用事实说话 浅析网络犯罪如何取证
2007-09-06 13:09:31 来源:WEB开发网国外的是怎么样做网络取证的?
着美剧越狱的热播,大家都对那个充满着离奇色彩的电影而充满想象,但是处于职业习惯,我更看中的是那个FBI探员的犯罪猜想以及FBI做的数据还原。FBI就是通过硬盘的数据恢复从而知道了男主角的全盘计划。如果不想让人看到自己的一些记录,完全可以把硬盘进行分解,做物理性破坏。从近三年的计算机安全技术论坛(FIRST年会)看,计算机取证已经成为广为关注的问题。国际上在计算机取证方面已有比较深入的研究,并且有不少公司推出了相关的应用产品。美国五个已建成和计划建设中的计算机取证实验室,专门用于恐怖活动追踪和计算机犯罪调查。
一般国外惯用的取证手法还是通过专业工具,主要使用Encase和Ftk这两个工具软件,通过二进制数据还原技术来重现一些机器操作信息和软件安装数据信息等。在电子邮件取证方面是通过EmailTrackPro这个工具来做一些电子邮件定位,通过分析邮件来往信息头做出判定,同时这也是捕捉网络蠕虫病毒,跟踪源惯用的方法,还有通过Filemon等工具做一些信息比对,找出木马和黑客软件的容身之所,根据逆向分析来进行反跟踪,侦查黑客的所在地。从而通过诱捕、抓捕犯罪嫌疑人,当然更多的也是通过高额的赏金来做情报收集。圈里有一种传说:FBI可以对六次的重复擦写的磁盘做出数据还原。我也和国外的朋友探讨过,大家一致认为这绝对是不可能的,要不怎么说是传说呢?
应该怎么取证
为了确保证据的安全、可信,计算机证据国际组织( International Organization on Computer Evidence ,IOCE) 对数字证据的采集、保存、检验和传送提出的特别要求:“必须使用有效的软硬件进行采集和检验;数字证据的采集、检验、传送全过程都必须有记录;任何有潜在可能对原始数字证据造成改变、破坏或毁坏的活动必须由有法律上承认的有资质的人进行。对现场计算机的一个处理原则是,已经开着的计算机不要关掉,关着的计算机不要打开。如果现场计算机是开着的,应避免使屏幕保护程序激活。检查屏幕上的活动。如果发现系统正在删除文件、格式化、上传文件、系统自毁或进行其他危险活动,立即切断电源。
场取证时,应当记录系统日期和时间、主存内容、当前执行的进程列表、在端口提供服务的程序列表、当前系统内用户列表,如果是联网系统,还应收集当前连入系统的用户名和远程系统名。还应当尽可能记录使用者的个人情况、用户名、口令、密码等。
对于计算机硬盘数据,使用专用的取证工具进行硬盘复制,在实验室对备份的硬盘进行检验,采集证据。原始硬盘封存保管。对于取证用的计算机,要进行病毒检测,防止病毒传染到被检测的计算机。
计算机取证方面存在的问题总结:
计算机取证技术是相关法律法规赖以实施的基础,是我国全面实现信息化的重要技术之一,但现在还存在以下问题:
(1)计算机取证涉及到磁盘分析、加密、数据隐藏、日志信息发掘、数据库技术、介质的物理性质等多方面的知识,取证人员除了会使用取证工具外,还应具备综合运用多方面知识的能力。
(2)在取证方案的选择上应结合实时取证和事后取证两种方案,以保证取证的效果,因此可以将计算机取证融合到入侵检测等网络安全工具中,进行动态取证。这样,整个取证过程将更加系统并具有智能性。
(3)计算机取证只是一种取证手段,并不是万能的,因此应与常规案件的取证手段相结合,比如询问当事人、保护现场等,从而有效打击计算机犯罪。
(4)到目前为止,尽管相关部门早已进行了计算机安全培训,但还没有一套成形的操作规范,使得取证结果的可信性受到质疑。为了能让计算机取证工作向着更好的方向发展,制定取证工具的评价标准和取证工作的操作规范是非常必要的。
更多精彩
赞助商链接