1、 淺析計算機網(wǎng)絡取證技術 1 序言 計算機從前只被用來處理科學運算和處理商業(yè)數(shù)據(jù), 如氣象預報和金融交易。在這樣有限的用途上, 計算機罪行從前只局限于竄改數(shù)據(jù)紀錄, 例如竄改銀行系統(tǒng)的數(shù)據(jù)。這些行為多是非專業(yè)的盜竊和沒有組織的犯罪。信息安全技術發(fā)展的主要目標是為了保護計算機系統(tǒng), 保護計算機系統(tǒng)內(nèi)的信息的機密性(Confidentiality), 完整性(Integrity), 可用性和問責性(Availability and Accountability)。這3 種特性也被稱為CIA 原則。保護技術措施包括：加密的保密措施, 以哈希算法(Hashing)來進行完整性檢查, 認證技術和審計蹤跡

2、。這些措施可以提高可用性和問責性。所有這些保護措施, 為的是要確保沒有人未經(jīng)授權, 取用計算機系統(tǒng)和竄改信息。如何調(diào)查找出那些未經(jīng)授權取用計算機系統(tǒng)和竄改信息的人, 這種現(xiàn)代的調(diào)查常被當作早期的電子調(diào)查和法證工作, 即找出電子證據(jù)。 1.1 電子證據(jù)與取證調(diào)查 人們常把由計算機制作的文件和計算機活動日志當作電子證據(jù)。根據(jù)香港特別行政區(qū)法例的證據(jù)條例第22A 條, 一項由計算機制作的文件的陳述, 由在有關計算機的運作、或有關活動的管理方面身居要職的人, 依法簽署的證明書依法證明, 則可在任何刑事法律程序中, 接納為該陳述內(nèi)所述任何事實的表面證據(jù)。該證明書對由計算機制作的文件的制作方式予以描述,

3、以及在有關法律程序關系的范圍內(nèi), 說明該文件的性質(zhì)及內(nèi)容。 現(xiàn)代的計算機網(wǎng)絡罪行更復雜。犯罪分子不單只竄改計算機記錄, 而且還用計算機來存儲他們的數(shù)據(jù), 例如：非法金融交易和地址簿。此外, 犯罪分子還利用互聯(lián)網(wǎng)作為一個犯罪平臺, 例如分布式拒絕服務攻擊, 網(wǎng)絡拍賣詐欺, 分享受版權保護的作品等等。現(xiàn)代的計算機網(wǎng)絡罪行和從前的計算機罪行的主要不同之處是現(xiàn)代的更專業(yè), 更有組織, 更多利用網(wǎng)絡。從前的計算機法證足夠應付現(xiàn)代的計算機網(wǎng)絡罪行嗎?從前的計算機法證的主要證據(jù), 來自由計算機制作的文件和計算機活動日志。計算機活動日志是否足夠呢?審計蹤跡是足夠嗎?罪犯刪除的金融交易記錄又如何恢復?很明顯,

4、傳統(tǒng)的計算機法證取證技術, 不足以應付當今的計算機網(wǎng)絡罪行。現(xiàn)代的調(diào)查是對電子證據(jù)進行智能相關性分析, 發(fā)掘同一事件不同證據(jù)之間的聯(lián)系。現(xiàn)代的分析證據(jù)是指對電子數(shù)據(jù)證據(jù)的分析、對收集的數(shù)據(jù)和備份進行查找、分折、歸類, 以及犯罪現(xiàn)場重建等。 1.2 計算機法證的發(fā)展 據(jù)Mark Pollitt, 計算機法證成立于1970代, 嬰兒期為1985年至1995年, 兒童期為1995年至2005年, 青春期為2005年至2010年。計算機法證的主要的工作重點是資料恢復：主要是數(shù)據(jù)恢復, 密碼恢復和文件恢復技術。數(shù)據(jù)恢復集中在恢復已被移走或刪除的電子邏輯或物理數(shù)據(jù), 例如一個破碎的硬盤。密碼恢復處理受密碼

