|
隨著計算機取證技術的發(fā)展���,從技術角度����,主要的電子數(shù)據(jù)取證步驟已經固化為“固定保全”�����、“刪除恢復”��、“痕跡分析”和“數(shù)據(jù)展現(xiàn)”幾個步驟�,針對不同的取證對象操作系統(tǒng),只是每個主要步驟存在些細微的技術實現(xiàn)差異{21}�。“固定保全”包括對計算機存儲介質進行位對位的只讀復制保全�,對于正在運行系統(tǒng)的內存易丟失數(shù)據(jù)進行鏡像導出?��!皠h除恢復”通常包括根據(jù)不同的文件系統(tǒng)對已刪除文件進行恢復����,以及對存儲鏡像進行全盤掃描,根據(jù)文件類型特征來恢復已刪除的文件內容或片段信息��。此外還包括對應用程序進行記錄級別的數(shù)據(jù)恢復�?�!昂圹E分析”是計算機取證分析的重要步驟���。依據(jù)所使用的操作系統(tǒng)不同,通常包括文件下載��、程序執(zhí)行記錄�����、文件使用痕跡���、文件刪除痕跡�、計算機位置信息���、外設使用痕跡�、賬戶痕跡信息以及瀏覽器使用痕跡信息等八大類別{22}�����。“數(shù)據(jù)展現(xiàn)”通??刹捎脮r間軌跡、地理軌跡�����、關系網絡等多種可視化數(shù)據(jù)分析手段對計算機取證分析的結果進行更豐富直觀的呈現(xiàn)����,便于分析人員從中得出數(shù)據(jù)的內在規(guī)律和隱藏信息。 3.2.1.2面向新型智能終端的取證方法研究 據(jù)2014年全球互聯(lián)網流量發(fā)起終端數(shù)據(jù)統(tǒng)計�,手機占比31%,平版電腦占比6.6%�,而PC已下降到62.4%。截至2015年4月底��,我國移動互聯(lián)網用戶已達9.05億人�����。作為移動互聯(lián)網的載體�,2015年上半年新型智能終端出貨量達6.73億部,同比增速14.3%。2015年上半年我國新型智能終端出貨量達2.1億部����,同比增長7.5%{23}。智能終端市場份額主要由Android操作系統(tǒng)���、iOS操作系統(tǒng)和Windows Phone操作系統(tǒng)的移動設備所占據(jù)。 面向新型智能終端的取證主要包括“在線取證”����、“離線取證”和“芯片級取證”三個主要的技術手段?���!霸诰€取證”指的是通過數(shù)據(jù)線連接智能終端與取證設備,通過特定的數(shù)據(jù)讀取協(xié)議直接從智能終端中獲取取證分析人員感興趣的數(shù)據(jù)文件��?��!霸诰€取證”通常受到了新型智能終端設備自身安全保護機制的制約�,對于未越獄的iOS設備���、未Root的Android設備僅能通過“在線取證”獲取到少量的用戶使用痕跡信息���。而智能終端的鎖屏密碼等保護措施也嚴重阻礙了取證的順利進行�����。如何繞過新型智能終端的諸如鎖屏密碼���、數(shù)據(jù)加密等安全防護機制仍是該領域研究的重要難題之一?�!半x線取證”通常包括兩種類型:基于智能終端的備份數(shù)據(jù)進行取證分析和基于智能終端鏡像文件進行取證分析���?��;趥浞莸摹半x線取證”主要利用iOS設備的iTunes Backup協(xié)議和Android系統(tǒng)內置的Backup協(xié)議進行數(shù)據(jù)獲取,這種方法受到了第三方應用APP對于備份支持情況的限制����,部分APP無法通過備份的手段獲取到使用痕跡信息?�;阽R像的“離線取證”可以對智能終端的系統(tǒng)信息����、用戶信息以及第三方APP的使用痕跡進行較全面的取證分析,但對于使用了設備加密的智能終端,鏡像數(shù)據(jù)可能受到了高強度的加密算法的加密保護�。“芯片級取證”主要用于無法繞過智能終端鎖屏密碼或者無法獲取到智能終端系統(tǒng)權限的情況下����,可通過JTAG調試接口或者通過硬件設備直接讀取智能終端的數(shù)據(jù)存儲芯片,從中提取到智能終端的數(shù)據(jù)鏡像文件{15}����。 新型智能終端的數(shù)據(jù)刪除恢復也是取證技術研究的重要方向,主要包括基于鏡像的簽名恢復�,從鏡像中恢復出已刪除的照片�����、視頻等類型的文件數(shù)據(jù)���。另一方面是針對應用數(shù)據(jù)的存儲容器如SQLite�����、 EDB進行記錄級的刪除數(shù)據(jù)恢復��,恢復已刪除的應用數(shù)據(jù)等����。 3.2.2針對新應用環(huán)境的取證技術研究 3.2.2.1云存儲系統(tǒng)取證 云存儲系統(tǒng)具備了隨處訪問、便于分享等重要特點�,近年來得到了快速的發(fā)展。