摘 要:摘要:计算机中有些数据的存在有很强的时效性,因此在取证中需要及时的收集这种易丢失的数据,本文首先介绍了易失性数据的相关概念、特点、等级、易失性数据的收集与保全原则和一些常见的易失性数据收集工具,然后重点讨论了如何通过专用的取证工具盘对计算机中易失性数据的收集。
关键词:关键词:计算机取证;易失性数据;收集
中图分类号:TP274 文献标识码:A 文章编号:
1.引言
在计算机犯罪中,由于一些犯罪证据非常容易被彻底的删除销毁,从而给计算机取证带来了非常大的难度。一般来说,从计算机证据的时态性分类,可将计算机证据分为三种;即易失性数据,硬盘数据和网络数据。其中,易失性数据是指,系统在某一时刻的详细状态信息,包括用户登入列表,登入日期时间,运行进程列表以及网络连接列表等信息。但是,这些数据都具有很强的时态性,而其证据分析难度低,因此,获取这些证据的紧急性最高,所以必须最先获取,以免意外情况造成易失性数据的丢失。
2.易失性数据的相关知识
2.1 易失性数据的特点
(1)隐蔽性。计算机系统中的各个地方都可能存在着计算机证据,而数据在计算机中是以二进制代码形式进行存储和传输的,所以人们不能直接感知,隐蔽性很强。
(2)客观性。如果没有外界对数据故意的篡改,计算机证据将很少受影响而发生变化,所以,一般计算机证据具有较强的证明力,能准确是反映案件的事实。
(3)脆弱易逝性。计算机证据很容易受外界刻意的窃取、修改和销毁,且几乎不留痕迹。此外,计算机中的有些数据是动态存在的,所以,它有很强的时效性,这些数据可能随着时间的推移而改变或消失。
2.2 易失性数据的等级划分
当从正处于运行的计算机中收集计算机证据时,一定要考虑各软硬件中数据易丢失的顺序,即易失性数据的等级。对易丢失等级越高的数据,如果不及时处理,那么这些数据被修改、丢失的可能性就越大。各种数据的易失性数据等级如图1所示:
图1 易失性数据的等级
3.易失性数据的收集和保全
3.1 易失性数据的收集
易失性数据收集必须遵循如下原则:
(1)保证数据的原始性。即数据是从计算机上逐位比特的复制。
(2)保证在数据分析和数据传递过程中的完整性。
(3)保持证据的连续性。即在证据从最初的获取状态到被提交到法庭的过程中,必须能详细说明期间证据状态的所有变化。
(4)取证过程的合法性。整个取证过程必须受到全程的监督。
(5)取证过程和结论能够在另外一名取证人员的操作下重现。
3.2 易失性数据的收集步骤
易失性数据收集可按如下步骤进行:
(1)取证准备。即取证工具的准备、调查小组的建立和收集策略的建立等。
(2)建立概要文档。包括建立取证概要文档和证据收集日志等。
(3)决策的核实。主要包括:①确定调查人员在证据收集过程中的权力范围。②确定证据收集的主要方式。
(4)确定易失性数据收集策略。包括确定易失性数据的类型、确定证据工具和技术、确定收集信息的输出和存储的位置以及建立可信的命令解释程序。
(5)易失性数据的收集。
3.3 易失性数据保全原则
证据的保全即数据的保护与保存,在计算机取证的整个过程中,必须保护所有的数据不能被修改,不能使数据受到任何的破坏。因此,为了证据证明力的最大化,就必须确保数据绝对的安全。在易失性数据保全过程中,必须注意以下几个原则:
(1)合法性;包括了方法的合法性和程序的合法性,即证据保全中应与必要的诉讼程序紧密联系,同时证据收集、保全及分析的过程中的合理性等。
(2)效率和成本。保全效率是指在保全的全过程中必须严格按照法定的时间要求进行,根据实际情况确定电子证据保全的方法与过程;保全成本是指保全过程中可能需要大量的设备和技术支持,使得保全的成本非常很高。
(3)及时性。电子证据具有很强的实效性,如果未在特定的时间内及时保全数据,可能照成证据消失而无法提取。
(4)完整性。包括电子证据数据本身完整未被改动以及其所在的计算机系统的完整性。
(5)最小破坏。即在电子证据保全的过程中,最大限度的保护设备以及系统不被改动和破坏,保证证据的原始性。
4.易失性数据收集范畴及实施
4.1 易失性数据包含的范畴
易失性数据主要包含的数据有:(1)描述计算机的基本配置信息的系统概要文件。如:计算机操作系统的版本、型号、安装时间、系统目录、系统注册用户、物理内存、安装的硬件及其配置和安装的应用软件等。(2)当前系统的日期、时间等记录。(3)计算机从上一次启动到现在一共运行的时间,用于确定收集的易失性数据是否具有一定的价值。(4)当前系统运行进程列表,可能会发现一些恶意进程、未授权的软件及已终止的合法进程。(5)登录用户最近的活动记录。(6)启动文件和剪贴板中的数据。
4.2 易失性数据收集的实施
在取证过程中,首先要准备一个专用的取证工具盘,如I盘,里面包含常用的取证工具:如cmd.exe、MD5sum.exe、date.exe、time.exe、systeminfo.exe、psinfo.exe、netstat、Listdlls.exe、PsLoggedOn.exe、ipconfig.exe等。然后按下面的方法进行数据的收集,最后将所有数据都保存到工具盘中。
(1)首先,在取证前使用MD5sum.exe对专用取证工具盘计算MD5散列值,并生成到指定的文本文件中,这样可对取证前的工具盘内的文件通过MD5值来判断是否作了改变。
(2)取证开始之前,使用date.exe和time.exe命令获取计算机本地日期和时间,将结果生成到指定的文本文件中,并存储到取证工具盘,如图2所示:
图2 获取前系统当的日期和时间
(3)使用systeminfo.exe获取系统概要文件(包括系统初始安装时间、运行时间、BIOS版本、登录服务器、系统目录、注册用户等信息)并生成文本文件保存到指定的取证工具盘中,如图3所示:
图3 运行systeminfo.exe命令
(4)使用psinfo.exe建立一个系统概要文件,获取计算机的软件信息。
(5)确定当前运行的进程文件。可使用netstat命令确定当前进程的可执行文件。使用ListDLLs可确定执行进程的命令行。使用pslist确定进程的执行时间。
(6)使用PsLoggedOn.exe可获取本地和远程登录的用户信息。如账户登录、注销的时间和驻留的系统的时间等。
(7)使用ipconfig获取计算机的TCP/IP配置。
(8)取证结束后,再次计算取证工具盘的MD5散列值。
(9)取证结
束后,再次获取本地日期和时间。
5.总结
本文首先介绍了易失性数据收集的概念、特点、等级、计算机证据的收集与保全规则和一些常见的易失性数据收集工具,然后重点讨论了计算机易失性数据的收集方法。当前,我国计算机犯罪的相关法律和条例还不太完善,随着信息技术的高速发展、计算机犯罪技术的手段也在不断的提高,计算机取证将面临更大的挑战。
参考文献
[1] 李宵声.计算机取证中增强电子证据时态性方案[J]. 通信技术,2008,4:127-128
[2] 杨永川. 计算机取证[M]. 高等教育出版社,2008
[3] 刘凌. 浅谈计算机静态取证与计算机动态取证[J]. 计算机与现代化,2009,6:102-105
[4] 钟秀玉. 计算机动态取证系统模型研究[J]. 微计算机信息,2006,24:42-45