5、保護的原始數(shù)據(jù), 如密碼加密的文件。文件恢復技術嘗試從硬盤內(nèi)的數(shù)據(jù)塊的片段恢復刪除的文件。今天, 文件恢復技術在計算機法證工作上, 仍然是一個主要任務, 例如手機的數(shù)據(jù)恢復。 傳統(tǒng)的法證主要集中在識別和重建。識別包括指紋, DNA和毒品。指紋和DNA被用來識別特定的人, 而毒品分析用于確定毒品的化學成分。識別的目的是用來判斷樣品是否來自一個特定的對象, 諸如人或毒品。 法證的另一個領域是重建, 其中包括犯罪現(xiàn)場重建與彈道重建。彈道重建被用來重建從火器發(fā)射的子彈的軌跡。犯罪現(xiàn)場重建試圖重建曾在犯罪現(xiàn)場所發(fā)生的事件, 例如一宗謀殺案如何發(fā)生。 計算機法證與傳統(tǒng)法證相似, 它們都試圖回答以下的問題,

6、 并重建過往發(fā)生的事：發(fā)生了什么事情, 當事人是誰, 在什么時間什么地點如何發(fā)生的, 以及這件事情發(fā)生的動機是什么。 3 計算機法證犯罪現(xiàn)場重建 在本節(jié)中, 我們以真實案例中的犯罪現(xiàn)場重建為例, 介紹電子證據(jù)犯罪現(xiàn)場重建的過程。在香港特別行政區(qū)及世界各地, 藏有兒童色情物品是一種犯罪行為。在香港特別行政區(qū), 任何人藏有兒童色物品, 一經(jīng)公訴程序定罪, 可處罰款$1,000,000及監(jiān)禁5年;或一經(jīng)簡易程序定罪, 可處罰款$500,000及監(jiān)禁2年。香港地區(qū)某犯罪嫌疑人被控藏有兒童色情物品, 警方查獲計算機一臺。 3.1 犯罪現(xiàn)場重建過程 為了進行計算機法證分析, 警方按標準的程序檢查檢獲的計算

7、機。這些標準程序基于確立的計算機采證程序, 產(chǎn)生法證克隆、計算哈希算法值、掃描計算機病毒等等。在標準的計算機采證過程后, 計算機法證鑒定人將會分析檢獲的計算機硬盤驅(qū)動器, 收集電子證據(jù)。對于兒童色情物品的案件, 電子證據(jù)是兒童色情圖片和動態(tài)影像。所以第一步是尋找在計算機儲存的兒童色情圖片和動態(tài)影像, 這些會包括：現(xiàn)存的兒童色情圖片和動態(tài)影像, 和恢復刪除的兒童色情圖片和動態(tài)影像。 執(zhí)法人員已為兒童色情圖片和動態(tài)影像建立哈希值數(shù)據(jù)庫, 計算機法證鑒定人便不需要閱覽個別的兒童色情圖片和動態(tài)影像。相反, 計算機法證鑒定人只需要把計算機里面的文件的哈希值與數(shù)據(jù)庫比較。顯示出根據(jù)該文件的創(chuàng)建時間和最后寫

8、入的時間的事件恢復過程。根據(jù)這2個時間戳, 文件在2005年2月22日上午12時37分09秒被復制到當前位置。計算機法證鑒定人試圖從文件其中包含關于文檔的信息, 例如創(chuàng)建者、修改的日期和其他細節(jié), 和其它計算機活動日志和電子證據(jù), 去重建產(chǎn)生該兒童色情圖片和動態(tài)影像的經(jīng)過, 例如得出結論, 于2004年1月4日, 疑犯從互聯(lián)網(wǎng)下載童色情圖片和動態(tài)影像, 并使用信用卡號碼 0000-1111-2222-3333 在網(wǎng)上支付, 然后在2009年8月5日備份到外部媒體。 顯示了犯罪現(xiàn)場重建, 犯罪嫌疑人2在004年1月2日使用他的信用卡購買在互聯(lián)網(wǎng)上的兒童色情物品, 然后在2009年8月4日做一個備

