网络取证(精选10篇)
网络取证 篇1
0 引言
电子证据是计算机取证技术的核心,计算机取证的过程主要就是围绕电子证据的保护、获取、传输和存储工作开展的。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。另外,根据计算机犯罪年度报告显示,病毒和内部职员成为计算机安全的最大威胁。并且内部职员的威胁正在持续扩大,其危害程度也在不断加强。内部职员是内部网络的合法使用者,不同的内部职员拥有不同的权限,很难管理,防火墙对内部职员没有作用,入侵检测也经常发现不了问题。有些计算机犯罪活动并不需要很高的权限[1,2]。
鉴于事后取证的缺陷以及内部职员的安全威胁,在可能发生网络安全事故或者需要高安全保护的环境进行监控将是十分必要的。动态取证是计算机取证技术的一个发展趋势。在这一背景下,本文设计了一个网络动态取证系统,该系统的基本思路是:确定可能发生网络安全事故或者需要高安全保护的环境(主机或网络);为计算机现场环境建模,即为现场活动的主体(用户、操作系统、设备)设置监控Agent,进行实时监控,最大限度获取真实地、完整地数据,并建立系统事件日志数据库,把现场获取的数据发送到远程安全数据服务器加以妥善保存。在计算机犯罪案件发生后,取证调查人员可以通过记录在数据库中系统事件数据对犯罪现场模拟重现,进行取证分析工作,提交分析结果,保证计算机犯罪案件诉讼过程顺利进行。
1 系统的设计目标与功能分析
系统的设计目标是实现一个网络取证系统,该系统能够自动、动态收集网络和主机的证据,并对能够证据进行保护、存储、分析。具体来讲,系统的目标包括:动态监控主机活动,获取事件数据并加以保护,存储到远程服务器;动态监控网络数据,保存网络数据包数据;提供一个管理平台来配置和管理系统的取证和监控过程提供一个分析平台来辅助分析获取的证据,提供分析报告[3]。
出系统的设计目标可以直接导出系统主要功能包括四个方面,即主机取证,网络取证,取证中心管理,取证分析。鉴于这四个方面在功能上相对独立而在网络物理环境下处在不同的位置,因此每一个方面可以设计成一个独立的子系统。各个子系统具体功能说明如下:
1.1 主机取证子系统
主机取证子系统主要功能:实时监控被取证主机的行为,记录用户、系统,应用程序的重要状态和行为。系统启动时,具有向取证管理子系统登记注册的职责。在运行过程中接受取证管理予系统的控制,包括锁定,重启,关闭,更新等操作。
目前系统已经确定的事件监控类别有如下十二种[4]:1)监控CPU和Memory的使用状态;2)监控操作系统R志文件,包括系统日志、安全审计日志、应用程序日志;3)监控系统的注册表使用情况,包括注册表的创建、打开、修改,删除操作,可以根据需要进行过滤;4)监控文件系统的详细使用情况,包括文件及目录的创建、打开、修改、删除操作,也包括文件及目录属性的修改;5)监控文件系统的一般使用情况,包括文件创建,修改,删除,但不能确定是哪个进程操作该文件;6)监控系统的端口使用情况,包括TCP和u DP端口;7)监控系统进程的创建与销毁;8)监控用户的键盘使用记录:9)监控用户的登陆和退出时间;10)监控用户的打开和关闭的窗口;11)监控用户的命令记录;12)监控用户的www访问同志。
1.2 网络取证子系统
网络取证子系统的主要功能:完整地、真实记录网络中数据包,对每个数据包按协议栈进行解析,目前系统能够对Ethernet,IP,ARP,RARP,ICMP,IGMP,Tc P,UDP以及部分应用层协议的解析。能够按定义过滤规则,实现对数据包的底层过取证管理子系统的控制,包括锁定,重启,关闭,更新等操作。
1.3 取证管理子系统
取证管理子系统主要配置系统信息,管理和控制其他子系统来完成取证任务。具体包括如下功能:1)管理取证Agent及系统监控事件列表,包括加入,删除豁控操作;2)管理系统管理员的添加,修改,删除操作;3)管理被取证主机的添加,修改,删除操作;4)实施对被取证主机的更新,关闭,重启,锁定操作,包括对被取证主机上取证Agent的信息更新;5)与网络取证Agent的配合,对过滤规则列表的添加,删除,修改管理;6)查询管理员登陆,主机登陆,系统目志记录;7)管理取证分析员的添加、修改和删除操作。
1.4 取证分析子系统
取证分析子系统在获取证据后,对证掘进行分析,最终提交分析结果。它的主要功能有:
1)提供丰富的查询和过滤功能,基于内容,关键字,过滤规则等;2)提供现场重现功能,能够对网络数据进行动态现场重现和对主机数据进行静态模拟;3)提供统计分析功能;4)提供数据挖掘功能,支持关联分析和序列分析;5)能够自动进行周期性审计,检测可疑数据,提供报告。
2 面向Agent的系统分析与设计
2.1 系统环境分析
本文系统的核心工作就是要实旎对计算机犯罪现场的连续监控,从现场获取有用数据,并安全存储到远程服务器。计算机现场环境可以描述为多个对象及其相互之间的交互行为。如下图3.1所示,原始的计算机现场环境模型可以描述为用户、操作系统、系统设备和应用程序等多个对象之间的交互场景。在计算机犯罪现场,用户通过操作系统来使用计算机资源,比如操作设备,运行特定的应用程序,与外界进行通讯和资源共享。用户在使用操作系统时,会以各种方式计算机发出请求处理的动作。操作系统在运行的过程,会做出响应用户、设备、应用请求的动作,同时为了保证系统的正常运行,操作系统本身也会做出一些例行工作。应用程序为了响应用户或者操作系统的控制、请求,也会执行一些动作。这些动作的发生,采用事件来表示。一个对象的活动日志记录,就是由事件发生的时间、地点和内容来表示。通过记录这些对象的事件来达到实现对计算机现场环境进行监控取证的目的。
Agent技术的一个重要应用场合就是用于在分布式网络环境下的信息收集和信息监控。本文的系统正是实现在分布式网络环境下的信息监控与收集,并且用Agent来分析和设计系统,能够使问题得到简化,因为这种方式的建模比面向对象的分析和设计更直接的反映现实世界的实体及其它们的关系,它不但抽象出实体的特性、动作,还有感觉、心智、承诺等。这样从现实出发,更加容易将系统分解成以Agent为单位的灵活、强交互的系统。通过为计算机现场环境中的每类对象设置取证Agent来实现计算机犯罪环境的动态获取。
2.2 基于Gaia方法的面向Agent系统分析
从对系统环境的分析,采用Agent来构建系统能够更真实的反映系统环境,系统的构架也更清晰。Gaia K.Kinney等人于2000年提出的基于Agent的系统分析与设计方法。该方法提供了一条系统化的道路让用户能够从需求开始分析,最终得出足够具体的设计方案。因此本文选择Gaia方法来进行系统分析,其步骤如下:
1)识别系统中的角色,输出原始的角色模型。
通过系统的需求分析,可以发现如下角色:主机取证协调者,系统日志文件监控器,注册表监控器,系统状态监控器,系统端口监控器,系统进程监控器,用户键盘监控器,用户登录监控器,用户窗口监控器,文件系统监控器,用户网页浏览监控器,用户命令监控器,应用程序监控器,数据收集器,数据发送者,网络取证协调者,数据包捕获器,协议分析和过滤器,数据包存储者,中心管理者,中心管理界面,取证分析者,取证分析界面。
2)识别角色之间的协议(角色之间的交互),输出交互模型。
协议定义角色之间交互的方法,协议的定义如下六个属性:(1)目的,关于交互的本质的简单概括:(2)交互发起者,发起交互的角色;(3)交互响应者,发起者的交互角色;(4)输入:(5)输出;(6)处理:简单描述发起者在本次交互过程中的执行动作。
由于系统角色之间的协议较多,在这里仅以主机取证协调者与中心管理者的交互为例。由主机取证协调者向中心管理者发出注册确认,登陆,退出等请求。
3)以交互模型为基础,细化角色模型的内容。
在角色模型中,每个角色的内容包括角色名,描述,协议和活动,允许,责任这个五个方面。描述是对角色职能的简单说明。协议表示与系统中其他角色的交互,活动是与角色相关的计算。允许表示角色拥有的权利。责任表明角色的功能,它包括生存属性和安全属性。生存特性描述了在给定的环境条件下,角色必须实现的事件的状态。安全特性表明可接收的事件状态在执行过程中保持不变。
4)重复迭代(1),(2),(3),最终完成系统的分析工作。
3 系统的体系结构设计
本文使用Agent来分析和设计系统,但最终依然采用面向对象的程序设计语言来实现系统。事实上面向Agent的分析和设计方法主要是针对系统的接口层以及业务逻辑层。由于系统本身的复杂性,又要保证系统具有一定的扩展能力,因此系统的体系结构仍然需要精心的设计。系统的结构分为两个层次。
第一个层次是采用分而治之的策略,把复杂问题分解几个次复杂的问题。系统按各自的功能划分为四个子系统,分别为:主机取证子系统,网络取证子系统,取证管理子系统,取证分析子系统。
第二个层次是各个子系统各系统采用多层体系架构,分为表示层、领域层、服务层、存储层四个层次。各个层次用包来组织,保证系统的高度模块化,结构清晰。以主机取证子系统的高层体系结构图为例。其中表示层定义系统的输入输出接口,用于接收和显示外部系统的信息,包括外部系统消息、用户输入、系统输出等,领域层定义了系统的主要功能和任务,主机取证子系统的领域层包含一组Agem,通过Agent的合作来完成证据获取和存储任务。服务层提供了系统安全、网络通讯、数据库访问等基础服务。存储层负责系统数据的持久化存储功能。
4 系统的安全性设计
4.1 传输安全性
系统在被监控主机收集到证据后,必须向远程安全数据服务器发送证据,证据在传输的过程中必须确保的完整性,同时系统的关键数据也必须经过加密后才能传输。而传统TCP/IP协议并能保证一点,TCP/IP协议在一开始设计时就没有考虑安全问题,在通讯过程,数据报的字段时可以被伪造和修改。因此,必须引入加密协议来支持系统安全通讯的需求。
SQL Server2000支持SSL加密传输。可以通过同时配置服务器网络实用工具和客户端网络实用工具启用加密协议传输选项来达到保护证据传输安全的目的。当然,SQL server 2000必须获得公共证书颁发机构证书而且相应的客户端应用程序也必须有一个从同一证书颁发机构取得的根CA证书。
4.2 网络时间安全性
要实现时间安全性,需要周期性对时间进行同步。时问同步是指网络各个节点时钟以及通过网络连接的各个应用界面的时钟的时刻和时间间隔与协调世界时(UTC)同步,最起码在全国范围内要和北京时间同步。时间同步网络是保证时问同步的基础,构成时间同步网络可以采取有线方式,也可以采取无线方式。本文要实现局域网网络时间同步属于有线方式。在局域网中通常采用NTP协议来实现局域网内时间同步。NTP协议是基于客户机/服务器的计算模式。客户机以传统的c/s方式,周期性地向服务器请求时间信息,客户机首先向服务器发送一个NTP包,其中包含了该数据包离开客户机时的时间戳T1,当服务器收到该包时,将填入包到达时问的时间戳T2,然后对本数据包进行处理,对调源1P、目标IP,处理完后填入包离开的时间戳T3,立即把数据包返回给客户机。客户收到服务器来的数据包后又填入包到达客户机的时间戳。
由于网络时间同步对于计算机取证的重要意义,因此本文在取证管理子系统专门开发了一个时间同步服务器,在其他被取证主机开发了时问同步客户端,以支持网络时间同步的需求。
5 结束语
在电脑网络犯罪手段与网络安全防御技术不断升级的形势下,单靠网络安全技术打击计算机犯罪不可能非常有效,因此需要发挥社会和法律的强大威力来对付网络犯罪,计算机取证正是在这种形势下产生和发展的,它标志着网络安全防御理论的成熟。本文对于电子证据的获取,保存、分析方面进行了探讨和分析,提出在网络环境中进行动态监控和取证的思路,并给出了一个网络耿证系统的设计方案,讨论并解决了系统设计过程中出现的关键技术问题。
参考文献
[1]杜淑光,陈永浩.网络安全与防火墙技术[J].制造业自动化,2007,29(12).
