电子数据取证技术发展趋势浅析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机工程应用技术
信息与电脑 China Computer&Communication
2016 年第 2 期
电子数据取证技术发展趋势浅析
傅俊博
( 重庆市公安局网监总队,重庆 401121)
摘 要: 电子数据取证是电子技术发展到一定水平的产物,它的出现是以电子计算机技术和网络技术的发展为前提 条件的。随着计算机的普及和网络的发达,计算机及计算机网络已经逐渐渗透到我们生活的各个领域,在各类传统犯罪 案件中,不断出现计算机和网络的身影,包括经济诈骗、网络赌博、传播淫秽色情物品、信用盗窃等,越来越多地涉及 到能够证明犯罪事实的电子数据。 关键词:电子数据;取证技术;移动智能终端 中图分类号:TP399-C2 文献标识码:A 文章编号:1003-9767(2016)02-068-02
了更广阔空间的同时,也将越来越多的行业和领域纳入了电 子信息化的范畴。比如网购服务,从网上订单、在线支付到 物流跟踪,电子信息化的程度已相当高,而取证得到的数据 几乎能够完整反映出每个操作环节。在三年来实验室受检的 案件类型中,除了网络入侵和网络色情、赌博类案件外,涉 及金融、运输、出版等行业的诈骗、盗窃、伪造案件也呈逐 年增加的态势,近期还出现了涉及无线通信行业的伪基站等 案件,可以预见电子数据取证今后涉及的领域会愈发广泛。
1 电子数据取证技术发展概况
2013 年 1 月 1 日开始施行的新刑诉法中,新增了电子 数据作为证据类型,电子数据取证技术体系在我国司法领域 逐渐获得了极高的认知度,我国公安、检察等多个部门先后 组建了符合各自实际情况的计算机取证技术电子物证保障体 系,对电子数据取证技术和发展趋势的研究也逐渐成为热门。 本文通过实地调查研究,以司法机关一线实战部门的相 关工作作为分析对象,调阅查看了从 2013 年到 2015 年近三 年以来有关电子数据取证的装备发展、案件受理、检材检验 的文档 300 余份,实地走访了公安、检察和取证技术公司的 相关部门,深入访问了从事电子数据取证工作的有关专家和 技术人员,取得了大量详实的一手资料,并在这些客观资料 基础上开展研究分析,梳理工作脉络,分析发展趋势,为下 一步工作方向提供参考。电子数据取证技术主要是 2003 年 开始发展起来,先后经历了四个发展阶段。 第一阶段(2003 年 -2009 年):实验摸索阶段。这一阶 段电子数据取证工作还处于起步摸索阶段,主要学习参考国 外一些取证技术和模式,没有专门的技术区域,配置的装备 也主要是 ENCASE 等国外取证工具,开展工作内容主要是针 对计算机硬盘数据的提取、固定和分析。 第二阶段(2009 年 -2010 年):硬件设施快速发展阶段。 这一阶段我们建立起了专门的电子数据取证技术实验室,采 购了大量国内外先进的取证工具和设备,按照标准完成了实 验室质量管理体系,强调实验室规范化流程。 第三阶段(2010 年 -2013 年):技术能力提升阶段。这 一阶段通过实战运用消化技术理论,熟练掌握装备运用,培 养取证人员队伍,进行实验室能力验证,技术水平得到大幅 提升,并有重点的开发破解密、程序功能检测等取证特长。 第四阶段(2013 年 -2015 年):全面发展阶段。这一时 期电子数据取证进入全面发展阶段,以“云计算”的概念,打
造“云取证”技术平台,实现技术协助、资源共享共用。在传 统硬盘、手机、移动存储介质取证之外,还积极推动视频图像 鉴别、海量数据挖掘、远程取证分析等技术能力的建设。
2 电子数据取证工作特点