9、份到外部硬盤上。 3.2 犯罪現(xiàn)場重建的法證科學 犯罪現(xiàn)場重建之所以重要, 是因為在法庭上, 計算機法證鑒定人需要給非技術人員(法官和陪審團)解釋 技術細節(jié), 讓他們作出裁決。法律可能有特定的要求, 例如控方需要證明犯罪嫌疑人知悉兒童色情圖片和動態(tài)影像儲存在計算機里。許多時候, 犯罪嫌疑人的辯解是, 兒童色情裸照是被木馬下載的, 他并不知道它們?yōu)槭裁丛谟嬎銠C里。辯方可以聘請專家質(zhì)疑檢察官的說法, 或混淆法官和陪審團對技術細節(jié)的了解。計算機法證鑒定人的證言不僅受到辯方的質(zhì)疑, 還受到法庭的監(jiān)察。 美國最高法院在Daubert一案裁定, 主審法官必須確保接納的科學證言或證據(jù), 不但全部切題且全部可

10、靠。所提出的科學證言須以恰當?shù)尿炞C方法, 亦即獲科學上已知的有力理據(jù)支持, 具體包括: 1. 通過可靠性測試2. 通過同行評審3. 提供方法或理論的錯誤率, 并在一定范圍之內(nèi)4. 符合標準和控制 5. 得到普遍接受 有關的法律也規(guī)定專家的科學證言須結合 科學知識, 并就證據(jù)之可靠及可信立下標準。證據(jù)的可靠程度取決于科學上能否驗證。 現(xiàn)代的電子調(diào)查是對電子證據(jù)進行智能相關性分析重建犯罪過程, 例如通過計算機的所有者、電子簽名、密碼、交易紀錄、回郵信箱郵件、發(fā)送服務器的日志、上網(wǎng)IP等計算機特有信息識別體, 同其它證據(jù)互相印證, 相互關系起來, 進行綜合分析。 同時, 很多時候電子證據(jù)還需要傳統(tǒng)的

11、調(diào)查手法的輔助。調(diào)查人員在重建罪行時, 需要適當考慮其他可能存在的解釋, 并在解釋與證據(jù)之間進行相互印證, 可能在某中假設情況下, 需要查找更多的證據(jù), 又可能在新的證據(jù)下, 得出新的假設和解釋。調(diào)查人員要把證據(jù)互相印證, 相互關聯(lián)襲來進行綜合分析。科學是對事物正確理解的知識體系。知識的簡單說法要回答五個W, 這五個W是什么呢?就是何事、何故、何時、何地、何人。調(diào)查人員要找出與理論假設與證據(jù)之間如何構成證實的關系, 才能準確的重構犯罪過程。構建假設并驗證就是可以采用的科學方法。 4 P2P 網(wǎng)絡中發(fā)布者取證調(diào)查 本節(jié)以 Foxy 軟件為例, 介紹在一個P2P 網(wǎng)絡中, 如何通過調(diào)查取證找到數(shù)據(jù)

12、的上傳者, 以及何時調(diào)查能夠找到數(shù)據(jù)的最先上傳者。2008 年香港艷照門事件中, 嫌疑人就是利用Foxy對艷照進行共享, 使得藝人的裸照在Foxy 網(wǎng)絡中迅速傳播。想要抓捕嫌疑人, 勢必需要通過對Foxy 進行分析, 試圖找到物理世界中的人。 4.1 Foxy Foxy是一個繁體中文點對點分享(P2P)軟件, 發(fā)行者為已在2010年關閉的一家臺灣公司。該軟件只有正體中文版, 沒有英文等其它語言的版本, 因此主要流行在臺灣、香港及澳門等使用繁體中文的地區(qū)。它利用強制上傳增加分享速度, 用戶無法停止上傳。它沒有路由機制, 源頭的私隱(例如IP位址, 所在地點)不受保障。它沒有連接加密, 連接容易被

