如2002年7月,犯罪嫌疑人冒充新浪网向各个公司发送电子邮件,声称新浪网将实行有偿服务,并提供了汇款账户。公安局破案后发现,由于数字证据随发随消,电脑主机里并没有发现有关证据,案件的侦办主要通过对犯罪嫌疑人的审查和认供,案件本身的证据收集、认定难度颇大,定刑和审判的结果也颇为勉强。数字证据在诉讼中的作用日趋增强,数字证据的技术分析也将受到特别的重视。目前,世界上许多国家都把数字证据的取证技术作为重要研究课题,并成立了许多相应的专门机构,如美国联邦调查局的计算机分析与反应组(CART2ComputerAnalysisandResponseTeam)等。
一、数字证据概述
从概念上理解,数字证据是指在计算机或计算机系统运行过程中产生的,以其记录的数据和资料来证明事实的电磁记录物,是一种介于物证与书证之间的独立的证据。数字信息在计算机及网络系统内是以“01”(电子学术语,0代表一种电磁状态(如电信号的断开),1代表另一种电磁状态(如电信号的连通))。这些“01”的排列组合表示着特定数值的数据和特定文字及符号的代码的存在,这些数字、文字和符号组合起来就表示了一定内容的电子信息,当其成为法庭案件审理的证据时,就成为我们所说的数字证据。其特性主要表现为:
1.高科技性。计算机把信息用二进制编码转换为一系列的电脉冲来实现某种功能,其证据的产生、储存和传输的原始形态不是肉眼可识别的文字、图形、符号,其实质上只是一堆按编码规则处理成的“0”和“1”,这个特点不仅使得数字证据的产生,而且在存储、传输和显示离不开计算机技术、存储技术、网络技术的高科技的支持。高科技特性使得数字证据具有收集迅速、易于保存、占用空间少、传送和运输方便,可以反复重现、易于使用、审查、核实,便于操作的特点。
2.显示形式的复合性。数字证据的表现形式几乎涵盖了所有传统证据类型,综合了文本、图形、图像、动画、音频及视频等多种媒体信息,还可以是交互式的、可加密编译的。
3.易破坏性。数字证据是用二进制数据表示的,以数字信号的方式存在,而数字信号是非连续性的,在技术上可以被截收、监听、窃听、删节、剪接而无法查清,也可以因为操作失误、断电、网络故障、病毒、硬件故障或冲突、软件兼容性引起的数据丢失、系统崩溃等环境和技术方面的原因,都会使数字证据文件无法反映真实的情况。所以,数字证据的内容具有更大的不稳定性,稍纵即逝。
4.客观实时性。犯罪人在入侵网络的过程中,计算机会自动记录其使用痕迹并保存一定期限,如访问时间、IP地址等。由于数据传输的高速性,数字证据的形成都是实时的。如果不考虑人为和非人为因素,数字证据一经形成便始终保持最初、最原始状态,并能长期无损保存和反复使用,这是传统书证、物证所无法比拟的。数字证据的这一特点便于我们在一定的时间空间内锁定犯罪嫌疑人和寻访证据。
5.混合性。计算机证据兼有书证、物证、视听资料的特点。
二、数字证据的取证特点
数字证据具有不同与其他证据的特征,是以电或磁的脉冲形式,以二进制的数据格式存储于计算机的硬盘上的,其属于高科技证据;同时数字数据不能直接进入诉讼证明领域,必须经过法律规定的收集和审查才能具备证据能力和证明力。因此数字证据的取证我们可以认为具有技术性收集和法律性收集的特点。
1.技术收集性。是指作为一种电脉冲或者磁脉冲的数字数据,如何以可见、可感知的和可移动的形式固定下来,从而在技术上实现数据的有形性和可视性的转变。是数字数据固定的重要的过程,也是数字数据具备证据特征的一个重要的前提,它主要是指在技术上对数字证据进行收集的手段、相应的技术要求和指标。数字证据的技术性收集主要涉及计算机科学的一些问题,它要解决的是数字数据的固定、保全以及修复等一系列问题。数字证据的技术性收集的目的是将数字数据以法定的证据形态或者是法庭可以采纳的证据形式固定下来
