第五章 数据获取 – 在线获取(F-Response)
察看图文版
所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法像早年国外文章所描述的那样:拔掉计算机电源,然后实施硬盘完整镜像。现在,一旦将运行状态的计算机关闭,往往会失去很多重要的内存数据、加密分区数据。更何况局域网服务器、互联网服务器都不能够随意关闭的。因此,现在很多公司都在重点研究在线取证方法。
F-Response是一个能够与众多取证软件配合使用的在线取证工具软件。它通过局域网络连接远程的计算机,帮助专业人员有效地实施在线取证、分析、数据恢复和电子证据披露。F-Response是一个专利产品,它提供了一种通过企业局域网络的证据采集、固定和分析方法,可有效提高并增强计算机取证的工作效率和能力。
F-Response易于使用,价格低廉,可有效节省宝贵的时间和旅途花费。它可以全面提高计算机法证人员已有“武器装备”的能力,使所有取证工具都能具备网络取证功能。借助于企业的 VPN虚拟网络 ,调查员甚至可以通过国际互联网来直接进行远程取证分析。F-Response 无须复杂的培训,任何人员不用30分钟即可完全掌握软件使用方法,并可立即与他们早已熟悉的取证工具如X-Ways Forensics、FTK Imager、Smart、MacForensicsLab等法证工具软件配合,实现对企业局域网内的任意一台或所有计算机进行调查,进行在线分析和取证。目前该软件分三个版本:
F-Response Field Kit 法证版允许一个调查员同时对一台计算机实施调查取证。
F-Response Consultant 调查版以图形界面目标代码方式在被调查的计算机上执行客户端程序,允许一个调查员同时对一定数量的计算机实施调查取证。
F-Response Enterprise 企业版采用命令行或图形界面目标代码方式,在每个被检查的计算机上执行,允许对整个企业局域网内的任意数量计算机同时实施调查取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,可以自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,还有可能造成系统死机,破坏证据的完整性。
F-Response 在线取证方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。F-Response将是未来几年计算机法证领域中的一个亮点。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab配合使用。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
第一节 获取运行的Windows计算机硬盘及内存数据
在嫌疑计算机上插入“加密狗”,插入保存有f-response-fk.exe程序的光盘或USB闪存。此时软件显示出目标机的主IP地址(此机IP地址为101.101.101.177)。输入TCP端口号(通常为3260),并设置一个8位用户名和14位密码。用户名中最好不包括大写字母,本例中输入的用户名为aaaaaaaa,口令为11111111111111。
2、在取证计算机安装并运行iSCSI Initiator软件。
在General选项卡中点击Change,重新设置登录目标计算机所需的用户名(这里输入刚才指定的用户名aaaaaaaa)。
3、点击OK后,iSCSI Initiator属性对话框中出现修改后的计算机登录名aaaaaaaa。
4、打开iSCSI Initiator的Discovery选项卡,点击Add按钮,输入此前出现的目标计算机的IP地址101.101.101.177和端口号3260。
5、点击Add Target Portal窗口中的Advanced按钮后出现Advanced Settings选项卡,勾选CHAP logon information选项,并输入14位密码。
6、按确定键返回,此时iSCSI Initiator属性的Discovery选项卡中会显示目标计算机的IP地址和端口号。
7、此时Targets选项卡中出现了目标计算机的名称及状态,此时目标机为非活动状态。点击Log On按钮出现Log On To Target窗口。
