Web取證分析技術(shù)研究與應(yīng)用

◆夏 榮

（上海市公安局 上海 200025）

Web取證分析技術(shù)研究與應(yīng)用

◆夏 榮

（上海市公安局 上海 200025）

計(jì)算機(jī)取證是當(dāng)前打擊犯罪的熱點(diǎn)研究課題之一。本文研究了針對(duì)Web的計(jì)算機(jī)取證技術(shù)，內(nèi)容包括各種Web服務(wù)器端及客戶端的取證分析。Web取證分析技術(shù)在發(fā)展過(guò)程中，其分析工具還不是很多。文章從用例出發(fā)，分析了Web取證的特點(diǎn)，構(gòu)造了一個(gè)日志取證的分析框架，簡(jiǎn)單介紹了實(shí)現(xiàn)的關(guān)鍵技術(shù)。最后，介紹了幾個(gè)Web取證實(shí)際案例，進(jìn)一步對(duì)Web取證應(yīng)用進(jìn)行描述。

計(jì)算機(jī)取證; Web取證; 日志分析

0 前言

隨著互聯(lián)網(wǎng)的廣泛普及，如網(wǎng)上銀行、網(wǎng)上購(gòu)物等互聯(lián)網(wǎng)應(yīng)用也被越來(lái)越多的人所接受，隨之而來(lái)的黑客攻擊、盜竊網(wǎng)銀等涉網(wǎng)案件類型、數(shù)量都在逐年增加，因此對(duì)計(jì)算機(jī)取證的要求和難度也在提高。相對(duì)于傳統(tǒng)的單臺(tái)計(jì)算機(jī)取證分析，Web取證作為廣義上計(jì)算機(jī)取證的一種，涉及到客戶端、服務(wù)器端、多個(gè)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等，需要綜合取證分析。同時(shí)，新刑事訴訟法也對(duì)證據(jù)的內(nèi)容做出了規(guī)定，規(guī)定證據(jù)包括“視聽(tīng)資料、電子數(shù)據(jù)”，電子數(shù)據(jù)被獨(dú)立出來(lái)作為一種證據(jù)種類，這賦予了電子證據(jù)明確的法律地位。上述這些都對(duì)如何有效、規(guī)范地開(kāi)展Web取證技術(shù)研究和準(zhǔn)確應(yīng)用提出了明確要求。本文構(gòu)建了Web取證框架和流程，并通過(guò)實(shí)際案例來(lái)闡述Web取證分析技術(shù)。

1 WEB取證的技術(shù)基礎(chǔ)

本節(jié)從計(jì)算機(jī)取證基礎(chǔ)和Web應(yīng)用系統(tǒng)架構(gòu)及技術(shù)出發(fā)，分析Web取證和計(jì)算機(jī)取證的關(guān)系以及其自身具有的特點(diǎn)，并進(jìn)而歸納出一個(gè)Web取證的框架，為后續(xù)實(shí)際應(yīng)用案例的展開(kāi)提供指導(dǎo)和依據(jù)。

1.1 計(jì)算機(jī)取證的概念

Lee Garber 在IEEE Security發(fā)表的文章中認(rèn)為，計(jì)算機(jī)取證是分析和提取硬盤、光盤、軟盤、Zip和Jazz磁盤、內(nèi)存緩沖以及其他形式的存儲(chǔ)介質(zhì)中的數(shù)據(jù)，從而發(fā)現(xiàn)犯罪證據(jù)的過(guò)程。

國(guó)外專家Judd Robbins對(duì)此給出了以下的定義：計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于潛在的、有法律效力的證據(jù)的確定和提取。系統(tǒng)管理審計(jì)和網(wǎng)絡(luò)安全協(xié)會(huì)SANS則歸結(jié)為：計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

從技術(shù)角度來(lái)講，計(jì)算機(jī)取證過(guò)程就是針對(duì)計(jì)算機(jī)入侵與犯罪進(jìn)行證據(jù)獲取、保存、分析和出示的過(guò)程。

1.2 WEB取證的特點(diǎn)

在計(jì)算機(jī)取證的體系架構(gòu)中，Web取證屬于應(yīng)用取證的范疇。在取證的過(guò)程中，除了需要按照一般的取證準(zhǔn)則和流程執(zhí)行外，還需要根據(jù)Web應(yīng)用和系統(tǒng)架構(gòu)的特點(diǎn)，進(jìn)行有針對(duì)性的分析。與其他應(yīng)用取證相比，Web取證通常具有如下的特點(diǎn)。

