很多單位都購(gòu)買了一些安全工具進(jìn)行防范，但技術(shù)的不斷更新，使得黑客的攻擊頻頻得手。網(wǎng)絡(luò)犯罪可以跨地區(qū)、跨國(guó)之間進(jìn)行，因此對(duì)于打擊互聯(lián)網(wǎng)犯罪需要國(guó)際組織間進(jìn)行合作。一旦網(wǎng)絡(luò)已經(jīng)遭受入侵并造成損失，我們就希望訴諸法律來(lái)保護(hù)自己并獲取補(bǔ)償。一種新的證據(jù)形式——存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。電子證據(jù)本身和取證過(guò)程的許多有別于傳統(tǒng)物證和取證的特點(diǎn)。這篇文章中跟大家介紹一些計(jì)算機(jī)取證的概念、流程、特點(diǎn)、來(lái)源等。

什么是計(jì)算機(jī)取證(Computer Forensics)呢?作為計(jì)算機(jī)取證方面的一名專業(yè)及資深人士，Judd Robbins給出了如下的定義：

計(jì)算機(jī)取證不過(guò)是簡(jiǎn)單地將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取上。

New Technologies是一家專業(yè)的計(jì)算機(jī)緊急事件響應(yīng)和計(jì)算機(jī)取證咨詢公司，擴(kuò)展了Judd的定義：

計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。

SANS的一篇綜述文章給出了如下的定義：

計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

因此我們認(rèn)為計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服性的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過(guò)程。

計(jì)算機(jī)取證流程一般包含如下四個(gè)步驟：

識(shí)別證據(jù)：識(shí)別可獲取的信息的類型，以及獲取的方法。

保存證據(jù)：確保跟原始數(shù)據(jù)一致，不對(duì)原始數(shù)據(jù)造成改動(dòng)和破壞。

分析證據(jù)：以可見(jiàn)的方式顯示，結(jié)果要具有確定性，不要作任何假設(shè)!

提交證據(jù)：向管理者、律師或者法院提交證據(jù)。

計(jì)算機(jī)取證又叫數(shù)字取證、電子取證，對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過(guò)程。計(jì)算機(jī)取證的目的是收集資料，分析解釋入侵者的入侵的過(guò)程，并以此為證據(jù)提交給執(zhí)法單位。

計(jì)算機(jī)取證與傳統(tǒng)證據(jù)的取證方式不一樣，計(jì)算機(jī)取證其自身有如下的特點(diǎn)：

(1)容易被改變或刪除，并且改變后不容易被發(fā)覺(jué)。傳統(tǒng)證據(jù)如書面文件如有改動(dòng)或添加，都會(huì)留有痕跡，可通過(guò)司法鑒定技術(shù)加以鑒別。而數(shù)字證據(jù)與傳統(tǒng)證據(jù)不同，它們多以磁性介質(zhì)為載體易被修改，并且不易留下痕跡。

(2)多種格式的存貯方式。數(shù)字證據(jù)以計(jì)算機(jī)為載體，其實(shí)質(zhì)是以一定格式儲(chǔ)存在計(jì)算機(jī)硬盤、軟盤或CDROM 等儲(chǔ)存介質(zhì)上的二進(jìn)制代碼，它的形成和還原都要借助計(jì)算機(jī)設(shè)備。

(3)易損毀性。計(jì)算機(jī)信息是最終都是以數(shù)字信號(hào)的方式存在，易對(duì)數(shù)字證據(jù)進(jìn)行截收、監(jiān)聽(tīng)、刪節(jié)、剪接等操作?；蛘哂捎谟?jì)算機(jī)操作人員的誤操作或供電系統(tǒng)、通信網(wǎng)絡(luò)的故障等環(huán)境和技術(shù)方面的原因都會(huì)造成數(shù)字證據(jù)的不完整性。

(4)高科技性。計(jì)算機(jī)是現(xiàn)代化的計(jì)算和信息處理工具，其證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸，都必須借助于計(jì)算機(jī)軟硬技術(shù)，離開了高科技含量的技術(shù)設(shè)備，電子證據(jù)無(wú)法保存和傳輸。如果沒(méi)有外界的蓄意篡改或差錯(cuò)的影響，電子證據(jù)就能準(zhǔn)確地儲(chǔ)存并反映有關(guān)案件的情況。正是以這種高技術(shù)為依托，使它很少受主觀因素的影響，其精確性決定了電子證據(jù)具有較強(qiáng)的證明力。

(5)傳輸中通常和其他無(wú)關(guān)信息共享信道。

計(jì)算機(jī)取證其自身的特點(diǎn)導(dǎo)致取證的方式和來(lái)源不同，計(jì)算機(jī)證據(jù)的來(lái)源主要來(lái)自兩個(gè)方面，一個(gè)是系統(tǒng)方面的，另一個(gè)是網(wǎng)絡(luò)方面的。

其中，來(lái)自系統(tǒng)方面的證據(jù)包括：

系統(tǒng)日志文件

備份介質(zhì)

程序、腳本、進(jìn)程、內(nèi)存映象

交換區(qū)文件

臨時(shí)文件

硬盤未分配的空間

系統(tǒng)緩沖區(qū)

打印機(jī)及其它設(shè)備的內(nèi)存

來(lái)自網(wǎng)絡(luò)方面的證據(jù)有：

防火墻日志

IDS日志

其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。

上面提到的計(jì)算機(jī)取證概念、流程、特點(diǎn)及來(lái)源，是計(jì)算機(jī)取證的初步了解過(guò)程。葉子將在后續(xù)的文章中對(duì)計(jì)算機(jī)取證的其它操作和方式進(jìn)一步的分析。

【編輯推薦】

1. 熟悉Linux內(nèi)核安全入侵偵察系統(tǒng)
2. 計(jì)算機(jī)網(wǎng)絡(luò)入侵安全檢查分析研究
3. 保護(hù)無(wú)線LAN安全——阻止入侵