浅析计算机网络取证技术

　　1 序言
　　计算机从前只被用来处理科学运算和处理商业数据，如气象预报和金融交易。在这样有限的用途上，计算机罪行从前只局限于窜改数据纪录，例如窜改银行系统的数据。这些行为多是非专业的盗窃和没有组织的犯罪。信息安全技术发展的主要目标是为了保护计算机系统，保护计算机系统内的信息的机密性(Confidentiality)，完整性(Integrity)，可用性和问责性(Availability and Accountability)。这3 种特性也被称为CIA 原则。保护技术措施包括：加密的保密措施，以哈希算法(Hashing)来进行完整性检查，认证技术和审计踪迹。这些措施可以提高可用性和问责性。所有这些保护措施，为的是要确保没有人未经授权，取用计算机系统和窜改信息。如何调查找出那些未经授权取用计算机系统和窜改信息的人，这种现代的调查常被当作早期的电子调查和法证工作，即找出电子证据。
　　1.1 电子证据与取证调查
　　人们常把由计算机制作的文件和计算机活动日志当作电子证据。根据香港特别行政区法例的《证据条例》第22A 条，一项由计算机制作的文件的陈述，由在有关计算机的运作、或有关活动的管理方面身居要职的人，依法签署的证明书依法证明，则可在任何刑事法律程序中，接纳为该陈述内所述任何事实的表面证据。該证明书对由计算机制作的文件的制作方式予以描述，以及在有关法律程序关系的范围內，说明该文件的性质及內容。
　　现代的计算机网络罪行更复杂。犯罪分子不单只窜改计算机记录，而且还用计算机来存储他们的数据，例如：非法金融交易和地址簿。此外，犯罪分子还利用互联网作为一个犯罪平台，例如分布式拒绝服务攻击，网络拍卖诈欺，分享受版权保护的作品等等。现代的计算机网络罪行和从前的计算机罪行的主要不同之处是现代的更专业，更有组织，更多利用网络。从前的计算机法证足够应付现代的计算机网络罪行吗?从前的计算机法证的主要证据，来自由计算机制作的文件和计算机活动日志。计算机活动日志是否足够呢?审计踪迹是足够吗?罪犯删除的金融交易记录又如何恢复?很明显，传统的计算机法证取证技术，不足以应付当今的计算机网络罪行。现代的调查是对电子证据进行智能相关性分析，发掘同一事件不同证据之间的联系。现代的分析证据是指对电子数据证据的分析、对收集的数据和备份进行查找、分折、归类，以及犯罪现场重建等。
　　1.2 计算机法证的发展
　　据Mark Pollitt，计算机法证成立于1970代，婴儿期为1985年至1995年，儿童期为1995年至2005年，青春期为2005年至2010年。计算机法证的主要的工作重点是资料恢复：主要是数据恢复，密码恢复和文件恢复技术。数据恢复集中在恢复已被移走或删除的电子逻辑或物理数据，例如一个破碎的硬盘。密码恢复处理受密码保护的原始数据，如密码加密的文件。文件恢复技术尝试从硬盘内的数据块的片段恢复删除的文件。今天，文件恢复技术在计算机法证工作上，仍然是一个主要任务，例如手机的数据恢复。
　　传统的法证主要集中在识别和重建。识别包括指纹，DNA和毒品。指纹和DNA被用来识别特定的人，而毒品分析用于确定毒品的化学成分。识别的目的是用来判断样品是否来自一个特定的对象，诸如人或毒品。
　　法证的另一个领域是重建，其中包括犯罪现场重建与弹道重建。弹道重建被用来重建从火器发射的子弹的轨迹。犯罪现场重建试图重建曾在犯罪现场所发生的事件，例如一宗谋杀案如何发生。
　　计算机法证与传统法证相似，它们都试图回答以下的问题，并重建过往发生的事：发生了什么事情，当事人是谁，在什么时间什么地点如何发生的，以及这件事情发生的动机是什么。
　　3 计算机法证犯罪现场重建
