1 / 111

计算机取证技术

计算机取证技术. 北京大学计算机系 刘欣. 课程内容. -----------------------------. 课题背景 计算机犯罪简述 计算机取证概念、原则与步骤 国外计算机取证应用现状 国内计算机取证应用现状 取证过程与方法 展望. 课题背景. ---------------------------------------------------------------. 随着社会信息化、网络化大潮的推进,社会生活中的计算机犯罪由最初的 “ 小荷才露尖尖角 ” 到目前的层出不穷,举不胜举,因此,电子数据证据的法律效力正在成为学界关注的焦点。.

susan-holland
Download Presentation

计算机取证技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 计算机取证技术 北京大学计算机系 刘欣

  2. 课程内容 ----------------------------- • 课题背景 • 计算机犯罪简述 • 计算机取证概念、原则与步骤 • 国外计算机取证应用现状 • 国内计算机取证应用现状 • 取证过程与方法 • 展望

  3. 课题背景 --------------------------------------------------------------- 随着社会信息化、网络化大潮的推进,社会生活中的计算机犯罪由最初的“小荷才露尖尖角”到目前的层出不穷,举不胜举,因此,电子数据证据的法律效力正在成为学界关注的焦点。

  4. 社会信息化发展步伐 --------------------------------------------------------------- 硬件方面: Moore定律:每18个月相同价格的集成电路的处理能力就会加倍。 Intel研制出"纳米"晶体管 摩尔定律将被推翻 硅芯片晶体密度提百倍 摩尔定律再用20年 CSDN - 英特尔即将启用远紫外技术 摩尔定律再获新发展 ……

  5. 社会信息化发展步伐 --------------------------------------------------------------- 软件方面: 由最初的手动编制二进制代码到汇编语言、高级语言、面向对象的概念、软件工程到UML建模技术,软件开发日益呈现工程化、自动化趋势,软件的应用范围日益拓展,已成为社会生活重要组成部分。

  6. 社会信息化发展步伐 --------------------------------------------------------------- 网络与通信:互联网在中国的发展  CNNIC的统计:我们的网民总量截至2002年7月为4580万,上网计算机数量为1613万台,CN下注册的域名数量是126146个。WWW站点数(包括.CN、.COM、.NET、.ORG下的网站)大约293213个。

  7. 计算机犯罪概念 --------------------------------------------------------------- • Computer related crime or computer aimed crime? • 广义说:计算机犯罪———通常是指所有涉及计算机的犯罪。如: • 欧洲经济合作与发展组织的专家认为:“在自动数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。” • 我国刑法学者有人认为:“凡是故意或过失不当使用计算机致使他人受损失或有受损失危险的行为,都是计算机犯罪。”

  8. 计算机犯罪概念 --------------------------------------------------------------- • 狭义说:计算机犯罪———通常是对计算机资产本身进行侵犯的犯罪。例如: • 瑞典的私人保密权法规定:“未经过批准建立和保存计算机私人文件,非法窃取电子数据处理记录或非法篡改、删除记录侵犯个人隐私的行为都是计算机犯罪。” • 我国有学者认为,“计算机犯罪是指利用计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全的犯罪行为”

  9. 计算机犯罪概念 --------------------------------------------------------------- • 折衷说:计算机本身在计算机犯罪中以“犯罪工具”或“犯罪对象”的方式出现,这一概念注重的是计算机本身在犯罪中的作用。如: • 德国学者施奈德认为:“计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。” • 我国学者认为:“计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为。”

  10. 计算机犯罪的特点 --------------------------------------------------------------- • 犯罪形式的隐蔽性 • 计算机犯罪一般不受时间和地点限制,可以通过网络大幅度跨地域远程实现,其罪源可来自全球的任何一个终端,随机性很强。 •  计算机犯罪黑数高。

  11. 计算机犯罪的特点 --------------------------------------------------------------- • 犯罪主体和手段的智能性 •  计算机犯罪的各种手段中,无论是“特洛依木马术”,还是“逻辑炸弹”,无一不是凭借高科技手段实施的,而熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员。

