自动取证

自动取证（精选7篇）

自动取证 篇1

0 引言

现有的数字图像技术提供了复杂的处理工具,这种工具可以产生不易被识别的伪造,一般视觉上很难辨别出图像的异常情况,如果这些被篡改的图像被人们错误使用,将会带来较大的危害[1]。图像篡改检测是一种新兴技术,可以直接通过数据本身对图像的真实性进行检测[2],因此对其进行研究具有很重要的现实意义。

数字图像篡改手段多种多样,其中Copy-Move(复制-移动)是一种简单高效的图像篡改方法[3],即首先从一幅图像中复制部分图像区域,然后将复制区域粘贴到相同图像的其他区域。同时为了掩盖痕迹,篡改者还会在复制粘贴操作后进行加噪、模糊、JPEG压缩以及几何形变处理操作以达到掩盖篡改的痕迹[4]。已有很多研究者对其进行相关研究,一般可以分为变换域[5,6]和非变换域方法[7,8,9,10]。

文献[5]将低分辨率小波系数的重叠区域映射到对数极坐标,由此产生的块按字母顺序储存并分析,以识别相近的字母组。在随后的小波分辨率水平中,通过丢弃不满足相近条件的字母方式,迭代过滤成对的字母。文献[6]将重复的像素块映射到来源于傅里叶-梅林变换(FMT)的缩放不变映射符上。然后,将哈希函数应用于每个描述符以确定相同的匹配。然而,这种严格的检测机制使得系统对超过10°的旋转比较敏感。

文献[7]通过相关图来限定副本的区域,并且计算重叠像素块的zernike矩以产生旋转不变特征向量,这种方法按照字母顺序发现潜在的重复。然而,不管是缩放的还是反射的复制图像都不能被这种方法检测出来。文献[8]提出一种不同的方法,即旋转缩放不变描述符通过尺度不变特征转换(SIFT)方式提取。然而,这种算法仅限于寻找近似描述符,且会限定复制检测区域。文献[9]提出一种基于圆谐-傅里叶矩(Radial-Harmonic Fourier Moment,RHFM)的图像篡改检测方法,这种方法对区域旋转和信号处理操作具有一定鲁棒性,然而,其没有对匹配结果进行后处理,检测结果图中含有较多噪声点,且精确度不高。文献[10]利用Krawtchouk矩提取区域块的特征,并按照字典排序,计算矩阵相邻行间的相关系数确定篡改区域,该方法对旋转缩放比较敏感。

本文方法可以检测那些已经经历过几何转换,尤其是反射、旋转和缩放的篡改区域,其中像素的重叠块独立地映射到对数极坐标的一维反射/旋转不变描述符。此外,本文还提出了细化机制来识别那些受几何失真影响的复制块。实验结果也证明了本文方法的有效性。

1 反射、旋转和缩放的问题

为了处理反射、旋转和缩放,像素块被映射到对数极坐标的一维描述符,具体如下:

考虑点(x,y)∈ R2,该点可用对数极坐标表示为x = exp(ρ)cos θ,y = exp(ρ)sin θ,ρ ∈ R,0 ≤ θ ≤ 2π。让(x′,y′)表示坐标的反射、旋转和缩放点,该点可用对数极坐标表示为:

对于像素块Bi(x,y) 及它的极坐标Bi(ρ,θ),一维描述符可以计算为:

反射、旋转和缩放的像素块Bi可以用对数极坐标表示为B′i(ρ,θ)=Bi(ρ+logμ,φ-θ)。该块的描述符可用下式计算获得:

式中由于余弦和正弦是周期函数,对于一个周期的变化,加之中的变化是线性的,所以式(3)可以改写为:

当Bi′是Bi的反射版本或旋转版本时,描述符对于反射和旋转是不变的,也就是说当Bi′是Bi的 μ 倍缩放版本时,然而,在离散信号中,由于插值和舍入误差,于是运用傅里叶关联描述符[11,12],即:

式中:c是相关系数;和分别是和的傅里叶变换。

相比于对数极坐标图,本文的一维描述符简化了反射复制块的识别。在搜寻阶段之前,每一块仅对某一个长度为mρ的存储向量是必要的,并不是针对每个向量。另外,整个系统的计算开销也减少了,因为它只需要计算每个一维描述符的快速傅里叶变换(FFT),其复杂度约为O(mρlog2mρ),而不是对整个对数极坐标图进行快速傅里叶变换(对整个极坐标图的时间复杂度为O((mρnθ)log2(mρnθ)))。

2 提出的方法

输入颜色图像X,尺寸为n1× n2,通过滑动、逐像素方式选择像素块,在光栅扫描排序中,窗户从左顶部角落到右底部角落的尺寸为q × q。Ai表示第i个像素块,i = 1,2,⋯,m,m =(n1- q + 1)(n2- q + 1) 。该算法的框架结构,如图1 所示。

2.1 特征提取

本文算法依赖每个块的颜色和亮度分量计算特征向量,该算法的原理是将重复的块被映射到相似的特征向量上。每一个块Ai的中心是直径为q的圆盘的圆心,f1i,f2i和f3i分别为圆盘里面红色、蓝色和绿色像素点的平均个数的三个特征量,经实验表明,颜色通道的平均值不会被JPEG压缩和高斯模糊修正[13,14]。第4 个特征量f4i计算如下。

给出一个颜色的像素,它的亮度计算为:

式中:r,g和b分别为红色、绿色和蓝色分量。概率分布函数用圆盘内所有像素的亮度计算。 由此,熵的计算为:

其中pk为圆盘内每个亮度值的概率。

本文方法的特征量f4i可用来识别结构信息不足的块,即低熵值的块。因此,熵值低于用户给定的阈值emin的块很容易被丢弃,最后特征向量( f1, f2, f3, f4) 形成列表L。

2.2 搜索相近的块

Bi是L中与第i个特征量相关的第i个块的亮光通道,定义为此外,定义(xi,yi)为图像X中Bi的坐标,定义为来源于Bi的一维描述符的傅里叶级数。

为了搜索块Bi的潜在副本,本文利用式(5)计算关联系数对于每个j > i都满足下列条件:

其中:τd,τh为预定阈值;第一个条件对于丢弃靠近Bi的块很重要,该条件很可能导致错误匹配的增加。另外两个条件被用于决定特征向量和是否互相相近。

这个过程可以通过穷尽性地比较特征向量和L中其余m - 1 个特征向量实现。然而,在初步搜索阶段,这个过程可以通过按字母排序列表L的方式被显著优化,从而让类似的特征向量更接近对方。因此,一旦到达则的比较停止,因此有

设cir为计算出的针对Vi的较高相关系数。如果cir比预定义的相近度阈值 τsim较大,则偏移量的计算为xδir= |xi- xr|,yδir= |yi- yr|。然后,如果xi< xr,则生成一个多元组(xδir,yδir,xi,yi,xr,yr) ;否则,生成多元组(xδir,yδir,xr,yr,xi,yi) 。为了方便起见,多元组的第一和第二对坐标将分别参考“根源”和“目标”坐标。最后,用所有生成的多元组形成列表Q。

2.3 精细化

在这个阶段,Q通常包含许多错误的匹配。例如,图2 是伪造中检测出来的所有未定义的匹配(“根源”和“目标”坐标分别被描绘成暗灰色和淡灰色斑点)。由图可观察到,错误的匹配明显渲染了无用的位图。这说明细化机制对生成合理的结果非常重要。

文献[7-8]均假设复制的区域未受到几何变换的影响,如图3(a)所示。当复制图像区域经历了几何扭曲时,将非常严重,这是因为每一个重复块的坐标几乎都被不同的穿线坐标分离,如图3(b)所示。

“根源”坐标深灰色斑点,“目标”坐标淡灰色斑点

在接下来的细化机制中,Q中的坐标通过给出的相近元组开始检查点集群。为了优化上述过程,Q按字母排序与偏移量相近的元组带给每个块,从而减少了需要比较的次数。令 Δ 为下面算法的每次迭代中检测的最大偏移量;系统执行的经验值为 Δ = 32。

