5.7.4 计算机取证相关技术
计算机取证过程充满了复杂性和多样性,这使得相关技术也显得复杂和多样。依据计算机取证的过程,涉及的相关技术大体如下:
(1)电子证据监测技术
随着计算机犯罪案件的日益增多,计算机取证面临着越来越多的困难,其中最为严重的就是证据问题,对于计算机犯罪的取证,就是对计算机数据的取证。电子数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据,分析是否存在可作为证据的电子数据,涉及的技术大体有事件/犯罪监测、异常监测(Anomalous Detection)、审计日志分析等。
(2)物理证据获取技术
依据电子证据监测技术,当计算机取证系统监测到有入侵时,应当立即获取物理证据,它是全部取证工作的基础,在获取物理证据时最重要的工作是保证所保存的原始证据不受任何破坏。在调查中应保证不要改变原始记录;不要在作为证据的计算机上执行无关的程序;不要给犯罪者销毁证据的机会;详细记录所有的取证活动;妥善保存得到的物证。物理证据的获取是比较困难的工作,因为电子证据存在的范围很广,而且很不稳定:电子数据证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区、计数器、用户进程存储区、堆栈、文件缓冲区和文件系统本身等不同位置。常用的数据获取技术包括:对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰;对数据和软件的安全搜集技术;对磁盘或其他存储介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;对交换文件、缓存文件、临时文件中包含的信息的复原技术;计算机在某一特定时刻活动内存中的数据的搜集技术;网络流动数据的获取技术,如Windows平台上的sniffer工具netxray和sniffer pro软件,Linux平台下的TCP Dump根据使用者的定义对网络上的数据包进行截获的包分析工具等。
(3)电子证据收集技术
电子数据收集技术是指遵照授权的方法,使用授权的软硬件设备,将已收集的数据进行保全,并对数据进行一些预处理,然后完整安全地将数据从目标计算机转移到取证设备上。保全技术则是指对电子证据及整套的取证机制进行保护。这需要安全的传输技术、无损压缩技术、数据剪裁和恢复技术等。
(4)电子证据保全技术
在取证过程中,应对电子证据及整套的取证机制进行保护。只有这样,才能保证电子证据的真实性、完整性和安全性。使用的技术主要有物理隔离、加密技术、数字签名技术、访问控制技术等。
(5)电子证据处理及鉴定技术
电子证据处理与鉴定是指对已收集的电子数据证据进行过滤、模式匹配、隐藏数据挖掘等的预处理工作,并在预处理的基础上,对处理过的数据进行数据统计、数据挖掘等分析工作,试图对攻击者的攻击时间、攻击目标、攻击者身份、攻击意图、攻击手段以及造成的后果给出明确并且符合法律规范的说明。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括:文件属性分析技术;文件数字摘要分析技术;日志分析技术;根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者的分析技术;发掘同一事件的不同证据间的联系的分析技术;数据解密技术;密码破译技术;对电子介质中的被保护信息的强行访问技术等。其中数据挖掘技术是目前电子证据分析的热点技术。在计算机取证调查中需要对大量的证据信息进行分析,找出数据间的潜在关系,发现未知的潜在证据。这不但要求所使用的取证方法须具备对大数据集的处理能力,而且还应具有挖掘分散数据之间潜在规律的能力。而数据挖掘恰恰是这样一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识,从而为做出正确判断提供基础。因为具有高度自动化的特点,数据挖掘技术已经被频繁应用于与计算机取证领域相近的入侵检测领域的研究中,用于对海量的安全审计数据进行智能化处理,目的是抽象出利于进行判断和比较的特征模型。数据挖掘所具备的这些特点,为计算机取证人员从海量的数据中提炼出证据提供了有力的技术支持。关联规则是数据挖掘中最成功的技术之一。此技术来源于一种计算工具,用于在超市中计算顾客同时购买的商品集,从那时起,关联规则逐步发展成为可解决大量其他关联问题的有效方法。关联规则的主要用途之一是用子构造描述行为数据的规则集。这些行为数据构成的规则集既可以描述人们在现实生活中的特定行为,也可描述系统运行的特定行为。在计算机取证调查中,这些特定行为数据常存在于系统的RAM、注册表、磁盘和日志文件中。由这些特定行为数据产生的规则集可以描述系统运行的行为轮廓。在数据挖掘中概念分层通常描述了特定环境中的背景知识(Background Knowledge),对犯罪案件的背景描述也有重要借鉴作用。
(6)电子证据提交技术
依据法律程序,以法庭可接受的证据形式提交电子证据及相应的文档说明。把对目标计算机系统的全面分析和追踪结果进行汇总,然后给出分析结论,这一结论的内容应包括:系统的整体情况,发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息。标明提取时间、地点、计算机、提取人及见证人。然后以证据的形式按照合法的程序提交给司法机关。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。