随着网络信息技术的发展,计算机网络逐渐成为人们生活和工作中不可或缺的组成部分,它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天,伴随着计算机网络的日新月异,计算机网络犯罪也逐渐走进了我们的视线。黑客攻击、网络钓鱼,僵尸网络,这些以谋取非法利益为目的的新兴犯罪手段,使人们诚惶诚恐。不仅仅是因为担心数据丢失给企业和个人造成经济损失,更重要的原因是当企业或个人发现了被黑客攻击,被病毒侵害而造成损失后,往往不知道该怎么办,举报到相关部门,又缺乏足够的证据,毕竟这是虚拟的世界,找证据非常的难。这也是本文要和大家探讨的问题:计算机取证。
计算机证据是指在计算机系统运行过程中,产生用以证明案件事实的内容的一种电磁记录物。针对网络攻击事件,可以作为证据有:系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份等等,其中入侵检测、服务器日志是主要的证据来源。从企业信息网络安全建设来看,计算机取证已经成为一个重要的领域。通过检查计算机的访问日志信息,可以了解犯罪嫌疑人在该计算机上做了哪些事情,找到可疑文件;通过黑客工具反向判定,可以追踪黑客动向以及了解黑客活动。
但是从目前的情况来看,网络取证还是非常困难的,因为到目前为止,国家还没有一个成文的相关法规出台。而且现在的犯罪分子也十分狡猾,网络犯罪手段也非常隐蔽多样,以色情犯罪为例,在罪犯建设的站点上,开辟隐藏的色情版块,只给那些老成员访问,有着长期的信任关系才能访问嫌疑人到隐藏版块,其他会员则不可见。有些甚至只有通过2层、3层网络代理才可以访问,还有人使用vpn做加密通道,在肉鸡上放置色情资源,嫌疑人为了证明自己的清白,经常在主页上植入木马程序,自己不光卖流量,还卖信封,当你抓捕他的时候,他能诡辩的声称这个服务器空间是被别人给利用了,自己也是受害者。这些手段和行为在司法机关立案和定罪时,确实很难成为呈堂证供。计算机取证这条道路是漫长而深远的,有时抓获嫌疑人,却因为证据不足而不能定罪,留下的是更多的无奈。
用事实说话
2006年6月,我所在城市的刑侦大队,来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后,曾经来过当地的汽车配件市场中的一个商店,买过一个零件,而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件,该销售软件是广东开发的,操作平台是基于DOS开发的,很BT(51CTO编者注:BT在这里可以理解成“变态”),竟然还调用了ucdos。经过一些行为分析和操作检查后,发现里面有很多记录,但是很多从登记的人员信息来看都是虚假的,更奇怪的是只有近几天的销售记录,而没有以前的。就打电话给商店老板,老板说这个电脑平时都是用来做销售记录,偶尔听听音乐的,没有人懂电脑的,经过再三的确认,或许有人误操作吧。不过这也难不倒我们,用EasyRacover(51CTO编者注:EasyRacover是一种数据恢复软件)经过近3个小时的恢复,发现了不少东西。遗憾的是还没发现有价值的信息,在一些数据库文件中发现的销售日期是近来几天的。哎,看下表都已经夜里2点了,抽颗烟,继续分析,期间用了很多工具,还是一无所获。第2天早上,朋友买来早点,等着听我的好消息,我只能两手一摆,没有结果。但是我不死心,因为从我个人研究的角度考虑,肯定还是有内在原因的,商店那边肯定还是有问题。经过再三的询问,终于才知道里面有一个销售人员懂点基本的操作,晚上趁老板不在的时候,看一些自己买的色情影碟,后来机器中了病毒,他怕老板知道,就用了那种ghost版本的winxp安装盗版光盘,哎,就是这个可怕的ghost,造成了永久不能复原,让我们在第一时间损失了获得嫌疑人第一手的信息,经过后来和一些数据恢复专家的探讨,他们说这就相当于一次物理写入,在数据恢复研究领域,物理擦写是无法在还原记录的,就是目前美国也无法完成物理擦写后的数据恢复。
这是我当是第一次做取证方面的事情,虽然是失败了,但是却激发了我很浓厚的兴趣,现在一直也在这个方面做一些研究,有时也和警察朋友一起做些配合。
那么黑客是怎么去消除证据的?
