新型电子取证

新型电子取证（精选8篇）

新型电子取证 篇1

摘要：当今在云计算技术发展迅速的情形下引起了IT技术的改革,云计算在日常工作中有着多方面的优势,如资源共享和存储比较丰富,这些优势为人们的日常工作提供了很多的便利,但是存在相应的缺点,使得一些犯罪分子利用云计算平台做出一些违法的行为,严重影响了云计算平台下的电子取证工作的顺利进行。新型的电子取证技术的研发,能够最大限度地满足当代云计算平台下的安全、高速取证的需求。

关键词：云计算平台,新型电子取证,应用,研究

云计算技术在快速的发展,广泛应用在很多的领域,云计算技术平台下新型的电子取证能够解决传统的电子取证中存储量小和在分析上不及时的问题,如今的云技术有着很大的存储空间、良好的设备使用率,还能够大大的缩短电子取证的时间。云计算平台下能够针对客户的需求而做出一定的计算能力和存储能力,不仅为用户提供了更便利的福利,而且最大程度地降低了用户的软件和硬件的成本费用。在云计算平台下的新型电子取证还要能够打击网络犯罪行为,明确指出云计算平台下的新型电子取证的发展趋势。

1 云计算平台下的新型电子取证技术

1.1 云计算平台

云计算平台是一种能够采用并行计算、网络计算和分布式的计算的网络技术,能够通过网络来进行计算和程序处理工作,把一个庞大的计算机程序分布成小的子程序,结合多个服务器来组成一个循环系统,这样通过计算和分析之后就能传递给用户,并且网络服务提供者能够快速的生成数据和信息,实现高效率的网络服务。

1.2 取证云和云取证

在云计算平台下,新型的电子取证也面临着新的挑战与机遇,还要面对一些导致信息犯罪的工作环境。取证云能够通过云计算结合相应的专业技术团队实现快速操作,取证迅速的发展趋势,取证云的优势是能够对取证工作中的设备、平台、资源、人员培训进行整合处理,以此达到电子形势下的信息共享。以往的传统取证工作流程已经不适用了当今的电子取证工作流程,比如传统取证中的系统曾和网络层的工作性质如果应用在新型的电子取证中已经不再适合了。电子取证最重要的是能够掌握取证电子设备中的一些犯罪证据,一些犯罪行为是在云计算平台环境中产生的,所以要加大这方面的安全防范措施。

2 云计算平台下的特点和优势

2.1 安全、可靠的数据存储中心

云计算平台下的云服务提供商会在自己的云服务后端上建立安全的数据存储中心,这样用户能够连接到安全、合适的数据存储接口,用户能够通过一些浏览设备而把自己需要用到的数据上传到云端上,这些数据也会同步到数据存储中心上,这种存储环境下用户不用担心发生存储空间不够和数据丢失的情况。

2.2 快速和便捷的云服务

在新型的云计算平台下云运营商可以把软件与服务等在后台的云服务器中实现统一管理与维护,这样用户可以更加直观和快捷的使用和实现信息共享,用户在使用软件时只需要直接进入Internet就可以,传统的云服务中需要一直在客户端中下载需要使用的软件,而且也不需要手动升级软件,新型云计算平台下会自动升级。

2.3 产生良好的经济效益

在云计算平台下不用花费大量的时间来进行搭建计算机环境,也不需要过多的维护计算机环境,用户可以更加方便的接受提供的计算和存储资源,并且付费方式也比较合理和便捷,久而久之会产生良好的经济效益。

2.4 良好的计算能力

云计算平台下拥有着自动化和虚拟化的技术环境,可以提供良好的计算能力,不管用户提出的要求有多高、多复杂,云计算都可以快速地完成大计算量和大工作量,传统的计算机环境是不可能达到这种效率的。

3 传统的电子取证方法在云计算环境下的取证难点

云计算和计算机技术在不断发展,传统的电子取证虽然具有真实性和合理性,但是在新型的云计算环境中已经无法恢复完整和原始的数据了,面对海量的电子数据不能快速的完整取证工作了。第一,传统的电子取证缺乏有效性,新型的云计算平台能够实现资源共享和存储的分布性原则,但是传统的电子取证不能得到完整、有效的数据,传统的取证方法是通过零碎的数据来存储在计算机上的。第二,传统电子证据缺乏深度性,传统的电子取证方法通常是依靠弱推理来进行取证,不会在意电子证据的深度性,并且在云计算平台下数据比较繁多且混杂,传统的电子取证不能通过处理和分析而得出有用的数据。第三,传统的电子取证缺乏实时性和可靠性,传统的电子取证方法没有数据备份这一程序,严重缺乏可靠性,如果取证数据丢失或者毁损后,将会难以恢复数据,甚至会发生严重的事故。

4 云计算环境下新型电子取证的方法

4.1 确定电子取证的目的和范围

在云计算平台下首先要确定电子取证的目的和范围,这样才能充分的掌握好本次取证的工作意义,最终能够得到最合适和真实、合法的证据,在法院诉讼和审查阶段能够被采信,在工作中也可以阻止取证被动性的情况发生,在选取取证范围的时候要选取和此案件相互联系的,这样才能最大限度地节约电子证据案件侦破的时间。

4.2 确定取证数据的来源

因为在云计算平台下的新型电子取证中的数据来源方向比较广,例如有的数据是来自于云计算的中心数据,有的数据是从供应商或者客户那得到的,所以不一样的取证数据有相应的取证对象,要规划好取证的数据来源,比如云数据中心要使用大型的云存储器,而云服务供应商和客户等要选择比较小的存储器,这样有秩序的选取数据的来源可以有效缩小取证的范围,从而提高工作效率。

4.3 实际的取证阶段

在实际的取证阶段需要维持取证软件在取证时数据的可靠和完整性,从而减少电子取证过程中发生电子取证缺陷。

4.4 证据的信息处理阶段

在云计算平台下的新型电子取证中电子数据量非常大,所以在证据的信息处理上要时刻保证证据的有效和深度性,挖掘出比较实用的电子数据。

4.5 证据的信息分析阶段

在电子取证中,以上四部分都完成了,第五项是针对以上获得的电子证据信息进行分析,从中查找出是否存在违法和涉案的数据,如果发现存在违法数据,要快速的处理,从而达到案件的顺利进行和为快速侦破提供最有力的帮助和支持,做好证据的信息分析是电子取证工作中的关键。

5 结束语

云计算平台下的新型电子取证技术相对于传统的取证技术有很多优势存在,传统的电子取证方法已经跟不上计算机技术的发展,也不能满足云计算环境的工作要求,新型的电子取证技术能够最有效的保证数据的有效和实用性,并且最大限度的打击一些网络犯罪行为,做好防范和惩治手段。新型的电子取证工作过程需要非常严谨的工作人员来完成,所以更要培养出技术人员更宽广的理论知识和业务技能,能够熟悉和操作一些复杂、多硬件的工作流程。

新型电子取证 篇2

转变思维，树立“双空间”取证意识。当前时代背景，要求纪检监察机关转变传统取证理念，应坚持传统证据和电子数据并重，加快向信息化取证转变，向信息科技要效能，提高电子数据取证的能力，围绕物理空间和虚拟空间，“点、线、面、体”多角度协同取证。

面向实战，优化条件保障。首先，要提升人员素质能力，科学配备取证力量。根据人员结构，重视人员素质能力培养，优化组合，科学配备，搭建以办案人员主导，技术人员协助的队伍架构。办案人员能够临场判断，明晰方向、把握重点，及时识别待取证据与事实之间关联性及紧密度，既避免提取无用的海量数据，导致有效信息淹没，又避免错失良机，导致必要证据缺失。同时，技术人员能够结合电子数据证据存储环境和散布规律，借助专门设备和技术手段，进行专业规范的高效搜集，深度发掘证据资源，提升证据质量。其次，要做实做细相关预案，做好设施设备保障。取证之前，要做到对全案熟悉，结合被调查对象的个性化特点，针对性地对取证范围、时序、重心及突发状况等周全考虑，做实做细取证预案。备足并调试可能用到的设施设备，做到宁可备而不用，也不要需要的时候没有。

强化程序意识，规范取证。一是要按照授权，依法取证。履行所需相关文书手续，合法完整地开展取证。二是围绕证据能力和证明力，规范操作。电子数据证据取证方式方法很多，具体要结合案件需要和实际条件，因时因情开展。要识别电子数据取证前的真实性与完整性，审查有无有意或无意的增删失真，尤其是对潜隐证据、删除证据、衍生证据的搜集，要按照时效性要求，及时校验数据完整性。提取、固定电子数据，临场把握一个基本实施框架：即以扣押、封存原始存储介质为原则，以现场提取电子数据为例外，以打印、拍照、录音录像等方式为补充。相关影像资料对取证环境前、中、后不同阶段均要涵盖，既要反映整体概貌，也要有针对要素的特写，相应笔录记述标注详略得当。三是后续的检查或鉴定中，也要全程操作留痕，形成闭环。总之，确保电子数据证据从起始提取到审查、运用，全链条合法规范、真实完整，相关场景可重现、可回溯。

构建电子数据与传统证据印证体系。“让证据开口说话”，需要办案人员将电子数据和传统证据融合贯通，排除矛盾，构建一体化、精细化的印证体系，使用中应特别注意以下两点。

第一，注重关联性与同一性的耦合。被审查调查人进行电子信息交流，一般都需要虚拟身份，所以，电子数据中往往存在两种身份(现实身份和虚拟身份)，证据搜集及使用时，找寻现实身份与虚拟身份的关联点并对身份还原很关键，这些关联点主要是网络终端和虚拟身份，还原认定的方法主要通过核查相关IP地址、网络活动轨迹、上网终端归属及使用情况等综合判定。

第二，注意形式完整性与实质真实性。除了厘清关联性和同一性，还要注意虚拟身份表达内容的形式完整性和意思表示真实性，办案人员应实事求是地查明和使用电子数据，不能故意删减对被审查调查对象有利的证据内容，不能随意片面地解读其意思。以手机端微信信息取证为例，既要梳理使用人现实身份与终端设备手机、微信账号关联性、现实身份与虚拟表达身份同一性，又要结合被审查调查人自认或具有独立来源的其他证据对表达内容及真实性进行解读、佐证，形成环环相扣的证据链条，电子数据连同传统证据共同还原案件事实。

电子物证现场取证技术研究 篇3

我国自1978年实施改革开放政策以及在新世纪加入世界贸易组织 (WTO) 以来, 我国在各个领域都取得了较为快速地发展。其中, 侦查技术就发生了根本性的变化, 侦查技术逐渐发展成为以信息技术为主体的专业的科学技术, 通过融入信息技术, 这就使得侦查的效率变得十分之高, 各种犯罪行为也在信息技术这双“慧眼”的监视下一个个被侦破, 这也在很大程度上减少了犯罪行为的发生。因此, 可以说电子物证现场取证技术是时代的进步, 也是信息技术发展到一定阶段的重要产物。本文主要对电子物证的现场取证技术的相关内容及重要组成部分进行了阐述, 以及对电子物证取证及检验的重要意义以及作用进行了论述。具体的方法为主要是对欧美以及国内的有关电子物证现场取证技术方面的资料进行了研究, 最终得出了电子物证现场取证及检验的涵义、取证对象、具体的方法以及特点等方面进行了介绍, 进而得出这样的结论:电子物证现场取证技术关乎到识别、发现、提取、保存、恢复以及分析鉴定等方面的科学技术, 能够为案件侦查提供必要的证据, 从而增加了犯罪侦查的效率。

1 电子数据的预检

在正式确定目标物证之前, 要对其进行电子数据预检, 其主要目的就是为了对相关案件加以锁定和发现, 以及对整个的发生过程进行事先安排。由于电子数据具有很多特点, 如易复制、易损坏以及易传播等特点, 现场调查取证的工作人员应该加强对证据安全的风险意识进行提高, 以不断提高电子数据的原始性以及完整性。

1.1 对手机的预检

目前, 手机主要分为3种类型, 即GSM、CDMA和CDMA/GSM3种类型。对于数据的存储一般使用的是SIM卡、手机本身带有的内存以及扩展卡 (或者称为可以替换的存储卡) , 此种存储介质的一大特点就是保存了与案件有关的电子数据如通话记录、信息、记事本、视频信息等, 而这些信息往往都与发生的案件有很大的联系, 因此这种渠道来获取电子数据也是电子物证现场取证的一个重点内容。现场取证的工作人员能开启手机对相关数据进行预检, 在对手机进行预检时, 应该注意应该对相关信号进行屏蔽, 除了该案件需要对拨人电话或者发短信息的人实施跟踪。这样做的主要的原因就是手机处于一种全开放的在线工作状态, 这就可能会发生随时将信息泄漏出去的现象, 而且短信也可能会被删除或是被泄漏出去, 而这些被泄漏出去的信息往往和案件有很大的关系。因此, 笔者认为, 应该加强对手机信息加以保护, 以避免手机信息的外泄而影响了案件的快速侦查。

