浅谈电子数据取证技术—概述篇
导语:随着计算机犯罪及网络失泄密案件的频繁发生,电子数据证据作为一种新的证据形式势必越来越多的出现在司法活动中。1984年,美国FBI成立专门的计算机核查小组,成为电子数据取证的开始。2000年,美国成立了官方正式的取证实验室;除了官方部门外,美国许多研究机构和公司也开始进行电子数据取证的研究和实战,包括Guidance Software、AccessData、Logicube等世界知名电子数据取证公司。2001年,我国正式引入计算机取证概念,2012年至2014年,民事、刑事、行政三大诉讼法正式将电子数据证据作为独立的诉讼证据之一,最高法、最高检、公安部和司法部正式认可电子数据证据。近几年来,电子数据取证技术在网络攻击窃密、反欺诈调查、内部审计、失泄密痕迹发现、恶意网站查处等案件中发挥着举足轻重的作用。本文首先为大家介绍电子数据取证及其关键技术。
电子数据
美国司法学会(National Institute of Justice, NIJ)定义电子数据是以二进制形式存储或传输的信息,可以在法庭上被依赖,可以在电脑硬盘、移动电话、个人数字助手、数码相机中的闪存卡等中找到。电子数据证据可用于起诉所有类型的犯罪,而不仅仅是电子犯罪[1]。
根据我国最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(2016年9月发),电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据[2]。电子数据包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。
Wiki百科中对电子数据的定义是以数字形式存储或传输的任何证明性信息,法院案件的一方可以在审判中使用电子数据作为证据[3]。
电子数据取证
电子数据取证是一门侧重实践与应用的综合学科,涉及到的知识包括计算机软硬件知识体系、网络技术、密码学、通信技术以及法学知识等,既有保证电子数据证据特性的基础技术,又有电子数据取证过程中广泛使用的密码破解、数据挖掘、数据分析等其他知识。
目前学术界对电子数据取证还没有一个统一的定义。电子数据取证这个术语最初被用作计算机取证的同义词,现在已扩展到涵盖所有能够存储数字数据设备的取证。典型的取证过程包括对数字媒体的缉获、取证成像(采集)和分析以及将收集到的证据制作成报告。Wiki百科中对电子数据取证的定义是:电子数据取证是法医学的一个分支,涵盖数字设备中发现材料的恢复和调查,通常涉及计算机犯罪[4][5]。计算机取证是电子数据取证的重要组成部分,作为电子数据取证方面的专业及资深人士,Judd Robbins[6]曾对计算机取证给出了如下的定义:计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。New Technologies[7]作为一家专业的计算机应急响应和计算机取证咨询公司,进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS[8]公司则将计算机取证归结为如下的说法:计算机取证是使用软件和工具,按照一些预先定义的程序全面的检查计算机系统,以提取和保护有关计算机犯罪的证据。
除了识别犯罪的直接证据外,电子数据取证还可用于将证据归类于特定嫌疑犯,确认理由或陈述、确定意图、确定来源(例如版权案例中)或鉴定文件等。调查的范围比法医分析的其他领域的范围要广泛得多,这些问题通常涉及复杂的时间线或假设。
从定义的角度来看,电子数据取证技术是经过资格认定的专业人员基于计算机科学原理和技术,按照法律规定的程序发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子证据,找出与案件事实之间的客观关系,确定其证明力并提供鉴定意见的活动。简单来说,任何计算机犯罪都会在计算机或互联网上留下踪迹,电子数据取证技术的宗旨就是准确辨别并提取犯罪者留下的痕迹信息,从而揭露其犯罪事实。
电子数据取证技术发展
美国是最早从事电子数据取证的国家,其技术发展具有代表性。美国电子数据取证技术的发展主要经过了五个时期:1985年以前的孕育期、1985-1995前后的婴儿期、1995-2005的童年期、2005-2010的青春期以及2010年至今的成熟期。下图展示了各时期的人员、目标、工具、社群以及取证群体的发展。
电子数据取证原则
美国警察学会(Association of Chief Police Officers,ACPO)[9]提出电子数据取证的4个原则,从事电子数据取证的技术人员必须遵循这些原则:
(一) 存储在计算机或存储介质数据不能被修改或变更,因为这些数据可能以后会在法庭上作为证据提出。
(二) 一个人必须足以胜任处理计算机或存储介质上的原始数据,如果有必要,他/她也应该能够给自己的行为的相关性和过程的证据作出解释。
(三) 基于电子数据取证过程的所有审计追踪和其他文档需要被创建和保存。一个独立的第三方能够检查这些过程并能获取相同的结果。
(四)负责取证的个人必须在法律和ACPO的原则下全面负责取证过程。
在ACPO的标准之上还有ADAM(The Advanced Data Acquisition Model)原则[10]:
(一) 取证人员的活动不应改变原始数据。如果工作要求意味着这是不可能的,那么应该清楚地识别从业者的行为对原始数据的影响,并且引起任何改变的过程是合理的。
(二)必须保留与原始数据的获取和处理相关的所有活动以及原始数据的任何副本的完整记录。这包括遵守适当的证据规则,例如维护监管链记录,以及哈希等验证过程。
(三) 取证人员不得从事任何超出其能力或知识范围的活动。
(四) 取证人员在开展工作时必须考虑个人和设备安全的各个方面。
(五)在任何时候都应考虑受到取证行为影响的任何人的合法权利。
(六)从业者必须了解与其活动有关的所有组织政策和程序。
(七)沟通必须与客户、法律执业者、主管和其他团队成员保持适当的关系。
电子数据取证流程