　　在本节中，我们以真实案例中的犯罪现场重建为例，介绍电子证据犯罪现场重建的过程。在香港特別行政区及世界各地，藏有儿童色情物品是一种犯罪行为。在香港特別行政区，任何人藏有儿童色物品，一经公诉程序定罪，可处罚款$1,000,000及监禁5年;或一经简易程序定罪，可处罚款$500,000及监禁2年。香港地区某犯罪嫌疑人被控藏有儿童色情物品，警方查获计算机一台。
　　3.1 犯罪现场重建过程
　　为了进行计算机法证分析，警方按标准的程序检查检获的计算机。这些标准程序基于确立的计算机采证程序，产生法证克隆、计算哈希算法值、扫描计算机病毒等等。在标准的计算机采证过程后，计算机法证鉴定人将会分析检获的计算机硬盘驱动器，收集电子证据。对于儿童色情物品的案件，电子证据是儿童色情图片和动态影像。所以第一步是寻找在计算机储存的儿童色情图片和动态影像，这些会包括：现存的儿童色情图片和动态影像，和恢复删除的儿童色情图片和动态影像。
　　执法人员已为儿童色情图片和动态影像建立哈希值数据库，计算机法证鉴定人便不需要阅览个别的儿童色情图片和动态影像。相反，计算机法证鉴定人只需要把计算机里面的文件的哈希值与数据库比较。显示出根据该文件的创建时间和最后写入的时间的事件恢复过程。根据这2个时间戳，文件在2005年2月22日上午12时37分09秒被复制到当前位置。计算机法证鉴定人试图从文件其中包含关于文档的信息，例如创建者、修改的日期和其他细节，和其它计算机活动日志和电子证据，去重建产生该儿童色情图片和动态影像的经过，例如得出结论，于2004年1月4日，疑犯从互联网下载童色情图片和动态影像，并使用信用卡号码 0000-1111-2222-3333 在网上支付，然后在2009年8月5日备份到外部媒体。
　　显示了犯罪现场重建，犯罪嫌疑人2在004年1月2日使用他的信用卡购买在互联网上的儿童色情物品，然后在2009年8月4日做一个备份到外部硬盘上。
　　3.2 犯罪现场重建的法证科学
　　犯罪现场重建之所以重要，是因为在法庭上，计算机法证鉴定人需要给非技术人员(法官和陪审团)解释 技术细节，让他们作出裁决。法律可能有特定的要求，例如控方需要证明犯罪嫌疑人知悉儿童色情图片和动态影像储存在计算机里。许多时候，犯罪嫌疑人的辩解是，儿童色情裸照是被木马下载的，他并不知道它们为什么在计算机里。辩方可以聘请专家质疑检察官的说法，或混淆法官和陪审团对技术细节的了解。计算机法证鉴定人的证言不仅受到辩方的质疑，还受到法庭的监察。
　　美国最高法院在Daubert一案裁定，主审法官必须确保接纳的科学证言或证据，不但全部切题且全部可靠。所提出的科学证言须以恰当的验证方法，亦即获科学上已知的有力理据支持，具体包括:
　　1. 通过可靠性测试2. 通过同行评审3. 提供方法或理论的错误率，并在一定范围之内4. 符合标准和控制
　　5. 得到普遍接受
　　有关的法律也规定专家的科学证言须结合 科学知识，并就证据之可靠及可信立下标准。证据的可靠程度取决于科学上能否验证。
　　现代的电子调查是对电子证据进行智能相关性分析重建犯罪过程，例如通过计算机的所有者、电子签名、密码、交易纪录、回邮信箱邮件、发送服务器的日志、上网IP等计算机特有信息识别体，同其它证据互相印证，相互关系起来，进行综合分析。
　　同时，很多时候电子证据还需要传统的调查手法的辅助。调查人员在重建罪行时，需要适当考虑其他可能存在的解释，并在解释与证据之间进行相互印证，可能在某中假设情况下，需要查找更多的证据，又可能在新的证据下，得出新的假设和解释。调查人员要把证据互相印证，相互关联袭来进行综合分析。科学是对事物正确理解的知识体系。知识的简单说法要回答五个W，这五个W是什么呢?就是何事、何故、何时、何地、何人。调查人员要找出与理论假设与证据之间如何构成证实的关系，才能准确的重构犯罪过程。构建假设并验证就是可以采用的科学方法。
　　4 P2P 网络中发布者取证调查