步骤1:将偏移量xδa1,b1和yδa1,b1代到Q的元组顶部作为参考,选择所有偏移量范围为[xδa1,b1- Δ,xδa1,b1+ Δ]和[yδa1,b1,yδa1,b1+ 2Δ] 的元组。图2(b)是伪造被相近偏移量分离的斑点对。

步骤2:考虑F中只有“根源”坐标,识别尺寸为ω × ω 的窗口中多于tmin个斑点的群集。如果群集的“目标”坐标也形成了尺寸为w × w的窗口中多于tmin个斑点的包装组,如图2(c)所示,则该群集则是一个有效的复制,且相应的元组被附加到最后一个列表S。相反,如果“目标”坐标形成了一个分散点云,如图2(d)所示,则该集群被丢弃。

步骤3:从Q中移走F中所有的元组,并且当Q不是空的时候,重复步骤1~3。最后,位图与S中元组中的坐标编码。

用来优化本文方法的操作概括如下:

(1)丢弃低熵亮度的像素块,从而减少巨大平面像素区(例如天空)典型错误匹配的出现;

(2)避免计算相互接近的像素块的特征向量距离;

(3)避免计算耗时的穷举搜索,对颜色/亮度特征向量列表进行排序,以减少搜索阶段需要比较的数量;

(4)在细化阶段,排序元组列表(例如Q),找出偏移相近的块,从而减少需要比较的数量。

3 实验结果与分析

本文利用真阳性和假阳性进行定量地评估,其中真阳性率定义为:

假阳性定义为:

式中:TP是被复制部分的像素点的数目;TN是被当作没有重复部分的像素点的数目;P是属于任何重复的像素点的实际数目;N是属于没有重复的像素点的实际数目。一个理想的检测将同时出现TPR=1,TNR=1。

3.1 结果评价

利用前面部分讨论的参数设置对尺寸为24×24 和32×32 的块进行检测;其他参数通过经验参数设置为:emin= 2,τd= 40 。实验对象为100 张图像,尺寸为400×600,首先分析在非压缩格式和JPEG压缩格式下的原始的、未篡改的图像。 表1 给出了被误认为包含重复(TNR≠1)的图像个数。与实验尺寸为24×24 的块获得的结果相比较,利用尺寸为32×32 的块实验时,错误匹配的数目大约降低10%。可得被检测的JPEG压缩格式并没有对错误检测的数目产生重大的影响。

为了评价本文方法的稳定性,本文从每个测试图像随机位置处选择了一个正方形的区域;测试尺寸为80×80 和120×120。在被粘到其他随机位置之前,在同一图像中,对该选择区域进行后处理操作。分别测试下面的操作:没有进一步的扭曲(简单的复制粘贴);水平反射;旋转:5°,20°,40°,80°,100°,140°,160°,175°和180°;缩放因子:0.96,1.03 或1.05。因此,每张图像都用来生成36 处篡改,每张图像通过本文提出的检测器在非压缩和JPEG压缩格式(质量因子为80 和100)中被检测。

利用24×24模块,正确检测到伪造的数目如表2,表3和图4 所示。利用32×32 模块检测获得的结果如表4,表5和图5 所示。大体上,通过本文方法获得的性能在较大的重复情况下较好。然而,对于尺寸为80×80 的较小重复,24×24模块的利用会导致错误检测数目的略微增加。

比较利用24×24 获得的定位结果和用32×32 获得的定位结果,得出导致较高的真阳性率的测试同时也是导致较低的假阳性率的测试。例如:TPR的最高平均值(0.96)是从反射测试中获得的,而140°的旋转测试则获得TPR的最低平均值(0.58)。另一方面,平均TNR从反射中获得,而评估140°的旋转分别为0.98 和0.99。

3.2 与其他算法的测试比较

块尺寸设为24×24,将一套尺寸为300×400 的自然图像作为检测图像。其中,半数图像用于展示特性,其余半数图像包含相对粗糙结构的大区域。实验平台:2.80 GHz CPU,RAM为2.0 GB的Intel i3 双核处理器,仿真平台为Matlab(2011b)。尺寸为300×400 的一张图像的分析时间:文献[9]的方法为195 s,文献[8]的方法为5 s,本文的方法为37 s。

3.2.1 对于伪造的图像

首先比较对于伪造图像的检测效果,每次伪造都包含了不同的失真,如图6 是旋转30°,缩放1.05 的测试结果,图7 是水平反射,缩放0.96 的测试结果,图8 是旋转15°,水平反射的测试结果。实际复制区域用白色轮廓表示,灰色区域是检测算法检测出的伪造区域,且灰色区域的尺寸及形状依赖于算法本身。对于图6~图8,文献[8]的算法只有图6 和图7 较为清楚地检测出,文献[9]的算法几乎没有给出准确的检测,本文方法在三个图像均能大概检测出伪造位置。从这3 幅小尺寸图像可以得出平均TPR和平均TNR分别为:应用文献[9]方法,TPR=0.29,TNR=0.98;应用文献[8] 方法,TPR=0.48,TNR=0.94;应用本文的方法,TPR=0.79,TNR=0.18。

3.2.2 对于未篡改图像

本文中的20 张未篡改的检测图像均利用上述三种方法进行分析。这20 张图像中,被误认为是伪造的图像数目如表6 所示。不同于其他两种方法,本文方法设法正确地验证所有包含对称结构的图像,如图9 所示,图9(a)包含大量的纹理和图案,图9(b)具有大面积光滑的区域,从检测结果可以看出,本文方法不能验证包含大面积光滑区域的图像。然而,文献[8]和文献[9]在这方面稍微好点,不过依然有一些区域被这两个算法误认为伪造区域。图9(a)充分说明了本文算法对于复杂纹理的图像检测效果比较好,优于其他两种算法,这充分说明了精细化过程的作用。

4 结论

本文提出了一种新的自动定位重复区域的数字图像取证方法,可有效检测和定位JPEG压缩。本文方法的主要创新点总结如下:将像素点的重叠块映射到对数极坐标图的一维描述符上,可有效地执行搜索;从每个单独块中提取的特征向量,减少了每个阶段的计算时间;提出了一个细化阶段来复制经历过几何变换的重复区域。实验结果表明,综合考虑检测/准确定位和计算花费,本文方法优于其他方法。

作为现有的图像取证方法,本文的结果仍需要一些限制性的条件。未来主要是将细化机理作为减少错误报警的方法进行深入研究。

摘要：现存的大部分篡改检测方法对篡改区域的几何变化检测比较敏感,针对该问题,提出一种利用特征图像块精细化自动检测篡改区域的数字图像取证方法,该方法适用于反射、旋转、缩放区域和JPEG压缩定位。首先将重复区域的像素映射到对数极坐标上。然后沿轴,利用反射和旋转产生一维不变描述符。此外,运用每个单独块中提取的特征向量来减少每个阶段的计算时间。最后利用一个精细化阶段复制几何变换后的重复区域。实验对尺寸为24×24和32×32的块进行检测,比较两种情况下获得的定位结果可知,导致较高的真阳性率的测试同时也会导致较低的假阳性。此外,对篡改和未篡改的图像分别进行检测实验,结果表明,与其他算法相比,该算法对几何变换后的图像具有较高的篡改定位准确率和较低的错误匹配率。

关键词：篡改检测,几何变换,精细化,数字图像,计算机取证,一维不变描述符

自动取证 篇2

计算机取证研究的重点在于如何从被入侵计算机系统的硬盘等永久性存储介质上提取犯罪证据,而对计算机取证中的物理内存取证分析方法的研究则相对较少,起步也较晚。国外对该领域的研究工作从2005年才开始[1,17],而国内迄今为止公开发表的有关物理内存取证分析方法的研究论文则少之又少[18,19]。由于有相当一部分的计算机犯罪证据无法从计算机系统的硬盘等永久性存储介质上提取,必须从计算机系统的物理内存中获取,包括入侵者的IP地址、正在运行的恶意进程信息、蠕虫、木马程序等等,而且一旦关机,这些信息将全部丢失。因此研究计算机取证中的物理内存取证分析方法对于推动计算机取证技术的发展、有效打击计算机犯罪具有非常重要的现实意义。

