計算機調查取證採集篇
信息技術的高速發展,正在深刻地改變人們的生活,與此同時,人類社會對信息技術的依賴,也帶來了巨大的安全風險。計算機犯罪正越來越多的在我們身邊發生,這種犯罪行爲包括了竊取和破壞數據、傳播惡意程序、提供違法信息、詐騙以及恐嚇等多種多樣的形式。因爲計算機罪犯往往可以不受限制的獲取進行犯罪所需的專業知識,實施犯案行爲不受地域限制,並具有高隱蔽性的特徵,所以增長十分迅速。單獨依靠信息技術進行安全防禦已被證明是遠遠不足的,我們需要更多的主動性手段來打擊和威懾計算機犯罪。
計算機取證(Computer Forensics)將計算機系統視爲犯罪現場,運用先進的技術工具,按照規程全面檢查計算機系統,提取、保護並分析與計算機犯罪相關的證據,以期據此發起訴訟。計算機取證工作主要圍繞以下兩個方面進行:證據的獲取和證據的分析。本文着重介紹證據採集方面的技術方法、流程和原則。
準備工作
無論如何,我們準備的越充分,就越有可能順利的完成調查工作,也越有可能保證證據被完整的採集。在這裏我們主要介紹需要準備的軟件和硬件方面的工具,當然,如果你事先總是在你的揹包裏放一些記錄工作流程、問詢信息的空白表格,你的工作肯定會更加有條不紊而且更具專業素質。通常來說調查人員並不擁有超級技能(雖然我們大概都希望擁有),所以我們使用的工具從很大程度上決定了我們的工作能有多出色。
這個世界上有很多操作系統,應該儘量在軟件包中準備那些可以跨越這些平臺進行取證的工具。同時遵循一個原則,儘量避免使用GUI程序,這類程序必須在操作系統處於運行狀態的時候使用,而且對內存和存儲介質的操作遠比命令行程序複雜,如果在被調查機器上啓動了這類程序,天知道我們的證據會變成什麼樣子;儘管具有豐富功能的頂級軟件通常都是GUI形式的,但還是留在分析證據時使用吧。
首先,我們應該製作各種操作系統的基本工具集。這樣做主要是因爲攻擊者通常會替換受害機器的二進制命令,如果利用被調查機器中的程序進行工作,產生的結果可能與期望中的全然不同。各種操作系統的基本命令應該包含什麼並沒有具體的定式,每個人的習慣和技能都不同,而且隨着調查經驗的豐富,你肯定會不停的對工具包進行更新。需要注意的是,儘量在合法的機器上製作這些工具盤,並且製作所有程序的MD5校驗列表,我們很可能需要在法庭上證明這些工具所產生的結果是可以被接受爲證據的。
在採集證據的過程中最主要的工作就是對各種介質進行鏡像。Class UNIX環境下,dd是能夠完成這項工作的通用命令,儘量在你的工具包裏包含各種類型、各種版本Class UNIX系統的dd命令吧,通過它可以很容易地爲被調查機器的整個驅動器製作一個鏡像。Windows平臺上也有很多類似的軟件,通常我們選擇Ghost來完成這項工作。
用於存放證據的存儲介質一定要事先進行處理,使用公認可靠的數據擦除軟件進行擦除,以避免介質中的殘餘數據對證據的分析和取信造成影響。在存儲證據時,最常用的硬件設備是移動硬盤,除了應該具備儘量大的容量之外,硬盤盒的接口也應該儘量豐富,至少應該同時擁有IDE、SCSI、PCMCIA等常用接口的移動存儲設備。除了移動硬盤之外,軟盤、Zip軟盤、MO、CD-R等存儲介質也應該儘量充實到你的工具箱中,因爲我們實在無法知道被調查的機器到底具有怎樣的外設。另外,各種存儲設備的連接線纜以及網絡線纜也應該仔細準備,儘量裝滿你的揹包吧,如果還有縫隙,用你的轉接頭將它們塞滿,這樣你就可以經常爲你的先見之明而自豪了。除了這些,現在市場上還可以購買到很多專用的調查設備,比如以Forensic MD5爲代表的手持式取證設備,以及Forensic Computer出品的便攜式取證箱等等,這些產品在複製數據的時候速度很快,具備豐富的讓你不敢相信的接口,可以應付各種取證要求,而且便於攜帶,是計算機取證人員真正的百寶箱。
