《信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓少勋编著 第9章 计算机取证》由会员分享,可在线阅读,更多相关《信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓少勋编著 第9章 计算机取证(72页珍藏版)》请在金锄头文库上搜索。
1、信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓少勋编著 中国铁道出版社 2009.5,第9章 计算机取证,9.1 电子证据 9.2 计算机取证的概念 9.3 计算机取证的原则与步骤 9.3.1 计算机取证的基本原则 9.3.2 计算机取证的一般步骤,第9章 计算机取证(续),9.4 计算机取证技术 9.4.1 基本的取证技术 9.4.2 基于IDS的取证技术 9.4.3 基于蜜罐的取证技术 9.5 常用的取证工具,第9章 计算机取证,作为计算机领域和法学领域的一门交叉科学,计算机取证(computer forensics)正逐渐成为人们研究于关注的焦点。 本章从电子证据的概念、特点、类型与来源以
2、及常见电子设备中潜在的电子证据入手,介绍了计算机取证的概念、原理与步骤以及常用工具,最后介绍了计算机取证的常用技术蜜罐。,9.1 电子证据,电子证据是自计算机技术出现及发展以后产生的一种新型证据类型,是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。,1、电子证据的概念,电子材料说:电子证据是以电子形式存在的、用作证据使用的一切材料及其派生物;或者说,借助电子技术或电子设备而形成的一切证据。 电子物品说:电子证据是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。 网上证据说: 网上证据即电子证据,是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案
3、件事实的电磁记录物。,1、电子证据的概念(续),计算机证据说:计算机证据是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 独立证据说:电子证据是以通过计算机存储的材料和证据证明案件事实的一种手段,它最大的功能是存储数据,能综合、连续地反映与案件有关的资料数据,是一种介于物证与书证之间的独立证据。 诉讼证据说: 电子证据是存储于磁性介质之中,以电子数据形式存在的诉讼证据。,2电子证据的特点,表现形式的多样性 电于证据超越了以往所有的证据形式,不仅可以用文字、图像和声音等多种方式存储,还可以以多媒体形式存在。例如:某出版社出版的“大百科图书光盘”,通过计算机播放,
4、不仅有文宇,而且配有图像、动画甚至电影片段,还有优美的解说,这种将多种表现形式融为一体的特点是电子证据所特有的。,2电子证据的特点(续),存储介质的电子性 电子证据依据计算机技术产生,化为一组组电子信息存储在特定的电子介质上,例如,计算机硬盘和光盘等,它的产生和重现必须依赖于这些特定的电子介质,而传统的证据(例如笔录)则毋需依赖于其他介质就可以独立重现,这点也正是电子证据的弱点,直接削弱了它的证明力度。因为,如果有人在电子介质上做手脚,例如,运用黑客手段人侵电脑网络,就能改变电子证据本来面目,给证据的认定带来困难。,2电子证据的特点(续),准确性 电子信息严格按照运行于计算机上的各种软件和技术
5、标准产生和运行,其结果完全是“铁面无私”的机器内部对一组组二进制编码的运行结果,丝毫不会受到感情、经验等多种主观因素的影响。因此,如果没有人为的蓄意修改或毁坏,电子证据能准确地反映整个事件的完整过程和每一细节,准确度非常高。,2电子证据的特点(续),脆弱性 书面文件使用纸张为载体,不仅真实记录有签署人的笔迹和各种特征,而且可以长久保存;如有任何改动或添加,都会留下“蛛丝马迹”,通过专家或司法鉴定等手段均不难识别。但电子证据使用电磁介质,储存的数据修改简单而且不易留下痕迹,这导致了当有人利用非法手段入侵系统、盗用密码、操作人员误操作时或供电系统和网络故障等情况发生时,电子证据均有可能被轻易地盗取
