随着网络信息技术的发展,计算机网络逐渐成为人们生活和工作中不可或缺的组成部分,它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天,伴随着计算机网络的日新月异,计算机网络犯罪也逐渐走进了我们的视线。黑客攻击、网络钓鱼,僵尸网络,这些以谋取非法利益为目的的新兴犯罪手段,使人们诚惶诚恐。不仅仅是因为担心数据丢失给企业和个人造成经济损失,更重要的原因是当企业或个人发现了被黑客攻击,被病毒侵害而造成损失后,往往不知道该怎么办,举报到相关部门,又缺乏足够的证据,毕竟这是虚拟的世界,找证据非常的难。这也是本文要和大家探讨的问题:计算机取证。
计算机证据是指在计算机系统运行过程中,产生用以证明案件事实的内容的一种电磁记录物。针对网络攻击事件,可以作为证据有:系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份等等,其中入侵检测、服务器日志是主要的证据来源。从企业信息网络安全建设来看,计算机取证已经成为一个重要的领域。通过检查计算机的访问日志信息,可以了解犯罪嫌疑人在该计算机上做了哪些事情,找到可疑文件;通过黑客工具反向判定,可以追踪黑客动向以及了解黑客活动。
但是从目前的情况来看,网络取证还是非常困难的,因为到目前为止,国家还没有一个成文的相关法规出台。而且现在的犯罪分子也十分狡猾,网络犯罪手段也非常隐蔽多样,以色情犯罪为例,在罪犯建设的站点上,开辟隐藏的色情版块,只给那些老成员访问,有着长期的信任关系才能访问嫌疑人到隐藏版块,其他会员则不可见。有些甚至只有通过2层、3层网络代理才可以访问,还有人使用vpn做加密通道,在肉鸡上放置色情资源,嫌疑人为了证明自己的清白,经常在主页上植入木马程序,自己不光卖流量,还卖信封(信封是指个人信息,visa,信用卡等访问会员信息),当你抓捕他的时候,他能诡辩的声称这个服务器空间是被别人给利用了,自己也是受害者。这些手段和行为在司法机关立案和定罪时,确实很难成为呈堂证供。计算机取证这条道路是漫长而深远的,有时抓获嫌疑人,却因为证据不足而不能定罪,留下的是更多的无奈。
用事实说话
2006年6月,我所在城市的刑侦大队,来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后,曾经来过当地的汽车配件市场中的一个商店,买过一个零件,而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件,该销售软件是广东开发的,操作平台是基于DOS开发的,很BT(BT在这里可以理解成“变态”),竟然还调用了ucdos。经过一些行为分析和操作检查后,发现里面有很多记录,但是很多从登记的人员信息来看都是虚假的,更奇怪的是只有近几天的销售记录,而没有以前的。就打电话给商店老板,老板说这个电脑平时都是用来做销售记录,偶尔听听音乐的,没有人懂电脑的,经过再三的确认,或许有人误操作吧。不过这也难不倒我们,用EasyRacover(EasyRacover是一种数据恢复软件)经过近3个小时的恢复,发现了不少东西。遗憾的是还没发现有价值的信息,在一些数据库文件中发现的销售日期是近来几天的。哎,看下表都已经夜里2点了,抽颗烟,继续分析,期间用了很多工具,还是一无所获。第2天早上,朋友买来早点,等着听我的好消息,我只能两手一摆,没有结果。但是我不死心,因为从我个人研究的角度考虑,肯定还是有内在原因的,商店那边肯定还是有问题。经过再三的询问,终于才知道里面有一个销售人员懂点基本的操作,晚上趁老板不在的时候,看一些自己买的色情影碟,后来机器中了病毒,他怕老板知道,就用了那种ghost版本的winxp安装盗版光盘,哎,就是这个可怕的ghost,造成了永久不能复原,让我们在第一时间损失了获得嫌疑人第一手的信息,经过后来和一些数据恢复专家的探讨,他们说这就相当于一次物理写入,在数据恢复研究领域,物理擦写是无法在还原记录的,就是目前美国也无法完成物理擦写后的数据恢复。
这是我当是第一次做取证方面的事情,虽然是失败了,但是却激发了我很浓厚的兴趣,现在一直也在这个方面做一些研究,有时也和警察朋友一起做些配合。
那么黑客是怎么去消除证据的?
是不是真的象一些黑客电影里面演的那样,把使用的数据光盘放入微波炉里面摧毁,把硬盘锁定,敲任意键都进入数据倒计时自我毁灭状态。说老实话,把光盘放入微波炉里面,消除证据我还没有做过,不过以前和朋友到是真写过一个毁坏硬盘的程序,程序运行的时候要对磁头进行读写,硬盘盘片高速旋转,cpu做大量计算的时候,突然之间停止,杀死他的马达。主要思路是来自对软驱的读写控制,因kill motor 这个命令而想到的,为此也报废了一个硬盘。所以键入任意键,进入硬盘自毁程序,我是认可的。而放入微波炉的那个,想想太危险,就没有做个这样的测试。其实大多数黑客都不是只有一个硬盘的,一般情况下都是有2-3块移动硬盘,把一些珍贵数据放在里面。在他们跑路的时候,用塑料带罩着。放在隐藏的角落,具体什么位置,大家自己去想吧。每个人的思路不一样,我这里不好多做解释。现在还有的一些黑客把资料放在自己的pda手机里面,手机都是二手的,然后在把SIM卡进行擦写,即使我们做了发射基站定位,也还是找不到他们真正的藏匿之所。黑客还喜欢把经过跳转的路由节点都一个个的干掉,把犯罪信息抹除的干干净净。
关注此文的读者还看过:
