2007年末,應邀撰寫了「國外電子證據及計算機取證發展狀況」一文,對國際目前的狀況進行了簡短的評價。回顧2008年,看到此狀況仍未有明顯改變。值2009年初之際,對2008年國際發展狀況盤點一二,並期望2009年能有一個更大的發展。
一、與電子證據相關的硬件產品發展速度減慢美 國、英國,是開展電子證據研究最早的國家,國際目前廣泛應用的計算機法證硬件產品約有80%產自美國、英國。2003-2006年間,是國際電子證據相關 硬件產品發展最為鼎盛的時期,各種硬盤複製機速度從1.8GB到3GB不斷攀升,寫保護接口從單一的IDE硬盤接口,到SCSI、SATA、USB、火線 種類層出不窮,PC、MAC、Linux平台下的取證設備越來越多。取證分析計算機各式各樣,出現了皮箱型、工控型,服務器型等。這些產品的大量出現,對 國際計算機法證技術的發展起到了極大的推動作用。但自2006年開始,國際各國計算機法證相關硬件產品發展速度漸緩,除簡單的升級換代之外,沒有什麼更有 創意的新產品出現。
冷清了一兩年之後,我們看看有什麼新的發展:
1.硬盤複製設備:Logicube公司推出了SuperSonix,一個應有於IT界的硬盤克隆工具,速度可達6GB。這個設備對於調查行業來說可以算個福音,對法證界還無法使用。但是Logicube在民間應用之後,應該很快就推出法證版的型號了。可以期待一下。
2.寫保護設備:ICS 公司推出了Super DriveLock寫保護設備,具有全面的接口,外觀設計和實際功能都很不錯。特別是最新的eSATA接口可以明顯提高速度。
3.2008年,DataExpert推出的硬盤修複診斷破解設備、效率源推出的DC指南針都比較有特色,對計算機取證人員所遇到的故障硬盤有很大的幫助作用。
4. 俄羅斯Elcomsoft推出的GPU解密加速產品也是對冷清的解密市場一劑強心針。北京天宇寧公司將俄羅斯Elcomsoft推薦的個人超級計算引入國 內,將密碼破解水平提升到一個全新的水平。設想一下:擁有960個核心的強大的並行處理能力,計算性能可達PC的250倍。這是一種什麼樣的計算能力呀!
不過大家也要清醒地認識到:不是所有的解密軟件都可以利用到個人超級計算機的解密能力,只有支持專門支持GPU運算的軟件才能夠發揮出這種計算機的強大性能。而目前也僅有將GPU解密運算的發明者Elcomsoft公司才能夠提供這種解密能力。
二、法證分析軟件層出不窮與 硬件發展緩慢相對應,國際電子證據分析軟件產品卻如雨後春筍一般,湧現了很多優秀的產品。老牌法證工具的代表是Encase和FTK,這兩個軟件已經發展 了若干年,基本成了計算機法證的代名詞。美國Guidance公司的Encase軟件這兩年發展勁頭不錯,從4.0、5.0到6.0版,差不多每年推出一 個版本。相比之下,美國AccessData公司的FTK的進展可就相對慢了許多。FTK 2.0版各國用戶苦苦等了快2年,終於問世了,但這個龐大的系統對計算機的要求也實在有些高,使得很多用戶很難適應。
最近幾年,國際上先 後推出了一系列的計算機法證分析工具,如德國X-ways公司的X-Ways Forensics,韓國FINALData公司推出的FINALForensics,澳大利亞的NuixForensicDestop。從歐洲、美國、 澳大利亞這些計算機法證技術的先進國家來說,這些軟件的出現可以說明顯推動了冷清的市場。
國內用戶可能很多人都知道Winhex這個數據恢復和十六進制編輯器。由於電子證據研究離不開二進制、十六進制,也離不開數據恢復,因此Winhex的作 者Stefan將這個產品進一步開發成計算機法證工具。由於其強大的數據恢復功能、靈活的數據編輯能力,快速的升級服務,X-ways Forensics立刻在世界各地受到熱烈歡迎。
