計算機取證技術的發展困境與前景

曾學軍

中圖分類號:TP309 文獻標識碼:A

內容摘要:計算機取證科學是一個迅速成長的研究領域,它在國家安全保護、網絡入侵和犯罪調查方面有著重要的應用前景。本文通過對計算機取證概念的詮釋,進而分析計算機取證技術發展的前景與面臨的困境,提出有效建議,為計算機取證總結出一套程序和方法,以指導實踐,為取證科學發揮更大的作用提供理論參考。

關鍵詞:計算機 取證技術 發展 前景 困境

隨著信息技術的應用和普及,利用計算機和網絡或以計算機和網絡作為攻擊目標的犯罪活動日益猖獗。與計算機相關的法庭案例也不斷出現。一種新的證據形式即存在于計算機及相關外圍設備中的電子證據逐漸成為新的訴訟證據之一。面對計算機犯罪手段的多樣化,加大信息安全防范技術和計算機犯罪取證技術的研究力度勢在必行。目前的研究多著眼于入侵防范,對于入侵后取證技術的研究相對滯后。而僅僅通過現有的網絡安全技術打擊日新月異的計算機犯罪技術,已經不能確保計算機信息系統的安全。 因此,需要發動社會和法律的力量去對付計算機和網絡犯罪,計算機取證學的出現和應用是網絡安全防御理論走向成熟的標志,也是相應法律得以有效執行的重要保障,從而使電子證據作為一種新的證據形式出現在法庭。

計算機取證的概念詮釋

Lee Garber在IEEE Security發表的文章中認為,計算機取證是分析硬盤驅動、光盤、軟盤、ZIP和Jazz 磁盤、內存緩沖以及其它形式的儲存介質,以發現犯罪證據的過程。計算機取證資深專家Judd Robbins對此給出了如下的定義:計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取。計算機緊急事件響應組和取證咨詢公司New Technologies進一步擴展了該定義:計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。SANS公司則歸結為:計算機取證是使用軟件和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。

因此,計算機取證是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術,按照符合法律規范的方式進行證據獲取、保存、分析和出示的過程。從技術上,計算機取證是一個對受侵計算機系統進行掃描和破解,以對入侵事件進行重建的過程。計算機取證又稱為數字取證或電子取證、計算機法醫學,包括物理證據獲取和信息發現兩個階段。物理證據獲取是指調查人員到犯罪或入侵的現場,尋找并扣留相關的計算機硬件;信息發現是指從原始數據(包括文件、日志等)中尋找可以用來證明或者反駁的證據,即電子證據。與傳統的證據一樣,電子證據必須是真實、可靠、完整和符合法律規定的。

計算機取證技術的發展前景

計算機取證技術的概念是外來品,是從入侵取證反黑客開始逐漸形成的。我國有關計算機取證的研究還處于起步階段,技術水平與國外相比還有一定差距;同時我國電子證據的相關法律仍不夠健全,有待完善。隨著科學技術的快速發展,計算機犯罪手段的不斷提高,我們迫切需要進一步健全、規范計算機取證流程,加強計算機取證技術研究,制定和完善相關的法律法規。

(一)國內取證技術的發展

在國內,公安部門打擊計算機犯罪是近幾年的事,有關計算機取證方面的研究和實踐也才剛起步。計算機取證技術隨著黑客技術的提高而不斷發展。為確保取證所需的有效法律證據,根據目前網絡入侵和攻擊手段以及未來黑客技術的發展趨勢,計算機取證技術的研究必須不斷深入和改進,向智能化、專業化和自動化方向發展。

