计算机取证工具

5.7.5　计算机取证工具

1.计算机取证工具分类

计算机取证是一门综合性的技术，涉及磁盘分析、加解密、图形和音频文件的分析、日志信息挖掘、数据库技术、媒体介质的物理分析等，如果没有合适的取证工具，依赖人工实现就会大大降低取证的速度和取证结果的可靠性。随着大容量磁盘和动态证据信息的出现，手工取证也是不可行的，所以计算机取证工作需要一些相应的工具软件和外围设备来支持。在计算机取证过程中最重要的是要学会运用一些软件工具。这些工具既包括操作系统中已经存在的一些命令行工具，还包括专门开发的工具软件和取证工具包。调查取证成功与否在很大程度上取决于调查人员是否熟练掌握了足够的、合适的、高效的取证工具。

按照计算机取证流程，取证工具可分为证据获取工具、证据保全工具、证据分析工具、证据归档工具，如图5－7所示。

图5－7　计算机取证工具分类

2.证据获取工具

电子证据主要来自两个方面，一个是主机系统方面的，另一个是网络方面的。证据获取工具就是用来从这些证据源中得到准确的数据。计算机取证的重要原则是，在不对原有证物进行任何改动或损坏的前提下获取证据，否则证据将不被法庭接受。为了能有效地分析证据，首先必须安全、全面地获取证据，以保证证据信息的完整性和安全性。为支持在不同环境的取证，证据获取工具又包含多种，如图5－8所示。

图5－8　证据获取工具

3.证据保全工具

取证工作的一个基本原则是要证明所获得的证据和原有的数据是完全相同的。在普通的案件取证中，证明所收集到的证物没有被修改过是一件非常困难的事情，也是很重要的事情，电子证据更是如此。需要证明的是取证人员在取证调查过程中没有造成任何对原始证物的改变；或者如果存在对证物的改变，也是由于计算机的本质特征造成的，并且这种改变对证物在取证上没有任何的影响。在取证过程中可采用保护证物的方法，如证物监督链，它可以使法院确信取证过程中原始证物没有发生任何改变，并且由证物推测出的结论也是可信的。在电子证据取证过程中，为了保全证据通常使用数据签名和数字时间戳技术。

数字签名用于验证传送对象的完整性以及传送者的身份，但是数字签名没有提供对数字签名时间的见证，因此还需要数字时间戳服务。这种服务通过对数字对象进行登记，来提供注册后特定事物存在于特定的日期和时间的证据。时间戳服务对收集和保存数字证据非常有用，它提供了无可争辩的公正性来证明数字证据在特定的日期和时间里是存在的，并且在从该时刻到出庭这段时间里没有被修改过。除了要对被调查计算机的硬盘的映像文件和关机前被保存下来的所有信息做时间标记以外，还有很多对象同样需要做时间标记。比如，在收集证据过程中得到的证据，其中包括日志文件、嗅探器的输出结果和入侵检测系统的输出结果；在可疑计算机上得到的调查结果，其中包括所有文件的清单和它们的被访问时间；调查人员每天记录的副本等。常用的电子证据保全工具如表5－1所示。

表5－1　电子证据保全工具

4.证据分析工具

证据分析是计算机取证的核心和关键，其内容包括分析计算机的类型，采用的操作系统类型，是否有隐藏的分区，有无可疑外设，有无远程控制和木马程序及当前计算机系统的网络环境等。通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。

分析工作的第一步通常是分析可疑硬盘的分区表，因为分区表内容不仅是提交给法院的一个重要条目，而且它还将决定在分析时需要使用什么工具。New Technology公司的Ptable工具可以用来分析硬盘驱动器的分区情况。

在检查分区表之后要浏览文件系统的目录树，这样可以对所分析的系统产生一个大致的了解。New Technology公司的FileList工具是一个磁盘目录工具，可以将系统里的文件按照上次使用的时间顺序进行排列，让分析人员可以建立用户在该系统上的行为时间表。

取证人员可以使用十六进制编辑器UltraEdit32和winhex等工具或一种取证程序来检查磁盘的主引导记录和引导扇区。如果使用的进制编辑器或其他取证程序具备搜索功能时，可用它搜索与案件有关的词汇、术语。搜索关键词是分析工作很重要的一步。New Technology公司的Filter＿we可以对磁盘数据根据所给的关键词进行模糊搜索。

在完成关键词搜索的工作后，应该找回那些已经被删除的文件。通过手动检查每一个扇区来查找已被删除的文件的方法已不再适用，可采用前面介绍的反删除工具进行恢复。

NTI公司的软件系统Net Threat Analyzer使用人工智能中的模式识别技术，分析slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息，研究Swap文件、缓存文件、临时文件及网络流动数据，从而发现系统中曾发生过的E－mail交流，因特网浏览及文件上传下载等活动，提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。NTI公司的IPFilter可以动态获取swap文件进行分析。Ethereal能在UINX和Windows系统中运行，能捕捉通过网络的流量并进行分析，能重构诸如上网和访问网络文件等行为。

计算机取证人员经常需要使用文件浏览器来打开各种格式的文件。Quick View Plus是一款优秀的文件浏览器，它可以识别计算机里的超过200种文件类型，像PC、UNIX以及一些Macintosh格式的文件几乎可以立即进行浏览，它也可用于浏览各种电子邮件文件格式，例如.msg。

很多案例都需要对大量的图片进行查阅，以此来查找与指控相关的东西。取证人员可使用工具ThusmbsPlus，它只需要选择一个驱动器或目录，就会自动显示被选驱动器或目录中的所有图片文件并自动进行分析判断有没有信息隐藏。

在取证调查过程中正确并快速地识别反常文件是非常必要的，比如那些有着与它们真实数据类型不相符扩展名的文件。Guidance Software公司的EnCase取证工具包称这一功能为文件特征识别及分析，它提供自动更新功能，并可以将试图隐藏的数据文件以列表的形式列出来。

5.证据归档工具

在计算机取证的最后阶段，也是最终目的，应该是整理取证分析的结果供法庭作为诉讼证据。主要对涉及计算机犯罪的时间、地点、直接证据信息、系统环境信息、取证过程，以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是，在处理电子证据的过程中，为保证证据的可信度，必须对各个步骤的情况进行归档以使证据经得起法庭的质询。

计算机证据要同其他证据相互印证、相互联系起来综合分析。证据归档工具比较典型的是NTI公司的软件NTI－DOC，它可用于自动记录电子数据产生的时间、日期及文件属性，还有Guidance Software公司的EnCase工具，它可以对调查结果采用html或文本方式显示，并可打印出来。