Nuix Forensic Desktop更是一個不可多得的數據分析工具,它將關注點放在各行業最為重要、最為複雜的電子郵件及辦公文檔的分析處理上,不僅能夠直接搜索、察看電子 郵件和附件內容,更可以通過圖形方式展示不同用戶之間的信件聯絡關係,加上其出色的多語言支持能力,該軟件已經成為名副其實的法證工具。
三、在線取證工具成為熱門話題最 近結識了F-Response的作者Matthew Shannon,並與幾個組員一起測試了F-Response這個軟件後,發現Matthew先生研製的這款新工具的確有獨到之處。看了幾名國外著名專家 的博客,都對這個軟件有高度的評價。簡單來說,這個軟件是一個在線取證工具的一個突破,他讓過去遙不可及的Encase Enterprise企業版具備的功能,成為了任何一個法證工具軟件都可以實現的功能。而且實現的價格還極為低廉。
現在,X-Ways Forensics已經與F-response結合了,Smart也與F-response結合了,連蘋果機下,都可以與MacForensicsLab 結合。這樣一來,面對Windows, MacOS, Linux三種操作系統,只要具有F-Response單機版,都可以成功實現在線取證。
說 到在線取證,還要說說F-Response與目前常見的在線取證工具的區別。所謂在線取證,就是在計算機處於開機狀態下的取證方法。一般這種狀態下,為了 保證證據的完整性,應該儘量避免去運行額外的程序,以免使操作系統下註冊表、內存、臨時文件中的數據發生更改。但近年來,由於在線取證日趨重要,很多時候 無法向早年國外專家所講的一樣,拔掉計算機電源,然後實施硬盤完整鏡像。一旦關機往往會失去很多重要的內存數據、加密分區數據。因此,現在很多人都在重點 研究在線取證工具。
目前常見的在線取證工具,都是在嫌疑人的計算機中直接運行取證軟件,並自動獲取內存、註冊表中的數據。同時也可以通過 取證軟件,實現對硬盤的完整鏡像。但此種方法缺點在於可能造成內存中、硬盤中過多的信息被覆蓋,影響取證效果。通過,在運行的系統下獲取鏡像,將有可能造 成系統死機,破壞證據的完整性。
F-Response 的方式,是通過網絡連接兩台計算機或局域網內的更多計算機,將任意一台計算機的硬盤或其他存儲介質,以物理磁盤的方式顯示到調查員計算機中,在調查員計算 機中直接運行任意分析工具或鏡像工具,實現對嫌疑硬盤數據的完整獲取。這種方法是最為理想的,而且僅在嫌疑計算機中佔用極少的內存,不會造成死機等問題。 F-Response絕對將是2009年中國計算機法證領域中的一個亮點。大家可以訪問http://www.f-response.com/ 去瞭解更多的情況。
四、計算機法證領域逐步拓寬----手機取證成關注從多年來主要關注的PC、互聯網、局域網,到今天的MAC、數碼相機、手機和iPod,電子證據的研究領域已經越來越廣泛。2007年開始,世界計算機法證界最熱的大概就是三個話題:手機和MAC和Vista。
當 今社會,計算機雖然已經非常普及,但也只能平均幾個人才能擁有一台,但手機的擁有量和更新換代速度卻令人歎為觀止,一個普通人的一生中可能會擁有10餘部 甚至幾十部手機。如此大的擁有量、如此快的更新速度和其中可能發現的各種電子證據,讓世界各國個行業不得不必須全力應對。值得一提的是廈門美亞柏科、上海 盤石公司、韓國FinalData公司,都針對亞洲地區手機型號開展研究,這些研究成果不在歐美國家之下。