本文在介绍物理内存取证分析的基本概念及相关研究现状的基础上,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

1 相关研究工作现状

2005年夏季,数字取证研究工作组DFRWS(Digital Forensic Research Workshop)发起了一次“内存分析挑战赛”,其目的在于鼓励内存取证分析技术的研究和相关工具的开发。DFRWS网站(www.dfrws.org)上提供了两个物理内存镜像文件(dfrws2005-physical-memory1.dmp和dfrws2005-physical-memory2.dmp,这两个镜像文件是用自启动取证工具Helix[2]从一台被入侵的Windows2000系统中获取的),参加挑战赛的选手要根据DFRWS提供的案件背景资料[3],通过分析这两个内存镜像文件来回答一些问题[3]。

最后,Chris Betz、George M.Garner和Robert-Jan Mora组合共同赢得了比赛,他们提供的分析报告[3]反映出他们对内存取证技术的研究取得了令人满意的结果,并且他们还开发了与之相适应的取证工具memparser[4]和kntlist。

这次挑战赛之后,其他一些研究人员沿着他们的思路,继续研究和工具开发工作。Andreas Schuster[5]在他的英文Blog中公开了他的一部分研究成果和实现的工具,同时公布的还有不同Windows版本中EPROCESS和ETHREAD结构的格式。Joe Stewart则在TRUMAN Project[6]中提供了一个名为pmodump.pl的Perl脚本工具,该工具可以从物理内存镜像中提取指定进程所使用的内存,这对恶意软件分析非常有用。2006年秋,Mariusz Burdach 在BlackHat[7]大会上提供了一些关于内存取证方面的信息。2006年夏,Nebraska大学的研究员Tim Vidas[8]发布了一个名为pro-cloc.pl的Perl脚本,该脚本可以从内存镜像或者崩溃转储文件中提取运行的进程列表。

2008年,数字取证研究工作组又组织了一次“Linux内存分析挑战赛”[9],其目的是推动Linux内存分析技术的发展,结果有五组参赛人员提交了最终的分析报告,取得了令人满意的结果[10]。

国内研制成功的物理内存取证分析工具主要有上海盘石数码信息技术有限公司研制的“盘石计算机现场取证系统”和山东省科学院计算中心研制的“计算机在线取证系统”等产品,但这些产品的具体技术细节都没有公开发布。

2Windows系统物理内存取证分析的关键技术

Windows系统物理内存取证分析的关键技术主要包括两个方面:一是如何获取物理内存,生成物理内存镜像文件;二是如何对物理内存镜像文件进行分析,从中找出重要的入侵证据。

2.1 如何获取物理内存

目前获取物理内存的方法主要有以下二种:

2.1.1 基于硬件的方法[1,17]

(1) 使用Tribble设备

2004年2月,《数字调查杂志》上刊登了Grand Idea Studio公司的研究人员Brian Carrier和Joe Grand的一篇研究文章,题目是“数字调查中基于硬件的内存获取过程(A Hardware-Based memory Acquisition Procedure for Digital Investigation,Journal of Digital Investigations,March 2004)”。在这篇文章中,Brian Carrier和Joe Grand提出了一种用名为“Tribble”的硬件扩展卡来获取系统物理内存的方法,可以用Tribble将系统的物理内存复制到外接存储设备中。这样调查人员就可以在既不引入任何新代码(不会更改系统内存)又不使用系统中代码(系统中的代码可能存在rootkit)的情况下完成系统物理内存的获取工作。作者构建了一个原理性(proof-of-concept)的Tribble设备,设计了一个可以插入到系统总线的PCI扩展卡。另外还设计了一些能获取系统物理内存的设备,主要用于系统硬件调试,也可以用于取证调查。

使用Tribble这类硬件设备的优点在于操作方便、易于理解。使用这种方法获取物理内存镜像不需要引入额外的代码,减少了获取的内容被篡改、覆盖的可能性;最大缺点在于硬件必须事先安装到系统中,所以Tribble设备还不能被广泛使用。

(2) 使用FireWire设备

FireWire(中文直译为“火线”)是以原苹果公司开发的技术为基础发展而来的一种高速I/O技术,它可连接外围设备与计算机。该技术于1995年被正式接纳为 IEEE 1394工业标准(FireWire 400)。凭借其强大的传输性能:可传输音频、视频、时间码,甚至是可用来控制机器的特性,FireWire现已成为数字音视频设备、外部硬件及其他高速外设产品的理想接口,其最高传输速度可达到400MB/S。

利用FireWire设备的特殊性能,使用相应的软件,调查人员可以获取系统的物理内存镜像。FireWire设备使用直接存储器访问(DMA)技术,可以不通过CPU直接访问系统内存。

使用FireWire设备的优点是现在许多计算机系统的主板上都集成了FireWire/IEEE1394接口,可以方便地直接访问系统内存;缺点是通过火线接口制作物理内存镜像可能会导致系统死机或者丢失部分内存中的信息。

2.1.2 基于软件的方法[1,11,17,18]

(1) 使用Microsoft崩溃转储技术

Windows NT、2000和XP都提供一种内置的“崩溃转储”功能来获取系统的物理内存镜像。在生成崩溃转储时,系统会被冻结,物理内存中的数据(加上大约4KB的头部信息)会被写入磁盘,这样就完整地保存了系统状态,并且保证从开始进行崩溃转储之时起,系统状态不会被人为地修改。

(2) 使用虚拟机技术

VMWare是一款非常流行的虚拟机软件,使用它可以在一台计算机硬件上创建多台虚拟计算机。当运行VMWare会话时,可以挂起(suspend)这个会话,也就是暂时“冻结”系统。当一个VMWare会话被挂起时,VMWare会将系统的“物理内存”镜像以DD格式存放到一个扩展名为.vmem的文件中。使用这种方法的优点是挂起一个VMWare会话的操作非常简单快捷,而且对系统内存的影响最小。

(3) 使用专用软件

目前用于物理内存转储的专用软件有许多种,这里主要介绍几种较常见的软件。

1) DD UNIX系统中数据转储工具DD的用途广泛,可以复制文件,也可以制作整个硬盘的镜像。GMG System公司发布了一个可以免费下载的取证获取工具包[12],其中包含可用于Windows系统的改进版DD工具(该工具支持Windows 2000和Windows XP SP1,不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统)。在用户模式下访问DevicePhysicalMemory对象,该工具可以获取Windows系统的物理内存。运行下面的命令可以将本地系统的物理内存镜像到ram.img文件:

dd if=。PhysicalMemory of=ram.img bs=4096 conv=noerror

2) KntDD 由于DD不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统,因此,GMG System公司又开发了一个称为KntDD的新工具用于生成物理内存镜像。KntDD包含在KntTools工具包中(http://www.gmgsystemsinc.com/knttools/),KntTools仅授权司法工作人员和安全专业人士使用。

3) Nigilant32 Nigilant32(www.agilerm.net/publications_4.html)是一个由Agile Risk Management开发的取证工具,具有浏览硬盘内容、获取物理内存镜像、获取当前正在运行的进程和打开的端口的“快照”等功能。当Nigilant32装入内存时,仅占用小于1MB的内存空间,因此对物理内存的影响非常小。目前Nigilant32仍处于测试状态,但用户可以免费下载使用。

4) Helix Helix是一个可由CDROM直接启动的功能强大的计算机取证工具,首发于2003年,目前世界著名的计算机取证机构SANS将Helix作为取证培训工具。Helix可在因特网上免费下载,下载网址是http://www.e-fense.com/helix/,下载下来的是一个ISO镜像文件,将其刻录到光盘上即可。Helix实际上是一个重新修改过的Knoppix(Knoppix是一个Linux 发行版本,网址:http://www.knopper.net/Knoppix/index-en.html)系统,其中增加了有关应急响应和计算机取证的内容。

2.2 如何分析物理内存

成功获取物理内存以后,接下来的工作就是要对镜像文件进行分析,从中提取有用的入侵证据。一般来说,我们可以从镜像文件中提取以下信息[13](这些信息是指在生成镜像文件那个时刻的信息):

(1) 所有正在内存中运行的进程;

(2) 所有的载入模块和DLL(动态链接库),包括被植入的各种恶意程序;

(3) 所有正在运行的设备驱动程序,包括隐藏的rootkits;

(4) 每个进程打开的所有文件;

(5) 每个进程打开的所有注册表的键值;

(6) 每个进程打开的所有网络套接字(sockets),包括IP地址和端口信息;

(7) 用户名和口令;

(8) 正在使用的email和web地址;

(9) 正在编辑的文件内容。

在拿到系统的物理内存镜像之后,该如何着手进行分析呢 2005年夏季之前,调查人员在获取内存镜像之后,标准处理流程是使用strings.exe[14]提取字符串或使用grep工具进行搜索,目的是得到email地址、IP地址等信息,或者是两种方法同时使用。虽然使用这种方法确实能得到一些信息(例如,用户名“附近”保存的类似口令的字符串),但是这种方法不能提供信息的上下文环境。例如,字符串是从哪里来的?哪个进程在使用这个字符串?

