计算机取证技术及其发展分析

 【摘 要】随着我国经济的飞速发展以及科学技术的发展,计算机技术已经渗透到社会各行各业中,成为行业发展的必须品。在这种背景下,以计算机为犯罪工具和对象的新型犯罪活动日益增加,严重威胁人们日常生活与财产安全。接下来,本文将详细论述计算机取证技术及其发展。 
  【关键词】计算机 取证技术 发展 
  近年来,我国互联网技术得到了突飞猛进的发展。但是,由于我国互联网起步晚、发展快,相应的法律体制、网络安全体系均不健全。犯罪分子正是利用网络缺陷从事犯罪活动,给网络安全带来严重隐患。新形势下,加强计算机取证技术的研究,具有重要意义。 
  一、简要论述计算机取证概念 
  计算机取证指的是充分利用软件工具,按照预先设定的定义程序,对计算机系统进行全面检查从而有效提取与保护计算机犯罪证据。相比于传统证据来说,计算机证据具有如下特点:①计算机证据易逝、脆弱、精密性比较高。②计算机证据隐蔽性非常强。③具有多媒体特性。④计算机证据还具有容量小、占用空间小、易于传输与保存等特点。 
  二、计算机取证技术与工具分析 
  (一)计算机取证技术 
  目前来说,结合计算机证据的特点,可以分为两种取证方法:第一,静态取证。证据存放在独立的磁盘或未运行的电脑系统等介质上。这种取证方式主要事后取证的一种方法,是在已经遭到外界破坏前提下,通过各种技术方式对计算机系统进行详细研究,进而获得攻击者的攻击证据。第二,动态取证。这种取证方式是实时取证的一种方法,犯罪证据存放在运行的电脑系统以及网络数据流当中,对网络现场以及计算机系统进行全面监视从而获得有效数据,与此同时,加强与陷阱网络、入侵检测的联系,对入侵者意图进行动态分析,从而及时获得电子信息。计算机取证技术主要分为以下几个方面: 
  1.磁盘映像拷贝技术。通过磁盘映像拷贝将原始磁盘进行复制,同时包括临时文件、交换区文件等全面复制。通过对复制磁盘进行操作,能有效避免数据损坏。 
  2.数据恢复技术。该技术主要是把犯罪分子通过格式化或删除的数据恢复出来。格式化之后数据仍然存放在磁盘上。被删除文件的数据簇仍然在磁盘上。数据恢复技术正是充分利用这一特点进行证据取证。 
  3.数据传输技术。数据传输技术指的是通过RS- 232接口光缆进行数据的异步传输,从而安全的将数据传输到取证计算机中。要想进一步提升远程信息的安全性,可通过IP加密、DES加密、VPN等方式进行传输。与此同时,充分利用MAC加密技术来确保传输信息的完整性。 
  4.数据保存技术。数据信息完整、安全的传输到目标计算机上以后,必须通过机密技术进行数据的安全保存。激光穿孔加密、芯片加密、修改磁盘参数表、掩膜加密等方式均是常用的磁盘加密方法。 
  5.数据分析技术。数据分析技术主要分为日志、数据解密、文件属性、Erased Files、证据相关性等技术分析。 
  6.取证。在受到侵害的系统上设立Honeypot,一旦被入侵者所攻破,一切信息、工具等都将被用来分析学习。 
  (二)计算机取证工具 
  Hard Drive Mechanic获取数据工具、SEIZED数据证据保全工具、Net Threat AnaLyzer证据分析工具、NTI- DOC数据归档工具等均是常用的计算机取证工具。 
  (三)计算机取证局限性 
  近年来,计算机取证软件以及取证理论都是安全领域中的主要成就,但不可回避,计算机取证技术还存在自身的局限性。站在理论角度分析:犯罪证据必须没被覆盖、软件必须可以找到犯罪数据、取证人员必须知道文件内容且与犯罪有关,这三个条件是取证成功的关键。但是,现阶段的取证软还仅仅是可以恢复使用rm或strip 命令删除的文件,这就使得犯罪分子有机可乘,在取证技术发展的同时,反取证技术也迅速发展。数据加密、数据隐藏、数据擦除是现阶段主要的三种反取证方式,三种方式联合使用,大幅度降低了取证效果。与此同时,黑客常常通过木马、系统程序等窃取密码或绕开日志,进一步增加了取证困难度。 
  三、计算机取证未来发展趋势 
  (一)取证向着自动化、专业化方向发展 
  计算机犯罪的领域不断扩大,几乎达到了无孔不入的境界。而且,其犯罪证据也会通过不同方式存储在路由器、计算机等设备上。要想取证这些犯罪证据,必须使用针对性的硬件与信息格式进行。现阶段,大量的取证结果依靠人工实现,这就降低了取证速度以及结果的可信性。在将来将会出现更多的取证工具与取证操作软件,全面推动计算机取证的自动化、专业化发展。 
  (二)加强与其他技术的融合 
  加强与其他技术的融合,能有效克服现阶段计算机取证技术的局限性。①恢复磁盘数据。磁盘是通过其介质磁性方向来进行数据表达的。在数据写入磁盘时,磁场会使得数据介质发生方向磁化。新写入数据其磁性强度无法完全摆脱其原始状态影响。通过磁力显微镜,可以将磁盘上一层或两层数据进行恢复。因为新数据无法精确写在原位置上,多次的随机覆盖仍可以找到原来数据。②反向工程。分析系统可以程序是取证的重要环节,现阶段,分析Unix二进制程序的工具比较少。尤其是加密方法以及可执行程序压缩使得反向工程更加困难。为了更好的分析犯罪人员的软件作用,必须取得专业反向工程师的帮助。③解密技术。计算机犯罪人员倾向于使用加密技术进行关键文化保护。为了获得有效数据,取证人员必须进行文件解密。与此同时,在调查加密文件时,也需要解密技术。④提高操作系统的安全性。在很大程度上,计算机取证功能取决于操作系统支持,加强证据保存、提高系统的安全性成为未来研究的重点。 
  (三)取证过程日益标准化 
  越来越多的机构致力于计算机取证技术的发展,并且已经研发出了新型取证工具。除了Encase以及ftk之外,ForensiX,Get lack, Disk Sig,Disk Search 32等取证工具也被广泛应用。因为缺乏统一的规范与标准,很难对上述工具的可靠性与有效性进行对比。为了促进计算机取证技术快速、健康发展,必须制定全面取证工具认定标准、取证操作规范以及取证人员资格审查机制,促进取证过程的标准化发展。 
  四、结语 
  综上所述,本文针对计算机取证概念以及取证技术、工具开始入手分析,从四个方面:取证向着自动化、专业化方向发展,加强与其他技术的融合,取证过程日益标准化,详细论述了计算机取证未来发展趋势,旨在为一线工作提供理论指导。