  12. 计算机犯罪的特点 --------------------------------------------------------------- • 复杂性 • 犯罪主体的复杂性。 • 犯罪对象的复杂性。 

  13. 计算机犯罪的特点 --------------------------------------------------------------- • 跨国性  网络冲破了地域限制,计算机犯罪呈国际化趋势。因特网络具有“时空压缩化”的特点,当各式各样的信息通过因特网络传送时,国界和地理距离的暂时消失就是空间压缩的具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的终端机,就可以通过因特网到网络上任何一个站点实施犯罪活动。而且,可以甲地作案,通过中间结点,使其他联网地受害。由于这种跨国界、跨地区的作案隐蔽性强、不易侦破,危害也就更大。 

  14. 计算机犯罪的特点 --------------------------------------------------------------- • 匿名性   罪犯在接受网络中的文字或图像信息的过程是不需要任何登记,完全匿名,因而对其实施的犯罪行为也就很难控制。罪犯可以通过反复匿名登录,几经周折,最后直奔犯罪目标,而作为对计算机犯罪的侦查,就得按部就班地调查取证,等到接近犯罪的目标时,犯罪分子早已逃之夭夭了。

  15. 计算机犯罪的特点 --------------------------------------------------------------- • 损失大,对象广泛,发展迅速,涉及面广 • 计算机犯罪始于六十年代,七十年代迅速增长,八十年代形成威胁。美国因计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿,甚至上百亿美元,英、德的年损失也达几十亿美元。 • 我国从1986年开始每年出现至少几起或几十起计算机犯罪,到1993年一年就发生了上百起,近几年利用计算机计算机犯罪的案件以每年30%的速度递增,其中金融行业发案比例占61%,平均每起金额都在几十万元以上,单起犯罪案件的最大金额高达1400余万元,每年造成的直接经济损失近亿元。

  16. 计算机犯罪的特点 --------------------------------------------------------------- • 持获利和探秘动机居多  全世界每年被计算机犯罪直接盗走的资金达20亿美元。我国2001年发现的计算机作案的经济犯罪已达100余件,涉及金额达1700万元,在整个计算机犯罪中占有相当的比例。    各种各样的个人隐私、商业秘密、军事秘密等等都成为计算机犯罪的攻击对象。侵害计算机信息系统的更是层出不穷。

  17. 计算机犯罪的特点 --------------------------------------------------------------- • 低龄化和内部人员多  我国对某地的金融犯罪情况的调查,犯罪的年龄在35岁以下的人占整个犯罪人数的比例:1989年是69.9%,1990年是73.2%,1991年是75.8%。其中年龄最小的只有18岁。  此外,在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计,计算机犯罪的犯罪主体集中为金融、证券业的“白领阶层”,身为银行或证券公司职员而犯罪的占78%,并且绝大多数为单位内部的计算机操作管理人员;从年龄和文化程度看,集中表现为具有一定专业技术知识、能独立工作的大、中专文化程度的年轻人,这类人员占83%,案发时最大年龄为34岁。

  18. 计算机犯罪的特点 --------------------------------------------------------------- • 巨大的社会危害性  网络的普及程度越高,计算机犯罪的危害也就越大,而且计算机犯罪的危害性远非一般传统犯罪所能比拟,不仅会造成财产损失,而且可能危及公共安全和国家安全。据美国联邦调查局统计测算,一起刑事案件的平均损失仅为2000美元,而一起计算机犯罪案件的平均损失高达50万美元。据计算机安全专家估算,近年因计算机犯罪给总部在美国的公司带来的损失为2500亿美元。

  19. 计算机犯罪的类型举例 --------------------------------------------------------------- • 非法侵入计算机信息系统罪。  《刑法》第285条规定,违反国家规定,侵入国有事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

  20. 计算机犯罪的类型举例 --------------------------------------------------------------- • 破坏计算机信息系统罪。  这一行为《刑法》第286条概括为破坏计算机信息系统罪。主要表现为: • 故意对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为; • 故意对计算机信息系统中存储处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为; • 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。