1.2 对电子计算机设备中的电子数据进行预检

现场的调查取证人员为了对运行中的检验设备以及设备中的电子数据进行预检, 一般都会按照常规的方式进行开机查阅, 然后对系统中的相关文件加以浏览, 那么这样做的坏处就是很有可能对所储存的电子数据的有关属性进行了改变, 电子数据的属性改变了, 就会带来一定的风险。这些风险主要包括如下几个方面:改变了系统中的文件时间属性, 对于Windows各个系统的影响是不同的, 其中对于Windows98系统而言, 会造成约为300个文件属性的改变, 对于Windows2000系统, 一般会造成约为500个文件属性发生改变, 如果此案件要涉及到电脑开机时间的取证与检验, 那么势必会导致取证及检验的条件发生重要的扭变。因此, 可以说现场取证调查工作人员不要对处于关机状态下的设备中硬盘的电源, 拔下硬盘数据线, 将BIOS的引导设备修改为软盘, 阻断被预检的硬盘启动系统, 之后采用专用的系统启动盘 (如专用的Encase启动盘) 重新启动系统。

2 涉案设备封存收缴时应该注意的几个问题

2.1 涉案实体对象封存收缴

对于涉案实体对象封存收缴, 是一种获取物证十分重要的方式。当前时期下, 涉案实体对象主要分为四个方面, 即存储的介质、文档、电子设备及其他资料。其中, 存储介质主要有以下几个方面, 即硬盘、软盘、U盘、光盘、磁带以及各类存储卡等, 上述这些设备可以存储相关的数据。电子设备主要包括PC机等、mp4、手机、数码设备、集线器、路由器、磁带机以及数据线等, 这些设备可以对电子物证进行外在的反映。文档以及其他资料主要包括计算的程序方面的内容以及各种设备的用户手册、打印的各类文档资料等。上述设备主要是对电子数据进行记录。

2.2 开机状态的设备的封存收缴

对于开机状态的设备而言, 一般不能对其进行简单的处理, 大部分人都会将电源直接关闭进行收缴封存, 如果按照这样做的话, 势必会使得重要的数据受到破坏以及丢失, 且对后续的数据分析以及取证检验增加更大的技术难度。例如一个正在运行的应用系统, 将电源关闭之后, 可能会造成两个方面的不良后果:1) 使得内存中处于动态运行的程序以及文件的相关数据大量丢失, 这样就会使得屏幕上所显示的全部信息不能很好地重现;2) 各种存储介质中的相关数据即使能够进行很好的克隆和备份, 但是对于需要在实际运行中分析检验的专用系统, 重新搭建系统运行环境, 则很有可能会遇到系统启动密码, 文件加密、应用系统运行时需要支持的各种工具软件的安装等。

3电子物证现场取证的具体方法

当现场调查取证的工作人员在进行现场取证时, 由于受到各种外界条件的影响以及限制, 根本无法对正在运行的系统进行停止处理或者对设备封存收缴, 尤其是在面对某些专用的应用系统, 例如金融、医疗以及大型的网站等, 对系统进行停止运行势必会对被调查部门或者是用户正常的工作秩序造成一定程度的影响或是伤害, 它们会承受经济上的巨大损失以及风险, 但是对于现场调查取证的工作人员而言, 对相关的电子数据实施静态或是动态的分析, 面对巨大的存储数据, 一是对其分析相当耗时;二是令人难以承受。所以, 笔者认为, 现场调查的工作人员应该选择那些物理存储介质中的电子数据, 当前时期下, 随着信息技术以及其他各类技术的快速发展, 对电子数据的获取主要采用的技术方法是对物理存储介质的实体镜像以及逻辑进行复制。目前各国普遍使用的保存数据的方法为物理存储介质的实体镜像, 同时它也是世界各个国家司法鉴定机构普遍认为最好的取证方式之一。物理存储介质的实体镜像, 可以实现对整个物理存储介质进行逐步的整体复制, 对于在这个过程中所复制的目标数据不仅包括操作系统中可以进行访问的正常数据文件, 而且还包括了操作系统不能进行识别的已经被删除的文件、文件碎片以及没有进行磁盘空间分配等, 在上述空间中可能包含了文件删除之后没有被覆盖的大量残余的信息, 而这些数据一般与已经发生的案件具有十分密切的关系。所谓逻辑复制指的就是对物理存储介质中的某个分区或是文件进行复制, 这些文件以及分区, 操作系统可以进行正常地访问。

参考文献

[1]尹春社.对电子数据现场获取存在问题的分析与探讨[J].刑事技术, 2008 (3) .

[2]李盛, 朱秀云, 韩杰, 等.电子物证检验中常用数据恢复工具对比研究[J].刑事技术, 2008 (4) .

[3]王桂强.电子物证检验[J].刑事技术, 2003 (4) .

[4]罗文华.信息上传操作在客户端主机中留有痕迹的检验[J].刑事技术, 2010 (1) .

电子商务数字取证模型设计 篇4

顾名思义, C2C就是Consumer to Consumer的英文缩写, 即消费者对消费者、个人对个人、用户对用户的新型电子商务模式, 它是伴随电脑技术、网络技术不断完善发展而产生的新型商品销售模式。在C2C网购中, 电子用户双方通过第三方 (网络服务商) 所提供的电子网络交易平台, 直接网上联系, 进行一系列诸如:网上注册、开设网店、标价商品、筛选商品、协商价格、达成契约等网上交易行为, 进而双方自愿达成交易。

分析C2C的交易过程, 基本包括商情沟通、资金支付、商品配送三个环节, 这也是电子商务所重点关注的“三流” (信息流、资金流、物流) 。商品在电子商务中处于中心部位, 是大家关注的焦点, 电子商务的交易过程中, 通常以信息流为核心, 并通过信息流来带动资金流和物流的完成。

目前电子商务所面临的信息安全问题主要包括以下几个方面:

(1) 窃取信息:数据信息在未采用加密措施情况下, 以明文形式在网络上传送, 攻击者在传输信道上对数据进行非法截获、监听, 获取通信中的敏感信息, 造成网上传输信息泄露;即使数据经过加密, 但若加密强度不够, 攻击者也可通过密码破译得到信息内容, 造成信息泄露。

(2) 篡改信息:攻击者在掌握了信息格式和规律后, 采用各种手段对截取的信息进行篡改, 破坏商业信息的真实性和完整性。

(3) 身份仿冒:攻击者运用非法手段盗用合法用户身份信息。利用仿冒的身份与他人交易, 获取非法利益, 从而破坏交易的可靠性。在电子交易中, 第三方有可能假冒交易一方的身份, 以破坏交易, 破坏被假冒一方的信誉或盗取被假冒一方的交易成果等

(4) 抵赖:某些用户对发出或收到的信息进行恶意否认, 以逃避应承担的责任。

1 电子商务的数字取证框架

数字取证分为系统取证与网络取证, 然而计算机犯罪案件在事先往往并不知情, 总是到一定时候才被司法机关发现, 并进行调查, 此时前一段时间的非法操作采用网络取证很明显不起效。系统取证主要指司法机关已经查封了犯罪分子的目标机, 取证分析员直接对目标机进行犯罪证据的提取与分析等工作, 是一种事后行为, 其中包括未开机状态的取证与开机状态的取证等。

本文主要针对电子商务取证中的系统取证技术进行分析, 下图是电子商务数字取证模型, 整合了多个可能存在证据的子方向, 并对挖掘出来的数字证据进行预处理、规则匹配与分析、证据压缩与数字签名等, 最后作为有效的电子证据提交法庭。系统取证从两个方向展开, 包括关机取证与开机取证, 下面以Windows系统取证来进行分析。

1.1 关机取证

(1) Windows注册表信息

Windows注册表是数据配置的一个中央仓库, 存有大量的信息, 如系统配置、相关设备、已安装的应用软件及用户信息等。这些对系统取证分析员而言, 都需要进行分析, 可能存有一定的数字证据, 或者能够成为分析员进一步分析与推理的依据。注册表中的证据信息: (1) 注册表键值的最后写时间。所有的注册表键值有一项为“LastWrite”最后写时间, 它是一个64位的FILETIME结构值。调查人员只能获取注册表主键的上次写时间而不是键值的上次写时间。使用Keytime.exe工具可以追踪某个主键的上次写时间, 了解主键的修改或建立时间就可以大概估计事件发生的时间; (2) 注册表中的数据隐藏。通过使用不同的编码技术, 嫌疑人可以将数据隐藏到注册表的键值中, 达到欺骗调查取证人员检查的目的; (3) 注册表键值。嫌疑人将程序片段或整个二进制文件存储到注册表中, 而这些程序片段可以分布到几个分散的主键中。除非计算机调查取证人员了解注册表中相应的关键字, 否则在大量的注册表主键中寻找隐藏数据是相当困难的。

(2) 临时文件、缓存文件及Internet相关文件等

Windows系统本身会产生大量的临时文件, 这些临时文件就有可能包含了用户使用计算机时遗留的信息。缓存文件Index.dat是操作系统保护的系统文件, 其中包含有大量与网络相关的文件, 如通过www、ftp、telnet等访问或下载过的文件历史记录, 这必然是系统取证分析员需要考虑的取证点。因此, 同样Internet相关文件也是取证分析员必须考虑的取证点, 犯罪分子借助各种浏览器请求过的服务器站点信息, 包括服务站点地址、访问日期与时间、相关对象等各种Cookies信息。当然目前有很多浏览器均自带有网络痕迹清除功能, 但同样可以采取数据恢复技术对其恢复等。

(3) 数据恢复

攻击者可能会利用NTFS文件流在合法文件后隐藏资料、改变文件的扩展名或把文件删除。需要注意的是删除文件只是做了删除标记, 文件仍保存完好, 直至写入新数据后覆盖这些被删除文件所在的硬盘驱动空间, 所以越早恢复数据的可能性就越大。数据恢复技术主要是再现犯罪分子已经删除过的目录、文件等信息。通过软件的方式对已删除文件的目录树进行重构, 以方便取证分析员查找、搜索已删除文件中包含的重要证据文件。

(4) 日志文件分析

日志记录了系统和网络行为的原始信息, 可信的、安全的计算机系统日志记录反映了犯罪活动的过程, 通过及时对系统日志进行收集、保全和分析, 可以帮助追踪黑客入侵系统的路线, 重建入侵事件, 这些日志记录可以作为起诉犯罪分子的证据, 从而打击和震慑计算机犯罪活动。Windows日志有两个区域分别为事件日志及因特网日志, 其中事件日志包括系统、应用程序和安全事件的标准日志库。系统日志记录系统进程和设备驱动程序的活动, 它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址, 以及服务的启动、暂停和停止。应用程序日志包含由应用程序或一般程序记录的事件。例如, 数据库程序用应用程序日志来记录文件错误。应用程序日志中记录的事件类型由应用程序的开发者决定, 并提供相应的系统工具帮助用户使用应用程序日志。因特网日志则记录了关于个人请求的访问信息, 显示何种远程活动试图在某系统上执行或已经成功执行, 包括HTTP日志、FTP日志、SMTP日志等。

(5) 密码分析

对于犯罪分子的不配合行为, 取证分析员需要对密码技术进行研究, 针对犯罪分子曾经使用过的邮箱、加密过的文件等进行密码分析与破解。这个问题是对取证分析员甚至密码专家的一个巨大挑战。

1.2 开机取证

是指在计算机运行的状态下进行的取证技术, 主要直接运用系统API对系统信息和内存数据进行证据提取。

(1) 系统状态获取

系统状态获取主要包括四方面的数据获取:进程信息, 服务信息, 端口信息, 启动项信息。如:犯罪分子可能将一些非法的证据, 借助系统进程或者用户创建的用户进程对数字证据实施隐藏, 在已有进程中开辟较大的内存空间, 存放一些关键数字证据。

(2) 主机信息获取

主机信息获取主要是通过Windows API和WMI接口获取被监测主机的基本信息, 主要包括CPU信息、内存信息、BIOS、硬盘、网卡信息等硬件方面的信息以及操作系统版本、序列号、安装时间、主机名等操作系统信息。

(3) 外联设备使用痕迹提取

外联设备主要是指USB存储设备、USB网卡设备等。这些设备是目标主机进行数据交互、浏览互联网的重要证据。通过对这些设备的使用痕迹的提取, 可以帮助取证分析员进一步分析和提取出一些非法接入网络, 或者是非法使用移动存储介质的行为。

2 电子商务取证模型的用例分析

用例分析是基于UML的面向对象建模过程的一个显著的特点, 在基于UML的建模过程中, 用例处在一个核心的位置。用例除了被用来准确获取用户需求以外, 它还将驱动系统整个开发过程:包括系统分析、系统设计, 以及系统实现、测试、配置等。

在本系统中, 系统管理员负责系统正常运行的一些基础工作, 如系统用户的登记管理、用户证书的配置和取证工具的配置, 管理员还可以对用户进行管理, 进行添加用户, 删除用户以及修改密码的操作。取证分析人员定义取证的规则, 并查询取证的信息。保全者主要负责的是证据保全阶段的工作, 包含对电子证据的存储和包装、电子证据的保全签名, 以及在保全后对统一格式证据的校验。审核者是在证据展现阶段的主要角色, 他需要对证据进行审计, 并得到最终用于提交的电子证据、分析结果和可信性证明。

3 结语

本文在分析电子商务所面临的安全威胁的基础上, 针对电子商务取证中的系统取证技术进行分析, 设计了电子商务数字取证框架, 并基于统一建模语言 (UML) 进行了用例设计。采用UML建模技术, 能够有机地集成和协调开发过程中的分析、设计与实现信息, 便于在更高的抽象层次上对系统进行调整与维护, 从而能快速地实现系统的重构和修改。

摘要：本文在分析电子商务所面临的安全威胁的基础上, 针对电子商务取证中的系统取证技术进行分析, 设计了电子商务数字取证框架, 并基于统一建模语言 (UML) 进行了用例设计。

关键词：电子商务,数字取证,UML

参考文献

[1]周亮.基于云的主动取证系统的研究与实现[D].上海:上海交通大学硕士学位论文.2013.

