計(jì)算機(jī)免拆機(jī)取證常用技術(shù)

陳勇 蘇州大學(xué)司法鑒定中心

計(jì)算機(jī)取證（Computer Forensics），又稱為介質(zhì)取證，是對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)證據(jù)，并據(jù)此提起訴訟，也就是針對(duì)計(jì)算機(jī)入侵與犯罪的電子物品，進(jìn)行證據(jù)獲取、保全、分析和出示。計(jì)算機(jī)證據(jù)指在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄物。

取證的目標(biāo)：主要是對(duì)硬盤、光盤、軟盤、Zip磁盤、U盤等儲(chǔ)存介質(zhì)。取證的方法通常是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

計(jì)算機(jī)取證分為主要四部分：獲取、保全、分析、出示。在計(jì)算機(jī)取證中“獲取”和“保全”尤為重要，如果獲取的數(shù)據(jù)出現(xiàn)污染，那么這些受污染的數(shù)據(jù)在法庭上不可作為證據(jù)使用。目前主要是通過對(duì)計(jì)算機(jī)進(jìn)行拆卸，然后對(duì)拆卸的硬盤進(jìn)行復(fù)制克隆，計(jì)算哈希值保持?jǐn)?shù)據(jù)的唯一性。這種對(duì)硬盤進(jìn)行拆卸復(fù)制的好處在于：1、復(fù)制速度快。2、證據(jù)保全完整，保全過程會(huì)全程記錄，自動(dòng)出具保全記錄。3、保全過程無干擾。缺點(diǎn)也是比較明顯：硬盤接口的種類比較多，市面上常見的硬盤接口有SATA,SAS,SCSI,IDE，還有一些廠商自行定制的接口。

1 免拆機(jī)取證技術(shù)

何謂“免拆機(jī)取證技術(shù)”是指對(duì)計(jì)算機(jī)不用通過拆卸硬盤就可以獲取和保全硬盤中的所有數(shù)據(jù)，并使數(shù)據(jù)能夠成為證據(jù)。

“免拆機(jī)取證技術(shù)”不是一個(gè)新技術(shù)，它是由民用電腦操作技術(shù)演變而來。在民間普遍電腦愛好者或者從事電腦操作系統(tǒng)安裝人員，當(dāng)電腦無法正常開機(jī)或者忘記開機(jī)密碼時(shí),通過微軟自帶的WinPE技術(shù)，進(jìn)入電腦中，把數(shù)據(jù)轉(zhuǎn)移出來或者清除密碼。那么在取證工作中也是可以這樣用的，但不能簡(jiǎn)單的用WinPE進(jìn)行獲取保全證據(jù)。因?yàn)閃inPE在啟動(dòng)后會(huì)自動(dòng)加載硬盤分區(qū)，導(dǎo)致分區(qū)基本屬性會(huì)發(fā)生變化。那么取證研發(fā)人員在WinPE的基礎(chǔ)上制作了WinFE（全稱 Windows Forensic Environment）。

“免拆機(jī)取證技術(shù)”在現(xiàn)階段使用是越來越頻繁了。這跟硬盤接口演變是分不開的，從非主流獲取保全方式演變到主流獲取保全方式，經(jīng)歷兩個(gè)階段。

第一個(gè)階段：在以“拆卸硬盤”的時(shí)代，“免拆機(jī)取證技術(shù)”作為一種特殊手段用于取證。特殊點(diǎn)1：硬盤無法被拆卸時(shí)，才會(huì)選擇此辦法進(jìn)行取證，例如：蘋果一體機(jī)iMAC電腦等。取證人員第一選擇還是拆卸硬盤。特殊點(diǎn)2：“免拆機(jī)取證技術(shù)”的數(shù)據(jù)傳輸是通過電腦的USB接口進(jìn)行傳輸。當(dāng)時(shí)的USB接口為2.0，傳輸速率為480MB/S（理論值），實(shí)際極限寫入速度在25M/S左右，讀速度在35M/S左右。而拆卸硬盤做數(shù)據(jù)獲取保全的速度可以達(dá)到8GB/M。速度的差距導(dǎo)致取證人員不會(huì)做為第一選擇。