FinalData公司開發的Final Mobile Forensics 軟件一上市,就得到美國聯邦調查局等機構的關注,並得到的相關執法部門的認可。目前,該軟件在美國、日本、韓國開始銷售。
最近看到兩篇關於iPhone手機取證的資料。iPhone是目前比較新的手機,受到了國內外用戶的普遍喜愛。對這個設備的取證問題一直到的各國專業人士的關注。
第一篇是MobilEdit! Forensics的報導。目前MOBILedit!已經可以支持第一代的iPhone了。在他們的論壇中有一篇關於「關於如果連接Apple iPhone」的文章。大家可以參考一下:
在 連接iPhone之前,請檢查是否已經在計算機中安裝了Apple iTunes軟件。最新版本的軟件可以從http://www.apple.com/itunes/ 下載。 連接好iPhone和PC的連接線後,運行MOBILedit!,選擇"File" 菜單中"Settings..." ,選擇"Ports" 頁中的"iPhone device" 項。點擊"OK" 鍵開始設備檢測。目前軟件僅支持第一代iPhone。COMPELSON公司在對第一代iPhone增加更多功能支持的同時,也將進一步開發對更新型號的 iPhone手機的支持。
第二篇,是從MacLockPick II的軟件介紹中看到的。剛剛於10月1日正式發佈的MacLockPick II增加了很多的功能,不僅增加了對Windows的支持,還支持對 Apple iPhone的信息收集。在對iPhone的支持方面,MacLockPick II目前可以收集存儲於Apple iPhone手機和其他使用Apple Mobile Sync 軟件的Windows或Mac OS X 操作系統計算機中數據信息,目前可以獲取的信息包括:
1、撥出電話、已結來電記錄,包括電話號碼、通話時長,日期、時間。
2、發送和接收的短信息,包括電話號碼,短信內容和具體時間。
3、IMEI 碼- 移動通信國際識別碼(通常打印在手機電池下面的機身上)
4、TMSI 碼- 臨時移動用戶識別號,
5、IMSI 碼- 國際移動用戶識別碼,保存於 SIM 卡中。
6、國際漫遊狀態 - 手機是否當前設定為漫遊狀態
7、偏愛號碼 - 快速撥號,包含姓名和號碼
8、Safari State Documents - 瀏覽器當前打開的頁面
9、Safari History - 瀏覽器訪問過的頁面
10、Safari Bookmarks - 所有標記的頁面
11、記事本記錄
12、通訊簿
13、郵件賬戶
從 上述兩個最新的法證工具來看,國外各個專業公司對iPhone都非常重視。但從上面兩個公司來比較,相信MacLockPick II會更勝一籌。MacLockPick II的作者Marko與蘋果公司有很好的關係,他從去年就開始關注iPhone的研究。特別是MaclockPick II可以從運行的Windows和MacOS計算機中調取曾經保存過的iPhone的同步記錄,此功能毫無疑問將是一個亮點。
最新的iPhone取證工具要算Wolf了。這是一個專注於蘋果iPhone取證分析的一個專業工具,最新版剛剛發佈不久。這個工具應該是一個最專業的iPhone分析工具了。測試之後,感到功能極強。分析來看該軟件在2009年應該會有不俗的表現。
五、多平台將是計算機法證工具的發展趨勢 從近年來國際市場上出現的多種工具,可以很有意思的發現,能夠同時針對Windows, MacOS, Linux三個平台的取證、分析工具種類越來越多。這是不是標誌著,多平台是計算機法證工具的流行趨勢呢?
