計算機免拆機取證常用技術

陳勇 蘇州大學司法鑒定中心

計算機取證（Computer Forensics），又稱為介質取證，是對計算機犯罪行為進行分析以確認證據，并據此提起訴訟，也就是針對計算機入侵與犯罪的電子物品，進行證據獲取、保全、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。

取證的目標：主要是對硬盤、光盤、軟盤、Zip磁盤、U盤等儲存介質。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

計算機取證分為主要四部分：獲取、保全、分析、出示。在計算機取證中“獲取”和“保全”尤為重要，如果獲取的數據出現污染，那么這些受污染的數據在法庭上不可作為證據使用。目前主要是通過對計算機進行拆卸，然后對拆卸的硬盤進行復制克隆，計算哈希值保持數據的唯一性。這種對硬盤進行拆卸復制的好處在于：1、復制速度快。2、證據保全完整，保全過程會全程記錄，自動出具保全記錄。3、保全過程無干擾。缺點也是比較明顯：硬盤接口的種類比較多，市面上常見的硬盤接口有SATA,SAS,SCSI,IDE，還有一些廠商自行定制的接口。

1 免拆機取證技術

何謂“免拆機取證技術”是指對計算機不用通過拆卸硬盤就可以獲取和保全硬盤中的所有數據，并使數據能夠成為證據。

“免拆機取證技術”不是一個新技術，它是由民用電腦操作技術演變而來。在民間普遍電腦愛好者或者從事電腦操作系統安裝人員，當電腦無法正常開機或者忘記開機密碼時,通過微軟自帶的WinPE技術，進入電腦中，把數據轉移出來或者清除密碼。那么在取證工作中也是可以這樣用的，但不能簡單的用WinPE進行獲取保全證據。因為WinPE在啟動后會自動加載硬盤分區，導致分區基本屬性會發生變化。那么取證研發人員在WinPE的基礎上制作了WinFE（全稱 Windows Forensic Environment）。

“免拆機取證技術”在現階段使用是越來越頻繁了。這跟硬盤接口演變是分不開的，從非主流獲取保全方式演變到主流獲取保全方式，經歷兩個階段。

第一個階段：在以“拆卸硬盤”的時代，“免拆機取證技術”作為一種特殊手段用于取證。特殊點1：硬盤無法被拆卸時，才會選擇此辦法進行取證，例如：蘋果一體機iMAC電腦等。取證人員第一選擇還是拆卸硬盤。特殊點2：“免拆機取證技術”的數據傳輸是通過電腦的USB接口進行傳輸。當時的USB接口為2.0，傳輸速率為480MB/S（理論值），實際極限寫入速度在25M/S左右，讀速度在35M/S左右。而拆卸硬盤做數據獲取保全的速度可以達到8GB/M。速度的差距導致取證人員不會做為第一選擇。

第二階段：隨著硬盤越做越小，硬盤類型也由機械硬盤向固態硬盤轉變。固態硬盤接口大概分為兩大類，一種是正常大小的正常性，一種是迷你接口的迷你型。具體分為U.2、SATA、PCI-E、Macbook、MSATA、M.2七種類型接口，除了SATA類型是常用的接口類型，其他類型的接口拆卸下來后需要用專業的接口轉換器來轉接。但是在工作中很多接口轉接器很難找到。所以“免拆機取證技術”又被取證人員重新重視起來。

2 “免拆機取證”工具

“免拆機取證”工具原理很簡單，就是通過啟動一個系統（非硬盤自身系統），去獲取當前電腦的數據。

現在各家取證公司都有自己的“免拆機取證”工具。免費的工具也有很多，常見如WinPE、Paladin、DEFT等。WinPE是基于Windows版本制作的，Paladin、DEFT是基于linux版本制作的。取證人員只要下載即可使用。

取證人員也可以自己制做“免拆機取證”工具。只要掌握兩個原則：1、硬盤數據不被改變（也就是保證數據的原始性）；2、硬盤數據在傳輸過程要進行哈希值檢驗。

WinFE和winPE的唯一區別就是修改了兩個注冊表鍵值，一個是"HKEY_LOCAL_MACHINEsystemControlSet001ServicesMountMgr"，在這個項中添加一個DWORD類型，名稱為NoAutoMount的鍵，鍵值為1；這個鍵值的作用是Mount-Manager服務不會自動掛載任何存儲設備。第二個是"HKEY_LOCAL_MACHINEsystemControlSet001ServicespartmgrParameters" ，它有一個鍵為"SanPolicy"，把這個鍵值修改為3（原值為1），其中3表示全部脫機，1表示全部聯機。

所以，可以將普通WinPE工具改成免拆機取證工具，同時還可以在上面加入其他合適的取證軟件。

3 “免拆機取證”存在問題和未來發展方向

3.1 證據獲取保全的速度問題

因為受到計算機USB口限制的問題（目前很多廠商也開發了雷電口，多路USB口免拆機取證），在數據拷貝的速度還是無法超越硬盤直接拷貝的速度。在未來發展上面，需要提高拷貝速度。

3.2 證據獲取保全過程監管問題

按照目前法律的要求，對證據獲取保全的過程要求回溯，因此對免拆機取證要求就更高了，需要全程錄像。目前大部分工具都只有截圖功能，如果在未來發展方面增加錄屏錄像功能，使取證過程更加透明。

參與文獻

[1]劉浩陽.電子數據取證[M].北京.清華大學出版社.2015

[2]麥永浩.電子數據司法鑒定實務[M].北京.法律出版社.2011