根據情況做決定
在這裏我們需要根據所發生的安全事件類型決定我們應該採取怎樣的工作步驟,在一臺Internet主機上發現非法的登錄和局域網服務器上被隱祕的存放了一些惡意程序明顯應該使用不同的方法進行調查。同時我們還需要徵詢計算機設備擁有方的意見,他們可能想徹底的調查該事件並提出起訴,也可能只想大致評估一下目前的狀況可能造成的損失,值得注意的是,即使面對的是後一種情況,我們仍需要對證據進行符合手續的處理,也許幾個月後我們的委託人突然覺得,應該教訓一下冒犯他的傢伙。
生成鑑定副本
在進行實際取證工作的時候我們需要遵循一個重要的原則:“儘量避免在被調查的計算機上進行工作”。一方面是因爲我們在犯罪環境中所做的操作越多,我們就越無法證明提取的“證據”還是原來的樣子,而對訴訟過程產生影響;更重要的是,我們可能會對“犯罪現場”造成破壞,而永遠失去那些證據,也許一個“應該”無害的命令就可能引起侵入者的警覺,或觸發了事先設定好的處理機制,導致證據被銷燬。所以我們應根據當下瞭解的情況儘可能早的用規範的手段生成一份鑑定副本,將分析工作留在可以監控、擁有更好設施的實驗室中進行。
在已經關機的設備上,我們首先要做的是利用準備的工具爲所有的數據介質生成鑑定副本。再次提醒大家,除了儘量避免在被調查的機器上操作,我們也不能在該計算機上進行分析和檢查,我們製作鑑定副本的主要目的就是在儘量少接觸被調查機器的情況下進行證據分析,對原始介質的操作可能使其完全喪失做爲證據的可信性。
有些情況下我們無法獲取完整的鑑定副本,例如被調查的機器不支持任何熱插拔設備,而內存中重要的罪證正在運行,我們就只有在開機狀態來獲取證據了。這種情況下需要特別的小心,以避免對證據的破壞。我們應該在整個取證過程中詳細的記錄操作的步驟、方式、方法和時間等。在開機狀態執行取證工作時,應該最先對內存中的內容進行採集,例如可以查看系統進程,或者複製出內存的內容,Windows的頁面文件、Linux的proc目錄都存儲着大量運行時內容,如果成功的抽取了內存中的數據,我們就可以相對放心的生成整個調查介質的MD5校驗列表,以證明我們的現場調查沒有破壞證據的可靠性。
鑑定副本的管理
我們在獲取了所有證據之後,應該妥善封存被調查的機器和設備,連同生成的鑑定副本一同加入“證據保管鏈”,以待進行下一階段的分析工作。保管鏈的意義主要在於每次對被保管物的使用和變更都能夠被記錄和驗證。之所以這樣做是因爲證明我們的證據沒有被有意或無意的行爲篡改其實是非常困難的,這就是我們爲什麼不厭其煩的重申要記錄所有的操作信息,而且越詳細越好。我們要每時每刻都抱有這樣的想法:我們現在做的每一件事情都有可能在將來受到仔細的檢查。
我們在實際工作中會爲每一項證據(甚至我們的工具包)粘貼保管標籤,在保管標籤上必須體現的內容包括證據的來源、生成的時間、證據當前的保存位置、證據轉手時的位置、證據轉手的原因以及保管人和接手人的簽字,必要時可以增加第三在場人進行簽字以做爲證明。因爲證據大部分情況下是以數字形式進行保存的,我們還可以利用數字簽名技術爲證據生成電子指紋,這種方式對於證明原始證據沒有被變更是比較有說服力的。