2005年的DFRWS内存分析挑战赛带动了对内存信息的进一步研究和分析。通过定位特定进程(或内存中的其他对象)及进程使用的内存,调查人员可以更深入地理解其中的信息,并且在分析时可以忽略正常进程,集中精力分析“不常见的”进程和数据。因此,目前物理内存取证分析的重点在于分析内存中的进程及进程所使用的内存,并从中找出有用的入侵证据。

2.2.1 Windows系统进程基础[1,17]

在Windows系统中,每个进程都用一个EProcess(Executive Process)结构来表示[11],它包含进程的多个属性以及指向进程相关的其他属性和数据结构的指针。由于数据结构就是字节序列,序列中有特殊的含义和目的,所以需要调查人员对其进行分析。在对EProcess结构进行分析时必须注意:对于不同版本的Windows操作系统来说,EProcess的大小和结构可能是不同的。甚至对于同一个版本的Windows操作系统来说,如果SP补丁包版本不同,EProcess的大小和结构也有可能不同。

EProcess结构中最重要的一个成员是指向进程环境块(PEB)的指针。进程环境块中包含大量的信息,对取证比较重要的信息有:

(1) 指向PPEB_LDR_DATA结构(其中存放的是进程的加载器使用的数据)的指针,PPEB_LDR_DATA结构中包含进程中使用的动态链接库的指针。

(2) 指向可执行文件镜像加载基地址(ImageBaseAddress,在PEB偏移0x008处)的指针,通过这个指针可以找到内存中可执行文件的起始位置。

(3) 指向包含进程参数结构(ProcessParameters,在PEB偏移0x010处)的指针,该结构包含进程中加载的动态链接库的路径、可执行文件镜像的原始路径以及创建进程时传递进来的参数等信息。

如果能从物理内存镜像中提取这些信息,对于案件的侦查是很有帮助的。

2.2.2 分析实例

2006年,Harlan Carvey编写了几个用于辅助分析Windows系统物理内存镜像的工具。由于当时可用的镜像是DFRWS2005内存分析挑战赛提供的Windows2000系统,因此这几个工具都是针对Windows2000系统的。Harlan Carvey编写的这几个工具都是Perl命令行脚本,分别是lsproc.pl、lspd.pl、lspm.pl和lspi.pl。在参考文献[17]的配套光盘中提供了与这几个Perl命令行脚本对应的可执行文件lsproc.exe、lspd.exe、lspm.exe和lspi.exe,同时还提供了实验用的物理内存镜像文件win2000.vmem。

(1) 用lsproc列出镜像中所有的进程

Lsproc是列举进程(List Process)的缩写,该脚本的作用是列出镜像中所有的进程。运行lsproc只需一个参数,即物理内存镜像文件的路径:

D:ch3code>lsproc win2000.vmem(该命令运行时间较长,约需10分钟左右)

(2) 用lspd列出指定进程的详细信息

Lspd可以列出进程更详细的信息。Lspd依赖lsproc的输出以获取信息。运行lspd时需要二个参数:镜像文件的路径名和lsproc输出的需要分析的进程偏移量:

(3) 用lspm获取指定进程的内存数据

Lspm.pl工具可以自动提取进程所使用的内存数据,并将其写到当前目录的一个文件中。

(4) 用lspi提取指定进程的可执行文件镜像

当进程开始启动的时候,对应的可执行文件会被读入内存。Lspi.pl是一个Perl脚本,它可以定位进程可执行文件的起始地址,如果该地址指向一个有效的可执行文件,Lspi.pl就会根据PE头部数据结构中的内容定位内存中的数据并重组可执行文件内容。

3 存在问题及进一步的工作

物理内存取证分析技术是一个全新的研究领域,该研究起步较晚。尽管目前研究有一定的进展,也有一定的成果,但总的来说还不够成熟,还存在许多问题,具体表现在:

(1) 缺乏可靠、实用的获取物理内存的硬件设备。用硬件方法获取系统的物理内存是比较理想的方案,因为这种方法对系统的物理内存几乎没有影响,不会破坏或者覆盖物理内存的内容,可以得到非常完整的物理内存。目前几种获取物理内存的硬件设备如Tribble和FireWire等还有很多不完善的地址,还需要进一步改进。

(2) 目前获取系统物理内存的软件工具较多,但用这些工具获取物理内存不可避免地会破坏甚至覆盖物理内存的内容。如何改进这些软件工具,使其对物理内存的影响降至最小,是目前需要重点研究的一个问题。

(3) 目前比较成熟的物理内存取证分析工具较少,需要进一步的研究和开发。

(4) 目前物理内存取证分析技术的研究重点是针对Windows系统的,而针对UNIX、Linux和Macintosh等系统的研究较少。由于目前UNIX、Linux和Macintosh等系统的应用也比较广泛,因此也必须加强对这些系统的物理内存取证分析技术的研究。

针对上述存在的问题,进一步的工作应包括以下几个方面:

(1) 重点研究获取系统物理内存的硬件设备;

(2) 改进现有的获取系统物理内存的软件工具,使其对物理内存的影响降至最小;

(3) 加强物理内存取证分析工具的研发工作;

(4) 加强对UNIX、Linux和Macintosh等系统的物理内存取证分析技术的研究;

(5) 通过因特网远程获取物理内存也是未来的一个重要研究方向。

Android系统手机取证分析 篇3

关键词：手机犯罪,手机取证,Android

1 概述

信息技术迅猛发展的今天, 作为当今最为普及的信息技术产品, 各种手持设备发展日新月异。手机是当今社会最重要的通讯工具之一, 更新换代发展迅速, 不再仅仅停留在通讯功能上, 智能手机逐渐成为市场新宠, 以前需要一台电脑才能具备的功能, 现在往往一个手机就能具备。其中android系统作为一款开源手机系统, 很成功的吸引了大批开发者, android系统手机市场潜力剧增, android系统手机的迅猛发展的同时, 利用手机进行诈骗、诽谤和伪造等犯罪活动随之而来。为打击这一系列的犯罪活动和维持社会的稳定, 迫切需要我们对android系统手机进行取证技术方面的相关研究。[1]

2 Android系统手机取证概述

Android系统手机的市场份额逐年快速增长, 2011年第一季度, Android系统在全球的市场份额首次超过塞班系统, 跃居全球第一。2011年11月数据, Android占据全球智能手机操作系统市场52.5%的份额, 中国市场占有率为58%。并且可以预见它将有更大的市场空间。

随着越来越多的人加入到使用Android系统手机的队伍当中, 并且可以利用Android系统手机可以代替计算机处理很多日常应用, 用户大量的信息存储在Android系统手机上, 对于犯罪分子的作案工具Android系统手机, 我们可以通过某些操作获取其数据副本, 并多次加以分析, 最终挖掘出更有效的信息, Android系统手机取证应运而生。[2]

