計算機調查取證,是法醫學下的一個分支,與法醫相似,計算機調查取證是有關從計算機中獲取電子證據並加以分析的過程。近些年來,越來越多的電子證據被各類案件所涉及,計算機調查取證也逐漸成為一門熱門專業。
基本介紹
- 中文名:計算機調查取證
- 外文名:Computer Forensics
- 屬性:專業
- 隸屬於:法醫學
用途,取證目標,工作原理,操作方法,取證原則,如何取證,取證步驟,取證過程,取證常用工具,後續發展,
用途
近些年來隨著手機,個人PDA和其他電子產品的普及,計算機調查取證的源頭也從計算機轉移到其他各類電子產品上,所以計算機調查取證也有時稱作“電子調查取證”(Digital Forensics)。
取證目標
使調查的結果能夠經受法庭的檢查。
工作原理
計算機調查取證的範圍幾乎包含了所有可能寫入數據的電子產品。就電腦而言,大多數時候取證人員需要使用專業的工具來進行取證,比較著名的有EnCase和FTK。使用這些工具的人員都需要接受專業的培訓,得到合格的證書才能為案子取證,當然除了專業的工具,取證人員也使用一些系統工具(一般在DOS下運行,為了保證證據只受最低影響)比如用dd和Netcat進行記憶體的取證分析。
電子證據擁有極強的隱藏性,這也是對取證人員的一大挑戰。此外在英美法系中,已經逐漸地將電子證據規範化。和其他證據類似,取證需要遵循“監督鏈”(Chain of Custody)。監督鏈的內容如下:1、對取得的證據要進行記錄。2、保持證據出庭、上交和交給檢驗員的記錄。3、原證據(硬碟)應該安全地保存在專用的證據箱內,並記錄日誌。4、所有的電子取證以及檢驗都需要在原證據的鏡像上進行,絕不能在原證據上進行。
操作方法
電子證據可以分為“死”證據和“活”證據:前者包括收集來的硬碟,隨身碟,儲存卡等等。是“死”的;後者顧名思義,就是活著的證據,比如記憶體,電腦在運行的狀態下記憶體的內容隨時都在變化,但是記憶體中可能有極為重要的證據,比如剪貼簿的內容,輸入的密碼等等。無論證據是“死”是“活”,都是取證人員所要刨根問底的。
對於“死”的證據,取證人員需要100%跟隨監督鏈的原則,進行取證分析。拿硬碟或隨身碟來說,收集到物理證據後,取證人員會製作一個完全一樣的副本(Bit-stream Copy)。這一步一般都需要一個叫做防寫器(Write Blocker)的物理元件,以防製作副本的過程中系統對原證據寫入數據。在製作副本的同時,取證人員會在原證據上運算MD5或SHA1值,待副本完成後再在副本上運算。MD5或SHA1值就像是指紋一樣,可以用來分辨作出來的副本是否與原證據一樣。而且每次進行取證分析後,取證人員都會進行相同的運算,以確保證據沒有改變,從而確保證據的可靠性。
“活”證據的重要性直到近期才被關注,卻極其重要,可想而知畢竟計算機取證還是一門新興的事物有待發展完善。在犯罪的第一現場,或是嫌疑犯的家中,當有電腦捲入時,美國的法務部門規定如果是開啟的,不要關閉或收集,聯繫計算機取證人員來對應。這樣做的一個原因是越來越多的罪犯開始隱藏自己的罪行,並且對其加密。解密的難度很大,而且費時,但是如果罪犯輸入密碼,密碼就一定會藏在記憶體某處。通過記憶體的取證分析,就可以找到密碼並輕易解密。此外,國外的即時通訊軟體(Yahoo、Facebook等)越來越多地在網頁上運行,這樣使得聊天的內容不會被存在硬碟中而存入記憶體,這也是為什麼“活”證據變得越來越重要的一個原因。因為記憶體的易變性,導致取證前後的記憶體不可能相同,這有可能造成法庭上辯護律師對這些證據可靠性的攻擊,有待相關的法律來完善“活”證據的取證。
計算機調查取證和計算機安全與法律密不可分,取證員需要接受法律和計算機安全甚至網路安全的多方面培訓。在美國,SANS Institute的GIAC Certified Forensics Analyst(GCFA)認證就是針對計算機調查取證員的認證。
取證原則
首先,儘早蒐集證據,並保證其沒有受到任何破壞;
其次,必須保證“證據連續性”(有時也被稱為“chain of custody”),即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化;
