论文部分内容阅读
【摘 要】随着网络用户安全隐患和计算机安全问题日益严重,计算机取证和司法鉴定逐渐成为计算机安全领域越来越重要的一个研究方向。计算机取证分为静态取证和动态取证两种,目前被大家普遍采用的是静态取证技术,即对计算机证据数据的获取、分析、鉴定和保存工作是在计算机犯罪事件发生之后进行的。本文是对两者的对比分析。
【关键词】Windows网络 静态取证 动态取证
一、静态取证的一般步骤
静态取证是指对已经被入侵的PDA、计算机系统、手机等设备的光盘、存储器或独立的磁盘等媒介,通过运用各种技术手段对提取数据并加以分析,抽取出有效计算机证据的工作模式。静态取证通常以发生了紧急事件(如受到入侵)的磁盘、计算机系统或其它数据存储介质等为主要工作对象。
一般情况静态取证的过程通常分为四步:保护并勘查现场、取证分析前的准备工作、分析证据和提交结果这四个步骤。
(一)保护并勘查现场
如果目标机器被发现入侵,首先应该想到的是保护好现场,以便查案人员勘察现场,为找到尽可能多的证据做好初步准备。只有当真正确定目标计算机系统遭到恶意入侵时,才能进行现场保护,这对于一般的PC机用户可能并没有很重要,但是一旦需要封存的目标机器是大型服务器,哪怕停止运行极短的时间,也可能会带来非常巨大的损失。其次,应该绘制网络拓扑图、计算机犯罪现场图,在移动和拆卸任何设备之前,都应该拍照存档,以便为以后模拟、还原犯罪现场提供最直接的依据。此外,还必须要保证“证据连续性”,即在将证据正式提交给法庭时,能够说明从获取证据到案件审理这段时间内,证据没有发生任何变化。必须要做到监督检查和取证的整个过程。必须委派第三方专家监督所有的调查取证工作,这样才能使整个取证过程符合相关法律的规定。
(二)取证分析前的准备工作
在取证过程中,除一些特殊情况,为保护原始数据,通常都会通过对原始证据进行物理拷贝,对备份开展所有证据分析、提取工作。这样就要求必须为一些含有计算机证据的数字信息制作副本,并确保妥善保存其原始数字信息,而在计算机取证人员证据的提取和分析时采用它的复制品。
要想保证取证数据的合法性,必须要求证据是连续的,也就是说在把取证数据即“证据”提交给法庭的时候,能够向法庭证明取证数据的完整性,即证据的本质状态还是原始的、未经改动过的。通常情况下,取证工作者会采用MD5算法对原始数据进行摘要,然后把摘要信息、原始数据及其物理拷贝妥善存储。
(三)证据分析
证据分析是计算机取证最重要的阶段,是取证的核心部分。由于原始数据或者物理拷贝都是存储在硬盘等介质里,没有直观可见性,因此需要借助计算机的辅助工具进行查看。证据分析需要深厚的专业知识背景,因此对电子证据进行取证分析这一阶段由专家学者完成。
取证分析主要包含以下几个方面的内容:分析计算机安装的哪种操作系统,是不是安装了虚拟机即多个操作系统,系统是否有隐藏的分区;计算机有没有可疑的外部设备;有没有远程对该计算机进行控制;是否安装木马程序;计算机系统当前所处的网络环境。利用软件和工具等技术对删除、修改、增加或者复制过的文件进行数据恢复工作,发现修改操作痕迹。对计算机特殊磁盘空间的数据进行分析。通过对比分析收集获取的拷贝数据信息与当前正常运行的系统数据,发现攻击操作留下的痕迹。另外可以通过该计算机的主人,或者计算机密码、电子签名、日志记录、上网IP等计算机特有信息识别体来查找出可能的犯罪证据。另外,还应该把此台计算机电子证据与其他类型的证据相互关联、相互印证、综合分析验证;另外,还应注意所掌握的电子证据,能否为案件的侦破提供其他的有效线索,或确定作案的可能时间、犯罪嫌疑人等。
(四)提交结果
整理对目标系统的分析结果,确保其完整准确,打印并做出分析结果:系统总体状况,所有保护、藏匿、删减、加密系统文件的信息,发现的系统数据、文件结构、作者信息,和在取证调查过程中所发现的其它相关的一切信息。然后标明提取地址、时间、工具、证明人及证据提取人。并且按照合法的程序,把这些具有法律效力的证据以某种表现形式提交给负责该案件的司法机关。
二、静态取证存在的问题
静态取证的实质是事后取证,即取证发生的时间是计算机系统已经受到犯罪攻击或系统信息已经被破坏。静态取证的致命点在于难以找到犯罪过程的完整证据,还原犯罪现场和再现犯罪过程。静态取证流程如图2-2所示,由于很难重现犯罪场景,所以专业取证人员即使找到犯罪证据制裁计算机犯罪者,系统也无法完全还原到攻击前的状态,造成一定的损失。