电子证据是科技高速发展的产物, 是将法律与高科技相结合的一种新形式的证据。

Android系统手机取证就是对Android系统手机通过技术分析, 确保收集手机内的相关数据, 并最终从中获取具有法律效力、能够帮助公安人员破案的证据的过程。

Android系统手机有操作系统, 用户可以安装软件、游戏、程序、扩充它的功能, 还可以接入网络上网, 获得更多的资源, 无异于一台微型计算机。

2.1 取证源

Android系统手机取证的重要证据源是由手机的内存、用户识别卡、SD卡以及移动运营商的业务数据库构成的。

2.2 证据信息的内容

联系人、通话记录、短信息、多媒体信息、浏览网页、录音文件等。[3]

3 Android手机取证工具

手机取证在实际的操作过程当中, 出现了式样繁多的取证软件, 并且已经被越来越广泛的使用, 但是现在这些手机取证工具都或多或少的存在一些弊端, 仅使用其中一种取证工具还很难达到我们的取证要求, 只有对这些取证工具进行综合使用, 才能满足调查人员的特定需求。

1) Final Shield:是一种用来屏蔽手机信号的取证辅助工具, 该工具通过内部USB与Android系统手机进行连接, 计算机或特定的手机取证工具利用Final Shield外部USB与该设备进行连接, 作为手机取证的辅助工具共同得到有效的电子证据, 可以有效的防止取证过程中有电话打入或短信接收, 从而造成手机原始数据不必要的破坏或丢失。

2) XRY:是一款便携式取证箱, 用来手机内存转储和采集数据的工具。此设备是由SIM卡读写器、USB通信单元、数据线、记忆卡读卡器、SIM复制卡等组成的。在安全模式下可以读取Message, telephone number, address books, pictures, video等。该工具效果理想, 并且容易操作, 可以方便快捷的完成手机数据的分析、获取、查看工作, 同时, 还能通过加密文件的创建, 保护数据不被其他未经允许的人员进行查看。该工具完成取证工作后, 会得出相应的分析报告, 方便调查工作人员查看详细的取证结果。

3) Oxygen Forensic:该工具通过运用高级底层通讯方式, 获取更多数据, 相比其他对智能手机、PDA以及普通手机的逻辑分析软件, 显示了更大的优越性, 尤其适合于Android系统手机的取证工作。[4]

4) Bit PIM:Bit PIM是一种电话管理软件, 能够查看Phone book, calendar, wallpapers, ringtones等数据。该软件可以在Linux等操作系统上运行, 前提是需要我们安装正确的驱动程序。

5) CELLDEK:CELLDEK是一款便携式手机取证箱, 可以提取Android系统手机的原始数据。设备中嵌入一台笔记本, 数据的提取和分析就是通过笔记本内的特定软件来实现的。

4 Android系统手机取证方法

所谓取证的概念, 即是对潜在的手机数据证据进行分析提取的过程, 最终取得有效的证据和案件线索, 对Android系统智能手机的取证工作, 主要需注意以下几点:

1) 保证手机电量, 切忌因电量不足意外关机。可以准备手机电源线, 及时对手机进行充电;采用Android系统的手机有些数据在删除后并不会立即清除, 只有在下次重启以后, 才会被完全清除掉, 这是因为Android系统手机在数据处理上与传统手机存在差异。所以说, 在Android系统手机取证的过程中, 保证充足的电量是十分必要的。

2) 将手机设置为飞行模式, 防止取证过程中有电话打入或短信接收, 造成手机原始数据的破坏。

3) 无线网连接需断开, 因为如果手机在取证过程中连上网络, 也可能造成数据破坏。

4) 首先对手机SD卡和内存的原始数据进行备份, 然后再开始分析备份好的数据。

5) 成功备份手机内存数据后, 可以单独分析SIM卡和SD卡中的数据。[5]

5 Android手机的取证分析

5.1 电话本信息

电话本信息存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db文件中。

打开后可显示所有联系人电话, 截图如图2:

5.2 通话记录信息

通话记录信息也是存储在/data/data/com.android.providers.contacts/databases里面的contacts2.db数据库文件中。通话人, 接的电话, 拨打的电话及通话时间都可以很准确的查看到。

5.3 短信息

短信息存储在/data/data/com.android.providers.telephony/databases里面的mmssms.db文件中。

打开mmssms.db文件后可看到所有短信内容及发件人手机号。

5.4 多媒体信息

多媒体信息是在/data/data/com.android.providers.media/databases里面做了个链接文件external-f6f21cel.db, 实际是存储到了SD卡中了, 打开该文件可清晰的看到, 其中手机录音也存储在这个文件中。

2) 图片信息3) 视频信息

5.5 浏览的网页信息

浏览网页信息存储在/data/data/com.android.browser/databases里面的browser.db文件中。

打开browser.db文件后可看到用Android系统手机自带浏览器浏览到的所有网页题目及网址。

6 面临的问题

由于Android系统手机的标准, 设备及网络的多样性, 它的取证较困难。市场上也出现了一些商业产品, 但Android系统手机取证还有许多问题亟待解决, 主要表现在:

1) 采用Android系统的手机种类繁多, 很多数据线等没有统一的标准, 使取证工作变得复杂。

2) 对Android系统手机数据进行完全镜像备份的软件工具还较少;

3) 如今对Android系统手机取证工作还主要停留在数据获取阶段, 分析数据的能力还需要进一步提高和完善;

4) 目前我国自主研发的取证工具还不是很成熟, 而国外的取证工具由于代码的保密性, 还存在不小的风险;且成本较高;

5) 缺乏Android系统手机取证的技术标准和规范;

6) 进一步完善相关政策法律, 为手机取证工作提供强有力的法律保护和政策支撑。

7 结束语

Android系统手机取证是打击手机犯罪现象有效的技术手段, 在很多方面与计算机取证有共通之处, 但是由于它的物理特点以及Android系统手机功能的日益强大, 在取证领域中所占的比重越来越大。本文针对Android系统手机的特点, 对其取证源、证据信息及取证方法进行分析研究, 并列举了一些常用的取证工具, 最后提出了Android系统手机取证技术面临的问题, 本文对Android系统手机取证工作进行的初步研究探讨, 以期对手机的取证工作提供有价值的参考依据。

参考文献

[1]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化, 2007 (5) :100-101.

[2]Svein Y, Willassen, M.Sc.Forensic Analysis of Mobile Phone Internal Memory[C].IFIP WG 11.9 conference on Digital Forensics in Orlando.Florida.2005.

[3]杜江, 褚帅.智能手机取证研究[J].电脑知识与技术, 2011 (9) :2120-2121.

[4]Christopher V, Marsico, Marcus K.Rogers.iPod Forensics[J].International Journal of Digital Evidence, Fall 2005.

浅谈计算机取证 篇4

随着计算机技术的迅速发展和计算机领域的广泛应用, 以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越多。计算机取证就是研究如何打击计算机犯罪、提取和分析计算机犯罪证据并证明该证据是原始的、完整的、合法的、有效的新型学科。

2 计算机取证相关概念和特点

2.1 计算机取证定义

计算机取证是指运用先进的技术手段, 按照一些预先定义的程序及符合法律规范的方式全面检测计算机系统, 提取、存储、保护、分析并将与计算机犯罪相关的证据归档并呈送给法庭的过程。其目的是对犯罪分子怎样入侵计算机以及在入侵成功后所做的事情进行一次重现。

2.2 计算机取证特点

2.2.1 数字性。

计算机证据的物质载体是电子元件和磁性材料等, 改变数据或程序, 从物理表示上, 只是集成电路的电子矩阵的正负电平或磁性材料磁体发生了变化。

2.2.2 脆弱性。

由于计算机信息容易被修改, 并且对其进行不可修复的修改后不会留有痕迹, 从而使其变得十分脆弱。

2.2.3 多态性。

由于计算机证据的表现形式多样, 即不同形态的输出材料都来源于同一计算机存储的信息本身。虽然不同证据的表现形式并不能说明其在审查判断上有根本的区别, 但是不同形态的证据材料的审查规则是不同的。

2.2.4 人机交互性。

计算机证据的形成, 在不同环节上, 由不同的操作人员执行, 这在不同程度上都可能影响计算机系统的运行。因此, 为了保证证据的可靠性和真实性, 应该从技术和管理角度上严格控制人机系统。

