青草国产在线视频,一区二区三区在线观看视频,精品欧美高清不卡在线,国产一区精品视频,亚洲wuma,h动态图片,腿模小雪

電子取證技術分享

國內外電子數據取證裝備發(fā)展現狀與趨勢

申明:本文作者為郭弘、徐志強,出版于2016年3月《保密科學技術》第66期,引用或轉發(fā)本文內容請注明出處。

1
引言
? ?電子數據取證技術在國外已經發(fā)展了三十多年,早期主要在歐美執(zhí)法部門和司法機關使用。大多數的商業(yè)化取證工具則是在2000年后研發(fā)并在實戰(zhàn)中投入使用。國際上比較知名的電子數據取證企業(yè)有Guidance Software、AccessData、MicroSystemation、Paraben、Logicube、ICS、X-Ways、Cellebrite、Oxygen等。隨著電子數據取證技術的日益成熟,以及越來越多的執(zhí)法人員加入企業(yè),從事合規(guī)調查、反欺詐調查、稽核監(jiān)察等內部調查,該技術逐步被越來越多的國內外知名企業(yè)所接受,并用于企業(yè)的內部調查。
? ? 當前,中國在電子數據取證領域的研發(fā)實力和技術積累已經走在國際前列,擁有了包括電子數據取證的硬件(硬盤復制機、只讀鎖、取證工作站)以及取證軟件(計算機取證分析、手機取證分析)等全系列自主研發(fā)的取證產品,成為繼美國后第二個擁有電子數據取證軟硬件綜合研發(fā)能力的國家。中國的電子數據取證實驗室預計已經超過600家,并逐步通過資質認定和實驗室認可來進行規(guī)范管理。
2
計算機取證硬件

? ? 硬盤復制機、只讀鎖、取證工作站等裝備是電子數據取證過程中常用的設備,有些設備體積小,便攜性好,常用于現場勘查取證;有些則體積較大,適用于固定場所(如電子數據取證實驗室)。當前,硬盤復制機、只讀鎖及取證工作站等取證產品已經相對成熟,接口也相對比較齊全、速度不斷大幅提升,但是在技術升級及應用方面缺乏創(chuàng)新。隨著歐美電子數據取證市場的日益飽和,電子數據取證廠商的業(yè)務拓展舉步維艱,研發(fā)投入也大幅減少,這也是導致電子數據取證軟硬件裝備創(chuàng)新不足的主要原因。

1. 硬盤復制機
? ? 硬盤復制機,又稱為克隆機,是電子數據取證中最常見的鏡像設備。它基于位對位(bit by bit)方式對硬盤進行復制。硬盤復制機一般有源盤和目標盤兩種接口分類,源盤接口通常啟用寫保護模式,目標盤則是讀寫模式。早期硬盤復制受限于硬盤I/O性能,多數IDE及SATA硬盤復制速度在3~4GB/Min,如同時計算硬盤哈希值(MD5),則性能進一步下降。隨著硬盤復制設備硬件的更新?lián)Q代,SATA/SAS接口的硬盤成為主流,硬盤I/O性能大幅提升,較新的硬盤復制機對機械硬盤進行復制,性能可高達7GB/Min,支持同時計算MD5哈希值且不降低性能。如果對于源盤和目標盤均采用固態(tài)硬盤進行復制,速度則可高達26GB/Min以上。當前主流的硬盤復制機多數支持了各種主流接口,包括IDE、SATA、SAS、USB,而SCSI接口硬盤采用轉換卡進行轉化。

2.?只讀鎖
? ? 只讀鎖,又稱為寫保護設備,對應英文名稱是Write Blocker或Forensic Bridge。只讀鎖分為硬件只讀鎖和軟件只讀鎖。由于軟件只讀鎖是通過軟件來實現存儲介質的保護,系統(tǒng)環(huán)境不可靠可能造成無法安全保護數據。因此在司法取證領域,為了確保可靠性,通常建議采用硬件只讀鎖。
? ? 早期的只讀鎖主要采用USB2.0及Firewire(火線)接口,隨著硬盤容量的增長,其傳輸速度跟不上實際的需求,逐步采用eSATA及USB3.0接口。雖然數據的讀取速度得到大幅提升,但是數據傳輸仍然存在帶寬限制。此外,由于之前的USB3.0芯片控制器技術不是很成熟,部分只讀鎖在使用一段時間后,會產生設備發(fā)熱、接口連接不牢固及其他外界因素導致設備可靠性較差的情況,導致硬盤鏡像時,出現數據獲取不完整或哈希校驗不一致等問題。
目前,市場上主流的只讀鎖設備分為兩類:單一接口只讀鎖和多功能綜合只讀鎖。常見的多功能綜合只讀鎖支持對IDE、SATA、SAS、SCSI、USB、Firewire等接口的存儲介質進行寫保護。此外,也有針對數碼設備存儲卡(SD卡、記憶棒等)進行寫保護的存儲卡只讀讀卡器。

