计算机取证研究综述

2
计算机取证研究综述
现场（The Digital Crime Scene），提出了一种基于 非数字取证方法的计算机证据的现场勘查和发现 的模式。取证专用 IDS 是把一般的 IDS 的规则库或 入侵行为特征库按 照法律法规的规定改成计算机 证据的规则和有关的犯罪行为特征库，在此基础上 再做一些改进就可以用于计算机取证。这方面的研 究在文献[15]中作了阐述 ，分析了一种网络取证分 析工具 NFAT （Network Forensics Analysis Toolkit） 的原理以及存在的问题。我国中科院高能物理所的 许榕升老师在文献[16]中提出了网络入侵取证与陷 阱技术，分析了网络取证与 IDS 的区别和入侵证据 的发现技术。文献[17]论述了 Web 数据挖掘技术在 计算机证据发现中的应用，设计了基于 Agent 的 Web 证据发现的模型框架。文献[18]提出了网络入 侵取证技术的实现—网络黑匣子。网络证据的溯源 主要是有关地址的定位技术，我国吉林大学正在进 行这方面的研究（ 网络逆向追踪研究）。 中科院软 件所互联网软件技术实验室研究的基于网络文件 系统的网络监控技术也可以用于计算机证据的发 现。最近，又有人提出了利用反病毒引擎的计算机 取证。总之，目前网络证据的发现是现有的入侵检 测技术、网络监控技术、蜜罐技术、防火墙技术的 应用，并且随着这些技术的发展而发展 。文献[19] 介绍了一种计算机取证协议的设计。
技 术 。 在 网 站 / pdatoolbox.html 上有关于 PDA 中证据的发现的介 绍。而著名的取证软件 Encase 也实现了以上相关设 备中数据的获取。
3.2 计算机证据的固定技术研究 计算机证据的固定主要是解决证据的完整性 验证，即通过数字签名和见证人签名等保证现场勘 察和侦查获得的数据的完整性和真实性。计算机取 证的难点之一是证明取证人员所搜集到的证据没 有被修改过。而获取的计算机证据又恰恰具有易改 变和易损毁的特点。例如，腐蚀、强磁场的作用、 人为的破坏等等都会造成原始证据的改变和消失。 所以，取证过程中应注重采取保护证据的措施。例 如，美国取证专家采用的加密技术、时间戳技术和 电子指纹技术等都可以产生证据监督链以证实电 子证据的真实完整性。即在开始取证时就使用数字 指纹技术，而且，每作一个分析动作，都要再生成 数字指纹，同分析前进行对比以保证所收集到的证 据是可靠的[11]。时间戳是取证工作中非常有用的技 术，必将成为一种有效的证据鉴定方法。它是对数 字对象进行登记来提供注册后特定事物存在于特 定日期的时间和证据。时间戳对于收集和保存数字 证据非常有效。因为它提供了数字证据在特定的时 间和日期里是存在的并且从该时刻到出庭这段时 间里不曾被修改过 。这些技术目前在取证工具 Encase 中都有应用。站点 http://www.forensics-intl. com 上有对电子证据进行逐字节备份和针对某文 件或整个磁盘生成数字指纹的介绍。文 献[20]对软 件水印技术作了综述，这一技术完全可以用于电子 证据的固定。另外，国内外有些学者提出了用一些 监控软件进行取证过程的全程审计监督，但这种方 法占用系统资源，效率很低。我国的美亚柏科公司 研制的子证据鉴定审计系统就是在电子证据鉴定 系统中模拟社会的审计工作，对电子证据鉴定系统 的活动进行监视和记录的一种安全审计、监控与管 理的技术。运用电子证据鉴定审计技术的目的就是 对取证计算机的一系列取证步骤和过程进行自动 记录、制作报告，实现安全审计、监控与管理。电 子证据鉴定 完整的 审计监管功能由操作系统层的 审计系统和应用软件层的审计系统共同完成，两者
2.1.2 计算机取证的概念和特点 文 献 [7] 定 义 了 计 算 机 取 证 （ Computer Forensics）的概念：计算机取证是对计算机证据的 存储、鉴定、提取和归档。由于这一过程酷似目前 法医的工作 ，计算机取证专家也被称为计算机的 “验尸官（coroner ）”或者“电子法医(Electronic Coroner)”。文献[8]则定义计算机取证为“对计算机 犯罪的证据进行获取、保存、分析和出示，它实质 上是一个详细扫描计算机系统以及重建入侵事件 的过程”。而取证专家 Judd Robins 认为：计算机取 证不过是简单地将计算机调查和分析技术应用于 对潜在的、有法律效力的证据的确定与获取上[9]。 总之，我们认为：计算机取证就是利用计算机技术、 依法对计算机证据进行发现、固定、提取、分析和 呈堂的过程。 2.2 计算机取证的原则、程序和步骤 2.2.1 计算机取证的原则 最权威的计算机取证原则莫过于