8、点击Log On To Target窗口中的Advanced按钮后出现Advanced Settings选项卡,勾选CHAP logon information选项,并输入14位密码。
9、按确定键返回,之后目标计算机的状态变为连接状态,目标机与取证机连接成功。
10、在取证计算机中已经可以访问目标机硬盘。图中分区G、H、I、J为目标硬盘,分区K为证据硬盘。
11、此时可以使用取证分析软件对目标机进行取证。现在我们使用X-ways取证软件抓取目标机硬盘的镜像,测试其获取速度。打开X-ways后添加储存设备,选择目标计算机的物理驱动器,此处显示硬盘大小为149G。
12、加载硬盘后创建磁盘镜像,选择输出镜像的路径和文件名,开始获取镜像,速度约为每分钟1.2G。
13、获取完成后在Targets选项卡中选择Details按钮,在Identifier下勾选标识符,点击Log off。此时若没有完全断开对目标机的操作将不能断开连接,并显示警告信息。
14、操作全部结束后,点击Target属性对话框中的Log Off按钮,标识符将会自动消失,与目标计算机的连接完全断开,操作结束。这时可以点击目标机程序的Stop按钮。
15、取出光盘或卸载USB闪存。在线获取全部结束。
某些时候需要在获取数据前首先进行关键词搜索,以判定嫌疑计算机是否包含与案件相关的证据。具体操作方法清参考后面章节
2009年1月31日星期六
2009年1月4日星期日
恢复丢失的口令,解决数据保护问题的简便方法
近些年,“信息时代”、“信息技术”和“信息如何统治世界”等字眼一直充斥着我们的耳朵,因此很多人觉得信息就是一切。但是,这又意味着什么呢?信息本身重要么?我认为不完全是这样。我们需要信息来帮助我们进行决策,这才是真正重要的问题。因此在任何商业环境下,获取信息的多少与是否完整都会给我们在竞争中带来优势。
毫无疑问,很多时候我们的注意力都集中在对信息的保护上。当今的软件和硬件提供了很多限制访问信息和防止信息泄露的方法:有控制访问信息和权限的工具,有为了防止攻击设计的系统、备份程序和防病毒程序等。
但是,对于所有用户而言,最简单易用的方法还是使用密码对数据进行保护。密码可以防止非授权的用户访问系统、文档和数据库。众所周知,在信息链中,人是最薄弱的环节—使用密码保护也不例外。人很容易忘记密码,这是很正常的,这取决于计算机使用者需要记忆的密码数量。但是,如果由于某些原因忘记了密码,这就意味着无法访问数据。
拒绝访问…
销售、现金周转、客户数据库、会计和管理报告、分析报告和预测等数据,所有这些都是成功经营公司和制定战略决策的重要信息。通常,这类信息都有密码保护。这对任何公司而言都是基本的安全策略。但是,如果急需访问一些数据,却发现不知道密码怎么办?这类情况并不鲜见。
首先,您可能会忘记密码。您没有将密码写下,因为您认为可以通过一些简单的联想记住密码。比如:最喜欢的食物和您的出生日期。您不会忘记生日,但是最喜欢的食物就是另外一回事了。在去克利特岛度假之后,您的脑海中所想的可能全是希腊沙拉,但是“希腊沙拉”可不会帮您访问系统。
曾经某位销售经理决定实现自己的梦想而到西藏游览90天,她离开公司却没有将浏览文件的密码告知他人。但此时公司业务遇到了危机:客户要求公司如果无法立即付款就要终止合同!但是您所以无法联系到远在西藏的销售经理,也并不知道合同中所列的价目和细节。这种情况在您的公司中是不是也发生过?
有时,某些雇员会因为一些经济原因或者为竞争对手工作而被解雇。在这种情况下,他们不会主动告知相关文档的密码。如果您迫切需要处理这些文档,就会出现问题:只有取得了密码,您才可以获取信息开始今天的工作任务。
如何解决这些密码难题?
自从发明加密技术以来,丢失密码就是一个很大的问题。软件开发者一直致力于解决这个问题。如今市场上已经有了一些密码恢复软件。我们来看看这些软件破解密码的方法。对于初学者,我们要先了解一下密码的不同类型以及在搜索密码时可能有帮助的信息。
通常情况下,一个密码会包含如下符号:26个小写字母(a到z),26个大写字母(A到Z),10个数字(0到9),和33个其它字符(!@#$%^,等)。我们可以使用这95个字符的任意组合作为密码。
此外,对于人类心理学的了解对搜索密码有很大的帮助。尽管为了加强密码的可靠性有很多限制(如对密码的长度限制等),但是很多用户都无视这些最基本的原则,一再暴露上文提到的“弱点”,即:人的因素。
