|
隨著計(jì)算機(jī)取證技術(shù)的發(fā)展����,從技術(shù)角度��,主要的電子數(shù)據(jù)取證步驟已經(jīng)固化為“固定保全”���、“刪除恢復(fù)”���、“痕跡分析”和“數(shù)據(jù)展現(xiàn)”幾個步驟,針對不同的取證對象操作系統(tǒng)���,只是每個主要步驟存在些細(xì)微的技術(shù)實(shí)現(xiàn)差異{21}��?���!肮潭ūH卑▽τ?jì)算機(jī)存儲介質(zhì)進(jìn)行位對位的只讀復(fù)制保全����,對于正在運(yùn)行系統(tǒng)的內(nèi)存易丟失數(shù)據(jù)進(jìn)行鏡像導(dǎo)出?��!皠h除恢復(fù)”通常包括根據(jù)不同的文件系統(tǒng)對已刪除文件進(jìn)行恢復(fù)���,以及對存儲鏡像進(jìn)行全盤掃描,根據(jù)文件類型特征來恢復(fù)已刪除的文件內(nèi)容或片段信息���。此外還包括對應(yīng)用程序進(jìn)行記錄級別的數(shù)據(jù)恢復(fù)��?�!昂圹E分析”是計(jì)算機(jī)取證分析的重要步驟�����。依據(jù)所使用的操作系統(tǒng)不同����,通常包括文件下載����、程序執(zhí)行記錄�����、文件使用痕跡��、文件刪除痕跡���、計(jì)算機(jī)位置信息、外設(shè)使用痕跡�����、賬戶痕跡信息以及瀏覽器使用痕跡信息等八大類別{22}��?����!皵?shù)據(jù)展現(xiàn)”通?����?刹捎脮r間軌跡���、地理軌跡�����、關(guān)系網(wǎng)絡(luò)等多種可視化數(shù)據(jù)分析手段對計(jì)算機(jī)取證分析的結(jié)果進(jìn)行更豐富直觀的呈現(xiàn)���,便于分析人員從中得出數(shù)據(jù)的內(nèi)在規(guī)律和隱藏信息。 3.2.1.2面向新型智能終端的取證方法研究 據(jù)2014年全球互聯(lián)網(wǎng)流量發(fā)起終端數(shù)據(jù)統(tǒng)計(jì)�����,手機(jī)占比31%����,平版電腦占比6.6%,而PC已下降到62.4%��。截至2015年4月底��,我國移動互聯(lián)網(wǎng)用戶已達(dá)9.05億人���。作為移動互聯(lián)網(wǎng)的載體���,2015年上半年新型智能終端出貨量達(dá)6.73億部,同比增速14.3%���。2015年上半年我國新型智能終端出貨量達(dá)2.1億部��,同比增長7.5%{23}���。智能終端市場份額主要由Android操作系統(tǒng)���、iOS操作系統(tǒng)和Windows Phone操作系統(tǒng)的移動設(shè)備所占據(jù)。 面向新型智能終端的取證主要包括“在線取證”��、“離線取證”和“芯片級取證”三個主要的技術(shù)手段��?�!霸诰€取證”指的是通過數(shù)據(jù)線連接智能終端與取證設(shè)備���,通過特定的數(shù)據(jù)讀取協(xié)議直接從智能終端中獲取取證分析人員感興趣的數(shù)據(jù)文件�����?���!霸诰€取證”通常受到了新型智能終端設(shè)備自身安全保護(hù)機(jī)制的制約,對于未越獄的iOS設(shè)備��、未Root的Android設(shè)備僅能通過“在線取證”獲取到少量的用戶使用痕跡信息����。而智能終端的鎖屏密碼等保護(hù)措施也嚴(yán)重阻礙了取證的順利進(jìn)行。如何繞過新型智能終端的諸如鎖屏密碼��、數(shù)據(jù)加密等安全防護(hù)機(jī)制仍是該領(lǐng)域研究的重要難題之一���。“離線取證”通常包括兩種類型:基于智能終端的備份數(shù)據(jù)進(jìn)行取證分析和基于智能終端鏡像文件進(jìn)行取證分析����。基于備份的“離線取證”主要利用iOS設(shè)備的iTunes Backup協(xié)議和Android系統(tǒng)內(nèi)置的Backup協(xié)議進(jìn)行數(shù)據(jù)獲取����,這種方法受到了第三方應(yīng)用APP對于備份支持情況的限制,部分APP無法通過備份的手段獲取到使用痕跡信息��?