是不是真的象一些黑客电影里面演的那样,把使用的数据光盘放入微波炉里面摧毁,把硬盘锁定,敲任意键都进入数据倒计时自我毁灭状态。说老实话,把光盘放入微波炉里面,消除证据我还没有做过,不过以前和朋友到是真写过一个毁坏硬盘的程序,程序运行的时候要对磁头进行读写,硬盘盘片高速旋转,cpu做大量计算的时候,突然之间停止,杀死他的马达。主要思路是来自对软驱的读写控制,因kill motor 这个命令而想到的,为此也报废了一个硬盘。所以键入任意键,进入硬盘自毁程序,我是认可的。而放入微波炉的那个,想想太危险,就没有做个这样的测试。其实大多数黑客都不是只有一个硬盘的,一般情况下都是有2-3块移动硬盘,把一些珍贵数据放在里面。在他们跑路的时候,用塑料带罩着。放在隐藏的角落,具体什么位置,大家自己去想吧。每个人的思路不一样,我这里不好多做解释。现在还有的一些黑客把资料放在自己的pda手机里面,手机都是二手的,然后在把SIM卡进行擦写,即使我们做了发射基站定位,也还是找不到他们真正的藏匿之所。黑客还喜欢把经过跳转的路由节点都一个个的干掉,把犯罪信息抹除的干干净净。
如何查找证据呢?
一般黑客的常用做法就是以假乱真,通过注册表来克隆帐户,用克隆帐户访问一些核心信息,通过DOS修改文件时间等手段,造成一种迷惑的假象。很多木马程序都是放在system32里面。很少有用户留意这个目录。黑客也会在肉鸡上开vpn服务,不过通常访问的时候都是过三层代理访问肉鸡,即使被发现和跟踪也只能访问到代理主机,同样它也是一台肉鸡,而且多数都不是在国内。这给取证方面增加了很大难度。
黑客通常在访问完肉鸡(傀儡机)后,首先要做的工作,是清除系统访问日志,国内的都喜欢用小榕的那个工具清除系统日志,一般我们浏览一些信息的时候,从“开始”菜单的“文档”菜单可查看到Windows 系统自动记录的最后使用的十五个文档,实际上,这个信息存放在C:Documents and SettingsDefault UserRecent中(51CTO编者注:Default User是Windows操作系统登陆的用户帐号,下同),它还包括有文件链接和访问时间,检查此文件夹,可以了解最近计算机的使用情况。
不仅如此,从开始菜单,运行regedit ,从注册表中搜索recent ,将得到许多recent 记录。例如:
在HKCU Software Microsof t DevStdio 6. 0 Recent File List 有开发工具Visual Studio 的最近使用的程序文件和工程文件;
在HKCU Software Adobe Acrobat Reader 8. 0 AdobeViewer 有该软件最近阅读过的文件;
在HKCU Sof tware Microsof t Office 9. 0 Excel Recent Files 有Excel 最近打开的文档;
前述开始菜单的十五个文档也存放在HKCU Sof tware Microf t Windows CurrentVersion Explorer RecentDocs ,只不过文件名使用的是Unicode 编码;
在C:Documents and SettingsDefault User Local Settings History 中存有最近访问所留下的所有文件;
IE 访问历史在C:Documents and SettingsDefault User LocalSettings Temporary Internet Files ,记录了Internet 地址、标题和上次访问时间等;
在HKCU sof tware Microsof t Internet Explorer Type2dURLS 路径下可以看到上网的网址。
C:Documents and SettingsDefault User Favorites 是收藏夹,在作系统信息检查时,应当在资源管理器中设置“显示所有文件”,因为在默认情况下,系统文件夹设置成“隐藏”属性。通过这些操作就可以看到我们访问过的一些痕迹。
国外的是怎么样做网络取证的?
