网络犯罪的取证与分析

核心提示：如果有未经同意的人入侵了你的网络，且破坏了你的数据，网络犯罪的取证与分析，除了进行数据恢复之外，还须做些什么呢？ 从事网络安全的人都知道，一些知名院校在电子取证的各个技术方面开展了积极的研究工作，希望在把企业业务的连续性放在首位的同时，入侵者在完事后都会设法抹掉自己在伏案系统中的活动记录，因此

如果有未经同意的人入侵了你的网络，且破坏了你的数据，除了进行数据恢复之外，还须做些什么呢？

从事网络安全的人都知道，入侵者在完事后都会设法抹掉自己在伏案系统中的活动记录。因此，信息主管们应在相关系统的建立中增加网络犯罪证据的收集和分析环节。

●什么是“网络犯罪取证”

网络取证也称为数字取证或者电子取证，是指对网络入侵、攻击、破坏、欺诈等犯罪行为利用电脑软硬件技术，用合法的方式来进行取证、保存、分析及出示的过程。从技术上看，电子取证是一个对受害系统进行扫描、破解，以及对整个入侵事件进行重塑的过程。

网络取证包括获取物理证据与发现信息两个阶段。获取物理证据是指调查人员到网络犯罪或者入侵现场，寻找并扣押相关的电脑硬件；发现信息是指从原始数据(文件及日志等)中寻找可用来证明或反驳的证据，也就是电子证据。

网络犯罪分子一般都会在作案前周密部署、作案后消除痕迹。他们往往会更改、删除受害主机的日志，清理所用的工具软件，或者用反取证工具来扰乱并破坏侦察人员的取证。这就要求侦察人员在反入侵时，首先要清楚做什么，然后才是如何做的问题。

●物理取证是最重要的任务

获取物理证据是取证工作的基础，应该保证原始数据没有任何损坏。无论在什么情况下，取证人员都应牢记五点：一是不要改动原始记录；二是不得在作为证据的电脑上做无关操作；三是不要给嫌疑人销毁证据的机会；四是详细记录全部取证活动；五是妥善保存收集的物证。如果被入侵的电脑还处于工作状态，取证人员应设法尽可能多的保留犯罪信息。

要做到这五点确实困难重重，首先可能遇到的问题是难以保证业务的连续性。由于嫌疑人的证据可能保存在隐藏文件、系统日志、寄存器、数据文件、交换区、空闲的磁盘空间、打印缓存、网络数据区及计数器、文件缓存区、用户进程存储器等不同的位置。由此看见，物理取证既是基础，也是技术上的难点。

一般要获取的数据包括内存里的数据和硬盘数据，获取的顺序是先内存后硬盘。案件发生后，立即对锁定的目标机及网络设备做内存检查并作好记录，根据所用系统的不同可用相应的内存检查命令获取内存中的易灭失数据，尽量不对硬盘做任何读写操作，以免破坏数据的原始性。用专用工具逐扇区的读取硬盘，完整地克隆出硬盘数据，便于今后在专门的电脑上对原始硬盘的镜像内容进行分析。

●“电脑法医”要看的现场——日志

有的时候，电脑取证也可以称为电子法医学，它是指把电脑看作是犯罪现场，运用先进技术，对电脑犯罪行为做传统法医式的分析解剖，寻找犯罪证据，并根据证据提起诉讼。就象飞机失事后，寻找事故现场及记录当时发生事情的“黑匣子”一样。电脑的黑匣子就是它自己的日志。从理论上说，取证人员是否能找到犯罪证据要取决于：相关的犯罪证据没被覆盖；取证的软件能够找到这些数据；取证人员能够确知这些文件，并能证明其与犯罪有关。但从(日益增多的)海量数据中寻找蛛丝马迹是特别费时费力的工作，解决这个难题的方法就是要有合适的切入点，因此从日志入手是最直接最有效的常用手段。

这里还要指出，不同的操作系统都能在“Event Viewer Security”(安全事件观测器)中检查到各种活动及日志信息，但自身的防护能力都非常低，一旦被入侵，就会很容易被清除掉。从中可以看到，专业化的日志防护及分析软件在安全产品市场中具有极重的地位。

我国有关网络取证的研究和实践还处在起步阶段，在信息技术比较发达的美国已有了三十年左右的历史。现在美国已有70%的法律部门拥有自己的电脑取证实验室，取证专家可以在实验室中分析从犯罪现场获取的电脑(和外设)，从中找出入侵行为。

在国内，公安部门打击电脑犯罪案件是最近几年的事，有关电子取证方面的研究和实践刚刚起步，一些知名院校在电子取证的各个技术方面开展了积极的研究工作。希望在把企业业务的连续性放在首位的同时，能尽快产生更智能化的电脑网络取证工具。