論計算機取證工具軟件及其檢測

一、計算機取證的概念、步驟和相關的工具
1、計算機取證的概念
取證專家Reith Clint Mark認爲：計算機取證（computer forensics）可以認爲是“從計算機中收集和發現證據的技術和工具” [11]。實際上，計算機取證就是對於存在於計算機及其相關設備中的證據進行獲取、保存、分析和出示。用於計算機取證的工具必須在計算機取證的任意一個步驟中具有特殊的功能，使得由於這一工具的使用保證了計算機取證工作能夠順利進行並獲取到可以被作爲證據使用的數據資料。
2、 計算機取證的步驟
.2.1 保護現場和現場勘查
現場勘查是獲取證據的第一步，主要是物理證據的獲取。這項工作可爲下面的環節打下基礎。包括封存目標計算機系統並避免發生任何的數據破壞或病毒感染，繪製計算機犯罪現場圖、網絡拓撲圖等，在移動或拆卸任何設備之前都要拍照存檔，爲今後模擬和還原犯罪現場提供直接依據。在這一階段使用的工具軟件由現場自動繪圖軟件、檢測和自動繪製網絡拓撲圖軟件等組成。
2.2 獲取證據[6][7]
證據的獲取從本質上說就是從衆多的未知和不確定性中找到確定性的東西。這一步使用的工具一般是具有磁盤鏡像、數據恢復、解密、網絡數據捕獲等功能的取證工具。
2.3 鑑定證據[6] [9]
計算機證據的鑑定主要是解決證據的完整性驗證和確定其是否符合可採用標準。計算機取證工作的難點之一是證明取證人員所蒐集到的證據沒有被修改過。而計算機獲取的證據又恰恰具有易改變和易損毀的特點。例如，腐蝕、強磁場的作用、人爲的破壞等等都會造成原始證據的改變和消失。所以，取證過程中應注重採取保護證據的措施。在這一步驟中使用的取證工具包括含有時間戳、數字指紋和軟件水印等功能的軟件，主要用來確定證據數據的可靠性。
.2.4 分析證據
這是計算機取證的核心和關鍵。證據分析的內容包括：分析計算機的類型、採用的操作系統，是否爲多操作系統或有無隱藏的分區；有無可疑外設；有無遠程控制、木馬程序及當前計算機系統的網絡環境。注意分析過程的開機、關機過程，儘可能避免正在運行的進程數據丟失或存在的不可逆轉的刪除程序。分析在磁盤的特殊區域中發現的所有相關數據。利用磁盤存儲空閒空間的數據分析技術進行數據恢復，獲得文件被增、刪、改、複製前的痕跡。通過將收集的程序、數據和備份與當前運行的程序數據進行對比，從中發現篡改痕跡。可通過該計算機的所有者，或電子簽名、密碼、交易記錄、回郵信箱、郵件發送服務器的日誌、上網IP等計算機特有信息識別體，結合全案其他證據進行綜合審查。注意該計算機證據要同其他證據相互印證、相互聯繫起來綜合分析。同時，要注意計算機證據能否爲偵破該案提供其他線索或確定可能的作案時間和罪犯。用於進行計算機證分析的工具必須完成這些任務之一。
2.5 進行追蹤
上面提到的計算機取證步驟是靜態的，即事件發生後對目標系統的靜態分析。隨着計算機犯罪技術手段的升級，這種靜態的分析已經無法滿足要求，發展趨勢是將計算機取證與入侵檢測等網絡安全工具和網絡體系結構技術相結合，進行動態取證。整個取證過程將更加系統並具有智能性，也將更加靈活多樣。對某些特定案件，如網絡遭受黑客攻擊，應收集的證據包括：系統登錄文件、應用登錄文件、AAA登錄文件 (比如 RADIUS 登錄)、網絡單元登錄（Network Element logs）、防火牆登錄、HIDS 事件、NIDS 事件、磁盤驅動器、文件備份、電話記錄等等。對於在取證期間犯罪還在不斷進行的計算機系統，採用入侵檢測系統對網絡攻擊進行監測是十分必要的。也可以通過採用相關的設備或設置陷阱跟蹤捕捉犯罪嫌疑人。
.2.6 提交結果
打印對目標計算機系統的全面分析和追蹤結果，然後給出分析結論：系統的整體情況，發現的文件結構、數據、作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發現的其它的相關信息。標明提取時間、地點、機器、提取人及見證人。然後以證據的形式按照合法的程序提交給司法機關。
3、計算機取證的相關工具
.3.1 一般工具軟件
用於檢測分區的工具軟件、殺毒軟件、各種壓縮工具軟件等。
3.2 取證專用工具軟件：
u 文件瀏覽器：這類工具是專門用來查看數據文件的閱讀工具。只用於查看而沒有編輯和恢復功能，從而體積較小並可以防止證據的破壞。比較好的軟件是Quik View Plus(http://www.jasc.com)。它可以識別200種以上文件類型，可以瀏覽各種電子郵件文檔。比起WordPerfect的頻繁轉換要方便的多。Conversion Plus可以用於在Windows系統下瀏覽Macintosh文件。
