计算机取证技术研究
◆肖俊飞
(广西海警第一支队司令部 广西 536000)
摘要:随着个人计算机、国际互联网的应用广泛普及化、以及其计算能力的快速发展,在全球化通信及信息交换成为现实的同时随之而来的计算机犯罪行为也日益增多,而存在于计算机及相关外围设备中的电子证据逐渐成为新的公诉证据之一,所以计算机取证正日益成为各国各研究机构和公司对计算机网络犯罪的重点研究课题。
关键词:计算机取证;电子证据;取证技术;陷阱网络
0 引言
0.1 计算机取证的概念
计算机取证就是一种可以被法庭采信、且真实可靠有说服力的,其通常来源于电脑及相关设施的电子凭证的确立、归集、保护、解析、保存和于法庭中进行出示的一系列过程[1]。
由于计算机取证的方式可以应用到涉及大量和其相关的犯罪及其他事故中,如网络犯罪、盗版、网络诈骗等,因此其当下为各个公司及政府单位在信息安全方面的最基础工作。
0.2 电子证据
电子证据通常也被叫作计算机证据,其通常特指有计算机涉及的系统在其工作时形成的,对涉及案件的真实情况性的电磁记录。其在表现形式方面兼具图、文、声音、影像等,作为证据的本质和传统证据一样必须具有真实、完整、可靠、符合相关法规的性质。然而其为一种随着科技发展形成的新的证据种类,其也是具有特殊性的:比如典型的高科技性,该种证据在形成、存储、传递的所有过程中都一定是基于具有技术含量的设备的。
1 取证的原则
在实际进行犯罪证据取证的时候,一定是要严格遵循法律原则的。这些原则也是一定要在计算机取证中进行遵守的:
(1)尽可能早地进行取证,同时要确保证据的完整性;
(2)就证据本身而言必须是“连续性”的,也就是说当证据被提交到法庭的时候,可以表明其是从最原始的前提下获得且直到传递到法庭没有任何的改变;
通常对于任何一个单位,中层干部都被看作是单位的中流砥柱,他们上承高层下连基层,是单位管理工作中的重要核心力量。要想更好发挥中层干部的重要作用,进一步推动单位管理工作顺利发展,笔者认为要从以下几个方面来努力。
在计算机取证的时候,在基于必需的方法、经验之外,通常还会涉及一些软件的使用。其中数据的提取、分析应用到的软件是相关专家需要的最基础工具。这里面涉及操作系统自带的部分工具还有特定的相关工具软件或者是工具包。例如tcpdump、NFR、network等等。
2 计算机取证工具及陷阱网络
2.1 取证工具
(3)在检查、取证的整个过程都必须处于监督之下。通常来说就是,原告所委派的任何专家进行的任何取证都必须有其他方面进行监督。
2.2 陷阱网络
计算机取证涉及的理论及相关的软件为2018年度在涉及的计算机安全方面最为夺目的成果,但是就当下采用的电脑取证涉及的理论、具体软件进行深入的分析不难发现,眼下其所涉及的理论、工具都还有非常巨大的提升空间。
2.2.1陷阱机的概念
常说的陷阱网络则是由设置于网络里面的多个陷阱机及远程管理端构成。此类设置于网络中的陷阱机可以通过组合的方式构成一个网络安全方面的主动防御体系,从而达到提升网络安全的初衷。
基于取证逃脱的意图,罪犯会将短时间无法迅速删除掉的文档进行伪装,比如在文件类型方面的伪装、隐藏到图形、影像、音乐等文件中;还有一些将此类数据文件放到磁盘自身的隐藏空间里面,例如runefs这种反取证工具即利用了TCT无法对磁盘损坏处进行检查的原理,从而将相关的犯罪数据或文件标记为坏块实现逃脱取证的目的。
陷阱机是基于网络开放性这个特性进行设计的。任何系统只要和网络连接,其都有机会暴露在探知和攻击之下。
2.2.2 Honeypot
Honeypot:即常说的蜜罐系统。仅从其名称上就可以知道其是用于吸引入侵者的。其原理是通过模拟一系列常见的漏洞,在操作系统或其他系统上进行设计从而使其形成一个“牢笼”主机,进而最终实现对入侵者进行诱骗。
2.2.3 Honeynet
中国特色社会主义道路自信是在探索民族解放和国家发展之道的过程中形成的。道路自信是对中国特色社会主义发展方向和未来命运的自信,也是对党领导中国人民走过的革命、建设和改革道路的自信。不论是“农村包围城市、武装夺取政权”的新民主主义革命道路,还是“一个中心,两个基本点”改革开放道路,都具有鲜明的、适合中国国情的中国特色。“走自己的路”无疑是中国共产党最大的道路自信;带领中华民族走出一片广阔天地,进一步强化了这种道路自信。中国特色社会主义道路的开创,对推进世界社会主义运动和发展中国家走向现代化的都具有重大意义。中国共产党的道路自信,不仅改变了中国,而且影响着世界。
Honeynet:就是所说的陷阱网络,是基于对黑客思想进行的相关研究及解析。应用一个隐藏于防火墙之后的网络体系,从而实现对任何出入数据的关注、获取和控制。这些数据都作为研究和解析黑客采用的工具、方式、动机的数据源。
3 反取证技术
3.1 反取证
通常情况下被害人都是自系统被入侵之后才会想到去进行证据的收集,进而将犯罪分子绳之以法。然而绝大多数情况下,犯罪分子都会将其留下的蛛丝马迹进行清除或者隐藏,从而导致取证工作非常的麻烦和烦琐[2]。
加密数据文件相关的作用已是耳熟能详的了。采用这种方式是因为被入侵的电脑或主机中运行了入侵者运行的不可能被隐藏的程序,但是入侵者又想逃脱取证人员通过反向分析的方式获得这些程序的功能。虽然这些文件加密具体涉及的方式可以根据涉及的主机CPU及操作系统的改变而改变,然而其基本的原理是一致的;即运行之初通过一个文本解密的程序对加密代码进行解密,其解密的代码可能是其他程序、黑客程序、甚至其他的解密程序。
3.2 反取证技术分类
简单来说当下反取证技术大致可以分为三类:1)数据清除;2)数据隐藏;3)数据加密。并且此三类技术还可以进行联合应用,这就极大地提升了取证工作的难度和准确性。
3.2.1数据擦除
数据擦除作为当下反取证的最佳方式,其所指的是清除任何潜在的证据(索引、目录、块数据等涉及的原始数据)。当原始数据无法获得的情况下取证就理所应当无法开展。
反取证工具包(TDT)中有两种专门用于数据清除的工具软件,分别为Necrofile、Klismafile。前者常用于对文件信息、数据的清除,其通过将TCT中设计的索引节点包含的工具进行占据,将任何TCT有可能发现的索引节点的相关信息进行覆盖,并且还用随机数进行相关数据块的重写[3]。
(4)患者原因:由于疾病的影响,患者的情绪不稳定,可能一件小事就会让其大发雷霆,不理解不信任护士,使得护士不敢也不愿意走近患者,护患之间缺乏有效沟通,也让护理人员减少对患者的人文关怀与心理疏导,从而加剧护患关系的紧张。
3.2.2数据隐藏
陷阱机实际上为一类专门设计来被“攻陷”的网络、主机,若其被攻入,那么入侵者涉及的任何信息都将被特定的工具记录下来,从而其将被解析,也可能会成为控告入侵者的证据。
3.2.3加密数据
除了药物治疗之外,患者应改变生活方式,注意避免熬夜、饮酒,并且保证充足睡眠,尽量避免闪光刺激如闪关灯、电子游戏等,如可带太阳镜进行防护。
见了第一家铺子,我们就下了马车。不用说,马车我们已经是付过了车钱的。等我们买好了东西回来的时候,会另外叫一辆的。因为我们不知道要有多久。大概看见什么好,虽然不需要也要买点,或是东西已经买全了不必要再多留连,也要留连一会,或是买东西的目的,本来只在一双鞋,而结果鞋子没有买到,反而罗里罗嗦的买回来许多用不着的东西。
4 取证的局限性
在上述内容之外,在进行计算机取证时涉及的其他局限也是非常有研究价值的,例如磁盘数据恢复、反向工程、解密等等。
搜救国协调权并不专属于任何一个国家,同时任何一国也不会无故从国际法上获取更多的协调权以对其他国家合理从事救助活动而进行不正当的干涉。然而,基于平等状态下的搜救国之间可能会在执行某项具体的救助任务而同时行使这一协调权时产生一定的竞合。基于协调权权源的差别,这种竞合可以分化于3个范畴。
广彩大部分为外商定制,生产周期收到货船运期的影响,生产周期短,订单量大,对工匠的速度和绘画质量有严苛的要求。这对此情况广彩产生了独创的工具以满足要求,如令圈笔、胶印、辘印等,均成为广彩瓷器的巨大财富。
4.1 磁盘数据恢复
应用磁力显微镜(MFN),此类专业工具可对磁盘中的一层或两层数据进行恢复。因为数据是非常难做到精确地写回原位,因此即便采用多次的随机覆盖之后,其原数据还是有被找出的可能性。
4.2 反向工程
对被黑主机上存在的可以进行解析的程序进行解析,也是电脑取证工作的重要组成。当下可应用于UNIX系统中的二进制程序展开分析的软件是极为稀少的,其更适用于程序的调试而非反向工程,尤其是可执行程序在压缩、加密等技术的应用,导致反向工程难度不断提升[4]。从而若想从计算机罪犯应用的软件功能方面进行解析就必须借助于专业的反向分析人员的力量。
4.3 加密技术
伴随计算机犯罪分子更加倾向于应用加密技术对可能涉及的核心文件进行保存,想要获得最初始的证据,这就要求取证者对涉及的加密文件进行解密。为此,在进行加密文件的调查时,还是要应用到相关的解密技术。
在标准化处理之后,将上述数据进行归总,对部分数据进行加权平均后得到最后北部湾经济区区域经济一体化综合得分,具体如下(负数与零表示两地区域经济一体化程度极低):
5 结束语
由于计算机取证自身的局限性和计算机犯罪手段的不断提高(特别是反取证软件的出现),使得现在所有的取证技术已经不能完全满足打击计算机犯罪的要求了。另外,由于目前的取证软件的功能都集中在磁盘分析上,而其他的工作还得全部依赖于取证专家人工进行,几乎造成计算机取证软件等同于磁盘分析软件的错觉。这些情况必将随着对计算机取证研究工作的深入和新的取证软件的开发而得到改善。此外,计算机取证技术还会受到其他计算机理论和技术的影响。
参考文献:
[1]李福琳.计算机数据取证修复技术研究[J].信息系统工程,2018.
[2]褚洪波.计算机取证技术及其发展趋势[J].南方农机,2018.
[3]李亚轩.信息化警务模式下网络取证技术完善的研究[J].网络安全技术与应用,2018.
[4]信息犯罪与计算机取证[J].网络与信息安全学报,2018.
标签:计算机取证论文; 电子证据论文; 取证技术论文; 陷阱网络论文; 广西海警第一支队司令部论文;