用事实说话 浅析网络犯罪如何取证

　　随着网络信息技术的发展，计算机网络逐渐成为人们生活和工作中不可或缺的组成部分，它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天，伴随着计算机网络的日新月异，计算机网络犯罪也逐渐走进了我们的视线。黑客攻击、网络钓鱼，僵尸网络，这些以谋取非法利益为目的的新兴犯罪手段，使人们诚惶诚恐。不仅仅是因为担心数据丢失给企业和个人造成经济损失，更重要的原因是当企业或个人发现了被黑客攻击，被病毒侵害而造成损失后，往往不知道该怎么办，举报到相关部门，又缺乏足够的证据，毕竟这是虚拟的世界，找证据非常的难。这也是本文要和大家探讨的问题：计算机取证。

　　计算机证据是指在计算机系统运行过程中，产生用以证明案件事实的内容的一种电磁记录物。针对网络攻击事件，可以作为证据有：系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份等等，其中入侵检测、服务器日志是主要的证据来源。从企业信息网络安全建设来看，计算机取证已经成为一个重要的领域。通过检查计算机的访问日志信息，可以了解犯罪嫌疑人在该计算机上做了哪些事情，找到可疑文件;通过黑客工具反向判定，可以追踪黑客动向以及了解黑客活动。

　　但是从目前的情况来看，网络取证还是非常困难的，因为到目前为止，国家还没有一个成文的相关法规出台。而且现在的犯罪分子也十分狡猾，网络犯罪手段也非常隐蔽多样，以色情犯罪为例，在罪犯建设的站点上，开辟隐藏的色情版块，只给那些老成员访问，有着长期的信任关系才能访问嫌疑人到隐藏版块，其他会员则不可见。有些甚至只有通过2层、3层网络代理才可以访问，还有人使用vpn做加密通道，在肉鸡上放置色情资源，嫌疑人为了证明自己的清白，经常在主页上植入木马程序，自己不光卖流量，还卖信封(信封是指个人信息，visa，信用卡等访问会员信息)，当你抓捕他的时候，他能诡辩的声称这个服务器空间是被别人给利用了，自己也是受害者。这些手段和行为在司法机关立案和定罪时，确实很难成为呈堂证供。计算机取证这条道路是漫长而深远的，有时抓获嫌疑人，却因为证据不足而不能定罪，留下的是更多的无奈。

　　用事实说话

　　2006年6月，我所在城市的刑侦大队，来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后，曾经来过当地的汽车配件市场中的一个商店，买过一个零件，而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件，该销售软件是广东开发的，操作平台是基于DOS开发的，很BT(BT在这里可以理解成“变态”)，竟然还调用了ucdos。经过一些行为分析和操作检查后，发现里面有很多记录，但是很多从登记的人员信息来看都是虚假的，更奇怪的是只有近几天的销售记录，而没有以前的。就打电话给商店老板，老板说这个电脑平时都是用来做销售记录，偶尔听听音乐的，没有人懂电脑的，经过再三的确认，或许有人误操作吧。不过这也难不倒我们，用EasyRacover(EasyRacover是一种数据恢复软件)经过近3个小时的恢复，发现了不少东西。遗憾的是还没发现有价值的信息，在一些数据库文件中发现的销售日期是近来几天的。哎，看下表都已经夜里2点了，抽颗烟，继续分析，期间用了很多工具，还是一无所获。第2天早上，朋友买来早点，等着听我的好消息，我只能两手一摆，没有结果。但是我不死心，因为从我个人研究的角度考虑，肯定还是有内在原因的，商店那边肯定还是有问题。经过再三的询问，终于才知道里面有一个销售人员懂点基本的操作，晚上趁老板不在的时候，看一些自己买的色情影碟，后来机器中了病毒，他怕老板知道，就用了那种ghost版本的winxp安装盗版光盘，哎，就是这个可怕的ghost，造成了永久不能复原，让我们在第一时间损失了获得嫌疑人第一手的信息，经过后来和一些数据恢复专家的探讨，他们说这就相当于一次物理写入，在数据恢复研究领域，物理擦写是无法在还原记录的，就是目前美国也无法完成物理擦写后的数据恢复。

　　这是我当是第一次做取证方面的事情，虽然是失败了，但是却激发了我很浓厚的兴趣，现在一直也在这个方面做一些研究，有时也和警察朋友一起做些配合。

　　那么黑客是怎么去消除证据的?

　　是不是真的象一些黑客电影里面演的那样，把使用的数据光盘放入微波炉里面摧毁，把硬盘锁定，敲任意键都进入数据倒计时自我毁灭状态。说老实话，把光盘放入微波炉里面，消除证据我还没有做过，不过以前和朋友到是真写过一个毁坏硬盘的程序，程序运行的时候要对磁头进行读写，硬盘盘片高速旋转，cpu做大量计算的时候，突然之间停止，杀死他的马达。主要思路是来自对软驱的读写控制，因kill motor 这个命令而想到的，为此也报废了一个硬盘。所以键入任意键，进入硬盘自毁程序，我是认可的。而放入微波炉的那个，想想太危险，就没有做个这样的测试。其实大多数黑客都不是只有一个硬盘的，一般情况下都是有2-3块移动硬盘，把一些珍贵数据放在里面。在他们跑路的时候，用塑料带罩着。放在隐藏的角落，具体什么位置，大家自己去想吧。每个人的思路不一样，我这里不好多做解释。现在还有的一些黑客把资料放在自己的pda手机里面，手机都是二手的，然后在把SIM卡进行擦写，即使我们做了发射基站定位，也还是找不到他们真正的藏匿之所。黑客还喜欢把经过跳转的路由节点都一个个的干掉，把犯罪信息抹除的干干净净。

　　如何查找证据呢?

　　一般黑客的常用做法就是以假乱真，通过注册表来克隆帐户，用克隆帐户访问一些核心信息，通过DOS修改文件时间等手段，造成一种迷惑的假象。很多木马程序都是放在system32里面。很少有用户留意这个目录。黑客也会在肉鸡上开vpn服务，不过通常访问的时候都是过三层代理访问肉鸡，即使被发现和跟踪也只能访问到代理主机，同样它也是一台肉鸡，而且多数都不是在国内。这给取证方面增加了很大难度。

　　黑客通常在访问完肉鸡(傀儡机)后，首先要做的工作，是清除系统访问日志，国内的都喜欢用小榕的那个工具清除系统日志，一般我们浏览一些信息的时候，从“开始”菜单的“文档”菜单可查看到Windows 系统自动记录的最后使用的十五个文档，实际上，这个信息存放在C:\Documents and Settings\Default User\Recent中(Default User是Windows操作系统登陆的用户帐号，下同)，它还包括有文件链接和访问时间，检查此文件夹，可以了解最近计算机的使用情况。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有