计算机取证技术综述

计算机取证技术综述

作者：袁铠锋

来源：《科教导刊·电子版》2017年第14期

摘要随着计算机信息技术的不断发展与成熟，计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具，各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论，对计算机取证技术进行了综述，并提出了一些笔者自己的见解，希望能够对今后计算机取证技术的研究提供一些理论建议。

关键词计算机取证技术数据信息可靠性

中图分类号：TP309 文献标识码：A

1几种常见的计算机取证技术介绍

在美国地区，至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室，取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析，从中提取中与作案相关的信息。

由于取证时刻上具有一定的潜在属性，因此我们可将计算机取证分为两组不同的模式，分别为静态取证模式以及动态取证模式。其中，静态取证指的是对各种潜在证据进行提取，如存储在各种未运行状态媒介中的证据；而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。由于网络数据以及计算机系统数据在属性上具有本质区别，因此人们在取证过程中使用的取证方式往往也会分为两种，分别为依托计算机系统的取证以及依托网络数据的取证。

1.1预备取证技术

一般情况下，计算机系统以及网络系统中存在的数据在使用后均会被删除，即使是各种潜在数据也可能面临被黑客删除的风险，所以说在事发后从受害者计算机中获得的数据并不一定真实可靠，这就使得事发前的预备取证能力越来越得到关注。预备取证的目标在于构建一个科学可靠的系统，对于各种可疑数据进行自动搜索、识别、汇集以及过滤，同时对于各种可靠数据进行自动存储、保留以及分析。预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。

布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结，具体如下：（1）小安全漏洞原理：一个极小的安全漏洞便可以导致系统的安全防护完全失效；（2）小用户世界原理：对于一些特殊的用户而言，个别的设备以及系统便可满足他们的使用需求；（3）安全策略行为违反递减原理：随着用户对于系统知识的不断了解以及掌握，各种完全违反行为的发生频率也逐渐增加。

通常情况下，安全审计系统能够结合相应安全策略，并通过对历史操作事件的处理以及分析来识别出系统中可能存在的安全隐患，在此基础上进行相应的改善。同时还能够实现对个体用户行为的实时跟踪，给用户施加相应压力，要求其对自己所作出的行为负责，对各种攻击人员发出警告，最大程度降低入侵行为的发生，从而提高系统的安全性。安全审计系统在部分特性上与预备取证相似，但是在数据存储安全性以及可靠性、自动分析等方面却缺乏有效的考虑。赵小敏在原有安全审计系统的基础上进行了优化，设计了一种能够支持计算机取证的安全审计系统，能够保障系统遭到入侵之前的数据信息始终处于保护状态下，并能够一直完整地保留下来，从而为取证人员提供关键的线索。

1.2计算机证据获取与分析技术

在进行计算机取证时必须严格遵循下述基本原则：（1）应在不损坏原有证物的基础上进行取证；（2）必须通过有效方式来证明获得证据与原有数据之间的吻合性；（3）应在确保数据不发生改变的情况下展开进一步分析与研究。

数据获取与分析技术的重点在于确保数据获取的同时原始介质不发生损坏，因此通常情况下不主张对原始介质进行取证分析。最常使用的数据获取技术主要包括以下几种：确保计算机系统以及文件安全性的获取技术，预防原始介质遭到损坏；确保数据以及软件安全收集的获取技术；对已删除文件进行重新恢复的获取技术；对长期未使用磁盘文件进行挖掘的获取技术；针对网络系统数据的获取技术。

目前所使用的取证技术基本是依托物理存储介质而实现的，主要作用在于对已删除数据的恢复以及重新显示等。现阶段大部分取证软件的功能均体现在磁盘的处理方面，不支持深入的分析功能，除此之外的其它工作基本都是依靠取证专家的人工操作来实现，基本上形成了一种错觉，即计算机取证软件与磁盘分析软件相同的错觉。

