网络犯罪如何取证

　　随着网络信息技术发展计算机网络逐渐成为人们生活和工作中不可或缺组成部分它改变了人们传统工作习惯和生活节奏在人们越来越依赖网络今天伴随着计算机网络日新月异计算机网络犯罪也逐渐走进了我们视线黑客攻击、网络钓鱼僵尸网络这些以谋取非法利益为目新兴犯罪手段使人们诚惶诚恐不仅仅是担心数据丢失给企业和个人造成经济损失更重要原因是当企业或个人发现了被黑客攻击被病毒侵害而造成损失后往往不知道该如何办举报到相关部门又缺乏足够证据毕竟这是虚拟世界找证据非常难这也是本文要和大家探讨问题:计算机取证

　　计算机证据是指在计算机系统运行过程中产生用以证明案件事实内容种电磁记录物针对网络攻击事件可以作为证据有:系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份等等其中入侵检测、服务器日志是主要证据来源从企业信息网络安全建设来看计算机取证已经成为个重要领域通过检查计算机访问日志信息可以了解犯罪嫌疑人在该计算机上做了哪些事情找到可疑文件；通过黑客工具反向判定可以追踪黑客动向以及了解黑客活动

　　但是从目前情况来看网络取证还是非常困难到目前为止国家还没有个成文相关法规出台而且现在犯罪分子也十分狡猾网络犯罪手段也非常隐蔽多样以色情犯罪为例在罪犯建设站点上开辟隐藏色情版块只给那些老成员访问有着长期信任关系才能访问嫌疑人到隐藏版块其他会员则不可见有些甚至只有通过2层、3层网络代理才可以访问还有人使用vpn做加密通道在肉鸡上放置色情资源嫌疑人为了证明自己清白经常在主页上植入木马自己不光卖流量还卖信封(黑客动画吧编者注:信封是指个人信息visa信用卡等访问会员信息)当你抓捕他时候他能诡辩声称这个服务器空间是被别人给利用了自己也是受害者这些手段和行为在司法机关立案和定罪时确实很难成为呈堂证供计算机取证这条道路是漫长而深远有时抓获嫌疑人却证据不足而不能定罪留下是更多无奈

　　用事实说话

　　2006年6月我所在城市刑侦大队来找我帮忙做次计算机技术分析和取证起因是当地个犯罪分子在劫车杀人后曾经来过当地汽车配件市场中个商店买过个零件而当时卖配件售货人员在他们使用电脑上留有些销售记录我首先查看了机器上装销售软件Software该销售软件Software是广东开发操作平台是基于DOS开发很BT(黑客动画吧注:BT在这里可以理解成“变态”)竟然还了ucdos经过些行为分析和操作检查后发现里面有很多记录但是很多从登记人员信息来看都是虚假更奇怪是只有近几天销售记录而没有以前就打电话给商店老板老板说这个电脑平时都是用来做销售记录偶尔听听音乐没有人懂电脑经过再 3确认或许有人误操作吧不过这也难不倒我们用EasyRacover(黑客动画吧编者注:EasyRacover是种数据恢复软件Software)经过近3个小时恢复发现了不少东西遗憾是还没发现有价值信息在些数据库文件中发现销售日期是近来几天哎看下表都已经夜里2点了抽颗烟继续分析期间用了很多工具还是无所获第2天早上朋友买来早点等着听我好消息我只能两手摆没有结果但是我不死心从我个人研究角度考虑肯定还是有内在原因商店那边肯定还是有问题经过再 3询问终于才知道里面有个销售人员懂点基本操作晚上趁老板不在时候看些自己买色情影碟后来机器中了病毒他怕老板知道就用了那种ghost版本winxp安装盗版光盘哎就是这个可怕ghost造成了永久不能复原让我们在第时间损失了获得嫌疑人第手信息经过后来和些数据恢复专家探讨他们说这就相当于次物理写入在数据恢复研究领域物理擦写是无法在还原记录就是目前美国也无法完成物理擦写后数据恢复

　　这是我当是第次做取证方面事情虽然是失败了但是却激发了我很浓厚兴趣现在直也在这个方面做些研究有时也和警察朋友起做些配合

　　那么黑客是如何去消除证据？

　　是不是真象些黑客电影里面演那样把使用数据光盘放入微波炉里面摧毁把硬盘锁定敲任意键都进入数据倒计时自我毁灭状态说老实话把光盘放入微波炉里面消除证据我还没有做过不过以前和朋友到是真写过个毁坏硬盘运行时候要对磁头进行读写硬盘盘片高速旋转cpu做大量计算时候突然的间停止杀死他马达主要思路是来自对软驱读写控制因kill motor 这个命令而想到为此也报废了个硬盘所以键入任意键进入硬盘自毁我是认可而放入微波炉那个想想太危险就没有做个这样测试其实大多数黑客都不是只有个硬盘般情况下都是有2-3块移动硬盘把些珍贵数据放在里面在他们跑路时候用塑料带罩着放在隐藏角落具体什么位置大家自己去想吧每个人思路不样我这里不好多做解释现在还有些黑客把资料放在自己pda手机里面手机都是 2手然后在把SIM卡进行擦写即使我们做了发射基站定位也还是找不到他们真正藏匿的所黑客还喜欢把经过跳转路由节点都个个干掉把犯罪信息抹除干干净净

　　如何查找证据呢？

　　般黑客常用做法就是以假乱真通过注册表来克隆帐户用克隆帐户访问些核心信息通过DOS修改文件时间等手段造成种迷惑假象很多木马都是放在system32里面很少有用户留意这个目录黑客也会在肉鸡上开vpn服务不过通常访问时候都是过 3层代理访问肉鸡即使被发现和跟踪也只能访问到代理主机同样它也是台肉鸡而且多数都不是在国内这给取证方面增加了很大难度