[2]王丹,蔡皖东,蔡俊朝.分布式网络行为审计系统设计与实现[J].微电子学与计算机,2008,25(5).
[3]鄢喜爱,杨金民,常卫东.基于蜜罐技术的计算机动态取证系统研究[J].微电子学与计算机,2010,27(1).
[4]陈龙,李鹏.一种基于完整性指示码的电子证据分散存储改进方法[J].计算机工程与科学,2010,32(11).
网络取证 篇2
【关键词】网络动态;网络入侵;网络入侵取证系统
计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。
1. 计算机入侵检测与取证相关的技术
1.1计算机入侵检测。
(1)入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻。一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息。
(2)计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为。按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测。
1.2计算机入侵取证。
(1)在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境。
(2)计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求。因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。
2. 基于网络动态的入侵取证系统的设计和实现
信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性。
2.1计算机的入侵取证过程。
(1)计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据。一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。
(2)就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,黑客入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时,2004年FBI/CSI的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动。
2.2基于网络动态的计算机入侵取证系统设计。
(1)根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障。
(2)此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为)。系统采集网络取证和代理取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行。
2.3网络动态状况下的计算机入侵取证系统实现。
(1)基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证代理、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证代理,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作。
(2)网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报。经协议分析,可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证代理并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭。管理控制台为安全服务器及取证代理提供认证,以此来管理系统各个部分的运行。
(3)基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统。
3. 结束语
随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究。
参考文献
[1]魏士靖.计算机网络取证分析系统[D].无锡:江南大学,2006.
[2]李晓秋.基于特征的高性能网络入侵检测系统[D].郑州:中国人民解放军信息工程大学,2003.
[3]史光坤.基于网络的动态计算机取证系统设计与实现[D].长春:吉林大学,2007.
[4]张俊安.网络入侵检测系统研究与实现[D].成都:西南交通大学,2003.
[5]戴江山,肖军模,张增军.分布式网络实时取证系统研究与设计[J].电子科技大学学报,2005(3).
地税局系统内部网络入侵取证系统 篇3
当前我国的网络安全面临严峻的形势, 网络上频繁发生大规模的网络入侵事件, 是我国很多的政府部门、商业机构等受到了前所未有的打击, 有些甚至造成了较大的社会影响和经济损失。面临严峻形势, 有越来越多的组织和个人在研究、应用网络安全技术及应对各种网络入侵的技术。信息安全保障方面普遍存在力度不大、不重视的现象, 现在网络固有的开放性和互联性为网络入侵搭建了可利用的“桥梁”。因此, 保障网络安全是不容忽视的问题, 只有网络安全了, 才能更好的发挥网络的利用价值。
现在的网络存在着很严重的安全问题, 原因是大量病毒的存在, 以及远程黑客的入侵, 还有安全漏洞问题的频频出现, 这些都给网络带来了各种安全隐患问题, 特别是地税部门, 对于系统完全的要求更高, 保障信息安全尤为重要。但是, 系统用户很少是专业的计算机人士, 他们在进行打补丁、查杀病毒的过程中存在很大的缺陷, 所以一个地税局内部网络入侵检测系统的开发是迫在眉睫的事情, 因为建设此网站可以为用户提供很多的最新病毒防杀工具、安全漏洞报告等, 这些都可以解决网络安全的隐患问题。
基于以上网络不安全的因素, 可以通过对网络安全的几个重要关键点进行检测, 看是否符合网络安全策略, 是否影响网络的安全运行。网络的入侵检测技术, 是一种主动保护自己的网络和系统不受到非法攻击的网络安全技术, 是对整个网络实施实时监测, 是否符合网络安全策略, 并针对性的几个关键点进行安全监测以保护网络安全的一种技术, 在网络受到威胁时并能作出相应的反应加载网络入侵检测系统。
目前的网络入侵检测系统, 从事非法的网络行为亦或是外部用户侵入内部系统, 威胁计算机网络的行为。它方式包含两种, 为目的主机上的运行来检测其自身通信信息或是在一台单独机器上运行从而能检测所有计算机网络设备通信的信息, 例如路由器、Hub等。
1 网络入侵检测与取证相关的技术
1.1 网络入侵检测
网络入侵取证的技术是在不影响正常网络性能的前提下, 对所有危害计算机网络安全的行为一种防御方式。就一般来说, 网路入侵检测系统包含有数据的储存、收集、分析以及攻击反应的能力。是通过在网络系统中得到的几个关键点进行数据的收集、分析和比对, 可以提前发现网络系统中违反网络安全策略的行为及攻击网络的痕迹。与其他预防网络安全技术相比较, 网络入侵检测系统要更加的智能、灵活及可靠, 需要在对整体数据的分析中得到有用的关键信息, 这是设立计算机网络入侵检测系统的关键所在。其主要的功能对网络系统的行为进行分析、监测和系统配置的审计监测、重要数据的文件的完整性评估、已知攻击的模式的识别和异常行为的统计分析、操作系统的审计跟踪管理及违反安全策略的行为的识别。网络入侵检测通过迅速的监测入侵, 在数据及系统遭到破坏之前及时驱逐入侵者, 是系统恢复正常工作, 并能阻止入侵者的进一步破坏行为, 并且能够收集存储入侵者的信息数据, 从而加强网络的防护能力。
网络入侵检测在所有系统中针对系统中所有行为进行检测, 发现有非法行为或是越权行为, 就会针对行为进行分析, 最后做出相应的处理。
1.2 网络入侵行为的取证
网络入侵行为的取证工作在网络入侵检测过程中是最重要的过程, 在这个过程中不止涉及计算机的领域, 还要符合法律的要求。因此, 网络入侵的取证工作要按照规则展开, 以确保电子证据的可用性。基本要把握六个原则:严格报关、合法性、时效性、多面性和环境的原则。
2 网络入侵取证系统的系统设计和实现
近年来现在社会中网络犯罪也日益突出, 网络系统的日常取证行为受到计算机技术的约束, 在取证过程中不能保证数据的可靠性、时效性和全面性的原则, 因此网络入侵取证需要在入侵行为进行过程中随时取证。这于传统意义上的取证行为是有区别的, 在入侵过程中的取证是随时监测系统中的非法行为, 针对系统内外的不同类型的入侵行为, 进行随时存储, 尤其是在犯罪行为初期进行的监测能够有效的防治入侵行为的进一步迫害, 增强了系统的工作效率, 并保证的信息的安全。
2.1 网络入侵取证的过程
网络入侵取证, 其实是对计算机网络中一些关键数据的手机存储的过程。计算机证据也被称为电子证据。计算机电子证据是以数字的形式存储于计算机系统中, 是电子化的信息数据和资料, 用于证明案件的事实的数据信息, 包括计算机数据记录、存储、打印、传输、产生等反映计算机系统犯罪行为的电子证据。
就现在的社会现实而言, 由于计算机技术的发展、法律保障及规则的制定等原因的限制, 大部分还是采用事后取证的方式。就是现在的取证工作还是在事件发生后去采集信息, 对原始数据的存数还是在事件发生后, 由于网络本身的开放性的特质, 很多计算机网络中存储的重要的系统数据会丢失在存储器中;此外, 计算机网络中的黑客入侵等其他恶意非法网络犯罪过程中, 网络入侵者会将计算机系统中的类似日志的相关数据进行删除、修改, 并利用反侦察工具来掩盖其犯罪的事实。还有一些计算机网络的合法用户在系统中违反规定, 进行越权行为, 也是危害计算机网络安全的主要方面。
