计算机取证技术—远程开机取证方法探究

(一)镜像技术

镜像技术就是使用专业的数据获取工具将嫌疑计算机硬盘或存储介质，如U盘、SD卡、TF卡、移动硬盘、光盘等中的数据，按bit-to-bit的方式进行精确的复制，并以文件的形式保存。镜像技术的作用是将证据进行固定，证据固定必须符合严格的操作规范，同时证据文件格式还要符合法庭接受的标准。

目前，Linux DD镜像格式和ExpertWitness证据文件格式^[11]是当前取证实践中通用的证据文件格式。以Encase E01镜像格式为例，其证据文件中包含有三个组成部分:文件头、校验值和数据块。这三部分组成了对于一个原始证据的描述，并可重新恢复成数据的原始状态。在生成E01格式证据文件时，要求用户输入与调查案件相关的信息，如调查人员、地点、机构、备注等。这些信息将随证据数据信息一同存入E01文件中。文件的每个字节都经过32位的CRC校验，这就使得证据被篡改的可能性几乎为0。为了保证证据文件真实有效，获取证据的同时需要利用特定的哈希算法(例如MD5算法)计算并验证证据文件的哈希值。^[12]

(二)恢复技术

数据恢复(Data Recovery)是指通过技术手段，将保存在电子设备^[13]上丢失的电子数据进行抢救和恢复的技术。数据恢复涉及系统的硬件层面和软件层面，比如需要对硬件进行修复或者替换的操作技术归为硬件恢复技术，硬件恢复技术主要包括修理或替换硬件、读取盘片和修复伺服软件三种类型。软件层面的数据恢复主要是基于硬盘、优盘、软盘等介质上的存储原理展开的恢复技术操作。

例如，硬盘是以扇区为基本单位存放数据的，为了方便硬盘的管理，首先采用分区工具对硬盘进行分区，在硬盘的第一个扇区建立分区信息表。^[14]接下来是进行格式化分区，将分区划分为文件分配区和数据区，其中目录文件分配表类似于书的章节目录，记录着文件的属性和大小等信息，数据区存储文件的内容。向硬盘里写文件时，系统先向文件分配表写入文件名称和大小，然后根据文件分配表中数据区的空闲空间、数据区的起始位置等信息，向数据区写入文件的内容，至此，文件的存放工作结束。

1.删除操作及恢复

删除一个文件时，系统将在该文件的前面写一个删除标志，由系统通知文件分配表去执行。该文件有了删除标志时，表示其占用的空间被“释放”了。当数据恢复时，只需要去掉该文件的删除标志，就可以恢复回删除文件的数据。^[15]

2.格式化操作及恢复

格式化操作是对文件分配表进行操作，没有对数据区做任何操作，系统通知文件分配表去将所有文件写上删除标志。此时文件目录里已没有了被删除的文件的内容，但实际上数据区的数据内容还存在着。当数据恢复时，只需要去掉这些文件的删除标志，就可以恢复被回格式化的文件数据。

3.数据覆盖操作及恢复

在删除文件数据后，如果之后又有其他数据对其原有的部分或全部存储空间进行占据，则称之为数据覆盖。文件有了删除标志后，其被“释放”的空间可能就会被新文件占用，新文件的数据内容可能会覆盖有删除标志文件的数据区的数据内容。当数据恢复时，新数据只是覆盖掉数据分区的部分空间，去掉新内容占用的空间，在数据区未占用的空间，即未分配的空间和闲散空间里留有部分数据，在这些空间里能提取到少量的文件碎片。

数据恢复技术在电子数据取证中应用比较多，常见的应用服务有硬盘数据恢复、U盘数据恢复、RAID磁盘阵列数据恢复、手机系统数据恢复、Linux系统内数据恢复，以及网络存储的相关数据恢复等。目前，市面上也有大量的数据恢复工具和软件^[16]支持电子数据取证中的数据恢复应用，但在取证实践中，Linux系统数据的恢复不常见，尤其是企业服务器数据较难恢复。

(三)密码恢复

密码恢复指对受密码保护的原始数据及被加密的文件进行处理，因为明文中有冗余度，所以能够利用该特点恢复或破译密码。^[17]

1.穷举攻击法

穷举攻击法可以划分为穷举明文和穷举密钥两类，穷举密钥是指攻击者依次使用各种可能的解密密钥对截收的密文进行试译，如果某个解密密钥能够产生有意义的明文，则判断相应的密钥就是正确的解密密钥。当密钥空间扩大以后，采用穷举密钥的方法，在破解的过程中需要尝试更多的解密密钥，采用穷举攻击法进行破解需要付出的代价很可能超过密文破解产生的价值。