　　黑客通常在访问完肉鸡(傀儡机)后首先要做工作是清除系统访问日志国内都喜欢用小榕那个工具清除系统日志般我们浏览些信息时候从“开始”菜单“文档”菜单可查看到Windows 系统自动记录最后使用十 5个文档实际上这个信息存放在C:\Documents and Settings\Default User\Recent中(黑客动画吧编者注:Default User是Windows操作系统登陆用户帐号下同)它还包括有文件链接和访问时间检查此文件夹可以了解最近计算机使用情况

　　不仅如此从开始菜单运行regedit 从注册表中搜索recent 将得到许多recent 记录例如:

　　在HKCU\ Software\ Microsof t \ DevStdio \ 6. 0\ Recent File List 有开发工具Visual Studio 最近使用文件和工程文件；

　　在HKCU\ Software\ Adobe\ Acrobat Reader\ 8. 0\ AdobeViewer 有该软件Software最近阅读过文件；

　　在HKCU\ Sof tware \ Microsof t \ Office\ 9. 0\ Excel\ Recent Files 有Excel 最近打开文档；

　　前述开始菜单十 5个文档也存放在HKCU\ Sof tware\ Microf t \Windows \ CurrentVersion \ Explorer \ RecentDocs 只不过文件名使用是Unicode 编码； [Syue.com]

　　在C:\Documents and Settings\Default User\ Local Settings \History 中存有最近访问所留下所有文件；

　　IE 访问历史在C:\Documents and Settings\Default User\ LocalSettings\ Temporary Internet Files 记录了Internet 地址、标题和上次访问时间等； [Syue.com]

　　在HKCU\ sof tware\ Microsof t \ Internet Explorer Type2dURLS 路径下可以看到上网网址

　　C:\Documents and Settings\Default User\ Favorites 是收藏夹在作系统信息检查时应当在资源管理器中设置“显示所有文件”在默认情况下系统文件夹设置成“隐藏”属性通过这些操作就可以看到我们访问过些痕迹

　　国外是如何样做网络取证？

　　随着美剧越狱热播大家都对那个充满着离奇色彩电影而充满想象但是处于职业习惯我更看中是那个FBI探员犯罪猜想以及FBI做数据还原FBI就是通过硬盘数据恢复从而知道了男主角全盘计划如果不想让人看到自己些记录完全可以把硬盘进行分解做物理性破坏从近 3年计算机安全技术论坛(FIRST年会)看计算机取证已经成为广为关注问题国际上在计算机取证方面已有比较深入研究并且有不少公司推出了相关应用产品美国 5个已建成和计划建设中计算机取证实验室专门用于恐怖活动追踪和计算机犯罪调查

　　般国外惯用取证手法还是通过专业工具主要使用En和Ftk这两个工具软件Software通过 2进制数据还原技术来重现些机器操作信息和软件Software安装数据信息等在电子邮件取证方面是通过EmailTrackPro这个工具来做些电子邮件定位通过分析邮件来往信息头做出判定同时这也是捕捉网络蠕虫病毒跟踪源惯用思路方法还有通过Filemon等工具做些信息比对找出木马和黑客软件Software容身的所根据逆向分析来进行反跟踪侦查黑客所在地从而通过诱捕、抓捕犯罪嫌疑人当然更多也是通过高额赏金来做情报收集圈里有种传说:FBI可以对 6次重复擦写磁盘做出数据还原我也和国外朋友探讨过大家致认为这绝对是不可能要不如何说是传说呢？ [Syue.com]

　　应该如何取证

　　为了确保证据安全、可信计算机证据国际组织( International organization on Computer Evidence IOCE) 对数字证据采集、保存、检验和传送提出特别要求:“必须使用有效软硬件进行采集和检验；数字证据采集、检验、传送全过程都必须有记录；任何有潜在可能对原始数字证据造成改变、破坏或毁坏活动必须由有法律上承认有资质人进行对现场计算机个处理原则是已经开着计算机不要关掉关着计算机不要打开如果现场计算机是开着应避免使屏幕保护激活检查屏幕上活动如果发现系统正在删除文件、格式化、上传文件、系统自毁或进行其他危险活动立即切断电源

　　现场取证时应当记录系统日期和时间、主存内容、当前执行进程列表、在端口提供服务列表、当前系统内用户列表如果是联网系统还应收集当前连入系统用户名和远程系统名还应当尽可能记录使用者个人情况、用户名、口令、密码等

　　对于计算机硬盘数据使用专用取证工具进行硬盘复制在实验室对备份硬盘进行检验采集证据原始硬盘封存保管对于取证用计算机要进行病毒检测防止病毒传染到被检测计算机

　　计算机取证方面存在问题整理总结:

　　计算机取证技术是相关法律法规赖以实施基础是我国全面实现信息化重要技术的但现在还存在以下问题:

　　(1)计算机取证涉及到磁盘分析、加密、数据隐藏、日志信息发掘、数据库技术、介质物理性质等多方面知识取证人员除了会使用取证工具外还应具备综合运用多方面知识能力

　　(2)在取证方案选择上应结合实时取证和事后取证两种方案以保证取证效果因此可以将计算机取证融合到入侵检测等网络安全工具中进行动态取证这样整个取证过程将更加系统并具有智能性

　　(3)计算机取证只是种取证手段并不是万能因此应和常规案件取证手段相结合比如询问当事人、保护现场等从而有效打击计算机犯罪

　　(4)到目前为止尽管相关部门早已进行了计算机安全培训但还没有套成形操作规范标准使得取证结果可信性受到质疑为了能让计算机取证工作向着更好方向发展制定取证工具评价标准和取证工作操作规范标准是非常必要

延伸阅读