申明:本文作者为郭弘、徐志强,出版于2016年3月《保密科学技术》第66期,引用或转发本文内容请注明出处。
电子数据取证技术在国外已经发展了三十多年,早期主要在欧美执法部门和司法机关使用。大多数的商业化取证工具则是在2000年后研发并在实战中投入使用。国际上比较知名的电子数据取证企业有Guidance Software、AccessData、MicroSystemation、Paraben、Logicube、ICS、X-Ways、Cellebrite、Oxygen等。随着电子数据取证技术的日益成熟,以及越来越多的执法人员加入企业,从事合规调查、反欺诈调查、稽核监察等内部调查,该技术逐步被越来越多的国内外知名企业所接受,并用于企业的内部调查。
当前,中国在电子数据取证领域的研发实力和技术积累已经走在国际前列,拥有了包括电子数据取证的硬件(硬盘复制机、只读锁、取证工作站)以及取证软件(计算机取证分析、手机取证分析)等全系列自主研发的取证产品,成为继美国后第二个拥有电子数据取证软硬件综合研发能力的国家。中国的电子数据取证实验室预计已经超过600家,并逐步通过资质认定和实验室认可来进行规范管理。
硬盘复制机、只读锁、取证工作站等装备是电子数据取证过程中常用的设备,有些设备体积小,便携性好,常用于现场勘查取证;有些则体积较大,适用于固定场所(如电子数据取证实验室)。当前,硬盘复制机、只读锁及取证工作站等取证产品已经相对成熟,接口也相对比较齐全、速度不断大幅提升,但是在技术升级及应用方面缺乏创新。随着欧美电子数据取证市场的日益饱和,电子数据取证厂商的业务拓展举步维艰,研发投入也大幅减少,这也是导致电子数据取证软硬件装备创新不足的主要原因。
硬盘复制机,又称为克隆机,是电子数据取证中最常见的镜像设备。它基于位对位(bit by bit)方式对硬盘进行复制。硬盘复制机一般有源盘和目标盘两种接口分类,源盘接口通常启用写保护模式,目标盘则是读写模式。早期硬盘复制受限于硬盘I/O性能,多数IDE及SATA硬盘复制速度在3~4GB/Min,如同时计算硬盘哈希值(MD5),则性能进一步下降。随着硬盘复制设备硬件的更新换代,SATA/SAS接口的硬盘成为主流,硬盘I/O性能大幅提升,较新的硬盘复制机对机械硬盘进行复制,性能可高达7GB/Min,支持同时计算MD5哈希值且不降低性能。如果对于源盘和目标盘均采用固态硬盘进行复制,速度则可高达26GB/Min以上。当前主流的硬盘复制机多数支持了各种主流接口,包括IDE、SATA、SAS、USB,而SCSI接口硬盘采用转换卡进行转化。
只读锁,又称为写保护设备,对应英文名称是Write Blocker或Forensic Bridge。只读锁分为硬件只读锁和软件只读锁。由于软件只读锁是通过软件来实现存储介质的保护,系统环境不可靠可能造成无法安全保护数据。因此在司法取证领域,为了确保可靠性,通常建议采用硬件只读锁。
早期的只读锁主要采用USB2.0及Firewire(火线)接口,随着硬盘容量的增长,其传输速度跟不上实际的需求,逐步采用eSATA及USB3.0接口。虽然数据的读取速度得到大幅提升,但是数据传输仍然存在带宽限制。此外,由于之前的USB3.0芯片控制器技术不是很成熟,部分只读锁在使用一段时间后,会产生设备发热、接口连接不牢固及其他外界因素导致设备可靠性较差的情况,导致硬盘镜像时,出现数据获取不完整或哈希校验不一致等问题。
目前,市场上主流的只读锁设备分为两类:单一接口只读锁和多功能综合只读锁。常见的多功能综合只读锁支持对IDE、SATA、SAS、SCSI、USB、Firewire等接口的存储介质进行写保护。此外,也有针对数码设备存储卡(SD卡、记忆棒等)进行写保护的存储卡只读读卡器。
早期,电子数据取证人员通常需要携带大量的取证设备前往涉及电子证据的案件现场,这些取证设备包括:硬盘复制机、只读锁、取证软件及笔记本电脑,它们都是电子数据取证勘查箱中标配的工具。由于这些取证设备或软件相对独立使用,因此,取证人员需在多个不同设备或软件之间切换操作,流程繁琐且效率低下。此外,硬件只读锁与笔记本电脑的连接还经常存在接口连接不牢靠的现象,经常出现意外状况导致数据获取或数据分析中断,浪费了大量时间。针对现场勘验的问题与现状,国内厂商将硬盘复制机、只读锁、取证软件及笔记本电脑等软硬件结合起来,于2010年研发并推出取证一体机,将硬盘复制、计算机取证分析、动态仿真取证三大功能结合,让取证人员在现场通过一台专业设备即可完成电子数据的证据固定、数据的快速分析、深度分析以及动态仿真取证等工作。取证一体机从2011年开始广泛被一线取证人员所接受,在国内众多执法部门广泛使用。