6、、修改甚至全盘毁灭而不留下任何证据。它还容易受到电磁攻击,比如,鉴定证据时,一旦不小心打开文件,那么文件的最近修改时间就会改变。,2电子证据的特点(续),数据的挥发性 在计算机系统中,有些紧急事件的数据必须在一定的时间内获得才有效,这就是数据的“挥发性”,即经过一段时间数据可能就无法得到或失效了,就像“挥发”了一样。因此,在收集电子证据时必须充分考虑到数据的挥发性,在数据的有效期内及时收集数据。表9-1描述了数据的挥发性。,2电子证据的特点(续),表9-1 数据的挥发性,2电子证据的特点(续),电子证据和传统证据相比,具有以下优点: 可以被精确的复制,这样只需对副件进行检查分析,避免原件受损坏
7、的风险; 用适当的软件工具和原件对比,很容易鉴别当前的电子证据是否有改变,譬如MD5算法可以认证消息的完整性,数据中的一个比特(bit)的变化就会引起检验结果的很大差异; 在一些情况下,犯罪嫌疑人完全销毁电子证据是比较困难的,如计算机中的数据被删除后还可以从磁盘中恢复,数据的备份可能会被存储在嫌疑犯意想不到的地方。,3电子证据的类型,从证据来源看,可分为三种 : 存储介质中的电子证据 电磁辐射中的电子证据。 线路传输中的电子证据。,3电子证据的类型(续),从证据逻辑层次看,可分为五种: 物理层中的电子证据 链路层中的电子证据 网络层中的电子证据 传输层中的电子证据 应用层中的电于证据,3电子证
8、据的类型(续),从技术角度看,可分为四种 : 现代通信技术应用中出现的电子证据,常见的有电报电文、电话录音、传真资料等。 电子计算机技术应用中出现的电子证据,常见的有单独计算机文件、数据库、日志文件等。 网络技术应用中出现的电子证据,常见的有电子邮件、电子公告牌记录、电子聊天记录、电子数据交换、电子报关单、黑匣子记录、智能交通信息卡资料等。 电视电影技术等应用而产生的电子证据,如影视胶片、光盘资料等。,4电子证据来源,电子证据种类很多,主要包括系统文件、内容数据、通信数据、日志文件、临时文件及电磁辐射等。为了系统条理地分析电子证据的来源,我们把电子证据大体分为三类来源: 从存储介质中获取电子证
9、据 从电磁辐射中获取电子证据 从线路中获取电子证据。,5常见电子设备中潜在的电子证据,计算机系统 : 计算机系统的硬盘及其他存储介质中往往包含相关的电子证据。应检查的存储介质包括移动存储器(外置硬盘、移动硬盘、U盘、各类软盘、磁带和光盘等)、记忆卡(memory Cards)(各类可移动的扩展存储卡,例如 MP3播放器、数码相机的扩展存储卡)。,5常见电子设备中潜在的电子证据(续),自动应答设备 : 具备留言功能的电话机,可以存储声音信息,可记录留言时的时间及当时的录音。其潜在的证据还有:打电话人的身份信息、备忘录、电话号码和名字、被删除的消息、近期电话通话记录和磁带等。 数码相机 : 微型摄
10、像头、视频捕捉卡和可视电话等设备可能存储有影像、视频、时间日期标记、声音信息等。,5常见电子设备中潜在的电子证据(续),手持电子设备: 个人数字助理(PDA)、电子记事本等设备中可能包含有地址簿、密码、计划任务表、电话号码簿、文本信息、个人文档、声音信息、E-mail和书写笔迹等信息。 连网设备 : 包括各类调制解调器、网卡、路由器、集线器、交换机、网线与接口等。一方面这些设备本身就属于物证范畴;另一(回从设备中也可以获得重要的信息,如同卡的MAC地址、一些配音文件等。,5常见电子设备中潜在的电子证据(续),寻呼机 : 寻呼机中的电子证据有:地址信息、文本信息、E-mail、声音消息和电话号码
11、等 。 打印机 : 很多打印机都有缓存装置,当打印时可以接受并存储多页文档,有的甚至还有硬盘装置。从这些设备中可以获取以下资料:打印文档、时间日期标记、网络身份识别信息和用户使用日志等。,5常见电子设备中潜在的电子证据(续),扫描仪 : 根据扫描仪的个体扫描特征可以鉴别出经过其处理的图像的共同特征。 其他电子设备 : 复印机 读卡机 传真机 全球定位仪,9.2 计算机取证的概念,目前,计算机取证一词并没有严格的定义,其代表性的定义有多种。 一般地,计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程,它能推动或促进犯罪事件的重
