計算機取證技術論文(2)
計算機取證技術論文
計算機取證技術論文篇二
計算機取證技術研究
摘要:隨著計算機和網(wǎng)絡技術的飛速發(fā)展,計算機犯罪和網(wǎng)絡安全等問題也越來越突出,也逐漸引起重視。文章對計算機取證的特點、原則和步驟進行了介紹,最后從基于單機和設備、基于網(wǎng)絡的兩類取證技術進行了深入研究。
關鍵詞:計算機取證 數(shù)據(jù)恢復 加密解密 蜜罐網(wǎng)絡
隨著計算機和網(wǎng)絡技術的飛速發(fā)展,計算機和網(wǎng)絡在人類的政治、經(jīng)濟、文化和國防軍事中的作用越來越重要,計算機犯罪和網(wǎng)絡安全等問題也越來越突出,雖然目前采取了一系列的防護設備和措施,如硬件防火墻、入侵檢測系統(tǒng)、、網(wǎng)絡隔離等,并通過授權機制、訪問控制機制、日志機制以及數(shù)據(jù)備份等安全防范措施,但仍然無法保證系統(tǒng)的絕對安全。
計算機取證技術是指運用先進的技術手段,遵照事先定義好的程序及符合法律規(guī)范的方式,全面檢測計算機軟硬件系統(tǒng),查找、存儲、保護、分析其與計算機犯罪相關的證據(jù),并能為法庭接受的、有足夠可信度的電子證據(jù)。計算機取證的目的是找出入侵者,并解釋或重現(xiàn)完整入侵過程。
一、計算機取證的特點
和傳統(tǒng)證據(jù)一樣,電子證據(jù)也必須是可信的、準確的、完整的以及令人信服并符合法律規(guī)范的,除此之外,電子證據(jù)還有如下特點:
1.數(shù)字性。電子證據(jù)與傳統(tǒng)的物證不同,它是無法通過肉眼直接看見的,必須結合一定的工具。從根本上講,電子證據(jù)的載體都是電子元器件,電子證據(jù)本身只是按照特殊順序組合出來的二進制信息串。
2.脆弱性。計算機數(shù)據(jù)每時每刻都可能發(fā)生改變,系統(tǒng)在運行過程中,數(shù)據(jù)是不斷被刷新和重寫的,特別是如果犯罪嫌疑人具備一定的計算機水平,對計算機的使用痕跡進行不可還原的、破壞性操作后,現(xiàn)場是很難被重現(xiàn)的。另外取證人員在收集電子證據(jù)過程中,難免會進行打開文件和程序等操作,而這些操作很可能就會對現(xiàn)場造成原生破壞。
3.多態(tài)性。電子證據(jù)的多態(tài)性是指電子證據(jù)可以以多種形態(tài)表現(xiàn),它既可以是打印機緩沖區(qū)中的數(shù)據(jù),也可以是各種計算機存儲介質(zhì)上的聲音、視頻、圖像和文字,還可以是網(wǎng)絡交換和傳輸設備中的歷史記錄等等,這些不同形態(tài)都可能成為被提交的證據(jù)類型。法庭在采納證據(jù)時,不僅要考慮該電子證據(jù)的生成過程、采集過程是否可靠,還要保證電子證據(jù)未被偽造篡改、替換剪輯過。
4.人機交互性。計算機是通過人來操作的,單靠電子證據(jù)本身可能無法還原整個犯罪過程,必須結合人的操作才能形成一個完整的記錄,在收集證據(jù)、還原現(xiàn)場的過程中,要結合人的思維方式、行為習慣來通盤考慮,有可能達到事半功倍的效果。
二、計算機取證的原則和步驟
(一)計算機取證的主要原則
1.及時性原則。必須盡快收集電子證據(jù),保證其沒有受到任何破壞,要求證據(jù)的獲取具有一定的時效性。
2.確保“證據(jù)鏈”的完整性。也稱為證據(jù)保全,即在證據(jù)被正式提交法庭時,必須能夠說明證據(jù)從最初的獲取狀態(tài)到法庭上出現(xiàn)的狀態(tài)之間的任何變化,包括證據(jù)的移交、保管、拆封、裝卸等過程。
3.保全性原則。在允許、可行的情況下,計算機證據(jù)最好制作兩個以上的拷貝,而原始證據(jù)必須專門負責,所存放的位置必須遠離強磁、強腐蝕、高溫、高壓、灰塵、潮濕等惡劣環(huán)境,以防止證據(jù)被破壞。
