法医式解剖网络犯罪.docVIP

电子取证：法医式“解剖”网络犯罪 发布时间： 2006-9-25 　　　　　　　　　　　记“计算机犯罪证据固定与保全技术”课题组　　网络犯罪危害四方　　2006年8月29日至30日，全国最大的色情网站———“情色六月天”案在太原开庭。　　2005年6月21日，山西省太原市公安局网监支队接到市民举报，称其访问的一个医院网站是色情网站。网监支队调查发现，这个色情网站名叫“情色六月天”，截至2005年10月3日，其累计注册会员60多万名，发布淫秽图片4万余张、淫秽电影125部。点击率更是高得惊人，达到1164万余次。嫌疑人非法获利20余万元。　　网络色情危害严重，但查处起来却是困难重重。北京大学计算机研究所信息安全工程研究中心（以下简称北大信安中心）取证课题组在这方面开展了一系列调查研究和技术攻关工作。中心取证课题技术负责人唐勇介绍说，首先是公安机关取证难，其次检察机关举证也很难。在电子证据采集上，由于网站内容的刷新和删除太快太容易，公诉机关举证前，部分网站经营者早已毁灭证据。数据或信息被人为地篡改后，如果没有可对照的副本、影像文件则难以查清、难以判断。　　国内相关管理部门，特别是公安部公共信息网络安全监察局非常重视计算机犯罪取证技术的研究工作，设立了“计算机犯罪侦查技术研究”项目，经科技部批准，列入国家“十五”科技攻关计划。北京大学计算机科学技术研究所和国内其他几家科研单位参加了此项计划的研究攻关。专家点评：　　信息技术、互联网的飞速发展和普及，使得计算机和网络已经影响到人们生活、工作的方方面面。把其作为犯罪工具，已成为目前高科技犯罪的一种新动态。侦破这些案件中遇到的计算机取证也称计算机法医学，是指把计算机看作犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学正逐渐成为人们研究与关注的焦点。　　知己知彼百战不殆　　北大信安中心取证课题组的技术人员为更全面地了解办案民警的需求，在公安部公共信息网络安全监察局的技术专家的指导帮助下，亲身参与了一线公安民警计算机犯罪调查的取证过程。　　调研过后，4大难题摆在了课题组面前。唐勇说，计算机取证时，第一件要做的事是冻结计算机系统，也就是证据的固定，不给犯罪分子破坏证据提供机会。在这方面，计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。不同的是，在进行计算机取证时，违法犯罪活动如网络攻击可能还在继续，木马程序还在运行，因此就有了静态电子证据和动态电子证据之分。而且利用计算机实施犯罪的嫌疑人往往可以在几秒钟内就把犯罪痕迹销毁。　　难题二就是，目前硬盘的容量越来越大，固定过程相应变得越来越长，因此取证设备要具有高速磁盘复制能力。同时设备接口和存储介质的种类越来越多，民警现有的公安部配发的国外进口的专门设备远远不能满足这些要求。　　技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备，对民警的计算机专业素质要求很高。调研中课题组遇到一个案例，某大学的Web服务器遭到入侵，linux操作系统下被安装RootKit，而这些犯罪证据不易收集完整，需要技术人员具有非常强的专业知识。　　最后的问题是，目前的电子证据的取证流程还基本上使用传统的取证流程，由于电子证据和传统的证据存在很大的差异，因此非常需要一个合理合法的流程确保电子证据固定过程中的有效性。专家点评：　　在攻关前，国内获取电子证据的技术滞后、设备陈旧，没有专用的设备用于侦破计算机犯罪。课题组做了大量调研，比如他们参加了针对某电信服务商的DDoS攻击的取证工作，发现网络取证更为困难。没有专业网络取证工具，无法实现对网络的无干扰取证；由于数据量大，无法获取足够时间长度内的攻击数据等等。　　道高一尺魔高一丈　　课题组在摸清情况后，迅速出招，仅用了一年多的时间就交出了圆满答卷。便携易用、高速复制、内存映像、透明网络取证、高适应性的计算机取证工具箱交到了试用的辽宁某市民警的手中。　　由于民警常常是在现场进行取证，携带方便是取证设备的前提。唐勇说，为此他们采用了以笔记本作为取证设备的解决方案。但是普通的笔记本电脑没有外接的IDE接口，系统要支持IDE硬盘设备的逐位镜像，必须通过其他接口进行转接。公安部网监局的技术专家学历高，素质高，专业知识强，在他们的启发帮助下，课题组采用了笔记本电脑支持的USB2.0标准接口，传输速率达到480MB/s，满足了系统的速度要求，配合读卡器可以对各种移动存储介质进行取证。同时利用向导式操作界面降低了使用的复杂度，并且系统自启动光盘能够在不拆卸硬盘条件下，直接镜像嫌疑机器的硬盘，解决了设备不易拆卸的问题（如笔记本硬盘）。　　主机核心数据往往是重要的犯罪现场。它包括内存映像、系统交换文件、进程信息、网络状态、系统日