[2]丁丽萍.计算机取证的研究现状分析[J].信息网络安全.2010.11.

[3]李波杰, 张绪国, 张世永.一种多层取证的电子商务安全审计系统[J].微型电脑应用.2007.5.

[4]孙国梓, 徐雯丽, 朱小龙.电子商务中的数字取证技术研究[J].信息网络安全.2011.4.

[5]鞠永程。对C2C网络购物安全问题的案例分析[D].兰州:兰州大学硕士学位论文.2010.

[6]翁文勇, 王泽兵, 冯雁.UML技术在面向Agent系统分析中的应用研究[J].2004.7.

[7]李炳龙, 王鲁, 陈性元.数字取证技术及其发展趋势[J].信息网络安全.2011.1.

电子证据的特点及侦查取证 篇5

一、电子证据的概念

关于电子证据的概念, 目前主流看法将其界定为:以电子形式存在的、用作证据使用的一切材料及其派生物, 或者说借助电子技术或电子设备而形成的一切证据。理解这一概念时, 要着重把握以下几点:

(一) 电子证据的存在形式

所谓“电子形式”, 是指由介质、磁性物、光学设备、计算机内存或类似设备生成、发送、接收、存储的任一信息的存在形式。形象化的描述就是以数字方式存在于计算机内存、服务器、光盘、U盘等存储介质以及手机、数码相机等数码产品中的电子信息[1]。所谓“派生物”, 是指通过一定的技术设备将电子证据转化为其他形式存在的资料或物品, 比如打印出的纸质文档、冲洗出的数码照片等。

(二) 电子证据的形成方式

电子证据是在电子技术和电子设备的应用过程中产生的, 电子证据不能脱离特定的电子技术或电子设备而独立存在, 这就从根本上决定了电子证据的技术依赖性。电子设备不限于电子计算机, 还包括生活中常见的手机、MP3、MP4、数码相机、数码摄像机等等。可以预见, 随着电子技术的发展, 新的电子设备将不断涌现, 要求侦查人员对新生事物保持高度敏感和关注。

二、电子证据的特点

电子证据从不同角度看有不同特点, 本文关注的仅限于对侦查取证工作有重要影响的特点:

(一) 技术依赖性

电子证据的技术依赖性表现在电子证据的生成、存储、传输及显示等过程都需要专门的技术设备和手段才能完成。电子证据和其所依赖的操作系统密不可分。这一特点要求侦查人员在收集电子证据时, 应当同时保存相应的操作系统, 以保全该证据的运行环境, 保证电子证据的客观真实性, 避免给犯罪嫌疑人对证据提出异议。

(二) 易于修改性

研究表明, 电子记录任何被删除、复制、个性的痕迹都可通过技术手段分析认定, 被删除的记录也可以通过特定技术予以恢复。从此意义上讲, 电子证据比传统证据更具稳定性和安全性。

(三) 传输快捷性

与传统证据相比, 电子证据具有复制、传播的迅捷性特点, 且传播范围广, 这一特征反而给侦查人员侦查取证提供了更加便利的条件, 要求侦查人员在取证中思路要广, 视野要开阔, 要尽量从多种不同渠道去收集电子证据, 对电子证据进行相互印证, 增强电子证据的可采性。

(四) 反复重现性

传统物证、书证、视听资料转移后, 在原始出处就不存在了, 经复制的物证、书证、视听资料与原件相比失真可能性比较大;电子证据则不然, 其经复制转移后不仅仍在原始出处存在, 而且失真的可能性很小甚至没有, 从这个意义上讲, 电子证据可以反复重现, 只要能够证明复制时操作系统的安全性, 即复制件没有失真的可能性, 复制的电子证据即可视为原件。

[1]电子证据有广义、狭义之分, 广义电子证据包括以模拟数字形式存在的证据和数字化形态的证据, 狭义的电子证据仅指数字制式的证据, 考虑到现代各种计算机及数码产品广泛采用的是数字电子技术, 电子证据也绝大多数表现为数字证据, 本文采用的是狭义的电子证据概念。

三、电子证据的侦查取证

(一) 电子证据取证的基本程序

电子证据的侦查取证方式包括责令犯罪嫌疑人主动上交、由证人提供、去互联网接入服务提供者和互联网信息服务提供者处调取以及对犯罪嫌疑人使用的计算机进行搜查等。前三种方式比较简单, 这里重点介绍第四种方法, 即对计算机进行搜查取证的基本程序。

1、首先检查硬件设备, 切断可能存在的其他输入、输

出设备, 保证计算机储存的信息在取证过程中不被修改或损毁, 必要时停止计算机的运行。

2、用无毒的备用操作系统重新开机, 对计算机内部信

息进行检查, 尽可能地提取计算机内存储的信息。如目标不明确, 需要对计算机内存储的所有信息隐蔽全部提取, 就应当采取镜像复制的方式全部进行拷贝。提取时应以计算机内存储信息的易灭失程度为序先后进行提取复制。

3、对提取的电子证据进行扣押。必要时对计算机硬

盘、光盘、U盘等存储介质进行扣押并封存, 对取证用的操作系统也要复制封存。在固定证据后或同时, 应当现场制作检查 (取证) 笔录。

(二) 电子证据的主要提取和固定方式

1、打印方式

打印出的电子文件属于派生形式的电子证据。根据相关规定, 打印出的文件视同原件, 故其证据效力也无可质疑。打印时要注意下几点: (1) 打印出来的文件上要注明该文件的页数和出处 (从哪台计算机或登录到哪个网站在哪些目录之下发现该文件) ; (2) 打印时不但要打印电子证据的内容信息, 还要同时打印电子证据的附属信息; (3) 有的文档可以用直接打印的方式进行打印, 而有些无法直接打印的系统文件或DOS状态下的目录文件等, 可采取截屏的方式进行打印; (4) 打印出来的文件要由犯罪嫌疑人 (或证据持有人) 、见证人签名、捺指印。

2、拷贝方式

这种方式适用于内容较多不方便打印的静态电子证据和动画、视频、音频等动态多媒体类型电子证据。拷贝前要准备好空的U盘或移动硬盘并对其进行杀毒处理, 拷贝工作完成后要当场封存拷贝的U盘或移动硬盘, 并由犯罪嫌疑人 (或证据持有人) 、见证人在封条上签名、捺指印并注明日期。

3、录音录像方式。

实践中有些案件事实是一个动态的连续过程, 要跨系统、跨界面的不同种类的电子证据相联结才能予以证实, 这种情况下就必须采取录音录像方式来进行取证。如, 某市侦办的一起网络犯罪案件中, 发现某公司销售的一款手机软件宣称具有信息同步功能和远程听音功能, 根据有关规定, 具备该功能的软件被认为是间谍专用器材。为验证该软件上述功能属实, 我们根据软件操作说明进行了详尽侦查实验, 并对实验过程进行全程录像。由于该实验涉及到软件的下载、安装、设置、运行等多个环节, 是一个动态的连续性过程, 且涉及到被安装软件的手机和安装软件手机进行通话和互发短信的第三方以及公司网站等多个电子证据载体之间的相互衔接, 用打印或拷贝等其他方式无法将其完整地记录下来, 因此, 为达到取证目的和效果, 全程录像是较好的方式。

四、电子证据的审查判断

综上所述, 侦查获取的电子证据被认可采纳作为定案根据, 须同时具备证据的客观真实性、合法性和关联性等基本属性, 这“三个基本属性”就是电子证据审查判断的标准。

(一) 客观真实性

客观真实性是指电子证据的来源是客观真实的存在, 而不是主观臆断的产物。这里主要是要求侦查人员在侦查取证过程中一定要本着实事求是的原则收集电子证据, 不能无中生有, 捏造、伪造电子证据。

(二) 合法性

合法性主要包含两个方面。一是证据形式合法, 即作为证据的电子材料在形式上应符合法律的要求才能作为诉讼证据使用。2003年, 江苏省高级人民法院印发的《关于刑事审判证据和定案的若干意见 (试行) 》第十三条规定:“向人民法院提供的电子数据证据应当附有侦查人员对提取、复制电子数据证据过程的有关文字说明, 主要记明以下内容……”。这一规定明确了提交的电子数据形式电子证据的法定形式要求, 办案中可依此操作;二是取证程序合法。合法程序设计的主要目的是保证电子数据的客观真实性, 避免犯罪嫌疑人对证据提出异议。关于取证的合法程序, 关键是在电子证据的取证过程中要做到以下几点: (1) 提取和固定的主体应该是刑事执法人员, 而不能由其他人来代替。 (2) 采用搜查方式提取和固定存放在犯罪嫌疑人处的电子证据时, 要保证全程有犯罪嫌疑人和见证人在场见证。 (3) 在采用调取方式提取存放在第三方处的电子证据时, 要由第三方以签字或盖章的方式对提取和固定的电子证据予以认可。 (4) 在条件许可的情况下应尽可能对电子证据的提取和固定进行全程录像。

(三) 关联性

由于电子证据大量存在于网络犯罪案件, 犯罪嫌疑人网上活动的匿名性决定了在电子证据的关联性审查时要重点解决一个问题:如何确定电子证据为犯罪嫌疑人所留下的活动痕迹?要解决这个问题, 最关键的一点就是要紧紧抓住网络世界与现实世界的联结点。具体来讲, 可以考虑从以下几个方面判断核实:通过将网上获取的电子证据与犯罪嫌疑人口供相互印证来判定;通过将网上获取的电子证据与犯罪嫌疑人所使用电脑中的电子证据相互印证来判定;通过将网上获取的电子证据与搜查、调查中所获取的其他证据相互印证来判定;通过网上行为人上网进行犯罪活动时所使用的IP地址来判定;通过网上行为人登录网站进行犯罪活动时所使用的用户名和密码来判定;结合行为人在网上的其他行为来判定。

摘要：随着计算机和互联网的广泛运用, 不可避免地出现利用计算机和互联网进行犯罪的行为, 而电子证据由于其技术依赖性、易于修改性、传输快捷性和反复重现性的特点受到广泛关注。在侦查取证中, 计算机进行搜查取证和电子证据的提取、固定方式十分重要。同时, 侦查获取的电子证据被认可采纳作为定案根据, 还须具备客观真实性、合法性和关联性, 这“三个属性”是电子证据审查判断的标准。

电子取证的法律风险及其规制 篇6

一、电子取证的特征

相对其他证据类型而言, 电子证据具有虚拟性、多样性、技术性、脆弱性等特征。电子证据以上特征必然会反映在电子取证行为中去, 进而使电子取证呈现出与一般取证行为不同的特点:

(一) 电子取证的主体具有特殊性

与普通证据类型相比, 电子证据最大的特征就是与电子信息技术密切相关。在电子证据的提取、固定、分析、恢复过程中, 常常需要运用特定的电子技术手段或者使用特殊的程序系统, 这就要求取证主体必须具备较高的电子信息专业知识及技术运用能力。因此, 电子取证的主体除要具备《刑事诉讼法》规定的取证主体资格外, 还必须同时具备计算机软硬件、电子信息技术、网络技术等相关领域的专业知识及技术能力。

(二) 电子取证对象具有双重性

电子证据是现代信息技术利用电、磁、光等信号的变化而生成的一系列电子数字信号, 人类根本无法直接识别。这些电子数字信号存储在存储设备中, 通过特定的技术设备和手段才能转化为人类能够识别的图像、声音、影像、文档等。因此, 与一般取证程序直接提取所需取证对象不同, 电子取证必须首先提取存储有电子数据的各类载体, 再通过技术手段对载体进行分析处理, 才能获取所需的电子证据。从这个意义上将, 电子取证的对象既包括电子数据本身也包括电子数据的载体, 具有双重性。