（1）Web應(yīng)用經(jīng)常具有跨平臺(tái)和分布式的特點(diǎn)。在取證過(guò)程中，需要掌握所有的應(yīng)用部分和運(yùn)行平臺(tái)，從總體上進(jìn)行考慮。

（2）當(dāng)前的Web應(yīng)用有很多屬于企業(yè)級(jí)的關(guān)鍵應(yīng)用程序。如果按照一般的流程進(jìn)行關(guān)機(jī)操作，會(huì)給企業(yè)帶來(lái)很大的損失。Web應(yīng)用經(jīng)常會(huì)使用在線調(diào)查的方式,對(duì)服務(wù)器的日志進(jìn)行分析。

（3）數(shù)據(jù)庫(kù)服務(wù)器通常使用大型的磁盤陣列。對(duì)大型數(shù)據(jù)存儲(chǔ)的取證是一個(gè)復(fù)雜的過(guò)程。同時(shí)，在線數(shù)據(jù)庫(kù)同離線數(shù)據(jù)庫(kù)在數(shù)據(jù)上存在差異，在取證過(guò)程中需要引起注意。

（4）對(duì)Web應(yīng)用的攻擊所遺留的痕跡通常分布在服務(wù)器端和客戶端，而且有些攻擊會(huì)針對(duì)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。因此需要同時(shí)對(duì)客戶端、Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行取證分析，并相互對(duì)照，相互印證[4]。

（5）調(diào)查中涉及的網(wǎng)站可能是處于國(guó)外或異地，不能直接和管理員取得聯(lián)系，只能進(jìn)行遠(yuǎn)程取證。遠(yuǎn)程取證要嚴(yán)格遵守公安部的遠(yuǎn)程勘驗(yàn)工作規(guī)則。

（6）Web應(yīng)用的取證要求調(diào)查人員對(duì)Web應(yīng)用程序、系統(tǒng)架構(gòu)以及其安全問(wèn)題有深入的了解，與傳統(tǒng)計(jì)算機(jī)取證所掌握的知識(shí)領(lǐng)域有所不同。

1.3 WEB取證分析的框架與流程

綜上所述，計(jì)算機(jī)取證同傳統(tǒng)取證之間有很大的不同，Web取證所涉及的方面也要比傳統(tǒng)意義上的單個(gè)計(jì)算機(jī)的取證分析多，可能需要牽涉到多個(gè)操作系統(tǒng)、多個(gè)業(yè)務(wù)應(yīng)用平臺(tái)、多種日志關(guān)聯(lián)、客戶端、服務(wù)器以及各種電子證據(jù)之間的綜合提煉和分析比較等。因此，根據(jù)以上對(duì)計(jì)算機(jī)取證和Web應(yīng)用及其系統(tǒng)架構(gòu)的論述,Web取證分析應(yīng)當(dāng)遵循如圖1所示的Web取證框架。

圖1 Web取證分析框架

Web取證屬于計(jì)算機(jī)取證的一部分，所以對(duì)其中每個(gè)設(shè)備的取證需要按照計(jì)算機(jī)取證的標(biāo)準(zhǔn)流程進(jìn)行。計(jì)算機(jī)取證遵循的原則、涉及的技術(shù)、取證過(guò)程和應(yīng)當(dāng)注意的事項(xiàng)，原則上都適用于Web取證。Web取證所要涉及到的方面主要分兩部分，服務(wù)器端的取證工作和客戶端的取證工作。同時(shí)，在Web取證過(guò)程中，往往還會(huì)涉及到相關(guān)網(wǎng)絡(luò)設(shè)備的取證工作。圖1中Web服務(wù)器分析和客戶端分析是本文研究的重點(diǎn)，是整個(gè)計(jì)算機(jī)取證流程證據(jù)分析的一部分。