大多数密码由使用者的母语字母和符号组成。有些“蠕虫病毒”所窃取的数据通常与使用者的个人生活有关:出生年月、宠物的名字、电话号码或者银行卡号码等。一些人可能仅仅将旧的密码做了一些小的修改形成新的密码,这也是大多数人修改密码的方法。人们通常将密码写在桌上或者将其储存在计算机中的一个文件夹内,这种做法使得密码保护完全失去了作用。结果是,只要了解基本的密码规则(允许使用的符号和规定的长度),并对使用者有一些了解,就可以轻松的了解到一个未知的密码。各种密码恢复软件就是使用了这种技术。
我们可以采用的方法……
目前,通过软件搜索密码的主要方法有:简单扫描、掩码扫描、字典攻击、加密密钥扫描(可能比暴力扫描所产生的密码变体要少)和所谓的彩虹表攻击。在某些情况下,其它类型的密码恢复只能打开文件,这种密码恢复被称为纯文本攻击(基于已知的内容)。我们来详细了解一下各种方法。
暴力破解
暴力破解方法非常简单:程序会尝试所有可能的字符组合来找到正确的密码。可以限定搜索内容:如密码字符的数量,定义允许使用的字符类型(字母、数字或其它符号),甚至可以指定密码的第一个字符。
使用暴力破解方法重新获取密码所需的时间取决于密码的长度、所使用的不同符号、计算机的性能和使用密码保护的文件的种类。
在不尝试所有可能的组合的情况下,可能会很快找到密码。但是,您不能完全依靠这种偶然的情况。如果使用普通电脑,暴力破解方法可能需要几年的时间。这是最浪费劳动力的方法。因此只有在没有其它替代方法的情况下我们才会推荐这个方法。
掩码扫描
如果您是创建密码的人,您可以通过使用掩码大大缩小搜索参数来重新取得密码。您可能会记得密码的位数或者某些特定的字符。任何信息都加速解密都会有所所帮助。
例如:您记得密码中只使用了数字和小写字母。这就是说可以在搜索中排除其它特殊字符和大写字母。如果您知道某些字符在密码中的位置也会有所帮助。例如:您知道密码有10位字符,第一位是字母“a”且后四位字符是2007,那么您可以输入“a?????2007”作为搜索模板。未知的字符使用问号表示。
使用掩码意味着软件可以减少测试可能的组合,这样找到正确密码所需的时间会大大缩短。但是,通常我们几乎不知道关于密码的任何信息。因此我们无法使用掩码扫描。另一方面,还有另外一种效果很好的方法可以获取密码。
字典攻击
如果您知道密码中可能使用的单词或者名称,这时可以使用字典搜索。事实上很多人会在密码中使用常用的单词。通常,这些单词包括:“open,” “access,” “password,”等。因为记忆单词比记忆随机组合的字母和数字要简单得多。事实上,忘记这类密码同样简单。这类密码的获取相对容易。
但是要到哪里找到这类字典呢(或者是更为精确的字母列表)?字典可能会包含在软件中。另外的方法就是通过网络—FTP服务器通常包含常用字的列表、按主题分类的列表(动物、足球队…)、缩略语等。另一种可能就是用户编写了自己特有的列表。
这种方法的优点很明显。用户作为密码输入的单词列表通常很有限而且不会超过100,000个。现在的计算机处理100,000种字符变体不成问题。应该优先使用这种方法。
彩虹表攻击
我们知道,影响获取密码最关键的因素就是所需要的时间。我们知道使用暴力破解方法会校验每种可能的组合,对于复杂的密码而言,这样会耗费很长的时间。可能会花费几个月甚至几年的时间才能取得密码,在大多数时候我们都不会考虑这种方法。
因此,我们发明了彩虹表攻击的方法。这种方法使用预先计算的方法来搜索密码。人们考虑使用预先计算的查找表进行搜索来替代大量占用CPU的计算。查找表适用于从内存中提取数据比创建数据要简单得多的情况。
彩虹表攻击采用对某一特殊的字符序列预先计算出的变体进行搜索。在使用暴力方法排出一个密码所需的时间内,我们可以获得一些查找表,以很高的概率在所检测的范围内查找密码可以节省上千倍的时间。
彩虹表的大小比一般的查找表要小得多—一般的查找表大小为TB级,彩虹表为GB级。所减少的大小取决于最优化程度。不得不说,辨认密码的可能性减少时,获取密码所需的时间会增加。例如:在使用7位包含字母和数字符号的彩虹表时(需要大约1周时间来创建彩虹表),彩虹攻击可以在最多20-30秒的时间内获取任意由7位字母或数字组成的密码。直接输入不同密码组合的方法可能会需要超过24小时的时间。这种方法的优势显而易见。
因为编辑制作彩虹表需要花费大量的时间,因此彩虹表的成本大大增加,造成价格昂贵,目前主要应用于企业和政府部分中。
做出正确的决定
毫无疑问,快速恢复密码的软件很有用处,每个执法部门、系统管理员都需要一份这样的工具软件。您需要什么样的密码恢复软件呢?