(三) 电子取证的方式多样性

电子证据具有多样性的特点, 不仅体现在电子证据载体的多样, 还体现在电子证据的存在方式、存储状态的多样。因此, 与提取普通证据相对固定的取证手段相比, 没有一种通用的取证方法对所有类型的电子证据都适用。在电子取证中, 除常用的打印、拷贝、拍照、摄像等取证方式外, 以计算机搜查、计算机现场勘验、电子数据恢复、网络监控、网络过滤、网络搜索等为代表的新兴取证方式也在实践中广为应用。

二、电子取证的法律风险及影响

随着电子证据的在刑诉法中证据地位的解决, 电子证据在司法实践中将呈几何式的增长。 (2) 而这也必然导致电子取证行为在实践中的频繁使用。然而, 新刑诉法并未对电子取证的相关问题做出明确具体的规定, 电子取证行为的法律规制依然处于空白状态。再加上电子取证与传统的取证行为的巨大差异, 都有可能导致电子取证处于法律风险中。

(一) 电子取证的秘密性与公民网络隐私权的保护

网络隐私权是伴随互联网技术的快速发展而出现的。它是指公民在网络中 (包括局域网、广域网和互联网) 所享有的个人信息、网上个人活动依法受到保护, 不被他人非法侵犯、知识、收集、复制、公开、传播和利用的一种人格权。 (3) 电子取证中, 互联网络既是电子取证的对象也是重要手段之一。然而, 由于互联网具有开放性、虚拟性、隐蔽性的特点, 再加上电子数据传输的无痕性, 有关人员在实施电子取证时依靠技术手段很容易秘密侵入到取证相对人的网络空间或网络设备, 并远程实施调查取证或时时监控行为。例如, 利用“后门”技术、远程木马等网络技术侵入相对人的计算机系统, 就可以秘密的查看、收集, 获取目标计算机的所有信息;运用网络监控、网络过滤等技术手段可以截获相对人通过网络传递的聊天记录、电子邮件等信息。由于以上网络侦查取证方式均属于秘密侵入的方式, 不具备明显的侵害表现, 再加上当前实践中采取以上手段也无需申请任何许可令状, 对相对人而言, 其根本不会意识到权利被侵犯, 也就不会采取任何的防范措施。在毫不知情的情况下, 相对人很可能会泄漏特别珍贵的信息, 从而造成对相对人隐私权的严重侵犯 (4) 。这种行为无意中也已将刑事被告人置于诉讼客体地位, 不符合程序正义原则。 (5)

(二) 电子取证的外部依赖性与公民财产权的保护

据上文所述, 电子证据作为由电、磁、光等信号的变化而生成的光电信号, 必须借助于专门的技术设备和存储介质才能够被人们认识和感知, 具有外部依赖性的特征。现实中, 电子证据依赖的技术设备或存储介质主要有计算机、计算机硬盘、网络系统、光盘、移动硬盘、U盘、SD卡、手机等等。外部依赖性的特点决定了在实施电子取证的过程中, 必须首先对有可能存有电子证据的存储介质或设备予以扣押或者查封, 继而借助于技术手段对存储介质或设备进行分析与查找, 才能将其中的电子证据提取并固定下来。换而言之, 电子取证必然伴随着对公民的个人电脑、技术设备、手机等私人物品的扣押或查封。然而, 依照证据关联性的相关理论, 这些被扣押的公民个人财产并不属于与案件有关的电子证据的范畴, 对此类物品的扣押或者查封将不可避免的造成取证范围的不当扩大, 从而侵犯公民的财产权。 (6) 例如, 为了获取电脑硬盘内存有的电子数据而扣押公民的整台计算机及相关设备, 则有可能侵犯公民对该电脑的合法权益。

(三) 电子取证的不可分割性及对第三人权利的保护

随着互联网技术及电子信息技术的飞速, 利用现代科学技术实施犯罪行为成为很多犯罪嫌疑人的惯用手法, 特别是利用社交网站、即时聊天系统、智能手机等平台实施犯罪行为。由于平台的开放性及综合性, 以上平台在包含犯罪证据的同时也会包含大量与犯罪事实无关的信息。例如, 在同一个电脑硬盘上, 有可能保存有多个用户与各自联系人之间的联络记录;在同一个智能手机或SM卡内, 有可能存储有众多的与犯罪行为无关的联系人信息及资料。由于电子数据的无形性, 在取证前要对同一存储设备中的电子数据作出准确区分几乎是不可能的。实践中的常用做法是首先对整个设备内的电子数据进行整体的提取或恢复, 转化为人类可以区分的形态, 再进行证据的筛选与提取工作。这种层层转化和筛选的方式, 不可避免的会侵犯到与案件不相关的第三人的个人权利。例如, 在对某一台电脑内的使用痕迹证据进行取证时, 不可避免的会侵犯到同样使用过此电脑的善意第三人的个人信息或隐私权;在对一台智能手机的通话记录进行提取分析时, 必然会连带提取出第三人的个人信息。虽然法律有严格为第三人保密的义务规定, 但取证行为不可避免的将善意第三人信息推至可能暴露的边缘。

三、电子取证程序的规制

电子取证过程中存在的问题, 不仅不利于电子取证程序的运行, 甚至有可能造成电子取证在实践中的异化。为避免电子取证可能带来的问题, 必须对电子取证行为进行全面的规制。笔者认为, 作为一项司法活动, 电子取证主要由主体、对象、手段、过程四个要素构成, 对电子取证行为的规制, 只需同时规制以上四个要素即可。 (7)

(一) 对电子取证主体的规制

笔者认为, 电子取证的主体包含了两个层面的内容:一是电子取证机构, 即电子取证的指挥、控制主体;二是电子取证实际参与人, 即电子取证的直接参与和具体实施者。在电子取证机构的规制上, 国外普遍采用的做法就是在侦查机关内部成立专门的电子证据取证机构, 全面负责、指挥、参与各类电子证据取证行为。例如美国的FBI建立的“计算机紧急反应小组 (CART) ” (8) , 日本设立的计算机警察, 英国伦敦的警察局犯罪部 (CCV) , 法国巴黎警察分局设立的信息技术侦察处等等。这些机构虽然名称各不相同, 但是其具体职责都是主要负责指挥、搜集各类电子证据。我国可以参照以上国家的做法, 在公安机关、检察机关、国家安全机关等机构内, 自上而下的成立专门的电子取证侦查指挥中心, 对本地区的电子取证行为进行统一的指挥或实施, 全面提高电子取证的水平及效率。 (9) 在对电子取证实际参与人的规制上, 笔者认为, 应当尽快建立电子证据收集及鉴定的主体资格准入制度。即依照电子证据的类型、取证侧重点、技术特征对电子取证行为进行分类划分, 制定不同的操作规范及准入标准, 从而提高电子取证主体的取证水平, 规范电子取证行为。

(二) 电子取证对象的规制

为实现对相对人及第三人的隐私权、财产权等各项权利的保护, 有效规范电子取证行为, 在电子取证的过程中, 必须严格限制电子取证的对象, 防止电子取证对象的不当扩大。首先, 严格坚持关联性原则。为保证财产所有权人及相关人的合法权益, 在对存储设备或技术设备进行调查时, 尤其是在扣押计算机网络设备、智能手机、计算机、移动存储设备时, 只能对被怀疑与案件事实有关联的物品进行调查或扣押。对于与案件事实无关的设备或数据, 不能随意进行搜查或扣押, 以免侵犯了所有人或权利人的财产权、隐私权、商业秘密等合法权益。其次, 进一步提高电子取证技术水平, 减少对相对人财产权的侵害范围和程度。在当前电子取证水平较低的情况下, 为了防止电子证据的损毁和篡改, 不得不先采取拆卸存储设备甚至查封或扣押整个电子设备, 再通过技术手段进行提取或还原的“暴力取证”的方式, 这不可避免的会造成取证对象的不当扩大。为此, 建议借鉴国外一些国家在实践中尝试开展了的“镜像复制”的取证方式。“镜像复制”是指在在公证员或中立的证人的见证下, 取证人员对取证对象中的电子数据进行镜像复制, 再通过法定的封存、公正程序, 将复制的镜像作为电子取证的对象进行分析和提取的过程。“镜像复制”技术可以在不破坏电子数据的完整性的情况下, 将存储在计算机或存储介质中的电子数据完整复制, 有效避免了因对相对人财产扣押或拆借所造成的损害, 避免了取证对象的扩大。

(三) 电子取证的手段的规制

电子取证手段首先包括取证主体对电子证据的存储设备或技术设备进行提取的过程, 这在实践中被称为电子取证中的物理取证手段, 主要包括勘验、检查、搜查、扣押等各项取证手段。对于物理取证手段, 由于其在实质上与普通的取证行为无异, 因此对此类取证手段, 只需要严格按照刑事诉讼法规定的程序进行即可。而为了获取电子证据, 取证主体还需要借助特定的技术设备, 对通过物理取证手段获得的各类设备进行分析、查找、提取、转换, 这一手段被称为电子取证的技术取证手段。技术取证手段是针对电子证据的技术特性对物理取证的补充。为确保技术取证手段取得证据的合法有效, 必须对取证方法、手段方法进行严格的限制。笔者认为, 在电子取证过程中, 非经法定程序批准, 不得采取窃录、跟踪定位、秘密监听、非法入侵等措施或方式进行取证。同时, 必须对不同的技术取证手段制定严格的技术操作规范, 所有的技术取证手段必须严格按照技术操作规范进行, 否则, 取得的证据将面临被排除的风险。例如, 使用未经审核验证合格或未经法律允许的软件获得的电子证据, 将无法作为证据使用。

(四) 对取证过程的规制

电子取证过程即电子取证的具体操作程序, 电子取证过程对确保电子证据的合法、有效、全面具有重要的意义。为有效规范电子取证的程序, 笔者认为可以参照国外普遍设立的“电子取证基本过程模型”, (10) 设立符合我国司法实践的电子取证过程模型:

1. 案件分析及工具准备

案件分析及工具准备工作因案件的发现或来源不同而有所不同。对于侦查机关工作中主动发现的案件, 在进行电子取证之前应当对案件进行详细的分析, 特别是分析电子证据有可能存在的地点、形式、规模等, 并根据分析结果做好取证人员的调配及工具准备工作。对于受理自外部的案件, 要尽可能多的通过报案人了解案件的详细情况, 了解潜在的与案件事实的电子证据材料, 如报案方的计算机系统、打印机等电子设备的情况, 网络运行状况、设备的日常使用管理、受害方和犯罪嫌疑人的信息技术水平等对确定取证工作有所帮助的资料。

2. 现场保护

任何取证行为都离不开有效的现场保护。囿于电子证据的易破坏性和无痕性, 电子取证中现场的保护更是尤为重要。 (11) 电子取证的现场保护要注意以下几点:首先, 对犯罪现场保护。在到达犯罪现场后, 应当在第一时间对现场进行封锁, 冻结作案现场和发案现场的电子设备、电子信息系统, 维持现场电子设备和电子数据的状态。其次, 注意切断现场与外部的联系。进入现场后, 要注意切断互联网络, 避免现场电子设备受到外来信息的干扰和污染。注意对现场的人、机、物进行互相隔离, 避免相互之间再发生联系。

3. 证据提取

在电子取证中, 常用的证据提取手段主要以下几种: (1) 勘查:运用拍照、录像、绘图、记录等方式, 对现场进行全方位的固定, 以便于对现场基本情况进行分析或者还原。勘查时, 要特别注意将现场各种仪器设备的连接、配置状况和运行状态, 各种电缆线布线方式、各种插头、插座、开关的工作状态等情况记录下来。 (12) (2) 封存、扣押:对证据的封存、扣押必须注意以下两点:首先, 封存、扣押的对象必须是与案件有关的相关物品。其次, 在封存时, 应注意收集驱动程序、适用说明书等与电子证据有关的资料, 以确保电子证据的完整。 (3) 复制:对取证过程中遇到的体积庞大、系统复杂或者查扣将对第三人合法权益产生严重侵害时, 可以运用“镜像复制”方式对电子数据进行复制。为符合“最佳证据规则”的要求, 此类复制必须使用经过司法认证的介质并遵循严格的程序原则。 (4) 询问:电子取证时, 为获取计算机系统或存储设备的口令、密码等信息, 侦查人员可以对现场的当事人进行询问, 为下一步证据的分析或提取奠定基础。询问除依照刑诉法相关程序要求外, 还必须注意询问内容的关联性。

