計(jì)算機(jī)犯罪是伴隨計(jì)算機(jī)的發(fā)明和廣泛應(yīng)用而產(chǎn)生的新的犯罪類型�����。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展�。計(jì)算機(jī)在社會(huì)中的應(yīng)用領(lǐng)域急劇擴(kuò)大���。計(jì)算機(jī)犯罪的類型和領(lǐng)域不斷增加和擴(kuò)展��。使“計(jì)算機(jī)犯罪”這一術(shù)語隨著時(shí)間的推移不斷獲得新的涵義。
1 什么是計(jì)算機(jī)犯罪
在學(xué)術(shù)研究上.關(guān)于計(jì)算機(jī)犯罪迄今為止尚無統(tǒng)一的定義(大致說來,計(jì)算機(jī)犯罪概念可歸為五種:相關(guān)說�、濫用說�、工具說����、工具對(duì)象說和信息對(duì)象說)。根據(jù)刑法條文的有關(guān)規(guī)定和我國計(jì)算機(jī)犯罪的實(shí)際情況���,計(jì)算機(jī)犯罪是指行為人違反國家規(guī)定.故意侵入國家事務(wù)、國防建設(shè)�、尖端科學(xué)技術(shù)等計(jì)算機(jī)信息系統(tǒng)�,或者利用各種技術(shù)手段對(duì)計(jì)算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)�、應(yīng)用程序等進(jìn)行破壞。制作�、傳播計(jì)算機(jī)病毒�。影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為�。
利用計(jì)算機(jī)進(jìn)行犯罪活動(dòng)����,無外乎以下兩種方式:一是利用計(jì)算機(jī)存儲(chǔ)有關(guān)犯罪活動(dòng)的信息;二是直接利用計(jì)算機(jī)作為犯罪工具進(jìn)行犯罪活動(dòng)�。計(jì)算機(jī)犯罪具有犯罪主體的專業(yè)化��、犯罪行為的智能化、犯罪客體的復(fù)雜化����、犯罪對(duì)象的多樣化��、危害后果的隱蔽性等特點(diǎn)。使計(jì)算機(jī)犯罪明顯有別于傳統(tǒng)一般刑事犯罪���。近年來,計(jì)算機(jī)犯罪案例呈逐年上升趨勢(shì)�����。給國家?guī)聿豢晒懒康膰?yán)重后果和巨大的經(jīng)濟(jì)損失,甚至威脅到國家的安全�����,破壞了良好的社會(huì)秩序�����。所以�,打擊利用計(jì)算機(jī)進(jìn)行的犯罪�,確保信息安全對(duì)于國家的經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定具有重大現(xiàn)實(shí)意義。為有效地打擊計(jì)算機(jī)犯罪�����,計(jì)算機(jī)取證是一個(gè)重要步驟�。存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的電子證據(jù)已經(jīng)成為新的訴訟證據(jù)之一�����。
2 什么是計(jì)算機(jī)取證
計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證���,是指對(duì)計(jì)算機(jī)入侵�、破壞���、欺詐��、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù)�,按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取�����、保存����、分析和出示的過程����。從技術(shù)上,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解�,以對(duì)入侵事件進(jìn)行重建的過程��。
計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)犯罪或入侵的現(xiàn)場��,尋找并扣留相關(guān)的計(jì)算機(jī)硬件���;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件����,日志等)中尋找可以用來證明或者反駁的證據(jù)�,即電子證據(jù)。與傳統(tǒng)的證據(jù)一樣����,電子證據(jù)必須是真實(shí)�����、可靠、完整和符合法律規(guī)定的。
2.1物理證據(jù)的獲取
物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作����,保證原始數(shù)據(jù)不受任何破壞���。無論在任何情況下�����,調(diào)查者都應(yīng)牢記:
(1)不要改變?cè)加涗洠?nbsp;
(2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無關(guān)的操作;
(3)不要給犯罪者銷毀證據(jù)的機(jī)會(huì);
(4)詳細(xì)記錄所有的取證活動(dòng);
(5)妥善保存得到的物證�����。