2.2 基于动态网络的计算机网络入侵取证系统设计
以上所提出的计算机网络入侵取证的缺陷及无法满足现在取证工作需要的现状, 设计的网络动态状况下的计算机网络入侵取证系统。基于网络的动态取证系统就能够解决上述出现的问题, 这个计算机网络入侵检测系统就能够将取证行为提前到网络犯罪的实施之前或是实施烦犯罪的过程中, 系统都可以适用于来自于计算机网络内外的威胁, 尽可能的获得更多的犯罪信息。基于网络动态的计算机网络入侵检测系统与原来的计算机取证主要区别与取证的时机不同, 而采用分布式策略的基于网络动态的取证方式更能适应现在社会的需求, 并保证电子证据是完整性、时效性和完整性。
另外, 基于网络动态的计算机网络入侵取证系统在设计初始就涉及了两个方面的电子证据的取证工作。一是攻击计算机本原系统的犯罪行为, 二是以计算机为工具的犯罪行为。
2.3 网络入侵取证系统的实现
网络入侵取证系统, 主要是通过取证分析机、取证代理、网络取证机、管理控制台、安全服务器等部分组成。程序对在系统运行中截获的入侵信息进行不断的采集, 最后通过加密的传输方式将截获的电子证据输送到安全服务器上, 管理控制台会接到指令并进行下部操作。
网络检测系统使用的是混杂模式的接口, 监控所有的网络数据模块。经过规定的协议分息, 可以截获并存储所有证据的数据包, 可以添加“存储”系统, 截获类似行为可以不断的实现存储证据功能。通过加密技术对已经截获的数据进行保护, 保证数据的安全、有效和一致性。网络入侵的取证过程是利用数据挖掘的技术分析安全的服务器所保存的证据数据, 用以截获系统中犯罪数据的相关信息及证据, 并同时提交证据, 管理控制台对系统中的服务器提供认证, 管理其他系统的正常运行。
网络入侵取证系统, 不只是检测外部网络入侵的行为, 而且针对系统内部用户在使用系统中进行的越权行为或是以计算机为工具对系统造成威胁的行为, 网络入侵检测系统都可以对这些违法行为进行取证, 做到内外兼顾。入侵检测系统可以分为截获、传递、保存、整理、管控五个大模块。五个模块相互配合, 紧密协作最后实现网络入侵检测功能。
3 总结
中式院落 取证入市 篇4
楼盘名称:泰禾·北京院子
项目地址:朝阳区孙河乡京密路与顺黄路交叉口往西500米
推荐理由:东方庭院、中式园林
开盘时间:2014年1月19日取得预售证
价格:预售均价77243元/平米
户型:主力户型为230-250平米独院;220平米联排别墅
入住时间:待定
实地探访:
作为2013年最受关注的豪宅项目之一,北京院子终于赶在农历新年之前取证入市。此次其被批准预售的产品包括350个地下车库和274套住宅,地下2层,地上3层,整体预售均价达到77243元/平米,其中最高均价87345元/平米。
北京院子所处的孙河板块,是中央别墅区与朝阳十大发展基地“温榆河生态休闲区”的重叠地段。项目紧邻地铁15号线孙河站,邻近京承、京平、机场高速等,周边有多家医院、学校及马术俱乐部、高尔夫球场等各类商业休闲配套。
与区域内其他项目清一色的西式建筑风格不同,北京院子的亮点在于彰显东方意境。整个院子项目通过考究的街巷、宅门、屋顶、深墙、院落、厅堂四方围合,层层递进,实现了中国传统民居的“内向型”院落空间;在园林打造上采用了中国传统的皇家造院方式,依照“一池三山”设计手法,规划了山院、水园两处主题园林。
在样板间,无论空间格局还是功能设计上,融入了现代家居模式,中西厨合一、大客厅、起居室、明厨明卫、高挑空、大幅落地窗……使得中国传统居住文化得到了焕然一新的感觉。
那些事:
该地块在公开竞拍之前已接到了11份报价,最高报价为13亿元。2013年1月24日,参与孙河地块拍卖的房企包括龙湖、融创、九龙仓等十几家房企。经过多轮“厮杀”,泰禾集团最终以18.5亿触线,后又以配建2000平米公租房胜出,溢价率近50%。
开发商说:
泰禾集团相关负责人表示,在别墅市场,泰禾不惧怕任何对手,与其他产品类型的定位有所不同,集团对于别墅市场的战略就是要“领跑”。
记者点评:
蜜罐技术在网络电子取证中的应用 篇5
随着信息技术的飞速发展, 人类社会对数字信息的依赖己达到前所未有的程度。与此同时, 计算机犯罪率也以惊人的速度增长。政法机关在如何利用高技术手段对付这种高技术犯罪方面需要技术保障和支持, 为了提高打击计算机犯罪的能力, 需要对电子取证领域进行深入的研究。本文介绍了蜜罐技术, 以及如何利用蜜罐技术进行的网络电子证据的取证。
1 电子取证和电子证据
1.1 电子取证
计算机系统 (包括网络系统) 在相关的计算机犯罪案件中可以扮演黑客入侵的目标、作案的工具、犯罪信息的存储器这三种不同的角色。无论他们作为哪种角色, 计算机系统中都会留下大量的与犯罪有关的数据。电子取证就是对计算机犯罪的证据进行获取、保存、分析和出示, 它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。事实上电子取证的取证目标不仅包括计算机系统, 也包括计算机网络系统, 在2001年召开的First Digital Forensic Research Workshop中明确将网络取证 (network forensic) 作为会议的四个主要议题之一。电子取证 (Digital Forensic) 是指通过收集计算机系统和网络系统中与计算机犯罪相关的信息, 对其进行保存、分析和出示, 用来证明计算机犯罪活动的过程。可以将电子取证划分为两个部分, 即基于主机的取证 (host forensic) 和基于网络的取证。
1.2 电子证据
电子证据即为电子数据证据, 也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据, 通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。电子证据的收集和保全方法是电子取证方法中的核心内容是电子取证研究的热点。收集及保全电子证据是审查判断证据的基础, 只有收集到充分而且有效的证据并加以妥善保存, 万一可能对证据材料的真实性、证明力和可靠性进行分析、鉴别和判断, 从而确定案件事实, 保证诉讼任务得以实现。因此, 被收集电子证据的充分性、完整性和真实性对于正确认定案件事实, 保证诉讼的顺利进行, 具有十分重要的意义。
从电子证据的来源情况看, 电子证据主要可以分为两大类, 基于主机的电子证据和基于网络的电子证据简称为网络电子证据。
网络电子证据的来源是运行中的计算机网络。事实上, 绝大多数的计算机犯罪都是通过网络进行的, 通过在计算机通信网络上进行监控, 截取可疑会话的通信内容, 并加以分析处理, 可以获得有效的电子证据。
2 蜜罐技术
2.1 蜜罐的定义
蜜罐 (Honeypot) 是一种在互联网上运行的, 目的在于吸引攻击者, 然后记录下攻击者的一举一动的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人 (如电脑黑客) 而设计的, 蜜罐系统是一个包含漏洞的诱骗系统, 它通过模拟一个或多个易受攻击的主机, 给攻击者提供一个容易攻击的目标, 从而得到相关信息以便检测到攻击由于蜜罐并没有向外界提供真正有价值的服务, 因此所有对蜜罐的尝试都被视为可疑的, 蜜罐的另一个用途是拖延攻击者对真正目标的攻击, 让攻击者在蜜罐上浪费时间, 简单说:蜜罐就是诱捕攻击者的一个陷阱。
2.2 蜜罐技术的原理
蜜罐是一个在网络上引诱黑客或蠕虫攻击的, 带有漏洞的真实或虚拟的系统。蜜罐会引诱一些攻击者非法访问, 蜜罐上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息, 它的目的是将攻击者从关键系统引开, 同时收集攻击者的活动信息, 并且吸引攻击者在系统上停留足够长的时间以供管理员进行响应。利用蜜罐的这种能力, 一方面可以为入侵检测系统提供附加数据, 另一方面, 当入侵检测系统发现有攻击者时, 可以把攻击者引入蜜罐, 防止攻击者造成危害, 并收集攻击者的信息。蜜罐技术主要是利用网络欺骗诱导攻击者, 使得可能存在的安全弱点有了很好的伪装场所, 真实服务与诱骗服务几乎融为一体, 使入侵者难以区分。诱骗服务相对于真实服务更容易被发现, 通过诱惑使入侵者上当延长入侵时间, 使得真正的网络服务被探测到的可能性大大减少, 并且通过网络探测迅速地检测到入侵者的进攻企图, 及时修补系统可能存在的安全漏洞, 并获知敌方的进攻技术和意图, 通过与入侵者周旋, 消耗掉入侵者的资源, 搜集到电子证据, 进一步做好计算机取证工作。
2.3 蜜罐的主要功能模块
攻击诱骗:诱使黑客对蜜罐进行扫描、探测和攻击;
数据控制:对从蜜罐外出的所有网络活动进行控制;
数据捕捉:对出入蜜罐的所有活动进行监视和记录;
远程日志:远程备份蜜罐捕捉和收集的数据。
3 蜜罐技术在网络电子取证中的应用
蜜罐最重要的一个功能就是对系统中所有的操作和行为进行记录和监视, 这些被记录的信息可以作为对攻击者进行起诉和拘捕的证据。蜜罐监控者只要记录下进出系统的每个数据包, 就能够对黑客的所作所为一清二楚, 构建的蜜罐系统一个主要优点就是取证容易。
3.1 利用蜜罐获取网络电子证据的原则
(1) 尽可能早搜集证据, 确定攻击的日期和时间, 以及方法, 并保证其没有受到任何破坏。
(2) 最大可能的确定入侵者的相关信息, 通过查看入侵检测系统的日志, 获得相关入侵信息。
(3) 必须保证“证据连续性”, 即在证据被正式提交给法庭时, 必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化, 当然最好是没有任何变化;整个检查、取证过程必须是受到监督的, 也就是说, 由原告委派的专家所作的所有调查取证工作都应该受到由其他方委派的专家的监督。
3.2 捕获网络电子证据的蜜罐部署
