計算機取證技術綜述

袁鎧鋒

摘 要 隨著計算機信息技術的不斷發展與成熟，計算機網絡逐漸成為了各行各業在開展工作時不可缺少的重要工具，各種依托計算機信息而實施的計算機網絡犯罪現象也日益猖狂起來。本文圍繞幾種常見的計算機取證技術介紹、計算機取兩個證技術的發展方向以及未來展望兩個方面展開討論，對計算機取證技術進行了綜述，并提出了一些筆者自己的見解，希望能夠對今后計算機取證技術的研究提供一些理論建議。

關鍵詞 計算機 取證技術 數據信息可靠性

中圖分類號：TP309 文獻標識碼：A

1幾種常見的計算機取證技術介紹

在美國地區，至少有百分之七十的法律部門都已經設置了專門的計算機取證實驗室，取證專家在實驗室內對各種從犯罪現場收集的數據信息進行分析，從中提取中與作案相關的信息。

由于取證時刻上具有一定的潛在屬性，因此我們可將計算機取證分為兩組不同的模式，分別為靜態取證模式以及動態取證模式。其中，靜態取證指的是對各種潛在證據進行提取，如存儲在各種未運行狀態媒介中的證據；而動態取證指的是對各種存儲有網絡以及運行媒介中的證據進行提取。由于網絡數據以及計算機系統數據在屬性上具有本質區別，因此人們在取證過程中使用的取證方式往往也會分為兩種，分別為依托計算機系統的取證以及依托網絡數據的取證。

1.1預備取證技術

一般情況下，計算機系統以及網絡系統中存在的數據在使用后均會被刪除，即使是各種潛在數據也可能面臨被黑客刪除的風險，所以說在事發后從受害者計算機中獲得的數據并不一定真實可靠，這就使得事發前的預備取證能力越來越得到關注。預備取證的目標在于構建一個科學可靠的系統，對于各種可疑數據進行自動搜索、識別、匯集以及過濾，同時對于各種可靠數據進行自動存儲、保留以及分析。預備取證系統的建立能夠確保安全事件發生后的證據數量、真實度、可靠度同時實現最大化。

布拉德等學者針對企業構建預備取證技系統的基本原理進行了總結，具體如下：（1）小安全漏洞原理：一個極小的安全漏洞便可以導致系統的安全防護完全失效；（2）小用戶世界原理：對于一些特殊的用戶而言，個別的設備以及系統便可滿足他們的使用需求；（3）安全策略行為違反遞減原理：隨著用戶對于系統知識的不斷了解以及掌握，各種完全違反行為的發生頻率也逐漸增加。

通常情況下，安全審計系統能夠結合相應安全策略，并通過對歷史操作事件的處理以及分析來識別出系統中可能存在的安全隱患，在此基礎上進行相應的改善。同時還能夠實現對個體用戶行為的實時跟蹤，給用戶施加相應壓力，要求其對自己所作出的行為負責，對各種攻擊人員發出警告，最大程度降低入侵行為的發生，從而提高系統的安全性。安全審計系統在部分特性上與預備取證相似，但是在數據存儲安全性以及可靠性、自動分析等方面卻缺乏有效的考慮。趙小敏在原有安全審計系統的基礎上進行了優化，設計了一種能夠支持計算機取證的安全審計系統，能夠保障系統遭到入侵之前的數據信息始終處于保護狀態下，并能夠一直完整地保留下來，從而為取證人員提供關鍵的線索。

1.2計算機證據獲取與分析技術

在進行計算機取證時必須嚴格遵循下述基本原則：（1）應在不損壞原有證物的基礎上進行取證；（2）必須通過有效方式來證明獲得證據與原有數據之間的吻合性；（3）應在確保數據不發生改變的情況下展開進一步分析與研究。

數據獲取與分析技術的重點在于確保數據獲取的同時原始介質不發生損壞，因此通常情況下不主張對原始介質進行取證分析。最常使用的數據獲取技術主要包括以下幾種：確保計算機系統以及文件安全性的獲取技術，預防原始介質遭到損壞；確保數據以及軟件安全收集的獲取技術；對已刪除文件進行重新恢復的獲取技術；對長期未使用磁盤文件進行挖掘的獲取技術；針對網絡系統數據的獲取技術。