u 圖片檢查工具：ThumbsPlus是一個功能很全面的進行圖片檢查的工具。
u 反刪除工具：這方面的取證分析工具中最主要的是諾頓工具，雖然這是一個老式的工具，但在有些時候是很有用的。
u CD-ROM工具：使用CD-R Diagnostics可以看到在一般情況下看不到的數據。
u 文本搜索工具：dtSearch是一個很好的用於文本搜索的工具，特別是具有搜索Outlook的.pst文件的能力。
u 驅動器映像程序：可以滿足取證分析（即逐位拷貝以建立整個驅動器的映像）的磁盤映像軟件包括：SafeBack(http://www.forensics-intl.com)、SnapBack(http://www.cdp.com)、Ghost(http://symantec.com)、dd(UNIX中的標準工具)等。
u 磁盤擦除工具：這類工具主要用在使用取證分析機器之前，爲了確保分析機器的驅動器中不包含殘餘數據，顯然，只是簡單的格式化肯定不行。從軟盤啓動後運行NTI公司的DiskScrub程序即可把硬盤上的每一扇區的數據都清除掉。
u 取證程序：取證軟件的效能傾向於同時擁有收集及分析數據的功能。目前，國際上的主流產品有：
Forensic Toolkit：是一系列基於命令行的工具，可以幫助推斷Windows NT文件系統中的訪問行爲。這些程序包括的命令有：AFind(根據最後訪問時間給出文件列表，而這並不改變目錄的訪問時間)、HFind(掃描磁盤中有隱藏屬性的文件)、SFind(掃描整個磁盤尋找隱藏的數據流)、FileStat(報告所有單獨文件的屬性)、NTLast(提供標準的GUI事件瀏覽器之外對每一個會話都記錄了登錄及登出時間，並且它能夠指出登錄是遠程的還是本地的)。
The Coroner’s Toolkit(TCT)：主要用來調查被“黑”的Unix主機，它提供了強大的調查能力，它的特點是可以對運行着的主機的活動進行分析，並捕獲目前的狀態信息。其中的grove-robber可以收集大量的正在運行的進程、網絡連接以及硬盤驅動器方面的信息。數據基本上以揮發性順序收集，收集所有的數據是個根緩慢的過程，要花上幾個小時的時間。TCT還包括數據恢復和瀏覽工具unrm&lazarus、獲取MAC時間的工具mactime。還包括一些小工具，如ils（用來顯示被刪除的索引節點的原始資料）、icat(用於取得特定的索引節點對應的文件的內容)等等。
EnCase自稱是唯一一個完全集成的基於Windows界面的取證應用程序，其功能包括：數據瀏覽、搜索、磁盤瀏覽、數據預覽、建立案例、建立證據文件、保存案例等。
ForensicX：主要運行於Linux環境，是一個以收集數據及分析數據爲主要目的的工具。它與配套的硬件組成專門工作平臺。它利用了Linux支持多種文件系統的特點，提供在不同的文件系統裏自動裝配映像等能力、能夠發現分散空間裏的數據、可以分析Unix系統是否含有木馬程序。其中的Webtrace可以自動搜索互聯網上的域名，爲網絡取證進行必要的收集工作，新版本具有識別隱藏文件的工具。
New Technologies Incorporated (NTI, http://www.forensics-intl.com .)：NTI是取證軟件最爲固定的商家之一。NTI以命令的形式執行軟件，所以速度很快，軟件包的體積小，適合於在軟盤上使用。該公司提供的取證工具包括：
CRCMD5：一個可以驗證一個或多個文件內容的CRC工具。
DiskScrub：一個用於清除硬盤驅動器中所有數據的工具。
DiskSig：一個CRC程序，用於驗證映像備份的精確性。
FileList：一個磁盤目錄工具用來建立用戶在該系統上的行爲時間表。
Filter_we：一種用於周圍環境數據的智能模糊邏輯過濾器。
GetSlack：一種周圍環境數據收集工具，用於捕獲未分配的數據。
GetTime：一種周圍環境數據收集工具，用於捕獲分散的文件。
Net Threat Analyzer：網絡取證分析軟件，用於識別公司互聯網絡賬號濫用。
M-Sweep：一種周圍環境數據清除工具。
NTI-DOC：一種文件程序用於記錄文件的日期、時間以及屬性。
PTable：用於分析及證明硬盤驅動器分區的工具。
Seized：一種用於對證據計算機上鎖及保護的程序。
ShowFL：用於分析文件輸出清單的程序。
TextSearch Plus：用來定位文本或圖形文件中的字符串的工具。