功能和效果
首先,要看开发者声称的密码恢复功能。这是决定软件功能最重要的标准。能否成功的获取密码取决于受保护的文档类型和计算机性能。此外,由于对安全性越来越警惕,用户们会创建更安全的密码。但是,对于某些类型的密码和文档,软件开发人员会保证99%的成功率。
运行环境和支持版本
其次,要了解软件所支持的操作系统、应用程序版本、文件格式、所支持的语言和代码。我们无法预测所要破解的Word和Acrobat是什么版本,更不用说字符集了(例如:中文或阿拉伯字符)。还要了解软件需要多久的时间可以适应新版本的应用程序。无法支持Office 2007的软件是没有用的。
解密速度
我们需要考虑的另一件事是获取密码所需的时间。当然,根据计算机性能的不同,所需的时间也会有所不同。但是,软件制造商一般会给出平均时间数据。我们必须要知道时间单位,是分钟、天、周还是月。
分布式运算能力
最后,我们要了解软件是否支持分布式密码获取。分布式方法需要利用本地计算机和远程计算机所组成的整个计算机组进行。这种方法也可以应用在密码破解上。对于某些文档和应用程序,我们可以非常快速地获取密码(如:保存在本机上的ICQ或者GoogleTalk的密码)但对于PGP等构建体系非常完善的密码,因此只能使用分布式方法进行破解。
这些是选择密码恢复软件的几个主要标准。
分布式密码解决方案
在讨论恢复复杂密码时我们已经提到分布式计算方法。ElcomSoft公司的分布式密码恢复软件可以充分发挥可以联网计算机的性能。
这个软件可以解决Microsoft Office、Microsoft Money、Microsoft OneNote、Adobe Acrobat、Intuit Quicken、Lotus Notes创建的任何文档的密码、Windows 2000/XP/2003/Vista登陆口令密码、PGP密钥(*.skr)和PGP Dishk(*.pgd)破解等。
这个软件包含三个组件:服务器组件、代理组件和控制台组件。服务器组件安装在网络中的一台计算机上,用来控制密码恢复的进程。代理组件安装在网络中的任意计算机上,用来测试服务器产生的密码。控制台组件安装在网络中的任意计算机上,用来控制服务器和恢复进程或者添加新的任务及查看统计信息。
配合Elcomsoft研发的最新GPU密码解决方案,配合NVIDIA显卡,单机解密速度可提升几十倍。对于企业和政府部门,还可以使用个人超级计算机,每台计算机多大960个核的运算能力,再联机进行分布式运算,解密速度将无与伦比。
毫无疑问,很多时候我们的注意力都集中在对信息的保护上。当今的软件和硬件提供了很多限制访问信息和防止信息泄露的方法:有控制访问信息和权限的工具,有为了防止攻击设计的系统、备份程序和防病毒程序等。
但是,对于所有用户而言,最简单易用的方法还是使用密码对数据进行保护。密码可以防止非授权的用户访问系统、文档和数据库。众所周知,在信息链中,人是最薄弱的环节—使用密码保护也不例外。人很容易忘记密码,这是很正常的,这取决于计算机使用者需要记忆的密码数量。但是,如果由于某些原因忘记了密码,这就意味着无法访问数据。
拒绝访问…
销售、现金周转、客户数据库、会计和管理报告、分析报告和预测等数据,所有这些都是成功经营公司和制定战略决策的重要信息。通常,这类信息都有密码保护。这对任何公司而言都是基本的安全策略。但是,如果急需访问一些数据,却发现不知道密码怎么办?这类情况并不鲜见。
首先,您可能会忘记密码。您没有将密码写下,因为您认为可以通过一些简单的联想记住密码。比如:最喜欢的食物和您的出生日期。您不会忘记生日,但是最喜欢的食物就是另外一回事了。在去克利特岛度假之后,您的脑海中所想的可能全是希腊沙拉,但是“希腊沙拉”可不会帮您访问系统。
曾经某位销售经理决定实现自己的梦想而到西藏游览90天,她离开公司却没有将浏览文件的密码告知他人。但此时公司业务遇到了危机:客户要求公司如果无法立即付款就要终止合同!但是您所以无法联系到远在西藏的销售经理,也并不知道合同中所列的价目和细节。这种情况在您的公司中是不是也发生过?