4.全程可控原則。整個檢查取證的過程都必須受到監(jiān)督,在證據(jù)的移交、保管、拆封和裝卸過程中,必須由兩人或兩人以上共同完成,每一環(huán)節(jié)都要保證其真實性和不間斷性,防止證據(jù)被蓄意破壞。
(二)計算機取證的主要步驟
1.現(xiàn)場勘查
勘查主要是要獲取物理證據(jù)。首先要保護計算機系統(tǒng),如果發(fā)現(xiàn)目標計算機仍在進行網(wǎng)絡連接,應該立即斷開網(wǎng)絡,避免數(shù)據(jù)被遠程破壞。如果目標計算機仍處在開機狀態(tài),切不可立即將其電源斷開,保持工作狀態(tài)反而有利于證據(jù)的獲取,比如在內(nèi)存緩沖區(qū)中可能殘留了部分數(shù)據(jù),這些數(shù)據(jù)往往是犯罪分子最后遺漏的重要證據(jù)。如果需要拆卸或移動設備,必須進行拍照存檔,以方便日后對犯罪現(xiàn)場進行還原。
2.獲取電子證據(jù)
包括靜態(tài)數(shù)據(jù)獲取和動態(tài)數(shù)據(jù)獲取。靜態(tài)數(shù)據(jù)包括現(xiàn)存的正常文件、已經(jīng)刪除的文件、隱藏文件以及加密文件等,應最大程度的系統(tǒng)或應用程序使用的臨時文件或隱藏文件。動態(tài)數(shù)據(jù)包括計算機寄存器、Cache緩存、路由器表、任務進程、網(wǎng)絡連接及其端口等,動態(tài)數(shù)據(jù)的采集必須迅速和謹慎,一不小心就可能被新的操作和文件覆蓋替換掉。
3.保護證據(jù)完整和原始性
取證過程中應注重采取保護證據(jù)的措施,應對提取的各種資料進行復制備份,對提取到的物理設備,如光盤硬盤等存儲設備、路由器交換機等網(wǎng)絡設備、打印機等外圍設備,在移動和拆卸過程中必須由專人拍照攝像,再進行封存。對于提取到的電子信息,應當采用MD5、SHA等Hash算法對其進行散列等方式進行完整性保護和校驗。上述任何操作都必須由兩人以上同時在場并簽字確認。
4.結果分析和提交
這是計算機取證的關鍵和核心。打印對目標計算機系統(tǒng)的全面分析結果,包括所有的相關文件列表和發(fā)現(xiàn)的文件數(shù)據(jù),然后給出分析結論,具體包括:系統(tǒng)的整體情況,發(fā)現(xiàn)的文件結構、數(shù)據(jù)、作者的信息以及在調(diào)查中發(fā)現(xiàn)的其他可疑信息等。在做好各種標記和記錄后,以證據(jù)的形式并按照合法的程序正式提交給司法機關。
三、計算機取證相關技術
計算機取證涉及到的技術非常廣泛,幾乎涵蓋信息安全的各個領域,從證據(jù)的獲取來源上講,計算機取證技術可大致分為基于單機和設備的計算機取證技術、基于網(wǎng)絡的計算機取證技術兩類。
(一)基于單機和設備的取證技術
1.數(shù)據(jù)恢復技術
數(shù)據(jù)恢復技術主要是用于將用戶刪除或格式化的磁盤擦除的電子證據(jù)恢復出來。對于刪除操作來說,它只是將文件相應的存放位置做了標記,其文件所占的磁盤空間信息在沒有新的文件重新寫入時仍然存在,普通用戶看起來已經(jīng)沒有了,但實際上通過恢復文件標記可以進行數(shù)據(jù)恢復。對于格式化操作來講,它只是將文件系統(tǒng)的各種表進行了初始化,并未對數(shù)據(jù)本身進行實際操作,通過重建分區(qū)表和引導信息,是可以恢復已經(jīng)刪除的數(shù)據(jù)的。實驗表明,技術人員可以借助數(shù)據(jù)恢復工具,把已經(jīng)覆蓋過7次的數(shù)據(jù)重新還原出來。
2.加密解密技術
通常犯罪分子會將相關證據(jù)進行加密處理,對取證人員來講,必須把加密過的數(shù)據(jù)進行解密,才能使原始信息成為有效的電子證據(jù)。計算機取證中使用的密碼破解技術和方法主要有:密碼分析技術、密碼破解技術、口令搜索、口令提取及口令恢復技術。