在對(duì)Web進(jìn)行取證分析時(shí)，可以按照?qǐng)D2的流程進(jìn)行。

（1）對(duì)Web應(yīng)用流程進(jìn)行分析。得到對(duì)象系統(tǒng)的系統(tǒng)框架和應(yīng)用邏輯，并確定涉及到的節(jié)點(diǎn)。在允許的情況下，將對(duì)象系統(tǒng)進(jìn)行封存和獲取操作。如果對(duì)象系統(tǒng)不能關(guān)機(jī)，則需進(jìn)行在線調(diào)查。

（2）獲取Web和應(yīng)用服務(wù)器的配置文件。獲取有效的配置文件可以為下一步提取相關(guān)電子證據(jù)提供明確的方向; 配置文件可以提供系統(tǒng)和應(yīng)用服務(wù)的系統(tǒng)屬性、環(huán)境變量、文件屬性的有用信息。

（3）獲取和查看Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器的日志文件。日志是涉網(wǎng)犯罪（尤其是針對(duì)Web等網(wǎng)絡(luò)應(yīng)用服務(wù)的案件）的重要證據(jù)來(lái)源。

（4）識(shí)別異常的應(yīng)用行為。包括客戶端的異常輸入行為、異常的Web訪問(wèn)趨勢(shì); 在Web取證過(guò)程中，能否識(shí)別異常的用戶行為是能否獲取有效線索的關(guān)鍵。

（5）異常引用（referrers）流量。在Web取證中經(jīng)常會(huì)使用流量分析技術(shù)，特別是一些拒絕服務(wù)攻擊中，往往能從中分析出確切的攻擊時(shí)間。

（6）訪問(wèn)中Cookie的變化情況。服務(wù)器中應(yīng)用服務(wù)設(shè)計(jì)不同，產(chǎn)生的Cookie交換信息也不同。

（7）跟蹤到的客戶端計(jì)算機(jī)的調(diào)查取證。針對(duì)Web應(yīng)用的網(wǎng)絡(luò)攻擊必然包括客戶端和服務(wù)器端，有時(shí)在客戶端上提取的證據(jù)能更加準(zhǔn)確地反映犯罪事實(shí)。例如，在客戶端上提取的上網(wǎng)歷史、緩存、Cookie和刪除記錄。

（8）因特網(wǎng)的緩存。取證過(guò)程中一些涉及到的網(wǎng)頁(yè)和站點(diǎn)應(yīng)用經(jīng)過(guò)一段時(shí)間后，已經(jīng)被刪除或下線，只能從刪除數(shù)據(jù)中恢復(fù)網(wǎng)絡(luò)應(yīng)用程序或者從因特網(wǎng)的緩存中獲取。

（9）其他網(wǎng)絡(luò)設(shè)備。Web取證分析不是一個(gè)孤立的系統(tǒng)，其訪問(wèn)日志和流量記錄可能涉及到路由器、防火墻、代理服務(wù)器等網(wǎng)絡(luò)節(jié)點(diǎn)和設(shè)備。這些設(shè)備的日志可以和Web的日志進(jìn)行綜合相關(guān)分析，以更好地恢復(fù)Web歷史事件。

圖2 Web取證流程圖

因此，在開(kāi)展Web取證分析的過(guò)程中，根據(jù)Web應(yīng)用的不同和案件性質(zhì)的不同，需要考慮的面很廣，對(duì)偵查人員的要求也很高。Web取證一般都涉及到對(duì)服務(wù)器和客戶端的取證工作，它基于計(jì)算機(jī)取證的框架和流程，但側(cè)重點(diǎn)又有所不同。下面以實(shí)際案例來(lái)闡述Web服務(wù)器和客戶端的取證分析技術(shù)。

2 Web取證分析技術(shù)應(yīng)用案例

在Web取證中，數(shù)據(jù)分析是Web取證的關(guān)鍵環(huán)節(jié)，在已獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語(yǔ)是目前主要的數(shù)據(jù)分析技術(shù)。下面通過(guò)一個(gè)客戶端案例來(lái)舉例說(shuō)明實(shí)踐工作中在Web服務(wù)器和客戶端進(jìn)行取證的方法和特點(diǎn)。

在Web取證過(guò)程中，只要扣押了犯罪嫌疑人的客戶端計(jì)算機(jī)，就要對(duì)其進(jìn)行取證分析。客戶端的取證分析運(yùn)用更加廣泛，可以實(shí)現(xiàn)的工具也比較多,下面簡(jiǎn)單介紹實(shí)際工作中的一個(gè)案例。