2.1 技术发展快、产品更新快 电子信息技术在上个世纪 70 年代引发技术革命以来, 其发展速度一直处于爆发式状态,各类电子产品的更新换代 非常频繁,以苹果手机为例,从 2007 年出现第一代 IPHONE 手机,到 2015 年八年间已经发展到第六代 IPHONE 6S, 对 应的 IOS 系统从最初的 iPhone runs OS X 到 IOS 9.0 升级了 二百多次,平均 20 天就有一次升级,针对这些电子产品每 次硬件和软件的升级换代,取证工具和技术也必然要跟进。 2.2 技术性难题不断涌现 就目前看,电子数据取证的技术性难题有:一是被填充 覆盖的电子数据不可恢复,如视频监控硬盘、数据机房硬盘 等都有大量数据反复读写、覆盖,使用专门数据擦除工具的 也会用其他数据进行填充,这些都难以进行数据恢复;二是 特殊产品的加密数据难以被提取,主要是新版本新系统的加 密苹果手机、个人保密 U 盘和移动硬盘等产品,由于生产厂 家采用封闭系统和特殊加密算法,使得要提取这些设备上的 电子数据变得困难,加上产品硬件软件更新换代频繁,让取 证技术始终处于追赶的被动地位,短期内还难以改变;三是 强加密数据破解有难度,如多位数多组合密码、专业加密容 器等,不管使用暴力破解还是字典破解都要耗费大量物力和 时间。相信随着技术应用不断多元化发展,相应的难题还会 不断出现。 2.3 工作涵盖范围广,专业知识不断细化 电子数据取证的对象类型很多, 从移动硬盘到存储阵列, 从光盘软体到平板电脑,有几百家主流厂商、上万种设备型 号,涉及 Android、IOS、WINDOWS、Linux 等十几种操作
作者简介:傅俊博(1982-),男,重庆人,硕士,中级计算机工程师,重庆公安局电子物证鉴定中心副主任。研究方位: 电子数据的提取、恢复与固定,电子数据司法运用等。
— 68 —
2016年信息与电脑1下-正文(晓京返).indd68
2016/2/2018:36:44
2016 年第 2 期
信息与电脑 China Computer&Communication
计Hale Waihona Puke Baidu机工程应用技术
系统和延伸应用程序,对取证人员的专业知识要求广且精, 在一些具体案件上,还需要对 HTTP、SQL 等传输协议和脚 本语言有深入的了解,而随着专业知识的普及和深化,取证 技术也呈现出类别细化的趋势。 2.4 环境条件限制多 电子数据取证工作受到的环境条件制约较多,如电子产 品硬软件的损坏、老化和换代升级、加密擦除等反取证技术 的使用及电磁、温度、湿度等环境因素的变化,都可能不同 程度的影响取证结果。随着我国新刑诉法将电子数据纳入证 据类型,司法实践越来越多越来越普遍,相关标准和规范的 出台也可预见,对取证方法、手段、规程的要求会越发严苛。
信息与电脑 China Computer&Communication
2016 年第 2 期
电子数据取证技术发展趋势浅析
傅俊博
( 重庆市公安局网监总队,重庆 401121)
摘 要: 电子数据取证是电子技术发展到一定水平的产物,它的出现是以电子计算机技术和网络技术的发展为前提 条件的。随着计算机的普及和网络的发达,计算机及计算机网络已经逐渐渗透到我们生活的各个领域,在各类传统犯罪 案件中,不断出现计算机和网络的身影,包括经济诈骗、网络赌博、传播淫秽色情物品、信用盗窃等,越来越多地涉及 到能够证明犯罪事实的电子数据。 关键词:电子数据;取证技术;移动智能终端 中图分类号:TP399-C2 文献标识码:A 文章编号:1003-9767(2016)02-068-02
了更广阔空间的同时,也将越来越多的行业和领域纳入了电 子信息化的范畴。比如网购服务,从网上订单、在线支付到 物流跟踪,电子信息化的程度已相当高,而取证得到的数据 几乎能够完整反映出每个操作环节。在三年来实验室受检的 案件类型中,除了网络入侵和网络色情、赌博类案件外,涉 及金融、运输、出版等行业的诈骗、盗窃、伪造案件也呈逐 年增加的态势,近期还出现了涉及无线通信行业的伪基站等 案件,可以预见电子数据取证今后涉及的领域会愈发广泛。
1 电子数据取证技术发展概况
2013 年 1 月 1 日开始施行的新刑诉法中,新增了电子 数据作为证据类型,电子数据取证技术体系在我国司法领域 逐渐获得了极高的认知度,我国公安、检察等多个部门先后 组建了符合各自实际情况的计算机取证技术电子物证保障体 系,对电子数据取证技术和发展趋势的研究也逐渐成为热门。 本文通过实地调查研究,以司法机关一线实战部门的相 关工作作为分析对象,调阅查看了从 2013 年到 2015 年近三 年以来有关电子数据取证的装备发展、案件受理、检材检验 的文档 300 余份,实地走访了公安、检察和取证技术公司的 相关部门,深入访问了从事电子数据取证工作的有关专家和 技术人员,取得了大量详实的一手资料,并在这些客观资料 基础上开展研究分析,梳理工作脉络,分析发展趋势,为下 一步工作方向提供参考。