12、构,或者帮助预见有害的未经授权的行为。,9.2 计算机取证的概念(续),若从一种动态的观点来看,计算机取证可归结为以下几点: 是一门在犯罪进行过程中或之后收集证据的艺术; 需要重构犯罪行为; 将为起诉提供证据; 对计算机网络进行取证尤其困难,且完全依靠所保护的信息的质量。,9.3 计算机取证的原则与步骤,为保证计算机证据的合法性、有效性,保证取证过程中的公开性、公平性与科学非常重要。 本小节将介绍计算机取证的基本原则与具体的取证步骤。,9.3.1 计算机取证的基本原则,尽早搜集证据,并保证其没有受到任何破坏,如销毁或其他破坏方式,也不会被取证程序本身所破坏 。 必须保证取证过程中计算机病毒不会
13、被引入目标计算机; 必须保证“证据连续性”(chain of custody),即在证据被正式提交给法庭时必须保证一直能跟踪证据,也就是要能说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化,还要能够说明证据的取证拷贝是完全的,用于拷贝这些证据的进程是可靠并可复验的以及所有的介质都是安全的;,9.3.1 计算机取证的基本原则(续),整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其他方委派的专家的监督; 必须保证提取出来的可能有用的证据不会受到机械或电磁损害; 被取证的对象如果必须运行某些商务程序,要确保该程序的
14、运行只能影响一段有限的时间; 在取证过程中,应当尊重不小心获取的任何关于客户代理人的私人信息,不能把这些信息泄露出去。,计算机取证过程,计算机取证的过程一般可划分为以下3个阶段: 证据获取阶段:保存计算机系统的状态,以供日后分析。利用相关的工具把可疑存储设备上的数据复制到可信任的设备上。 证据分析阶段:分析文件系统并列出目录内容和已删除文件的名字,还要恢复已删除的文件,以最有效的格式给出数据。这一阶段将使用原始数据的精确副本,应保证这些工作能显示存在于镜像中的所有数据,而且证据必须是安全的,有非常严格的访问控制。,计算机取证过程(续),计算机取证的过程一般可划分为以下3个阶段: 证据保全:证据
15、保全是指法院依其职权或者根据当事人的申请根据法定程序,在证据有可能灭失或者以后难以取得的情况下采取科学的技术方法手段,对证据进行固定和保护的制度。 证据保全是指用一定的形式将证据固定下来,加以妥善保管,以便有关人员对证据进行分析、认定案件事实。证据保全是取证制度的重要环节,在一定程度上它是证据收集工作的延续。由于电子证据相对于传统证据而言,往往更易于被删除、修改,因此加强电子证据的保全工作具有更特殊的意义。,9.3.2 计算机取证的一般步骤,第1步,在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染。 第2步,搜索目标系统中所有的文件。包括现存的正常文件,已经被删除
16、但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。 第3步,全部(或尽可能)恢复所发现的已删除文件。 第4步,最大程度显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。,9.3.2 计算机取证的一般步骤(续),第5步,如果可能且法律允许,访问被保护或加密文件的内容。 第6步,分析在磁盘的特殊区域(最典型的是难以访问的区域)中发现的所有相关数据。 第7步;打印对目标计算机系统的全面分析结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单。然后给出分析结论,包括系统的整体情况,已发现的文件结构、被挖掘出来的数据和作者的信息,对信息的任何隐藏、删除、保护和加密企图,以及在调查中发现的其他的相关信息。,9.3.2 计算机取证的一般步骤(续),由于计算机取证与法律密切相关,所以在取证过程中,应注意如下与法律相关的因素: 可能需要国家执法机关授予调查电子犯罪的权力; 针对金融方面的案件还要考虑服务本身的保密性; 法律介入的程度取决于案件的影响力; 法律介入者可能缺乏互联网知识,有必要培训执法官员; 犯