最後,整個檢查、取證過程必須是受到監督的,也就是說,由原告委派的專家所作的所有調查取證工作,都應該受到由其它方委派的專家的監督。
如何取證
必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。特別重要的是,計算機取證的全部過程必須是受到監督的,即由原告委派的專家進行的所有取證工作,都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下:
(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統,不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設定、損壞硬體、破壞數據或病毒感染的情況。
(2)確定電子證據。在計算機存儲介質容量越來越大的情況下,必須根據系統的破壞程度,在海量數據中區分哪些是電子證據,哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據,確定這些記錄的存放位置和存儲方式。
(3)收集電子證據。
記錄系統的硬體配置和硬體連線情況,以便將計算機系統轉移到安全的地方進行分析。
用取證工具收集的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據進行分析。對關鍵的證據數據用光碟備份,也可直接將電子證據列印成檔案證據。
利用程式的自動搜尋功能,將可疑為電子證據的檔案或數據列表,確認後傳送給取證伺服器。
各類電子證據匯集時,將相關的檔案證據存入取證伺服器的特定目錄,將存放目錄、檔案類型、證據來源等信息存入取證伺服器的資料庫。
(4)保護電子證據
對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據採用安全措施保護,無關人員不得操作存放電子證據的計算機。不輕易刪除或修改檔案以免引起有價值的證據檔案的永久丟失。
取證步驟
在保證以上幾項基本原則的情況下,計算機取證工作一般按照下面步驟進行:
第一, 在取證檢查中,保護目標計算機系統,避免發生任何的改變、傷害、數據破壞或病毒感染;
第二, 搜尋目標系統中的所有檔案。包括現存的正常檔案,已經被刪除但仍存在於磁碟上(即還沒有被新檔案覆蓋)的檔案,隱藏檔案,受到密碼保護的檔案和加密檔案;
第三, 全部(或儘可能)恢復發現的已刪除檔案;
第四, 最大程度地顯示作業系統或應用程式使用的隱藏檔案、臨時檔案和交換檔案的內容;
第五, 如果可能並且如果法律允許,訪問被保護或加密檔案的內容;
第六,分析在磁碟的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類:①所謂的未分配磁碟空間——雖然目前沒有被使用,但可能包含有先前的數據殘留;② 檔案中的“slack”空間——如果檔案的長度不是簇長度的整數倍,那么分配給檔案的最後一簇中,會有未被當前檔案使用的剩餘空間,其中可能包含了先前檔案遺留下來的信息,可能是有用的證據;
第七,列印對目標計算機系統的全面分析結果,然後給出分析結論:系統的整體情況,發現的檔案結構、數據、和作者的信息,對信息的任何隱藏、刪除、保護、加密企圖,以及在調查中發現的其它的相關信息;
第八,給出必需的專家證明。
上面提到的計算機取證原則及步驟都是基於一種靜態的視點,即事件發生後對目標系統的靜態分析。隨著計算機犯罪技術手段的提高,這種靜態的視點已經無法滿足要求,發展趨勢是將計算機取證結合到入侵檢測等網路安全工具和網路體系結構中,進行動態取證。整個取證過程將更加系統並具有智慧型性,也將更加靈活多樣。
取證過程
取證準備(Preparation) 操作準備
設備準備
證據識別(Identification) 現場證據保護
設備保管
證據收集(Collection) 原始證據提取
原始證據保存
證據分析(Analysis)
取證分析
結論報告
證據提交(Presentation)
證據展示
證據返還
取證常用工具
計算機取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。