4. 分析与提取

电子证据的分析与提取是指由具有法定主体身份的机构或专门人员, 对提取到的各类存储介质及数据, 按照技术操作规则, 使用特定的仪器和方法, 对其中的电子数据进行发现、筛选、分析、提取、固定的过程。对电子证据的分析与提取应当坚持如下原则:首先, 为了确保提取的电子证据符合法律规定, 电子证据的提取必须由具有资质的机构或个人来进行。当前, 我国司法实践对电子证据的提取与鉴定机构的规范并不明确, 必须尽快建立起电子证据鉴定机构认证及分类制度。其次, 为确保电子数据的完整及有效, 在整个分析提取过程中都需要借助于专业的技术设备或手段, 避免检材在分析、提取的过程中发生数据污染、损毁、消失等问题。

5. 总结与运用

为确保电子证据在诉讼过程中能够发挥作用, 应当对电子证据进行总结和归纳。首先, 为证明电子取证行为的合法性和有效性, 必须对电子取证的各个步骤的情况进行记录、整理, 形成书证、勘验检查笔录、鉴定结论等证据。其次, 注意借助技术手段, 对电子证据进行, 通过声音、图片、文档、影像等多种方式, 将抽象的电子证据具体化, 形象化, 提高电子证据对案件事实的证明效果。再次, 依照案情, 及时对电子证据进行分析或评估, 对其中存在的问题及时进行完善和补充, 确保电子证据在诉讼过程中的有效运用。

摘要：新刑诉法关于证据制度的修改, 必然会带来电子证据在司法实践中的大量使用, 也促使电子取证行为的频繁出现。与普通取证行为相比, 电子取证在主体、对象、手段等方面存在自身的特点, 这也导致电子取证在实践中面临诸多法律风险。为实现对电子取证的有效规制, 必须对电子取证过程的以上各要素进行规制。

关键词：电子证据,电子取证,法律风险,规制

注释

1事实上, 在作为证据形式之一被写入新刑诉法之前, 电子数据一直以视听资料、书证等形式在司法实践中出现并运用。

2事实上, 很多学者纷纷预测, 伴随着电子证据在刑事诉讼法中地位的解决, 电子证据将呈现出爆炸性增长。

3刘品新.电子取证的法律规制[M].北京:中国法制出版社, 2010:268.

4周宝峰.刑事被告人权利宪法化研究[M].内蒙古:内蒙古大学出版社, 2007:201.现代宪政国家在其宪法中都规定了对于通讯秘密的宪法保障。德国学者托马斯·魏根特列举了丹麦宪法第72条、意大利宪法第15条第1款、瑞士宪法第36条第4款、土耳其宪法第17条第1款。见[德〕托马斯·魏根特:《德国刑事诉讼程序》, 岳礼玲等译, 中国政法大学出版社, 2004年版:第119页

5西方学者一般认为, 尊重人的尊严与法律道德主体地位, 是正义的基本要求;尊重刑事被告人的主体性地位就等于尊重他参与诉讼进程、影响诉讼结局、自主选择个人命运的能力, 这是程序正义的核心内容。

6此处的侵犯的财产权主要为所有权。按照民法学的有关原理, 所有权是所有人依法对自己的财产所享有的占有、使用、收益和处分的权利。

7程三军, 袁海东.计算机取证活动的工作规范[J].计算机世界, 2004 (9) .

8何家弘主编.电子证据法研究[M].北京:法律出版社, 2005:55.

9虽然早在1998年, 我国公安部就成立了公共信息网络安全监察局, 自2000年开始, 各级公安机关也纷纷成立了网络安全监察机构, 部分检察机关为了打击犯罪的需要也成立了类似机构。以上机构在维护网络安全, 打击诈骗、攻击计算机系统、色情犯罪、职务犯罪的过程中发挥了较大作用, 但是目前以上机构大部分仍然是以计算机网络管理、维护为主要任务, 同时普遍存在着技术设备落后、人员总体素质不高、地区间合作不紧密、对电子证据取证效率较低、对网络犯罪打击力度不足等问题。

102001年美国司法部 (US.Department of Justice, DoJ) 在《电子犯罪现场调查指南》中提出了一个计算机取证程序调查模型的概念。对电子证据的不同类型及其安全处理的不同方法进行了说明, 准备阶段、收集阶段、检验阶段、分析阶段和报告阶段。○11

11事实上, 在美国国土安全部颁布的《电子证据扣押之最佳方法》中, 对现场证据的保护被列为黄金法则的第一条。参照U.S.Department of Homeland Security, Best Practices For Seizing Electronice Evidence, v.3.○12

软件代码漏洞的电子取证技术综述 篇7

软件漏洞是信息安全风险的主要根源之一, 是网络攻防对抗中的重要目标, 无论从国家层面的网络安全战略, 还是社会层面的信息安全防护, 安全漏洞已经成为信息对抗双方博弈的核心问题之一[1,2]。2014年, 国家信息安全漏洞库收集并公布漏洞6824 个, 高危漏洞2440 个, 比例逐步上升, 相关报告显示境外有近7.3 万个IP地址作为木马或僵尸网络控制服务器参与攻击我国境内主机, 境内被控制主机数量高达1419万台, 增幅近60%。信息安全形势不容乐观。

同时, 针对源代码漏洞的取证成为构建安全体系的重要战略之一, 国内信息安全体系的建立和实施需要安全平台的技术支持与安全管理的体系支撑, 为了保障信息基础平台, 有必要进行源代码漏洞取证的深入研究, 来确保应用程序或者Web程序在信息平台上的安全性, 而另一方面, 对于源代码的漏洞取证研究已然不仅仅局限在PC端和Web层面上, 随着移动互联网大力发展的趋势, 国家对于Android, IOS等移动平台上的源代码漏洞取证也同样重视。因此, 从某种程度上来说, 源代码漏洞取证的研究工作对于信息基础平台的安全性保障十分重要。

1 软件漏洞

程序或硬件逻辑中设计和实现上的缺陷、人为设计和实现的隐蔽功能以及因使用管理不当造成的安全隐患统称为漏洞[3], 其主要特征是被人利用后会造成控制权的部分或全部转移, 往往使系统遭到非法操控或破坏, 丧失合法控制权。

软件漏洞是当今信息系统绝大多数安全漏洞的来源[4]。软件漏洞是软件中存在的一些缺陷, 这些缺陷可以被第三方或程序利用来进行未经授权的资源访问, 或改变控制权限来执行其他操作。软件漏洞轻则造成相应的经济或财产损失 (如敏感信息被盗, 不可用的服务) , 重则导致严重的灾难, 尤其是发生在被人类生活和生计所依赖的关键基础设施的软件系统上 (如核, 生物, 化学实验室, 电网, 水处理和分配系统, 空中交通控制和交通信号系统) 。

目前代码安全审查和白盒安全测试被广泛用于分析源代码并检测安全漏洞。可这些代码安全审查解决方案有很多不足 (例如精度问题, 产生大量的误报和漏报;可扩展性问题, 为复杂的应用程序支持不足, 无法处理的大型应用程序;适用性问题, 需要大量的额外的人工操作的工作量等) , 导致它们无法广泛的为程序员或测试人员应用。

自动代码安全审查技术利用分析工具来执行所有的代码检查, 这就避免了安全审查人员手动代码审查的过程, 也节省了很多高度密集的工作量[5]。但在自动代码安全审查实践中, 会存在精度和可扩展性之间的权衡。目前有两种不同的解决方案:

(1) 牺牲精确度, 一些自动化代码审计工具利用字符串匹配或其它简单的方法来快速检查代码, 但它会产生大量的误报和漏报。这些解决方案都是基于词法检查, 只将检测危险库函数和系统调用的源代码中进行对比而没有进一步的分析, 也就是RATS和ITS4 语义分析。这是最简单的方法, 但会产生大量的误报。例如, 一个局部变量的名称包含strcat都可以导致错误的报警。

(2) 其他一些基于模型检测的自动化代码审计工具, 把更多的注意力放在了精密性而不是可扩展性。它们的程序经常要进行大量繁重的计算和分析, 这就导致在处理大型应用程序时容易产生故障。

惰性抽象化技术展示了其不断建立和改善需求的单一的抽象模型, 它通过模型检查器驱动, 因此模型的不同部分可能会出现验证了终止性的不同精确度的检测方法。其他一些技术, 如MOPS也存在不同的模型检测的解决方案, 但模型检测的局限是, 在进行核查过程中有很多的注释和谓词会被插入到程序中, 整个过程都需要程序员的参与。同时, 由于程序分析要消耗大量资源, 处理大型应用程序的能力十分欠缺。

2 代码漏洞分类

2.1 通用弱点枚举CWE

通用弱点枚举 ( CWE , Common Weakness Enumeration) 是由美国国家安全局首先倡议的战略行动, 该行动的组织发布了《CWE/SANS最危险的程序设计错误》, 其中列举了最严重的25 种代码错误, 同时也是软件最容易受到攻击的点。这个列表是SANS学院、MITRE以及“美国和欧洲很多顶级软件安全专家”共同合作的成果。在CWE站点上列有800 多个编程、设计和架构上的错误, CWE文档首先列举的是针对程序员最重要的25 项, 从而帮助他们编写更安全的代码。同时文档还适用于软件设计师、架构师、甚至CIO, 他们应该了解这些可能出现的弱点, 并采取恰当的措施。CWE是继CVE (Common Vulnerabilities and Exposures) 之后的又一个安全漏洞词典。通过这一词典, Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准, 尤其是在购买旨在阻止或发现具体安全问题的安全工具时。

● 跨站脚本攻击

跨站脚本攻击 (Cross Site Scripting) , 为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码, 当用户浏览该页之时, 嵌入其中Web里面的html代码会被执行, 从而达到恶意攻击用户的特殊目的。

● SQL注入攻击

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序, 而这些输入大都是SQL语法里的一些组合, 通过执行SQL语句进而执行攻击者所要的操作, 其主要原因是程序没有细致地过滤用户输入的数据, 致使非法数据侵入系统。

当应用程序使用输入内容来构造动态sql语句以访问数据库时, 会发生sql注入攻击。如果代码使用存储过程, 而这些存储过程作为包含未筛选的用户输入的字符串来传递, 也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库, 这种问题会变得很严重。在某些表单中, 用户输入的内容直接用来构造动态sql命令, 或者作为存储过程的输入参数, 这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时, 没有对用户输入的合法性进行判断或者程序中本身的变量处理不当, 使应用程序存在安全隐患。这样, 用户就可以提交一段数据库查询的代码, 根据程序返回的结果, 获得一些敏感的信息或者控制整个服务器, 于是sql注入就发生了。

● 缓冲区溢出

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量, 使得溢出的数据覆盖在合法数据上, 理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符, 但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配, 这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为“堆栈”。在各个操作进程之间, 指令会被临时储存在"堆栈"当中, "堆栈"也会出现缓冲区溢出。

通过向程序的缓冲区写超出其长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 造成程序崩溃或使程序转而执行其它指令, 以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

● 跨站点伪造请求

CSRF (Cross-site request forgery跨站请求伪造, 也被称为“one click attack”或者session riding, 通常缩写为CSRF或者XSRF, 是一种对网站的恶意利用。尽管听起来像跨站脚本 (XSS) , 但它与XSS非常不同, 并且攻击方式几乎相左。XSS利用站点内的信任用户, 而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比, CSRF攻击往往不大流行 (因此对其进行防范的资源也相当稀少) 和难以防范, 所以被认为比XSS更具危险性。

● 不当的访问控制授权

假设一个给定的身份的用户, 授权的过程是决定用户是否可以访问给定的资源, 根据用户的权利以及任意的许可或者可以应用在资源上的特殊访问控制权限。

当访问控制的检查不一致或完全不做检查时, 所有的用户都可以访问数据或执行数据, 这是他们不应该被允许执行的操作。这可能会导致广泛的问题, 包括信息的泄露, 拒绝服务攻击, 以及任意代码的执行。

● 在安全决策中信赖不被信任的输入

开发者可以假设诸如cookies, 环境变量, 表单隐藏域等这些输入不能被更改, 然而, 攻击者可以利用自定义的客户端或者其他的攻击来改变这些输入。这些改变可能不会被检测到。当诸如验证和授权等安全决策建立在这些输入的基础之上时, 攻击者可以绕过软件安全实施攻击。

● 不当地将路径名限制为受限的目录 (路径穿透)

许多文件的操作是试图是在一个受限制的目录中发生。通过使用特殊的元素, 如“..”和“/”分隔符, 攻击者可以跳出限制访问系统其他地方的文件或目录。最常见的一种特殊的符号是“../”, 这在大多数现代操作系统被解释为当前位置的父目录, 这属于相对路径遍历。遍历路径还包括使用绝对路径名如“/usr/local/bin”, 这也可能是有用的文件意外访问, 这属于绝对路径遍历。

在许多程序设计语言中, 一个空字节注射 (0 或NULL字符) 可以让攻击者截断生成的文件名来扩大攻击范围。例如, 该软件可以添加”.txt”到任何路径, 从而限制了攻击者的文本文件, 但空字符注射可有效去除这个限制。

