浅析网络入侵之安全取证

随着计算机技术的广泛应用，越来越多的企业依懒于网络的应用。计算机技术越来越多地应用于人们的工作和生活中，导致一些以计算机犯罪的事件急剧增长，银行、金融、证券机构、企业频烦遭受黑客的攻击或入侵。虽然很多单位都购买了一些安全工具进行防范，但技术的不断更新，使得黑客的攻击频频得手。网络犯罪可以跨地区、跨国之间进行，因此对于打击互联网犯罪需要国际组织间进行合作。一旦网络已经遭受入侵并造成损失，我们就希望诉诸法律来保护自己并获取补偿。一种新的证据形式——存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证的特点。这篇文章中跟大家介绍一些计算机取证的概念、流程、特点、来源等。

什么是计算机取证(Computer Forensics)呢?作为计算机取证方面的一名专业及资深人士，Judd Robbins给出了如下的定义：

计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。

New Technologies是一家专业的计算机紧急事件响应和计算机取证咨询公司，扩展了Judd的定义：

计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。

SANS的一篇综述文章给出了如下的定义：

计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

因此我们认为计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。

计算机取证流程一般包含如下四个步骤：

识别证据：识别可获取的信息的类型，以及获取的方法。

保存证据：确保跟原始数据一致，不对原始数据造成改动和破坏。

分析证据：以可见的方式显示，结果要具有确定性，不要作任何假设!

提交证据：向管理者、律师或者法院提交证据。

计算机取证又叫数字取证、电子取证，对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。计算机取证的目的是收集资料，分析解释入侵者的入侵的过程，并以此为证据提交给执法单位。

计算机取证与传统证据的取证方式不一样，计算机取证其自身有如下的特点：

(1)容易被改变或删除，并且改变后不容易被发觉。传统证据如书面文件如有改动或添加，都会留有痕迹，可通过司法鉴定技术加以鉴别。而数字证据与传统证据不同，它们多以磁性介质为载体易被修改，并且不易留下痕迹。

(2)多种格式的存贮方式。数字证据以计算机为载体，其实质是以一定格式储存在计算机硬盘、软盘或CDROM 等储存介质上的二进制代码，它的形成和还原都要借助计算机设备。

(3)易损毁性。计算机信息是最终都是以数字信号的方式存在，易对数字证据进行截收、监听、删节、剪接等操作。或者由于计算机操作人员的误操作或供电系统、通信网络的故障等环境和技术方面的原因都会造成数字证据的不完整性。

(4)高科技性。计算机是现代化的计算和信息处理工具，其证据的产生、储存和传输，都必须借助于计算机软硬技术，离开了高科技含量的技术设备，电子证据无法保存和传输。如果没有外界的蓄意篡改或差错的影响，电子证据就能准确地储存并反映有关案件的情况。正是以这种高技术为依托，使它很少受主观因素的影响，其精确性决定了电子证据具有较强的证明力。

(5)传输中通常和其他无关信息共享信道。

计算机取证其自身的特点导致取证的方式和来源不同，计算机证据的来源主要来自两个方面，一个是系统方面的，另一个是网络方面的。

其中，来自系统方面的证据包括：

系统日志文件

备份介质

程序、脚本、进程、内存映象

交换区文件

临时文件

硬盘未分配的空间

系统缓冲区

打印机及其它设备的内存

来自网络方面的证据有：

防火墙日志

IDS日志

其它网络工具所产生的记录和日志等。

上面提到的计算机取证概念、流程、特点及来源，是计算机取证的初步了解过程。叶子将在后续的文章中对计算机取证的其它操作和方式进一步的分析。