第二階段：隨著硬盤越做越小，硬盤類型也由機(jī)械硬盤向固態(tài)硬盤轉(zhuǎn)變。固態(tài)硬盤接口大概分為兩大類，一種是正常大小的正常性，一種是迷你接口的迷你型。具體分為U.2、SATA、PCI-E、Macbook、MSATA、M.2七種類型接口，除了SATA類型是常用的接口類型，其他類型的接口拆卸下來后需要用專業(yè)的接口轉(zhuǎn)換器來轉(zhuǎn)接。但是在工作中很多接口轉(zhuǎn)接器很難找到。所以“免拆機(jī)取證技術(shù)”又被取證人員重新重視起來。

2 “免拆機(jī)取證”工具

“免拆機(jī)取證”工具原理很簡(jiǎn)單，就是通過啟動(dòng)一個(gè)系統(tǒng)（非硬盤自身系統(tǒng)），去獲取當(dāng)前電腦的數(shù)據(jù)。

現(xiàn)在各家取證公司都有自己的“免拆機(jī)取證”工具。免費(fèi)的工具也有很多，常見如WinPE、Paladin、DEFT等。WinPE是基于Windows版本制作的，Paladin、DEFT是基于linux版本制作的。取證人員只要下載即可使用。

取證人員也可以自己制做“免拆機(jī)取證”工具。只要掌握兩個(gè)原則：1、硬盤數(shù)據(jù)不被改變（也就是保證數(shù)據(jù)的原始性）；2、硬盤數(shù)據(jù)在傳輸過程要進(jìn)行哈希值檢驗(yàn)。

WinFE和winPE的唯一區(qū)別就是修改了兩個(gè)注冊(cè)表鍵值，一個(gè)是"HKEY_LOCAL_MACHINEsystemControlSet001ServicesMountMgr"，在這個(gè)項(xiàng)中添加一個(gè)DWORD類型，名稱為NoAutoMount的鍵，鍵值為1；這個(gè)鍵值的作用是Mount-Manager服務(wù)不會(huì)自動(dòng)掛載任何存儲(chǔ)設(shè)備。第二個(gè)是"HKEY_LOCAL_MACHINEsystemControlSet001ServicespartmgrParameters" ，它有一個(gè)鍵為"SanPolicy"，把這個(gè)鍵值修改為3（原值為1），其中3表示全部脫機(jī)，1表示全部聯(lián)機(jī)。

所以，可以將普通WinPE工具改成免拆機(jī)取證工具，同時(shí)還可以在上面加入其他合適的取證軟件。

3 “免拆機(jī)取證”存在問題和未來發(fā)展方向

3.1 證據(jù)獲取保全的速度問題

因?yàn)槭艿接?jì)算機(jī)USB口限制的問題（目前很多廠商也開發(fā)了雷電口，多路USB口免拆機(jī)取證），在數(shù)據(jù)拷貝的速度還是無法超越硬盤直接拷貝的速度。在未來發(fā)展上面，需要提高拷貝速度。

3.2 證據(jù)獲取保全過程監(jiān)管問題

按照目前法律的要求，對(duì)證據(jù)獲取保全的過程要求回溯，因此對(duì)免拆機(jī)取證要求就更高了，需要全程錄像。目前大部分工具都只有截圖功能，如果在未來發(fā)展方面增加錄屏錄像功能，使取證過程更加透明。

參與文獻(xiàn)

[1]劉浩陽.電子數(shù)據(jù)取證[M].北京.清華大學(xué)出版社.2015

[2]麥永浩.電子數(shù)據(jù)司法鑒定實(shí)務(wù)[M].北京.法律出版社.2011