13、監(jiān)視。它容易讓使用者誤設為全機分享, 分享用戶所有檔案, 每次下載完成后自動重新分享用戶所有檔案, 用戶無法停止, 做成私人及機密檔案被公開發(fā)布。當Foxy客戶端試圖連接到Foxy網(wǎng)絡, 會執(zhí)行以下任務: (1) 用戶連接到Foxy的服務器, 以獲得一個對等端列表(2) 服務器回答一個對等的用戶列表(3) 用戶發(fā)送一個PING請求到各個對端(4) 各個對端回答一個PONG請求到用戶(5) 用戶現(xiàn)在在Foxy網(wǎng)絡上 在Foxy網(wǎng)絡中, 每個共享文件都使用它的名字。當一個用戶要尋找一個文件, 他輸入了一個搜索查詢的文件名(或只是其中的一部分)。查詢(Query)訊息發(fā)送到所有等端, 然后傳遞給其他

14、鄰居等端。當一個等端擁有一個文件名和查詢訊息字符串相匹配, 就回答一個QueryHit訊息給發(fā)出請求的用戶。QueryHit消息中包含的信息, 如IP地址和端口號, 共享文件和文件本身的信息。這使用戶能夠建立一個連接到該對等端, 啟動下載。 在接收QueryHit訊息以及有關的連接信息, 用戶先選擇一個文件, 并發(fā)送一個TCP HTTP GET至承載該文件的等端, 請求請求下載。承載該文件的等端然后回應, 并開始發(fā)送所請求的數(shù)據(jù)。與所有對等網(wǎng)絡的文件共享,所有等端在Foxy網(wǎng)絡中都是同等級的。所有擁有與Query請求匹配的副本的等端都回它的IP地址給請求者。當一個文件被廣泛地分布后想要確認哪個

15、等端是發(fā)起者多是不可能的。也許可以在下列情形中找到: 在peer緩慢的增長期;分享文件非常的大。 在緩慢增長期后找到誰是發(fā)起者是不可能的。在連續(xù)監(jiān)察下, 如果識別到大量關于特定名字的查詢, 并且大量查詢命中來自同一個IP地址, 則很有可能該IP地址就是第一個上傳者。緩慢增長期是不是真的存在? 我們進行了相關的實驗, 實驗結果驗證了緩慢增長期的存在。 而對于網(wǎng)絡上數(shù)據(jù)的上傳者, 需要進行如下的科學分析。一是查清網(wǎng)絡物品的來源。二是查清虛擬嫌疑人。通過上傳人IP地址(包括靜態(tài)IP、動態(tài)IP)、上網(wǎng)賬號、密碼及其相關登記資料、通過關聯(lián)點分析網(wǎng)上活動軌跡及對資訊內(nèi)容的分析, 研判行為人的網(wǎng)絡行為、個性特征, 鎖定虛擬嫌疑人。三是確認現(xiàn)實嫌疑人。這一般屬于通常所說的落地調(diào)查, 即通過詢問、訊問嫌疑人, 通過現(xiàn)場搜查、勘驗、檢查及電子數(shù)據(jù)鑒定確定現(xiàn)實嫌疑人, 其中硬盤、手機、日志、光盤的電子數(shù)據(jù)的固定和提取尤為重要。港特別行政區(qū)的艷照門案例就是個很好的例子。 5 結論 現(xiàn)代的計算機網(wǎng)絡罪行調(diào)查的重要部分是犯罪現(xiàn)場重建。李昌鈺博士認為：犯罪現(xiàn)場重建是指通過對犯罪現(xiàn)場的痕跡、物證的位置和狀態(tài)的分析及物證的實驗室檢驗, 從而確定或者排除在犯罪現(xiàn)場發(fā)生的事件和行為的過程。國內(nèi)王