计算机取证

    计算机取证(computer Forensics)的任务是解决各种计算机犯罪案件以及传统
的刑事案件、民事案件、行政案件涉及的计算机及相关系统、设备的取证问题。随
着计算机及网络普及程度的不断提高，各种利用计算机工具从事的犯罪活动以及
涉及计算机取证的各种其他刑事犯罪、民事案件、行政案件越来越多，计算机取证
司法实践需求十分迫切，该领域的研究与实践受到越来越广泛的关注。目前，国内
许多法律部门，特别是公安机关都拥有了自己的计算机取证实验室，同时还成立了
电子证据检定机构，从事相关数字证据的司法鉴定。为适应计算机取证司法实践
的需要，国内许多院校和研究机构开展了计算机取证的研究，许多院校的计算机安
全专业开设了计算机取证研究生课程，为了适应信息安全的研究和教学需要，我们
编写了本书。
    计算机取证是一个涉及法学、刑事侦查学和计算机科学等学科的交叉学科，在
进行计算机取证的相关司法实践的过程中，也常常需要对相关问题从相关法律、侦
查方法、取证规范、取证技术等多个角度进行思考。为了帮助读者对计算机取证的
相关研究与司法实践方法有一个全面的了解，本书从计算机犯罪、数字证据、计算
机取证概念的界定及涉及的相关法律法规、计算机取证程序、计算机取证技术以及
计算机取证工具和取证实践等多个角度，对于计算机取证相关领域的研究进展和
较为常用的取证实践方法进行了较为全面的介绍。相关内容包括：
    第l章计算机犯罪与数字证据，从刑法学表述、犯罪学表述以及相关学术研究
  等多个方面对计算机犯罪概念进行了分析，结合相关学术观点对计算机犯罪概念
  进行了界定，并对计算机犯罪的特定和发展趋势进行了分析；从立法角度和学术研
  究角度对数字证据的概念进行了界定，并从法律视角对数字证据来源及收集、数字
  证据保全及效力、数字证据认定及出示等计算机取证相关环节进行了分析。
    第2章计算机取证概述，对计算机取证研究的发展历程、计算机取证概念、计
  算机取证的研究内容和发展趋势进行了概要介绍。
    第3章计算机取证程序，重点介绍了国内外计算机取证程序、计算机取证原
  则、计算机取证步骤的相关研究。
    第4章计算机取证技术，详细介绍了计算机取证中涉及的相关技术，并对计算
机取证过程中所涉及的常用技术进行了深入分析。
     第5章计算机取证工具、第6章典型对象的调查对取证实践中涉及的取证工
具和取证方法进行了详细介绍，并在第7章计算机取证试验针对计算机取证过程
中遇到的一些常见问题设计了取证实验。
    本书适合作为信息安全和相关专业研究生的教学参考书，也可作为信息安全、
计算机取证、电子证据司法鉴定等领域研究人员、技术人员和管理人员的参考书。
    本书由中国人民公安大学杨永川和顾益军张培晶编写，董健、郝文江、杨莉莉、
张羽参与了本书的编写工作。
    由于编者水平有限，书中难免存在错误、疏漏和欠妥之处，敬请读者批评指正。
    作者
         2008 4 12

第4章  计算机取证技术
    计算机取证技术是指在对计算机和相关外围设备中(包括网络介质)潜在的
数字证据进行收集、分析过程以及对获取的证据进行呈堂的过程中所涉及的各项
技术。本章结合计算机取证过程对计算机取证技术的研究范围以及各项技术所面
对的主要任务进行了介绍，并着重对计算机取证过程中涉及的常用技术进行了
分析。
4．1  计算机取证技术的研究范围
    计算机取证技术的任务是满足计算机取证各个阶段的技术需求，其研究内容
包括可以用于计算机取证的各项技术和方法。
4．1．1计算机证据收集技术56
    计算机证据收集技术是与计算机取证中确认现场、确定调查方式、保护现场、
记录现场、处理现场相关的一些技术。其主要目标是尽可能多地在现场勘察阶段
获取与案件相关的数字证据并尽可能地保证这些证据不被损害。计算机证据收集
技术所使用的技术手段主要有动态系统证据收集技术、证据复制、网络环境证据收
集技术三类。结合不同办案阶段对取证手段的公开性要求，又可以分为隐秘取证
和公开取证。
    1．动态系统证据收集技术
    动态系统证据收集主要是收集在操作状态下在存储媒体中存放的信息和数
据。这些信息和数据通常是易于改变的或在关机过程中容易丢失的数据。IETF
(Internet Engineering Task Force，Internet工程任务组)整理的关于计算机证据收集
与归档的标准文档RFC 3227中，对各类信息和数据的易失性做了如下排序：
    ①寄存器(Registers)和缓存(Cache)中的数据和信息。
    ②路由表(Routing Table)、ARP缓存、进程表(Process Pable)、内核统计