2.数字证据的法律性收集,主要是指数字证据收集的法律程序上的要求,主要包括收集主体的要求、收集具体程序的要求以及其收集中和相关权利的冲突和协调。首先,由于数字证据的不稳定性和易更改性,为收集者作假和随意变更提供了可能,因此对于数字证据的收集的主体应当严格限定;其次,证据的收集应当有法定的程序。证据的收集必须遵循法定的程序;最后,在数字证据的收集过程中,要注意数字证据的收集和相关人的隐私权之间的冲突问题的解决,这类问题主要发生在国家机关收集数字证据的过程中。
当然,技术性收集和法律性收集是密切联系不可分割的,在实际的收集过程中是会为一体的。本文主要讨论数字证据技术收集问题。
三、数字证据的存在源及表现形式
1.存在于计算机系统内,表现形式为:
(1)系统日志文件;
(2)备份介质;
(3)入侵者残留物:如程序、脚本、进程、内存映像;
(4)交换区文件;
(5)临时文件;
(6)硬盘未分配的空间(一些刚刚被删除的文件可以在这里找到)
(7)系统缓冲区。
2.存在于网络内,表现形式为:
(1)防火墙日志;
(2)IDS日志;
(3)其它网络工具所产生的记录和日志等。
3.存在于其他存储介质内,表现形式为:移动存储器、记忆卡、各类可移动的扩展存储卡等。
4.存在于其它电子设备内,如留言功能的电话机、微型摄像头、视频捕捉卡、可视电话等设备、电子记事本、寻呼机、打印机、传真机、扫描仪中都含有用户使用日志、时间信息、预复印文档等。表现形式为:影像、视频、声音、地址、密码、计划任务表、电话号码、书写笔迹等信息。
四、数字证据的取证步骤
一般包含如下5个步骤:
1.识别证据:识别可获取的证据的类型,以及获取的方法;
2.传输证据:将获取的信息安全地传送到取证分析机上;
3.保存证据:确保跟原始数据一致,不对原始数据造成改动和破坏;
4.分析证据:以可见的方式显示,结果要具有确定性,不要作任何假设;
5.提交证据:向管理者、律师或者法院提交证据。
五、数字证据的取证方法
取证是指对能够为法庭接受的、足够可靠的和有说服性的,由于数字证据的产生、传输、存储与技术有密切的关系,存在于计算机和相关外设中的数字证据的确认、保护、提取和归档过程。它也应当与技术因素密切相关。由此可以将数字证据的取证分为一般取证和复杂取证。
1.一般取证是指在未经伪饰、修改、破坏等情形下进行的取证
(1)对计算机犯罪案件在文字内容上有证明意义的情况下,可以采取直接将有关内容在监控下打印出来或拷贝在存储设备上。
(2)对具有视听资料的证据意义的,采用拍照、摄像进行取证。
(3)对于取证证据种类、方式、过程、内容等全部情况进行的记录,制作司法文书。使用司法文书的方式可以通过权威部门对特定事实的认定作为证据,具有专门性、特定性的特点,具有较高的证明力。主要适用于对具有网络特色的证据的提取,如数字签名、电子商务等。
(4)对于涉及案件的证据材料、物件采取查封、扣押,置于司法机关保管之下。
(5)由于数字证据极易被破坏,一旦被破坏就难以恢复原状,所以,通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。
2.复杂取证是指需要专业技术人员协助进行的数字证据的取证活动
(1)设置密码的数字证据的解密
(2)对已经被修改、破坏的电子证据通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。
(3)使用事先制作的测试文件,对试电子证据内容中涉及软件或系统中相关问题的确认。
六、计算机犯罪取证的技术分析
