取證目的
因此,計算機取證是計算機領域和法學領域的一門交叉科學,被用來解決大量的計算機犯罪和事故,包括網絡入侵、盜用知識産權和網絡欺騙等。
取證定義
計算機取證是針對計算機入侵與犯罪,進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中産生的以其記錄的内容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解,以對入侵事件進行重建的過程。可理解為“從計算機上提取證據”即:獲取、保存、分析、出示、提供的證據必須可信 。
計算機取證在打擊計算機和網絡犯罪中作用十分關鍵,它的目的是要将犯罪者留在計算機中的“痕迹”作為有效的訴訟證據提供給法庭,以便将犯罪嫌疑人繩之以法。因此,計算機取證是計算機領域和法學領域的一門交叉科學,被用來解決大量的計算機犯罪和事故,包括網絡入侵、盜用知識産權和網絡欺騙等。
取證方式
從技術角度看,計算機取證是分析硬盤,光盤,軟盤,Zip磁盤,U盤,内存緩沖和其他形式的儲存介質以發現犯罪證據的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、确認、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。
計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據,是指在計算機或計算機系統運行過程中産生的,以其記錄的内容來證明案件事實的電磁記錄。多媒體技術的發展,電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣,電子證據必須是可信、準确、完整、符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性、無形性和易破壞性等特點。
高科技性是指電子證據的産生、儲存和傳輸,都必須借助于計算機技術、存儲技術、網絡技術等,離開了相應技術設備,電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的,必須借助适當的工具。易破壞性是指電子證據很容易被篡改、删除而不留任何痕迹。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。
可以用做計算機取證的信息源很多,如系統日志,防火牆與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web浏覽器數據緩沖、書簽、曆史記錄或會話日志、實時聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動結束後将自己殘留在受害方系統中的“痕迹”擦除掉,如盡量删除或修改日志文件及其他有關記錄。但是,一般的删除文件操作,即使在清空了回收站後,如果不是對硬盤進行低級格式化處理或将硬盤空間裝滿,仍有可能恢複已經删除的文件。
方法說明
計算機調查取證方式在調查取證中新興的技術模式,其在實踐環境下得到相關調查機構的不斷重視;計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程序、具體方法。計算機取證的方法非常多,而且在計算取證過程中通常又涉及到證據的分析,取證與分析兩者很難完全孤立開來,所以對計算機取證的分類十分複雜,往往難以按一定的标準進行合理分類。通常情況下根據取得的證據的用途不同進行分類,通常可以分為兩類不同性質的取證。一類是來源取證,一類是事實取證。
來源取證
所謂來源取證,指的是取證的目的主要是确定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中,為了确定犯罪嫌疑人,可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址,則尋找IP地址便是來源取證。這類取證中,主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬号取證等。
IP地址取證主要是利用在互聯網中,每一台聯網的計算機,在某一時刻都有唯一的全局IP地址。根據在案發現場找到的IP地址信息,進一步确定犯罪嫌疑人的機器,由犯罪人的機器再尋找案件相關人的方法。
MAC地址取證主要在一些局域網中或動态分配IP地址網絡中,由于IP地址使用有一定的自由,如果哪一個IP地址由誰租用并不清楚時,可以根據物理地址與邏輯地址的關系,找到物理地址,而物理地址也是唯一的,且一般情況下,也比較難以更改。所以MAC地址與特定計算機設備中網卡存在一定的對應關系,可以用來确定來源。
電子郵件取證,指的是根據電子郵件頭部信息找到發送電子郵件的機器,并根據已鎖定的機器找到特定人的取證方法。n軟件賬号取證,指特定軟件如果其某個賬号與特定人存在一一對應關系時,可以用來證明案件的來源。
事實取證
事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據,例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件内容調查、使用痕迹調查、軟件功能分析、軟件相似性分析、日志文件分析、網絡狀态分析、網絡數據包分析等。
文件内容調查指的是在存儲設備中取得文檔文件、圖片文件、音頻視頻文件、動畫文件、網頁、電子郵件内容等相關文件的内容。包括這些文件被删除以後、文件系統被格式化後或者數據恢複以後的文件内容。
使用痕迹調查包括windows運行的痕迹(包括運行欄曆史記錄、搜索欄曆史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調查)、上網記錄的調查(緩存、曆史記錄、自動完成記錄、浏覽器地址欄下拉網址,Cookies,index.dat文件等等)、Office,realplay和mediaplay的播放列表及其它應用軟件使用曆史記錄。
軟件功能分析主要針對特定軟件和程序的性質和功能進行分析,常見是對惡意代碼的分析,确定其破壞性、傳染性等特征。此類取證方法通常在破壞計算機信息系統、入侵計算機信息系統、傳播計算機病毒行為中經常使用。
軟件相似性分析是指比較兩軟件,找出兩者之間是否存在實質性相似的證據。此類取證方法主要在軟件知識産權相關案件中使用。
日志文件分析,指通過系統日志、數據庫日志、網絡日志、應用程序日志等進行分析發現系統是否存在入侵行為或者其它訪問行為的證據。
網絡狀态分析指的是取得特定時刻計算機聯網狀态。例如網絡中哪些機器與本機相連,本機的網絡配置、開啟了哪些服務、哪些用戶登錄到本機等信息。
網絡數據包分析指的是通過分析網絡中傳輸的數據包發現相關證據的過程。網絡數據包分析主要發生在實時取證中,是一種綜合的取證方法。有時候網絡數據包分析也稱呼為“網絡偵聽”。在對網絡犯罪實時偵查或“誘惑性”偵查時,往往采取網絡偵聽的方法發現犯罪嫌疑人的犯罪活動,掌握犯罪的線索,為抓獲犯罪嫌疑人提供支持。
在常用的證據調查方法體系中,計算機取證作為一項新興的調查取證方式,有着其極高的專業性和技術性,但一旦有所突破,亦能獲得較為明顯的證據線索,有效的促進案件的證據整理工作,作為專業的證據調查部,我們不斷的總結,掌握熟練的計算機取證技術,更好的為客戶提供優質的證據服務。
取證原則
計算機取證的主要原則有以下幾點:
首先,盡早搜集證據,并保證其沒有受到任何破壞;
其次,必須保證“證據連續性”(有時也被稱為“chain of custody”),即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀态到在法庭上出現狀态之間的任何變化,當然最好是沒有任何變化;
最後,整個檢查、取證過程必須是受到監督的,也就是說,由原告委派的專家所作的所有調查取證工作,都應該受到由其它方委派的專家的監督。
取證目标
使調查的結果能夠經受法庭的檢查。
基本理念
應該從一開始就把計算機作為物證對待,在不對原有物證進行任何改動或損壞的前提下獲取證據;
證明你所獲取的證據和原有的數據是相同的;
在不改動數據的前提下對其進行分析;
務必确認你已經完整的記錄下你采取的每一個步驟以及采取該步驟的原因。
如何取證
根據電子證據的特點,在進行計算機取證時,首先要盡早搜集證據,并保證其沒有受到任何破壞。在取證時必須保證證據連續性,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀态到在法庭上出現狀态之間的任何變化,當然最好是沒有任何變化。特别重要的是,計算機取證的全部過程必須是受到監督的,即由原告委派的專家進行的所有取證工作,都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。
1.保護目标計算機系統。計算機取證時首先必須凍結目标計算機系統,不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。
2.确定電子證據。在計算機存儲介質容量越來越大的情況下,必須根據系統的破壞程度,在海量數據中區分哪些是電子證據,哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據,确定這些記錄的存放位置和存儲方式。
3.收集電子證據。