2.统计分析法

统计分析法是通过分析明文和密文的统计规律来破解密文的一种方法。密文统计规律的获取是统计分析法的前提和条件，在获得密文的统计规律后，需进一步获得明文的统计规律，两者进行比较研究，发觉和提取明文和密文中的对应关系，进而完成密文破解。(www.xing528.com)

3.数学分析法

数学分析法是指攻击者针对密码系统的数学基础和密码学特性，利用一些已知量，如一些明文和密文的对应关系，通过数学求解破译密钥等未知量的方法。对于基于数学难题的密码系统，数学分析法是一种重要的破解手段。

(四)开机取证技术

开机取证就是在不关闭嫌疑人计算机系统，在系统运行时收集相关信息以完成的取证工作。因为在很多案件中，有一些即时聊天程序客户端并不会自动保存聊天记录信息，最佳的证据和信息源存于计算机内存中。还有一些案件，取证人员需要知道系统中是否有木马或者恶意程序的运行，在系统运行的时候，到底发生了哪些行为等。

开机取证分为本地开机取证和远程开机取证。本地取证是通过本地计算机系统的控制台输入命令，信息保存在本地硬盘、移动介质(闪存、USB盘)或映射到本地的网络共享驱动器中。远程开机取证是调查取证人员在拥有远程登录权限后，通过网络获取远程系统信息的取证。批处理文件可以作为构建开机取证方法的基础，最简单的方法是取证人员编写具有弹性的批处理文件和脚本，或利用一些工具进行计算机运行系统的开机取证。^[18]

开机取证要尽少量改变原有运行的系统信息，在数据收集时注意获取信息顺序。一般案发现场开机取证获取的信息包括:系统时间、当前登录用户、网络链接、进程信息、网络状态信息、命令行历史信息、剪贴板内容、共享信息等。

(五)证据分析技术

证据分析是通过拼接在调查取证过程中收集来的零碎证据和信息，以便更好地判断受害者与罪犯之间所发生的事实真相的系统过程。推理就是将特定的案发现场的犯罪行为汇总起来用来推断是谁及在何时何地、采用何种方法做了什么事情，同时将相互关联的犯罪行为汇总分析，推断案犯的惯用手法，甚至是他们的犯罪动机。^[19]

不同的犯罪案件适用不同的分析技术。一般来说，证据的时间分析技术、日志分析技术、数据隐藏分析技术、应用程序和文件分析技术、归属及持有者分析技术等是常见的证据分析技术。^[20]

1.时间分析技术

对于计算机而言，大多数操作系统保存了文件和文件夹的创建时间、最后一次更改时间以及其访问时间，这些日期时间戳对于确定对计算机进行了何种操作极其重要。除了文件日期时间戳之外，一些应用软件还在文件、日志和数据库中嵌入了日期时间信息，以便展示在计算机上各种活动的时间，诸如近期访问过的网页的时间。

主要的时间性推理分析方式有时间活动表、时间柱状图、坐标网格等。时间活动表用于建立一个文件创建时间、访问时间和修改时间的事件活动时间表，可以帮助取证人员识别证据模式和证据的不足，以便进一步揭露罪行或者发现其他的证据源。时间柱状图的时间信息可以突出某些犯罪特征、揭示突出罪犯重复的行为模式和反常情况。坐标网格用以强调案件发生的特征。

2.日志分析技术

日志是按照一定策略来记录系统活动的文件。一般操作系统自身可以提供系统日志、安全日志和应用程序日志，防火墙和入侵检测系统等安全组件能提供相应的日志，这些日志可以完整记录所有操作、过程或事件，通过日志文件分析可以获得诸如用户IP来源、被访问文件、被访问端口、执行的任务或命令等信息，找寻与案件相关的证据信息。^[21]常见的日志分析技术方法包括:日志文件的完整性和一致性的检查分析、网络和服务器端口关联日志的搜索分析，基于日志内容的完整性和一致性的检查分析，假冒IP、假冒账号等异常行为的识别，日志信息的数据挖掘等。

3.数据隐藏分析技术

数据隐藏指的是在公开的信息中秘密隐藏机密信息，机密信息通过公开的信息来实现传递。数据隐藏载体主要有图片、声音、视频和网页等多种类型，在实现信息嵌入时需要根据原始载体的特点，考虑嵌入的信息容量、嵌入的强度等因素选择合适的隐藏算法。如在音视频文件和图像中实现数据隐藏，可以利用人类视觉或者听觉系统对于这些载体的掩蔽效应实现秘密信息的嵌入。文本类数据可以通过调整字间距或者行间距的方法来实现信息嵌入。HTML文件可以通过修改标记名称或者属性值的大小写等方式实现信息嵌入。^[22]

数据隐藏分析就是通过各种方法，从一些看似正常的多媒体载体中，破译或找出被怀疑隐藏的秘密信息。目前常用的分析方法有感官检测、统计检测、特征检测。