目前所使用的取證技術基本是依托物理存儲介質而實現的，主要作用在于對已刪除數據的恢復以及重新顯示等。現階段大部分取證軟件的功能均體現在磁盤的處理方面，不支持深入的分析功能，除此之外的其它工作基本都是依靠取證專家的人工操作來實現，基本上形成了一種錯覺，即計算機取證軟件與磁盤分析軟件相同的錯覺。

計算機證據分析主要是基于獲取信息的基本含義、特征、關系等內容來還原事件發生的真實場景，從而尋找出各種與案件相關的信息，這些信息主要包括犯罪的具體行為、犯罪嫌疑人的具體動機以及犯罪嫌疑人的作案手法等等。

其中，在已經取得的數據流當中識別出各種匹配的關鍵詞，是現階段數據分析中使用頻率最高的一種技術，它主要由以下幾種技術構成：文件特征分析技術、文件關鍵詞分析技術、日志分析技術、邏輯關系挖掘技術、被保護信息的訪問技術等。

現階段， 人們對于各種自動分析技術的探索步伐逐漸加快，如試圖于挖掘問題產生的潛在規則，同時研究其中存在的程序化步驟，將其編寫成為軟件工具。此外，還可以通過人工智能技術來研究部分數據之間存在的關聯性，這一方法能夠幫助破案人員快速將犯罪分子的輪廓進行勾勒，使取證專家的取證工作更加高效。

卡西針對計算機證據的不確定性以及信息缺失等問題展開了深入的研究，并在此基礎上設計了一種按級度量的方法，這一研究結果在一定程度上促進了取證人員工作的開展，同時也能夠適當啟發其它研究人員的思路。由于計算機證據存在一定的不確定性，因此在取證后還應對證據實施進一步量化處理，尤其在遇到若干個關聯性極強的證據時，這些不確定性更應該同量化方式進行有效表達。只有當計算機證據的確定性通過十分精確的方式表達出啦后，才能有效降低人們對計算機證據的質疑度，從而法官將會有更高的概率度證據進行采納。

1.3反取證技術

隨著計算機取證技術的不斷發展，各種反取證技術也隨之出現。反取證技術通常是由數據加密技術、數據隱藏技術以及數據刪除技術構成的，對于一些經驗豐富的黑客來說，反取證技術是他們在作案過程中必須采用的基本手段，可以將自己的作案數據進行有效銷毀，隱藏自己的入侵痕跡，從而加大取證工作的難度。目前市場中已逐漸出現了各種反取證工具，例如TDT以及RUNEFS等。在面對不同的反取證技術時，我們應采用合適的策略進行對應。例如，遇到文件加密這一反取證技術時，最簡單直接的方法便是找回密碼，如向指導密碼的人進行詢問，或者根據自己的了解來猜測密碼，又或者是在電腦周圍尋找各種與密碼相關的線索。當上述方法都無效時，可運用強效破解工具來破解密碼，也可向密碼分析專家發送請求。在破解的過程中盡可能猜測黑客所使用的數據隱藏技術，并選擇合適的措施進行對應，譬如對文件進行壓縮或者將文件后綴進行更改等。在壓縮過程中可能導致取證人員搜索磁盤關鍵詞失效，這個時候我們應使用解壓工具進行解壓。總而言之，取證技術與反取證技術之間的對抗關系將會不斷發展下去，反取證技術也會一直成為計算機取證技術的阻礙因素。

1.4反向工程以及密碼分析技術

在計算機取證工作當中，對侵入主機中的可疑程序進行分析是其中一項非常重要的內容，當已確定某個特定的人在某個特定的主機設備中安裝了相應程序后，且該程序對于主機安全具有一定的危害性，那么這一程序安裝者就必須承擔應用的責任。對可執行程序進行分析來確定程序功能的過程叫做反向工程，這一類型的工具軟件數量非常少，且相應的開發設計難度也較大，特別是當可執行程序本身已使用壓縮或者加密技術時，要想對犯罪分子的軟件進行分析，就必須向專業的反向分析工程師尋求幫助。