�;阽R像的“離線取證”可以對智能終端的系統(tǒng)信息����、用戶信息以及第三方APP的使用痕跡進(jìn)行較全面的取證分析���,但對于使用了設(shè)備加密的智能終端,鏡像數(shù)據(jù)可能受到了高強(qiáng)度的加密算法的加密保護(hù)����。“芯片級取證”主要用于無法繞過智能終端鎖屏密碼或者無法獲取到智能終端系統(tǒng)權(quán)限的情況下���,可通過JTAG調(diào)試接口或者通過硬件設(shè)備直接讀取智能終端的數(shù)據(jù)存儲芯片����,從中提取到智能終端的數(shù)據(jù)鏡像文件{15}���。 新型智能終端的數(shù)據(jù)刪除恢復(fù)也是取證技術(shù)研究的重要方向��,主要包括基于鏡像的簽名恢復(fù)��,從鏡像中恢復(fù)出已刪除的照片���、視頻等類型的文件數(shù)據(jù)。另一方面是針對應(yīng)用數(shù)據(jù)的存儲容器如SQLite��、 EDB進(jìn)行記錄級的刪除數(shù)據(jù)恢復(fù),恢復(fù)已刪除的應(yīng)用數(shù)據(jù)等��。 3.2.2針對新應(yīng)用環(huán)境的取證技術(shù)研究 3.2.2.1云存儲系統(tǒng)取證 云存儲系統(tǒng)具備了隨處訪問����、便于分享等重要特點(diǎn),近年來得到了快速的發(fā)展�����。國外云存儲系統(tǒng)主要有DropBox��、Google Drive����、OneDrive�����,國內(nèi)的萬存儲系統(tǒng)主要包括百度云��、360云盤���、115網(wǎng)盤等���。 云存儲的取證分析方法主要包括基于云存儲客戶端和基于瀏覽器使用痕跡分析兩種方法��?����;谠拼鎯蛻舳说娜∽C手段通過分析客戶端同步到本地的用戶配置文件���,如DropBox的filecache.dbx、Google Drive的snapshot.db���、百度云的BaiduYunCacheFileVO. db等��,進(jìn)行數(shù)據(jù)的分析提取���。基于瀏覽器使用痕跡的取證手段則通過分析瀏覽器的訪問歷史記錄��、 cookie信息以及瀏覽器保存的登錄用戶名密碼等信息���,嘗試獲取到云儲存服務(wù)的登錄憑據(jù)之后再進(jìn)行在線的云存儲內(nèi)容分析{24}��。 3.2.2.2 Xbox����、PS4等游戲主機(jī) Xbox、PS4這類游戲主機(jī)隨著功能和性能的升級�����,搭配Xbox live.PSN等游戲網(wǎng)絡(luò)的使用����,已經(jīng)不能作為簡單的游戲機(jī)來看待。已有不少案例表明游戲主機(jī)被用于如敲詐勒索���,身份盜竊等犯罪活動中�����。據(jù)新聞報(bào)道,2015年爆發(fā)于巴黎的恐怖襲擊�����,恐怖分子也可能是通過PSN網(wǎng)絡(luò)進(jìn)行相互通信{25}�����。 游戲主機(jī)的取證分析方法類似于傳統(tǒng)的計(jì)算機(jī)取證技術(shù),通過拆卸游戲主機(jī)獲取存儲設(shè)備并進(jìn)行電子證據(jù)的固定保全���。Xbox的存儲設(shè)備主要使用NTFS文件系統(tǒng)進(jìn)行數(shù)據(jù)的存儲管理��,PS4則采用了Fat32文件系統(tǒng)作為存儲管理系統(tǒng)���,計(jì)算機(jī)取證分析軟件可直接對獲取的游戲機(jī)存儲鏡像進(jìn)行取證分析{26}。 3.2.2.3 iCloud取證 iCloud作為iOS設(shè)備內(nèi)置的云存儲系統(tǒng)�����,通常存儲了用戶的海量個人使用痕跡信息����,例如短信、通信錄��、通話記錄��、照片�����、App數(shù)據(jù)等��,具備了重要的取證分析價值。iCloud存儲的數(shù)據(jù)采用了iOS設(shè)備相關(guān)的硬件信息進(jìn)行數(shù)據(jù)存儲加密�����,具備了很高的加密強(qiáng)度���。 通過分析瀏覽器的使用痕跡信息��、cookie數(shù)據(jù)以及瀏覽器保存的用戶名密碼����,可以嘗試獲取到i- Cloud的登錄憑據(jù)���。此外����,還可以通過分析iOS設(shè)備的備份數(shù)據(jù)��,從備份文件中嘗試提取iCloud的登錄憑據(jù)�����。