设计捕获网络电子证据的蜜罐部署结构如图1所示, 它的关键部分是充当网桥功能的linux主机, 装有三个网卡, 网络接口ertho连接真实的网络部分, 网络接口erth1连接蜜罐系统。另外网桥linux主机还有一个网络接口erth2, 配置了一个安全的内部网络地址, 转发出入蜜罐系统的网络包和系统日志。此架构有三大优点: (1) 网络数据包通过网桥, 只是转发, 没有TTL延迟, 使攻击者很难检测到蜜罐系统的存在; (2) 网桥没有配置对外的IP地址, 攻击者也无从攻击蜜罐系统的核心主机; (3) 数据控制和数据捕获全部在数据链路层实现, 不易被攻击者发现, 并且会更加高效、灵活。
3.3 网络电子数据捕获的方法
数据捕获能够获得所有入侵者的行动记录, 这些记录最终将帮助我们分析他们所使用的工具、策略以及攻击的目的。我们的目的是在入侵者们不发现的情况下, 捕获尽可能多的数据信息。而且, 捕获到的数据不能放在honeypot的主机上, 否则可能会被入侵者们发现, 从而令其怀疑该系统是一个陷阱平台, 并且放置其上的数据可能会丢失、被销毁。因此我们需要把数据放在远程安全的主机上。我们使用多种手段使honeypot收集到的数据尽可能地完整和安全, 通过几种方法的组合, 可以清楚地回放入侵者的攻击行为。
第一种记录工具是linux主机上的防火墙。通过防火墙来捕获我们想要的数据。它可以记录所有进入及外出honeypot的连接。设定防火墙不仅可以记录所有的连接, 而且还能及时向发出警告信息。比如, 某人尝试telent到honeypot中的某台主机上, 防火墙就会记录并且报警。这对跟踪端口扫描非常有效。另外, 它还可以记录对一些非常规端口的连接企图。多数的漏洞利用程序都会建立一个shell或者打开某个端口等待外来的连接, 而防火墙可以轻易地判断出对这些端口的连接企图并且报警。同样, 系统内部的陷阱主机往外发起的连接, 一样会被记录在案。当然, 这些警告多数表示有黑客侵入, 并且已经侵入系统中——可以通过一些如发送Email或者发送手机短信等方法来告诉系统管理员。
第二种记录工具是入侵检测系统, 可以采用snort, 配置在linux主机上。它有两个作用:首先最重要的是它可以捕获系统中的所有举动, 对网络中的信息流量进行了监控并分析其记录以便将来能够重现之, IDS的第一个作用是能够捕获所有出入honeypot的网络数据包;另外, 它还能发现一些可疑举动并发出警报。
3.4 攻击蜜罐主机的一个实例
下面是使用批量扫描技术进行网络钓鱼攻击蜜罐主机的一个实例。攻击者攻陷了蜜罐, toolkits就被上传到服务器上, 然后攻击者就开始尝试扫描一些IP地址空间段来寻找其他同样存在漏洞的服务器, 实例中捕获的攻击者键击记录如下所示, 主要显示了从被攻陷的蜜罐发起的批量扫描的记录。
从蜜罐系统中所捕获的数据, 我们可以重现以下信息。
(1) 攻击者解压缩扫描器, 并尝试扫描B类地址空间段:
(2) 攻击者尝试攻击潜在的有漏洞的服务器:
(3) 攻击者在一段时间后回来查看已经成功攻陷的服务器列表 (这个列表是空的, 由于蜜网的配置) :
(4) 攻击者尝试扫描更多的B类地址空间段, 并随后测试对选择目标进行攻击:
从上面的实例子, 可以清楚的看到蜜罐技术实现了良好的数据捕获和攻击重现, 使攻击的每一个记录都被记载, 给网络电子取证有力的帮助。
4 结论
网络电子取证是一个计算机技术、网络技木以及法律相结合的新兴交叉学科, 是一个全新的领域, 还有许多问题值得探讨。蜜罐技术应用于计算机取证中, 紧密追踪黑客并记录入侵的整个过程, 为取证提供了数据来源。蜜罐已经成为安全专家们所青睐的对付黑客的有效工具之一, 它不仅可以捕获那些不熟练的入侵者, 还可以发现大量的新型攻击工具。
摘要:计算机犯罪与传统犯罪密切结合, 严重威胁着国家安全和社会稳定, 并且日趋严重。打击计算机犯罪的重要途径和有效方法是提高电子取证技术的水平, 加强电子取证技术的研究已成为公安工作的当务之急。本文介绍了蜜罐这一网络安全技术, 以及如何利用蜜罐进行网络电子取证。
关键词:计算机犯罪,电子取证,电子证据,蜜罐
参考文献
[1]许榕生.网络入侵取证与陷阱技术[J].Net security Technolo-gies and Application.2002.
[2]熊华等.取证与蜜罐.北京:人民邮电出版社.2003.
[3]Honeynet Project.Know Your Enemy GenII Honeynets.http://www.honeynet.org/paperps/gen2.2003.
网络取证 篇6
由于电子证据的特殊性,与传统的取证过程不同。网络取证的原则和步骤有其自身的特点,但也必须符合法学上对证据的要求,即在取证过程中要保证证据的连续性(chain of custody )、透明性、可解释性和取证过程及内容的精确性。网络取证最终任务是追查入侵者,就是当攻击正在进行时或已经结束后,根据现有的所能获得的信息来确定攻击者的位置,按照准确度的逐渐提高,可分为定位到发起攻击的网络、主机、进程、用户,从而为打击网络犯罪提供技术保证。现有的系统大都侧重于入侵攻击的发现与防范,尽管他们可以检测到大多数基于网络的攻击,但均很难提供对入侵源的追踪。如果系统无法确定攻击源的位置,也很难以从根本上防止入侵者的再次攻击,并且也无法将造成严重后果的黑客绳之以法。如果系统能够获取入侵者的真实地址,并记录有关证据,将其诉诸法律,就能够有效地威慑网络犯罪,维护网络系统的安全。
1入侵源追踪及网络取证研究现状
早在80年代初期,Anderson将入侵定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵就是试图破坏资源的完整性、机密性及可用性的行为集合。Smaha从分类角度指出,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基-梅隆大学的研究报告则将入侵定义为非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作。综合不同安全专家的意见,作者认为,入侵是指违背访问目标的安全策略的行为,造成目标的保密性、完整性、可用性以及可控性受损。该定义把入侵与受害目标相关联,目标可以是一个大的系统或单个对象。若主体对目标操作超出了其安全策略范围,则就认为目标遭到了入侵。
入侵源定位技术按追踪的时效性分为两大类:攻击时进行定位的技术和事后定位技术。在攻击进行时才能追踪的攻击源定位技术是基于一种递归的算法:从离被攻击者最近的路由器开始,然后查找与其相邻的路由器,找到转发攻击报文的相邻路由器,再以此为基础,继续查找其相邻的路由器,直到找到攻击源或是查找到网络的边界为止。文献[1]介绍了输入调试法(input debugging , ID) ,文献[2]提出了受控的淹没法( cont rolled flooding , CF)。两种方法都必须要在攻击发生时才能工作,因而不具有事后处理能力。受控淹没法要依次对链路进行淹没测试,因而将对网络产生巨大的负载。输入调试法对转发的每个报文都做处理,路由器开销也较大。不管攻击是否完成无关,只要搜集到一定的信息就能对攻击源进行定位的方法,从而能够在攻击完成后对攻击源进行事后调查。事后的攻击源定位因为要求进行事后分析,所以必须要有攻击信息的提取、记录及保存机制,使得可以在攻击结束后根据这些信息来推导出攻击源的位置。文献[3]设计了一种路由器日志法,文献[4]提出了路径记录法。两种方法都是在攻击完成后再找出攻击路径,不能进行实时动态定位。路由器日志法需要路由器对转发报文做日志记录,将极大地降低路由器的性能。路径记录法对转发的每个报文都做处理,路由器开销也较大。
网络取证(network forensics) 是对涉及民事、刑事和管理事件而进行的对网络流量的研究,目的是保护用户和资源,防范由于持续膨胀的网络连接而产生的被非法利用、入侵以及其他犯罪行为。目前,对于网络取证系统的原理和实现还处于研究阶段。最早应用于网络取证的是IDS技术。1999年,Yuill 等人详细阐述了具有证据分析能力的入侵检测系统的使用。2004 年,Payer 提出了第一个实时入侵取证原型系统。但是,目前所做的将二者结合的工作还很有限,IDS 还没有设计出适应法律需要的入侵链获取系统。基于agent 技术,文献[5]提出了一种分布式网络取证系统框架,但该系统同时收集主机和网络数据的机制还不完善,也没有与访问控制、认证、加密以及其他安全机制,更不能准确定位入侵来源。
从司法的角度看,网络获取的证据应该满足证据的可采用性标准,即证据的客观性标准、关联性标准和合法性标准,分析现有的网络取证原型系统可以发现,还没有设计出适应法律需要的入侵链路获取系统,从而无法保证获取证据的关联性。为解决这一问题,本文提出了一种基于内容和时间特征的入侵源追踪方法。
2基于内容和时间的数据包指纹入侵追踪方法
攻击者为了避免身份的暴露,惯用的手法是首先攻破一个系统,然后使用网络跳转(HOP)的办法利用它作为平台来攻击另一个系统,很多情况下甚至经过多次跳转才到达真正的攻击目标。这种情况下,无论是目标系统的安全管理员,还是政府的安全部门,都希望能够追查到攻击者的真实来源,为入侵行为责任的判定提供保证。由于每个网络取证系统都有相应的分析系统,都会产生相应的网络取证分析记录,相关的网络取证分析记录包括日志分析记录、入侵分析记录以及应用数据还原分析记录,从网络取证分析记录中进行入侵追踪分析分为两步,首先从网络取证分析记录中找出所有包含登录信息的记录,然后根据登录信息建立登录链。
图1为基于内容和时间特征数据包指纹入侵追踪方法示意图。给定一系列的通信主机CH1, CH2,…, CHn(n>2),当攻击者顺序从CHi连接到CHi+1(i=1,2,…,n-1),称