為了能夠進一步確保計算機系統的安全性，越來越多的人們開始傾向于使用加密技術來實現網絡通信，或者是用來對各種重要信息進行儲存。因為對于犯罪嫌疑人來說，他們同樣可以使用加密技術來進行反取證。

2計算機取證技術的發展方向以及未來展望

計算機取證技術是目前來說較為新穎的一門學科，在歷經了多年的發展后，無論是在理論還是在實踐方面都獲得了顯著的業績，盡管如此，目前的取證技術在很多方面都存在一定的局限性，無法完全滿足社會需求。隨著計算機網絡技術的不斷發展，計算機取證在未來還將面臨著更加嚴峻的挑戰。筆者認為，未來的計算機取證技術將會朝著以下幾個方向發展。

2.1計算機取證技術的研究需要逐步走向系統化軌道

受到計算機證據特殊性質的影響，再加上網絡攻擊者以及權力濫用者采用的各種反取證技術，預備取證措施的重要地位正在逐步突顯出來。在未來的系統研究以及設計的過程中，在最初的安全管理設施設計環節當中就必須做好計算機取證工作的事先部署，將其作為一項重要工作來對待，盡可能以最低的開發成本來獲得最高的證據數量以及最優的證據質量，使取證工作變得更加便捷、簡單。

2.2取證工具將會朝著自動化以及集成化方向發展

計算機的存儲能力十分驚人，它的增長速度已超過了莫爾定律。在幾年前，個人計算機硬盤通常是由幾百個M字節做成的，發展至今，個人計算機硬盤已經實現了幾十個甚至是上百個G的字節，其它大規模的服務器系統就更不需要說了，在這一環境中，我們所采用的計算機取證技術也必須迎合其發展步伐，選擇功能更強大、自動化程度更高的取證工具。未來的取證工具將會隨著信息處理技術的更新而不斷更新，同時對其進行有效利用，如數據挖掘技術以及人工智能技術等，以此來充分地應對各種海量數據的來襲。目前來說，在計算機取證工作當中仍然有很大一部分的工作是依賴人工完成的，這在很大程度上制約了取證技術的發展，使取證速度以及取證可靠性都是無法得到有效保障。因此，為了能夠使取證人員的工作更為便捷，同時應用范圍更加廣泛，有必要對產品實施適度的集成。

2.3計算機取證領域持續擴展，取證工具朝著專業化發展

犯罪分子不僅僅會將計算機設備作為犯罪工具，各種手機、掌上電腦等移動設備也會成為犯罪分子的作案工具，因此犯罪證據也會通過不同的方式分布在各種不同的設備當中。通常來說，我們認為各種支持數據儲存功能的設備都終將被納入計算機取證工作范疇內。要想獲取理想的證據，就必須針對每一個場合來制定專業化產品，同時使用合適的取證工具。此外，計算機取證科學的綜合性非常強，其中所涉及的內容很多，包括文件加密技術、磁盤分析技術、數據挖掘技術等。

參考文獻

[1] 錢勤，張瑊，張坤，伏曉，茅兵. 用于入侵檢測及取證的冗余數據刪減技術研究[J]. 計算機科學，2014，S2：252-258.

[2] 庫德來提·熱西提，亞森·艾則孜，萬瓊. 計算機取證技術及局限性[J]. 中國公共安全（學術版），2011，04：122-125.

[3] 施昌林，陳曉紅，楊旭，施少培，徐徹，卞新偉. 視頻化計算機取證系統的設計與實現[J]. 信息安全與通信保密，2009，07：99-101+104.

[4] 陳龍，譚響林，高如岱. 智能取證技術研究[J]. 重慶郵電大學學報（自然科學版），2009，04：518-522.

[5] 田志宏，姜偉，張宏莉. 一種支持犯罪重現的按需取證技術[J]. 清華大學學報（自然科學版），2014，01：20-28.

[6] 秦拯，李建輝，鄒建軍，綦朝暉. 基于模糊理論的實時取證模型[J]. 湖南大學學報（自然科學版），2006，04：115-118.

[7] 趙志巖，王任華，邵翀. 計算機動態取證技術的挑戰[A]. 中國計算機學會計算機安全專業委員會.全國計算機安全學術交流會論文集·第二十五卷[C].中國計算機學會計算機安全專業委員會：，2010：4.