《计算机取证的概念、步骤和相关的工具》由会员分享,可在线阅读,更多相关《计算机取证的概念、步骤和相关的工具(7页珍藏版)》请在金锄头文库上搜索。
1、一、计算机取证的概念、步骤和相关的工具1、计算机取证的概念取证专家Reith Clint Mark认为:计算机取证(computer forensics)可以认为 是“从计算机中收集和发现证据的技术和工具” 11。实际上,计算机取证就 是对于存在于计算机及其相关设备中的证据进行获取、保存、分析和出示。用于 计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能,使得由 于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证 据使用的数据资料。2、计算机取证的步骤.2.1 保护现场和现场勘查现场勘查是获取证据的第一步,主要是物理证据的获取。这项工作可为下面 的环节打下基础。
2、包括封存目标计算机系统并避免发生任何的数据破坏或病毒感 染,绘制计算机犯罪现场图、网络拓扑图等,在移动或拆卸任何设备之前都要拍 照存档,为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件 由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。2.2 获取证据证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。 这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能 的取证工具。2.3 鉴定证据计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用 标准。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改 过。而计算机获取的证据又
3、恰恰具有易改变和易损毁的特点。例如,腐蚀、强磁 场的作用、人为的破坏等等都会造成原始证据的改变和消失。所以,取证过程中 应注重采取保护证据的措施。在这一步骤中使用的取证工具包括含有时间戳、数 字指纹和软件水印等功能的软件,主要用来确定证据数据的可靠性。2.4 分析证据这是计算机取证的核心和关键。证据分析的内容包括:分析计算机的类型、 采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远 程控制、木马程序及当前计算机系统的网络环境。注意分析过程的开机、关机过 程,尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。分析在 磁盘的特殊区域中发现的所有相关数据。利用磁盘存储
4、空闲空间的数据分析技术 进行数据恢复,获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数 据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。可通过该计算机 的所有者,或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、 上网 IP 等计算机特有信息识别体,结合全案其他证据进行综合审查。注意该计 算机证据要同其他证据相互印证、相互联系起来综合分析。同时,要注意计算机 证据能否为侦破该案提供其他线索或确定可能的作案时间和罪犯。用于进行计算 机证分析的工具必须完成这些任务之一。2.5 进行追踪上面提到的计算机取证步骤是静态的,即事件发生后对目标系统的静态分 析。随着计算机犯罪技术
5、手段的升级,这种静态的分析已经无法满足要求,发展 趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进 行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。对某 些特定案件,如网络遭受黑客攻击,应收集的证据包括:系统登录文件、应用登 录文件、AAA登录文件(比如RADIUS登录)、网络单元登录(Network Element logs)、防火墙登录、HIDS事件、NIDS事件、磁盘驱动器、文件备份、电话记 录等等。对于在取证期间犯罪还在不断进行的计算机系统,采用入侵检测系统对 网络攻击进行监测是十分必要的。也可以通过采用相关的设备或设置陷阱跟踪捕 捉犯罪嫌疑人。
6、2.6 提交结果 打印对目标计算机系统的全面分析和追踪结果,然后给出分析结论:系统的 整体情况,发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保 护、加密企图,以及在调查中发现的其它的相关信息。标明提取时间、地点、机 器、提取人及见证人。然后以证据的形式按照合法的程序提交给司法机关。3、计算机取证的相关工具.3.1 一般工具软件用于检测分区的工具软件、杀毒软件、各种压缩工具软件等。3.2 取证专用工具软件: 文件浏览器:这类工具是专门用来查看数据文件的阅读工具。只用于查看而 没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。比较好的软件是 Quik View Plus()。它可
7、以识别200种以上文件类型,可以浏览各种电子邮件文档。 比起 WordPerfect 的频繁转换要方便的多。 Conversion Plus 可以用于在 Windows 系统下浏览 Macintosh 文件。图片检查工具:ThumbsPlus是一个功能很全面的进行图片检查的工具。 反删除工具:这方面的取证分析工具中最主要的是诺顿工具,虽然这是一个 老式的工具,但在有些时候是很有用的。CD-ROM 工具:使用 CD-R Diagnostics 可以看到在一般情况下看不到的数 据。文本搜索工具:dtSearch是一个很好的用于文本搜索的工具,特别是具有搜 索Outlook的.pst文件的能力。驱动
