计算机取证与反取证的较量

计算机取证与反取证的较量

黑客 病Network& Computer

毒

Security

计算机取证与反取证的较量中国矿业大学计算机学院 苏成摘要计算机犯罪日益猖獗，围绕计算机取证与反取证的斗争一直在进行。本文分析了计算机取证与反取证技术的原理和特点，指出了计算机取证存在的问题和发展方向。关键词计算机取证反取证日志静态取证动态取证计算机犯罪是指以计算机为工具或目标的犯罪行为，比如：利用计算机传播反动或淫秽的消息，窃取或破坏他人计算机系统中的信息等。随着互联网的迅猛发展，计算机犯罪的数量急剧上升，危害程度越来越大，打击计算机犯罪刻不容缓。打击计算机犯罪的关键是获得计算机犯罪的证据——计算机取证。计算机取证的过程如图 1所示意。其中，数据保护是取证的基础，数据提取和分析则是取证的关键。为了获得真实、可靠、完整的、合法的证据，计算机取证必须遵循以下原则： (1)尽早搜集证据，并保证其没有受到任何破坏，既要防止攻击者销毁证据，也要防止有关人员为夸大或隐瞒损失而篡改证据； (2)妥善进行证据保全，即在证据提交给法庭时，必须能

一、计算机取证的概念计算机取证就是运用软件技术和工具，按照预定的步骤检查计算机系统和相关外部设备，保护、提取和分析计算机犯罪的痕迹，并产生具有法律效力的电子证据的过程。电子证据主要来自系统数据和网络数据。系统数据包括：系统日志、数据库日志、临时文件、隐藏文件、硬盘交换(swap)分区、空闲区与扇区间隙(slack)、内存数据、Web浏览器数据缓冲和历史记录、脚本文件、软件设置、硬件配置、应用系统日志等。网络数据包括：路由器日志、防火墙日志、IDS日志、网络监控流量、各种服务器日志、Email原始数据、聊天记录等。电子证据作为存储在计算机系统中的信息编码，与一般的证据有很大差别： (1)无形性必须使用适当的软件工具来提取； (2)高科技性必须借助于计算机和网络技术来保存、传输、提取和分析； (3)脆弱性电子证据容易受到篡改甚至销毁。

够阐明证据从最初获取到呈现在法庭上这段时间内的任何变化； (3)不要直接在含有原始数据的计算机上进行操作，数据分析工具必须安全可靠，要避免在取证过程中对文件的修改，例如，打开文件会改变该文件的访问时间属性； (4)整个取证过程必须受到监督，所有的取证活动要有详细记录。

二、计算机取证技术(1)数据保护技术数据保

护的重点是日志保护，它是取证与反取证斗争的焦点。日志文件包含大量敏感的记录，每条记录由时间戳和操作描述组成。普通日志系统非常脆弱，入侵者能轻易读取、修改或删除日志而不留痕迹。安全保存日志的方法有：①将日志定期备份到异地的日志主机，缺点是日志易被篡改；②直接打印日志或写入 WORM(Write Once Read Multiple)介质，缺点是费用昂贵，不适应大容量日志；③将日志数据实时发送到远程的日志主机。保护日志的其他措施有：①使用加密技术，保护日志的机密性；②使用消息认证技术，保护日志的完整性；③加强对日志文件的访问控制，普通用户只可写，不可读、不可修改。日志的访问控制粒度为记录级，即使攻击者在 t时刻获得管理员特权，他对 t时刻以前的日志记录进行阅读、修改或删除的操作仍然要受到严格限制；④使用统一的、专用日志系统取代常

图 1计算机取证过程

见的日志系统，从而防止入侵者熟悉常见日志而进行的破坏活

67

计算机安全 2006.1

计算机取证与反取证的较量

病

毒 黑客Security Runefs就利用一些取证工具不检查磁盘的坏块的特点，把存放

Network& Computer动。 (2)数据恢复技术

敏感文件的数据块标记为坏块以逃避取证。数据隐藏仅仅在取证调查人员不知道到哪里寻找证据时才有效，所以它仅适用于短期保存数据。为了长期保存数据，必须把数据隐藏和其他技术联合使用，比如使用别人不知道的文件格式或加密。 (3)数据加密随着加密技术的普及，越来越多犯罪分子使用加密技术。一个例子就是在 D O S攻击中对控制流进行加密。一些分布式拒绝服务(DDOS)工具允许控制者使用加密数据控制那些目标计算机。BO2000也对控制流进行了加密以试图躲过入侵检测软件。除此之外，黑客也可以利用 Root Kit(系统后门、木马程序等),避开系统日志或者利用窃取的密码冒充其他用户登录，更增加了调查取证的难度。