摘 要：计算机取证是法学、刑事侦查学和计算机科学的交叉学科，对于计算机取证和电子证据的研 究必须体现这一交叉学科的特点。本文总结了近年来国内外的研究情况，提出了今后的研究重点和方向。
关键词：计算机取证；研究；现状；挑战；方向
1. 引 言
1991 年，在美国召开的国际计算机专家会议上 首次提出了计算机取证（Computer Forensics）这一 术语[1]。十几年来，随着计算机技术的发展，计算 机取证学的研究不断深入，几乎每年都召开以计算 机取证为主题的学术会议，例如，1993 年、1995 年、1996 年和 1997 年分别在美国和澳大利亚、新 西兰召开了以计算机取证为主题的国际会议。从总 体上看，2000 年之前的计算机取证研究主要侧重于 取证工具的研究，2000 年以后，开始了对计算机取 证基础理论的研究。毕业于中国科学院软件所的孙 波博士认为计算机取证的发展可以分为奠基时期、 初步发展时期和理论完善时期三个阶段。他对这三 个阶段的划分和分析也体现了前期的取证工具研 究和近期的理论研究的特点。2001 年 6 月在法国召 开 的 第 十 三 届 全 球 FIRST （ Forum of Incident Response and Security Teams）年会的主题就是入侵 系统恢复和分析取证理论，2002 年的美国夏威夷 FIRST 年会提出了计算机取证协议和程序的标准化 问题。我国的计算机取证研究无论是取证工具还是 基础理论的研究都处于起步阶段。本文第二部分分 析了计算机取证的基础理论的研究现状；第三部分
IOCE(International Organization on Computer
Evidence, 国际计算机证据组织)提出的六条原则[10]： 1）所有的取证和处理证据的原则必须被遵守；2） 获取证据时所采用的方法不能改变原始证据；3） 取证人员必须经过专门培训；4） 完整地记录对证 据的获取、访问、存储或者传输的过程，并对这些 记录妥善保存以便随时查阅；5） 每一位保管电子 证据的人应该对他的每一个针对电子证据的行为 负责；6） 任何负责获取 、访问、 存储或传输电子 证据的机构有责任遵循这些原则。这些原则在最高 层面上概括地规定了计算机取证的原则框架。总结 文献[5]和文献[11]，计算机取证的具体原则应该是： 1)及时性原则 ；2)取证过程合法的原则 ；3)多备份 的原则；4)环境安全的原则；5)严格管理过程的原 则。这两篇文献对这些原则作了详细的解释。
有 关 理 论 研 究 的 资 料 在 IOCE(International Organization on Computer Evidence, 国际计算机证 据组织)的网站 /上都可以查到。
2.1 有关的概念和特点 对概念和特点的研究主要集中在电子证据的 概念和特点、计算机取证的概念和特点上。 2.1.1 电子证据的概念和特点 电子证据，即计算机证据。目前，对电子证据 的定义很多，没有形成统一的定论。比较典型的有： 文献[2] 认为计算机证据是存储有电子数据的电 、 磁、光记录物，这些电子数据是在计算机系统运行
2.2.2 计算机取证的程序和步骤 根据文献[11]、[12]和[13]，计算机取证的步骤 包括：保护现场和现场勘查、获取证据、鉴定证据、 分析证据、进行追踪和提交结果。我国公安部 11 局许建卓博士 2004 年 6 月在西安召开的“第十九 次全国计算机安全学术交流会”上提出了数字化证 据学的概念，阐明了数字证据的发现、固定、提取、 分析和表达等五个层次的框架学说。因此，我们可 以理解这一观点也指明了计算机取证的程序或者 步骤应该分为：计算机证据的发现、计算机证据的 固定、计算机证据的提取、计算机证据的分析和计 算机证据的表达五个方面。
1
计算机取证研究综述