2.1基于内容特性的数据包指纹入侵追踪
在一个入侵通信连接链中(如:Telnet,SSH),远程执行的命令穿越整个通信连接链,通过对这个通信连接链上字符出现的情况进行对比,就可以判断两个主机是否属于同一登录链。比如,从CH1执行“mount/root/java/temp”,该串字符将从CH1传输到最后一台主机,只要发现某些主机在差不多相同的时间内出现该字符串,就可初步判断这些主机属于同一个攻击通信链。
在网络取证分析时记录每个通信连接链中出现的字符序列及开始时间和结束时间。具体格式为:
基于内容特性的数据包指纹匹配问题可以被形式化的描述为:已知PAI=(pat1, pat2,…patm)为一个大小为m的内容指纹模式串集合,minlen为最短内容指纹模式串的长度,TXT [0…n-1]表示正文文本,长度为n,其中每个模式串和文本串都由字符表E中的字符组成,字符表E的大小为U。内容指纹匹配的任务是在源文本串TXT中发现所有包含于PAT中的内容指纹模式串。给定α长的字符序列X,Y,其中X的字符序列用表示X=x1 x2…xα表示,其中Y的字符序列用表示Y=y1 y2…yα表示。
令 θ(X,Y, i)=IIFundefined
只要满足undefined,就可以判断两个字符序列相同。
如果两个字符序列相同,再判断时间属性。设两个字符序列的开设结束时间分别为:StartTime1,EndTime1,StartTime2,EndTime2。只要满足|StartTime1- StartTime2|<△t AND|EndTime1- EndTime2|<△t 即可判断两个字符序列的时间相同。其中△t为一个时间误差范围,数值很小,这个误差范围与当时网络的时延情况有关。
2.2基于时间特性的数据包指纹入侵追踪
分析整个登录链中每个主机上的TCP数据包序列号和数据包被获取的时间关系,比较数据包大小随时间变化关系的方法可以用于判断主机是否属于同一个入侵攻击登录链。假设一段数据流A由n个数据包组成,将第i个数据包内容字段的最后一个字节的序列号记为ai,则第i个数据包的长度可以表示为ai-ai-1个字节。设A中第S个数据包中的时间戳t1(s)( a0
设T(h,k)=t2(bk+h)-t1((a0+h),并且d= b0-a0,m’=max{i| bi +d≤bm }
则数据流B和A之间的偏差△AB可以定义为:
undefined
给定△access,判断条件△AB<△access,一旦条件成立就可以确定两个数据流是属于同一个入侵通信连接链,其中△access是一个很小的阀值,视网络具体情况而定,可根据多次试验来确定。
2.3基于内容和时间特性的数据包指纹入侵追踪
基于内容的方法和基于时间的方法都会在一定程度上受到网络情况的影响,为使得判断更加准确,需要结合这两种方法。在网络取证分析中同时提取这两种数据包的指纹特性,并分别进行对比,只有当两个指纹都相匹配时,才认为两个TCP连接属于同一个TCP连接链,才能判断它们属于同一个入侵通信攻击连接链。
2.4网络取证追踪分析结果的知识表示
入侵追踪分析的结果是一个入侵所对应的登录链CH=
其中工IntruNO表示该电子案件中的入侵编号,该编号在整个案件中是唯一,用于唯一标志一个入侵攻击事件。
入侵追踪分析结果的一个实例如下:
< NetEvidence:IntruTraceback = (NO.876,192.168.11.11,192.168.11.181, 192.168.11.115, 192.168.11.215)>
该实例表示:在电子案件中编号为N0.876的入侵所对应的登录链是(192.168.11.11,192.168.11.181, 192.168.11.115, 192.168.11.215),即:该入侵是从192.168.11.11向192.168.11.215发起的,中间先后经过了192.168.11.181,192.168.11.115两个跳板主机。
3结束语
在判断攻击链路是否属于同一攻击路径时,最直接的依据是攻击类型、攻击发生的时间和通信的内容。属于同一攻击路径的攻击链路其攻击类型必然相同,攻击时间应比较接近,而且通信的内容应基本相同。本文设计了基于内容和时间的数据包指纹入侵追踪方法,能够较准确的定位入侵源,并记录相关证据,将其诉诸法律,能有效威慑网络犯罪。
参考文献
[1]黄步根.电子证据的收集技术.微计算机应用,2005,26(5):590~593
[2] SM Bellovin.ICMP Trace back M essage.Internet D raft:draft-bellovin-itrace-00.txt,M a.r2000.
[3]夏春和等.攻击源定问题的研究.计算机研究与发展,2003,40(7):1021~1027
[4]闫巧等.网络攻击源追踪技术的分类和展望.清华大学学报(自然科学版),2005,45(4):497~500
[5]李小勇等.可控网络攻击源追踪技术研究.计算机研究与发展,2003,40(3):808~102
网络取证 篇7
计算机取证研究的重点在于如何从被入侵计算机系统的硬盘等永久性存储介质上提取犯罪证据,而对计算机取证中的物理内存取证分析方法的研究则相对较少,起步也较晚。国外对该领域的研究工作从2005年才开始[1,17],而国内迄今为止公开发表的有关物理内存取证分析方法的研究论文则少之又少[18,19]。由于有相当一部分的计算机犯罪证据无法从计算机系统的硬盘等永久性存储介质上提取,必须从计算机系统的物理内存中获取,包括入侵者的IP地址、正在运行的恶意进程信息、蠕虫、木马程序等等,而且一旦关机,这些信息将全部丢失。因此研究计算机取证中的物理内存取证分析方法对于推动计算机取证技术的发展、有效打击计算机犯罪具有非常重要的现实意义。
本文在介绍物理内存取证分析的基本概念及相关研究现状的基础上,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。
1 相关研究工作现状
2005年夏季,数字取证研究工作组DFRWS(Digital Forensic Research Workshop)发起了一次“内存分析挑战赛”,其目的在于鼓励内存取证分析技术的研究和相关工具的开发。DFRWS网站(www.dfrws.org)上提供了两个物理内存镜像文件(dfrws2005-physical-memory1.dmp和dfrws2005-physical-memory2.dmp,这两个镜像文件是用自启动取证工具Helix[2]从一台被入侵的Windows2000系统中获取的),参加挑战赛的选手要根据DFRWS提供的案件背景资料[3],通过分析这两个内存镜像文件来回答一些问题[3]。
最后,Chris Betz、George M.Garner和Robert-Jan Mora组合共同赢得了比赛,他们提供的分析报告[3]反映出他们对内存取证技术的研究取得了令人满意的结果,并且他们还开发了与之相适应的取证工具memparser[4]和kntlist。
这次挑战赛之后,其他一些研究人员沿着他们的思路,继续研究和工具开发工作。Andreas Schuster[5]在他的英文Blog中公开了他的一部分研究成果和实现的工具,同时公布的还有不同Windows版本中EPROCESS和ETHREAD结构的格式。Joe Stewart则在TRUMAN Project[6]中提供了一个名为pmodump.pl的Perl脚本工具,该工具可以从物理内存镜像中提取指定进程所使用的内存,这对恶意软件分析非常有用。2006年秋,Mariusz Burdach 在BlackHat[7]大会上提供了一些关于内存取证方面的信息。2006年夏,Nebraska大学的研究员Tim Vidas[8]发布了一个名为pro-cloc.pl的Perl脚本,该脚本可以从内存镜像或者崩溃转储文件中提取运行的进程列表。
2008年,数字取证研究工作组又组织了一次“Linux内存分析挑战赛”[9],其目的是推动Linux内存分析技术的发展,结果有五组参赛人员提交了最终的分析报告,取得了令人满意的结果[10]。
国内研制成功的物理内存取证分析工具主要有上海盘石数码信息技术有限公司研制的“盘石计算机现场取证系统”和山东省科学院计算中心研制的“计算机在线取证系统”等产品,但这些产品的具体技术细节都没有公开发布。
2Windows系统物理内存取证分析的关键技术
Windows系统物理内存取证分析的关键技术主要包括两个方面:一是如何获取物理内存,生成物理内存镜像文件;二是如何对物理内存镜像文件进行分析,从中找出重要的入侵证据。
2.1 如何获取物理内存
目前获取物理内存的方法主要有以下二种:
2.1.1 基于硬件的方法[1,17]
(1) 使用Tribble设备
2004年2月,《数字调查杂志》上刊登了Grand Idea Studio公司的研究人员Brian Carrier和Joe Grand的一篇研究文章,题目是“数字调查中基于硬件的内存获取过程(A Hardware-Based memory Acquisition Procedure for Digital Investigation,Journal of Digital Investigations,March 2004)”。在这篇文章中,Brian Carrier和Joe Grand提出了一种用名为“Tribble”的硬件扩展卡来获取系统物理内存的方法,可以用Tribble将系统的物理内存复制到外接存储设备中。这样调查人员就可以在既不引入任何新代码(不会更改系统内存)又不使用系统中代码(系统中的代码可能存在rootkit)的情况下完成系统物理内存的获取工作。作者构建了一个原理性(proof-of-concept)的Tribble设备,设计了一个可以插入到系统总线的PCI扩展卡。另外还设计了一些能获取系统物理内存的设备,主要用于系统硬件调试,也可以用于取证调查。