3.取證一體機
? ??早期,電子數據取證人員通常需要攜帶大量的取證設備前往涉及電子證據的案件現場,這些取證設備包括:硬盤復制機、只讀鎖、取證軟件及筆記本電腦,它們都是電子數據取證勘查箱中標配的工具。由于這些取證設備或軟件相對獨立使用,因此,取證人員需在多個不同設備或軟件之間切換操作,流程繁瑣且效率低下。此外,硬件只讀鎖與筆記本電腦的連接還經常存在接口連接不牢靠的現象,經常出現意外狀況導致數據獲取或數據分析中斷,浪費了大量時間。針對現場勘驗的問題與現狀,國內廠商將硬盤復制機、只讀鎖、取證軟件及筆記本電腦等軟硬件結合起來,于2010年研發(fā)并推出取證一體機,將硬盤復制、計算機取證分析、動態(tài)仿真取證三大功能結合,讓取證人員在現場通過一臺專業(yè)設備即可完成電子數據的證據固定、數據的快速分析、深度分析以及動態(tài)仿真取證等工作。取證一體機從2011年開始廣泛被一線取證人員所接受,在國內眾多執(zhí)法部門廣泛使用。

4.?取證分析工作站
? ? 取證分析工作站一般是電子數據取證實驗室中的重要組成部分。由于計算機取證分析離不開高性能的工作站,因此,國外的取證集成廠商(如Digital Intelligence)研發(fā)一系列取證分析工作站。這種工作站集成了電子數據取證常用的只讀接口及計算機取證分析軟件等,便于取證人員進行各種鏡像及數據分析。在國外,電子數據取證的人員分工較為細致,現場勘驗人員和數據分析人員一般由不同人來處理。因此國外取證分析工作站多數只配備一個多功能綜合只讀鎖,設備主要的目的是提供高性能處理能力,即使需要做硬盤鏡像,也只是逐個硬盤進行制作,未采用并行制作方式。不管是使用硬盤復制機還是采用取證分析工作站,通常只能一次對1至2個硬盤進行鏡像,效率較為低下。
? ? 在中國情況則有些不同,執(zhí)法人員在案件調查過程中經常遇到大量的硬盤需要進行證據固定及取證分析的情況,某些案件可能一次性就要處理幾十甚至上百個硬盤。因此,取證人員需要能一次性并行對多個硬盤進行鏡像以及并行高效分析的取證工作站。