随着美剧越狱的热播,大家都对那个充满着离奇色彩的电影而充满想象,但是处于职业习惯,我更看中的是那个FBI探员的犯罪猜想以及FBI做的数据还原。FBI就是通过硬盘的数据恢复从而知道了男主角的全盘计划。如果不想让人看到自己的一些记录,完全可以把硬盘进行分解,做物理性破坏。从近三年的计算机安全技术论坛(FIRST年会)看,计算机取证已经成为广为关注的问题。国际上在计算机取证方面已有比较深入的研究,并且有不少公司推出了相关的应用产品。美国五个已建成和计划建设中的计算机取证实验室,专门用于恐怖活动追踪和计算机犯罪调查。
一般国外惯用的取证手法还是通过专业工具,主要使用Encase和Ftk这两个工具软件,通过二进制数据还原技术来重现一些机器操作信息和软件安装数据信息等。在电子邮件取证方面是通过EmailTrackPro这个工具来做一些电子邮件定位,通过分析邮件来往信息头做出判定,同时这也是捕捉网络蠕虫病毒,跟踪源惯用的方法,还有通过Filemon等工具做一些信息比对,找出木马和黑客软件的容身之所,根据逆向分析来进行反跟踪,侦查黑客的所在地。从而通过诱捕、抓捕犯罪嫌疑人,当然更多的也是通过高额的赏金来做情报收集。圈里有一种传说:FBI可以对六次的重复擦写的磁盘做出数据还原。我也和国外的朋友探讨过,大家一致认为这绝对是不可能的,要不怎么说是传说呢?
应该怎么取证
为了确保证据的安全、可信,计算机证据国际组织( International Organization on Computer Evidence ,IOCE) 对数字证据的采集、保存、检验和传送提出的特别要求:“必须使用有效的软硬件进行采集和检验;数字证据的采集、检验、传送全过程都必须有记录;任何有潜在可能对原始数字证据造成改变、破坏或毁坏的活动必须由有法律上承认的有资质的人进行。对现场计算机的一个处理原则是,已经开着的计算机不要关掉,关着的计算机不要打开。如果现场计算机是开着的,应避免使屏幕保护程序激活。检查屏幕上的活动。如果发现系统正在删除文件、格式化、上传文件、系统自毁或进行其他危险活动,立即切断电源。
现场取证时,应当记录系统日期和时间、主存内容、当前执行的进程列表、在端口提供服务的程序列表、当前系统内用户列表,如果是联网系统,还应收集当前连入系统的用户名和远程系统名。还应当尽可能记录使用者的个人情况、用户名、口令、密码等。
对于计算机硬盘数据,使用专用的取证工具进行硬盘复制,在实验室对备份的硬盘进行检验,采集证据。原始硬盘封存保管。对于取证用的计算机,要进行病毒检测,防止病毒传染到被检测的计算机。
计算机取证方面存在的问题总结:
计算机取证技术是相关法律法规赖以实施的基础,是我国全面实现信息化的重要技术之一,但现在还存在以下问题:
(1)计算机取证涉及到磁盘分析、加密、数据隐藏、日志信息发掘、数据库技术、介质的物理性质等多方面的知识,取证人员除了会使用取证工具外,还应具备综合运用多方面知识的能力。
(2)在取证方案的选择上应结合实时取证和事后取证两种方案,以保证取证的效果,因此可以将计算机取证融合到入侵检测等网络安全工具中,进行动态取证。这样,整个取证过程将更加系统并具有智能性。
(3)计算机取证只是一种取证手段,并不是万能的,因此应与常规案件的取证手段相结合,比如询问当事人、保护现场等,从而有效打击计算机犯罪。
(4)到目前为止,尽管相关部门早已进行了计算机安全培训,但还没有一套成形的操作规范,使得取证结果的可信性受到质疑。为了能让计算机取证工作向着更好的方向发展,制定取证工具的评价标准和取证工作的操作规范是非常必要的。