浅谈计算机易失性数据收集.doc

浅析计算机易失性数据收集 1、相关定义 1.1、计算机数据取证的定义、特殊性和分类 对于什么是计算机数据取证,与对于计算机证据定义的争论一样,至今仍有 很多不同的定义。 计算机数据取证的资深人士,Judd Robbins 给出的定义是[10]:计算机数据取 证仅仅是计算机调查和分析技术的一种应用,其目的是为了获取潜在的合法数 据。 专业的计算机紧急事件响应和计算机取证咨询公司 New Technologies,进一 步扩展了该定义:计算机数据取证包括了对以磁介质编码信息方式存储的计算机 证据的保护、确认、提取和归档。SANS 公司则归结为如下的说法:计算机取证 是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取 和保护有关计算机犯罪的证据。而 Sensei 信息技术咨询公司则将其简单概括为 对电子证据的收集、保存、分析和陈述。Enterasys 公司的 CTO、办公室网络安 全设计师 Dick Bussiere 则认为计算机取证也可以称作计算机法医学,是指把计 算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行法医式解剖, 搜寻确认犯罪及其犯罪证据,并据此提起诉讼的过程和技术。该定义强调了计算 机取证与法医学的关联性。也有定义认为,计算机数据取证是指对能够为法庭接 受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、 保护、提取和归档的过程。 综合以上的观点,本文对计算机数据取证的定义是:指对能够为法庭接受的、 足够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、 9 提取和归档的过程。它能推动或促进犯罪事件的重构,或者帮助预见有害的未经 授权的行为。 计算机数据的特性,给计算机数据取证工作带来了一定的困难。但也正因为 计算机数据的种种特性,计算机数据取证也有了传统取证所不可能有的便利。 计算机数据可以在比特流级别被复制,此时的副本与原数据是完全相同 的,因此对于计算机犯罪的分析和取证工作可以在副本上完成,从而避 免了原始数据被破坏的风险。 在对副本进行分析和取证的过程中,即使是对于副本一个字节的改动, 也可以很方便地检测出来,这个特点从侧面促进了电子数据取证的客观 性与公证性。 许多计算机数据不仅仅只保存在计算机中的一个位置。一处的计算机数 据遭到破坏以后,往往可以从其它的地方找到该数据的副本或相关的冗 余数据。 计算机数据虽然易被破坏,但是却很难被完全的毁灭。有研究表明,有 经验的取证人员可以从被擦除七次的硬盘中,获取所需要的数据[1]。 那么计算机数据取证又应该如何分类呢?按照计算机数据数据取证在计算 机犯罪调查中所处的阶段和作用,可以将其分为两个大类:事后静态取证和实时 动态取证。 事后静态取证技术是在计算机已经遭到入侵或破坏的情况下,运用各种技术 手段对存储在各种物理介质上的数据进行分析取证的过程,也是现在普遍采用的 取证方法。静态取证对数据进行确认、提取、分析,抽取出有效证据,基于此思 想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于 静态取证的工具,如 Guidance Software 的 Encase,它运行时能建立一个独立的 硬盘镜像,而它的 FastBloc 工具则能从物理层组织操作系统向硬盘写数据。 动态取证是将取证技术结合到防火墙、入侵检测中,对所有可能的计算机犯 罪行为进行实时数据获取和分析,智能分析入侵者的企图,采取措施切断链接或 诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定、保全、 提交的过程[11] [12] [13]。动态取证通常与 IDS,Honeypot,Honeynet 紧密结合,是 计算机取证的发展趋势,目前的动态取证产品国外开发研制的较多,价格昂贵, 国内部分企业也开发了一些类似产品。 10 1.2、计算机数据的定义、特点和数据源 计算机数据是计算机取证的对象,计算机系统则是计算机数据的承载和来 源。考虑到计算机数据来源的多源性,应首先对计算机系统进行分类。针对计一 算机数据的来源,可以将计算机系统分为三大类:开放计算机系统;即通常意义 上的由硬盘驱动器、显示器、键盘、鼠标等组成的标准化计算机系统;通信系统: 指传统电话系统、有线通信系统、Internet 以及普通网络;嵌入式计算机系统: 即移动电话、智能卡和一些内嵌计算机的系统[32]。 在了解了针对计算机数据取证而对计算机系统所做的划分以后,还要对计算 机数据取证的研究对象 “计算机证据”进行分类。计算机证据的分类方法可以 有很多,例如针对存储介质分类,可以分为存储于硬盘的数据,存储于缓存的数 据,存储于可移动磁盘的数据等;针对存储形式分类,可以分为可直接读取文件, 隐藏文件,加密文件,被删除文件等;针对计算机数据的表