若現(xiàn)場的計(jì)算機(jī)處于工作狀態(tài)。取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件����、寄存器�����、交換區(qū)、隱藏文件、空閑的磁盤空間����、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計(jì)數(shù)器、用戶進(jìn)程存儲(chǔ)器�����、文件緩存區(qū)等不同的位置���。要收集到所有的資料是非常困難的���。關(guān)鍵的時(shí)候要有所取舍�����。如果現(xiàn)場的計(jì)算機(jī)是黑客正在入侵的目標(biāo)��。為了防止犯罪分子銷毀證據(jù)文件,最佳選擇也許是馬上關(guān)掉電源����;而如果計(jì)算機(jī)是作案的工具或相關(guān)信息的存儲(chǔ)器�。應(yīng)盡量保存緩存中的數(shù)據(jù)�����。
2.2信息發(fā)現(xiàn)
取得了物理證據(jù)后�����。下一個(gè)重要的工作就是信息發(fā)現(xiàn)。不同的案件對(duì)信息發(fā)現(xiàn)的要求是不一樣的�。有些情況下要找到關(guān)鍵的文件�����、郵件或圖片���,而有些時(shí)候則可能要求計(jì)算機(jī)重現(xiàn)過去的工作細(xì)節(jié)(比如入侵取證)����。
值得注意的是。入侵者往往在入侵結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉�����。猶如犯罪者銷毀犯罪證據(jù)一樣�����,盡量刪除或修改日志文件及其它有關(guān)記錄��。殊不知一般的刪除文件操作,即使在清空了回收站后��,若不將硬盤低級(jí)格式化或?qū)⒂脖P空間裝滿�����,仍可將“刪除”的文件恢復(fù)過來����。在Windows操作系統(tǒng)下的windows swap(page)fde(一般用戶不曾意識(shí)到它的存在)大概有20-200M的容量���,記錄著字符處理、Email消息�����、Internet瀏覽行為���、數(shù)據(jù)庫事務(wù)處理以及幾乎其它任何有關(guān)windows會(huì)話工作的信息����。另外��。在windows下還存在著fde slack�����,記錄著大量Email碎片(Fragments)、字符處理碎片���、目錄樹鏡像(snapshot)以及其它潛在的工作會(huì)話碎片。以上這些都可以利用計(jì)算機(jī)取證軟件來收集�。事實(shí)上�,F(xiàn)在的取證軟件已經(jīng)具有了非常好的數(shù)據(jù)恢復(fù)能力����,同時(shí),還可以做一些基本的文件屬性獲得和檔案處理工作。
數(shù)據(jù)恢復(fù)以后�。取證專家還要進(jìn)行關(guān)鍵字的查詢����、分析文件屬性和數(shù)字摘要�����、搜尋系統(tǒng)日志�����、解密文件等工作。由于缺乏對(duì)計(jì)算機(jī)上的所有數(shù)據(jù)進(jìn)行綜合分析的工具���,所以�����,信息發(fā)現(xiàn)的結(jié)果很大程度上依賴于取證專家的經(jīng)驗(yàn)���。這就要求一個(gè)合格的取證專家要對(duì)信息系統(tǒng)有深刻的了解����。掌握計(jì)算機(jī)的組成結(jié)構(gòu)��、計(jì)算機(jī)網(wǎng)絡(luò)��、操作系統(tǒng)、數(shù)據(jù)庫等多方面的相關(guān)知識(shí)���。
最后取證專家據(jù)此給出完整的報(bào)告。將成為打擊犯罪的主要依據(jù)��,這與偵查普通犯罪時(shí)法醫(yī)的角色沒有區(qū)別�����。
3一些取證工具的介紹
在計(jì)算機(jī)取證過程中�����。相應(yīng)的取證工具必不可少,常見的有tcpdump,Argus����,NFR����,EnCase����,tcpwrapper,sniffers����,honeypot��,Tripwires,Network monitor�,鏡像工具等���。在國外計(jì)算機(jī)取證過程中比較流行的是鏡像工具和專業(yè)的取證軟件��。下面以EnCase作為一個(gè)計(jì)算機(jī)取證技術(shù)的案例來分析。EnCase是目前使用最為廣泛的計(jì)算機(jī)取證工具��,至少超過2000家的去律執(zhí)行部門在使用它�。EnCase是用C++編寫的容量大約為1M的程序,它能調(diào)查Windows,Macintosh�,Anux����,Unix或DOS機(jī)器的硬盤�����,把硬盤中的文件鏡像或只讀的證據(jù)文件�����。這樣可以防止調(diào)查人員修改數(shù)居而使其成為無效的證據(jù)。為了確定鏡像數(shù)據(jù)與原的數(shù)據(jù)相同���。EnCase會(huì)與計(jì)算機(jī)CRC校驗(yàn)碼和MD5臺(tái)希值進(jìn)行比較�。EnCase對(duì)硬盤驅(qū)動(dòng)鏡像后重新組織文件結(jié)構(gòu),采用Windows GUI顯示文件的內(nèi)容�����。允許調(diào)查員使用多個(gè)工具完成多個(gè)任務(wù)�。