  21. 计算机犯罪的类型举例 --------------------------------------------------------------- • 《刑法》第287条规定了利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪。利用计算机实施盗窃的行为纳入盗窃罪定罪处罚的范围,从而使盗窃罪更具信息时代的特征。  如盗窃电子资金,不法分子往往利用电子资金过户系统,例如定点销售系统(POSS)、自动存取款机(ATMS)自动化票据交换所(ACHS)、电子身份证系统等提供的便利,使用计算机技术通过网络修改电子资金帐目,窃取电子资金。

  22. 计算机犯罪的形式 --------------------------------------------------------------- • 数据欺骗  非法篡改输入/输出数据获取个人利益,是最普通最常见的计算机犯罪活动。发生在金融系统的此种计算机犯罪多为内外勾结,串通作案,由内部人员修改数据,外部人员提取钱款。

  23. 计算机犯罪的形式 --------------------------------------------------------------- • 意大利香肠术 侵吞存款利息余额,积少成多的一种作案手段,是金融系统计算机犯罪的典型类型。这种方法很像偷吃香肠一样,每次偷吃一小片并不引起人们的注意,但是日积月累的数目也是相当可观。此类案件在国内外均有发现,因为只有修改计算机程序才能达到其犯罪目的,故多为直接接触程序的工作人员所为。目前国内多数为局域网管理银行帐目而产生此类犯罪,因此,要警惕采用此手段作案的罪犯。

  24. 计算机犯罪的形式 --------------------------------------------------------------- • 特洛依木马 “特洛依木马”来源于古希腊传说,相传希腊人为了攻陷特洛依城,在城外故意抛下一个木马并假装撤退,特洛依人将木马拖回城内后,埋伏在木马内的希腊士兵就打开城门,里应外合而将特洛依城攻陷。它是表面上来看是正常合适的,但在内部却隐藏秘密指令和非法程序段的程序的代名词。“特洛依木马”就是用来表示以软件程序为基础进行欺骗和破坏的方法。 

  25. 计算机犯罪的形式 --------------------------------------------------------------- • 冒名顶替  利用别人口令,窃用计算机谋取个人私利的做法。在机密信息系统和金融系统中,罪犯常以此手法作案。单用户环境多为内部人员所为,网络系统则可能为非法渗透。由于人们普遍存在猎奇心理,对别人加密程序,总想解密一睹,因此用户口令应注意保密和更新,且最好不用容易破译的口令密码,如电话号码、出生日期、人名缩写等。   

  26. 计算机犯罪的形式 --------------------------------------------------------------- • 清理垃圾   从计算机系统周围废弃物中获取信息的一种方法。由此带来损失的例子并不罕见,提醒计算机用户不要随便处理所谓废弃物,因为其中可能含有不愿泄漏的信息资料。 

  27. 计算机犯罪的形式 --------------------------------------------------------------- • 逻辑炸弹   指插入用户程序中的一些异常指令编码,该代码在特定时刻或特定条件下执行破坏作用,所以称为逻辑炸弹或定时炸弹。

  28. 有关电子数据证据 --------------------------------------------------------------- 任何材料要成为证据,均需具备三性: • 客观性 • 关联性 • 合法性

  29. 计算机取证(电子取证)定义 --------------------------------------------------------------- 计算机取证专业资深人士Judd Robins: 计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。

  30. 计算机取证(电子取证)定义 --------------------------------------------------------------- 一家专业的计算机紧急事件响应和计算机取证咨询公司: 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。

  31. 计算机取证(电子取证)定义 --------------------------------------------------------------- 一篇综述文章给出了如下的定义: 计算机取证是使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。

  32. 计算机取证(电子取证)定义 --------------------------------------------------------------- 综合:    计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。

  33. 电子证据与传统证据的区别 --------------------------------------------------------------- • 计算机数据无时无刻不在改变; • 计算机数据不是肉眼直接可见的,必须借助适当的工具; • 搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原子操作; • 电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。

