對計算機取證技術的一些探討

楊繼武

YANG Ji-wu

（河北旅游職業學院，承德 067000 )

0 引言

我國計算機取證，還存在一些問題，主要表現在以下六個方面：第一，隨著存儲設備制造技術的發展，各類存貯設備在日趨小型化的同時，其數據存儲量呈指數級增長，然而其價格卻在暴跌。第二，計算機硬件技術快速發展，導致最先進的硬件設備使用時間較短，這使得計算機取證時需投入巨大的資金來更新硬件設備。第三，隨著網絡應用的普及，人們的交流工具已經變得多種多樣，例如電話、視頻、電子郵件、可視電話等。這也就為犯罪分子提供了更多的犯罪交流方式。犯罪分子通過這些方式進行犯罪雖然可以留下對破案有利的信息，但是這些信息由于其保存時限的因素，一般都會被網絡服務供應商覆蓋掉，從而很難發現這些犯罪證據。第四，隨著信息技術的不斷發展，出現了很多反計算機取證的軟件。這些軟件是很容易購買到的，甚至不需花錢就可以從網上下載下來，使得犯罪分子更加的放肆，他們可以通過這些軟件對數據進行加密、刪除和偽裝等，甚至還有些懂一些計算機技術的犯罪分子在計算機系統中設置“陷阱”，就是非本人操作計算機，系統就會自動銷毀證據，很明顯這為犯罪分子提供了方便，而給刑事取證工作帶來了很大的阻礙。第五，目前分析電子證據主要還是靠人工來進行，因此，計算機取證需要很長的周期，導致很多計算機和存貯設備停下來等待分析和取證，因此，分析、提取線索和證據的速度和效率受到了很大的影響。第六，對于計算機網絡技術和電子證據的收集和提取方法，目前還有很多偵查人員還不太熟悉，而對于現場勘查等偵查工作，電子證據檢驗人員基本上也都不熟悉，導致很多有價值的線索被忽略甚至被毀壞掉，阻礙了案件偵破工作。為了更好的打擊計算機犯罪，計算機取證技術發揮了巨大的作用。計算機取證是使用軟件和工具對計算機系統進行全面的檢查，從而對有關計算機犯罪的證據進行提取和保護。目前，我國很多部門都對計算機取證技術進行研究并取得一定的成果。

1 我國計算機取證技術研究現狀

計算機取證是使用軟件和工具對計算機系統進行全面的檢查，從而對有關計算機犯罪的證據進行提取和保護。通常情況下，所說的計算機取證也包括計算機外設以及嵌入式系統中的取證。由于這兩種方法取證的原理基本相同，因此，對其不進行區分，都統稱為計算機取證。計算機取證主要分為物理證據獲取和信息發現兩個階段。物理獲取就是指相關人員到現場去尋找；信息發現就是指從原始信息中尋找可以用來證明的電子證據。我國的一些高校和研究機構紛紛開始研究計算機取證，其中取證機的研發主要由中科院來進行，并且，吉林大學在網絡逆向追蹤、復旦大學和浙江大學在取證技術、北京航空航天大學在入侵誘騙模型、電子科技大學在網絡欺騙等方面開展研究工作。

2 計算機取證流程

計算機取證流程如圖1所示。首先，取證準備。此過程要客觀分析取證環境和條件；其次，現場勘查及證據固定。必須對證據獲取的合法性進行確保；再次，數據分析及證據提取。需要分析獲取的數據，并且把與案件相關且能夠證明犯罪事實的數據找出來，也就是說使數據與案件的關聯性得以保證。最后，證據的呈遞。鑒定所獲取的電子證據，從而使得證據對犯罪定性的有效得以保證。在計算機取證流程中，證據固定和數據分析過程是最為關鍵的也是技術含量最高的兩個環節。

圖1 計算機取證流程圖

2.1 計算機取證的證據固定

證據固定必須在嚴格的操作規范中進行，其工具的獲取必須使用專業的數據來進行，精確復制存儲介質中的每一個字節，其保存主要用單獨文件或連續文件片段來進行。另外，證據文件的格式必須與法庭接受的標準相符。目前，Linux DD鏡像格式和Expert Witness證據文件格式這兩種格式是國際法庭普遍承認的證據文件格式。

2.2 計算機取證的數據分析

電子取證要求輔助的設備必須保證安全可靠，并且要求取證和分析數據的信息網絡系統，原始數據從設備和信息網絡系統中獲取，盡可能使獲取來的信息不被干擾，在分析原始數據之前，要對原始數據進行數字簽名。取證人員尋找犯罪證據的關鍵：1）要確保找到的犯罪證據是原始的，沒有被篡改過的；2）所找到的這些數據必須從取證軟件中能夠找到；3）取證人員要了解這些文件，并能夠斷定這些文件與犯罪是相關的。