数据恢复技术是获取证据的重点和难点。主要包括：对已删除文件的恢复、重建技术；对 Slack磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对隐藏文件、交换文件、缓存文件、加密文件、临时文件中包含的信息的复原技术。由于一般的文件删除只是断开与文件的联系，并非真正从物理上抹去。因此，在硬盘中会留下大量记录着曾经发生过的操作的信息，只要被删除的数据块没有被重新使用，取证工具就能收集和分析这些残存信息，恢复出文件的名字、内容和

属性。值得一提的是，文件的时间属性对于计算机取证是非常宝贵的，比如：文件的创建时间、最后一次访问时间、最后一次修改时间等。 (3)数据分析技术数据分析技术主要包括：文件属性分析、文件数字摘要分析、日志分析、数据解密技术、对空闲磁盘空间、未分配空间及自由空间中所含信息的发掘技术、挖掘同一事件的不同证据之间的联系即证据相关性分析技术。 (4) IP地址追踪与定位技术追踪计算机犯罪分子的 IP地址，是确定其身份和地理位置的最重要线索。获得 IP地址的方法有：日志分析、E-mail分析、使用网络抓包工具和 IP地址探测工具、利用实时聊天或“蜜罐”技术引诱犯罪嫌疑人暴露其 IP地址。一旦确定 IP地址，就可以基本判定对方所处的地理位置。

四、计算机取证技术回顾与展望计算机取证的研究始与于上世纪 90年代。1993年召开了计算机取证国际会议，并成立了电子证据科学工作组。2001年召开的 FIRST(Forum of Incident Response and Security Teams)年会的主题就是系统恢复和计算机取证。目前，计算机取证已成为计算机安全领域的研究热点。一些实用的计算机取证产品相继问世，例如：美国 Guidance公司的 Encase、CF公司的 DIBS、英国 Vogon公司的 Flight Server等。随着计算机取证技术与黑客技术的发展，取证与反取证的对抗日益激烈。道高一尺，魔高一丈。实践表明：单纯的事后静态取证方法，难以确保证据的真实性和有效性，必须研究新的技术以满足取证需要。预计取证技术将在以下几个方面取得进展： (1)动态取证技术随着网络设备、移动设备的广泛使用，计算机取证不应局限于数据恢复和磁盘分析，应该与防火墙技术、入侵检测技术相结合，建立动态的计算机取证体系。动态取证系统能记录下系统工作，特别是黑客入侵过程。结合“蜜罐”技术，动态取证能诱导和牵制黑客的攻击，获取尽可能多的攻击证据。与静态取证相比，动态取证具有主动性、实时性、有效性等特点，从事后被动取证变为现场主动取证，有效地防止入侵者进入系统内部以后所实施的销毁罪证的行为。动态取证的难点是：如何让记录设备旁路在网络中，对用户和黑客而言是透明的，既不影响用户的应用系统，又具有自我保护措施，避免遭受攻击；其次，大流量信息的获取对记录速度和空间的要求较高。 (2)提高数据分析能力

(下转73页)

三、反取证技术在计算机取证技术发展的同时，犯罪分子也在绞尽脑汁对付取证。反取证技术就是在这种背景下发展起来的，它主要包括三类技术：数据擦除、数据隐藏和数据加密。综合使用这些技术，将使计算机取证更加困难。 (1)数据擦除反取证的最直接、最有效做法就是数据擦除，它是指清除所有可能的证据索引节点、目录文件和数据块中的原始数据。反取证工具 T D T专门设计了两款用于数据擦除的工具软件 Necrofile和Klismafile。其中， Necrofile用于擦除文件的数据，它把所有可以找到的索引节点的内容用特定的数据覆盖，同时用随机数重写相应的数据块。 (2)数据隐藏为了逃避取证，计算机犯罪者还会把暂时不能被删除的文件伪装成其他类型，或者把它们隐藏在图形和音乐文件中。也有人把数据文件藏在磁盘上的隐藏空间里，比如反取证工具

计算机安全 2006.1

68

计算机取证与反取证的较量

服务

Network & Computer Security

ｈｏｓｔｓ．ｅｑｕｉｖ

０１：５３　ｍｖ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ．ｂｃｐ　／ｂｉｎ／ｓｈ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ

看的出，他在这方面是很在行的，幸运的是，他只是破坏了我们模拟机器上的ｆｉｎｇｅｒ而已，并没有将之替换成一个ｓｈｅｌｌ程序。我关闭了实际ｆｉｎｇｅｒｄ程序。黑客的活动仍然在继续，摘录的相关日志如下：