1.日志分析
计算机犯罪都是与计算机的各种操作紧密相关的,因此或多或少地会在一些日志文件中有所记载。可以通过手工或使用日志分析工具如NestWatch,NetTracker,LogSurfer,VDStats,Netlog和Analog等对日志进行分析,以得到蛛丝马迹。但是犯罪嫌疑人一旦获得了root权限,就可以轻易地破坏或删除日志记录,从而掩盖他们留下的痕迹。如黑客工具UTClean就可以完成这一处理过程。防止的办法是寻找新的软件,如BSD4.4引入了“安全层”的概念,可用来阻止内核和系统文件被修改,而最有效的办法是采用第三方的日志工具。
2.对活动文件的扫描
使用一个恰当的关键字搜索工具,基本的要求是必须能执行逻辑上的扫描(基于文件结构的扫描)和物理上的扫描(基于磁盘的扫描),记录可疑文件的属性如生成日期和大小,如果可能,与可疑文件有着相似特征的临时文件也应考察,这将为可疑文件建立一个时间上的逻辑纪录。
3.对删除的文件的恢复
磁盘在格式化时被划分成许多同心圆,即磁道(Track),每个磁道等分成若干个区(扇区Sectors)。一个磁道上若干个扇区组成一个簇(Cluster),簇是磁盘上的基本存储单元。当一个簇被写入新数据时,不论新数据是否占满了该簇的全部空间,该簇也被完全占用。簇内新数据未占空间称为Slack空间。深入理解Slack空间的含义对数字证据的取证至关重要。
磁盘保留着每个簇的记录项,当删除一个文件时,只是把记录项中指向该文件的某些参数清除,而该文件的数据并没有真正从磁盘上删除。被删除的文件在通常的情况下可以被恢复。当一个被删除的文件又被新的数据覆盖时,如果新的数据并没有完全占满簇的所有空间,那么被删除文件的一部分数据仍旧存留在Slack空间里,而且可以通过一些技术手段恢复Slack空间里的数据。此外,大部分的操作系统为提高处理效率很少真正从磁盘上抹掉数据,当文件被删除时,通常只是文件的第一个字节被删除,磁盘中的文件和数据只有经过多次覆盖才可能保证不被完全恢复,因而采用相应的工具恢复被删除的文件是完全可能的。对待被恢复的文件数据,可以采用活动文件的处理方式来处理。
即使是将硬盘数据删除并清空回收站,数据还仍然保留在硬盘上,只是硬盘FAT表中相应文件的文件名被破坏,只要该位置没有被重新写入数据,原来的数据就可以恢复出来。可以通过类似Reco代rNT这样的程序,在所有驱动器(软盘、硬盘或网络驱动器)中查找、恢复数据。
4.对被破坏的数据的修复
充分利用诸如Coroners等工具软件,仔细分析所获取的数字证据,并且对分析过程和结果详细记录。对于被破坏的数字证据,需要利用专门软件或工具进行修复。对于那些经过加密的数字证据,询问密钥或进行破解。对于SlaCk空间和未分配空间的数据,一些二进制文件(如swap文件),利用有关工具进行分析复原,重建数据。最后将数字证据与其样本仔细比对,比较数字证据的创建方法和过程,找出数字证据之间的联系,发现相关数字证据的共同特征,确认数字证据的同一来源,结合其他证据来认定犯罪事实。例如:1999年,RichardSm5th利用微软Omce97的一项隐蔽功能,确认了制作美丽莎病毒(Melissa)的作者。因为,在一台计算机中用Omce97软件创建的任何文件,都包含着一串唯一的数字,这串数字可以认定创建这些文件的计算机。
5.数据保存