3 計算機取證技術研究

3.1 分布式自治型計算機取證系統

基于網絡的計算機取證研究對電子證據的提取和保護主要采用實時的動態方式來進行，保證能在網絡攻擊行為發生時自動地對攻擊證據進行收集并對攻擊行為做出反應。目前，集中式處理和管理的證據收集方式是當前的取證系統在證據收集平臺上應用較多的一種方式，此系統遵循自頂向下的控制流程，具有較復雜的層次結構。此設計的缺點主要在于單點失效、負載不均衡、容易產生性能瓶頸、網絡帶寬不足等問題，例如一旦黑客對取證系統進行攻擊，將會使系統無法正常提供服務，將無法收集大量的后期攻擊行為。為了克服上述這些缺點，一種分布式自治型的證據收集平臺誕生了，此系統主要采用三層的分布式體系結構，如圖2所示。各個取證子節點都能夠實現獨立完成證據的收集。

圖2 分布式取證系統整體拓撲結構

圖3為自治取證節點模塊及流程圖。網絡數據的檢測由證據檢測模塊來進行，如果發現有異常行為，就把證據提取模塊激活；經過證據提取模塊進行分析的初步檢測結果，提取證據依據給定的規則來進行；本地保存模塊所生成的證據，為以后的分析和查詢提供依據；證據傳輸模塊的任務就是安全地將證據記錄提交給證據服務器。

圖3 自治取證節點模塊及流程

3.2 基于數字圖像邊緣特性濾波的取證技術

數字圖像取證很顯然是針對圖像的篡改而進行的。進行圖像取證的前提就是要清楚地了解常用的圖像篡改手段，數字圖像取證研究的重點就是對圖像合成和潤飾的檢測。

3.2.1 同態濾波放大人工模糊邊界

將頻率過濾和灰度變換采用同態濾波的方法結合起來，在頻域中同時壓縮圖像亮度范圍和增強圖像對比度，從而使得能夠同時實現壓縮整幅圖像的灰度動態范圍以及讓模糊的拼接邊緣灰度級擴展，從而使得人工模糊操作中的模糊邊界和邊界內外像素的區別得以放大，使取證的準確性進一步提高。圖像經過同態濾波后，使得圖像經過人工模糊處理后的拼接邊緣放大了，此時就可以對閾值進行設定，采用腐蝕運算，把圖像自然邊緣排除掉，對圖像拼接偽造的區域進行提取定位。

3.2.2 形態學濾波的模糊操作檢測

處理邊緣二值圖像采用形態學濾波，此時構造合適的結構元素是非常重要的。提取有效邊界信息的關鍵在于結構元素的形狀、大小的選擇。大的結構元素可以把大噪聲顆粒去掉，但是同時也會把部分細節的拼接邊緣腐蝕掉，這樣很容易造成漏判；小的結構元素不能把層次鮮明的部分正常邊緣腐蝕掉，這樣很容易造成誤判；結構元素的大小應該選擇三像素的方形結構。對圖像中模糊操作進行檢測過程如下：1）合適的同態濾波函數的設計，對預取證圖像的邊緣進行邊緣灰度級擴展處理。2）把經同態濾波后圖像的二值邊緣圖像信息提取出來。3）選擇合適的結構元素腐蝕運算二值邊緣圖像信息，把未經增強的圖像正常邊緣腐蝕收縮掉，把經過增強處理的圖像模糊拼接邊緣提取出來，從而使得圖像的偽造區域得以定位。

3.3 基于Agent的自適應動態取證系統

通過對網絡數據流的捕捉和分析，實時監控網絡的運行狀態，這就是所謂的自適應網絡取證。Agent是一種自治的軟體實體，在需要時能夠主動或被動地從一個網絡結點遷移到另一個網絡節點，在任意點都能夠中斷執行。基于移動Agent的自適應動態取證系統（MADFS）被提出了，在被檢測取證的異構環境網段中，將取證技術與網絡安全系統和網絡體系結構結合起來，運用的Agent是分布于網絡各節點之間的，自適應實時識別、獲取和分析所有可能的非法和可疑網絡時間信息，對犯罪入侵者身份以及攻擊者動機進行智能分析，在確保網絡系統安全的情況下，獲取大量的證據。隨著網絡物理部件的改變以及時間變化，自適應動態取證相應系統也要隨之發生變化，除此之外，更重要的是要根據犯罪分子犯罪手段的改變而改變。