使用Tribble这类硬件设备的优点在于操作方便、易于理解。使用这种方法获取物理内存镜像不需要引入额外的代码,减少了获取的内容被篡改、覆盖的可能性;最大缺点在于硬件必须事先安装到系统中,所以Tribble设备还不能被广泛使用。
(2) 使用FireWire设备
FireWire(中文直译为“火线”)是以原苹果公司开发的技术为基础发展而来的一种高速I/O技术,它可连接外围设备与计算机。该技术于1995年被正式接纳为 IEEE 1394工业标准(FireWire 400)。凭借其强大的传输性能:可传输音频、视频、时间码,甚至是可用来控制机器的特性,FireWire现已成为数字音视频设备、外部硬件及其他高速外设产品的理想接口,其最高传输速度可达到400MB/S。
利用FireWire设备的特殊性能,使用相应的软件,调查人员可以获取系统的物理内存镜像。FireWire设备使用直接存储器访问(DMA)技术,可以不通过CPU直接访问系统内存。
使用FireWire设备的优点是现在许多计算机系统的主板上都集成了FireWire/IEEE1394接口,可以方便地直接访问系统内存;缺点是通过火线接口制作物理内存镜像可能会导致系统死机或者丢失部分内存中的信息。
2.1.2 基于软件的方法[1,11,17,18]
(1) 使用Microsoft崩溃转储技术
Windows NT、2000和XP都提供一种内置的“崩溃转储”功能来获取系统的物理内存镜像。在生成崩溃转储时,系统会被冻结,物理内存中的数据(加上大约4KB的头部信息)会被写入磁盘,这样就完整地保存了系统状态,并且保证从开始进行崩溃转储之时起,系统状态不会被人为地修改。
(2) 使用虚拟机技术
VMWare是一款非常流行的虚拟机软件,使用它可以在一台计算机硬件上创建多台虚拟计算机。当运行VMWare会话时,可以挂起(suspend)这个会话,也就是暂时“冻结”系统。当一个VMWare会话被挂起时,VMWare会将系统的“物理内存”镜像以DD格式存放到一个扩展名为.vmem的文件中。使用这种方法的优点是挂起一个VMWare会话的操作非常简单快捷,而且对系统内存的影响最小。
(3) 使用专用软件
目前用于物理内存转储的专用软件有许多种,这里主要介绍几种较常见的软件。
1) DD UNIX系统中数据转储工具DD的用途广泛,可以复制文件,也可以制作整个硬盘的镜像。GMG System公司发布了一个可以免费下载的取证获取工具包[12],其中包含可用于Windows系统的改进版DD工具(该工具支持Windows 2000和Windows XP SP1,不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统)。在用户模式下访问DevicePhysicalMemory对象,该工具可以获取Windows系统的物理内存。运行下面的命令可以将本地系统的物理内存镜像到ram.img文件:
dd if=。PhysicalMemory of=ram.img bs=4096 conv=noerror
2) KntDD 由于DD不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统,因此,GMG System公司又开发了一个称为KntDD的新工具用于生成物理内存镜像。KntDD包含在KntTools工具包中(http://www.gmgsystemsinc.com/knttools/),KntTools仅授权司法工作人员和安全专业人士使用。
3) Nigilant32 Nigilant32(www.agilerm.net/publications_4.html)是一个由Agile Risk Management开发的取证工具,具有浏览硬盘内容、获取物理内存镜像、获取当前正在运行的进程和打开的端口的“快照”等功能。当Nigilant32装入内存时,仅占用小于1MB的内存空间,因此对物理内存的影响非常小。目前Nigilant32仍处于测试状态,但用户可以免费下载使用。
4) Helix Helix是一个可由CDROM直接启动的功能强大的计算机取证工具,首发于2003年,目前世界著名的计算机取证机构SANS将Helix作为取证培训工具。Helix可在因特网上免费下载,下载网址是http://www.e-fense.com/helix/,下载下来的是一个ISO镜像文件,将其刻录到光盘上即可。Helix实际上是一个重新修改过的Knoppix(Knoppix是一个Linux 发行版本,网址:http://www.knopper.net/Knoppix/index-en.html)系统,其中增加了有关应急响应和计算机取证的内容。
2.2 如何分析物理内存
成功获取物理内存以后,接下来的工作就是要对镜像文件进行分析,从中提取有用的入侵证据。一般来说,我们可以从镜像文件中提取以下信息[13](这些信息是指在生成镜像文件那个时刻的信息):
(1) 所有正在内存中运行的进程;
(2) 所有的载入模块和DLL(动态链接库),包括被植入的各种恶意程序;
(3) 所有正在运行的设备驱动程序,包括隐藏的rootkits;
(4) 每个进程打开的所有文件;
(5) 每个进程打开的所有注册表的键值;
(6) 每个进程打开的所有网络套接字(sockets),包括IP地址和端口信息;
(7) 用户名和口令;
(8) 正在使用的email和web地址;
(9) 正在编辑的文件内容。
在拿到系统的物理内存镜像之后,该如何着手进行分析呢 2005年夏季之前,调查人员在获取内存镜像之后,标准处理流程是使用strings.exe[14]提取字符串或使用grep工具进行搜索,目的是得到email地址、IP地址等信息,或者是两种方法同时使用。虽然使用这种方法确实能得到一些信息(例如,用户名“附近”保存的类似口令的字符串),但是这种方法不能提供信息的上下文环境。例如,字符串是从哪里来的?哪个进程在使用这个字符串?
2005年的DFRWS内存分析挑战赛带动了对内存信息的进一步研究和分析。通过定位特定进程(或内存中的其他对象)及进程使用的内存,调查人员可以更深入地理解其中的信息,并且在分析时可以忽略正常进程,集中精力分析“不常见的”进程和数据。因此,目前物理内存取证分析的重点在于分析内存中的进程及进程所使用的内存,并从中找出有用的入侵证据。
2.2.1 Windows系统进程基础[1,17]
在Windows系统中,每个进程都用一个EProcess(Executive Process)结构来表示[11],它包含进程的多个属性以及指向进程相关的其他属性和数据结构的指针。由于数据结构就是字节序列,序列中有特殊的含义和目的,所以需要调查人员对其进行分析。在对EProcess结构进行分析时必须注意:对于不同版本的Windows操作系统来说,EProcess的大小和结构可能是不同的。甚至对于同一个版本的Windows操作系统来说,如果SP补丁包版本不同,EProcess的大小和结构也有可能不同。
EProcess结构中最重要的一个成员是指向进程环境块(PEB)的指针。进程环境块中包含大量的信息,对取证比较重要的信息有:
(1) 指向PPEB_LDR_DATA结构(其中存放的是进程的加载器使用的数据)的指针,PPEB_LDR_DATA结构中包含进程中使用的动态链接库的指针。
(2) 指向可执行文件镜像加载基地址(ImageBaseAddress,在PEB偏移0x008处)的指针,通过这个指针可以找到内存中可执行文件的起始位置。
(3) 指向包含进程参数结构(ProcessParameters,在PEB偏移0x010处)的指针,该结构包含进程中加载的动态链接库的路径、可执行文件镜像的原始路径以及创建进程时传递进来的参数等信息。
如果能从物理内存镜像中提取这些信息,对于案件的侦查是很有帮助的。
2.2.2 分析实例
2006年,Harlan Carvey编写了几个用于辅助分析Windows系统物理内存镜像的工具。由于当时可用的镜像是DFRWS2005内存分析挑战赛提供的Windows2000系统,因此这几个工具都是针对Windows2000系统的。Harlan Carvey编写的这几个工具都是Perl命令行脚本,分别是lsproc.pl、lspd.pl、lspm.pl和lspi.pl。在参考文献[17]的配套光盘中提供了与这几个Perl命令行脚本对应的可执行文件lsproc.exe、lspd.exe、lspm.exe和lspi.exe,同时还提供了实验用的物理内存镜像文件win2000.vmem。
(1) 用lsproc列出镜像中所有的进程
Lsproc是列举进程(List Process)的缩写,该脚本的作用是列出镜像中所有的进程。运行lsproc只需一个参数,即物理内存镜像文件的路径:
D:ch3code>lsproc win2000.vmem(该命令运行时间较长,约需10分钟左右)
(2) 用lspd列出指定进程的详细信息
Lspd可以列出进程更详细的信息。Lspd依赖lsproc的输出以获取信息。运行lspd时需要二个参数:镜像文件的路径名和lsproc输出的需要分析的进程偏移量:
(3) 用lspm获取指定进程的内存数据
Lspm.pl工具可以自动提取进程所使用的内存数据,并将其写到当前目录的一个文件中。
(4) 用lspi提取指定进程的可执行文件镜像
当进程开始启动的时候,对应的可执行文件会被读入内存。Lspi.pl是一个Perl脚本,它可以定位进程可执行文件的起始地址,如果该地址指向一个有效的可执行文件,Lspi.pl就会根据PE头部数据结构中的内容定位内存中的数据并重组可执行文件内容。
3 存在问题及进一步的工作
物理内存取证分析技术是一个全新的研究领域,该研究起步较晚。尽管目前研究有一定的进展,也有一定的成果,但总的来说还不够成熟,还存在许多问题,具体表现在:
(1) 缺乏可靠、实用的获取物理内存的硬件设备。用硬件方法获取系统的物理内存是比较理想的方案,因为这种方法对系统的物理内存几乎没有影响,不会破坏或者覆盖物理内存的内容,可以得到非常完整的物理内存。目前几种获取物理内存的硬件设备如Tribble和FireWire等还有很多不完善的地址,还需要进一步改进。
(2) 目前获取系统物理内存的软件工具较多,但用这些工具获取物理内存不可避免地会破坏甚至覆盖物理内存的内容。如何改进这些软件工具,使其对物理内存的影响降至最小,是目前需要重点研究的一个问题。
(3) 目前比较成熟的物理内存取证分析工具较少,需要进一步的研究和开发。
(4) 目前物理内存取证分析技术的研究重点是针对Windows系统的,而针对UNIX、Linux和Macintosh等系统的研究较少。由于目前UNIX、Linux和Macintosh等系统的应用也比较广泛,因此也必须加强对这些系统的物理内存取证分析技术的研究。
针对上述存在的问题,进一步的工作应包括以下几个方面:
(1) 重点研究获取系统物理内存的硬件设备;
(2) 改进现有的获取系统物理内存的软件工具,使其对物理内存的影响降至最小;
(3) 加强物理内存取证分析工具的研发工作;
(4) 加强对UNIX、Linux和Macintosh等系统的物理内存取证分析技术的研究;
(5) 通过因特网远程获取物理内存也是未来的一个重要研究方向。
智能手机取证应用研究 篇8
关键词:智能手机,取证,刑侦,工具
电子信息通信技术不断发展, 手机如今成为了人们生活当中兼具实用性与娱乐性的重要工具。而利用手机等移动通信设备进行违法犯罪行为也已经数见不鲜, 例如短信骚扰、邮件诈骗、非法交易等。随着智能手机的普及, 手机犯罪案件不断增多, 对于手机取证技术的研究也不断发展。刑事案件当中涉及到手机取证的情况也日益增多。智能手机当中有着大量的用户信息数据, 利用这些数据往往能够为刑侦工作带来很大的帮助。智能手机取证也成为了提供司法依据、打击犯罪的有效手段, 智能手机取证工作的意义十分重大。
1 智能手机取证概述
如今智能手机电子取证技术不断发展, 对于手机取证技术的研究也走向了新的高度。手机内存、移动运营商以及SIM卡是智能手机电子取证数据的三个主要来源, 可以利用此对手机中的基本信息进行初步数据提取。同时对于一些隐藏的数据, 例如日志空间、系统缓存等, 也需要进一步提取。
智能手机取证的主要特征表现为取证对象的移动性, 手机是移动终端, 监管的难度较大;其次为取证范围的广泛性, 如今智能手机的操作系统多样化, 市场上较为常见的有Android、ios、wp等手机操作系统, 这也使得手机电子信息的类型众多, 取证范围大并且手机的软硬件以及数据接口等方面也存在着差异, 这也增大了取证工作的难度;此外手机信息技术更新发展快, 产品的周期较短, 使得数据标准难以统一, 取证技术也不断发展。
2 智能手机取证流程
智能手机电子取证需要遵循全面取证原则、及时取证原则以及无损取证原则。全面取证原则是指利用手机技术分析, 确保对手机中的数据进行全面提取, 从而做到不遗漏数据证据;及时取证原则是指随着时间推移, 手机状态会发生一定的变化, 例如系统日志以及系统进程使得容量变小, 导致原来的信息被覆盖, 因而对于电子数据需要及时提取;无损原则是指在进行手机取证时, 不能对取证的物品进行任何的修改, 保持手机状态不变, 同时要使手机远离高磁场, 避免灰尘、高温、静电等, 保证提取信息的真实可靠。刑侦工作当中, 针对智能手机的电子调查取证流程主要有以下几点:
(1) 取证准备
取证准备工作为对案件进行初步了解分析, 掌握案件犯罪目的、犯罪动机等基本的情况;同时成立相关的调查小组, 分工实施;针对具体的手机品牌、型号以及软硬件特征, 选取合适的手机取证工具, 充分做好调查取证准备工作。
(2) 证据提取
证据提取工作为对所收集到的检材样本编号, 拍照与记录, 同时确定手机的型号与软硬件信息, 屏蔽手机信号, 预防手机数据变化而影响到证据提取的结果;选取相应的提取方式, 提取有效数据, 记录下检材样本数据。如手机中的短消息数据提取, 以iphone为例, iphone中的短信消息储存在SMS文件夹的sms.db文件当中, 其为SQLite3格式, 需要转化才能够阅读。并且短信消息发送与接收通过INTEGER类型枚举值表示, 其需要同手机中的信息对比才能够确定含义。
(3) 证据分析
证据分析工作主要包括对网络数据库、手机内存、SIM卡以及手机软件的取证分析。证据分析是刑侦工作中的一个重要环节, 主要的工作为取证所收集到的数据, 提取同案件相关联的一些数据信息, 对于同案件相关的管理工具例如语音洗洗、通讯录、电子邮件等, 进行研究比较;对于一些隐藏数据、删除工具等更改后证据进行深入分析, 对相关的数据信息进行检测与恢复。
(4) 证据提交
证据分析工作之后, 需要编写分析报告, 对收集的数据信息进行审查与转换, 并作为证据提交。收集数据信息要在诉讼中发挥作用, 必须要转化为刑事诉讼中规定的证据类型。我国刑诉法规定的八个证据种类有:物证;书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定意见;勘验、检查、辨认、侦查实验等笔录;视听资料、电子证据。因而手机取证数据需要转化为以上证据种类中的一种, 否则无法作为证据进入诉讼中。
3 常用的取证工具分析
手机用户不断增多, 手机中所储存的信息也越来越重要。如今越来越多的人投身于智能手机取证研究当中, 但市场上的手机协议各不相同, 当前取证工具一般为对某种手机的取证, 其全面性有待进一步发展。任何一种取证工具或多或少都存在着缺陷, 无法满足所有类型的智能手机的需求, 因而需要取证人员针对性地应用各种取证方式。
4 结束语
随着4G网络的到来, 智能手机的应用范围将进一步拓展, 智能手机取证的范围也将进一步扩大, 这也给手机取证工作不断带来了新的变化与难度。因而对于智能手机取证工作, 需要在实践中不断变化与进步, 努力解决智能手机取证当中存在的问题, 更新观念、完善法律法规, 从而更科学与合理地应用智能手机取证技术, 打击犯罪行为。
参考文献
[1]张明旺.基于手机的电子证据获取技术研究[J].电脑知识与技术, 2012, 08.
[2]任庆华.电子证据取证规范化初探[J].中国人民公安大学学报, 2010, 04.
电子取证技术措施研究 篇9
关键词:电子取证;程序;技术
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)18-0040-02
1 电子证据取证概述
作为新生事物,电子证据自诞生那天起就引起了人们的广泛关注,在法律界也争议不断。虽然已经出现在了法律条文中,但是仅模糊地用“视听资料”来形容,至于是否包含电子证据,包含哪些电子证据尚不能明确界定。在命名上也是各有所表,有计算机证据、数字证据、网络证据等称呼。电子本身所具有的高科技性及复杂性,给其下定义也带来了难题。一般认为,电子证据就是以高科技电子载体为证据,具体包括电子文件、电子材料、聊天内容、视听音像等与计算机及电子产品有关的内容。
电子证据具有以下几个特点:首先是科技性高。获得电子证据是一项技术性很强的工作,没有高深的专业技术是不行的;其次是多样性。这主要表现在存储、传播和表现形式方面,可以存储在硬盘或U盘,可以互相转换或远程传输,可以表现为文件或视频等;还有就是脆弱性。电子证据的保存会因操作不当而丢失,也会受不法分子的攻击而被篡改,因此保证电子证据的完整性与真实性问题多,困难大。
2 电子取证技术措施
对于电子证据取证,在我国目前的法律法规中表意还很不明确,于是导致在具体的司法实践中也难以实务操作。从法律的角度出发,采用高新技术与相应方法,通过法律理念与技术方法的完美结合,提供有效的电子证据。
2.1 电子取证程序
电子取证程序与传统的取证程序大同小异。
首先确定和保护证据现场。以网络犯罪为例,规模小者如一台电脑的家庭用户,规模大者如拥有数百台电脑的计算中心;运用个人网络终端可以作案,运用国际互联网也可以作案。那么,在进行电子证据取证现场确定时,现场就是计算机本身,通过对计算机硬件的扣留查验,寻找犯罪嫌疑人网络犯罪的时间与具体内容,从而成为证实犯罪的电子证据。对于犯罪证据的收集,犯罪事实的认定方面,保护好证据取证现场至关重要。与普通警察封锁犯罪现场,搜索证物不同的是,网络警察要及时冻结计算机系统,让犯罪分子无法破坏证据。在提取证据时,使该电脑避免与互联网连接,避免黑客入侵与病毒感染的状况发生。
其次是发现和识别证据。每台电脑存储的内容都很多,哪些是与犯罪有关的内容,哪些是与犯罪无关的内容,要逐一筛选核实。所以说电子证据的发现和识别是一项细心且繁重的工作。将这些证据查实并安全保持之后,可以将冻结电脑联网,再次对聊天记录、电子邮件、上网记录等情况进行全盘清查,确保犯罪证据确凿无遗漏。
接着就是安全保存证据。前面已经提及,将犯罪者运用电脑查封后,立马进行证据提取,提取出的证据要固定下来,这样以便在电脑联网时,即是受到网络黑客的恶意入侵或病毒感染也不会前功尽弃。如何进行安全保存证据,常用的方法如表1所示:
然后是分析和鉴定证据。对证据掌握之后,随后进行的就是分析与鉴定。也就是对犯罪嫌疑人洗脱罪名的一次机会。是不是有人借用电脑作案呢?本着公平公正的原则,必须对犯罪证据进行分析和鉴定。分析的内容很多,如所谓的犯罪证据是不是被别有用心之人恶意制作或篡改?犯罪嫌疑人在何时,采用何种手段进行犯罪的?登陆密码是否有他人知晓等等问题。结合分析情况进行鉴定,如个人电脑就要鉴定个人登陆时间,假如该台电脑晚上8时进行了犯罪行为,你却身在外地,那么具体是谁实施了犯罪行为要落实到人。从电脑上查找出的犯罪证据是不是原件,要进行真伪鉴定。通过对电脑系统的检测来鉴定犯罪行为是不是被恶意软件控制或病毒感染而造成的。总之,通过鉴定的电子证据才可以在后来的庭审过程中被采纳及认同。所以,电子证据的鉴定一定要有资质的合法单位来完成。