０１：５７　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

０１：５８　ｃｐ　／ｂｉｎ／ｃｓｈ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ

０２：０７　ｃｐ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ．ｂ　／ｕｓｒ／ｅｔｃ／ｆｉｎｇｅｒｄ按照他的意思，ｆｉｎｇｅｒｄ现在重新开始工作。现在他试图修改ｐａｓｓｗｏｒｄ，不过，这永远不会成功，因为ｐａｓｓｗｄ的输入是／ｄｅｖ／ｔｔｙ，而不是ｓｅｎｄｍａｉｌ所执行的ｓｈｅｌｌ　ｓｃｒｉｐｔ。攻击在继续中：

０２：１６　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

０２：１７　ｅｃｈｏ　＂／ｂｉｎ／ｓｈ＂　＞　／ｔｍｐ／Ｓｈｅｌｌｃｈｍｏｄ　７５５　／ｔｍｐ／ｓｈｅｌｌｃｈｍｏｄ　７５５　／ｔｍｐ／Ｓｈｅｌｌ０２：１９　ｃｈｍｏｄ　４７５５　／ｔｍｐ／ｓｈｅｌｌ

０２：１９　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

０２：１９　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

０２：２１　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

０２：２１　Ａｔｔｅｍｐｔ　ｔｏ　ｌｏｇｉｎ　ｔｏ　ｉｎｅｔ　ｗｉｔｈ　ｃｎｄｅｓ　ｆｒｏｍ　ｈｕｓｔ．ｗｈｎｅｔ．ｅｄｕ

又是一番折腾，连续的战斗，已经让我们疲惫不堪了，不过，这位入侵者也应该很疲惫了。突然，我发现了一个新的日志：

０２：５５　ｒｍ　－ｒｆ　／＆

看来他试图删除所有进入的痕迹，估计他很累了。但是，对于这个黑客来说，“没有进行破坏”是说不过去的，根据计算机安全的基本原则，当数据的“完整性、可用性和机密性”中任意三者之一在受到破坏的时候，都应视为安全受到了破坏。在实际情况中，间谍们只是默默地拿走你的数据而绝不做任何的破坏，而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉，这其实是最可怕的一种攻击行为。看来，今天碰到的这个黑客确实很职业，不过，他没有意识到我们给他布置的“局”，徒劳的长时间攻击之后，他选择了退出。我们也很累了，不过，现在最要紧的，就是马上恢复并且马上打上最新的Ｓｅｎｄｍａｉｌ系统补丁了。

随着计算机安全技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。同时，计算机网络技术目前正处于蓬勃发展的阶段，新技术层出不穷，其中也不可避免地存在一些漏洞，因此，进行网络防范要不断追踪新技术的应用情况，同时要把握黑客的心理，做到“知己知彼，百战不殆”，从而逐渐完善自身的防御措施。

（上接６８页）

目前，计算机取证软件具有很好的数据恢复能力，并具有基本的文件属性获取和档案处理能力，能够对付一般的文件删除行为。但由于缺乏有效的数据综合分析工具，所以证据的发掘在很大程度上依赖于取证专家个人的经验和智慧。通过数据挖掘技术，比如关联分析、孤立点分析、分类和预测等方法，对系统日志、网络日志进行分析，为领域专家提取和分析电子证据提供参考，并逐步实现取证分析自动化。

（３）　解密技术

由于越来越多的计算机犯罪者使用加密技术保存关键文件，为了取得最终的证据，需要取证人员对被加密的数据文件或者可执行文件进行解密。

（４）　专业化取证工具

开发适应所有系统的计算机取证工具是不现实的。由于操

作系统、数据库、应用系统的差异，应当研制针对特定系统的取证工具，以提高取证的效率和质量。

（５）　基于高精度电子器件的数据恢复技术

磁盘上记录的信息是靠它上面的磁通信息表示的，即使采用数据覆盖，甚至格式化（直流消磁或交流消磁）技术，也不可能完全抹掉剩余磁通痕迹。有人研制了一种被称为磁力显微镜的工具，能够把几次迭加记录的信息都恢复出来。所以，基于电子器件的数据恢复技术可作为另一类取证方法。

参考文献

［１］　许榕生等．　计算机取证概述．　计算机工程与应用，２００１（２１）．［２］　王玲，钱华林．　计算机取证技术及其发展趋势．　软件学报，２００３（９）．

本文来源：https://www.bwwdw.com/article/h1m4.html