过程中产生的，并能够以其内容证明案件事实，它 们可以转换为不同的输出表现形式。我国的刑事诉 讼法将电子证据定义为“以录音带、录像带、光盘、 电脑和其他科学技术设备储存的电子音像信息证 明案件的证据”。 这一定义明显地将电子证据归为 视听资料，没有反映出电子证据的本质。国外的法 律和有关组织认为电子证据是以二进制数字信号 存储的证明事实的证据。我们认为，文献[2]的定义 是科学的，这一定义较明确地说明了电子证据的本 质就是二进制数字，而文本、视频、音频、图像等 只不过是电子证据的不同表现形式。这样定义电子 证据有利于我们对电子证据本质的认识。
很多专家和学者对电子证据的特点作了概括。 根据证据的可采用标准，电子证据显然应具有客观 性、关联性和合法性。文献[3]归纳的电子证据的特 点包括：容易被改变或删除，并且改变后不容易被 发觉；多种格式的存储方式；易被损毁性；高科技 性；传输中通常和其他无关信息共享信道。概括文 献[4][5][6]的观点，电子证据有以下特点：数字性、 技术性、脆弱性、多态性、人机交互性和复合性。 在这些特征中，电子证据的脆弱性和表现形式的多 样性是最为突出的。
*本文得到中国科学院百人计划资助项目，国家自然科学基金资助项目(No.60373053)，中国科学院与英国皇家学会联合资助 项目(No.20030389, No.20032006)和教育部留学回国人员科研启动基金资助项目(教外司留[2003]406号)资助。 1丁丽萍(1965- )，女，山东青州人，博士生，副教授；研究方向：计算机取证学；E-mail: dingliping@. 2王永吉(1962- )，男，辽宁盖州人，研究员，博士生导师，中科院2002年引进海外杰出人才“百人计划”入选者；研究方向： 实时系统，网络优化，计算机取证学，智能软件工程，优化理论，机器人和控制理论等。
探讨了计算机取证技术的研究情况；第四部分列举 了目前的取证工具；第五部分对计算机取证法律法 规进行了讨论；最后一部分提出了计算机取证面临 的挑战和今后的发展方向。
2. 基础理论研究现状
目前，国内外对计算机取证技术的理论研究集 中在对计算机取证的产生、发展、现状和未来的发 展趋势预测等的研究，计算机取证的有关概念、特 点、原则、标准、规范等的研究以及对各种现有技 术在计算机取证中的应用的研究。理论研究从总体 上看还处于起步阶段。
Aug. 2005, Volume 2, No.8 (Serial No.9) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709,USA
计算机取பைடு நூலகம்研究综述*
丁丽萍 1, 王永吉 2
(1,2 中国科学院软件研究所互联网软件技术实验室，北京 100080; 1 北京人民警察学院公安科技教研部，北京 100029; 1 中国科学院研究生院，北京 100039)
3. 计算机取证技术研究现状
3.1 计算机证据的发现技术研究 计算机证据的发现就是通过侦查和现场勘察 搜集最原始的证据。计算机证据的发现技术实际上 属于侦查技术，可以把一般的侦查技术与计算机技 术相结合进行研究。这方面的研究包括取证专用的 IDS（Intrusion Detection System, 入侵检测系统）、 网络线索自动挖掘技术、溯源技术、数据过滤、磁 盘镜像技术等等。根据计算机证据的来源的不同， 计算机证据的发现可以分为网络证据的发现、单机 证据的发现和相关设备证据的发现。 3.1.1 网络证据的发现 文献[14]把计算机比作犯罪现场， 即数字犯罪
3.1.2 单机证据的发现 单机证据的发现主要是磁盘镜像技术。人们在 研究计算机取证之初就已经意识到计算机证据的 隐蔽性和易篡改性，因而要求计算机证据的分析处 理必须在原始证据的数据的备份上进行。所以，可 疑硬盘的逐字节备份成了关键技术。目前的磁盘镜 像技术已经很成熟，有的磁盘拷贝机的速度已经达 到 3.3GB/分钟以上。很多论文都论述了磁盘镜像的 原理和重要性 。文献[11]对磁盘镜像技术进行了较 全面的研究和分析。单机证据的溯源技术是要发现 计 算 机 的 使 用 者， 我 们 留 在 技 术 分 析 部 分 加 以 讨 论。 3.1.3 相关设备中证据的发现 相关设备中的证据包括 PDA、有关的存储设 备、手机 SIM 卡、打印机、传真机等设备的存储器 中的证据。这些设备的取证主要是应用拷贝和镜像