2.2 电子取证技术
今非昔比,电子证据越来越多地进入到了人们的生活当中。这是时代所需,也是法律必须,更要技术支撑。时代在发展,科技在进步,如电子商务的崛起,需要人们在欢喜雀跃的同时,也要冷静明晰,犯罪分子也是与时俱进的,网上多少这样的案件啊,今天银行卡的钱消失了,明天信用卡被刷爆了;今天QQ被盗了,明天微信也不是自己的了。出现以上类似问题,网络警察就要登上前台了。
2.2.1 数据恢复技术
电子取证最主要运用的就是数据恢复技术。没有傻瓜把证据活生生地摆在你面前,普通警察需要通过现场勘查以及走访询问来搜集证据,网络警察则要通过数据恢复来掌握证据。数据恢复技术是一项技术含量高,工作难度大的活计,只有将犯罪嫌疑人已经删除、有意破坏的信息恢复原貌,才能查明犯罪动机,甚至犯罪过程。但是,电脑存储的介质很多,如硬盘,光盘,U盘等,虽然只是通过电脑操作而内容并未存入电脑,从技术方面上讲,只要通过电脑操作的内容,都会在电脑中留下印迹,原理就不再解释了。所以说,即便有的证据被删除了,也还是有恢复复原的可能,前提就是问题发现的要及时,新数据没能完全覆盖时,短期内被删除的数据完全可以重见天日。文件一旦恢复,其创始时间,修改时间等关键数据也就一目了然了。
2.2.2 数据复制技术
一旦通过数据恢复技术发现了有关证据,就要进行复制备份。联网复制是不可取的,说不定犯罪嫌疑人已经准备了,通过网络攻击来销毁证据。这就需要应用磁盘镜像复制技术进行信息拷贝。以我国目前使用的NORTON及GHOST的本地镜像为例,其功能已经相当强大了,可以对坏扇区及校验错误的CRC数据进行拷贝备份,方便了下一步的取证分析。
2.2.3 数据过滤技术
如何从海量的数据中提取有用的信息?这就需要采用数据过滤技术。通过使用该技术,在网络犯罪取证中,只要对电子证据源数据进行分析,运用关联规则,就可以将犯罪行为之间的关联特征一并搜出;运用应用分类算法甄别犯罪嫌疑人是否具有犯罪的动机及行为;运用联系分析法分析电脑程序与用户的序列关系,理清先后次序,提供有效数据。
2.2.4 蜜罐取证技术
这就是兵法上讲的“诱敌深入、关门打狗”的战略。当犯罪嫌疑人的电脑被控制之后,因其犯罪证据就在电脑中,势必会聘请电脑黑客枕戈待旦进行网络攻击,对储存的不利信息进行修改或破坏。蜜罐取证技术就是为了对付黑客应运而生的。蜜罐技术会主动暴露虚拟的网络漏洞,引诱黑客入侵。网络警察一方面对黑客入侵的过程进行全程记录,另一方面还会迅速锁定黑客的位置,最终实现人证物证俱在的结果。
当然,还可以运用日志分析技术,对犯罪嫌疑人每日的网上操作情况进行分析;通过网络实名制制度,对IP号具体到人,然后利用网络监控及定位技术,可以很快的锁定犯罪嫌疑人。
3 小结
计算机技术的发展,网络化生活的到来,电子证据会逐渐成为不久的将来人们最主要的证据类型。希望国家在《诉讼法》修订方面也要与时俱进,让电子证据早日堂堂正正地迈进人民法庭。
参考文献:
[1] 朱翔.电子取证技术的发展与规范[J].警察技术,2006(4).
[2] 刘泽.信息化警务模式下网络取证技术完善的研究[J].网络安全技术与应用,2012(1).
浅谈计算机取证 篇10
随着计算机技术的迅速发展和计算机领域的广泛应用, 以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越多。计算机取证就是研究如何打击计算机犯罪、提取和分析计算机犯罪证据并证明该证据是原始的、完整的、合法的、有效的新型学科。
2 计算机取证相关概念和特点
2.1 计算机取证定义
计算机取证是指运用先进的技术手段, 按照一些预先定义的程序及符合法律规范的方式全面检测计算机系统, 提取、存储、保护、分析并将与计算机犯罪相关的证据归档并呈送给法庭的过程。其目的是对犯罪分子怎样入侵计算机以及在入侵成功后所做的事情进行一次重现。
2.2 计算机取证特点
2.2.1 数字性。
计算机证据的物质载体是电子元件和磁性材料等, 改变数据或程序, 从物理表示上, 只是集成电路的电子矩阵的正负电平或磁性材料磁体发生了变化。
2.2.2 脆弱性。
由于计算机信息容易被修改, 并且对其进行不可修复的修改后不会留有痕迹, 从而使其变得十分脆弱。
2.2.3 多态性。
由于计算机证据的表现形式多样, 即不同形态的输出材料都来源于同一计算机存储的信息本身。虽然不同证据的表现形式并不能说明其在审查判断上有根本的区别, 但是不同形态的证据材料的审查规则是不同的。
2.2.4 人机交互性。
计算机证据的形成, 在不同环节上, 由不同的操作人员执行, 这在不同程度上都可能影响计算机系统的运行。因此, 为了保证证据的可靠性和真实性, 应该从技术和管理角度上严格控制人机系统。
2.2.5 复合性。
证据的符合性是指当证据可以以多种形式表现, 在诉讼过程中采纳某一种证据形式时, 应当既考虑证据生成过程中的可靠程度又考虑这一证据的表现形式是否被删改过。
2.3 计算机取证的基本原则
根据计算机取证的如上特点, 计算机取证的基本原则是:
2.3.1 合法性原则。按照法定程序公开合法的收集与提取证据, 要求提取的证据具有法律效力。
2.3.2 及时准确性原则。尽早收集证据, 确保其没有受到任何破坏, 同时正确运用已有的先进技术和相关取证工具获取准确的证据。
2.3.3 备份原则。对于计算机证据至少应制作两个副本, 原始媒体应妥善保管, 用副本进行证据的提取和分析。
2.3.4 证据连续性原则。证据被正式提交时, 必须能够证明证据从最初获取到提交之间的状态, 包括移交、保管、开封、拆卸等过程说明。
2.3.5 严格管理原则。计算机证据的移交、保管、开封、拆卸等过程必须由侦查人员和保管人员共同完成, 拍照制作详细笔录。同时计算机证据的媒体或介质应远离磁场、高温、灰尘、潮湿及腐蚀性环境, 以备随时使用。
3 计算机取证过程
计算机证据的获取一般分为两大步骤, 第一步是实体物理设备或软件系统的获取, 即计算机系统的获取;第二步是证据分析。具体操作步骤一般是:保护和勘察现场;证据的保全和收集;恢复证据和分析证据;证据的保存和提交。在实际的调查取证过程中, 会面临各种不同的应用环境, 静态取证环境和动态取证环境有差别, 其取证步骤和方式也有一定的差异。
3.1 静态取证
在静态取证环境中, 取证人员往往处于被动方式, 在案发后才前往犯罪现场, 对犯罪现场情况和计算机设备信息毫不知情, 不能确定是否能从物理证据中获取有用的电子证据, 这是属于事后调查取证摸索和探索的过程, 对于时效性的要求不高。
3.2 动态取证
在动态取证环境中, 要注意单机动态取证和网络动态取证的区别:
3.2.1
单机动态取证其取证环境和静态取证环境差不多, 也是属于事后调查取证, 但是在取证过程中需要特别注意取证策略和方法, 重点获取计算机运行状态信息、内存和缓存交换空间等资料信息, 其时效性的要求比静态取证要高一些。
3.2.2
网络动态取证就比较复杂, 与静态取证相比, 网络取证具有以下特点: (1) 在网络环境下数据分布广泛, 涉及的网络设备比较多, 当计算机犯罪发生网络犯罪时, 不可避免地在多个地方留下痕迹, 而这些痕迹是很难销毁干净的。 (2) 网络上的数据是动态, 这个特性也就决定了网络取证的实时性和连续性。 (3) 由于网络的连通性, 决定了取证人员可以通过网络实时监听和获取犯罪嫌疑人计算机的网络活动, 对其进行不间断的监控, 从而收集罪嫌疑人的犯罪电子证据。这个特性相对静态举证具有主动获取证据的特点。 (4) 网络取证具有主动取证和事后取证的双重特性。
4 计算机反取证技术
自从计算机诞生之日起, 计算机取证技术和计算机反取证技术之间的对抗就一直存在, 并不断升级。就静态取证技术和动态取证技术来说, 静态取证技术是基础, 动态取证技术是延伸、发展和创新。这两种取证技术可以分别单独使用, 也可以混合使用。
4.1 静态取证技术与反取证技术
静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。针对计算机静态取证技术, 目前反取证技术主要有:数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术, 这些技术可以单独使用也可以混合使用。
4.2 动态取证技术与反取证技术
因为静态取证技术涉及到基础研究, 因此在静态取证中所涉及到的技术大部分都适用动态取证, 也是属于动态取证技术中的一部分。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术, IP地址获取技术等技术。针对计算机动态取证技术, 其反取证技术除包含静态反取证技术的相关内容外, 还有以下反取证技术:数据转换技术、数据混淆技术、防止数据创建技术, 以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用, 这些技术的使用在一定程度上给取证人员带来了一定的困难。
结束语
虽然计算机取证概念从提出到现在已经发展近20年, 在国内也发展近10年, 计算机取证技术已经得到了一定的发展, 但目前的研究多着眼于入侵防范, 对于入侵后的取证技术的研究相对滞后。因此, 需要更深入的研究以适应计算机取证技术领域扩大化、学科融合化、标准化、智能化等发展趋势。
参考文献
[1]于波, 涂敏.计算机取证分析[J].计算机与现代化, 2006.
[2]陈龙.计算机取证技术[M].武汉:武汉大学出版社, 2007.
[3]王俊.论计算机取证相关问题[J].中国司法鉴定, 2008.
[4]戴士剑.计算机取证技术体系研究[A].第二届中国计算机取证技术峰会, 2006.