取证技术和工具的研究

   1.2.5 取证技术和工具的研究
　　
　　美国等网络技术发达国家开展计算机取证相关的研究已有多年的历史，积累了许多经验，成立了许多专门的计算机取证部门和实验室。1984年美国FBI和其它法律执行部门开始建立检查计算机证据的实验室。目前，至少70%的法律部门拥有自己的取证实验室。
　　
　　从取证过程的角度看，根据DFRWs的综合模型框架,取证技术可以分成六大类，如表1一1所示。

　　国际上计算机取证的研究方向主要包括对取证模型的研究和完善；将入侵检测、入侵诱骗等技术结合到网络取证中以实现动态取证；从海量的网络通信流及日志中过滤和发现反映计算机犯罪的证据；利用人工智能、神经网络以及数据挖掘等技术对证据进行自动分析；取证追踪技术；无线环境取证技术；手持设备取证技术等。

　　在取证系统和取证工具研究方面，有很多专门从事计算机取证的研究机构和公司研制出了许多非常实用的取证工具和产品，其中很多都已成功地应用于实际。如美国Gu1danceSoftware公司研制的EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的法律执行部门在使用它。己经成为计算机取证的行业标准工具，它是一个WIndows系统下用于取证数据收集和分析的系统，功能包括数据浏览、搜索、数据预览、建立案例、建立证据文件、保存案例等。美国的ComPuter Forensies Ltd开发的DIBS产品是一种数据镜像备份系统，使用独特的数据镜像查证和鉴定技术，确保单独复制的绝对安全性和完整性。英国Vogon公司开发的F1ight Server主要用来进行证据的收集和分析。美国的Sandstorm公司开发的Net1ntercePt网络取证系统可获取和分析网络数据，并进行数据恢复，能产生详细的报告，可支持60多种网络协议格式。Earth1ink网络的Dan Farmer和IBM公司Wietse Venema开发出了基于Unix的取证工具包TCT,对文件的最近修改和访问时间进行分析，并根据数据节点的值提取出文件列表，恢复被删除的数据，取得系统中所有文件的属性信息。NewTechno1ogies公司开发的SafeBack是一个高级的证据保存工具，被美国联邦执法部门用来处理计算机证据。另外还有美国AccessData公司的FTK,德国X一ways公司的X一ways Forensics,澳大利亚Nuix公司的FBIForensieDesktop等都是非常优秀的取证工具。国内较早的有中科院高能物理研究所计算机中心推出的“取证机”模拟机，随后国内市场上推出了几款计算机取证系统，包括上海金诺网安的计算机犯罪取证勘查箱、深圳中科新业的网络入侵取证系统、中软公司的网络信息监控分析与取证系统等。
　　
　　1.3 网络取证存在的问题
　　
　　国外各研究机构与公司开发的计算机取证工具主要覆盖了电子证据的获取、保全和归档的过程，相关的研究集中在如何提高电子证据搜集、保全、鉴定、分析的技术上。网络取证方面目前还没有一个有效的取证体系结构，在证据的收集和分析方面也由于证据本身的特点，还存在很多问题。
　　
　　1.网络流量或日志不适合直接作为证据
　　计算机网络是一个复杂的系统，网络中存在着数量众多且种类也繁多的网络设备，每一台设备可能会对经过其的流量以及涉及到的网络活动记录日志，但每一台设备上的日志仅仅反映了从该台设备的局部视角所观测到的一些活动，不能全面地反映一个完整的入侵活动行为。而且由于IDS等系统在技术实现上的原因，存在一定程度的误报、漏报和冗余信息。因此不适合直接作为证据。

　　2.取证环境不可靠
　　目前很多网络取证研究是基于入侵检测系统，以入侵检测系统的日志作为主要证据来源。但其研究中都是认为系统状况一直是可靠的，没有考虑入侵会对系统状态有影响，事实上，在系统被入侵时，取证环境是不可靠的，取证过程是会受到影响的。

　　3.取证不全、证据不完整
　　虽然动态取证技术是目前网络取证的主要技术方向，但传统的动态取证仍存在取证不全面、不完整的问题。动态取证虽然在入侵之前就开始收集证据，但往往在发现入侵的情况下为了系统的安全就切断入侵，开始进行取证分析，这样无法观察到入侵的下一步进展，就无法获得更完整的描述入侵的证据。

　　4.缺乏对入侵后果的分析
　　收集并分析有关证据信息是计算机取证中一个为人熟知的方面，另外，如果要将所调查的行为定性为计算机犯罪，必须能够说明这些行为造成了足够严重的后果，这样，这些行为才有可能被控为计算机犯罪。因此，评估所调查的恶意行为或可疑行为造成危害的程度也是取证中非常重要的一个方面，但常常在技术处理方面没有引起足够的重视。

　　5.维护监督链的要求
　　计算机的取证原则中有一条非常重要的原则是要维护监督链，主要是强调电子证据从提取到最后出示的过程必须是受到保护的。如何实施一套从提取、传输、分析到存储的整个过程的完整监督链，在技术层面上也缺乏权威的、完整的方案。

返回本篇论文目录查看全文    上一章：自适应动态网络取证方法研究 绪论    下一章：论文的研究目标创新及组织结构