Windows Vista作為世界軟件巨頭Microsoft推出的換代操作系統,令世界矚目。雖然這種轟動不像當初從Dos過渡到Windows 3.0時那樣巨大,但由於Vista系統可能會對電子證據產生的影響,使法證界專家不敢掉以輕心。目前各國專家都在對Vista系統的取證分析開展研究。
Mac 作為另類時尚一直只是少數人的熱愛,但自推出雙核、雙系統概念之後,大量Windows用戶也加入到Mac的陣營。幾年前,各國計算機法證專家還在發愁如 何有效分析Mac數據,但今年,作為Mac數據分析技術的領跑者,美國SubrosaSoft公司將具有數據恢復、獲取和分析工能的 MacForensicsLab推到的國際舞台。與此同時,可以同時搭載Mac、PC數據分析軟件的Macbook和Mac Pro,更成為計算機法證領域創新和高性能的代表。
MacForensicsLab最早只能在MacOS環境下使用,但不到一年,Marko就推出了Windows和Linux版本。「一個跨平台的工具, 您唯一的工具」,就是他們提出來的。先不說MacForensicsLab在功能上與其他取證分析工具有何差距,僅憑跨平台一點,就可以說他們領先一步。
接 下來,我們再看看F-Response。它不是一個單獨的取證工具,但卻是一個可以配合任何取證工具,並擴展各種取證工具網絡取證功能的一個軟件。F- Response剛剛推出了Linux版本下的工具,可以配合Smart實現對使用Linux操作系統開機運行狀態下的計算機硬盤完整獲取。至此,它實現 了對開機運行著Windows, MacOS 和Linux三種操作系統計算機的全面取證。有了這樣一個工具,調查員已經不用對嫌疑計算機可能使用的不同操作系統而擔心了。
那麼 Linux環境下使用什麼分析工具呢? Smart近一年發展迅速。該軟件的作者Andrew Rosen是國際計算機法證領域的知名專家,他開發了第一個計算機法證工具Expert Witness,後來演變為今天國際公認的計算機法證著名軟件EnCase。有人也稱Andrew為Encase之父。他開發的Smart,的確有其獨到 之處。國際上有句說法:「Smart people don't use Encase」。一語雙關。使用Smart的人,也都是「聰明的人」。從他的代表作品,您就完全可以想像出Smart是什麼樣的工具。除了Linux版 本,Andrew也推出了Windows下的相應版本。目前只差MacOS版本了。
再看看取證工具。ForensicsMatter的 Peter Mercer開發了一套光盤啟動工具,簡稱OSI。這個工具主要適用於關機狀態的計算機實施鏡像獲取。一般的光盤啟動工具,對於使用Windows、 Linux系統的PC機,甚至Intel架構的MacBook都非常容易,但對於PPC架構的蘋果機,這些啟動光盤就失效了。而Peter的OSI工具中 同時包含了2張光盤,您用完全一樣的操作方法,就可以實現對PPC和INTEL架構這兩種不同類型計算機的數據獲取,而且兼容性非常好。這應當是目前支持 多平台的數據獲取工具的傑出代表了。
通過上面的簡單說明,我們可以看到應用在多平台之上的取證分析工具,以及可以適應多平台取證需求的工 具越來越多,這給計算機法證人員帶來了很大的便利。世界在不斷進步,計算機技術在不斷進步,計算機法證工具也在不斷進步。計算機犯罪有可能是各種各樣的情 況,而打擊高科技犯罪更需要各種各樣的利劍。
六、硬件方式的只讀鎖與寫保護軟件在 民事和刑事調查中,讀取或分析硬盤或其他移動存儲中的數據時,保留原始文件內容和時間戳是非常關鍵的,這也是保持證據原始性的一個要求。但很多人沒有意識 到,將硬盤或移動存儲設備連接到計算機上使用時,會造成硬盤中的數據更改。因此要保證證據的原始性,必須要使用寫保護設備。律師行、調查公司或其他電子證 據服務機構,應該和專業計算機法證機構一樣,更應該注意這一點。大家都知道,讀取刻錄在光盤中的證據數據時不會發生數據更改的情況。但是,應該注意的是, 在將證據文件刻錄到光盤的時候,卻會改變原始證據文件的時間戳。
現在市場上有很多硬件設備可以實現硬件寫保護功能。如果需要使用硬件寫保 護設備,目前市場上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新開發出的軟件的軟件寫保護方案能夠提供更有效、更易用、更快速的解決方法。如軟件寫保護工具,可以選用 Safe Block XP。
