計算機調查取證

近些年來隨着手機，個人PDA和其他電子產品的普及，計算機調查取證的源頭也從計算機轉移到其他各類電子產品上，所以計算機調查取證也有時稱作“電子調查取證”(Digital Forensics)。

使調查的結果能夠經受法庭的檢查。

計算機調查取證的範圍幾乎包含了所有可能寫入數據的電子產品。就電腦而言，大多數時候取證人員需要使用專業的工具來進行取證，比較著名的有EnCase和FTK。使用這些工具的人員都需要接受專業的培訓，得到合格的證書才能為案子取證，當然除了專業的工具，取證人員也使用一些系統工具（一般在DOS下運行，為了保證證據只受最低影響）比如用dd和Netcat進行內存的取證分析。

電子證據擁有極強的隱藏性，這也是對取證人員的一大挑戰。此外在英美法系中，已經逐漸地將電子證據規範化。和其他證據類似，取證需要遵循“監督鏈”（Chain of Custody）。監督鏈的內容如下：1、對取得的證據要進行記錄。2、保持證據出庭、上交和交給檢驗員的記錄。3、原證據（硬盤）應該安全地保存在專用的證據箱內，並記錄日誌。4、所有的電子取證以及檢驗都需要在原證據的鏡像上進行，絕不能在原證據上進行。

電子證據可以分為“死”證據和“活”證據：前者包括收集來的硬盤，U盤，儲存卡等等。是“死”的；後者顧名思義，就是活着的證據，比如內存，電腦在運行的狀態下內存的內容隨時都在變化，但是內存中可能有極為重要的證據，比如剪貼板的內容，輸入的密碼等等。無論證據是“死”是“活”，都是取證人員所要刨根問底的。

對於“死”的證據，取證人員需要100%跟隨監督鏈的原則，進行取證分析。拿硬盤或U盤來説，收集到物理證據後，取證人員會製作一個完全一樣的副本（Bit-stream Copy）。這一步一般都需要一個叫做寫保護器（Write Blocker）的物理元件，以防制作副本的過程中系統對原證據寫入數據。在製作副本的同時，取證人員會在原證據上運算MD5或SHA1值，待副本完成後再在副本上運算。MD5或SHA1值就像是指紋一樣，可以用來分辨作出來的副本是否與原證據一樣。而且每次進行取證分析後，取證人員都會進行相同的運算，以確保證據沒有改變，從而確保證據的可靠性。

“活”證據的重要性直到近期才被關注，卻極其重要，可想而知畢竟計算機取證還是一門新興的事物有待發展完善。在犯罪的第一現場，或是嫌疑犯的家中，當有電腦捲入時，美國的司法部門規定如果是開啓的，不要關閉或收集，聯繫計算機取證人員來對應。這樣做的一個原因是越來越多的罪犯開始隱藏自己的罪行，並且對其加密。解密的難度很大，而且費時，但是如果罪犯輸入密碼，密碼就一定會藏在內存某處。通過內存的取證分析，就可以找到密碼並輕易解密。此外，國外的即時通訊軟件（Yahoo、Facebook等）越來越多地在網頁上運行，這樣使得聊天的內容不會被存在硬盤中而存入內存，這也是為什麼“活”證據變得越來越重要的一個原因。因為內存的易變性，導致取證前後的內存不可能相同，這有可能造成法庭上辯護律師對這些證據可靠性的攻擊，有待相關的法律來完善“活”證據的取證。

計算機調查取證和計算機安全與法律密不可分，取證員需要接受法律和計算機安全甚至網絡安全的多方面培訓。在美國，SANS Institute的GIAC Certified Forensics Analyst（GCFA）認證就是針對計算機調查取證員的認證。

首先，儘早蒐集證據，並保證其沒有受到任何破壞；

其次，必須保證“證據連續性”（有時也被稱為“chain of custody”），即在證據被正式提交給法庭時，必須能夠説明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；

最後，整個檢查、取證過程必須是受到監督的，也就是説，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。

必須能夠説明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下：

(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。

(2)確定電子證據。在計算機存儲介質容量越來越大的情況下，必須根據系統的破壞程度，在海量數據中區分哪些是電子證據，哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據，確定這些記錄的存放位置和存儲方式。

(3)收集電子證據。

記錄系統的硬件配置和硬件連接情況，以便將計算機系統轉移到安全的地方進行分析。

對目標系統磁盤中的所有數據進行鏡像備份。備份後可對計算機證據進行處理，如果將來出現對收集的電子證據發生疑問時，可通過鏡像備份的數據將目標系統恢復到原始狀態。

用取證工具收集的電子證據，對系統的日期和時間進行記錄歸檔，對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份，也可直接將電子證據打印成文件證據。

利用程序的自動搜索功能，將可疑為電子證據的文件或數據列表，確認後發送給取證服務器。

對網絡防火牆和入侵檢測系統的日誌數據，由於數據量特別大，可先進行光盤備份，保全原始數據，然後進行犯罪信息挖掘。

各類電子證據彙集時，將相關的文件證據存入取證服務器的特定目錄，將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。

(4)保護電子證據

對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據採用安全措施保護，無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。

在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：

第一， 在取證檢查中，保護目標計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染；

第二， 搜索目標系統中的所有文件。包括現存的正常文件，已經被刪除但仍存在於磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件；

第三， 全部（或儘可能）恢復發現的已刪除文件；

第四， 最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容；

第五， 如果可能並且如果法律允許，訪問被保護或加密文件的內容；

第六，分析在磁盤的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類：①所謂的未分配磁盤空間——雖然沒有被使用，但可能包含有先前的數據殘留；② 文件中的“slack”空間——如果文件的長度不是簇長度的整數倍，那麼分配給文件的最後一簇中，會有未被當前文件使用的剩餘空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據；

第七，打印對目標計算機系統的全面分析結果，然後給出分析結論：系統的整體情況，發現的文件結構、數據、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發現的其它的相關信息；

第八，給出必需的專家證明。

上面提到的計算機取證原則及步驟都是基於一種靜態的視點，即事件發生後對目標系統的靜態分析。隨着計算機犯罪技術手段的提高，這種靜態的視點已經無法滿足要求，發展趨勢是將計算機取證結合到入侵檢測等網絡安全工具和網絡體系結構中，進行動態取證。整個取證過程將更加系統並具有智能性，也將更加靈活多樣。

取證準備(Preparation) 操作準備

設備準備

證據識別(Identification) 現場證據保護

設備保管

證據收集(Collection) 原始證據提取

原始證據保存

證據分析(Analysis)

取證分析

結論報告

證據提交(Presentation)

證據展示

證據返還

計算機取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。

作為新生的事物，電子取證面臨很多挑戰，越來越多的反偵查手段和軟件被罪犯所採用，面對這些罪犯時，證據的提取變得異常困難甚至根本找不到證據。但是隨着電子取證系統的發展和法律的完善，正義一定會戰勝邪惡。