用途
近些年来随着手机,个人PDA和其他电子产品的普及,计算机调查取证的源头也从计算机转移到其他各类电子产品上,所以计算机调查取证也有时称作“电子调查取证”(Digital Forensics)。
取证目标
使调查的结果能够经受法庭的检查。
工作原理
计算机调查取证的范围几乎包含了所有可能写入数据的电子产品。就电脑而言,大多数时候取证人员需要使用专业的工具来进行取证,比较著名的有EnCase和FTK。使用这些工具的人员都需要接受专业的培训,得到合格的证书才能为案子取证,当然除了专业的工具,取证人员也使用一些系统工具(一般在DOS下运行,为了保证证据只受最低影响)比如用dd和Netcat进行内存的取证分析。
电子证据拥有极强的隐藏性,这也是对取证人员的一大挑战。此外在英美法系中,已经逐渐地将电子证据规范化。和其他证据类似,取证需要遵循“监督链”(Chain of Custody)。监督链的内容如下:1、对取得的证据要进行记录。2、保持证据出庭、上交和交给检验员的记录。3、原证据(硬盘)应该安全地保存在专用的证据箱内,并记录日志。4、所有的电子取证以及检验都需要在原证据的镜像上进行,绝不能在原证据上进行。
操作方法
电子证据可以分为“死”证据和“活”证据:前者包括收集来的硬盘,U盘,储存卡等等。是“死”的;后者顾名思义,就是活着的证据,比如内存,电脑在运行的状态下内存的内容随时都在变化,但是内存中可能有极为重要的证据,比如剪贴板的内容,输入的密码等等。无论证据是“死”是“活”,都是取证人员所要刨根问底的。
对于“死”的证据,取证人员需要100%跟随监督链的原则,进行取证分析。拿硬盘或U盘来说,收集到物理证据后,取证人员会制作一个完全一样的副本(Bit-stream Copy)。这一步一般都需要一个叫做写保护器(Write Blocker)的物理元件,以防制作副本的过程中系统对原证据写入数据。在制作副本的同时,取证人员会在原证据上运算MD5或SHA1值,待副本完成后再在副本上运算。MD5或SHA1值就像是指纹一样,可以用来分辨作出来的副本是否与原证据一样。而且每次进行取证分析后,取证人员都会进行相同的运算,以确保证据没有改变,从而确保证据的可靠性。
“活”证据的重要性直到近期才被关注,却极其重要,可想而知毕竟计算机取证还是一门新兴的事物有待发展完善。在犯罪的第一现场,或是嫌疑犯的家中,当有电脑卷入时,美国的司法部门规定如果是开启的,不要关闭或收集,联系计算机取证人员来对应。这样做的一个原因是越来越多的罪犯开始隐藏自己的罪行,并且对其加密。解密的难度很大,而且费时,但是如果罪犯输入密码,密码就一定会藏在内存某处。通过内存的取证分析,就可以找到密码并轻易解密。此外,国外的即时通讯软件(Yahoo、Facebook等)越来越多地在网页上运行,这样使得聊天的内容不会被存在硬盘中而存入内存,这也是为什么“活”证据变得越来越重要的一个原因。因为内存的易变性,导致取证前后的内存不可能相同,这有可能造成法庭上辩护律师对这些证据可靠性的攻击,有待相关的法律来完善“活”证据的取证。
计算机调查取证和计算机安全与法律密不可分,取证员需要接受法律和计算机安全甚至网络安全的多方面培训。在美国,SANS Institute的GIAC Certified Forensics Analyst(GCFA)认证就是针对计算机调查取证员的认证。
取证原则
首先,尽早搜集证据,并保证其没有受到任何破坏;
其次,必须保证“证据连续性”(有时也被称为“chain of custody”),即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;
最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。
如何取证
必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。特别重要的是,计算机取证的全部过程必须是受到监督的,即由原告委派的专家进行的所有取证工作,都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下:
(1)保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统,不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。
(2)确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区分哪些是电子证据,哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据,确定这些记录的存放位置和存储方式。
(3)收集电子证据。
记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理,如果将来出现对收集的电子证据发生疑问时,可通过镜像备份的数据将目标系统恢复到原始状态。
用取证工具收集的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。
利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。
对网络防火墙和入侵检测系统的日志数据,由于数据量特别大,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。
各类电子证据汇集时,将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。
(4)保护电子证据
对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。
取证步骤
在保证以上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:
第一, 在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;
第二, 搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;
第三, 全部(或尽可能)恢复发现的已删除文件;
第四, 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;
第五, 如果可能并且如果法律允许,访问被保护或加密文件的内容;
第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:①所谓的未分配磁盘空间——虽然没有被使用,但可能包含有先前的数据残留;② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;
第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
第八,给出必需的专家证明。
上面提到的计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。