2.2.5 复合性。

证据的符合性是指当证据可以以多种形式表现, 在诉讼过程中采纳某一种证据形式时, 应当既考虑证据生成过程中的可靠程度又考虑这一证据的表现形式是否被删改过。

2.3 计算机取证的基本原则

根据计算机取证的如上特点, 计算机取证的基本原则是:

2.3.1 合法性原则。按照法定程序公开合法的收集与提取证据, 要求提取的证据具有法律效力。

2.3.2 及时准确性原则。尽早收集证据, 确保其没有受到任何破坏, 同时正确运用已有的先进技术和相关取证工具获取准确的证据。

2.3.3 备份原则。对于计算机证据至少应制作两个副本, 原始媒体应妥善保管, 用副本进行证据的提取和分析。

2.3.4 证据连续性原则。证据被正式提交时, 必须能够证明证据从最初获取到提交之间的状态, 包括移交、保管、开封、拆卸等过程说明。

2.3.5 严格管理原则。计算机证据的移交、保管、开封、拆卸等过程必须由侦查人员和保管人员共同完成, 拍照制作详细笔录。同时计算机证据的媒体或介质应远离磁场、高温、灰尘、潮湿及腐蚀性环境, 以备随时使用。

3 计算机取证过程

计算机证据的获取一般分为两大步骤, 第一步是实体物理设备或软件系统的获取, 即计算机系统的获取;第二步是证据分析。具体操作步骤一般是:保护和勘察现场;证据的保全和收集;恢复证据和分析证据;证据的保存和提交。在实际的调查取证过程中, 会面临各种不同的应用环境, 静态取证环境和动态取证环境有差别, 其取证步骤和方式也有一定的差异。

3.1 静态取证

在静态取证环境中, 取证人员往往处于被动方式, 在案发后才前往犯罪现场, 对犯罪现场情况和计算机设备信息毫不知情, 不能确定是否能从物理证据中获取有用的电子证据, 这是属于事后调查取证摸索和探索的过程, 对于时效性的要求不高。

3.2 动态取证

在动态取证环境中, 要注意单机动态取证和网络动态取证的区别:

3.2.1

单机动态取证其取证环境和静态取证环境差不多, 也是属于事后调查取证, 但是在取证过程中需要特别注意取证策略和方法, 重点获取计算机运行状态信息、内存和缓存交换空间等资料信息, 其时效性的要求比静态取证要高一些。

3.2.2

网络动态取证就比较复杂, 与静态取证相比, 网络取证具有以下特点: (1) 在网络环境下数据分布广泛, 涉及的网络设备比较多, 当计算机犯罪发生网络犯罪时, 不可避免地在多个地方留下痕迹, 而这些痕迹是很难销毁干净的。 (2) 网络上的数据是动态, 这个特性也就决定了网络取证的实时性和连续性。 (3) 由于网络的连通性, 决定了取证人员可以通过网络实时监听和获取犯罪嫌疑人计算机的网络活动, 对其进行不间断的监控, 从而收集罪嫌疑人的犯罪电子证据。这个特性相对静态举证具有主动获取证据的特点。 (4) 网络取证具有主动取证和事后取证的双重特性。

4 计算机反取证技术

自从计算机诞生之日起, 计算机取证技术和计算机反取证技术之间的对抗就一直存在, 并不断升级。就静态取证技术和动态取证技术来说, 静态取证技术是基础, 动态取证技术是延伸、发展和创新。这两种取证技术可以分别单独使用, 也可以混合使用。

4.1 静态取证技术与反取证技术

静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。针对计算机静态取证技术, 目前反取证技术主要有:数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术, 这些技术可以单独使用也可以混合使用。

4.2 动态取证技术与反取证技术

因为静态取证技术涉及到基础研究, 因此在静态取证中所涉及到的技术大部分都适用动态取证, 也是属于动态取证技术中的一部分。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术, IP地址获取技术等技术。针对计算机动态取证技术, 其反取证技术除包含静态反取证技术的相关内容外, 还有以下反取证技术:数据转换技术、数据混淆技术、防止数据创建技术, 以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用, 这些技术的使用在一定程度上给取证人员带来了一定的困难。

结束语

虽然计算机取证概念从提出到现在已经发展近20年, 在国内也发展近10年, 计算机取证技术已经得到了一定的发展, 但目前的研究多着眼于入侵防范, 对于入侵后的取证技术的研究相对滞后。因此, 需要更深入的研究以适应计算机取证技术领域扩大化、学科融合化、标准化、智能化等发展趋势。

参考文献

[1]于波, 涂敏.计算机取证分析[J].计算机与现代化, 2006.

[2]陈龙.计算机取证技术[M].武汉:武汉大学出版社, 2007.

[3]王俊.论计算机取证相关问题[J].中国司法鉴定, 2008.

[4]戴士剑.计算机取证技术体系研究[A].第二届中国计算机取证技术峰会, 2006.

浅谈审计取证质量控制 篇5

一、明确审计取证的范围

审计活动是围绕着审计证据进行的, 整个审计过程就是不断获取、处理、评价证据并作出结论和判断的过程。审计证据要足以支持审计报告和审计结论中揭示的问题。审计证据资料的繁简要依据审计事项的重要性和风险大小进行决定。为防止盲目取证, 应当在保证证据质量的前提下, 突出对重要审计事项的取证, 要求审计人员有针对性地收集、归档与审计事项相关的审计证据。

1.重要性与审计证据。

重要性是审计中的一个重要概念。我国《独立审计具体准则第10号——审计重要性》对重要性的定义是:“被审计单位会计报表中错报或漏报的严重程度, 这一程度在特定环境下可能影响会计报表使用者的判断或决策。”可见, 重要性实质上强调的是错报与漏报的“程度”, 而且这一“程度”是从会计报表使用者的角度来考虑的。如果会计报表中存在的错报或漏报能够使会计报表使用者改变其原有的决策, 则这种错报或漏报就是重要的;反之, 则是不重要的。实际上, 重要性可以解释为可容忍错报或漏报的最高界限, 超过这个界限的错、漏报是不能容忍的, 而低于这一界限的错、漏报是可以接受的。

2.风险与审计证据。

如果审计风险越高, 所需收集的审计证据数量也就越多。根据这一关系, 审计人员可以根据其对审计风险的评估, 来确定审计证据的需要数量, 以达到证据充分性和适当性的要求。如果审计人员初步估计的审计风险水平较高, 说明审计对象较为复杂, 审计的内容也较为广泛, 审计人员发表恰当审计意见的难度就大, 失误的可能性也就越大, 这时审计人员就要实施越详细的实质性测试程序, 收集更多的审计证据, 以便将审计风险降低至可接受的水平。反之, 如果评估的审计风险水平较低, 则审计人员只需要执行有限的审计程序, 收集较少的审计证据。

二、规范审计取证的方法

1.检查。

在向被审计单位索取资料时, 要求其提供资料时同时提供承诺函, 保证对资料的真实、完整负责。对审计发现的问题, 做好审计工作底稿的同时, 必须获取相关资料的复印件, 这样收集的证据才是有价值的证据。

2.监盘。

是审计人员亲临现场, 对被审计单位各种实物资产及现金、有价证券等的盘点, 并与有关记录进行核对来验证其真实性、完整性和安全性。编制资产盘点清单、现金、有价证券盘点表, 并于保管人员现场签字认可, 作为审计证据。审计人员监盘实物资产时, 还应对其现场管理、资产质量及所有权予以关注。

3.观察。

审计人员到实地现场, 通过观察被审计单位的经营场所、实物资产和有关业务活动、观察业务操作流程、岗位之间互相制约程度及其控制的执行情况等, 编制观察记录, 发现线索和直接获取证据。

4.询问。

对被审单位相关人员进行追问时, 审计人员要认真倾听、观察当事人的各种反映, 要在听的过程中分析辨别, 听出“弦外之音”, 听出“潜台词”, 窥出有关情况的异常表现, 在综合分析的基础上, 判断其是否存在会计舞弊, 以此获得证据, 找出突破口, 跟踪线索查清事实。