  34. 国外计算机取证历史及现状 --------------------------------------------------------------- • 法律的制定: •    自1976年的Federal Rules of Evidence起,美国出现了如下一些法律解决由电子证据带来的问题: • The Economic Espionage Act of 1996:处理商业机密窃取问题 • The Electronic Communications Privacy Act of 1986:处理电子通信的窃听问题 • The Computer Security Act of 1987(Public Law 100-235):处理政府计算机系统的安全问题

  35. 国外计算机取证历史及现状 --------------------------------------------------------------- • 取证技术:    逐渐走向自动化、智能化,政府与各专业机构均投入巨大人力、物力开发计算机取证专用工具。

  36. 国外计算机取证历史及现状 --------------------------------------------------------------- • 用于电子数据证据获取的工具: 如Higher Ground Software Inc. 的软件Hard Drive Mechanic 可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree可从活动的Windows Swap分区中恢复数据,该公司的软件GetSlack可自动搜集系统中的文件碎片并将其写入一个统一的文件。

  37. 国外计算机取证历史及现状 --------------------------------------------------------------- • 用于电子数据证据保全的工具: Guidance Software公司生产的硬件设备Fastbloc可用于Windows操作系统下计算机媒质内容的快速镜像,NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据,保证其不被改变,也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作。

  38. 国外计算机取证历史及现状 --------------------------------------------------------------- • 用于电子数据证据分析的工具: 这类工具中最著名的是NTI公司的软件系统Net Threat Analyzer。该软件使用人工智能中的模式识别技术,分析Slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息,研究交换文件、缓存文件、临时文件及网络流动数据,从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动,提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国9.11事件的调查中起到了很大的作用。

  39. 国外计算机取证历史及现状 --------------------------------------------------------------- • 用于电子数据证据归档的工具: 如NTI公司的软件NTI-DOC可用于自动记录电子数据产生的时间、日期及文件属性。

  40. 国外计算机取证历史及现状 --------------------------------------------------------------- 结论: 针对计算机取证的全部活动而言,美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程,各研究机构与公司也都在进一步优化现有的各种工具,提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度,进一步提高计算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。

  41. 国内计算机取证历史及现状 --------------------------------------------------------------- 我国的计算机普及与应用起步较晚,有关计算机取证的研究与实践工作也仅有10年的历史,相关的法律法规仍很不完善,学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。目前法庭案例中出现的计算机证据都比较简单,多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步,计算机犯罪的水平也在不断提高,目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求,自主开发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。

  42. 计算机取证的主要原则 --------------------------------------------------------------- 尽早搜集证据,并保证其没有受到任何破坏 必须保证“证据连续性”(有时也被称为“chain of custody”),即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。 整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。

  43. 计算机取证的基本步骤 --------------------------------------------------------------- • 在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染。 • 搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。 • 全部(或尽可能)恢复发现的已删除文件。

  44. 计算机取证的基本步骤 --------------------------------------------------------------- • 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。 • 如果可能并且如果法律允许,访问被保护或加密文件的内容。

  45. 计算机取证的基本步骤 --------------------------------------------------------------- • 分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类: ①所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留。 ②文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据。

  46. 计算机取证的基本步骤 --------------------------------------------------------------- • 打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息。 • 给出必需的专家证明。

  47. 计算机取证的基本步骤 --------------------------------------------------------------- 注: 如上计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。

  48. 计算机取证相关技术 --------------------------------------------------------------- 数据获取技术包括: • 对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰; • 对数据和软件的安全搜集技术;对磁盘或其它存储介质的安全无损伤备份技术; • 对已删除文件的恢复、重建技术;

  49. 计算机取证相关技术 --------------------------------------------------------------- 数据获取技术包括: • 对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术; • 对交换文件、缓存文件、临时文件中包含的信息的复原技术; • 计算机在某一特定时刻活动内存中的数据的搜集技术; • 网络流动数据的获取技术等。

  50. 计算机取证相关技术 --------------------------------------------------------------- 数据分析技术:在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括: • 文件属性分析技术; • 文件数字摘要分析技术; • 日志分析技术;

More Related