3
計算機取證軟件

?1.?計算機取證分析軟件

? ? 在計算機取證分析軟件方面,除了美國Guidance Software公司的EnCase、美國AccessData公司的FTK,還有德國X-Ways的X-Ways Forensics,這三款軟件是目前國際上比較主流的計算機取證分析工具,功能上也不斷豐富和完善。EnCase在全球擁有最多的用戶群,并擁有一定數量的EnScript腳本編程愛好者,深受歐美專家級調查人員喜愛,其條件表達式(Conditions)可自定義程度高,使用起來非常靈活。而FTK則操作簡單,過濾器也相當靈活,能滿足調查員各種過濾要求,此外取證結果集中匯總進行查看,相當直觀,無需過多的培訓即可實現主要的數據分析目的。X-Ways Forensics則是一款輕量級計算機取證工具,軟件無需安裝,功能也十分強大,具備EnCase、FTK的大部分功能,其在數據恢復、圖片模糊搜索及膚色檢測、視頻抽幀等方面有自己的特色。
? ? 此外,俄羅斯Belkasoft也研發(fā)了Belkasoft Evidence Center計算機取證分析工具,其特點是支持眾多國內外即時通訊軟件、瀏覽器、電子郵件客戶端工具的數據解析。一直專注于電子郵件取證分析的澳大利亞Nuix公司也開始嘗試將其產品Nuix轉變?yōu)榫C合取證分析軟件,推出Nuix Investigator產品,功能也十分強大,具備EnCase、FTK等常見取證功能,支持上網記錄分析、系統(tǒng)痕跡分析、注冊表分析、視頻抽幀等功能。
? ? 在中國,上海盤石SafeAnalyzer是國內最早的計算機取證分析產品,早期吸收借鑒了國外取證軟件EnCase和FTK的優(yōu)點,是一款功能齊全、操作簡單的計算機取證分析軟件。 美亞柏科 “取證大師”將靜態(tài)取證、自動取證、動態(tài)取證等功能集成于一體,已成為國內電子數據取證分析人員必備的分析系統(tǒng)。
? ? 國產計算機取證分析軟件與國外取證軟件(EnCase、FTK、X-Ways Forensics)相比,實用性較強,能支持本地應用軟件的取證分析。主要體現在除了支持國外主流的各類應用軟件解析,還支持國內本地化的各種軟件的數據提取與分析,能快速解析國內各種瀏覽器(IE、Firefox、Chrome、360瀏覽器、獵豹瀏覽器、世界之窗等)的上網記錄信息,快速提取各種網絡下載工具的下載記錄信息,免密碼提取多種即時通訊軟件(Skype、MSN、汪汪等)聊天記錄信息,有效分析多種客戶端(Outlook Express、Office Outlook、Foxmail、網易郵等)的郵件內容。

2.?分布式取證系統(tǒng)
? ? 隨著大容量硬盤的日益普及,取證人員面向的數據成倍增長,計算機取證的方式將逐步從傳統(tǒng)的單兵作戰(zhàn)轉向協(xié)同作戰(zhàn)。可以預見,未來幾年,分布式取證與協(xié)同取證將成為取證的新模式。分布式取證涵蓋了計算機分布式取證、分布式密碼恢復取證。目前,分布式計算機取證系統(tǒng)主要有美國AccessData AD Lab產品和美亞柏科的“取證金剛”,而分布式密碼恢復系統(tǒng)主要有美國AccessData的DNA、俄羅斯Passware Kit Forensic、俄羅斯Elcomsoft Distributed Password Recovery、美亞柏科“極光”系統(tǒng),目前幾個廠商的產品均支持硬件(GPU、FPGA)加速,相比傳統(tǒng)的分布式密碼恢復要提高好幾個數量級。
? ? 分布式處理數據快速自動找出所需的證據是分布式取證的一個發(fā)展方向。AccessData公司的AD Lab (早期名為FTK Lab)是一款基于FTK取證分析軟件研發(fā)的分布式取證系統(tǒng),采用MSSQL Server作為數據存儲服務,具備利用多個計算機節(jié)點協(xié)同分析同一個證據文件或多個證據文件的能力,并提供了用戶權限管理、多用戶協(xié)同分析、Web審閱、電子郵件去重及增強OCR識別等功能。

3. 蘋果取證軟件
? ? 大多數計算機取證軟件(如EnCase、FTK、X-Ways Forensic)支持Mac OSX文件系統(tǒng)解析,然而對系統(tǒng)中的應用程序數據解析支持甚少,多數只會提取日志文件,也沒有提供分析所需的功能。正是因為主流取證軟件對Mac OSX支持較弱,國外的SubrosaSoft、BlackBag、Sumuri等公司研發(fā)了針對蘋果取證的工具。此類工具基本分為兩種,一種是在線獲取數據,如SubrosaSoft LockPickup、Recon for Mac OSX、BlackBag MacQuisition及Katana Lantern Imager,第二種是離線靜態(tài)數據分析,如MacForensicLab、BlackBag Black Light、Katana Lantern 5等工具。
? ? 近幾年,國內的取證廠商也均研發(fā)了針對蘋果取證的產品,如盤石軟件SafeImager蘋果版,支持通過LiveCD啟動Power PC和Intel架構的蘋果計算機,支持對硬盤的全盤鏡像及各類數據的獲取及解析。美亞柏科DC-8670多通道高速數據獲取設備支持通過ThunderBolt、USB3.0及火線等多個接口并用,快速對蘋果計算機進行全盤鏡像制作,而蘋果系統(tǒng)Mac OSX的取證分析則使用計算機取證分析工具“取證大師”來進行分析,支持對Mac OSX下的多種郵件客戶端、瀏覽器、聊天工具及系統(tǒng)信息進行數據的解析。