有时,某些雇员会因为一些经济原因或者为竞争对手工作而被解雇。在这种情况下,他们不会主动告知相关文档的密码。如果您迫切需要处理这些文档,就会出现问题:只有取得了密码,您才可以获取信息开始今天的工作任务。
如何解决这些密码难题?
自从发明加密技术以来,丢失密码就是一个很大的问题。软件开发者一直致力于解决这个问题。如今市场上已经有了一些密码恢复软件。我们来看看这些软件破解密码的方法。对于初学者,我们要先了解一下密码的不同类型以及在搜索密码时可能有帮助的信息。
通常情况下,一个密码会包含如下符号:26个小写字母(a到z),26个大写字母(A到Z),10个数字(0到9),和33个其它字符(!@#$%^,等)。我们可以使用这95个字符的任意组合作为密码。
此外,对于人类心理学的了解对搜索密码有很大的帮助。尽管为了加强密码的可靠性有很多限制(如对密码的长度限制等),但是很多用户都无视这些最基本的原则,一再暴露上文提到的“弱点”,即:人的因素。
大多数密码由使用者的母语字母和符号组成。有些“蠕虫病毒”所窃取的数据通常与使用者的个人生活有关:出生年月、宠物的名字、电话号码或者银行卡号码等。一些人可能仅仅将旧的密码做了一些小的修改形成新的密码,这也是大多数人修改密码的方法。人们通常将密码写在桌上或者将其储存在计算机中的一个文件夹内,这种做法使得密码保护完全失去了作用。结果是,只要了解基本的密码规则(允许使用的符号和规定的长度),并对使用者有一些了解,就可以轻松的了解到一个未知的密码。各种密码恢复软件就是使用了这种技术。
我们可以采用的方法……
目前,通过软件搜索密码的主要方法有:简单扫描、掩码扫描、字典攻击、加密密钥扫描(可能比暴力扫描所产生的密码变体要少)和所谓的彩虹表攻击。在某些情况下,其它类型的密码恢复只能打开文件,这种密码恢复被称为纯文本攻击(基于已知的内容)。我们来详细了解一下各种方法。
暴力破解
暴力破解方法非常简单:程序会尝试所有可能的字符组合来找到正确的密码。可以限定搜索内容:如密码字符的数量,定义允许使用的字符类型(字母、数字或其它符号),甚至可以指定密码的第一个字符。
使用暴力破解方法重新获取密码所需的时间取决于密码的长度、所使用的不同符号、计算机的性能和使用密码保护的文件的种类。
在不尝试所有可能的组合的情况下,可能会很快找到密码。但是,您不能完全依靠这种偶然的情况。如果使用普通电脑,暴力破解方法可能需要几年的时间。这是最浪费劳动力的方法。因此只有在没有其它替代方法的情况下我们才会推荐这个方法。
掩码扫描
如果您是创建密码的人,您可以通过使用掩码大大缩小搜索参数来重新取得密码。您可能会记得密码的位数或者某些特定的字符。任何信息都加速解密都会有所所帮助。
例如:您记得密码中只使用了数字和小写字母。这就是说可以在搜索中排除其它特殊字符和大写字母。如果您知道某些字符在密码中的位置也会有所帮助。例如:您知道密码有10位字符,第一位是字母“a”且后四位字符是2007,那么您可以输入“a?????2007”作为搜索模板。未知的字符使用问号表示。
使用掩码意味着软件可以减少测试可能的组合,这样找到正确密码所需的时间会大大缩短。但是,通常我们几乎不知道关于密码的任何信息。因此我们无法使用掩码扫描。另一方面,还有另外一种效果很好的方法可以获取密码。
字典攻击
如果您知道密码中可能使用的单词或者名称,这时可以使用字典搜索。事实上很多人会在密码中使用常用的单词。通常,这些单词包括:“open,” “access,” “password,”等。因为记忆单词比记忆随机组合的字母和数字要简单得多。事实上,忘记这类密码同样简单。这类密码的获取相对容易。
但是要到哪里找到这类字典呢(或者是更为精确的字母列表)?字典可能会包含在软件中。另外的方法就是通过网络—FTP服务器通常包含常用字的列表、按主题分类的列表(动物、足球队…)、缩略语等。另一种可能就是用户编写了自己特有的列表。
这种方法的优点很明显。用户作为密码输入的单词列表通常很有限而且不会超过100,000个。现在的计算机处理100,000种字符变体不成问题。应该优先使用这种方法。
彩虹表攻击
我们知道,影响获取密码最关键的因素就是所需要的时间。我们知道使用暴力破解方法会校验每种可能的组合,对于复杂的密码而言,这样会耗费很长的时间。可能会花费几个月甚至几年的时间才能取得密码,在大多数时候我们都不会考虑这种方法。
因此,我们发明了彩虹表攻击的方法。这种方法使用预先计算的方法来搜索密码。人们考虑使用预先计算的查找表进行搜索来替代大量占用CPU的计算。查找表适用于从内存中提取数据比创建数据要简单得多的情况。
彩虹表攻击采用对某一特殊的字符序列预先计算出的变体进行搜索。在使用暴力方法排出一个密码所需的时间内,我们可以获得一些查找表,以很高的概率在所检测的范围内查找密码可以节省上千倍的时间。
彩虹表的大小比一般的查找表要小得多—一般的查找表大小为TB级,彩虹表为GB级。所减少的大小取决于最优化程度。不得不说,辨认密码的可能性减少时,获取密码所需的时间会增加。例如:在使用7位包含字母和数字符号的彩虹表时(需要大约1周时间来创建彩虹表),彩虹攻击可以在最多20-30秒的时间内获取任意由7位字母或数字组成的密码。直接输入不同密码组合的方法可能会需要超过24小时的时间。这种方法的优势显而易见。
因为编辑制作彩虹表需要花费大量的时间,因此彩虹表的成本大大增加,造成价格昂贵,目前主要应用于企业和政府部分中。