5.函证。

函证是审计人员为印证被审计单位会计记录所载事项而向第三者发函询证。如:银行账户及余额情况可向银行进行函证、应收账款向债务人进行函证、原始凭证不合规可向供应商进行函证等。

6.计算。

计算是审计人员对被审计单位原始凭证及会计记录中的数据所进行的验算或另行计算, 获取审计证据。如:同类问题的汇总计算、原始凭证与记账凭证符合性计算, 坏账准备、累计折旧、待摊费用等提取、摊销的正确性计算等。

7.分析性复核。

审计人员利用已获得的有价值的相关资料, 对被审计单位重要的比率或趋势进行的分析, 来获得审计证据。包括确定各种数据之间的关系、确认期望发生的变化是否发生、确认是否存在异常变化。可以采取多期比较、预算与实际比较、账户间关系分析、与行业数据比较、与经营数据比较、与经济数据比较、与非财务数据比较。

三、适当把握审计证据的转化方式

审计人员应当收集能够证明审计事项的原始资料、有关文件和实物等;不能或者不宜取得原始资料、有关文件和实物的, 可以采取文字记录、摘录、复印、拍照、转储、下载等方式收集审计证据。收集实物证据、视听资料或者电子数据资料时, 应当编制书面说明材料。必要时, 电子数据资料能够转换成书面材料的, 可以将其转换成书面材料。一是文字记录。其要求是必须有固定的专用记录格式, 必须有当事人和纪录人的签字。二是拍照。拍照要有文字说明, 注明拍摄的地点、时间、面积等。三是录音。在正常情况下, 录音应当取得当事人的同意。四是转储、复印。转储、复印应该注明资料来源, 提供者的签名, 加盖该单位的公章。

四、恰当处理和评价审计证据

审计并不是证据越多越好, 应以能说明问题为限。审计人员通过各种途径收集到的审计证据, 尽管具有证明力, 但是否是最适合的, 需要审计人员进一步对审计证据进行分析性论证、选择、汇总、排序。

1.审计证据的评估标准。

取得审计证据不是审计的目的, 而是一种手段, 因此审计人员不能僵化地“比葫芦画瓢”, 为取得审计证据而取得证据, 必须对取得的证据进行审慎分析, 判断其来源是否可靠、证据是否真实、是否具有证明力, 是否能够支持审计结论。因为审计过程实质上是排除疑虑或证实某一事项的取证过程。在这个过程中, 审计人员必须依靠证据进行专业判断, 才能提升审计质量和效率。对于直接或间接取得的证据, 审计人员应专业判断证据来源的可靠性、证据的真假、证据的适当性和充分性, 并以此决定是否扩大或追加审计程序;对于审计中发现的异常事项、重大事项, 审计人员应专业判断应追加实施哪些审计程序, 才能取得充分、适当的证据, 以排除审计人员的疑虑或证实某一事项。

2.引证外部审计结论的评价。

对审计项目的特殊问题, 审计人员可聘请其他专业机构或人士进行鉴定, 但必须按照审计工作的要求, 考虑专家的专业胜任能力及独立性, 对专家鉴定做出评价, 慎重考虑其是否能形成可靠的审计证据, 并对引用专家鉴定证据的可靠性负责。在必要的情况下, 审计人员应要求证据的提供者进行签名或盖章, 确认其来源真实, 证据有效。无法获取签名盖章的证据, 应当了解原因, 并在审计工作底稿中注明原因和日期。

3.要明确审计证据汇总、分析和排序的方法。

一是取得的审计证据数量较大的, 可以编制汇总的审计证据, 由证据提供者签名或者盖章。二是审计人员应当对取得的审计证据进行分析、判断和归纳。按照审计事项分类, 按照审计证据与审计事项相关程度排序。三是经过排序的审计证据, 应当编制索引号, 附在相应的审计工作底稿之后。

五、明确审计取证的责任

计算机取证模型分析 篇6

计算机取证过程必须遵循严格的程序流程, 否则将导致获取证据的可信度降低或缺乏合法性, 为此人们提出了许多种计算机取证模型, 以规范取证过程、指导取证产品研发。但是, 种种原因导致现有的取证模型不能满足实际取证工作的需要, 使用相关模型也很难收集到符合证据要求的证据。

1 基于过程的计算机取证模型

1.1 综合计算机取证模型

基于过程的计算机取证模型有多种形式, 基本过程模型、事件响应过程模型、法律执行过程模型、过程抽象模型等都是早期的计算机取证模型, 其显著特点是按线性过程组织各阶段, 若在各阶段存在交叉、反复工作内容, 模型的适应性将大打折扣。为了消除这些缺点, 有人提出了综合计算机取证模型, 这一模型是把前几个模型的计算机取证过程组织成5个步骤, 在调查阶段允许反复, 对于物理调查能够解决的问题也可以直接总结结束, 该模型组成框图如图1所示。

该模型准备阶段的主要任务是操作准备和设备准备;部署阶段主要提供侦查和确认机制, 其中包括侦查、通报和确认、授权;物理犯罪现场调查阶段主要是收集和分析物理证据并重构犯罪行为, 具体工作有保护现场、调查取证、记录归档、进一步搜索取证、重构和出示等;数字犯罪现场调查阶段主要是收集和深入分析物理调查阶段获取的数字证据, 它包括和物理调查阶段类似的内容;总结阶段是对取证的整个过程进行总结, 进一步提高证据的证明能力。

1.2 增强的计算机取证模型

综合计算机取证模型仅解决了犯罪现场调查阶段的工作重叠问题, 而在实际工作中各阶段都可能出现反复, 如随着部署阶段工作深入可能发现准备不充分, 随着物理犯罪现场调查工作的开展可能发现部署存在偏差, 对于这些情况也应立即补救, 所以有人对综合模型进行改进, 提出了增强的计算机取证模型, 如图2所示。

该模型对取证过程进行了重新整合, 将调查纳入部署阶段, 并增加反馈阶段以强化法律程序的关联性使证据的价值有所提高。具体工作阶段的内容为:

准备人力、物力和财力;部署阶段包括:侦查和确认、物理犯罪现场调查、数字犯罪现场调查、确认和授权、提交证据;反馈阶段要鉴定前面已经获取的物理犯罪证据, 以完成法律程序, 主要工作有数字犯罪现场的进一步调查分析和获得进一步调查的法律授权;实施阶段要调查主要的犯罪现场, 获取和分析有关的证据并识别潜在的作案人;总结阶段要注意发现取证过程中的问题并提出改进措施。

从以上内容不难发现, 基于过程的计算机取证模型普遍存在以下问题:

缺乏基本的需求分析;取证过程无时间性约束;对交叉、重复工作表述不明确;取证全程缺乏有效的监督机制;取证过程的法律约束不明确;很难开发与之对应的工具软件等。

2 基于层次的计算机取证模型

有人认为取证的关键是获取证据, 所以计算机取证过程应包括证据发现、固定、提取、分析、表述5个阶段, 每一阶段对应不同的取证工作, 以此构建的模型称为层次模型。

证据发现层:通过侦查和现场勘察搜集最原始证据的过程是发现层的主要内容, 把一般的犯罪侦查技术与计算机技术相结合进行深入研究, 可以形成专门的计算机证据发现技术。

证据固定层:为了防止证据自然、人为毁灭, 收集的证据需要用一定的形式固定下来, 并妥善保管, 以便在分析、认定案件时使用。固定证据的主要目的是解决证据的完整性和可验证性, 计算机中的某些信息瞬息万变或易丢失, 若不及时固定很难使其成为证据。

证据提取层:从本质上说提取就是从众多的未知和不确定性中找到确定的东西, 通过数据恢复、残缺数据提取、解码、解密、过滤等技术将原始抽象数据表达成可以理解的信息。

证据分析层:分析证据是计算机取证的核心和关键。即通过关联分析证实信息的存在、信息的来源以及信息传播途径, 重构犯罪行为、动机以及嫌疑人特征。

证据表达层:证据表达是将获取的信息转换成有证明能力、且能被法庭接受的证据的过程, 证据表达的本质是对取证过程全面分析、汇总结果、形成完整证据链, 所以至关重要, 稍有不慎可能前功尽弃。