在檢查一個(gè)硬盤驅(qū)動(dòng)時(shí),EnCase深入操作系統(tǒng)底層查看所有的數(shù)據(jù)——包括file slack.未分配的空司和Windows交換分區(qū)(存有被刪除的文件和其它潛生的證據(jù))的數(shù)據(jù)��。在顯示文件方面���,EnCase可以由多種標(biāo)準(zhǔn)�����,如時(shí)間戳或文件擴(kuò)展名來排序����。此外.EnCase可以比較已知擴(kuò)展名的文件簽名����。使得調(diào)查人員能確定用戶是否通過改變文件擴(kuò)展名來隱藏證據(jù)。對(duì)調(diào)查結(jié)果可以采用html或文本方式顯示����。并可打印出來����。
在計(jì)算機(jī)取證的過程中還有一種常用的方法是在被入侵的系統(tǒng)上巧妙地設(shè)立HoneyPot�����,模擬先前被入侵的狀態(tài)來捕獲入侵者的信息����,即采用誘敵深入的計(jì)策達(dá)到取證的目的�。
HoneyPot和Honeynet都是專門設(shè)計(jì)來讓人“攻陷”的網(wǎng)絡(luò)�����。一旦被入侵者攻破��,入侵者的一切信息�、工具都將被用來分析學(xué)習(xí)�。
通常情況下,HoneyPot會(huì)模擬常見的漏洞。而Honeynet是一個(gè)網(wǎng)絡(luò)系統(tǒng)���,而非某臺(tái)單一主機(jī)。這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻后面�,所有進(jìn)出的數(shù)據(jù)都受到關(guān)注�����、捕獲及控制。這些捕獲的數(shù)據(jù)可被用來研究分析入侵者使用的工具��、方法及動(dòng)機(jī)���。轉(zhuǎn)
4 當(dāng)前計(jì)算機(jī)取證技術(shù)的局限和反取證技術(shù)
計(jì)算機(jī)取證的理論和軟件是近年來計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成果�。然而,在實(shí)際取證過程中����。我們發(fā)現(xiàn)目前的計(jì)算機(jī)取證技術(shù)還存在著很大的局限性�����。首先,有關(guān)犯罪的電子證據(jù)必須沒有被覆蓋:其次,取證軟件必須能夠找到這些數(shù)據(jù)���。并能知道它代表的內(nèi)容��。但從當(dāng)前軟件的實(shí)現(xiàn)情況來看�����。許多取證分析軟件并不能恢復(fù)所有被刪除的文件。
正是由于技術(shù)上的局限性�����。使得一些犯罪分子認(rèn)為有機(jī)可乘�。因此在取證技術(shù)迅速發(fā)展的同時(shí).一種叫做反取證的技術(shù)也悄悄出現(xiàn)了。反取證技術(shù)就是刪除或隱藏證據(jù),使取證調(diào)查無效。現(xiàn)在反取證技術(shù)主要分為三類:數(shù)據(jù)擦除�����、數(shù)據(jù)隱藏���、數(shù)據(jù)加密�����。這些技術(shù)還可結(jié)合使用��,使取證工作變得很困難。
數(shù)據(jù)擦除是最有效的反取證方法�����。它清除所有的證據(jù)�。由于原始數(shù)據(jù)不存在了。取證自然就無法進(jìn)行���。數(shù)據(jù)隱藏僅在取證者不知道到哪里尋找證據(jù)時(shí)才有效。為逃避取證��,犯罪者還把暫時(shí)不能刪除的文件偽裝成其他類型的文件或把他們隱藏在圖形或音樂文件中����。也有人將數(shù)據(jù)文件隱藏在磁盤的隱藏空間中�����。
加密文件的作用是我們所熟知的���。對(duì)可執(zhí)行文件的加密是因?yàn)樵诒蝗肭种鳈C(jī)上執(zhí)行的黑客程序無法被隱藏�,而黑客又不想讓取證人員有方向地分析出這些程序的作用���,因此,在程序運(yùn)行前先執(zhí)行一個(gè)文本解密程序�����。來解密被加密的代碼�����。而被解密的代碼可能是黑客程序����。也可能是另一個(gè)解密程序���。
此外��,黑客還可以利用Root Kit(系統(tǒng)后門��、木馬程序),繞開系統(tǒng)日志或利用盜竊的密碼冒充其他用戶登陸�����。這些反取證技術(shù)給取證工作帶來極大的困難���。
5 結(jié)束語
在各種各樣的計(jì)算機(jī)犯罪手段與信息安全防范技術(shù)對(duì)壘的形勢(shì)下��。目前的研究多著眼于入侵防范對(duì)于入侵后的取證技術(shù)的研究相對(duì)滯后。僅僅通變現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪已經(jīng)不能夠適應(yīng)當(dāng)前的形式�。因此需要發(fā)揮社會(huì)和法律的力量去對(duì)付計(jì)算機(jī)和網(wǎng)絡(luò)犯罪���。計(jì)算機(jī)取證學(xué)的出現(xiàn)和矗用是網(wǎng)絡(luò)安全防御理論走向成熟的標(biāo)志�。也是相多法律得以有效執(zhí)行的重要保障���。
參考文獻(xiàn):
【1】高銘喧主編<新編中國刑法學(xué)>1998年版
【2】蔣平主編‘計(jì)算機(jī)犯罪問題研究)2000年版
[3] Robbim J.An Explanation of Computer Foremics http//www.computerforensics/forensics htm
[4]Farmer D,Venema W Computer Foremics Analysis Class Handouts. |
