電子取證技術助力司法取證
何謂電子取證技術?電子取證技術包括動態電子取證技術和靜態電子取證技術,在司法取證實踐中,取證人員經常會面臨靜態電子取證技術問題。靜態電子取證技術是針對可能含有證據的非線上計算機、硬碟、軟碟、光碟、存儲卡、手機、PDA設備等進行證據獲取的技術,包括存儲設備的數據恢復技術、隱藏數據的再現技術、加密數據的解密技術和數據過濾、數據挖掘技術等。
在司法取證工作中,電子取證技術的套用日漸廣泛,不可否認,電子取證技術的發展無疑為近幾年司法取證帶來了更科學的司法取證手段。然而,在具體的司法取證實踐中,電子取證技術套用還面臨諸多阻礙,如司法取證人員對電子證據重視度不高、電子取證技術智慧型操作不強以及反取證技術(包括數據擦除、數據隱藏、數據加密)的出現等,都為司法取證工作的開展帶來一定難題。
計算機取證
計算機取證是對計算機犯罪證據的識別獲取、傳輸、保存、分析和提交認證過程,實質是一個詳細掃描計算機系統以及重建入侵事件的過程。
國內外計算機取證套用發展概況
現在美國至少有70%的法律部門擁有自己的計算機取證實驗室,取證專家在實驗室內分析從犯罪現場獲取的計算機(和外設),並試圖找出入侵行為。
在國內,公安部門打擊計算機犯罪案件是近幾年的事,有關計算機取證方面的研究和實踐才剛起步。中科院主攻取證機的開發,浙江大學和復旦大學在研究取證技術、吉林大學在網路逆向追蹤,電子科技大學在網路誘騙、北京航空航天大學在入侵誘騙模型等方面展開了研究工作。但還沒有看到相關的階段性成果報導。
計算機取證的局限性以及面臨的問題
計算機取證的理論和軟體工具是近年來計算機安全領域內取得的重大成就,從計算機取證的軟體和工具實現過程的分析中可以發現,當前計算機取證技術還存在很大局限性。
從理論上講,計算機取證人員能否找到犯罪證據取決於:有關犯罪證據必須沒有被覆蓋;取證軟體必須能找到這些數據;取證人員能知道這些檔案,並且能證明它們與犯罪有關,從當前軟體的實現情況來看,許多所謂的“取證分析”軟體還僅僅是恢復使用rm或strip命令刪除的檔案。
計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化:
(1)反取證技術的發展。反取證就是刪除或隱藏證據使取證調查失效。反取證技術分為3類:數據擦除、數據隱藏和數據加密,這些技術還可以結合起來使用,讓取證工作的效果大打折扣。
(2)NestWatch、NetTracker、LogSurfer、VBStats,NetLog和Analog等工具可以對日誌進行分析,以得到入侵者的蛛絲馬跡。一些入侵者利用RootKit(系統後門、木馬程式等)繞開系統日誌,一旦攻擊者獲得了Root許可權,就可以輕易修改或破壞或刪除作業系統的日誌。
計算機取證軟體局限性表現為:
(1)目前開發的取證軟體的功能主要集中在磁碟分析上,如磁碟映像拷貝,被刪除數據恢復和查找等工具軟體開發研製。其它取證工作依賴於取證專家人工進行,也造成了計算機取證等同於磁碟分析軟體的錯覺。
(2)現在計算機取證是一個新的研究領域,許多組織、公司都投入了大量人力進行研究。但沒有統一標準和規範,軟體的使用者很難對這些工具的有效性和可靠性進行比較。也沒有任何機構對計算機取證和工作人員進行認證,使得取證權威性受到質疑。
計算機取證發展研究
計算機取證技術隨著黑客技術提高而不斷發展,為確保取證所需的有效法律證據,根據目前網路入侵和攻擊手段以及未來黑客技術的發展趨勢,以及計算機取證研究工作的不斷深入和改善,計算機取證將向以下幾個方向發展:
取證工具向智慧型化、專業化和自動化方向發展
計算機取證科學涉及到多方面知識。現在許多工作依賴於人工實現,大大降低取證速度和取證結果的可靠性。在工具軟體的開發上應該結合計算機領域內的其它理論和技術,以代替大部分人工操作。
利用無線區域網路和手機、PDA、攜帶型計算機進行犯罪的案件逐年上升,這些犯罪的證據會以不同形式分布在計算機、路由器、入侵檢測系統等不同設備上,要找到這些工具就需要針對不同的硬體和信息格式做出相應的專門的取證工具。
計算機取證的相關技術發展
從計算機取證的過程看,對於電子證據的識別獲取可以加強動態取證技術研究,將計算機取證結合到入侵檢測、防火牆、網路偵聽等網路安全產品中進行動態取證技術研究;對於系統日誌可採用第三方日誌或對日誌進行加密技術研究;對於電子證據的分析,是從海量數據中獲取與計算機犯罪有關證據,需進行相關性分析技術研究,需要高效率的搜尋算法、完整性檢測算法最佳化、數據挖掘算法以及最佳化等方面的研究。
對入侵者要進行計算機犯罪取證學的入侵追蹤技術研究,目前有基於主機追蹤方法的CallerID,基於網路追蹤方法的IDIP、SWT產品。有學者針對網路層的追蹤問題,提出基於聚類的流量壓縮算法,研究基於機率的追蹤算法最佳化研究,對於套用層根據資訊理論和編碼理論,提出採用數字水印和對象標記的追蹤算法和實現技術,很有借鑑意義。在調查被加密的執行檔時,需要在計算機取證中針對入侵行為展開解密技術研究。
計算機取證的另一個迫切技術問題就是對取證模型的研究和實現,當前應該開始著手分析網路取證的詳細需求,建立犯罪行為案例、入侵行為案例和電子證據特徵的取證知識庫,有學者提出採用XML和OEM數據模型、數據融合技術、取證知識庫、專家推理機制和挖掘引擎的取證計算模型,並開始著手研究對此模型的評價機制。
計算機取證的標準化研究
計算機取證工具套用,公安執法機關還缺乏有效的工具,僅只利用國外一些常用的取證工具或者自身技術經驗開發套用,在程式上還缺乏一套計算機取證的流程,提出的證據很容易遭到質疑。對計算機取證應該制定相關法律、技術標準,制度以及取證原則、流程、方法等,到目前為止,還沒有專門的機構對計算機取證機構或工作人員的資質進行認定。加強對具有取證職能的計算機司法鑑定機構的建設,指定取證工具的評價標準,對計算機取證操作規範是很必要的。