3.4 基于入侵容忍的蜜罐網絡取證系統

目前，很多計算機取證專家都已經開始對蜜罐與蜜網技術進行研究分析，只要安全的布置蜜網，就可以把大量的攻擊行為正確地收集到。針對蜜罐和蜜網的研究，一種主動蜜罐系統的結構設計被提出來。能夠自動生成滿足入侵者攻擊目的的自適應對象就是“主動”的具體表現；通過分析最初對入侵者行為的捕獲數據，系統生成了一個和攻擊目的匹配的對象，從而獲得的入侵者信息比較深入。如圖4所示，蜜罐服務器并非是一個真實的蜜罐。只是一個虛擬的。每個虛擬的蜜罐只要配有合法的外部IP地址，就可以看作是一臺獨立的機器，從而可以對多種不同的操作系統進行模仿。把從蜜罐中收集的日志數據存儲起來，實現日志與蜜罐的分離，這就是日志數據庫的作用。如果蜜罐被攻擊，這樣的話，日志文件會被破壞的可能性就會為零。用于分析日志數據庫信息，將信息歸類，若為已知攻擊行為則直接按照一定的數據定義規則存入電子證據庫；否則，將其反饋到管理服務器中，從而產生自適應對象的依據。生產滿足入侵者攻擊需求的目標這就是所謂的自適應對象，其也就是說生成虛擬蜜罐。管理服務其對入侵者的初步目的的判斷是通過反饋回來的數據信息來進行的，從而將虛擬蜜罐配置在蜜罐服務器中。主動蜜罐系統其實就是對傳統蜜罐系統的改進，基于入侵誘騙技術的思想，將傳統蜜罐中的缺點克服掉。主動蜜罐可以根據入侵者的攻擊目的提供相應的欺騙服務，拖延入侵者在蜜罐中的時間，從而可以獲得更多有關入侵者行為和所使用攻擊工具的信息，并且根據所獲得的信息，對入侵者采取動態的防范措施，有效地提高了系統的安全性。

圖4 主動蜜罐網絡取證系統總體設計

計算機取證技術是獲取電子證據的主要手段，其是一門專業性較強的學科。隨著計算機取證技術的發展，我國的計算機取證技術將逐步向相關技術領域發展，動態和靜態取證方式結合已經成功地成為計算機取證技術發展的方向，如可以通過加強動態取證技術的研究來識別獲取電子證據，將計算機取證結合到入侵檢測、防火墻、網絡偵聽等網絡安全產品中進行動態取證技術研究；對于系統日志可采用第三方日志或對日志進行加密技術研究；對于電子證據的分析，是從海量數據中獲取與計算機犯罪有關證據，需進行相關性分析技術研究，需要高效率的搜索算法、完整性檢測算法優化、數據挖掘算法以及優化等方面的研究。我國在計算機取證技術上提升空間還是很大的，因此，相關機構和人員需要繼續對其進行研究。

4 結束語

本文對“分布式自治型計算機取證系統”、“基于數字圖像邊緣特性濾波的取證技術”、“基于Agent的自適應動態取證系統”和“基于入侵容忍的蜜罐網絡取證系統”這四種計算機取證技術進行了分析，雖然這些技術在計算機取證工作中取得了較好的成績，但是隨著網絡的不斷發展，其也需要不斷地進行更新或升級。完善計算機取證技術是加強計算機取證工作的一項主要內容。要想提高計算機取證工作的質量，還需要加強有關人員的合作與培訓，計算機取證是一門綜合性學科，目前計算機取證工作雖然具有很多高科技的技術，但是都是需要人來進行操作，因此，加強相關人員的合作和培訓也是必不可少的一項內容。

[1]吳姚睿.基于主動獲取的計算機取證方法及實現技術研究[D].吉林大學,2009.

[2]陳龍,王國胤.計算機取證技術綜述[J].重慶郵電學院學報(自然科學版),2005,(06).

[3]王玲,錢華林.計算機取證技術及其發展趨勢[J].軟件學報,2003,(09).

[4]孫波.計算機取證方法關鍵問題研究[D].中國科學院研究生院(軟件研究所), 2004.

[5]張有東.網絡取證技術研究[D].南京航空航天大學,2007.

[6]于淼,孫睿.計算機取證綜述[J].北京聯合大學學報(自然科學版), 2007,(02).

[7]鐘秀玉.計算機取證問題分析與對策[J].電腦開發與應用,2005,(03).

[8]王永全.通信網絡中犯罪行為的取證技術[J].電信科學,2006,(06).