(Kernel Statistics)、内存中的数据和信息。
    ③系统的临时性文件(Temporary File Systems)中的数据和信息。
    ④磁盘中的数据和信息。
     ⑤物理配置(Physical Configuration)和网络拓扑(Network Topology)。
    ⑥归档媒体(Archival Media)。
    在上述各类数据和信息中，①、②类数据和信息易失性*强，其在系统关机后
无法恢复，因而①、②类数据和信息只能够采用动态系统证据收集技术进行证据收
集。系统的临时性文件通常是指操作系统和应用系统使用磁盘作为缓存所产生的
临时文件以及操作系统和应用系统的一些日志文件。临时文件通常会随着系统的
运行而发生改变，但当系统关闭时大部分临时文件或I临时文件的文件碎片还会存
留在磁盘当中，因此对于临时文件的证据获取既可以采用动态系统证据收集技术，
也可以在证据分析阶段通过证据提取技术获取相关计算机证据。磁盘中的数据和
信息通常采用复制技术进行证据获取，但在一些特定的取证过程中，如在侦查阶
段，为了不被侦查对象察觉，有时也会采用动态系统证据收集技术进行证据收集。
    动态系统证据收集技术根据使用对象的不同可以分为两类：一类是秘密监控，
主要用于调查侦查阶段检查或监控目标用户和程序的活动情况，分析目标系统已
存在的信息；另一类是公开获取，即通过公开手段获取目标系统的系统状态和当前
正在运行的程序信息，主要用于公开的计算机证据获取或针对计算机攻击的监控
和证据获取。
    (1)动态系统的隐秘监控
    动态系统的隐秘监控是在计算机或网络上检查和监控被调查对象当前的行为
或获取与案件相关的各种数据和信息，获取的内容主要包括：
  ①屏幕快照。
  ②服务和应用程序的运行情况。
  ③键盘和鼠标的击键信息。
  ④网络数据包。
  ⑤操作系统的相关用户名和密码。
  ⑥本地应用程序的用户名和密码。
  ⑦远程应用程序的用户名、密码和加密密钥。
  ⑧内存中的相关信息。
  ⑨存储器中相关的数据文件。
  ⑩存储器中相关的临时文件。
  ⑧系统日志。
  ⑩即时通讯信息。
  目前常用的动态系统隐秘监控方法主要有以下三种：
  ①使用物理记录设备监控当前键盘活动情况：物理记录设备通常安装在键盘
和计算机之间来记录键盘的键入信息。其附件主要有适配器、键盘电缆延长线、键
盘替代品、改装键盘等，适配器通常安装在计算机系统的接口上。
    ②使用系统管理工具获取相关信息：利用常用的计算机管理工具．例如
 Windows操作系统的计算机管理控制台可以让具有超级用户权限的调查人员进入
计算机获取相关信息。这种取证方法的缺点是一些非常机警的调查对象使用检测
工具检测当前连接用户时有可能把这种调查活动检测出来。
    ③使用后门程序执行远程获取：后门程序是网络黑客经常使用的一种计算机
系统攻击手段，主要用于窃取计算机系统中的相关信息，近年来后门程序也被司法
部门应用于合法的犯罪侦查和证据收集。用于调查的后门程序通常不允许自行复
制，应该处于调查人员的完全控制之下。为了保证后门程序不被调查对象发现，后
门程序通常要采用潜行技术，例如，将网络流量减至*小并避免在硬盘上存储文
件，当因条件限制需要进行本地存储时，通常会采取相应的迷惑措施。同时用于侦
查和证据获取的后门程序还应该能够绕过被调查目标可能采取的各种安全措施，
如防火墙或入侵检测系统(IDS)。这种取证方法可以获得上述两种取证方法所能
获得的各种信息，且具有较好的隐蔽性，但随着操作系统的不断更新和计算机安全
技术的不断发展，取证程序通常需要保持较快的更新速度，以适用不断变化的系统
环境。
    (2)动态系统的公开获取
    动态系统的公开获取是运用公开手段在运行系统上获得易失信息的行为或对
系统中可能存在的异常状况进行监控。运用公开获取手段获取的动态系统的相关
信息通常包括：
    ①当前运行的进程和服务。
    ②打开的进程和应用程序。
    ③访问本机的网络连接。
    ④用户、计算机正在访问的网络连接。
    ⑤内存中的内容。
    ⑥系统日志。
    ⑦IDS、防火墙、ftp、WWW和反病毒软件日志。
    ⑧系统的审计记录。
    ⑨网络流量。
    ⑩操作系统的临时文件或隐含文件。
    11据库的l临时文件或隐含文件。
    ⑩数据库操作记录。
    ⑩硬盘驱动的交换分区。
    ⑩slack区和空闲区。
    ⑩软件设置。
    ⑩完成特定功能的脚本文件。
    ⑩Web浏览器数据缓冲。
    ⑩书签、历史记录或会话日志。