取证分析工作站一般是电子数据取证实验室中的重要组成部分。由于计算机取证分析离不开高性能的工作站,因此,国外的取证集成厂商(如Digital Intelligence)研发一系列取证分析工作站。这种工作站集成了电子数据取证常用的只读接口及计算机取证分析软件等,便于取证人员进行各种镜像及数据分析。在国外,电子数据取证的人员分工较为细致,现场勘验人员和数据分析人员一般由不同人来处理。因此国外取证分析工作站多数只配备一个多功能综合只读锁,设备主要的目的是提供高性能处理能力,即使需要做硬盘镜像,也只是逐个硬盘进行制作,未采用并行制作方式。不管是使用硬盘复制机还是采用取证分析工作站,通常只能一次对1至2个硬盘进行镜像,效率较为低下。
在中国情况则有些不同,执法人员在案件调查过程中经常遇到大量的硬盘需要进行证据固定及取证分析的情况,某些案件可能一次性就要处理几十甚至上百个硬盘。因此,取证人员需要能一次性并行对多个硬盘进行镜像以及并行高效分析的取证工作站。
在计算机取证分析软件方面,除了美国Guidance Software公司的EnCase、美国AccessData公司的FTK,还有德国X-Ways的X-Ways Forensics,这三款软件是目前国际上比较主流的计算机取证分析工具,功能上也不断丰富和完善。EnCase在全球拥有最多的用户群,并拥有一定数量的EnScript脚本编程爱好者,深受欧美专家级调查人员喜爱,其条件表达式(Conditions)可自定义程度高,使用起来非常灵活。而FTK则操作简单,过滤器也相当灵活,能满足调查员各种过滤要求,此外取证结果集中汇总进行查看,相当直观,无需过多的培训即可实现主要的数据分析目的。X-Ways Forensics则是一款轻量级计算机取证工具,软件无需安装,功能也十分强大,具备EnCase、FTK的大部分功能,其在数据恢复、图片模糊搜索及肤色检测、视频抽帧等方面有自己的特色。
此外,俄罗斯Belkasoft也研发了Belkasoft Evidence Center计算机取证分析工具,其特点是支持众多国内外即时通讯软件、浏览器、电子邮件客户端工具的数据解析。一直专注于电子邮件取证分析的澳大利亚Nuix公司也开始尝试将其产品Nuix转变为综合取证分析软件,推出Nuix Investigator产品,功能也十分强大,具备EnCase、FTK等常见取证功能,支持上网记录分析、系统痕迹分析、注册表分析、视频抽帧等功能。
在中国,上海盘石SafeAnalyzer是国内最早的计算机取证分析产品,早期吸收借鉴了国外取证软件EnCase和FTK的优点,是一款功能齐全、操作简单的计算机取证分析软件。 美亚柏科 “取证大师”将静态取证、自动取证、动态取证等功能集成于一体,已成为国内电子数据取证分析人员必备的分析系统。
国产计算机取证分析软件与国外取证软件(EnCase、FTK、X-Ways Forensics)相比,实用性较强,能支持本地应用软件的取证分析。主要体现在除了支持国外主流的各类应用软件解析,还支持国内本地化的各种软件的数据提取与分析,能快速解析国内各种浏览器(IE、Firefox、Chrome、360浏览器、猎豹浏览器、世界之窗等)的上网记录信息,快速提取各种网络下载工具的下载记录信息,免密码提取多种即时通讯软件(Skype、MSN、汪汪等)聊天记录信息,有效分析多种客户端(Outlook Express、Office Outlook、Foxmail、网易邮等)的邮件内容。
随着大容量硬盘的日益普及,取证人员面向的数据成倍增长,计算机取证的方式将逐步从传统的单兵作战转向协同作战。可以预见,未来几年,分布式取证与协同取证将成为取证的新模式。分布式取证涵盖了计算机分布式取证、分布式密码恢复取证。目前,分布式计算机取证系统主要有美国AccessData AD Lab产品和美亚柏科的“取证金刚”,而分布式密码恢复系统主要有美国AccessData的DNA、俄罗斯Passware Kit Forensic、俄罗斯Elcomsoft Distributed Password Recovery、美亚柏科“极光”系统,目前几个厂商的产品均支持硬件(GPU、FPGA)加速,相比传统的分布式密码恢复要提高好几个数量级。