　　本节以 Foxy 软件为例，介绍在一个P2P 网络中，如何通过调查取证找到数据的上传者，以及何时调查能够找到数据的最先上传者。2008 年香港艳照门事件中，嫌疑人就是利用Foxy对艳照进行共享，使得艺人的裸照在Foxy 网络中迅速传播。想要抓捕嫌疑人，势必需要通过对Foxy 进行分析，试图找到物理世界中的人。
　　4.1 Foxy
　　Foxy是一个繁体中文点对点分享(P2P)软件，发行者为已在2010年关闭的一家台湾公司。该软件只有正体中文版，没有英文等其它语言的版本，因此主要流行在台湾、香港及澳门等使用繁体中文的地区。它利用强制上传增加分享速度，用户无法停止上传。它没有路由机制，源头的私隐(例如IP位址，所在地点)不受保障。它没有连接加密，连接容易被监视。它容易让使用者误设为全机分享，分享用户所有档案，每次下载完成后自动重新分享用户所有档案，用户无法停止，做成私人及机密档案被公开发布。当Foxy客户端试图连接到Foxy网络，会执行以下任务:
　　(1) 用户连接到Foxy的服务器，以获得一个对等端列表(2) 服务器回答一个对等的用户列表(3) 用户发送一个PING请求到各个对端(4) 各个对端回答一个PONG请求到用户(5) 用户现在在Foxy网络上
　　在Foxy网络中，每个共享文件都使用它的名字。当一个用户要寻找一个文件，他输入了一个搜索查询的文件名(或只是其中的一部分)。查询(Query)讯息发送到所有等端，然后传递给其他邻居等端。当一个等端拥有一个文件名和查询讯息字符串相匹配，就回答一个QueryHit讯息给发出请求的用户。QueryHit消息中包含的信息，如IP地址和端口号，共享文件和文件本身的信息。这使用户能够建立一个连接到该对等端，启动下载。
　　在接收QueryHit讯息以及有关的连接信息，用户先选择一个文件，并发送一个TCP HTTP GET至承载该文件的等端，请求请求下载。承载该文件的等端然后回应，并开始发送所请求的数据。与所有对等网络的文件共享,所有等端在Foxy网络中都是同等级的。所有拥有与Query请求匹配的副本的等端都回它的IP地址给请求者。当一个文件被广泛地分布后想要确认哪个等端是发起者多是不可能的。也许可以在下列情形中找到: 在peer缓慢的增长期;分享文件非常的大。
　　在缓慢增长期后找到谁是发起者是不可能的。在连续监察下，如果识别到大量关于特定名字的查询，并且大量查询命中来自同一个IP地址，则很有可能该IP地址就是第一个上传者。缓慢增长期是不是真的存在? 我们进行了相关的实验, 实验结果验证了缓慢增长期的存在。
　　而对于网络上数据的上传者，需要进行如下的科学分析。一是查清网络物品的来源。二是查清虚拟嫌疑人。通过上传人IP地址(包括静态IP、动态IP)、上网账号、密码及其相关登记资料、通过关联点分析网上活动轨迹及对资讯内容的分析，研判行为人的网络行为、个性特征，锁定虚拟嫌疑人。三是确认现实嫌疑人。这一般属于通常所说的落地调查，即通过询问、讯问嫌疑人，通过现场搜查、勘验、检查及电子数据鉴定确定现实嫌疑人，其中硬盘、手机、日志、光盘的电子数据的固定和提取尤为重要。港特別行政区的艳照门案例就是个很好的例子。
　　5 结论
　　現代的计算机网络罪行调查的重要部分是犯罪现场重建。李昌钰博士认为：犯罪现场重建是指通过对犯罪现场的痕迹、物证的位置和状态的分析及物证的实验室检验，从而确定或者排除在犯罪现场发生的事件和行为的过程。国内王大中教授称之为犯罪现场再现，是指侦查人员在现场勘查中，依法运用各种科学手段、方法，分析犯罪行为，在思维中、在实物模型中去构建或模拟一个犯罪现场，重新认识犯罪行为得出新的侦查思路的侦查或制定勘查行为。犯罪现场重建的功能不仅限于侦查阶段的查明案件事实，在法庭证明案件事实过程中也起到至关重要的作用，也保障无罪公民不受刑事追究的能力。计算机网络犯罪调查既是一门技术，更是一门科学，只有将恰当的法证科学适时应用到电子证据取证调查中，才能够更好的重构犯罪场景，还原案件真相实现法律正义。