

教育部規劃基金項目“公安高等院校學校特色研究”(No.5YZA880092)

羅暉(1977—)，男，碩士，主要研究方向為計算機取證和網絡安全；

佟暉(1969—)，女，碩士，教授，主要研究方向為計算機取證和網絡安全。