之后使用獲取到的有效憑據(jù)連接到iCloud云存儲平臺��,并獲取到文件列表信息�����、tokens以及其他憑據(jù)信息�����。最后���,再利用文件id�����、文件校驗(yàn)以及文件下載憑據(jù)下載文件����,完成iCloud的取證分析{27}���。3.2.2A可穿戴設(shè)備取證 可穿戴設(shè)備是新型移動智能終端的新類型����,通常包括智能手表�����、智能手環(huán)、智能眼鏡等設(shè)備���。在智能手表市場iWatch已經(jīng)占據(jù)了75%的市場份額�����,使用Android系統(tǒng)的智能手表緊跟其后���。可穿戴設(shè)備通常與iOS智能手機(jī)���、Android智能手機(jī)配套使用�����,設(shè)備之間通過藍(lán)牙或者NFC進(jìn)行短距離數(shù)據(jù)通信����?�?纱┐髟O(shè)備內(nèi)置了多種類型的傳感器,實(shí)時監(jiān)測使用者的狀態(tài)信息并與智能手機(jī)進(jìn)行數(shù)據(jù)傳輸和匯總分析{28}����。 可穿戴設(shè)備的取證主要通過“在線取證”和“離線取證”兩種方式進(jìn)行�����?��;贏ndroid系統(tǒng)的可穿戴設(shè)備可以通過打開USB調(diào)試模式通過ADB命令進(jìn)行“在線取證”�����?���!半x線取證”則通過配套的智能手機(jī)軟件可以將可穿戴設(shè)備的配置信息���、App數(shù)據(jù)同步到智能手機(jī)中��,然后再對智能手機(jī)進(jìn)行數(shù)據(jù)備份即可將可穿戴設(shè)備的數(shù)據(jù)備份到取證設(shè)備中���。基于Android系統(tǒng)的可穿戴設(shè)備在獲取了Root權(quán)限的情況下還可以提取到可穿戴設(shè)備的存儲鏡像,便于進(jìn)一步進(jìn)行文件系統(tǒng)級別的刪除恢復(fù)取證分析{28}�����。 3.3電子數(shù)據(jù)取證與鑒定標(biāo)準(zhǔn)和方法的發(fā)展 電子數(shù)據(jù)取證與鑒定是一個嚴(yán)謹(jǐn)?shù)倪^程�����,因?yàn)槠湫枰戏稍V訟的要求����。因此,推進(jìn)電子數(shù)據(jù)取證與鑒定標(biāo)準(zhǔn)和方法的發(fā)展����,加強(qiáng)電子數(shù)據(jù)取證與鑒定國家標(biāo)準(zhǔn)建設(shè),對規(guī)范電子數(shù)據(jù)取證與鑒定工作����,維護(hù)司法公正、保障人民合法權(quán)益有著重要的意義�����。 3.3.1國外相關(guān)標(biāo)準(zhǔn)的研制狀況 在國際上����,開展電子數(shù)據(jù)取證與鑒定標(biāo)準(zhǔn)研究的主要有國際標(biāo)準(zhǔn)化組織ISO�����、Internet工程任務(wù)組IETF和計(jì)算機(jī)證據(jù)國際組織I0CE,此外���,美國��、英國等多個國家也出臺了針對電子證據(jù)的相關(guān)標(biāo)準(zhǔn)����。 國際標(biāo)準(zhǔn)化組織信息安全分技術(shù)委員會(ISO/IEC JT/SC27)在2012年10月發(fā)布了IS0/IEC 27037:2012《電子證據(jù)識別���、收集��、獲取和保存指南》該指南規(guī)定了電子證據(jù)的定義��、處理電子證據(jù)的要求�����、電子證據(jù)處理步驟及其關(guān)鍵的組件��,包括證據(jù)的連續(xù)性����、證據(jù)鏈、現(xiàn)場安全�����、取證的角色與責(zé)任等����。此外,國際標(biāo)準(zhǔn)化組織信息還陸續(xù)發(fā)布和編制了IS0/IEC 27035《信息安全事件管理》��、IS0/IEC 27038《數(shù)字脫敏規(guī)范》���、IS0/IEC 27040《存儲安全》���、IS0/IEC 27041《事件調(diào)查方法適宜性充分性保障指南》、IS0/IEC 27042《電子證據(jù)分析解釋指南》�����、IS0/IEC 27043《事件調(diào)查原則和過程》���、IS0/IEC 27044《安全信息和事件管理(SIEM)指南》JS0/IEC 27050《電子證據(jù)發(fā)現(xiàn)》��、IS0/IEC 30121《數(shù)字取證風(fēng)險(xiǎn)框架治理》等一系列和電子數(shù)據(jù)取證工作相關(guān)的標(biāo)準(zhǔn){29}����。 