國外云存儲系統(tǒng)主要有DropBox�、Google Drive、OneDrive����,國內的萬存儲系統(tǒng)主要包括百度云����、360云盤�����、115網盤等�。 云存儲的取證分析方法主要包括基于云存儲客戶端和基于瀏覽器使用痕跡分析兩種方法����?��;谠拼鎯蛻舳说娜∽C手段通過分析客戶端同步到本地的用戶配置文件���,如DropBox的filecache.dbx、Google Drive的snapshot.db��、百度云的BaiduYunCacheFileVO. db等�����,進行數(shù)據(jù)的分析提取�。基于瀏覽器使用痕跡的取證手段則通過分析瀏覽器的訪問歷史記錄�、 cookie信息以及瀏覽器保存的登錄用戶名密碼等信息,嘗試獲取到云儲存服務的登錄憑據(jù)之后再進行在線的云存儲內容分析{24}�����。 3.2.2.2 Xbox����、PS4等游戲主機 Xbox��、PS4這類游戲主機隨著功能和性能的升級���,搭配Xbox live.PSN等游戲網絡的使用���,已經不能作為簡單的游戲機來看待����。已有不少案例表明游戲主機被用于如敲詐勒索�����,身份盜竊等犯罪活動中�����。據(jù)新聞報道�,2015年爆發(fā)于巴黎的恐怖襲擊,恐怖分子也可能是通過PSN網絡進行相互通信{25}����。 游戲主機的取證分析方法類似于傳統(tǒng)的計算機取證技術�,通過拆卸游戲主機獲取存儲設備并進行電子證據(jù)的固定保全。Xbox的存儲設備主要使用NTFS文件系統(tǒng)進行數(shù)據(jù)的存儲管理����,PS4則采用了Fat32文件系統(tǒng)作為存儲管理系統(tǒng)�,計算機取證分析軟件可直接對獲取的游戲機存儲鏡像進行取證分析{26}。 3.2.2.3 iCloud取證 iCloud作為iOS設備內置的云存儲系統(tǒng),通常存儲了用戶的海量個人使用痕跡信息���,例如短信����、通信錄���、通話記錄���、照片、App數(shù)據(jù)等�����,具備了重要的取證分析價值�����。iCloud存儲的數(shù)據(jù)采用了iOS設備相關的硬件信息進行數(shù)據(jù)存儲加密����,具備了很高的加密強度���。 通過分析瀏覽器的使用痕跡信息、cookie數(shù)據(jù)以及瀏覽器保存的用戶名密碼����,可以嘗試獲取到i- Cloud的登錄憑據(jù)����。此外,還可以通過分析iOS設備的備份數(shù)據(jù)�,從備份文件中嘗試提取iCloud的登錄憑據(jù)。之后使用獲取到的有效憑據(jù)連接到iCloud云存儲平臺����,并獲取到文件列表信息、tokens以及其他憑據(jù)信息����。最后���,再利用文件id����、文件校驗以及文件下載憑據(jù)下載文件,完成iCloud的取證分析{27}�。3.2.2A可穿戴設備取證 可穿戴設備是新型移動智能終端的新類型,通常包括智能手表�����、智能手環(huán)�、智能眼鏡等設備�。在智能手表市場iWatch已經占據(jù)了75%的市場份額�����,使用Android系統(tǒng)的智能手表緊跟其后����。可穿戴設備通常與iOS智能手機�、Android智能手機配套使用����,設備之間通過藍牙或者NFC進行短距離數(shù)據(jù)通信?���?纱┐髟O備內置了多種類型的傳感器�,實時監(jiān)測使用者的狀態(tài)信息并與智能手機進行數(shù)據(jù)傳輸和匯總分析{28}���。 可穿戴設備的取證主要通過“在線取證”和“離線取證”兩種方式進行?;贏ndroid系統(tǒng)的可穿戴設備可以通過打開USB調試模式通過ADB命令進行“在線取證”�?����!半x線取證”則通過配套的智能手機軟件可以將可穿戴設備的配置信息、App數(shù)據(jù)同步到智能手機中���,然后再對智能手機進行數(shù)據(jù)備份即可將可穿戴設備的數(shù)據(jù)備份到取證設備中?��;贏ndroid系統(tǒng)的可穿戴設備在獲取了Root權限的情況下還可以提取到可穿戴設備的存儲鏡像���,便于進一步進行文件系統(tǒng)級別的刪除恢復取證分析{28}。 3.3電子數(shù)據(jù)取證與鑒定標準和方法的發(fā)展 電子數(shù)據(jù)取證與鑒定是一個嚴謹?shù)倪^程�����,因為其需要符合法律訴訟的要求��。因此,推進電子數(shù)據(jù)取證與鑒定標準和方法的發(fā)展�����,加強電子數(shù)據(jù)取證與鑒定國家標準建設���,對規(guī)范電子數(shù)據(jù)取證與鑒定工作�����,維護司法公正��、保障人民合法權益有著重要的意義。 