當使用選購硬件寫保護設備時,你可能會發現你不得不考慮到各種存儲介質,比如不同類型的硬盤接口,USB閃存(優 盤)、閃存卡、火線硬盤等等。這些加在一起需要上萬元了。相比起來,我認為選用軟件寫保護方法,如 Safe Block XP ,可能會更加理想。Safe Block XP這種軟件方式價格相比便宜很多,可以運行於 Windows XP 中,允許用戶對各種存儲介質添加只讀保護。此外,Safe Block XP 可以明顯增強數據拷貝、鏡像和哈希校驗的速度。軟件方式可以使用計算機本身的各種接口,而硬件寫保護設備目前主要侷限於USB和火線接口。
七、數據恢復與數據法證恢復 計 算機法證和數據恢復,我們暫不去在這裡考究哪個概念涉及的領域更多,況且這兩項技術本身也是密不可分的。數據恢復是一個發展非常快,需要非常大,技術性很 強的產業,每一個個人可能都會涉及到數據恢復的需求。而計算機法證是一項專業性非常強的技術,不是每一個普通人都可以涉及到的。我們可以暫時將計算機法證 技術中涉及到的數據恢復技術成為「數據法證恢復」。相信不用多久,數據法證恢復服務將在國內越來越多。
近日有機會與國內計算機數據恢復產 業的領頭人「效率源科技」的梁總進行了技術探討,之後對中國數據恢復產業的發展非常欣喜。這個中國專業數據恢復機構所開發的產品,已經被幾十個國家上千家 數據恢復專業人士所使用,且聲譽超過國外其他同類競爭產品。這效率源的產品,使國外數據恢復同行離不開中國技術,也將中國數據恢復技術的能力在世界上得到 了展示。因此,我真心希望效率源技術更加成熟,規模進一步擴大,將中國的技術能力和信譽全方位地展示。
而中國的計算機法證技術和產品何時能夠也在國際上脫穎而出?
效 率源最新推出了Data Compass™ 數據指南針高智能化的多功能計算機法證專業硬件設備。測試了該設備後發現,最讓人吃驚的是利用DC能夠獲取出那些連計算機都無法識別的故障硬盤中的數據, 而且更可以從壞道嚴重的硬盤中讀取出更多的數據。這種功能的設備一般只有在專業的數據恢復公司才可以進行,國際計算機法證專業人士普遍都無法做到。這可是 完全的國貨呀!相信這種既是只讀鎖,又是超級數據恢復設備的小設備,很快就會在國際計算機法證領域中推廣開。
八、期待綜合解決方案面對如此眾多的工具,計算機法證人員需要使用什麼才能更有效、更全面地完成打擊高科技犯罪的任務呢?
近日,溫習到鄧老的「名言」---不管黑貓、白貓,能抓老鼠就是好貓。豁然開朗。
中國計算機取證技術需要發展,但我們也不用總是苦惱自己沒有全面的好工具。國內的研究人員也在努力,而且已經有了不俗的成績。那麼在等待中國自主的法證工具普及的同時,用幾年國外的工具,學習學習也是好的呀。關鍵是要有能力把各種工具的功能掌握好,把精髓搞明白。
因 此,我看「計算機取證綜合解決方案」還是需要的。這是什麼呢?實際就是一個「工具精選」。就是採用跨平台、多系統、全方位、多功能、流程化的設計理念,將 PC、MAC、Linux;單機、在線、網絡;取證、分析、查看;硬盤、內存、閃存;破解、修復、恢復集於一體,用最少軟件的最精功能實現計算機取證的全 部需要。只要組合合理,作用有效,就是好方案。
結束語世界各國電子證據技術研究和發 展,帶動了中國計算機法證技術的發展。中國電子證據法規和行業的發展,也吸引著世界各國的眼球。目前在亞太地區,中國香港、中國台灣、韓國、日本、新加坡 等地區,計算機法證技術發展非常迅速。特別是在中國香港,HTCIA高科技犯罪調查協會亞太區分會、ACFE國際反欺詐調查官協會香港分會、ISFS資訊 保安及鑑證公會香港分會等民間機構,有效推動了該地區的計算機法證技術的發展。而國內,作為唯一一個計算機法證民間團隊,中國計算機法證技術研究會聯絡了 香港地區各專業協會及國際計算機法證技術主要國家的知名公司、專家、學者,為推動計算機法證技術的國際交流起到了橋樑和紐帶作用。隨著「中國計算機法證機 術峰會」的逐步成熟和「HTCIA國際高科技犯罪調查協會培訓年會」的引入,相信國內專業人士將能夠更全面地瞭解國內外計算機法證技術的發展,從而有效提 高執法部門、民間服務機構打擊高科技犯罪、白領犯罪、商業欺詐的能力。
轉自計算機取證技術
)