IETF早在2002年2月就發(fā)布了RFC 3227《電子證據(jù)收集、保管指南》����,而ITU則在2009年4月發(fā)布了《電子證據(jù)法案》的草案和《了解網(wǎng)絡(luò)犯罪:針對發(fā)展中國家的犯罪》�����,并在2012年9月發(fā)布了《了解網(wǎng)絡(luò)犯罪:現(xiàn)象���、挑戰(zhàn)和法律響應(yīng)》���。除此以外, ITU的網(wǎng)域安全與合法偵聽的相關(guān)標(biāo)準(zhǔn)也牽涉到電子數(shù)據(jù)����。 計(jì)算機(jī)證據(jù)國際組織從1998年3月起就開始著手規(guī)劃關(guān)于獲取電子證據(jù)的相關(guān)原則,以便各國之間能夠有統(tǒng)一的原則�����、方法和慣例來實(shí)施電子證據(jù)的收集工作。2000年3月����,IOCE依據(jù)1999年在倫敦召開的國際高技術(shù)犯罪和取證大會的內(nèi)容,提出了計(jì)算機(jī)取證過程中應(yīng)該遵守的一般原則{30}����。迄今為止,曾參與該組織制定取證原則的英國警察協(xié)會ACPO和數(shù)字取證科學(xué)組SWGDE�����,持續(xù)對電子證據(jù)取證工作的發(fā)展進(jìn)行研究��。為使實(shí)踐工作能符合取證的原則和標(biāo)準(zhǔn)���,ACPO和SWGDE分別推出了《電子證據(jù)取證的最佳實(shí)戰(zhàn)指南》�����,并隨著實(shí)踐工作的轉(zhuǎn)變而新增���、修訂和完善指南內(nèi)容����。 在美國��,國家標(biāo)準(zhǔn)與技術(shù)研究院NIST為了制定相應(yīng)的標(biāo)準(zhǔn)和規(guī)范����,開展了包括計(jì)算機(jī)取證工具測試項(xiàng)目CFTT和國家軟件參考庫項(xiàng)目NSRL以及電子證據(jù)參考數(shù)據(jù)集CFReDS的研究。其中��,NSRL項(xiàng)目負(fù)責(zé)建立一個包含各種軟件的文件以及數(shù)字簽名的目錄�����,以便在執(zhí)法和數(shù)字取證中使用��,目前已收集了2500萬個常見軟件SHA-1散列值����。CFTT項(xiàng)目旨在為確保司法組織以及其他法律組織在電子數(shù)據(jù)取證中使用的工具有效性�����,而建立的一套關(guān)于工具規(guī)格說明書�����、測試程序、測試標(biāo)準(zhǔn)��、測試序列等的方法和標(biāo)準(zhǔn)體系��。CFReDS項(xiàng)目可以讓信息安全事件的取證人員模擬電子數(shù)據(jù)勘查取證��,也可用于檢驗(yàn)鑒定設(shè)備的溯源����。NIST還在2004年制訂了SP 800-72 PDA《取證指南》和《PDA取證工具:概述和分析》,2005年制定了《手機(jī)取證工具:概述和分析》(2007年進(jìn)行了更新)���,2006年制訂了SP 800-86《在安全事件響應(yīng)中集成電子取證的指南》���,2007年制訂了SP 800-101《蜂窩電話取證指南》并經(jīng)2013年、2014年兩度修訂為《移動設(shè)備取證指南》{31}���。 在英國����,英國標(biāo)準(zhǔn)學(xué)會自2003年發(fā)布了BIP 0008-2003《電子存儲信息的法定許可和證據(jù)權(quán)重的實(shí)施規(guī)范》、BIP 0008-2-2005《電子傳送信息的法定許可和證據(jù)權(quán)重的實(shí)施規(guī)范》��、BS 10008-2008《電子信息的法定許可和證據(jù)權(quán)重規(guī)范》(2014年計(jì)劃更新)以及BIP 0009-2008《電子信息證據(jù)權(quán)重和法定許可性與BS 10008共同使用的遵守手冊》等一系列國家標(biāo)準(zhǔn)����。
|