US-CERT(The United States Computer Emergency Readiness Team)在2012年提出“计算机取证是一个新的领域,并缺少一致性的法规和标准化”[11]。每个电子取证模型是专注于某一领域,目前还没有被普遍接受的任何单一数字取证调查模型。人们普遍认为,电子数据取证模型框架必须灵活,以便它可以支持任何类型的事件和新技术。以下介绍3种取证流程:
(一)四步取证过程(FSFP)
2006年Karen Kent根据Venter的想法开发的一个基本的电子数据取证调查模型称为四步取证过程——FSFP[12],电子数据取证调查甚至可以通过非技术人员进行。FSFP包含以下四个基本过程,如该图所示:
该模型比任何其他模式更加灵活,使组织可以采用基于已发生的事件选择最适合的模型。箭头表示在取证各个过程中需要保存和记录所有的证书,以便证据可以在法庭中提交。
(二) 全生命周期取证流程
2018年,世界知名取证公司Guidance Software提出全生命周期取证流程,如下如所示。
Guidance Software的取证流程已完全在其EnCase产品中实现,调查人员可以借助EnCase完成调查。首先完全识别计算机和移动设备中的潜在证据并对其进行优先排序,以确定是否需要进一步调查;然后对可能潜在证据的设备中的数据进行收集,并进行查找和分析;最后给客户生成一份详细的报告。
(三)其他取证流程
Fireeye公司提出的取证流程如下:
第一步:优先。确定最重要的事件、能够分辨目标事件和非目标事件之间的差异、不同的目标有不同的策略。
第二步:收集和存储正确的数据。捕获数据包、网络数据流、认证事件日志、企业管理日志这些数据中,哪些数据可以揭示攻击者的意图、这些日志需要存储多久等。
第三步:有效率的分析数据。适当的问题可以快速找到答案,例如:在特定时间内,哪台机器使用地址发言?做了什么DNS请求?什么机器在什么时候有这个IP地址?此时谁登录系统?显式登录,类型,来自哪里?收集上面列出的数据类型将为调查人员提供一个很好的解决方案[13]。
参考文献:
1. National Institute of Justice.https://www.nij.gov/topics/forensics/evidence/digital/pages/
welcome.aspx, Accessed on April 14, 2016
2. 最高人民法院,最高人民检察院,公安部. 关于办理刑事案件收集提取和审查判断电子数据若干问题的规定[S]. 2016.9.20
3. Casey E, Blitz A, Steuart C. Digital evidence and computer crime[J]. by Academic Press, 2000.
4. Reith M, Carr C, Gunsch G. An examination of digital forensic models[J]. International Journal of Digital Evidence, 2002, 1(3): 1-12
5. Carrier B. Defining digital forensic examination and analysis tools using abstraction layers[J]. International Journal of digital evidence, 2003, 1(4): 1-12.
6. Robbins J. An explanation of computer forensics[J]. National Forensics Center, 2008, 774: 10-143.
7. new technologies. http://www.forensics-intl.com
8. Lunn D A. Computer forensics–an overview[J]. Sans Institute, 2000, 2002.
9. Wilkinson S, Haagman D. Good practice guide for computer-based electronic evidence[J]. Association of Chief Police Officers, 2010.
10. Adams R, Hobbs V, Mann G. The Advanced Data Acquisition Model (Adam): A Process Model for Digital Forensic Practice[J]. Journal of Digital Forensics, Security and Law, 2013, 8(4): 2.
11. US-CERT. https://www.us-cert.gov/sites/default/files/publications/forensics.pdf, Accessed on February 06, 2013.
12. Kent K, Chevalier S, Grance T, et al. Guide to integrating forensic techniques into incident response[J]. NIST Special Publication, 2006, 10: 800-86.
13. FireEye. 3 Steps to Creating an Investigation Ready Organization [R]. https://www2.fireeye.com/rs/848-DID-242/images/wp-3steps-creating-investigation-ready-org.pdfR25ZQllUSXBvb0ZVNkxJbXgifQ%3D%3D
作者:贾成罡 喻 民
责任编辑:何洁
中国保密协会科学技术分会
请长按二维码识别,关注中国保密协会科学技术分会微信号。
往期精彩文章TOP5回顾
近期精彩文章回顾