Web取證分析技術研究與應用

◆夏 榮

（上海市公安局 上海 200025）

Web取證分析技術研究與應用

◆夏 榮

（上海市公安局 上海 200025）

計算機取證是當前打擊犯罪的熱點研究課題之一。本文研究了針對Web的計算機取證技術，內容包括各種Web服務器端及客戶端的取證分析。Web取證分析技術在發展過程中，其分析工具還不是很多。文章從用例出發，分析了Web取證的特點，構造了一個日志取證的分析框架，簡單介紹了實現的關鍵技術。最后，介紹了幾個Web取證實際案例，進一步對Web取證應用進行描述。

計算機取證; Web取證; 日志分析

0 前言

隨著互聯網的廣泛普及，如網上銀行、網上購物等互聯網應用也被越來越多的人所接受，隨之而來的黑客攻擊、盜竊網銀等涉網案件類型、數量都在逐年增加，因此對計算機取證的要求和難度也在提高。相對于傳統的單臺計算機取證分析，Web取證作為廣義上計算機取證的一種，涉及到客戶端、服務器端、多個操作系統、網絡設備等，需要綜合取證分析。同時，新刑事訴訟法也對證據的內容做出了規定，規定證據包括“視聽資料、電子數據”，電子數據被獨立出來作為一種證據種類，這賦予了電子證據明確的法律地位。上述這些都對如何有效、規范地開展Web取證技術研究和準確應用提出了明確要求。本文構建了Web取證框架和流程，并通過實際案例來闡述Web取證分析技術。

1 WEB取證的技術基礎

本節從計算機取證基礎和Web應用系統架構及技術出發，分析Web取證和計算機取證的關系以及其自身具有的特點，并進而歸納出一個Web取證的框架，為后續實際應用案例的展開提供指導和依據。

1.1 計算機取證的概念

Lee Garber 在IEEE Security發表的文章中認為，計算機取證是分析和提取硬盤、光盤、軟盤、Zip和Jazz磁盤、內存緩沖以及其他形式的存儲介質中的數據，從而發現犯罪證據的過程。

國外專家Judd Robbins對此給出了以下的定義：計算機取證是將計算機調查和分析技術應用于潛在的、有法律效力的證據的確定和提取。系統管理審計和網絡安全協會SANS則歸結為：計算機取證是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

從技術角度來講，計算機取證過程就是針對計算機入侵與犯罪進行證據獲取、保存、分析和出示的過程。

1.2 WEB取證的特點

在計算機取證的體系架構中，Web取證屬于應用取證的范疇。在取證的過程中，除了需要按照一般的取證準則和流程執行外，還需要根據Web應用和系統架構的特點，進行有針對性的分析。與其他應用取證相比，Web取證通常具有如下的特點。

（1）Web應用經常具有跨平臺和分布式的特點。在取證過程中，需要掌握所有的應用部分和運行平臺，從總體上進行考慮。

（2）當前的Web應用有很多屬于企業級的關鍵應用程序。如果按照一般的流程進行關機操作，會給企業帶來很大的損失。Web應用經常會使用在線調查的方式,對服務器的日志進行分析。

（3）數據庫服務器通常使用大型的磁盤陣列。對大型數據存儲的取證是一個復雜的過程。同時，在線數據庫同離線數據庫在數據上存在差異，在取證過程中需要引起注意。

（4）對Web應用的攻擊所遺留的痕跡通常分布在服務器端和客戶端，而且有些攻擊會針對應用服務器和數據庫服務器。因此需要同時對客戶端、Web服務器、應用服務器和數據庫服務器進行取證分析，并相互對照，相互印證[4]。

（5）調查中涉及的網站可能是處于國外或異地，不能直接和管理員取得聯系，只能進行遠程取證。遠程取證要嚴格遵守公安部的遠程勘驗工作規則。

（6）Web應用的取證要求調查人員對Web應用程序、系統架構以及其安全問題有深入的了解，與傳統計算機取證所掌握的知識領域有所不同。

1.3 WEB取證分析的框架與流程

綜上所述，計算機取證同傳統取證之間有很大的不同，Web取證所涉及的方面也要比傳統意義上的單個計算機的取證分析多，可能需要牽涉到多個操作系統、多個業務應用平臺、多種日志關聯、客戶端、服務器以及各種電子證據之間的綜合提煉和分析比較等。因此，根據以上對計算機取證和Web應用及其系統架構的論述,Web取證分析應當遵循如圖1所示的Web取證框架。

圖1 Web取證分析框架

Web取證屬于計算機取證的一部分，所以對其中每個設備的取證需要按照計算機取證的標準流程進行。計算機取證遵循的原則、涉及的技術、取證過程和應當注意的事項，原則上都適用于Web取證。Web取證所要涉及到的方面主要分兩部分，服務器端的取證工作和客戶端的取證工作。同時，在Web取證過程中，往往還會涉及到相關網絡設備的取證工作。圖1中Web服務器分析和客戶端分析是本文研究的重點，是整個計算機取證流程證據分析的一部分。

在對Web進行取證分析時，可以按照圖2的流程進行。

（1）對Web應用流程進行分析。得到對象系統的系統框架和應用邏輯，并確定涉及到的節點。在允許的情況下，將對象系統進行封存和獲取操作。如果對象系統不能關機，則需進行在線調查。