記錄系統的硬件配置和硬件連接情況,以便将計算機系統轉移到安全的地方進行分析。
對目标系統磁盤中的所有數據進行鏡像備份。備份後可對計算機證據進行處理,如果将來出現對收集的電子證據發生疑問時,可通過鏡像備份的數據将目标系統恢複到原始狀态。用取證工具收集的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據進行分析。
對關鍵的證據數據用光盤備份,也可直接将電子證據打印成文件證據。利用程序的自動搜索功能,将可疑為電子證據的文件或數據列表,确認後發送給取證服務器。對網絡防火牆和入侵檢測系統的日志數據,由于數據量特别大,可先進行光盤備份,保全原始數據,然後進行犯罪信息挖掘。各類電子證據彙集時,将相關的文件證據存入取證服務器的特定目錄,将存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。
4.保護電子證據
對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護,無關人員不得操作存放電子證據的計算機。不輕易删除或修改文件以免引起有價值的證據文件的永久丢失。
取證步驟
在保證以上幾項基本原則的情況下,計算機取證工作一般按照下面步驟進行:
第一,在取證檢查中,保護目标計算機系統,避免發生任何的改變、傷害、數據破壞或病毒感染;
第二,搜索目标系統中的所有文件。包括現存的正常文件,已經被删除但仍存在于磁盤上(即還沒有被新文件覆蓋)的文件,隐藏文件,受到密碼保護的文件和加密文件;
第三,全部(或盡可能)恢複發現的已删除文件;
第四,最大程度地顯示操作系統或應用程序使用的隐藏文件、臨時文件和交換文件的内容;
第五,如果可能并且如果法律允許,訪問被保護或加密文件的内容;
第六,分析在磁盤的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類:①所謂的未分配磁盤空間——雖然沒有被使用,但可能包含有先前的數據殘留;②文件中的“slack”空間——如果文件的長度不是簇長度的整數倍,那麼分配給文件的最後一簇中,會有未被當前文件使用的剩餘空間,其中可能包含了先前文件遺留下來的信息,可能是有用的證據;
第七,打印對目标計算機系統的全面分析結果,然後給出分析結論:系統的整體情況,發現的文件結構、數據、和作者的信息,對信息的任何隐藏、删除、保護、加密企圖,以及在調查中發現的其它的相關信息;
第八,給出必需的專家證明。
上面提到的計算機取證原則及步驟都是基于一種靜态的視點,即事件發生後對目标系統的靜态分析。随着計算機犯罪技術手段的提高,這種靜态的視點已經無法滿足要求,發展趨勢是将計算機取證結合到入侵檢測等網絡安全工具和網絡體系結構中,進行動态取證。整個取證過程将更加系統并具有智能性,也将更加靈活多樣。
取證工具:計算機取證常用工具有ENCASE X-WAYS FTK效率源DATACOMPASS和HDDOK等工具。
取證過程
計算機取證的過程
取證準備(Preparation
操作準備
設備準備
證據識别(Identification
現場證據保護
設備保管
證據收集(Collection
原始證據提取
原始證據保存
證據分析(Analysis)
取證分析
結論報告
證據提交(Presentation)
證據展示
證據返還
分析電子數據
電子證據需要借助計算機的輔助程序來查看,分析電子證據的信息需要很深的專業知識,應依靠專業的取證專家。通常進行的工作包括。n1.借助自動取證的文本搜索工具,進行一系列的關鍵字搜索查找最重要的信息。
2.對文件屬性、文件的摘要和日志進行分析,根據已經獲得的文件或數據的用詞、語法、寫作或軟件設計編制風格,推斷可能的作者。
3.利用數據解密技術和密碼破譯技術,對電子介質中的被保護信息進行強行訪問,獲取信息。n
4.分析Windows系統的交換文件和硬盤中未分配的空間,這些地方往往存放着犯罪嫌疑人容易忽視的證據。n
5.對電子證據進行智能相關性分析,發掘同一事件不同證據間的聯系。如分析分布式拒絕服務攻擊證據時,可對某一時間段來自攻擊者的IP在不同系統中留下的痕迹,按一定順序羅列和評估其相關性。
證據的證明力
一般講,與案件事實存在着直接的、内在聯系的證據,其證明效力較強;反之,則較弱。由于計算機證據容易被僞造、篡改,而且被僞造、篡改後不留痕迹,再加上計算機證據由于人為的原因或環境和技術條件的影響容易出錯,故習慣将計算機證據歸入間接證據。從偵查取證來看,計算機取證也是處在輔助取證的地位,主要的作用是獲取與案件相關的線索,起輔助證明作用。n在所涉及的計算機證據調查案件中,往往可以通過針對電子證據的調查整理獲取更多的證據線索。