仅仅依赖静态取证,是很难获取完整的系统信息,得到可靠的取证结果的,因此,计算机取证应该是把动态取证与静态取证相结合,共同完成取证过程。实时获取这些系统运行信息是判断是否有正在进行的未经授权行为的最佳方法,也是寻找犯罪者是从系统何处着手攻击行为以及具体攻击过程的很好方法。当然,在实时获取开机系统信息的方法中会遇到一些困难和障碍,比如获取入侵证据时被入侵者发现、证据被损坏、实时获取攻击占用目标系统过多的资源等一系列问题。因此要求专业取证人员在取证过程中要权衡利弊、有所取舍,具体情况具体分析,灵活应对。
由此可见,随着犯罪者攻击手段的提高,仅仅依靠静态取证已经不能应对取证的需要,因此,计算机取证的发展趋势就是把入侵检测等网络安全软件与取证过程相结合,进行动态取证,全面打击计算机犯罪。
三、动态取证与静态取证的差异
所谓动态取证,就是把取证技术与入侵检测等网络安全工具相结合,实时获取目标系统数据并进行分析,及时捕获可疑的非授权行为,智能分析犯罪者的意图,并采取措施阻断入侵行为或者诱导入侵深入,在保证计算机系统安全情形下捕获到最完整的证据,然后对所提取的证据进行鉴定、保存和提交的过程。当监控到有入侵行为正在攻击计算机时,自动转入动态取证流程,即将取证技术嵌入到入侵检测等网络安全工具当中,实时记录并分析开机系统的数据变化过程,发现入侵者的攻击意图,使用专门的取证软件获取电子证据。
但是,动态取证的研究时间很短,仍旧处于起步阶段。与静态取证相比,动态取证具有以下几个显著特点:
(一)动态取证可以获取目标主机的信息变化过程,重新犯罪攻击场景;而静态取证没有这个功能。
(二)动态取证的执行过程可以自动化,因此对取证工作者的要求不高;静态取证需要用到专门的取证工具软件,而不同公司的取证软件所用的技术是不同的,因此需要对取证工作人员进行专门的培训工作。
(三)动态取证具有实时取证的特点,一般在检测到入侵发生的时候触发动态取证;而静态取证的发生时间是在入侵之后,可能会间隔比较长的时间再进行证据获取,因此可能会会因为系统丢失了一部分信息,造成证据的不充分、不完整,这样的证据也可能不具备法律效力。
【关键词】Windows网络 静态取证 动态取证
一、静态取证的一般步骤
静态取证是指对已经被入侵的PDA、计算机系统、手机等设备的光盘、存储器或独立的磁盘等媒介,通过运用各种技术手段对提取数据并加以分析,抽取出有效计算机证据的工作模式。静态取证通常以发生了紧急事件(如受到入侵)的磁盘、计算机系统或其它数据存储介质等为主要工作对象。
一般情况静态取证的过程通常分为四步:保护并勘查现场、取证分析前的准备工作、分析证据和提交结果这四个步骤。
(一)保护并勘查现场
如果目标机器被发现入侵,首先应该想到的是保护好现场,以便查案人员勘察现场,为找到尽可能多的证据做好初步准备。只有当真正确定目标计算机系统遭到恶意入侵时,才能进行现场保护,这对于一般的PC机用户可能并没有很重要,但是一旦需要封存的目标机器是大型服务器,哪怕停止运行极短的时间,也可能会带来非常巨大的损失。其次,应该绘制网络拓扑图、计算机犯罪现场图,在移动和拆卸任何设备之前,都应该拍照存档,以便为以后模拟、还原犯罪现场提供最直接的依据。此外,还必须要保证“证据连续性”,即在将证据正式提交给法庭时,能够说明从获取证据到案件审理这段时间内,证据没有发生任何变化。必须要做到监督检查和取证的整个过程。必须委派第三方专家监督所有的调查取证工作,这样才能使整个取证过程符合相关法律的规定。
(二)取证分析前的准备工作
在取证过程中,除一些特殊情况,为保护原始数据,通常都会通过对原始证据进行物理拷贝,对备份开展所有证据分析、提取工作。这样就要求必须为一些含有计算机证据的数字信息制作副本,并确保妥善保存其原始数字信息,而在计算机取证人员证据的提取和分析时采用它的复制品。
要想保证取证数据的合法性,必须要求证据是连续的,也就是说在把取证数据即“证据”提交给法庭的时候,能够向法庭证明取证数据的完整性,即证据的本质状态还是原始的、未经改动过的。通常情况下,取证工作者会采用MD5算法对原始数据进行摘要,然后把摘要信息、原始数据及其物理拷贝妥善存储。