4
手機取證工具

? ? 隨著移動終端的迅速發(fā)展,利用移動終端進行各類非法或犯罪行為呈上升趨勢,這使得電子數據取證的主要目標從存儲介質向移動終端延伸。由于移動終端更新?lián)Q代速度非???,操作系統(tǒng)多樣,且移動終端的運行機制不同于傳統(tǒng)計算機設備,因此移動終端取證設備的開發(fā)難度超過介質取證設備。從近幾年的案件發(fā)展趨勢來看,未來一個時期將會是移動終端取證快速發(fā)展的黃金期。

? ? 2014年5月,美國國家標準與技術研究院NIST發(fā)布了移動終端取證的操作指南NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》,將移動終端的取證分為5個層次:微讀、芯片分析、十六進制鏡像/JTAG、邏輯分析以及人工分析。
? ? NIST發(fā)布的《移動終端取證的操作指南》NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》還列出了一些移動終端取證設備對應支持的提取層級。表1列出了幾款主流移動終端取證設備對應支持的提取層級。
手機系統(tǒng)仿真是目前手機取證中的一種新興的技術,手機仿真取證是指通過提取手機系統(tǒng)數據,在專用取證設備上運行手機仿真器,模擬手機運行環(huán)境,運行并登錄手機應用程序,進行數據瀏覽和分析。同時,在仿真過程,可實時抓取應用程序的通訊數據,分析應用程序的行為特征。整個仿真過程不破壞手機環(huán)境及用戶數據,對案件手機數據起到有效的保護。
? ? 手機動態(tài)仿真取證的應用價值體現在以下四個方面:(1)手機在線仿真、截圖輔助證據:提取手機應用數據進行在線仿真,通過仿真模擬器查看手機QQ、微信、新浪微博等數據,進行調查分析并截圖作為取證報告輔助證據,且不破壞原有手機數據的完整性及有效性。(2)手機鏡像離線仿真、截圖輔助證據:手機提取鏡像后,歸還嫌疑人后,通過手機仿真系統(tǒng),可以加載鏡像進行離線仿真。通過仿真模擬器上查看手機QQ、微信、新浪微博等數據,進行調查分析并截圖取證。(3)查看微信紅包、公眾號文章等詳細信息:由于微信紅包數據只保存在服務器,本地為實時讀取,數據庫不保存,因此無法通過手機取證系統(tǒng)提取微信紅包詳細信息。此時,可以通過手機仿真系統(tǒng)仿真后聯(lián)網查看,可以查看紅包的金額、個數等信息,廣泛應用在近期打擊利用微信紅包進行網絡賭博的違法行為中。其他如微信公眾號文章等信息,同樣可以通過手機仿真系統(tǒng)在線瀏覽和截圖取證。(4)手機木馬及惡意軟件分析:在聯(lián)網情況下,手機仿真系統(tǒng)可以實時通訊抓包,生成的抓包文件可以用第三方Wireshark軟件進行數據包分析,可用于手機木馬、惡意軟件分析及安全調查。

5
未來研究方向及發(fā)展趨勢

? ? 在移動互聯(lián)網、云計算以及物聯(lián)網為代表的新一代網絡快速發(fā)展的背景下,網絡社會與物理社會相互交織、融為一體,改變了傳統(tǒng)的互聯(lián)網計算模式和體系結構,也改變了傳統(tǒng)的取證方式。如何研制出在新型網絡環(huán)境下進行電子數據取證的工具成為取證廠商亟待解決的一大難題。因此,加大電子數據取證工具的研究力度勢在必行。展望未來,電子數據取證工具將會向著以下幾個方向發(fā)展:

1.?高速化、自動化、專業(yè)化與智能化發(fā)展
? ? 如今,電子證據以不同形式分布在計算機、路由器、入侵檢測系統(tǒng)和移動存儲等不同設備上。此外,數字設備的存儲能力以超過莫爾定律的速度增長,經常涉及海量數據,如果依靠人工來實現,取證的速度和可靠性將大大降低。所以,未來需要功能更強、速度更快、自動化程度更高的取證工具,才能有效進行電子數據取證。取證工具也將不斷利用數據挖掘、人工智能以及硬件加速技術(如多核技術等)增強其智能化,以應對大數據量、復雜數據的取證分析能力。綜上,取證工具必須高速化、自動化、專業(yè)化與智能化,才能提高和滿足不同領域電子數據取證調查需求。
2.新型移動終端的數據恢復和解密
? ? 目前,取證工具對于手機取證領域的固有難點,如刪除圖片恢復、密碼破解等,依然存在短板。因此,新型智能終端的數據刪除恢復也是取證工具研究的重要方向,主要包括基于鏡像的簽名恢復。另一方面是針對應用數據的存儲容器如SQLite、ESE進行記錄級的刪除數據恢復,恢復已刪除的應用APP數據等。隨著檢驗技術的發(fā)展,可以預見在未來將會有一定程度的突破。
? ? 此外,智能手機上會有更多的數據加密以保護個人隱私和企業(yè)數據,這將使取證更具挑戰(zhàn)性。Android5.0采取的全盤加密、國產手機的自主安全機制(聯(lián)想、華為、小米等),雖然都基于Android操作系統(tǒng),但卻為取證工作帶來不少困難。蘋果取證領域雖然近一段時間在數字密碼暴力破解方面有一定突破,一旦系統(tǒng)漏洞修復,蘋果的取證將依然成為業(yè)內難題。在未來幾年,能幫助找到避開密碼和設備鎖方法的手機取證工具以及先進的加密技術將是發(fā)展趨勢。
3.遠程跨域取證工具
? ? 移動互聯(lián)網將全球計算機網絡、移動網絡和物聯(lián)網等連接在一起,加上網絡訪問具有較強的隱藏性以及匿名性,使得遠程跨域取證異常困難。當前有很多基于IDS的取證系統(tǒng)以及網絡取證系統(tǒng),但是這些系統(tǒng)的取證范圍也常常是一些較小的單位網絡,如政府、企業(yè)網等。對于跨域發(fā)生的安全事件來說,如何進行取證、如何進行遠程跟蹤事件等目前缺乏有效的方法。因此,研究有效的遠程跨域取證工具將成為電子數據取證中的一個研究方向。
4.面向移動終端的現場取證工具
? ? 隨著移動終端類檢材的主流趨勢,可以預見的是現場取證工具將不再局限于計算機類檢材的數據快速獲取和指定類型數據的恢復獲取。隨著手機與個人電腦概念的趨同,現場取證工具必定在原有基礎上,涵蓋手機、計算機、平板等數字產品的證據固定和快速獲取功能,這也必將是現場取證工具的發(fā)展方向?,F場取證工具也將進一步結合后端平臺,實現高性能計算、高度智能化等功能,現場獲取的數據可直接進入平臺,并實現綜合的案件線索情報查詢及關聯(lián)分析。
5.智能設備的取證工具
? ? 隨著科技的快速發(fā)展,已經涌現了各種智能設備,如智能手表、智能手環(huán)、智能眼鏡、智能家電、智能汽車、智能自行車、無人機、增強現實(AR)和虛擬現實(VR)等智能設備。各類智能設備的硬件、軟件系統(tǒng)都將不斷升級,對于電子數據取證來說,如何獲取智能設備中的數據、解析其數據內容,分析出使用者的行為、軌跡、發(fā)生的事件等均是未來研究的方向。
6. 芯片取證工具
? ? 隨著移動智能終端、可穿戴設備及非智能嵌入式終端等普及應用,越來越多的案件調查涉及此類設備。設備若出現故障、無法通過正常的通訊接口獲取數據或遇到有安全保護措施(如密碼保護),往往需要通過將芯片拆卸并獲取其數據內容。研究各類芯片取證技術,包含芯片物理提取、數據獲取、數據解析、數據恢復和鏡像仿真技術是電子數據取證的未來研究方向。
7.與新興技術結合
? ? 電子數據取證技術是一門跨領域的綜合性學科,因此必將通過和其他數字技術進行結合才能取得發(fā)展,要克服當前的局限性就要吸收多學科的研究成果。隨著移動互聯(lián)網技術、云計算、大數據以及物聯(lián)網技術等各種新技術不斷涌現,必將對電子數據取證技術的發(fā)展產生較大的影響。而在這種情況下,只有通過有效的結合手段才能推動電子數據取證技術的發(fā)展。因此,電子數據取證工具也必須要結合人工智能、機器學習、神經網絡和數據挖掘等技術進行開發(fā),這也是取證工具今后的發(fā)展方向之一。
標簽:, , , , ,

下一篇:

相關新聞