层次模型突出了与法律关联的特征, 忽略或降低了技术支持的重要性, 与过程模型相比层次模型存在除法律约束以外的所有问题, 且操作流程表示模糊, 可操作性较差。

3 多维计算机取证模型

提出多维计算机取证模型者认为:“一个通用的计算机取证模型应该是随时间变化的, 应该随着犯罪分子犯罪手段的升级而改变, 而且, 更为重要的是:为了保证所获取的证据的可采性必须对整个的取证过程进行全程的审计监督。”这一模型将取证工作置于三维立体空间, 形成取证策略、取证需求与时间关联的关系, 并将取证策略分为数据层、证据获取层和取证监督层。

数据层是取证工作的基础, 其中的知识库是依照法律法规和归纳犯罪行为形成的规则库, 主要用于证据的获取, 该知识库可以随着时间的变化实时更新。知识库包含的原始数据是取证准备阶段、物理取证阶段获取并经过初步筛选的数据。

证据获取层是该模型的主要部分, 也是取证工作的核心。在这一层, 需要在原始数据和知识库的支持下, 对本层取证需求施加时间性约束, 以确定取证策略, 所有策略都必须接受来自上一层的监督, 以保证取证操作的合法性。

取证监督层主要进行全程监督, 以保证所获取证据的可靠性、合法性。取证监督的合法、可靠是提高证据可信度的前提, 所以监督技术或机制必须被法律接受。

多维计算机取证模型是在总结现有模型的基础上形成的, 所以模型框架中包括了取证准备、物理取证、数字取证、取证全程监督和证据呈堂、总结等阶段。其中取证准备、物理取证、数字取证、证据呈堂成线性流程关系, 取证监督、总结与其他阶段成网状关系, 试图解决技术与法律恰当融合的问题。

从功能性上看, 多维计算机取证模型是以增加知识库解决基本需求分析, 增加时间约束、监督机制似乎也解决了技术变化和法律约束问题, 但同时它又提出了另外的问题, 如置于证据获取层之外的监督层、数据层的技术跟进与取证策略相适应的问题;保证取证监督本身的法律效应问题;线性工作流程与立体模型的适应问题;缺乏可操作性的取证策略等等, 所以多维计算机取证模型也只是停留在理论研究层面的一种形式。

4 满足实际工作需要的计算机取证模型

首先我们认为指导开发计算机取证工具软件的取证模型和计算机取证工作模型不能混为一谈, 它们有关联同时又存在本质的差别, 即便都是计算机取证工作模型也会因为工作性质的不同而不同。计算机犯罪侦查关注的重点是发现犯罪线索, 网络安全事件调查的关键是获取事件行为的证据, 网络安全应急响应则需要根据事件的性质提供相应的应急策略, 虽说如此, 计算机取证工作也有大致相同基本形式, 这里我们就以此为基础探讨计算机取证工作模型。

4.1 计算机取证工作模型

计算机取证工作流程多为线性组织, 说明以工作过程为基础构建计算机取证工作模型是可行的, 纯线性过程不可能完全满足工作需求, 必须增加必要的循环和分支, 在此基础上再考虑如何有效解决过程模型存在的问题。证据的基本属性是客观性、关联性和合法性。客观性指证据必须是客观存在的事实, 关联性指证据必须是与案件有关联的事实, 合法性指证据必须是来源和形式合法的事实。由于不同工作阶段需要强调不同的法律属性, 因此可以考虑附加不同的约束条件, 如在准备阶段附加检测工具对环境影响性分析, 确保使用工具收集信息不受工具本身的影响;在网络监控阶段附加来源合法性约束, 保证收集信息的合法性。鉴于此, 我们认为适合实际工作需要的计算机取证模型可以用图3表示。

取证准备:需要不断收集充实取证工具, 并对工具使用时的客观性进行详细分析, 保证使用工具不影响作用对象又能最大限度挖掘信息资源。

现场工作:包括现场保护、现场访问、易失性数据收集、制作司法鉴定附件等, 若发现侵入痕迹和预留“后门”, 即可进行网络监控。该阶段应附加证据来源合法性约束。

数据分析:对司法鉴定附件进行解剖分析, 并与其他信息相印证, 以决定下一步的工作流向, 或实施网络监控、或重新收集相关证据、或形成证据。该阶段附加关联性约束条件。

网络监控:是重要的证据收集手段, 使用监控工具可以获取相关信息, 但必须保证证据来源合法性。

形成证据:是计算机取证的关键环节, 尽管前面各环节做了大量的约束, 此处若不能形成形式合法的证据, 也终将不能被法庭接受, 所以必须保证形成证据的形式合法性。

4.2 特点

与其他计算机取证模型相比, 该模型有以下特点:

工作目的明确:增加证据形成工作阶段, 能时刻提醒取证者, 工作过程要围绕工作目的, 因此也容易最终形成满足法庭要求的证据。

法律约束清晰:按性质给出不同工作阶段的法律约束条件, 既明确了法律性约束问题, 又便于操作。

工作阶段转换明了:对可能重复工作表述明确, 取证人员很容易根据需要选择操作内容。

与实际工作对应:工作流程简洁明了, 配之于详细地操作细节, 会特别适合应用于实际的计算机取证工作。

4.3 形式化描述

基于Petri网的计算机取证工作模型包含6种元素:一组工作过程位置P、一组控制R、一组分析控制A、一组转换T、输入函数I及输出函数O, 即C= (P, R, A, T, I, O) , 其中:

图4是用Petri网描述的计算机取证工作模型, 其中的分析控制是为了克服输出二义性而增加的控制性元素, P6是最终结果。

5 结语

本文在分析了多种计算机取证模型的基础上, 提出了受证据属性约束的计算机取证模型, 该模型更贴近计算机取证的实际工作过程, 符合计算机证据提取的需要, 最后给出了模型的形式化描述。

摘要：现有的计算机取证模型普遍存在不符合证据要求的缺陷, 或可操作性较差不能用于实践。本文在分析多种计算机取证模型的基础上, 提出了改进的计算机取证模型, 在该模型的不同阶段使用不同的证据属性控制, 可以使取证流程符合证据要求。

关键词：计算机取证,取证模型,证据属性,约束,形式化描述

参考文献

[1]Brian Carrier, Eugene H Spafford. (2003) Getting Physical with the Investigative Process.International Journal of Digital Evidence.Fall2003.Volume2.Isssue2.

[2]樊崇义.证据法学.北京:法律出版社.2001.

[3]丁丽萍, 王永吉.多维计算机取证模型研究.信息网络安全.2005.

浅析计算机取证技术 篇7

关键词：计算机取证,电子证据,计算机反取证

1 计算机取证的概念和特点

计算机取证(Computer Forensics)就是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。它能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档的过程。

电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:(1)磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;(2)电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;(3)高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;(4)人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;(5)电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

2 计算机取证的过程

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。

2.1 物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。

由于证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题:(1)目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;(2)技术复杂度高是取证中另一十分突出的问题。

2.2 信息发现

在任何案例中,计算机入侵者或多或少都会留下蛛丝马迹,前面所说的电子证据就是这些高科技入侵者留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们研究计算机入侵取证就是将这些看似无意义的数据变成与入侵者进行斗争的利器,将入侵者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭,以便将其绳之以法。

3 计算机取证的发展

计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:(1)取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。(2)取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。(3)取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉公证据也存在一定的争议。

4 计算机取证技术的局限性

计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:(1)有关的电子证据必须没有被覆盖;(2)取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。

5 结束语

计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。而仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机案例。

参考文献

[1]王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,14(9):1635-1644.

[2]赵小敏,陈庆章.计算机取证的研究现状和展望[J].计算机安全,2003(10).

[3]苏成.计算机安全,2006(1).

[4]钟秀玉.计算机取证问题分析与对策[J].电脑开发与应用,2005(3).

[5]赵小敏,陈庆章.打击计算机犯罪新课题──计算机取证技术[J].信息网络安全,2002,9.