● 对危险类型文件的上载不加限制

对文件的上传不做检查, 不加以限制, 攻击者可以利用这一漏洞上传含有恶意代码的文件, 从而执行恶意命令, 对服务器产生破坏, 甚至获取到操作权限, 重要的数据, 必须对上传的文件类型加以限制以防止此类攻击产生。

● OS命令注入

允许攻击者执行意外的, 直接作用在操作系统上的危险命令。这个缺点可以导致系统环境中, 这个漏洞会导致原本无法直接进入操作系统的攻击者找到一个易被破坏的环境, 比如web应用程序, 如果缺陷发生在一个有特权的程序, 它可以允许攻击者使用通常不能被访问的命令或者攻击者原本没有权利执行的命令。问题是如果过程不遵循最小特权原则, 攻击者控制命令可以运行特殊的系统特权, 增加系统的伤害量。

● 缺少对敏感数据的加密

对诸如登陆密码等敏感数据采用明文的方式存储, 攻击者可能会通过内部攻击获取到这些数据, 采用安全的加密算法加密敏感数据总是正确的, 以防止攻击者通过各种攻击方式获取到关键数据源。

● 使用硬编码的证书

硬编码证书通常会产生一个显著的漏洞, 该漏洞允许攻击者绕过软件管理员配置的认证。该漏洞对系统管理员来说难以检测。即使检测到了也难以修复, 这样一来, 系统管理员不得不被迫停止产品的使用。

● 使用不正确的长度值访问缓冲区

这类漏洞是相当不安全的, 因为使用错误的数据访问缓冲区容易造成严重的后果, 如缓冲区溢出攻击, 对缓冲区的使用一定要谨慎小心, 在编写程序时, 你需要考虑到内存管理以及堆栈的问题, 使用过长的值访问缓冲区, 造成越界的错误可能引发意想不到的后果。

● PHP文件包含漏洞

文件包含漏洞即当程序员在包含文件的过程中引入了外部提交的数据参与包含的过程所产生的漏洞, 这个漏洞是目前Web攻击中最利用率最高的一个漏洞, 攻击者可以轻松获取服务器的访问权限 (即拿到webshell) 。而文件包含通常又有本地文件包含 (Local File Inclusion) 和远程文件包含 (Remote File Inclusion) 之分。allow_url_fopen和allow_url_include是决定包含属于本地文件包含 (LFI) 还是远程文件包含 (RFI) 的条件, 在PHP4 中则只有一个allow_url_fopen选择。其中allow_url_fopen和allow_url_include为0n的情况为远程文件包含漏洞, 相反为本地文件包含漏洞。

● 对数组索引检查不当

对数组的索引检查不当, 访问了超出数组长度的索引, 引发未知的错误, 在编写程序时, 没有对索引变量进行检查, 误以为访问数组没有越界, 在程序运行时产生错误的结果, 抛出意外的异常, 甚至产生破坏。同样攻击者可以利用这点构造缓冲区溢出的攻击。

● 对非正常或异常的条件检测不当

程序员可能会认为某些事件或者条件永远不会出现, 所以不需要担心这类情况发生, 比如内存不足, 由于权限限制缺少对资源的访问, 或者行为不端的客户端或组建等情况。然而, 攻击者可能会试图触发这些不寻常的条件, 从而破坏程序程序员原有的设想并引起异常, 错误的行为或者对程序产生破坏。

● 通过错误消息透露信息

敏感信息可能是对自己有价值的信息 (如密码) , 或者可以利用它发起更致命的攻击。如果攻击失败, 攻击者可以使用服务器提供的的错误信息发起集中攻击。例如, 试图利用一个路径遍历的弱点 (cwe-22) 可能产生应用程序的安装全路径。反过来, 这可以用来选择“..”序列定位到目标文件的适当数量。使用SQL注入攻击 (cwe-89) 可能最初不能成功, 但显示畸形查询的一个错误消息, 并将在查询中使用的查询逻辑甚至密码或其他敏感信息暴露出来。

● 整型溢出和环绕

整型溢出顾名思义, 就是由用户提交的整型数据超出程序内部对整型数的安全要求, 造成违反原来的程序限制, 导致其他类型的溢出。一般来说, 整型溢出并不能直接导致改变程序流程, 它是由整型溢出造成字符串类型的溢出, 从而导致覆盖系统数据结构, 改变程序流程。值得注意的就是程序内部对整型数的安全数据范围要求, 而不是仅仅字符串数据范围的要求, 这是整型溢出的根本原因。

● 对缓冲区大小计算错误

对缓冲区的大小计算错误, 产生潜在的漏洞风险, 开发者在设计程序时没有考虑到要分配缓冲区的合理大小, 分配了一个不恰当或者较小的内存空间, 在面对精心构造的数据时, 可能会产生缓冲区溢出, 淹没原有的数据。攻击者可以利用该漏洞构造缓冲区溢出攻击。

● 缺少对重要功能的授权

对于一些重要的功能, 如管理用户日志, 管理备份数据等系统功能, 没有设置权限检测, 导致一些重要功能被除管理员以及更高级别的用户访问外, 能被攻击者以某些方式访问甚至恶意修改, 恶意删除。对于系统重要功能, 需要授权访问, 保证关键数据不会被泄露和恶意篡改。时刻保持对敏感数据访问源的可信度进行授权检查, 以确保系统重要功能的使用安全。

● 下载代码却不做完整性检查

攻击者可以通过影响主机服务器执行恶意代码, 如DNS欺骗, 或者在传输中修改代码。对于手机应用的代码最为普遍, 尽管在任何管理自己的更新的软件中都可能存在。攻击者可以通过修改下载源的代码, 使得用户下载并执行了被精心修改过的代码, 从而产生严重后果。

● 对重要的资源赋值不当

当资源被授权获得更大的被请求访问范围时, 可能会使得敏感数据暴露, 或者资源被意外的方式所修改, 当该资源和程序的配置以及用户的敏感数据相关联时, 这是非常危险的行为。

● 分配资源却不做限制和调节

在预定的安全策略中, 给相关请求分配资源不做限制和调节, 可能会导致资源抢占, 资源耗尽, 或者死锁的情况产生。攻击者可以通过对某一重要资源的请求使得该资源被过度使用, 从而使得系统瘫痪。而对于内建资源管理的程序, 此类问题可以有效避免。

● 重定向到不受信任站点的URL (开放重定向)

一个http参数可能含有URL值并且可能造成Web程序重定向到这个特殊的URL参数请求。通过修改URL的值到一个恶意站点, 攻击者可以成功的启用挂马窃取用户的机密信息。而因为修改后的服务器名和原战点链接相同, 使得这种钓鱼网站有更高的可信度, 从而产生更大的危害。

● 使用被破解或者有风险的加密算法

使用不标准的加密算法或者有风险的加密算法对数据加密, 攻击者可以通过字典构造或者其他相对的破解算法对加密数据进行破解, 诸如一些被技术所攻破的算法不要使用, 对敏感数据的加密要使用更为安全和复杂的加密算法。

● 竞争条件

在安全关键代码中进行预期同步, 诸如对记录用户是否被授权认证或者修改重要的敏感信息不应爱由外部人员所影响。竞争条件发生在并行环境, 并有效地作为适当的代码序列属性。竞争条件违反这些属性:独一无二的代码序列进行资源共享, 即独占访问, 没有其他的代码序列可以在原始序列完成执行修改的共享资源的特性。竞争条件存在时, 一个“干扰码”仍然可以访问共享资源, 违反垄断。程序员可能会假定某些被干扰码序列影响的代码序列执行太快;当竞争条件不在的时候, 这违反了原子行为。例如, 单一的“X++”的声明可能会出现在原子代码层, 但它实际上是在非原子的指令层, 因为它涉及到一个读取 (原始值X) , 随后计算 (x+1) , 其次是写入 (保存结果到X) 。干扰码序列可以是“可信的”或“不可信的”。一个可信的干扰码序列发生在程序中且它不能被攻击者修改, 它只能间接地被使用。一个不受信任的干扰码序列可以直接编写攻击命令, 产生的通常是脆弱的程序。

2.2开放式Web应用程序安全OWASP

开放式Web应用程序安全项目 (OWASP, Open Web Application Security Project) 是一个非盈利组织, 不附属于任何企业或财团, 因此由OWASP提供和开发的所有设施和文件都不受商业因素的影响。它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。OWASP支持商业安全技术的合理使用, 它有一个论坛, 在论坛里信息技术专业人员可以发表和传授专业知识和技能。

OWASP目前全球有130 个分会近万名会员, 其主要目标是研议协助解决Web软体安全之标准、工具与技术文件, 长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广, 网页应用安全已经逐渐的受到重视, 并渐渐成为在安全领域的一个热门话题, 在此同时, 黑客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。

2013 年版的OWASP Top 10 文档所基于的8 个数据组由7 家专业的应用安全公司提供, 其中包括:4家咨询公司, 3 家产品OR Saa S提供商 (其中, 1 家提供静态工具, 1 家提供动态工具, 1 家两者都提供) 。数据涵盖了来自上百家组织上千个应用, 超过500, 000 个漏洞。Top 10 根据所有这些相关数据挑选和排序, 并与可利用性、可检测性和影响程度的一致评估相结合。OWASP Top10 的首要目的是培训开发人员、设计人员、架构师、经理和企业组织, 让他们认识到最严重的web应用程序安全漏洞所产生的后果。Top 10 提供了防止这些高风险问题的基本方法, 并提供了获得这些方法的来源。

● 注入

注入攻击漏洞, 例如SQL, OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分, 被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器, 以执行计划外的命令或者在未被恰当授权时访问数据。

任何能够向系统发送不信任数据的人都是潜在的攻击者, 包括外部用户, 内部用户和管理员。攻击者利用有针对性的解释器语法发送简单的、基于文本的攻击。几乎任何数据源都能成为注入载体, 包括内部来源。注入漏洞发生在应用程序将不可信的数据发送到解释器时。注入漏洞十分普遍, 尤其是在遗留代码中。通常能在SQL查询语句、LDAP查询语句、Xpath查询语句、OS命令、XML解析器、SMTP头、程序参数等中找到。注入漏洞很容易通过审查代码发现, 但是却不容易在测试中发现。扫描器和模糊测试工具可以帮助攻击者找到这些漏洞。注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚至能导致完全主机接管。所有的数据都有可能被偷窃, 篡改和删除。

● 失效的身份认证和会话管理

与身份认证和会话管理相关的应用程序功能往往得不到正确的实现, 这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。

任何匿名的外部攻击者和拥有账号的用户都可能试图盗取其他用户账号。同样也会有内部人员为了掩饰他们的行为而这么做。攻击者使用认证或会话管理功能中的泄露或漏洞 (比如暴露的帐户、密码、或会话ID) 来假冒用户。开发者通常会建立自定义的认证和会话管理方案。但要正确实现这些方案却很难, 结果这些自定义的方案往往在如下方面存在漏洞:退出、密码管理、超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同, 要找出这些漏洞有时会很困难。这些漏洞可能导致部分甚至全部帐户遭受攻击。一旦成功, 攻击者能执行受害用户的任何操作。因此特权帐户是常见的攻击对象。需要考虑受影响的数据及应用程序功能的商业价值。还应该考虑漏洞公开后对业务的不利影响。

● 跨站脚本

当应用程序收到含有不可信的数据, 在没有进行适当的验证和转义的情况下, 就将它发送给一个网页浏览器, 这就会产生跨站脚本攻击 (简称XSS) 。XSS允许攻击者在受害者的浏览器上执行脚本, 从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

任何能够发送不可信数据到系统的人, 包括外部用户、内部用户和管理员。攻击者利用浏览器中的解释器发送基于文本的攻击脚本。几乎所有数据源都能成为攻击媒介, 包括内部数据源比如数据库中的数据。XSS是最普遍的web应用安全漏洞。当应用程序发送给浏览器的页面中包含用户提供的数据, 而这些数据没有经过适当的验证或转义 (escape) , 就会导致跨站脚本漏洞。有三种已知的跨站漏洞类型:1) 存储式;2) 反射式;3) 基于DOM的XSS。大部分跨站脚本漏洞通过测试或代码分析很容易找到。攻击者能在受害者的浏览器中执行脚本以劫持用户会话、破坏网站、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器等等。考虑受影响的系统及该系统处理的所有数据的商业价值。还应该考虑漏洞公开后对业务的不利影响。

● 不安全的直接对象引用

当开发人员暴露一个对内部实现对象的引用时, 例如, 一个文件、目录或者数据库密匙, 就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时, 攻击者会操控这些引用去访问未授权数据。

