浅议计算机取证及网络行为取证.docVIP

精品论文 参考文献 浅议计算机取证及网络行为取证 马建军 （同济大学 北京网络行业协会电子数据司法鉴定中心） 摘要：由于互联网的异构性和复杂性，对网络行为的分析和挖掘也成为一个复杂的课题。由于互联网的规模巨大，如何在有限的资源限制条件下，尽可能多地揭示网络的信息也是网络行为研究的一个值得关注的方向。对于计算机取证学来讲，网络行为取证的难点不仅在于上述限制，各种安全问题、资源限制问题、准确度问题都会在取证学中有所反映。本论文探讨了网络行为取证中的若干问题，通过背景分析和理论探讨提出了问题研究的迫切性，理论上的可行性，并致力于其性能、准确性的对比。 关键词：计算机取证学 网络行为取证 1 取证学研究背景 现在美国至少有70%的法律部门拥有自己的计算机取证实验室，对于计算机取证学的研究也走在比较前沿的方向。通常取证专家除了可以在实验室内静态分析从犯罪现场获取的计算机或者其他的数据，也可以动态跟踪数据的发生、发展和消亡，试图从中找出谁、在什么时间、从哪里、以什么方式进行了什么非法活动。 计算机取证包括物理证据获取和信息发现两个阶段，前者主要是执法的方式进行，后者则严重依赖于对物理数据的分析。 物理证据获取是指调查人员来到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件，达到数据获取的目的；信息发现是指从在犯罪现场获取的原始数据(包括文件，日志等)中寻找可以用来证明或者反驳某些揣想或者假设的证据。与其他证据一样，电子证据必须是真实、可靠、完整和符合法律规定的。而关于电子证据的法律问题的研究同时在发展，现有的法律基础是薄弱的，本文不会在这里泼墨太多。 物理证据获取及数据分析是全部取证工作的基础，因为现场的情况复杂，取证必须由专业人员来进行，在获取物理证据时最重要的工作是保证存到的原始证据不受任何破坏，同时证据的收集更全面。无论在任何情况下，调查者都必须牢记。 不同的案例对信息发现的要求是不一样的，与案件的性质和对一方造成的损失等因素息息相关。在有些情况下，只需找到关键的文件、图片或邮件就可以了，在其他时候则可能要求重现计算机在过去工作的细节(比如入侵取证)。在电视剧《越狱》里一块硬盘被从河里发现，通过电镜静态分析，警官找到了一些犯罪倾向并进行了阻止，此时取证的难点在于从损毁的硬盘上恢复原始数据，其难度可想而知。 计算机证据具有数字性、高技术含量、脆弱性、多态性、交互性、复合性、动态性几个特点，与数据的信息特性高度相关，表明其高科技属性。 基于计算机证据的以上特征，我国有的法学专家建议，把计算机证据作为一个独立的证据种类或者用“电、磁、光记录物”取代视听资料作为一个证据种类以涵盖视听资料和计算机证据。而网络行为取证又由于其动态特性，使得其难度比其他计算机取证领域的难度要高，也值得我们投入精力去研究。 针对取证的多样性，有些研究已经开始了循环取证的研究，对取证进行抽象。 目前除TCT 和EnCase 以外，被大量使用的取证工具还有DiskSearch 32，DiskSig，DM，DRIVESPY，FileCNVT，ForensiX，GetSlack 等等，大多是基于磁盘和文件的取证工具。 2 现有研究存在的问题 取证的成功与否与诸多因素有关，但是现有取证学的研究还存在诸多问题，首先是取证条件的限制，其次是诸多反取证技术的发展甚至超过了取证技术的发展。 2.1 取证的条件 现在计算机取证学找到犯罪证据的过程还比较原始，处于初级阶段，主要是因为找到犯罪的证据需要具备三个条件： 2.1.1 有关犯罪的电子证据必须没有被覆盖。 比如硬盘上的数据被多次物理删除和格式化了，如何恢复是一个难题，依赖于现有的硬盘修复手段可能会无效，借助于扫描电镜查看每次磁头读写时磁畴的晶相差异，有可能恢复该数据，此时恢复数据的成本就比较高昂。如果是U盘上的数据被覆盖，现在可以想到的方法还没有见到奏效的例子。如果原始数据都没有拿到，自然证据也就无法立足。 2.1.2 取证软件和手段必须能够找到这些数据。 获得物理载体，电子证据也没有被覆盖，但是如何从大量的数据源利找到与事件相关的部分，排除干扰，也是非常必须的。对于一些场合，有效地信息往往只是沧海一粟，如何挖掘有效的信息是不被数据淹没的重要研究方向。 2.1.3 取证人员必须能够知道文件的内容，并且能够证明它们和犯罪有关。 2.1.4 取得的证据必须能够得到法律的认可。 这一点也至关重要。如果找到目标文件，却发现该文件是加