（2）獲取Web和應用服務器的配置文件。獲取有效的配置文件可以為下一步提取相關電子證據提供明確的方向; 配置文件可以提供系統和應用服務的系統屬性、環境變量、文件屬性的有用信息。

（3）獲取和查看Web服務器、應用服務器、數據庫服務器的日志文件。日志是涉網犯罪（尤其是針對Web等網絡應用服務的案件）的重要證據來源。

（4）識別異常的應用行為。包括客戶端的異常輸入行為、異常的Web訪問趨勢; 在Web取證過程中，能否識別異常的用戶行為是能否獲取有效線索的關鍵。

（5）異常引用（referrers）流量。在Web取證中經常會使用流量分析技術，特別是一些拒絕服務攻擊中，往往能從中分析出確切的攻擊時間。

（6）訪問中Cookie的變化情況。服務器中應用服務設計不同，產生的Cookie交換信息也不同。

（7）跟蹤到的客戶端計算機的調查取證。針對Web應用的網絡攻擊必然包括客戶端和服務器端，有時在客戶端上提取的證據能更加準確地反映犯罪事實。例如，在客戶端上提取的上網歷史、緩存、Cookie和刪除記錄。

（8）因特網的緩存。取證過程中一些涉及到的網頁和站點應用經過一段時間后，已經被刪除或下線，只能從刪除數據中恢復網絡應用程序或者從因特網的緩存中獲取。

（9）其他網絡設備。Web取證分析不是一個孤立的系統，其訪問日志和流量記錄可能涉及到路由器、防火墻、代理服務器等網絡節點和設備。這些設備的日志可以和Web的日志進行綜合相關分析，以更好地恢復Web歷史事件。

圖2 Web取證流程圖

因此，在開展Web取證分析的過程中，根據Web應用的不同和案件性質的不同，需要考慮的面很廣，對偵查人員的要求也很高。Web取證一般都涉及到對服務器和客戶端的取證工作，它基于計算機取證的框架和流程，但側重點又有所不同。下面以實際案例來闡述Web服務器和客戶端的取證分析技術。

2 Web取證分析技術應用案例

在Web取證中，數據分析是Web取證的關鍵環節，在已獲取的數據流或信息流中尋找、匹配關鍵詞或關鍵短語是目前主要的數據分析技術。下面通過一個客戶端案例來舉例說明實踐工作中在Web服務器和客戶端進行取證的方法和特點。

在Web取證過程中，只要扣押了犯罪嫌疑人的客戶端計算機，就要對其進行取證分析。客戶端的取證分析運用更加廣泛，可以實現的工具也比較多,下面簡單介紹實際工作中的一個案例。

在一起網絡謠言案中，嫌疑人在論壇張貼了一則恐怖消息，揚言要炸毀國內某重要建筑。警方介入了調查，通過各種線索鎖定了嫌疑人，扣押并封存了嫌疑人的電腦，并獲取了電腦中的數據，開始對其網絡行為進行分析取證。

通過對嫌疑人的上網日志、緩存日志數據進行提取，并根據服務器端時間信息進行過濾分析，發現該嫌疑人清除了上網歷史記錄信息，但沒有清除緩存中的日志信息和數據。通過對緩存記錄進行分析，發現在服務器的發帖時間，該用戶正在用發帖賬戶登錄在服務器上。

同時對嫌疑人電腦中的數據進行分析，發現該嫌疑人編輯發帖信息的文本，將客戶端上獲取的信息同服務器端的證據相印證，從而鎖定該嫌疑人就是傳播恐怖信息的發帖人。

圖3 客戶端分析案例截圖

在實際工作中，涉及到Web取證的案例還很多，這里不再一一列舉。基本上每個計算機的取證都會或多或少的涉及到Web取證。通過大量的實踐證明，客戶端的取證方法根據操作系統和瀏覽器的種類所采用的取證模式相對固定; 而服務器的取證工作由于架構不同、應用不同、網絡環境不同而有很大的區別，基本上每個案例都有其特殊性，需要檢查人員根據實際情況按照規范流程靈活處置。

3 結束語

計算機取證是當前打擊犯罪的熱點研究課題之一，Web應用的不斷發展使得相關案件的比例不斷上升。本文研究了針對Web的計算機取證技術，內容包括Web服務器端的取證和客戶端的取證分析，并根據Web應用發展的情況，考慮了多種情形下的取證工作。

Web實現技術在不斷的發展過程中，本文不可能涉及所有的內容。Web取證涉及到了計算機取證的各個方面，本文未對所有涉及到Web的取證技術進行研究，只對一些在實際工作中Web取證所涉及的部分做了初步的研究和探索。所涉及的取證技術還是基于一些靜態的取證技術，對Web取證中的關鍵點日志，也只是提出了一個分析的模型和框架，對日志的預處理進行了設計，該還有待進一步完善。另外，Web取證和其他相關證據必然有千絲萬縷的聯系，需要綜合考慮。

[1]張越今.網絡安全與計算機犯罪勘查技術學[M].北京：清華大學出版社，2003.

[2]曾學軍.計算機取證技術的發展困境與前景[J].商業時代，2009.

[3]郭巖，白碩，與滿泉.Web使用信息挖掘綜述[J].計算機科學，2005.

[4]張斌，馮耕中，鄭裴峰.Web用戶訪問日志數據挖掘研究[J].情報雜志，2003.

[5]王偉，彭勤科.主機日志分析及其在入侵檢測中的應用[J].計算機工程與應用，2002.