“
导 言
数字取证是以各类电子设备为调查对象,通过收集和分析设备数据来获取电子证据,从而协助企业、司法机关解决调查案件的一门学科。据欧盟2019年的公文显示,大约85%的刑事调查案件中都涉及电子证据,因此,如何科学、有效地进行数字取证对现代法律体系地建设与完善起着至关重要的作用。然而,互联网行业的蓬勃发展给当前数字取证领域带来了新的挑战:一方面,随着云计算、物联网、区块链等新兴数字技术的出现,处理多样化的电子数据来源的能力变得尤为重要;另一方面,反取证技术不断对抗发展,大幅增加了证据提取和分析的难度。
数字取证是取证科学的一个分支,专注于对电子数据的处理和分析,是发现、获取、分析和报告可疑电子证据的过程。数字取证通常遵循以下基本流程(如图1所示):首先,取证调查人员搜寻、扣押可能涉及犯罪案件的电子设备;随后,通过对存储在设备中的电子数据进行收集、检查和分析,取证调查人员可以获得相关的电子证据,并以此重新构建犯罪案件的整个过程;最后,取证调查人员将调查过程和可疑电子证据整理为一份完整的报告并提交给检察人员。
图1 电子数据取证流程
电子证据是数字取证的基础,与取证流程密切相关。电子证据是指在计算机、智能手机等数字设备种形成的,能够反映设备运行状态、活动等事实的各类电子数据,如系统日志、网络流量、音视频文件、电子邮件等。电子证据的来源丰富多样,早期电子证据主要是从计算机、智能手机等设备中收集,然而随着新型犯罪事件的频繁发生,数字取证领域增加了大量新的数据来源,如云计算、物联网、软件定义网络等,给数字取证领域提出了新的挑战。
除电子证据新来源外,新型犯罪事件中的电子设备种类繁多,各类技术手段日新月异,增加了证据提取和分析的难度。在证据提取阶段,易失性数据的存在常导致有效证据的丢失,设备物理损坏和全盘加密技术的使用使得证据提取的流程更加繁琐。在证据分析阶段,多样的数据来源和不断发展的反取证技术,如数据伪造、数据隐写、全盘加密等,向取证人员提出了新的技术考验。
本文将聚焦数字取证领域面临的新挑战:第1部分主要介绍多种电子数据新来源;第2部分分析当前数字取证领域获取电子证据的困难;第3部分介绍取证人员在证据分析阶段面临的难题;第4部分介绍其他非技术难题。
“
1. 电子证据新来源
图2 电子数据取证的数据来源
“
2. 证据提取新难题
在数字取证流程中,取证调查人员首先需要提取设备中的电子证据,然而,证据提取的过程并不总是一帆风顺的。数据易失性、设备物理损坏和设备全加密等情况和技术给电子证据的提取带来了巨大的挑战。
2.1. 数据易失性
数据易失性指的是待取证设备中的数据可能由于某些原因而丢失。例如,计算机的内存可以包含与系统使用相关的证据,如运行中的进程列表、网络连接或驱动程序的加密密钥等等,但是这些数据不会永久地存储在系统中,当系统关闭或拔掉电源时,这些数据会完全丢失。物联网设备上的所有可用信息都可以在本地记录,不过由于本地存储通常有限,记录的传感器值/执行器状态数一直保持在某个阈值下。一旦数据量超过阈值,数据便会被覆盖,从而可能导致丢失重要证据。
2.2. 设备物理损坏
物理损坏是指由于事故、自然灾害或者其他原因使得物体表面、结构受到破坏的现象,例如智能手机屏幕破碎、硬盘信道损坏、液体腐蚀等。取证调查人员在进行涉案设备收集时,经常会遇到设备损坏的情况。对于遭受物理损坏的设备,取证调查人员首先会尽快挽回损失,比如将浸水设备进行清洗、干燥后反组装,查看设备是否可以恢复正常状态。如果设备损坏严重、无法恢复原状,取证调查人员会通过更换设备损坏部件或者提取损坏设备的有效部件的方式尽可能多地提取电子数据。
图3 提取设备部件
2.3. 设备全加密
全盘加密 (Full Disk Encryption, FDE) 是一种使用对称密钥加密(通常是 Advanced Encryption Standard, AES)在块级别对设备上的所有用户数据进行加密的方式,常见的工具有BitLocker 和VeraCrypt。企业和用户经常使用全盘加密的方式保护私人数据,却也使得电子数字取证任务更具有挑战性。在没有加密密钥的情况下,很难从完全加密的设备中恢复数据。即使目前取证人员可以利用磁盘加密工具中的恢复选项从磁盘中提取数据,但由于恢复技术还不够成熟,数据提取也将十分耗时,且无法确保提取成功。
“
3. 证据分析新难题
在证据分析阶段,取证人员需要处理大量来自不同数据来源的电子证据,再加上诸如数据伪造、隐写和文件擦除等反取证技术的干扰,使得证据分析的过程异常困难。