数字证据被最广泛接纳的方式是由原始媒体所生成的以比特流形式存在的数据镜像或拷贝,其完整性和真实性是获取法官认可的关键,必须保证提供的是原始的,以防内部或外部非法人员的篡改和删除。这些复制的镜像数据可用来做各种调查并被各种技术处理,而原始的数据则可以保持其初始状态,如果无法保持原始数据的初始状态,二进制的数据镜像也可以作为原始数据,备份的比特流数据可以存储在多种媒体上。当不能确定计算机内的数字证据的确切位置和内容,而且时间允许,有必要将计算机内所有的数据进行完全复制。这里的“完全复制”是指复制计算机内存中的数据和硬盘里的所有数据(包括Slack空间和未分配空间里的数据),复制的方法是按位复制(BitstreamCopy),如克隆硬盘的工具软件Ghost。
同时要使用加密技术。磁盘加密的主要方法有固化部分程序、激光穿孔加密、掩膜加密和芯片加密等,还可利用修改磁盘参数表(如:扇区间隙、空闲的高磁道)来实现磁盘的加密。另外,还可采用堆栈溢出保护技术,防止黑客使用堆栈溢出的方法对系统进行攻击。
七、数字证据取证技术中应注意事项
1.磁盘映像拷贝
如果直接在被攻击机器的磁盘上进行操作,可能会对原始数据造成损坏,而一旦这些数据有所损坏,就无法还原了。因此,取证操作应尽量避免在原盘上进行。应使用磁盘影像拷贝的办法,将被攻击机器的磁盘原样复制一份,其中包括磁盘的临时文件、交换文件以及磁盘未分配区等。然后对复制的磁盘进行操作,一旦有问题,再与原磁盘比较。
2.数据传输
采用光缆以RS-232为接口进行异步传输数据,将所记录的数据从目标机器安全地转移到取证分析机上。由于计算机取证的整个过程必须具有不可篡改性的要求,因此,数据在传输过程中不仅要具备抵抗黑客非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。采用加密技术,如IP加密、VPN加密、SSLAD密等协议标准,保证数据的安全传输。另外,通过使用消息鉴别编码(MAC)保证数据在传输过程中的完整性,MAC算法同时也被认为是加密算法,即从目标机器发送一列所支持的MAC算法,取证系统机在返回的Hello消息中标出所选的算法。
3.磁盘空隙和未分配的空间的搜索
通常最后执行扫描的对象是磁盘中的空隙和未分配的空间,这些位置是由于实际文件的大小与操作系统处理和分配的族的大小不一致而在存储媒体上留下的空隙,他们是大多数存储媒体中的隐蔽处。借助一些工具软件这些空隙也可以被利用,但在这些空隙中的文件数据并不是都可以被完全恢复,一些经验丰富的黑客会有意将其信息隐藏在磁盘空隙中,因而对这些隐藏数据的分析不可以掉以轻心。
【作者介绍】上海大学法学院信息中心主任
注释与参考文献
NIJ.ElectronicCrimeSceneInvestigation:Aguideforfirstresponders.2001-7.
EoghanCAsey.DigitalEvidenceandcomputercrime.academicpress2001.
伊伟鹏.网络犯罪的数字证据及其采信规则[N].人民法院报,2002-06-19.
于朝.检察机关数字证据的收集与固定.http://www.law.lib.com.lw
李筱春.数字证据的特点证明力及国内外相关法规[J].广州档案,2002,(3).
许椿生,吴海燕,刘保旭.计算机取证概述[J].计算机工程与应用,2001,(2).
周菁.从数据到证据[J].广西政法管理干部学院学报,2001,(12).
原标题:计算机犯罪中数字证据取证的技术分析
来源:法律信息网
牛律师刑事辩护团队编辑
牛律师刑事辩护网www.lawyer123.cn,依据最权威的法律法规,秉持最科学的刑辩技巧,坚持术有专攻成就刑事辩护品牌成功案例。为正在身陷囹圄或因犯罪即将追究刑事责任的犯罪嫌疑人、被告人及亲友提供无罪、罪轻、减轻处罚的服务。牛律师刑事辩护精英团队,专注刑辩领域,案例成就金牌!
服务热线:4006066148