計算機調查取證分析篇

前言

在計算機取證的採集篇中，我們側重講述了證據採集方面的內容，計算機調查取證的另一項重要工作就是對採集的「電子證據」進行分析。單憑原始證據是無法滿足訴訟要求的，我們必須進行正確的處理以對惡意行為進行還原；因為即使對專業人士來說，電子證據也是隱晦而難於理解的。下面我們就著重向大家介紹一下計算機調查取證中的分析工作。

我們分析什麼

通常在完成了證據採集工作之後，我們會獲得乙份被調查機器的介質映象，很多時候還會獲得一些記憶體內容的收集，以及在被調查環境提取的口述資訊和情況記錄等等。與傳統證據一樣，電子證據應該是準確完整的，只有具備足夠可信性的證據才會受到認可。假如我們把現場取證的磁碟映象連在膝上型電腦上就可以直接瀏覽到***記錄，那可真是太棒了，不過絕大多數情況下我們沒有這樣的好運氣。被調查者的技術水平越高、經驗越豐富，有用的證據就越難獲得。它們可能被刪除了，或者藏在不容易找到的角落，也可能經過了加密，我們需要跨越重重阻礙，將證據發掘出來。下面我們以最常見的情況 – 我們有被調查計算機的硬碟映象 - 為例介紹分析證據的基本方法，對於一些特別情況我們會在講述的過程中為大家特殊說明。

開始之前

首先我們要確認我們正在分析的確實是映象的副本，絕對不能在原始映象上進行分析工作。在副本上我們可以更加放鬆的進行分析而不必擔心會危害原始證據，如果映象副本被破壞，我們可以很容易的再建立乙份。在這裡我們建議在分析工作開始之前建立兩份副本，乙份用於馬上開始的分析工作，乙份留待意外情況發生時做為重建副本的「源」，之所以建立第二份副本是因為我們必須盡一切可能減少對原始映象的訪問，這是原則。

開始正式的分析工作之前，我們要為磁碟映象生成乙份md5記錄，這一工作一定要在對映象進行任何操作之前進行，如果我們對映象中的檔案執行了列表命令甚至開啟了其中的檔案，那這份列表就會失去其應有的價值。

基礎分析 - 看看我們都帶回了什麼

將磁碟映象接駁在我們的分析工作站上，我們先檢視該映象的分割槽格式，以大致了解需要用到的分析工具。很多時候我們使用linux等作業系統以唯讀形式掛載需要分析的映象，這樣可以防止不經意的操作對映象造成破壞。

隨後我們可以對整個檔案系統進行遍歷式的瀏覽，以大致了解被調查系統的情況。如果我們是在調查***者的計算機，通過應用程式的部署情況我們可以了解其技術能力甚至分析出其破解系統的習慣；如果調查的是乙個被攻破的internet的主機，我們即使無法發現隱藏的***工具，至少也可以獲悉哪些內容可能對***者具有吸引力這樣的資訊。乙個好的習慣是在分析的每個步驟都將結果輸出成檔案。比如利用如下命令將映象中的檔案列表匯出：ls /mnt/20050102 -alr > /home/forensic/list.txt。這樣我們不但擁有了乙份方便查閱的記錄，而且還可以在這個列表中對檔名、時間進行搜尋，這對後續的分析工作很有幫助。

在進行分析之前，我們假定已對發生的事件及相關人員進行了調查，這些資訊了解的越充分，我們在分析證據時就越有目的性。畢竟能夠縮小搜尋的範圍，比漫無目的的遍歷要省時的多。例如可能有一些關鍵字值得去搜尋，這些關鍵字可能是姓名、數字或者二進位制程式的某個獨一無二的指紋。關鍵字的選擇需要特別的注意，過於常見的關鍵字會造成返回的搜尋結果過多而無法進一步開展工作，關鍵字太過生僻則很可能無法獲得可用的結果或遺漏一些有用的內容。除了搜尋資料內容之外，這些資料的時間屬性也可以提供非常重要的訊息。大部分作業系統中的檔案都具有建立時間、修改時間和最後被訪問時間等屬性，這些對還原系統中發生的事件很有幫助。例如我們通過詢問相關人員或檢視日誌檔案獲知***行為大致在某日的23:00左右發生，我們就可以通過設定搜尋條件來找出在這一時間點前後的乙個範圍內修改過的檔案，從而獲得更進一步的證據。