考虑系统的用户类型。对于某些系统数据类型, 是否有的用户只具有部分访问权限。作为授权的系统用户, 攻击者只需要修改指向一个系统对象的直接引用参数值, 让其指向另一个无权访问的对象, 系统是否会允许这样的访问。当生成web页面时, 应用程序经常使用对象的实名或关键字。而应用程序并不会每次都验证用户是否有权访问该目标对象, 这就导致了不安全的直接对象引用漏洞。测试者能轻易操作参数值以检测该漏洞。代码分析能很快显示应用程序是否进行了适当的权限验证。这种漏洞能破坏通过该参数引用的所有数据。除非对象引用是不可预知的, 否则攻击者很容易访问该类型的所有数据。考虑暴露的数据的商业价值。还应该考虑漏洞公开后对业务的不利影响。

● 安全配置错误

好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的, 因此, 必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新, 包括所有应用程序的库文件。

考虑外部的匿名攻击者和拥有自己帐户的内部用户都可能会试图破坏系统的。另外考虑想要掩饰他们的攻击行为的内部攻击者。攻击者访问默认帐户、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录等, 以获得对系统未授权的访问或了解。安全配置错误可以发生在一个应用程序堆栈的任何层面, 包括平台、Web服务器、应用服务器、数据库、框架和自定义代码。开发人员和系统管理员需共同努力, 以确保整个堆栈的正确配置。自动扫描器可用于检测未安装的补丁、错误的配置、默认帐户的使用、不必要的服务等。这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时, 这些漏洞导致系统的完全攻破。系统可能在你未知的情况下被完全攻破。你的数据可能会随着时间推移被全部盗走或者篡改。恢复的花费可能会很昂贵。

● 敏感信息泄露

许多Web应用程序没有正确保护敏感数据, 如信用卡, 税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取, 或其他犯罪。敏感数据值需额外的保护, 比如在存放或在传输过程中的加密, 以及在与浏览器交换时进行特殊的预防措施。

考虑谁可以访问您的敏感数据和这些数据的备份。这包括静态数据、传输中的数据甚至是客户浏览器中的数据。攻击者通常不直接攻击加密系统。他们往往通过诸如窃取密钥、发起中间人攻击或从服务器窃取明文数据等方式对传输中的或者客户浏览器中的数据进行破解。在这个领域最常见的漏洞是应该加密的数据不进行加密。在使用加密的情况下, 常见的问题是不安全的密钥生成和管理和使用弱算法是很普遍的, 特别是使用弱的哈希算法来保护密码。浏览器的漏洞也很普遍, 且可以很轻易的检测到, 但是很难大规模的利用。外部攻击者因访问的局限性很难探测这种漏洞, 并且难以利用。这个领域的错误频繁影响那些本应该加密的数据。这些信息通常包括很多敏感数据, 比如医疗记录, 认证凭证, 个人隐私数据, 信用卡信息, 等等。考虑丢失数据和声誉影响造成的商业损失。如果这些数据被泄露, 那你要承担的法律责任是什么, 另外考虑到对企业造成的声誉影响。

● 功能级访问控制缺失

大多数Web应用程序在功能在UI中可见以前, 验证功能级别的访问权限。但是, 应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证, 攻击者能够伪造请求以在未经适当授权时访问功能。

任何人具有网络访问权限的人都可以向你的应用程序发送一个请求。匿名用户可以访问私人网页吗, 又或者普通用户可以访问享有特权的网页吗。攻击者是被授权的系统用户, 很容易就把网址更改成享有特权的网页, 这样的访问会被允许吗。匿名用户可以访问未受保护的私人网页。应用程序并不总是能正确地保护页面请求。有时功能级的防护是通过配置来管理的, 而系统的配置是错误的。开发人员必须要做相应的代码检查, 然而, 有时他们忘记了。检测这些漏洞是很容易的。最难的是确定应用程序存在哪些可被攻击的网页或者链接 (URL) 。这种漏洞允许攻击者访问未经授权的功能。管理性的功能是这类攻击的主要目标。考虑被暴露的功能及其处理的数据的商业价值。另外考虑如果这样的弱点被公布于众而对你造成的名誉影响。

● 跨站请求伪造

一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求, 包括该用户的会话cookie和其他认证信息, 发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求, 而这些请求会被应用程序认为是用户的合法请求。

考虑可能将内容载入你用户的浏览器并迫使他们向你的网站提交请求的任何人。你的用户所访问的任何网站或者HTML源 (feed) 都可以这样做。攻击者创建伪造HTTP请求并通过图片标签、跨站脚本或许多其他技术诱使受害用户提交这些请求。如果该受害用户已经经过身份认证, 那么攻击就能成功。CSRF是利用某些web应用程序允许攻击者预测一个特定操作的所有细节这一特点。由于浏览器自动发送会话cookie等认证凭证, 攻击者能创建恶意web页面产生伪造请求。这些伪造请求很难与合法请求区分开。跨站请求伪造漏洞可以很容易通过渗透测试或代码分析检测到。攻击者能欺骗受害用户完成该受害者所允许的任意状态改变的操作, 比如:更新帐号细节, 完成购物, 注销甚至登录等操作。考虑受影响的数据和应用功能的商业价值。试想如果并不知道这些操作是否是用户的真正意愿会产生什么后果, 同时考虑带来的声誉影响。

● 使用含有已知漏洞的组件

组件, 比如:库文件、框架和其它软件模块, 几乎总是以全部的权限运行。如果一个带有漏洞的组件被利用, 这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统, 并使一系列可能的攻击和影响成为可能。

一些含有漏洞的组件 (如:框架库) 可以被自动化工具发现和利用。这使得威胁代理部分引入了“混乱”的角色, 而不仅仅是攻击者了。攻击者通过扫描或手动分析识别问题组件, 然后根据需要定制攻击代码并实施攻击。在应用中使用组件越深入, 实施攻击的难度越大。事实上, 大多数的应用都存在这些问题。因为大多数的开发团队并不会把及时更新组件/库作为他们的工作重心。在很多情况下, 开发者都不了解他们所使用的全部组件, 更不用说组件的版本了。组件的依赖性使情况更加糟糕。可能是由低到高全系列的漏洞, 包括注入, 破损的访问控制, XSS等。受影响范围也从最低的受损到主机被完全接管和数据的泄漏。考虑一下受影响的应用中, 每个脆弱点对业务控制来说意味着什么。可能是非常细微的影响, 也有可能意味着被完全攻破。

● 未验证的重定向和转发

Web应用程序经常将用户重定向和转发到其他网页和网站, 并且利用不可信的数据去判定目的页面。如果没有得到适当验证, 攻击者可以重定向受害用户到钓鱼软件或恶意网站, 或者使用转发去访问未授权的页面。

考虑所有能诱使用户向网站递交请求的人。用户使用的任何网站或其他HTML源 (feed) 都可以这样做。攻击者链接到未验证的重定向并诱使受害者去点击。由于是链接到有效的网站, 受害者很有可能去点击。攻击者利用不安全的转发绕过安全检测。应用程序经常将用户重定向到其他网页, 或以类似的方式进行内部转发。有时, 目标网页是通过一个未经验证的参数来指定的, 这就允许攻击者选择目标页面。检测未经验证的重定向很容易, 只需寻找那些允许你指定整个URL的重定向。但检测未经验证的转发困难些, 因为它们的目标是内部网页。这种重定向可能试图安装恶意软件或者诱使受害者泄露密码或其他敏感信息。不安全的转发可能允许绕过访问控制。

3 软件代码安全漏洞取证方法

近年来, 国外的研究热点集中在对漏洞取证的建模、针对已知漏洞的安全编程技术、针对安全漏洞的路径敏感分析、应用数据流分析到漏洞检测的研究中和漏洞特征的快速匹配等。除了科研机构, 国外的黑客在这方面也做了大量的工作。国外顶级的黑客会议, 如Black Hat大会、Defcon大会, 在会上有很多与安全相关的议题, 都是当前安全研究的热点。著名的Phrack黑客杂志也是专注于安全技术的有名刊物。Bugtraq邮件组和CVE都致力于收集软件的脆弱点。Security Focus的Bugtraq邮件组是很多安全研究人员首选的讨论区, CVE则是专家们所选择的分类方式讨论区。

相对来说国内起步较晚, 但同样取得不错的成绩。在国内, 网络安全焦点 (xfocus) 、绿盟科技、启明星辰和CCERT (中国教育和科研计算机网紧急响应组) 等是国内安全研究机构的代表, 并且维护了自己的漏洞数据库。xcon大会被誉为国内最顶级的探讨安全问题的大会。在2013 年的xcon大会上就有关于软件安全漏洞的议题, 比如夏超的二进制环境下的缓冲区溢出漏洞动态取证技术。2015 年的xcon会议上也出现了关于软件安全的探讨。

目前软件安全漏洞的检测技术包括静态分析检测技术和动态检测技术。静态检测技术是利用二进制比对技术、词法分析、形式化验证技术或者手工测试技术, 对被测程序的源程序或二进制代码进行扫描, 然后从语法、语义上理解程序的行为, 并分析程序的特征, 找出可能导致程序异常的漏洞。这类技术具有简单高效自动化的优势, 但只是对代码本身的特征进行检查, 不能很好检测出漏洞间复杂的逻辑关联, 并且存在大量的误报和漏报;动态检测技术是通过自动化生成测试数据, 以仿真攻击应用程序来判断是否存在漏洞, 主要手段是利用各种输入对程序进行探测, 并分析程序运行环境等。这类技术效率不如静态分析检测技术, 但它能准确的定位漏洞。本文详细综述了常见的源代码安全漏洞取证方法。

3.1 非执行栈技术

基于栈进行攻击的事件最近几年经常发生, 原因就是很多操作系统的栈是可以写与执行的, 而且内部变量尤其是数组变量都保存在栈中, 攻击者向栈中注入恶意代码, 然后想方设法来执行这段代码。栈攻击技术的文档也比较全面, 这从某种程度上加速了基于栈的攻击。一个最直接的防范栈攻击的方法就是使得栈不能执行代码。这样即使攻击者在栈中写入了恶意代码, 这个恶意代码也不会被执行, 在一定程度上防住了一些攻击者。只是这个方法需要在操作系统层进行修改, 同时, 不可执行栈的技术涉及到的一个大问题就是性能问题。此外, 在既有栈溢出漏洞又有堆溢出漏洞的程序中, 易出问题。可以利用栈溢出使程序跳转至攻击代码, 该代码是被放置在堆上。没有实际执行栈中的代码, 而是执行了堆中的代码。该技术所付出的代价就是对操作系统内核引入一个微小的改变:把栈页标记为不可执行。

该技术的检测不够全面, 它仅能检测并阻止摧毁栈攻击。一个攻击者可以通过把恶意代码注入到数据段来绕过该技术的检测, 他只需要把栈中返回地址覆盖掉, 使得这个返回地址指向数据段中的恶意代码就可以了。该技术可能会造成小量的兼容性问题, 因为有个别的应用程序就是依靠栈执行来正确运行的。该技术对性能的消耗可以被忽略, 有报告称这项技术仅仅在上下文切换时增加了2到3个CPU的指令周期。

3.2非执行堆与数据技术

由于堆是程序运行时动态分配内存的区域, 而数据段则是程序编译时就初始化好了的。很长时期以来, 由于担心非执行的堆与数据段会破坏软件的正常运行, 所以该方法进展缓慢, 最近几年才有些进展和文章。如果堆和数据段都不能执行代码, 攻击者注入其中的恶意代码将不能被执行。这项技术和前面的非执行栈技术结合能起到更全面的作用, 使得恶意代码彻底失去执行机会。使用该技术所付出的代价要比非执行栈技术大一些, 因为它对内核的修改要多一些。现在已经有了大量的实例可以使用, 这个技术还是可以接受的。

从全面性上来看, 该技术对于几乎所有的利用把恶意代码注入进程内存中的攻击都可以检测并阻止。但是, 对于恶意修改函数指针和函数参数的攻击没有办法检测和防范。该技术改变了传统程序在堆或数据段中动态生成代码的方式, 会造成很多应用程序的不兼容性。另外, 使用这个技术来检测并排除漏洞对很多的应用不会产生太大影响, 性能上的消耗也可以忽略。

3.3 内存映射技术

有些攻击者通过使用NULL结尾的字符串来覆盖内存, 以达到攻击的目的。通过使用映射代码页方法, 将使得攻击者很难通过NULL结尾的字符串来跳转到较低的内存区, 而且这些代码本身又可能含有NULL字符。再者, 把代码页随机地映射到不同的内存地址, 在某种程度上防止了那些靠猜地址来进行攻击的攻击方法。比如对于缓冲区溢出的漏洞, 攻击者就是要寻找目标进程在内存中的某些地址, 然后构造自己的数据来覆盖这些地址。这些地址在很多操作系统上都是有规律可以计算出的。如果使用内存映射技术, 把代码页映射到随机的地址, 将给攻击者增加很大的困难, 不做大量的尝试是不可能查出所需地址的。使用内存映射技术所付出的最大的代价就是要修改操作系统内核、使得操作系统可以把代码页映射到较低的内存空间。虽然这个技术不需要对代码进行修改, 但要重新链接, 因为二进制的地址在程序链接阶段就确定了。