計算機取證科學涉及到多方面的知識。現在許多工作依賴于人工實現,大大降低了取證速度和取證結果的可靠性。所以,在工具軟件的開發上必須結合計算機領域內的其他理論和技術,以代替大部分人工操作。利用無線局域網和手機、PDA、便攜式計算機進行犯罪的案件逐年在上升,這些犯罪的證據會以不同形式分布在計算機、路由器、入侵檢測系統等不同設備上,要找到這些證據需要針對不同的硬件和信息格式做出相應取證的工具。因此,此類取證工具已經成為取證技術研究的新方向。另外,計算機取證技術將進一步與信息安全技術相結合。同時,在網絡協議的設計過程中,今后將考慮到未來取證的需要,為潛在的取證活動保留充足的信息。

(二)取證相關技術的發展

從計算機取證的過程看,對于電子證據的識別獲取可以加強動態取證技術研究,將計算機取證結合到入侵檢測、防火墻、網絡偵聽等網絡安全產品中進行動態取證技術研究;對于系統日志可采用第三方日志或對日志進行加密技術研究;對于電子證據的分析,是從海量數據中獲取與計算機犯罪有關的證據,需進行相關性分析技術研究,需要高效率的搜索算法、 完整性檢測算法優化、數據挖掘算法以及優化等方面的研究。

對入侵者要進行計算機犯罪取證學的入侵追蹤技術研究,目前有基于主機追蹤方法的Caller ID,基于網絡追蹤方法的IDIP、SWT產品。有學者針對網絡層的追蹤問題,提出基于聚類的流量壓縮算法,研究基于概率的追蹤算法優化研究,對于應用層根據信息論和編碼理論,提出采用數字水印和對象標記的追蹤算法和實現技術,很有借鑒意義。在調查被加密的可執行文件時,需要在計算機取證中針對入侵行為展開解密技術研究。

計算機取證的另一個技術問題就是對取證模型的研究和實現,當前應該開始著手分析網絡取證的詳細需求 建立犯罪行為案例、入侵行為案例和電子證據特征的取證知識庫,有學者提出采用XML和OEM數據模型、數據融合技術、取證知識庫、專家推理機制和挖掘引擎的取證計算模型,并開始著手研究對此模型的評價機制。

計算機取證技術的局限

(一)取證軟件的局限性

首先,有關犯罪的電子證據必須沒有被覆蓋;其次,取證軟件必須能夠找到這些數據。并能知道它代表的內容。但從當前軟件的實現情況來看,許多取證分析軟件并不能恢復所有被刪除的文件。許多“取證分析軟件”還僅僅是可以恢復使用rm 或strip命令刪除的文件, 顯然僅使用它們的犯罪手段還相差甚遠。

由于自身的局限性和計算機犯罪手段的變化,現有的取證技術已經不能完全滿足打擊犯罪的要求。另外,由于當前取證軟件的功能集中在磁盤分析上,而其他工作全部依賴于取證專家人工進行,幾乎造成計算機取證軟件等同于磁盤分析軟件的錯覺。這些情況必將隨著對計算機取證研究工作的深入和新取證軟件的開發而得到改善。此外,計算機取證技術還會受到其他計算機理論和技術的影響。

(二)反取證技術的干擾性

正是由于技術上的局限性,使得一些犯罪分子有機可乘。因此在取證技術迅速發展的同時, 一種叫做反取證的技術也悄悄出現了。反取證技術就是刪除或隱藏證據,使取證調查無效。現在反取證技術主要分為三類:數據擦除、 數據隱藏和數據加密。這些技術還可結合使用,使取證工作變得更加困難。

1.數據擦除。數據擦除是最有效的反取證方法,指清除所有可能的證據(索引節點目錄文件和數據塊中的原始數據)。原始數據不存在了,取證自然就無法進行。反取證工具包TDT(The Defiler、Toolkit)專門設計了兩款用于數據擦除的工具軟件Necrofil和 Klismafile .Necrofil用于擦除文件的信息和數據,它直接將 TCT工具包中檢查索引節點狀態的工具ils據為己用,把所有TCT可以找到的索引節點的內容用特定的數據覆蓋,同時它還會用隨機數重寫相應的數據塊;Klismafile用于擦除目錄中的殘存信息,它從目錄文件的入口開始尋找所有被刪除的目錄項,然后用零覆蓋滿足特定條件的目錄項內容。Klismafile不是一個完美的解決工具,因為被它修改后的目錄文件中會出現目錄項大小不正常的情況,當然現在還沒有工具做這項檢查。