除了顯見的資料內容之外，還有一些地方可能存在資料。我們知道，作業系統在刪除檔案的時候其實並非將資料從磁介質上徹底的抹除，而通常是重置相應簇的目錄表及檔案分配表；這樣作業系統就認為該簇處於空白狀態，是可以被寫入資料的；而其實舊有的資料內容仍舊儲存在磁介質上。例如，一些應用程式會在儲存資料的時候會把目的簇中的舊有資料囊括進來，我們如果搜尋這個檔案，就可能獲得一些作業系統認為已經被刪除了的資料；而大部分檔案占用的最後乙個簇通常沒有被寫滿，在這個沒有寫滿的區段裡就可能含有有用的證據，而這些內容也是無法被通常的應用程式識別的；同樣，只要不是全新的磁碟，在其未分配空間、分割槽表中都有可能存在著資料；另外值得一提的是，除了刪除的檔案並不一定真的被「刪除」之外，即使乙個檔案簇被其他資料完全覆蓋掉，其原有的資料的痕跡仍有可能被讀取出來，在擁有專業裝置的情況下，被格式化的磁碟以及被資料覆蓋多次的磁碟都存在很多可以被恢復的「歷史資料」。這些都是我們需要分析的地方，不要小看這些可能只有幾十位元組的「碎片」，有時很多碎片拼接起來會揭示驚人的事實，而且很多情況下只是幾個字元的發現，就可能使情況完全改觀。在分析這類非常規資料的時候，我們的必備工具是帶有強大搜尋功能的、支援多種進製的編輯器，ultraedit32是其中的佼佼者之一，class unix平台下還有很多提供類似功能的軟體包，大家可以選擇自己習慣使用的。

聯機分析 - 象一種藝術

靜態的分析和搜尋通常不足以獲得滿意的結果，我們還需要利用映象檔案還原其實際的執行環境，在該環境中繼續尋找證據。有很多任務作在聯機環境才能進行，比如檢視windows系統的登錄檔設定、驗證linux系統的核心完整性等等，我們可能需要在聯機環境下監測很長時間，才能發現非法使用者設下的機關。這一階段的工作和我們檢查系統安全狀態時所做的非常類似。我們說過計算機調查工作沒有定式，在每完成一項操作之後我們都需要選擇如何繼續，很多情況下我們手頭的東西不足以達到最終目標，這時千萬不要把眼光侷限在眼前。放開思維，我們大可以重新進行一次證據採集，因為不可能每次採集工作都沒有遺漏；在調查internet主機時，我們也可以將在映象副本上執行的系統重新聯線，因為***者在取得了成果之後通常都會回來享用它，我們可以開啟乙個嗅探程式，為***者設下陷阱，以獲得有效的證據；在我們獲得可疑的***位址時，可以沿著網路進行回溯，向其所經過節點的管理員索取日誌檔案和其它資訊。總之，我們有數不清的方法和工具可以利用，也有無數的選擇在等待著我們，有時候這種工作真的象藝術一樣。

最後，在我們工作了很長時間並獲得了大量內容之後，還要對其做為證據的可能性進行現實的評估。這往往需要考察所獲得的資訊和我們正在調查的事件有多大的關聯，判斷我們是否已經能夠說明是誰在什麼時間做了什麼以及造成了何種後果。只有獲得足以充分說明非法行為的證據，並能夠完整還原被調查事件的情況下，計算機調查取證工作才是真正成功的。雖然在真實世界裡並不是每一次調查工作都能達到這麼完美的效果，但這始終是計算機調查人員的唯一目標。

結語

計算機調查取證分析篇

計算機取證

計算機取證技術

計算機取證概述

計算機調查取證分析篇

計算機取證

計算機取證技術

計算機取證概述

相關推薦