3.3.1國外相關標準的研制狀況 在國際上,開展電子數(shù)據(jù)取證與鑒定標準研究的主要有國際標準化組織ISO��、Internet工程任務組IETF和計算機證據(jù)國際組織I0CE��,此外����,美國����、英國等多個國家也出臺了針對電子證據(jù)的相關標準���。 國際標準化組織信息安全分技術委員會(ISO/IEC JT/SC27)在2012年10月發(fā)布了IS0/IEC 27037:2012《電子證據(jù)識別����、收集���、獲取和保存指南》該指南規(guī)定了電子證據(jù)的定義�、處理電子證據(jù)的要求、電子證據(jù)處理步驟及其關鍵的組件,包括證據(jù)的連續(xù)性����、證據(jù)鏈�、現(xiàn)場安全�、取證的角色與責任等�����。此外��,國際標準化組織信息還陸續(xù)發(fā)布和編制了IS0/IEC 27035《信息安全事件管理》���、IS0/IEC 27038《數(shù)字脫敏規(guī)范》、IS0/IEC 27040《存儲安全》���、IS0/IEC 27041《事件調查方法適宜性充分性保障指南》���、IS0/IEC 27042《電子證據(jù)分析解釋指南》�、IS0/IEC 27043《事件調查原則和過程》、IS0/IEC 27044《安全信息和事件管理(SIEM)指南》JS0/IEC 27050《電子證據(jù)發(fā)現(xiàn)》�����、IS0/IEC 30121《數(shù)字取證風險框架治理》等一系列和電子數(shù)據(jù)取證工作相關的標準{29}。 IETF早在2002年2月就發(fā)布了RFC 3227《電子證據(jù)收集�����、保管指南》���,而ITU則在2009年4月發(fā)布了《電子證據(jù)法案》的草案和《了解網絡犯罪:針對發(fā)展中國家的犯罪》���,并在2012年9月發(fā)布了《了解網絡犯罪:現(xiàn)象��、挑戰(zhàn)和法律響應》。除此以外�, ITU的網域安全與合法偵聽的相關標準也牽涉到電子數(shù)據(jù)。 計算機證據(jù)國際組織從1998年3月起就開始著手規(guī)劃關于獲取電子證據(jù)的相關原則����,以便各國之間能夠有統(tǒng)一的原則�、方法和慣例來實施電子證據(jù)的收集工作���。2000年3月��,IOCE依據(jù)1999年在倫敦召開的國際高技術犯罪和取證大會的內容�,提出了計算機取證過程中應該遵守的一般原則{30}。迄今為止����,曾參與該組織制定取證原則的英國警察協(xié)會ACPO和數(shù)字取證科學組SWGDE,持續(xù)對電子證據(jù)取證工作的發(fā)展進行研究�����。為使實踐工作能符合取證的原則和標準����,ACPO和SWGDE分別推出了《電子證據(jù)取證的最佳實戰(zhàn)指南》�����,并隨著實踐工作的轉變而新增��、修訂和完善指南內容�����。 在美國,國家標準與技術研究院NIST為了制定相應的標準和規(guī)范��,開展了包括計算機取證工具測試項目CFTT和國家軟件參考庫項目NSRL以及電子證據(jù)參考數(shù)據(jù)集CFReDS的研究����。其中����,NSRL項目負責建立一個包含各種軟件的文件以及數(shù)字簽名的目錄,以便在執(zhí)法和數(shù)字取證中使用�����,目前已收集了2500萬個常見軟件SHA-1散列值���。CFTT項目旨在為確保司法組織以及其他法律組織在電子數(shù)據(jù)取證中使用的工具有效性,而建立的一套關于工具規(guī)格說明書����、測試程序、測試標準�����、測試序列等的方法和標準體系�����。CFReDS項目可以讓信息安全事件的取證人員模擬電子數(shù)據(jù)勘查取證,也可用于檢驗鑒定設備的溯源�。NIST還在2004年制訂了SP 800-72 PDA《取證指南》和《PDA取證工具:概述和分析》��,2005年制定了《手機取證工具:概述和分析》(2007年進行了更新),2006年制訂了SP 800-86《在安全事件響應中集成電子取證的指南》�����,2007年制訂了SP 800-101《蜂窩電話取證指南》并經2013年、2014年兩度修訂為《移動設備取證指南》{31}����。 在英國,英國標準學會自2003年發(fā)布了BIP 0008-2003《電子存儲信息的法定許可和證據(jù)權重的實施規(guī)范》�����、BIP 0008-2-2005《電子傳送信息的法定許可和證據(jù)權重的實施規(guī)范》、BS 10008-2008《電子信息的法定許可和證據(jù)權重規(guī)范》(2014年計劃更新)以及BIP 0009-2008《電子信息證據(jù)權重和法定許可性與BS 10008共同使用的遵守手冊》等一系列國家標準。
|
