综合取证技术初探.pdf

专家视野 · 综合取证技术初探 ■ 丛磊泉 武 霞 王南宁 欧广宇 摘 要：计算机取证研究的是如何为检查涉及国家秘密信息和介质的违规使用，以及调查计算机犯罪，提供快速有效的技术。但电 子证据往往分布零散，且由于磁介质的可重复读写性，系统或人为消除痕迹也会导致电子证据的不完整性，这就加大了取证的难度。本 文利用计算机安全保密工具详细阐述了综合取证的实施方法和实施要点，使取证工作轻松地 由单一证据要点向全面证据转变，由单机 取证向网络取证转变，加快了电子取证工作将向着深入和综合的方向发展 。 关键词：计算机犯罪；违规行为；电-I-~m；安全保密；综合取证 随着信息化的不断深入，计算机应用 日新月异，围绕信 子证据会 自动地重叠，导致证据信息残余不全；另一方面人 息的保密与窃取斗争愈加尖锐复杂。国家秘密、商业秘密 们认识的不断提高，人为消除痕迹，逃避责任的行为也不时 以及个人隐私信息的违规使用或不适处置，都会引起严重 有发生，这些都会导致电子证据信息的不完整，加大了取证 后果。无论是有意违规行为，还是无意识的违规行为，抑或 的难度。市场迫切需要一套综合的取证工具，对证据痕迹进 是各类计算机犯罪行为，都会在计算机上留下很多痕迹证 行迅速地、全面地、自动化深度发掘，为查处违规违法行为 据。这些痕迹证据都以数字形式通过计算机或网络进行存储 提供确凿的详细证据。 和传输，从而出现了电子证据 (Digital Evidences)。计算机取证就是对计算机 犯罪的证据进行获取、保存、分析和出示， 它实际上是一个扫描计算机系统以及重 建事件的过程，当前计算机取证正 日益受 到人们的关注和重视。 电子证据往往零散地分布于移动设 备、便携式计算机、掌上电脑、手机、入 侵检测系统等设备上。计算机由于可以自 由地安装不同的应用软件，可以上网、聊 天、发邮件、处理文稿，涉及文字、图形、 视频、音频、索引节点、目录文件和数据以 及曰志信息和数据库信息，成为电子证据 的主要载体，是电子取证的重点对象。计 算机取证科学是一门综合性的学科，涉及 到磁盘分析、文件加解密的识别与处理研 究、数据伪装隐藏、程序的反向工程，以 及邮件、上网、违规外联、文档处理、日志 等各类痕迹信息的发掘技术和知识。由于 磁介质具有可重复读写的特性，一方面随 着系统不断使用和更新，磁介质空间会被重复使用，有关电 下面向大家展示一个，通过计算机保密检查工具来综合 取证的方法。 收稿日期：2010—07．_l1 使用工具：国瑞信安计算机安全保密检查系统、Live 作者简介：丛磊泉、武霞、王南宁、欧广宇，江苏国瑞信安科 View、VMware。 技有限公司。 · 专家视野 LiveView是一个基~=Java的图形化的取证工具，它可以 戳，可以快速准确定位有关证据信息。对故意改名、加密隐藏 创建原始磁盘映象或物理磁盘的一~VMware虚拟机。它准许 等行为，可以通过后缀名异常判断，加密文件识别等功能模 取证人员可以启动这个镜象或磁盘，并获得一个交互性的、 块取证。为了取得最终的证据，取证人员可以结合社会工程等 用户级的环境视图。因为对磁盘的所有更改都被写往一个独 方法将这些文件进一步解开。选项如图2所示。 立的文件，检查人员可以很快地恢复到磁盘的原始 状态。其最终的结果是用户不需要创建额外的磁盘 映象来构建虚拟机。我们首先利用1ireview复制 计算机系统硬盘，并在YMware环境下启动。 运行国瑞信安计算机安全保密检查系统 Gree-sec Audit，对Gree—sec Audit进行配置， 保证有关证据项在检查范围内，配置项如图1。 为了提高效率，自动对有关证据进行报警，在 开始检查之前可以对报警关键词进行设置。 在系统执行有关检查后，可在常规信息栏里 看Ncpu、硬盘的序列号，网卡的MAC地址和IP地 址，如果结合计算机台账，很容易确定该计算机硬 盘等配件是否被非授权更改。通过检查系统安装 时间，可初步判断原系统是否被人为删除或覆盖， 或与泄密、犯罪的发生时间进行比对，在事件时间 之内的可以进一步核查，