计算机证据分析主要是基于获取信息的基本含义、特征、关系等内容来还原事件发生的真实场景，从而寻找出各种与案件相关的信息，这些信息主要包括犯罪的具体行为、犯罪嫌疑人的具体动机以及犯罪嫌疑人的作案手法等等。

其中，在已经取得的数据流当中识别出各种匹配的关键词，是现阶段数据分析中使用频率最高的一种技术，它主要由以下几种技术构成：文件特征分析技术、文件关键词分析技术、日志分析技术、逻辑关系挖掘技术、被保护信息的访问技术等。

现阶段，人们对于各种自动分析技术的探索步伐逐渐加快，如试图于挖掘问题产生的潜在规则，同时研究其中存在的程序化步骤，将其编写成为软件工具。此外，还可以通过人工智能技术来研究部分数据之间存在的关联性，这一方法能够帮助破案人员快速将犯罪分子的轮廓进行勾勒，使取证专家的取证工作更加高效。

卡西针对计算机证据的不确定性以及信息缺失等问题展开了深入的研究，并在此基础上设计了一种按级度量的方法，这一研究结果在一定程度上促进了取证人员工作的开展，同时也能够适当启发其它研究人员的思路。由于计算机证据存在一定的不确定性，因此在取证后还应对证据实施进一步量化处理，尤其在遇到若干个关联性极强的证据时，这些不确定性更应该同量化方式进行有效表达。只有当计算机证据的确定性通过十分精确的方式表达出啦后，才能有效降低人们对计算机证据的质疑度，从而法官将会有更高的概率度证据进行采纳。

1.3反取证技术

随着计算机取证技术的不断发展，各种反取证技术也随之出现。反取证技术通常是由数据加密技术、数据隐藏技术以及数据删除技术构成的，对于一些经验丰富的黑客来说，反取证技术是他们在作案过程中必须采用的基本手段，可以将自己的作案数据进行有效销毁，隐藏自己的入侵痕迹，从而加大取证工作的难度。目前市场中已逐渐出现了各种反取证工具，例如TDT以及RUNEFS等。在面对不同的反取证技术时，我们应采用合适的策略进行对应。例如，遇到文件加密这一反取证技术时，最简单直接的方法便是找回密码，如向指导密码的人进行询问，或者根据自己的了解来猜测密码，又或者是在电脑周围寻找各种与密码相关的线索。当上述方法都无效时，可运用强效破解工具来破解密码，也可向密码分析专家发送请求。在破解的过程中尽可能猜测黑客所使用的数据隐藏技术，并选择合适的措施进行对应，譬如对文件进行压缩或者将文件后缀进行更改等。在压缩过程中可能导致取证人员搜索磁盘关键词失效，这个时候我们应使用解压工具进行解压。总而言之，取证技术与反取证技术之间的对抗关系将会不断发展下去，反取证技术也会一直成为计算机取证技术的阻碍因素。

1.4反向工程以及密码分析技术

在计算机取证工作当中，对侵入主机中的可疑程序进行分析是其中一项非常重要的内容，当已确定某个特定的人在某个特定的主机设备中安装了相应程序后，且该程序对于主机安全具有一定的危害性，那么这一程序安装者就必须承担应用的责任。对可执行程序进行分析来确定程序功能的过程叫做反向工程，这一类型的工具软件数量非常少，且相应的开发设计难度也较大，特别是当可执行程序本身已使用压缩或者加密技术时，要想对犯罪分子的软件进行分析，就必须向专业的反向分析工程师寻求帮助。

为了能够进一步确保计算机系统的安全性，越来越多的人们开始倾向于使用加密技术来实现网络通信，或者是用来对各种重要信息进行储存。因为对于犯罪嫌疑人来说，他们同样可以使用加密技术来进行反取证。

2计算机取证技术的发展方向以及未来展望

计算机取证技术是目前来说较为新颖的一门学科，在历经了多年的发展后，无论是在理论还是在实践方面都获得了显著的业绩，尽管如此，目前的取证技术在很多方面都存在一定的局