图4 证据分析
“
4. 其他非技术新难题
4.1. 效率问题
随着数字化的不断发展,电子数据量呈指数型增长。与过去案件中较少的设备数和较小的数据量相比,如今的案件设备数量和种类大幅增多,取证调查人员需要处理并分析庞大的数据量,这是一项非常耗时的任务。以往使用单个工作站处理案件的取证方式限制了案件处理的效率,因此为了缩短案件分析的时间,同时部署多台计算机同步进行取证成为一个可选之举。但是,在多台设备部署的取证系统中,取证设备是否需要人工操作以及设备间如何同步取证进度和关联电子证据等问题仍然需要进一步探讨。
4.2. 隐私问题
用户普遍将个人信息存储在常用设备中,或者通过在线社交网络或社交媒体网站带入网络空间,这也导致了在电子数据取证的过程中,数据收集和分析都有可能会侵犯到用户的隐私。此外,由于云平台的共享性,云取证采集的日志文件中可能会包含同一平台的其他使用者的信息,严重威胁着与案件无关的用户的隐私。为了保证用户数据安全、提升用户信任,数字取证的流程仍然需要进一步完善和优化,研究人员也应考虑将更多的安全技术应用到电子数据取证领域。
4.3. 资源问题
电子数据数据取证收集的证据大部分属于系统最底层的数据,数据的复杂度较高,非技术人员很难理解和分析。理想情况下,取证调查人员需要拥有良好的知识储备和较强的技术能力,了解各类设备硬件和软件以及网络的相关内容,熟悉并掌握多领域的、最新的技术知识。然而目前对电子数据取证从业人员的专业培训课程和进修学习课程仍未得到广泛普及。
“
参考文献
[1] Yaqoob I, Hashem I A T, Ahmed A, et al. Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges[J]. Future Generation Computer Systems, 2019, 92: 265-275.
[2] Khan S, Gani A, Wahab A W A, et al. Software-defined network forensics: Motivation, potential locations, requirements, and challenges[J]. IEEE Network, 2016, 30(6): 6-13.
[3] Okai E, Feng X, Sant P. Security and Forensics Challenges to The MK Smart Project[C]//2019 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation (SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI). IEEE, 2019: 1666-1670.
[4] Balzarotti D, Di Pietro R, Villani A. The impact of GPU-assisted malware on memory forensics: A case study[J]. Digital Investigation, 2015, 14: S16-S24.
[5] Fukami A, Nishimura K. Forensic analysis of water damaged mobile devices[J]. Digital Investigation, 2019, 29: S71-S79.
[6] Hoelz B, Maues M. Anti-Forensic Threat Modeling[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2017: 169-183.
[7] AlHarbi R, AlZahrani A, Bhat W A. Forensic analysis of anti‐forensic file‐wiping tools on Windows[J]. Journal of Forensic Sciences, 2022, 67(2): 562-587.
中国保密协会
科学技术分会
长按扫码关注我们
作者:王媛媛 喻民
责编:眼界
“
2021年精彩文章 —— TOP5回顾
“
近期精彩 —— 文章回顾