在一起網(wǎng)絡(luò)謠言案中，嫌疑人在論壇張貼了一則恐怖消息，揚(yáng)言要炸毀國(guó)內(nèi)某重要建筑。警方介入了調(diào)查，通過(guò)各種線索鎖定了嫌疑人，扣押并封存了嫌疑人的電腦，并獲取了電腦中的數(shù)據(jù)，開(kāi)始對(duì)其網(wǎng)絡(luò)行為進(jìn)行分析取證。

通過(guò)對(duì)嫌疑人的上網(wǎng)日志、緩存日志數(shù)據(jù)進(jìn)行提取，并根據(jù)服務(wù)器端時(shí)間信息進(jìn)行過(guò)濾分析，發(fā)現(xiàn)該嫌疑人清除了上網(wǎng)歷史記錄信息，但沒(méi)有清除緩存中的日志信息和數(shù)據(jù)。通過(guò)對(duì)緩存記錄進(jìn)行分析，發(fā)現(xiàn)在服務(wù)器的發(fā)帖時(shí)間，該用戶正在用發(fā)帖賬戶登錄在服務(wù)器上。

同時(shí)對(duì)嫌疑人電腦中的數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)該嫌疑人編輯發(fā)帖信息的文本，將客戶端上獲取的信息同服務(wù)器端的證據(jù)相印證，從而鎖定該嫌疑人就是傳播恐怖信息的發(fā)帖人。

圖3 客戶端分析案例截圖

在實(shí)際工作中，涉及到Web取證的案例還很多，這里不再一一列舉。基本上每個(gè)計(jì)算機(jī)的取證都會(huì)或多或少的涉及到Web取證。通過(guò)大量的實(shí)踐證明，客戶端的取證方法根據(jù)操作系統(tǒng)和瀏覽器的種類所采用的取證模式相對(duì)固定; 而服務(wù)器的取證工作由于架構(gòu)不同、應(yīng)用不同、網(wǎng)絡(luò)環(huán)境不同而有很大的區(qū)別，基本上每個(gè)案例都有其特殊性，需要檢查人員根據(jù)實(shí)際情況按照規(guī)范流程靈活處置。

3 結(jié)束語(yǔ)

計(jì)算機(jī)取證是當(dāng)前打擊犯罪的熱點(diǎn)研究課題之一，Web應(yīng)用的不斷發(fā)展使得相關(guān)案件的比例不斷上升。本文研究了針對(duì)Web的計(jì)算機(jī)取證技術(shù)，內(nèi)容包括Web服務(wù)器端的取證和客戶端的取證分析，并根據(jù)Web應(yīng)用發(fā)展的情況，考慮了多種情形下的取證工作。

Web實(shí)現(xiàn)技術(shù)在不斷的發(fā)展過(guò)程中，本文不可能涉及所有的內(nèi)容。Web取證涉及到了計(jì)算機(jī)取證的各個(gè)方面，本文未對(duì)所有涉及到Web的取證技術(shù)進(jìn)行研究，只對(duì)一些在實(shí)際工作中Web取證所涉及的部分做了初步的研究和探索。所涉及的取證技術(shù)還是基于一些靜態(tài)的取證技術(shù)，對(duì)Web取證中的關(guān)鍵點(diǎn)日志，也只是提出了一個(gè)分析的模型和框架，對(duì)日志的預(yù)處理進(jìn)行了設(shè)計(jì)，該還有待進(jìn)一步完善。另外，Web取證和其他相關(guān)證據(jù)必然有千絲萬(wàn)縷的聯(lián)系，需要綜合考慮。

[1]張?jiān)浇?網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪勘查技術(shù)學(xué)[M].北京：清華大學(xué)出版社，2003.

[2]曾學(xué)軍.計(jì)算機(jī)取證技術(shù)的發(fā)展困境與前景[J].商業(yè)時(shí)代，2009.

[3]郭巖，白碩，與滿泉.Web使用信息挖掘綜述[J].計(jì)算機(jī)科學(xué)，2005.

[4]張斌，馮耕中，鄭裴峰.Web用戶訪問(wèn)日志數(shù)據(jù)挖掘研究[J].情報(bào)雜志，2003.

[5]王偉，彭勤科.主機(jī)日志分析及其在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2002.