做出正确的决定
毫无疑问,快速恢复密码的软件很有用处,每个执法部门、系统管理员都需要一份这样的工具软件。您需要什么样的密码恢复软件呢?
功能和效果
首先,要看开发者声称的密码恢复功能。这是决定软件功能最重要的标准。能否成功的获取密码取决于受保护的文档类型和计算机性能。此外,由于对安全性越来越警惕,用户们会创建更安全的密码。但是,对于某些类型的密码和文档,软件开发人员会保证99%的成功率。
运行环境和支持版本
其次,要了解软件所支持的操作系统、应用程序版本、文件格式、所支持的语言和代码。我们无法预测所要破解的Word和Acrobat是什么版本,更不用说字符集了(例如:中文或阿拉伯字符)。还要了解软件需要多久的时间可以适应新版本的应用程序。无法支持Office 2007的软件是没有用的。
解密速度
我们需要考虑的另一件事是获取密码所需的时间。当然,根据计算机性能的不同,所需的时间也会有所不同。但是,软件制造商一般会给出平均时间数据。我们必须要知道时间单位,是分钟、天、周还是月。
分布式运算能力
最后,我们要了解软件是否支持分布式密码获取。分布式方法需要利用本地计算机和远程计算机所组成的整个计算机组进行。这种方法也可以应用在密码破解上。对于某些文档和应用程序,我们可以非常快速地获取密码(如:保存在本机上的ICQ或者GoogleTalk的密码)但对于PGP等构建体系非常完善的密码,因此只能使用分布式方法进行破解。
这些是选择密码恢复软件的几个主要标准。
分布式密码解决方案
在讨论恢复复杂密码时我们已经提到分布式计算方法。ElcomSoft公司的分布式密码恢复软件可以充分发挥可以联网计算机的性能。
这个软件可以解决Microsoft Office、Microsoft Money、Microsoft OneNote、Adobe Acrobat、Intuit Quicken、Lotus Notes创建的任何文档的密码、Windows 2000/XP/2003/Vista登陆口令密码、PGP密钥(*.skr)和PGP Dishk(*.pgd)破解等。
这个软件包含三个组件:服务器组件、代理组件和控制台组件。服务器组件安装在网络中的一台计算机上,用来控制密码恢复的进程。代理组件安装在网络中的任意计算机上,用来测试服务器产生的密码。控制台组件安装在网络中的任意计算机上,用来控制服务器和恢复进程或者添加新的任务及查看统计信息。
配合Elcomsoft研发的最新GPU密码解决方案,配合NVIDIA显卡,单机解密速度可提升几十倍。对于企业和政府部门,还可以使用个人超级计算机,每台计算机多大960个核的运算能力,再联机进行分布式运算,解密速度将无与伦比。
盘点2008国际计算机取证发展状况
2007年末,应邀撰写了“国外电子证据及计算机取证发展状况”一文,对国际目前的状况进行了简短的评价。回顾2008年,看到此状况仍未有明显改变。值2009年初之际,对2008年国际发展状况盘点一二,并期望2009年能有一个更大的发展。
一、与电子证据相关的硬件产品发展速度减慢
美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。2003-2006年间,是国际电子证据相关硬件产品发展最为鼎盛的时期,各种硬盘复制机速度从1.8GB到3GB不断攀升,写保护接口从单一的IDE硬盘接口,到SCSI、SATA、USB、火线种类层出不穷,PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样,出现了皮箱型、工控型,服务器型等。这些产品的大量出现,对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始,国际各国计算机法证相关硬件产品发展速度渐缓,除简单的升级换代之外,没有什么更有创意的新产品出现。
冷清了一两年之后,我们看看有什么新的发展:
1.硬盘复制设备:Logicube公司推出了SuperSonix,一个应有于IT界的硬盘克隆工具,速度可达6GB。这个设备对于调查行业来说可以算个福音,对法证界还无法使用。但是Logicube在民间应用之后,应该很快就推出法证版的型号了。可以期待一下。
2.写保护设备:ICS 公司推出了Super DriveLock写保护设备,具有全面的接口,外观设计和实际功能都很不错。特别是最新的eSATA接口可以明显提高速度。
3.2008年,DataExpert推出的硬盘修复诊断破解设备、效率源推出的DC指南针都比较有特色,对计算机取证人员所遇到的故障硬盘有很大的帮助作用。
4.俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清的解密市场一剂强心针。北京天宇宁公司将俄罗斯Elcomsoft推荐的个人超级计算引入国内,将密码破解水平提升到一个全新的水平。设想一下:拥有960个核心的强大的并行处理能力,计算性能可达PC的250倍。这是一种什么样的计算能力呀!
不过大家也要清醒地认识到:不是所有的解密软件都可以利用到个人超级计算机的解密能力,只有支持专门支持GPU运算的软件才能够发挥出这种计算机的强大性能。而目前也仅有将GPU解密运算的发明者Elcomsoft公司才能够提供这种解密能力。
二、法证分析软件层出不穷