本文所論述的軟件工具主要是指取證專用軟件。
二、 計算機取證工具應具備的基本功能
計算機取證需要的軟件工具必須滿足最基本的取證要求，具備下列基本功能之一：
1、 發現計算機證據
可以根據案情定位可疑主機和犯罪現場的位置。
2、 存儲計算機證據
存儲計算機證據的軟件工具主要是指那些能夠對計算機證據進行保全的軟件，可以證明計算機證據從獲取到提交法庭這段時間內沒有被修改過。
3、 傳輸計算機證據
能夠保證計算機證據的可靠傳輸。
4、提取計算機證據
這方面的計算機取證工具主要用於從可疑主機或網絡上自動提取出計算機證據
5、 分析計算機證據
對含有計算機證據的計算機系統或網絡進行分析，發現和犯罪事實相關聯的全部數據資料
6、 鑑定計算機證據
確定計算機證據符合證據的可採用標準。
三、計算機取證工具檢測的必要性
目前，計算機取證工具主要是國外生產的，國內的產品還寥寥無幾。但是，隨着計算機應用的普及，計算機證據會越來越多，用於計算機取證的國產工具目前也有了一些並且有一些正在研製過程中。哪些軟件工具可以用於計算機取證，哪些企業可以生產計算機取證工具，什麼樣的計算機取證工具可以用於司法活動，這些都是亟待解決的問題。所以，我國計算機取證工具的檢測和認定是十分必要的。可以在“雙軟認定”（是指軟件企業的認定和軟件產品的登記，http://www.chinasoftware.com.cn/cognizance_guide_product.asp）的基礎上進行更加嚴格細緻的專業測試和管理。
1、 計算機取證工具的生產屬於特殊行業
生產計算機取證工具軟件的企業實際上是在生產破案工具，應該是經過嚴格的資格認定的企業或者國家機關，並且應該屬於公安機關或其他司法機關認定的特殊行業。目前的這種任何軟件企業都可以生產和研製的狀況必須改變。
2、 計算機取證工具軟件的質量事關重大
計算機取證軟件工具的質量關係到案件是否能夠及時偵破，關係到司法活動的公平和公正性。如果計算機取證工具質量低劣或者功能欠缺就有可能造成犯罪分子逍遙法外或者錯抓錯捕的情況，使法律失去尊嚴、喪失公正。所以，計算機取證工具的質量必須得到保障。
四、計算機取證工具的檢測方法
1、 制定計算機取證工具產品和行業標準
生產計算機取證產品的企業應該進行特種行業的資質認定，在有管理部門備案。同時，制定管理辦法對從事計算機取證產品的生產企業進行常規管理。這些管理辦法應該包括生產企業的規模、設備、技術水平、技術人員等等。應定期對生產企業進行檢查，對於不具備生產條件的企業或者生產的產品不合格的企業應該予以撤銷。對於信得過的產品可以加以推廣以形成我國自己的具有代表性的取證產品。
計算機取證產品的管理包括產品生產和使用全過程的管理。特別是，在產品投入使用之前應該進行嚴格的測試和試運行。計算機取證產品應該嚴格禁止假、冒、僞、劣，採用軟件水印技術等先進技術並建立嚴格的法律法規防止盜版侵權。這方面的管理標準應該包括產品的質量標準、準用標準等。
2、 設立專門的檢測機構
應該在產品質量監督部門設置專門的機構或實驗室進行計算機取證產品的檢測。這樣的部門應該由計算機軟件測試專家、計算機取證專家和其他計算機專業人員組成，負責對計算機取證工具軟件產品進行嚴格的檢測和認定，只有通過這一機構認定的產品纔可以投入使用。
3、 計算機取證軟件產品檢測實務
計算機取證軟件的檢測應該包括計算機取證軟件的測試和檢查兩大部分。具體地，應該有以下步驟組成
（1） 檢查產品的生產企業的資質、檢查提交的產品的各種文檔是否齊全。
（2） 撰寫測試計劃：仔細閱讀產品的各種文檔後撰寫測試計劃，在測試計劃中應該寫清楚測試的範圍、需求、參考資料、技術背景、產品的必備功能、產品的可選功能、測試方法、採用的測試工具、測試用例的詳細描述和有關數據列表、在每一個測試用例中應該特別注意寫清楚所有可能的輸入和應該出現的輸出結果。
（3） 進行測試：嚴格按測試計劃對產品進行詳細的測試。測試過程要詳細記錄：每一個運行結果、反應時間、評價等等
（4） 撰寫測試報告和檢測報告：測試和檢查結束後應該根據記錄的結果撰寫詳細的測試報告和檢測報告。測試報告和檢測報告應該包括：檢測人，檢測日期，實際使用的檢測方法和工具，檢測的技術指標，輸入，輸出，每一項輸出是否滿足要求，響應時間，結論等。
五、結論
隨着網絡和計算機技術的發展，以數字形式存貯和傳輸的計算機證據逐漸增多，用於計算機取證的工具軟件也會隨之出現，如何保證計算取證工具軟件的質量關係到法律的公正和國家的尊嚴，因此，對計算機取證工具軟件的嚴格管理和檢測勢在必行。