2.數據隱藏。為了逃避取證,犯罪者還會把暫時不能被刪除的文件偽裝成其他類型(如庫文件),或者把它們隱藏在圖形或音樂文件中;也有人把數據文件藏在磁盤上的隱藏空間中。比如,反取證工具Runefs就利用TCT工具包不檢查磁盤壞塊的特點,把存放敏感文件的數據塊標記為壞塊來逃避取證。這類技術統稱為數據隱藏。數據隱藏僅僅在取證者不知道到哪里尋找證據時才有效,所以它僅適用于短期保存數據。

3.數據加密。為了長期保存數據,必須把數據隱藏和其他技術聯合使用,比如使用別人不知道的文件格式或加密(包括對數據文件的加密和對可執行文件的加密)。加密數據文件的作用已經為我們所熟知了。而對可執行文件加密是因為在被入侵的主機上執行的黑客程序無法被隱藏, 而黑客又不想讓取證人員反向分析出這些程序的作用。盡管對可執行文件加密的具體方法隨處理器的能力和操作系統的不同而發生變化,但基本思想是相同的:運行時先執行一個文本解密程序來解密被加密的代碼,而被解密的代碼可能是黑客程序,也可能是另一個解密程序。

除此之外,黑客還可以利用Root Kit (系統后門木馬程序等),繞開系統日志或者利用竊取的密碼冒充其他用戶登錄,使取證調查變得更加困難。

克服計算機取證技術局限性的建議

吸收計算機領域內其他的理論和技術有助于更好地打擊計算機犯罪。對下列領域的進一步研究就有可能幫助計算機取證技術克服當前的局限性:

磁盤數據恢復。磁盤是利用它表面介質的磁性方向表示數據的。在將數據寫入磁盤時,磁頭產生的磁場會使存儲數據的介質朝著某個方向磁化。由于新的數據很難精確地寫在原有數據的位置上,即使經過多次隨機覆蓋之后,原來的數據還是可能被找出來。這一結論為取證專家提供了新的思路,使得恢復被覆蓋了的數據成為可能。

解密技術。由于越來越多的計算機犯罪者使用加密技術保存關鍵文件,為了取得最終的證據,需要取證人員將文件中的內容進行解密。另外,在調查被加密的可執行文件時,也需要用到解密技術。

更安全的操作系統。當前,計算機取證軟件的功能很大程度上取決于操作系統的支持。如何提高系統的安全性和更好地保存證據也是一個值得研究的問題。

取證的工具和過程標準化。由于計算機取證倍受關注,很多組織和機構都投入了人力對這個領域進行研究,并且已經開發出大量的取證工具。目前除TCT和En Case以外,還有很多其它的工具。因為沒有統一的標準和規范,軟件的使用者很難對這些工具的有效性和可靠性進行比較。另外,到現在為止,還沒有任何機構對計算機取證機構和工作人員的資質進行認證,使得取證結果的權威性受到質疑。為了能讓計算機取證工作進一步向縱深方向發展,制定取證工具的評價標準、取證機構和從業人員的資質審核辦法,以及取證工作的操作規范是非常必要的。

參考文獻:

1.殷聯甫.計算機取證技術研究[J].計算機系統應用,2005(8)

2.王玉林,申普兵,李潑,高曉飛.基于兩種數據類型的計算機取證技術研究[J].網絡安全技術與應用,2008(4)

3.李濤.網絡安全概論[M].電子工業出版社,2004

4.黃毅銘,汪海航.基于Palm OS移動設備的計算機取證與分析[J].計算機應用與軟件,2007(9)

5.張有東,王建東,朱梧槚.反計算機取證技術研究[J].河海大學學報(自然科學版),2007(1)