与硬件发展缓慢相对应,国际电子证据分析软件产品却如雨后春笋一般,涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK,这两个软件已经发展了若干年,基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错,从4.0、5.0到6.0版,差不多每年推出一个版本。相比之下,美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年,终于问世了,但这个庞大的系统对计算机的要求也实在有些高,使得很多用户很难适应。
最近几年,国际上先后推出了一系列的计算机法证分析工具,如德国X-ways公司的X-Ways Forensics,韩国FINALData公司推出的FINALForensics,澳大利亚的NuixForensicDestop。从欧洲、美国、澳大利亚这些计算机法证技术的先进国家来说,这些软件的出现可以说明显推动了冷清的市场。
国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制,也离不开数据恢复,因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力,快速的升级服务,X-ways Forensics立刻在世界各地受到热烈欢迎。
Nuix Forensic Desktop更是一个不可多得的数据分析工具,它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上,不仅能够直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系,加上其出色的多语言支持能力,该软件已经成为名副其实的法证工具。
三、在线取证工具成为热门话题
最近结识了F-Response的作者Matthew Shannon,并与几个组员一起测试了F-Response这个软件后,发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客,都对这个软件有高度的评价。简单来说,这个软件是一个在线取证工具的一个突破,他让过去遥不可及的Encase Enterprise企业版具备的功能,成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab结合。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多人都在重点研究在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response 的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。
四、计算机法证领域逐步拓宽----手机取证成关注
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,电子证据的研究领域已经越来越广泛。2007年开始,世界计算机法证界最热的大概就是三个话题:手机和MAC和Vista。
当今社会,计算机虽然已经非常普及,但也只能平均几个人才能拥有一台,但手机的拥有量和更新换代速度却令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据,让世界各国个行业不得不必须全力应对。值得一提的是厦门美亚柏科、上海盘石公司、韩国FinalData公司,都针对亚洲地区手机型号开展研究,这些研究成果不在欧美国家之下。
FinalData公司开发的Final Mobile Forensics 软件一上市,就得到美国联邦调查局等机构的关注,并得到的相关执法部门的认可。目前,该软件在美国、日本、韩国开始销售。
最近看到两篇关于iPhone手机取证的资料。iPhone是目前比较新的手机,受到了国内外用户的普遍喜爱。对这个设备的取证问题一直到的各国专业人士的关注。
第一篇是MobilEdit! Forensics的报道。目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下:
在连接iPhone之前,请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。 连接好iPhone和PC的连接线后,运行MOBILedit!,选择"File" 菜单中"Settings..." ,选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时,也将进一步开发对更新型号的iPhone手机的支持。
第二篇,是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能,不仅增加了对Windows的支持,还支持对 Apple iPhone的信息收集。在对iPhone的支持方面,MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息,目前可以获取的信息包括:
1、拨出电话、已结来电记录,包括电话号码、通话时长,日期、时间。
2、发送和接收的短信息,包括电话号码,短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码(通常打印在手机电池下面的机身上)