分布式处理数据快速自动找出所需的证据是分布式取证的一个发展方向。AccessData公司的AD Lab (早期名为FTK Lab)是一款基于FTK取证分析软件研发的分布式取证系统,采用MSSQL Server作为数据存储服务,具备利用多个计算机节点协同分析同一个证据文件或多个证据文件的能力,并提供了用户权限管理、多用户协同分析、Web审阅、电子邮件去重及增强OCR识别等功能。
大多数计算机取证软件(如EnCase、FTK、X-Ways Forensic)支持Mac OSX文件系统解析,然而对系统中的应用程序数据解析支持甚少,多数只会提取日志文件,也没有提供分析所需的功能。正是因为主流取证软件对Mac OSX支持较弱,国外的SubrosaSoft、BlackBag、Sumuri等公司研发了针对苹果取证的工具。此类工具基本分为两种,一种是在线获取数据,如SubrosaSoft LockPickup、Recon for Mac OSX、BlackBag MacQuisition及Katana Lantern Imager,第二种是离线静态数据分析,如MacForensicLab、BlackBag Black Light、Katana Lantern 5等工具。
近几年,国内的取证厂商也均研发了针对苹果取证的产品,如盘石软件SafeImager苹果版,支持通过LiveCD启动Power PC和Intel架构的苹果计算机,支持对硬盘的全盘镜像及各类数据的获取及解析。美亚柏科DC-8670多通道高速数据获取设备支持通过ThunderBolt、USB3.0及火线等多个接口并用,快速对苹果计算机进行全盘镜像制作,而苹果系统Mac OSX的取证分析则使用计算机取证分析工具“取证大师”来进行分析,支持对Mac OSX下的多种邮件客户端、浏览器、聊天工具及系统信息进行数据的解析。
随着移动终端的迅速发展,利用移动终端进行各类非法或犯罪行为呈上升趋势,这使得电子数据取证的主要目标从存储介质向移动终端延伸。由于移动终端更新换代速度非常快,操作系统多样,且移动终端的运行机制不同于传统计算机设备,因此移动终端取证设备的开发难度超过介质取证设备。从近几年的案件发展趋势来看,未来一个时期将会是移动终端取证快速发展的黄金期。
2014年5月,美国国家标准与技术研究院NIST发布了移动终端取证的操作指南NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》,将移动终端的取证分为5个层次:微读、芯片分析、十六进制镜像/JTAG、逻辑分析以及人工分析。
NIST发布的《移动终端取证的操作指南》NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》还列出了一些移动终端取证设备对应支持的提取层级。表1列出了几款主流移动终端取证设备对应支持的提取层级。
手机系统仿真是目前手机取证中的一种新兴的技术,手机仿真取证是指通过提取手机系统数据,在专用取证设备上运行手机仿真器,模拟手机运行环境,运行并登录手机应用程序,进行数据浏览和分析。同时,在仿真过程,可实时抓取应用程序的通讯数据,分析应用程序的行为特征。整个仿真过程不破坏手机环境及用户数据,对案件手机数据起到有效的保护。
手机动态仿真取证的应用价值体现在以下四个方面:(1)手机在线仿真、截图辅助证据:提取手机应用数据进行在线仿真,通过仿真模拟器查看手机QQ、微信、新浪微博等数据,进行调查分析并截图作为取证报告辅助证据,且不破坏原有手机数据的完整性及有效性。(2)手机镜像离线仿真、截图辅助证据:手机提取镜像后,归还嫌疑人后,通过手机仿真系统,可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、微信、新浪微博等数据,进行调查分析并截图取证。(3)查看微信红包、公众号文章等详细信息:由于微信红包数据只保存在服务器,本地为实时读取,数据库不保存,因此无法通过手机取证系统提取微信红包详细信息。此时,可以通过手机仿真系统仿真后联网查看,可以查看红包的金额、个数等信息,广泛应用在近期打击利用微信红包进行网络赌博的违法行为中。其他如微信公众号文章等信息,同样可以通过手机仿真系统在线浏览和截图取证。(4)手机木马及恶意软件分析:在联网情况下,手机仿真系统可以实时通讯抓包,生成的抓包文件可以用第三方Wireshark软件进行数据包分析,可用于手机木马、恶意软件分析及安全调查。