(三)证据分析
证据分析是计算机取证最重要的阶段,是取证的核心部分。由于原始数据或者物理拷贝都是存储在硬盘等介质里,没有直观可见性,因此需要借助计算机的辅助工具进行查看。证据分析需要深厚的专业知识背景,因此对电子证据进行取证分析这一阶段由专家学者完成。
取证分析主要包含以下几个方面的内容:分析计算机安装的哪种操作系统,是不是安装了虚拟机即多个操作系统,系统是否有隐藏的分区;计算机有没有可疑的外部设备;有没有远程对该计算机进行控制;是否安装木马程序;计算机系统当前所处的网络环境。利用软件和工具等技术对删除、修改、增加或者复制过的文件进行数据恢复工作,发现修改操作痕迹。对计算机特殊磁盘空间的数据进行分析。通过对比分析收集获取的拷贝数据信息与当前正常运行的系统数据,发现攻击操作留下的痕迹。另外可以通过该计算机的主人,或者计算机密码、电子签名、日志记录、上网IP等计算机特有信息识别体来查找出可能的犯罪证据。另外,还应该把此台计算机电子证据与其他类型的证据相互关联、相互印证、综合分析验证;另外,还应注意所掌握的电子证据,能否为案件的侦破提供其他的有效线索,或确定作案的可能时间、犯罪嫌疑人等。
(四)提交结果
整理对目标系统的分析结果,确保其完整准确,打印并做出分析结果:系统总体状况,所有保护、藏匿、删减、加密系统文件的信息,发现的系统数据、文件结构、作者信息,和在取证调查过程中所发现的其它相关的一切信息。然后标明提取地址、时间、工具、证明人及证据提取人。并且按照合法的程序,把这些具有法律效力的证据以某种表现形式提交给负责该案件的司法机关。
二、静态取证存在的问题
静态取证的实质是事后取证,即取证发生的时间是计算机系统已经受到犯罪攻击或系统信息已经被破坏。静态取证的致命点在于难以找到犯罪过程的完整证据,还原犯罪现场和再现犯罪过程。静态取证流程如图2-2所示,由于很难重现犯罪场景,所以专业取证人员即使找到犯罪证据制裁计算机犯罪者,系统也无法完全还原到攻击前的状态,造成一定的损失。
仅仅依赖静态取证,是很难获取完整的系统信息,得到可靠的取证结果的,因此,计算机取证应该是把动态取证与静态取证相结合,共同完成取证过程。实时获取这些系统运行信息是判断是否有正在进行的未经授权行为的最佳方法,也是寻找犯罪者是从系统何处着手攻击行为以及具体攻击过程的很好方法。当然,在实时获取开机系统信息的方法中会遇到一些困难和障碍,比如获取入侵证据时被入侵者发现、证据被损坏、实时获取攻击占用目标系统过多的资源等一系列问题。因此要求专业取证人员在取证过程中要权衡利弊、有所取舍,具体情况具体分析,灵活应对。
由此可见,随着犯罪者攻击手段的提高,仅仅依靠静态取证已经不能应对取证的需要,因此,计算机取证的发展趋势就是把入侵检测等网络安全软件与取证过程相结合,进行动态取证,全面打击计算机犯罪。
三、动态取证与静态取证的差异
所谓动态取证,就是把取证技术与入侵检测等网络安全工具相结合,实时获取目标系统数据并进行分析,及时捕获可疑的非授权行为,智能分析犯罪者的意图,并采取措施阻断入侵行为或者诱导入侵深入,在保证计算机系统安全情形下捕获到最完整的证据,然后对所提取的证据进行鉴定、保存和提交的过程。当监控到有入侵行为正在攻击计算机时,自动转入动态取证流程,即将取证技术嵌入到入侵检测等网络安全工具当中,实时记录并分析开机系统的数据变化过程,发现入侵者的攻击意图,使用专门的取证软件获取电子证据。
但是,动态取证的研究时间很短,仍旧处于起步阶段。与静态取证相比,动态取证具有以下几个显著特点:
(一)动态取证可以获取目标主机的信息变化过程,重新犯罪攻击场景;而静态取证没有这个功能。
(二)动态取证的执行过程可以自动化,因此对取证工作者的要求不高;静态取证需要用到专门的取证工具软件,而不同公司的取证软件所用的技术是不同的,因此需要对取证工作人员进行专门的培训工作。
(三)动态取证具有实时取证的特点,一般在检测到入侵发生的时候触发动态取证;而静态取证的发生时间是在入侵之后,可能会间隔比较长的时间再进行证据获取,因此可能会会因为系统丢失了一部分信息,造成证据的不充分、不完整,这样的证据也可能不具备法律效力。