电子数据取证技术主要是 2003 年 开始发展起来,先后经历了四个发展阶段。 第一阶段(2003 年 -2009 年):实验摸索阶段。这一阶 段电子数据取证工作还处于起步摸索阶段,主要学习参考国 外一些取证技术和模式,没有专门的技术区域,配置的装备 也主要是 ENCASE 等国外取证工具,开展工作内容主要是针 对计算机硬盘数据的提取、固定和分析。 第二阶段(2009 年 -2010 年):硬件设施快速发展阶段。 这一阶段我们建立起了专门的电子数据取证技术实验室,采 购了大量国内外先进的取证工具和设备,按照标准完成了实 验室质量管理体系,强调实验室规范化流程。 第三阶段(2010 年 -2013 年):技术能力提升阶段。这 一阶段通过实战运用消化技术理论,熟练掌握装备运用,培 养取证人员队伍,进行实验室能力验证,技术水平得到大幅 提升,并有重点的开发破解密、程序功能检测等取证特长。 第四阶段(2013 年 -2015 年):全面发展阶段。这一时 期电子数据取证进入全面发展阶段,以“云计算”的概念,打
造“云取证”技术平台,实现技术协助、资源共享共用。在传 统硬盘、手机、移动存储介质取证之外,还积极推动视频图像 鉴别、海量数据挖掘、远程取证分析等技术能力的建设。
2 电子数据取证工作特点
2.1 技术发展快、产品更新快 电子信息技术在上个世纪 70 年代引发技术革命以来, 其发展速度一直处于爆发式状态,各类电子产品的更新换代 非常频繁,以苹果手机为例,从 2007 年出现第一代 IPHONE 手机,到 2015 年八年间已经发展到第六代 IPHONE 6S, 对 应的 IOS 系统从最初的 iPhone runs OS X 到 IOS 9.0 升级了 二百多次,平均 20 天就有一次升级,针对这些电子产品每 次硬件和软件的升级换代,取证工具和技术也必然要跟进。 2.2 技术性难题不断涌现 就目前看,电子数据取证的技术性难题有:一是被填充 覆盖的电子数据不可恢复,如视频监控硬盘、数据机房硬盘 等都有大量数据反复读写、覆盖,使用专门数据擦除工具的 也会用其他数据进行填充,这些都难以进行数据恢复;二是 特殊产品的加密数据难以被提取,主要是新版本新系统的加 密苹果手机、个人保密 U 盘和移动硬盘等产品,由于生产厂 家采用封闭系统和特殊加密算法,使得要提取这些设备上的 电子数据变得困难,加上产品硬件软件更新换代频繁,让取 证技术始终处于追赶的被动地位,短期内还难以改变;三是 强加密数据破解有难度,如多位数多组合密码、专业加密容 器等,不管使用暴力破解还是字典破解都要耗费大量物力和 时间。相信随着技术应用不断多元化发展,相应的难题还会 不断出现。 2.3 工作涵盖范围广,专业知识不断细化 电子数据取证的对象类型很多, 从移动硬盘到存储阵列, 从光盘软体到平板电脑,有几百家主流厂商、上万种设备型 号,涉及 Android、IOS、WINDOWS、Linux 等十几种操作
作者简介:傅俊博(1982-),男,重庆人,硕士,中级计算机工程师,重庆公安局电子物证鉴定中心副主任。研究方位: 电子数据的提取、恢复与固定,电子数据司法运用等。
— 68 —
2016年信息与电脑1下-正文(晓京返).indd68
2016/2/2018:36:44
2016 年第 2 期
信息与电脑 China Computer&Communication
计Hale Waihona Puke Baidu机工程应用技术
系统和延伸应用程序,对取证人员的专业知识要求广且精, 在一些具体案件上,还需要对 HTTP、SQL 等传输协议和脚 本语言有深入的了解,而随着专业知识的普及和深化,取证 技术也呈现出类别细化的趋势。 2.4 环境条件限制多 电子数据取证工作受到的环境条件制约较多,如电子产 品硬软件的损坏、老化和换代升级、加密擦除等反取证技术 的使用及电磁、温度、湿度等环境因素的变化,都可能不同 程度的影响取证结果。随着我国新刑诉法将电子数据纳入证 据类型,司法实践越来越多越来越普遍,相关标准和规范的 出台也可预见,对取证方法、手段、规程的要求会越发严苛。