3.數(shù)據(jù)過濾和數(shù)據(jù)挖掘技術
計算機取證得到的數(shù)據(jù),可能是文本、圖片、音頻或者視頻,這些類型的文件都可能隱藏著犯罪信息,犯罪分子可以用隱寫的方法把信息嵌入到這些類型的文件中。若果犯罪分子同時結合加密技術對信息進行處理,然后再嵌入到文件中,那么想要還原出原始信息將變得非常困難,這就需要開發(fā)出更優(yōu)秀的數(shù)據(jù)挖掘工具,才能正確過濾出所需的電子證據(jù)。
(二)基于網(wǎng)絡的取證技術
基于網(wǎng)絡的取證技術就是利用網(wǎng)絡跟蹤定位犯罪分子或通過網(wǎng)絡通信的數(shù)據(jù)信息資料獲取證據(jù)的技術,具體包括以下幾種技術:
1.IP地址和MAC地址獲取和識別技術
利用ping命令,向目標主機發(fā)送請求并監(jiān)聽ICMP應答,這樣可以判斷目標主機是否在線,然后再用其他高級命令來繼續(xù)深入檢查。也可以借助IP掃描工具來獲取IP,或者利用DNS的逆向查詢方法獲取IP地址,也可以通過互聯(lián)網(wǎng)服務提供商ISP的支持來獲取IP。
MAC地址屬于硬件層面,IP地址和MAC的轉化是通過查找地址解析協(xié)議ARP表來實現(xiàn)的,當然,MAC跟IP地址一樣,也可能被修改,如此前一度橫行的“ARP欺騙”木馬,就是通過修改IP地址或MAC來達到其目的的。
2.網(wǎng)絡IO系統(tǒng)取證技術
也就是網(wǎng)絡輸入輸出系統(tǒng),使用netstat命令來跟蹤嫌疑人,該命令可以獲取嫌疑人計算機所在的域名和MAC地址。最具代表性的是入侵檢測技術IDS,IDS又分為檢測特定事件的和檢測模式變化的,它對取證最大幫助是它可以提供日志或記錄功能,可以被用來監(jiān)視和記錄犯罪行為。
3.電子郵件取證技術
電子郵件使用簡單的應用協(xié)議和文本存儲轉發(fā),頭信息包含了發(fā)送者和接受者之間的路徑,可以通過分析頭路徑來獲取證據(jù),其關鍵在于必須了解電子郵件協(xié)議中的郵件信息的存儲位置。對于POP3協(xié)議,我們必須訪問工作站才能獲取頭信息;而基于HTTP協(xié)議發(fā)送的郵件,一般存儲在郵件服務器上;而微軟操作系統(tǒng)自帶的郵件服務通常采用SMTP協(xié)議。對于采用SMTP協(xié)議的郵件頭信息,黑客往往能輕易在其中插入任何信息,包括偽造的源地址和目標地址。跟蹤郵件的主要方法是請求ISP的幫助或使用專用的如NetScanTools之類的工具。
4.蜜罐網(wǎng)絡取證技術
蜜罐是指虛假的敏感數(shù)據(jù),可以是一個網(wǎng)絡、一臺計算機或者一項后臺服務,也可以虛假口令和數(shù)據(jù)庫等。蜜罐網(wǎng)絡則是由若干個能收集和交換信息的蜜罐組成的網(wǎng)絡體系,研究人員借助數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集等操作,對誘捕到蜜罐網(wǎng)絡中的攻擊行為進行控制和分析。蜜罐網(wǎng)絡的關鍵技術包括網(wǎng)絡欺騙、攻擊捕獲、數(shù)據(jù)控制、攻擊分析與特征提取、預警防御技術。目前應用較多是主動蜜罐系統(tǒng),它可以根據(jù)入侵者的攻擊目的提供相應的欺騙服務,拖延入侵者在蜜罐中的時間,從而獲取更多的信息,并采取有針對性的措施,保證系統(tǒng)的安全性。
參考文獻:
[1]盧細英.淺析計算機取證技術[J],福建電腦,2008(3).
[2]劉凌.淺談計算機靜態(tài)取證與計算機動態(tài)取證[J],計算機與現(xiàn)代化,2009(6).
看了“計算機取證技術論文”的人還看:
4.計算機安全論文