内存映射技术可以检测并阻止基于内存中地址跳转的攻击。但它对于注入新代码并执行新代码的攻击不能检测和预防。除此之外, 因为低端内存是有大小限制的, 想把所有的代码页都映射到低端内存在有些应用中是不可行的。内存映射技术仅仅对那些依靠固定地址或使用高端地址的应用程序有影响。而这样的应用程序并不多。内存映射技术对性能的消耗也可以忽略, 它仅仅是在程序装载的过程中工作, 运行起来之后对程序没有任何影响。

3.4 安全共享库技术

很多软件的安全漏洞来源于使用了不安全的共享库, 尤其是C&C++, 当中有很多的函数都不够“安全”, 比如:strcpy、strcat、gets等等。这些函数使用不好就会带来灾难性的后果。用安全共享库技术, 能在一定程度上阻止攻击者的攻击。安全共享库技术就是依靠动态链接技术, 能在程序运行期间拦截对不安全的函数的调用, 并对函数参数等进行检测, 这在Windows和UNIX上都被广泛应用。特别的是, 这个技术能对当前内存大小的上限给出一个评估值, 这在一定程度上阻止了把数据写到评估边界的外面。安全共享库技术从技术的角度很容易开发和配置, 而且不需要对已有的应用程序作任何的修改和再编译。从理论上讲, 安全共享库技术可以检测并防止所有的基于标准库函数的攻击。但是它不能保护本地变量的安全, 而且它也不能防止数据段和代码段数据的溢出攻击。安全共享库技术对于非标准的库函数无能为力。安全共享库技术不会造成任何兼容性问题, 在标准库下运行正常的程序在安全共享库技术下面也同样运行良好。安全共享库技术对于那些和安全没有关系的标准库中函数不做任何处理。性能瓶颈主要在这些有安全弱点的函数上。这样可以大幅度提高程序的性能。如果所有的库中的函数都被拦截并检查, 性能上的消耗将提高15%。现在安全共享库的研究项目中的某些特性已经整合到某些标准库中了, 如glibc。使用glibc库的应用程序能提供隐式的安全性。

3.5 沙箱技术

通过限制一个进程所访问的资源来预防某些攻击行为[7]。例如:在C语言中有execv、system等系统调用函数, 一个软件可能根本不会存在这些系统调用, 如果发现某一大该运行软件有了这些系统调用, 可能就是被攻击了。在攻击之前如果能使用沙箱技术限制住对这些资源的访问, 则攻击就不会得逞。沙箱技术不需要对操作系统内核和应用程序作任何改变。然而, 要给每一个需要安全检测的应用程序定义一个资源访问策略。对于一个复杂的应用程序而言, 定义这样的一个策略将是很麻烦的工作。

沙箱技术检测的全面性主要看定义的策略的全面性。一个严格定义的策略可以更好的保护程序不受攻击。但该技术对于通过改写关键的木地变量 (例如用户的身份ID等) 而修改程序逻辑流程的攻击束手无策。沙箱技术依赖于安全策略。它不会带来兼容性方面的问题。但是一个过于严格的策略可能会限制应用程序的合法行为, 最终导致程序不能使用。而且对系统调用函数的审查可能会带来竞争条件问题的出现。

沙箱技术的主要性能消耗是在每个系统函数调用的检测开关上和查询策略表上。这个性能消耗在系统函数调用不频繁的应用程序中并不明显。沙箱技术目前主要集中于系统调用方面。在不知道一个应用程序逻辑的情况下限制它的行为是很困难的, 而且可以通过不在策略中的函数而绕过检测。

3.6 程序解释技术

在程序运行之后来监视其行为并且强制进行安全检查是最显而易见的好方法, 这就需要解释程序的执行。但程序解释技术方法, 通常会消耗大量性能。最近也有很多的动态优化技术来弥补这个缺陷。程序监视器是使用这种方法的一个较好的例子。它使得进行额外的安全检测却不牺牲太多的性能成为可能。

程序解释技术不需要对操作系统内核和应用程序代码作任何改变, 应用程序只要重新链接产生一个新的起动代码就可以了, 然后有这个起动代码来调用动态优化的程序解释框架。有了严谨的安全策略, 几乎所有已知的改变程序控制流程或修改危险函数的参数的攻击都可以被检测到并防范住。但是, 通过对关键变量 (如身份ID) 的修改、覆盖来改变程序逻辑流程的攻击没有好的办法防范, 除非对每一个读写指令都进行解释, 而这样又会带来不能接受的性能上的消耗。使用程序解释技术的又一个优点是它能对动态生成的代码执行安全检测, 例如JIT代码。

3.7 二进制文件分析技术

针对非开源的软件程序, 通过自动审核工具对程序的二进制文件进行自动分析。其中应用最广泛的工具便是IDA反汇编工具, 该工具是专用的二进制文件分析工具, 它可以通过目标程序反汇编得到汇编代码, 然后对汇编代码进行扫描, 从而去识别可能存在的安全漏洞缺陷[8]。IDA之所以被广泛应用, 其中一个很重要的因素就是该工具可以识别程序的关键结构, 它可以自动识别高级语言的关键结构, 如new和delete操作符、函数的返回值、局部堆栈变量、文本与字符串、IF-THEN-ELSE条件语句等, 从而进一步对目标程序进行分析。但是IDA反汇编工具采用的反汇编技术需要大量的人工分析, 且具有很强的复杂性, 因此其自动化程度也不会高。

二进制文件分析技术通过分析软件反汇编后的汇编代码, 来发现软件中存在的安全漏洞。汇编代码不利于人的理解, 这是不争的事实, 但是, 针对不公开源代码的软件进行漏洞的分析, 只能以汇编代码为源代码。对汇编代码的理解深度就决定了软件安全漏洞取证工作的深度。静态分析技术的优点是, 由于是从机器的角度去理解安全漏洞的机理, 理解更深刻、更到位, 对细节的把握也更加透彻。缺点在于软件反汇编后的汇编代码量巨大、结构复杂, 即使是一个小型的应用程序产生的汇编代码其复杂性也不可小觑, 对漏洞发生现场不易进行准确的定位。同时, 由于汇编代码与机器码基本一一对应, 晦涩难懂, 对研究人员的技术能力和技术积累要求较高。

4 软件漏洞取证技术对比分析

通过对现有常见的源代码漏洞取证方法的详细描述, 经过深入分析可得到这些方法各自存在的优点和缺点, 本文归纳结果如下表2 所示:

可以看到, 虽然现有的源代码漏洞取证方法有较多的优点, 但是也普遍存在着不能覆盖全部安全漏洞、扩展性较差、效率较低等多种缺点。为了克服这些已有漏洞取证方法存在的缺点, 能够使得源代码漏洞取证更加准确、全面、高效、灵活地进行, 研究基于大数据分析的软件代码漏洞取证技术是必要且迫切的工作。

5 结论

本文综述了软件漏洞的概念和特点, 同时归纳和分析了当前主流的代码漏洞分类标准, 在此基础上叙述了代码漏洞分析方法的技术原理和国内外的研究现状, 并分析了常见的漏洞取证方法的优缺点。

摘要：软件漏洞是当今信息系统最主要的安全漏洞来源。本文综述了软件漏洞的概念和特点, 同时归纳和分析了当前主流的代码漏洞分类标准, 在此基础上叙述了代码漏洞分析方法的技术原理和国内外的研究现状, 并分析了常见的漏洞取证方法的优缺点。

关键词：软件漏洞,电子取证,信息安全

参考文献

[1]夏杰.协同电子取证模型研究与设计[J].西北工业大学学报, 2013, 57 (5) :742-745.

[2]孙国梓, 耿伟明, 陈丹伟, 申涛.基于可信概率的电子数据取证有效性模型[J].计算机学报, 2011, 33 (7) :1262-1274.

[3]王加松.VMware虚拟机技术在电子数据取证中的应用[J].软件, 2013, 34 (12) :200.

[4]金元海, 王西雁.计算机网络信息安全防范方法研究[J].软件, 2014, 35 (1) :89-91.

手机电子取证的大数据应用 篇8

关键词：电子取证,数据关联分析,智能手机大数据应用

一、大数据时代

手机数据,尤其是智能手机数据伴随着智能手机软硬件的高速发展,目前每月智能手机但从移动运营商产生的上网流量数据量也已经平均达到1Gb,爱立信移动报告了解到,等到2021年,智能手机普通用户每个月将用掉8.9 GB的数据。智能手机数据本身,还将包括机身存储,云端备份,电脑备份等,如何应对这些数据,来更好的完成数据关联分析,相信大数据应用技术可以给我们指明方向。[1]

二、大数据应用

(一)手机号码联系人数据分析

作为传统手机数据分析,以往最为关心的就是嫌疑人手机中的手机号码联系人碰撞分析模型。即将所有相关手机中的通讯录、通话记录、短信息进行存储,以电话号码为核心数据进行分析,这种分析的模型单一,数据量小,碰撞结果有限。只能给出有或无的单一指向性数据结果,作用有限.

(二)手机相关关系型数据分析

目前手机数据分析的最主要诉求,集中在时空刻画,也就是是与时间,位置相关的数据关联分析。在手机数据中与位置相关的数据关联性被更多的关注与使用,下面将针对4种主要位置相关数据的分析手段总结如下:

1. 通话基站数据。

利用手机通话、上网时使用的运营商基站进行地理位置映射的数据分析模型。根据手机运营商基站的密度不同,定位的精度也从城市中的几百米到乡村的几公里。

2. wifi ap数据。

利用手机中wifi联接数据,根据wifi公共ap定位位置信息,目前公共wifi ap的相关数据库已经在陆续投入使用中,个人ap的位置数据则可以根据mac唯一性进行反向印证。

3. 照片GPS数据。

随着手机中GPS数据的不断丰富,照片图片文件的Exif数据中有可能存储当前照片拍摄地的准确GPS数据,可以作为位置数据直接使用。

4. app定位数据。

随着智能手机app的不断丰富,如下类别的APP数据中都有可能涉及到城市,乡村,区域等的大范围位置相关信息:

(1)点评类:当前位置LBS应用,附近商业信息等。

(2)地图导航:当前位置,导航记录。

(3)运动记录:路书、轨迹、城市信息。

(4)天气类:当前城市,周边信息。

(5)旅游类:当前城市,目的地信息,订单(交通工具、住宿)。

(6)交友类:当前城市,附近数据。

(7)上网类:当前城市。

(8)可穿戴设备APP:当前位置,轨迹。

(9)拼车类:当前位置,订单数据,轨迹等。

当前的大数据分析,除了个人的轨迹分析模型以外,还可以利用分析结果数据再次进行关联分析,通行分析,碰面分析等都是在这个基础上建立起来的,也是当前大数据应用的一个重要方面[2]。

同时,基于沟通的数据分析模型也已经从电话号码为核心数据进化为个人app虚拟身份即ID为核心数据的分析模型,将嫌疑人的所有虚拟身份,即众多沟通app中的虚拟身份进行和并后统一分析,对所有沟通形式进行量化,进行亲密程度,组织结构,上下级等等多种分析上来。

(三)手机内容自识别大数据分析

在智能手机的快速发展浪潮的背景下,智能手机存储的快速增长,个人数据量的规模也随之快速增长起来,如何将这些非关系型数据进行分类,汇总,查询,关联,也就是真正意义上的大数据分析,作为手机案件中数据挖掘的重要课题已经出现在我们的面前。

下面单纯以沟通类个人APP数据为例,尝试分析建模如下:

1. 语音:基于语音识别引擎,快速将语音文件转换为语义后归档分析。

2. 视频:基于视频识别技术,将可能的位置信息,内容梗概进行自动分析。

3. 图片:基于图像识别,面部识别,分析人物,位置,时间,内容等等关键信息。

4. 文件:基于语义汇总归类,对文件内容概要,关键词过滤,词频统计等进行文件分类汇总。

5. 文字:基于沟通文字,对内容直接进行关联分析。

三、总结

综上所述,在手机取证行业中,我们以往和现在的大数据应用,还仅仅是在手机数据中的关系型数据为基础上,进行的分析建模,关联分析,是原有大数据行业中,商业智能类型分析的一种延伸。

同时,可以看到伴随智能手机的发展,个人数据的快速膨胀,智能手机APP数据种类与类型还在伴随APP的数量快速增长过程中。可以预见的将来,就会有“海量”的数据涌入,应对此种情况,只有利用大数据的非关系型数据识别分类技术来进行自动化、半自动化的海量数据清洗解析与挖掘。为后期的数据关联分析建立良好的基础。

参考文献

[1]孟小峰,慈祥.大数据管理:概念、技术与挑战[J].计算机研究与发展,2013,50(1).