8、器映像程序:可以满足取证分析(即逐位拷贝以建立整个驱动器的映像) 的磁盘映像软件包括: SafeBack()、SnapBack()、Ghost()、dd(UNIX 中的标准工 具)等。磁盘擦除工具:这类工具主要用在使用取证分析机器之前,为了确保分析机 器的驱动器中不包含残余数据,显然,只是简单的格式化肯定不行。从软盘启动 后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。 取证程序:取证软件的效能倾向于同时拥有收集及分析数据的功能。目前,国际 上的主流产品有:Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT 文件系统中的访
9、问行为。这些程序包括的命令有:AFind(根据最后访问时间给出 文件列表,而这并不改变目录的访问时间)、HFind(扫描磁盘中有隐藏属性的文 件)、SFind(扫描整个磁盘寻找隐藏的数据流)、(报告所有单独文件的属性)、 NTLast(提供标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时 间,并且它能够指出登录是远程的还是本地的)。The Coroner s Toolkit(TCT):主要用来调查被“黑”的Unix主机,它提供 了强大的调查能力,它的特点是可以对运行着的主机的活动进行分析,并捕获目 前的状态信息。其中的grove-robber可以收集大量的正在运行的进程、网络连接 以
10、及硬盘驱动器方面的信息。数据基本上以挥发性顺序收集,收集所有的数据是 个根缓慢的过程,要花上几个小时的时间。 TCT 还包括数据恢复和浏览工具 unrm&lazarus、获取 MAC时间的工具mactime。还包括一些小工具,女口 ils (用 来显示被删除的索引节点的原始资料)、icat(用于取得特定的索引节点对应的文 件的内容)等等。EnCase 自称是唯一一个完全集成的基于 Windows 界面的取证应用程序,其 功能包括:数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、 保存案例等。ForensicX:主要运行于Linux环境,是一个以收集数据及分析数据为主要目 的的工具。
11、它与配套的硬件组成专门工作平台。它利用了 Linux支持多种文件系 统的特点,提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里 的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可以自动搜索 互联网上的域名,为网络取证进行必要的收集工作,新版本具有识别隐藏文件的 工具。New Technologies Incorporated (NTI, .): NTI 是取证软件最为固定的商家之 一。 NTI 以命令的形式执行软件,所以速度很快,软件包的体积小,适合于在软 盘上使用。该公司提供的取证工具包括:CRCMD5: 一个可以验证一个或多个文件内容的CRC工具。DiskS
12、crub: 个用于清除硬盘驱动器中所有数据的工具。DiskSig: 个CRC程序,用于验证映像备份的精确性。 :一个磁盘目录工具用来建立用户在该系统上的行为时间表。 Filter_we: 种用于周围环境数据的智能模糊逻辑过滤器。GetSlack: 一种周围环境数据收集工具,用于捕获未分配的数据。 GetTime: 种周围环境数据收集工具,用于捕获分散的文件。Net Threat Analyzer:网络取证分析软件,用于识别公司互联网络账号 滥用。M-Sweep: 一种周围环境数据清除工具。NTI-DOC: 种文件程序用于记录文件的日期、时间以及属性。PTable:用于分析及证明硬盘驱动器分区的
13、工具。Seized: 一种用于对证据计算机上锁及保护的程序。ShowFL :用于分析文件输出清单的程序。TextSearch Plus:用来定位文本或图形文件中的字符串的工具。本文所论述的软件工具主要是指取证专用软件。二、计算机取证工具应具备的基本功能计算机取证需要的软件工具必须满足最基本的取证要求,具备下列基本功能之一:1、发现计算机证据可以根据案情定位可疑主机和犯罪现场的位置。2、存储计算机证据存储计算机证据的软件工具主要是指那些能够对计算机证据进行保全的软件,可以证明计算机证据从获取到提交法庭这段时间内没有被修改过。3、传输计算机证据能够保证计算机证据的可靠传输。4、提取计算机证据这方面
14、的计算机取证工具主要用于从可疑主机或网络上自动提取出计 算机证据。5、分析计算机证据对含有计算机证据的计算机系统或网络进行分析,发现和犯罪事实相关 联的全部数据资料6、鉴定计算机证据确定计算机证据符合证据的可采用标准。三、计算机取证工具检测的必要性目前,计算机取证工具主要是国外生产的,国内的产品还寥寥无几。但是,随着计算机应用的普及,计算机证据会越来越多,用于计算机取证的国产工 具目前也有了一些并且有一些正在研制过程中。哪些软件工具可以用于计算机取 证,哪些企业可以生产计算机取证工具,什么样的计算机取证工具可以用于司法 活动,这些都是亟待解决的问题。所以,我国计算机取证工具的检测和认定是十 分
15、必要的。可以在“双软认定”(是指软件企业的认定和软件产品的登记,)的基 础上进行更加严格细致的专业测试和管理。1、计算机取证工具的生产属于特殊行业生产计算机取证工具软件的企业实际上是在生产破案工具,应该是经过 严格的资格认定的企业或者国家机关,并且应该属于公安机关或其他司法机关认 定的特殊行业。目前的这种任何软件企业都可以生产和研制的状况必须改变。2、计算机取证工具软件的质量事关重大 计算机取证软件工具的质量关系到案件是否能够及时侦破,关系到司法 活动的公平和公正性。如果计算机取证工具质量低劣或者功能欠缺就有可能造成 犯罪分子逍遥法外或者错抓错捕的情况,使法律失去尊严、丧失公正。所以,计 算机
16、取证工具的质量必须得到保障。四、计算机取证工具的检测方法1、 制定计算机取证工具产品和行业标准 生产计算机取证产品的企业应该进行特种行业的资质认定,在有管理部 门备案。同时,制定管理办法对从事计算机取证产品的生产企业进行常规管理。 这些管理办法应该包括生产企业的规模、设备、技术水平、技术人员等等。应定 期对生产企业进行检查,对于不具备生产条件的企业或者生产的产品不合格的企 业应该予以撤销。对于信得过的产品可以加以推广以形成我国自己的具有代表性 的取证产品。计算机取证产品的管理包括产品生产和使用全过程的管理。特别是,在 产品投入使用之前应该进行严格的测试和试运行。计算机取证产品应该严格禁止 假、冒、伪、劣,采用软件水印技术等先进技术并建立严格的法律法规防止盗版 侵权。这方面的管理标准应该包括产品