在移动互联网、云计算以及物联网为代表的新一代网络快速发展的背景下,网络社会与物理社会相互交织、融为一体,改变了传统的互联网计算模式和体系结构,也改变了传统的取证方式。如何研制出在新型网络环境下进行电子数据取证的工具成为取证厂商亟待解决的一大难题。因此,加大电子数据取证工具的研究力度势在必行。展望未来,电子数据取证工具将会向着以下几个方向发展:
如今,电子证据以不同形式分布在计算机、路由器、入侵检测系统和移动存储等不同设备上。此外,数字设备的存储能力以超过莫尔定律的速度增长,经常涉及海量数据,如果依靠人工来实现,取证的速度和可靠性将大大降低。所以,未来需要功能更强、速度更快、自动化程度更高的取证工具,才能有效进行电子数据取证。取证工具也将不断利用数据挖掘、人工智能以及硬件加速技术(如多核技术等)增强其智能化,以应对大数据量、复杂数据的取证分析能力。综上,取证工具必须高速化、自动化、专业化与智能化,才能提高和满足不同领域电子数据取证调查需求。
目前,取证工具对于手机取证领域的固有难点,如删除图片恢复、密码破解等,依然存在短板。因此,新型智能终端的数据删除恢复也是取证工具研究的重要方向,主要包括基于镜像的签名恢复。另一方面是针对应用数据的存储容器如SQLite、ESE进行记录级的删除数据恢复,恢复已删除的应用APP数据等。随着检验技术的发展,可以预见在未来将会有一定程度的突破。
此外,智能手机上会有更多的数据加密以保护个人隐私和企业数据,这将使取证更具挑战性。Android5.0采取的全盘加密、国产手机的自主安全机制(联想、华为、小米等),虽然都基于Android操作系统,但却为取证工作带来不少困难。苹果取证领域虽然近一段时间在数字密码暴力破解方面有一定突破,一旦系统漏洞修复,苹果的取证将依然成为业内难题。在未来几年,能帮助找到避开密码和设备锁方法的手机取证工具以及先进的加密技术将是发展趋势。
移动互联网将全球计算机网络、移动网络和物联网等连接在一起,加上网络访问具有较强的隐藏性以及匿名性,使得远程跨域取证异常困难。当前有很多基于IDS的取证系统以及网络取证系统,但是这些系统的取证范围也常常是一些较小的单位网络,如政府、企业网等。对于跨域发生的安全事件来说,如何进行取证、如何进行远程跟踪事件等目前缺乏有效的方法。因此,研究有效的远程跨域取证工具将成为电子数据取证中的一个研究方向。
随着移动终端类检材的主流趋势,可以预见的是现场取证工具将不再局限于计算机类检材的数据快速获取和指定类型数据的恢复获取。随着手机与个人电脑概念的趋同,现场取证工具必定在原有基础上,涵盖手机、计算机、平板等数字产品的证据固定和快速获取功能,这也必将是现场取证工具的发展方向。现场取证工具也将进一步结合后端平台,实现高性能计算、高度智能化等功能,现场获取的数据可直接进入平台,并实现综合的案件线索情报查询及关联分析。
随着科技的快速发展,已经涌现了各种智能设备,如智能手表、智能手环、智能眼镜、智能家电、智能汽车、智能自行车、无人机、增强现实(AR)和虚拟现实(VR)等智能设备。各类智能设备的硬件、软件系统都将不断升级,对于电子数据取证来说,如何获取智能设备中的数据、解析其数据内容,分析出使用者的行为、轨迹、发生的事件等均是未来研究的方向。
随着移动智能终端、可穿戴设备及非智能嵌入式终端等普及应用,越来越多的案件调查涉及此类设备。设备若出现故障、无法通过正常的通讯接口获取数据或遇到有安全保护措施(如密码保护),往往需要通过将芯片拆卸并获取其数据内容。研究各类芯片取证技术,包含芯片物理提取、数据获取、数据解析、数据恢复和镜像仿真技术是电子数据取证的未来研究方向。
电子数据取证技术是一门跨领域的综合性学科,因此必将通过和其他数字技术进行结合才能取得发展,要克服当前的局限性就要吸收多学科的研究成果。随着移动互联网技术、云计算、大数据以及物联网技术等各种新技术不断涌现,必将对电子数据取证技术的发展产生较大的影响。而在这种情况下,只有通过有效的结合手段才能推动电子数据取证技术的发展。因此,电子数据取证工具也必须要结合人工智能、机器学习、神经网络和数据挖掘等技术进行开发,这也是取证工具今后的发展方向之一。
