打击计算机犯罪新课题计算机取证技术
由于原始的电子证据是存放在磁盘等介质里,具有不可见性,需要借助计算机的辅助程序来查看。同时,没有相当IT知识的人也很难理解电子证据的信息。因此,对电子证据的分析并得出结果报告是电子证据能否在法庭上展示,作为起诉计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识,应由专业的取证专家来分析电子证据。
1)做一系列的关键字搜索获取最重要的信息。因为目前的硬盘容量非常大,取证专家不可能手动查看和评估每一个文件。因此需要一些自动取证的文本搜索工具来帮助发现相关的信息。
2)对文件属性、文件的数字摘要和日志进行分析,根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者。如果政策允许可利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问以获取重要信息。
3)评估windows交换文件,file slack,未分配的空间。因为这些地方往往存放着犯罪者容易忽视的证据。在这方面,专业的取证公司NTI的IPFilter和Guidance Software公司的EnCase都可以帮助取证专家获取重要的信息。用恢复工具如EasyRecovery恢复被删除的文件,尤其是被犯罪者删除的日志文件,以发现其踪迹。
4)对电子证据做一些智能相关性的分析,即发掘同一事件的不同证据间的联系。随着计算机分步式技术的发展,犯罪者往往在同一时间段内对目标系统做分步式的攻击以分散管理员的注意力。在分析电子证据时,应对其进行关联分析。如在某一时间段内,来自攻击者的IP在不同系统中留下的痕迹按一定的顺序将其罗列出来,并评估它们的相关性。
5)取证专家完成电子证据的分析后应给出专家证明,这与侦查普通犯罪时法医的角色没有区别。
6、归档
在计算机取证的最后阶段,应整理取证分析的结果供法庭做为诉公证据。主要对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是,在处理电子证据的过程中,为保证证据的可信度,必须对各个步骤的情况进行归档以使证据经的起法庭的质询。
计算机取证工具
在计算机取证过程中,相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,tcpwrapper,sniffers,honeypot,Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。表一是SC infoSecurity杂志评选出来的比较优秀的磁盘镜像工具。表二是2002年计算机取证软件的优秀商业产品。
下面以EnCase做为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。它提供良好的基于windows的界面(如图二),左边是case文件的目录结构,右边是用户访问目录的证据文件的列表。
EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack,未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示,并可打印出来。
计算机取证涉及的法律问题
我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,如《关于审理科技纠纷案件的若干问题的规定》、《计算机信息系统安全保护条例》、《计算机软件保护条例》等。目前在法律界对电子证据作为诉公证据也存在一定的争议。在刑事、民事程序法规定的七类法定证据中未明确规定电子证据做为合法的证据类型,但民事诉讼理论界在司法实践时通常将计算机证据归入“视听资料”类证据。我国在1999年3月15日通过的《合同法》,第11条规定“合同的书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”。第一次在法律上确定了包括电子邮件在内的数据电文的书面形式地位,使得它相当于我国诉讼法中的一种书证。
在国外,1982年的欧洲理事会的《电子处理资金划拨》秘书长报告和1982年英国A.Kelman和R.Sizer的《计算机在法庭上的地位》中,就已经提出计算机记录相当于书面文件作为证据的看法。此后,英美等国都制定相关的法律将电子证据作为合法的证据。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定:不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。
计算机取证遇到的困难
目前我国计算机取证工作无论是技术、人们的意识形态还是法律执行部门都存在一定的困难。
1)技术上还缺乏自主知识产权的计算机取证工具。许多企业和政府部门的网络甚至金融系统受到攻击造成重大损失时没法收集证据,使犯罪者逍遥法外。
2)随着计算机入侵和病毒的泛滥,信息安全需深入人心。但在人们的意识当中还只有被动防护的概念,只是尽量将自己的网络和数据保护好。殊不知再好的安全防范措施也会随着技术的发展和人员的误操作而变的不安全。因此,有必要教育IT从业人员跟上技术的发展,将信息安全提高到主动防护的高度,一旦发现入侵事件马上报告,并设法收集证据将犯罪者起诉至法庭。
3)由于计算机取证的高科技性,需要有专门的法律执行调查取证机构,同时还要颁布相关的法律法规规范计算机取证。在这方面我们还有很多工作要做!
Tags:
作者:无从考证评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论