4、TMSI 码- 临时移动用户识别号,
5、IMSI 码- 国际移动用户识别码,保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号,包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看,国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较,相信MacLockPick II会更胜一筹。MacLockPick II的作者Marko与苹果公司有很好的关系,他从去年就开始关注iPhone的研究。特别是MaclockPick II可以从运行的Windows和MacOS计算机中调取曾经保存过的iPhone的同步记录,此功能毫无疑问将是一个亮点。
最新的iPhone取证工具要算Wolf了。这是一个专注于苹果iPhone取证分析的一个专业工具,最新版刚刚发布不久。这个工具应该是一个最专业的iPhone分析工具了。测试之后,感到功能极强。分析来看该软件在2009年应该会有不俗的表现。
五、多平台将是计算机法证工具的发展趋势
从近年来国际市场上出现的多种工具,可以很有意思的发现,能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着,多平台是计算机法证工具的流行趋势呢?
Windows Vista作为世界软件巨头Microsoft推出的换代操作系统,令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大,但由于Vista系统可能会对电子证据产生的影响,使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。
Mac作为另类时尚一直只是少数人的热爱,但自推出双核、双系统概念之后,大量Windows用户也加入到Mac的阵营。几年前,各国计算机法证专家还在发愁如何有效分析Mac数据,但今年,作为Mac数据分析技术的领跑者,美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时,可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro,更成为计算机法证领域创新和高性能的代表。
MacForensicsLab最早只能在MacOS环境下使用,但不到一年,Marko就推出了Windows和Linux版本。“一个跨平台的工具,您唯一的工具”,就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距,仅凭跨平台一点,就可以说他们领先一步。
接下来,我们再看看F-Response。它不是一个单独的取证工具,但却是一个可以配合任何取证工具,并扩展各种取证工具网络取证功能的一个软件。F-Response刚刚推出了Linux版本下的工具,可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此,它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具,调查员已经不用对嫌疑计算机可能使用的不同操作系统而担心了。
那么Linux环境下使用什么分析工具呢? Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家,他开发了第一个计算机法证工具Expert Witness,后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart,的确有其独到之处。国际上有句说法:“Smart people don't use Encase”。一语双关。使用Smart的人,也都是“聪明的人”。从他的代表作品,您就完全可以想象出Smart是什么样的工具。除了Linux版本,Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。
再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具,简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。一般的光盘启动工具,对于使用Windows、Linux系统的PC机,甚至Intel架构的MacBook都非常容易,但对于PPC架构的苹果机,这些启动光盘就失效了。而Peter的OSI工具中同时包含了2张光盘,您用完全一样的操作方法,就可以实现对PPC和INTEL架构这两种不同类型计算机的数据获取,而且兼容性非常好。这应当是目前支持多平台的数据获取工具的杰出代表了。
通过上面的简单说明,我们可以看到应用在多平台之上的取证分析工具,以及可以适应多平台取证需求的工具越来越多,这给计算机法证人员带来了很大的便利。世界在不断进步,计算机技术在不断进步,计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况,而打击高科技犯罪更需要各种各样的利剑。
六、硬件方式的只读锁与写保护软件
在民事和刑事调查中,读取或分析硬盘或其他移动存储中的数据时,保留原始文件内容和时间戳是非常关键的,这也是保持证据原始性的一个要求。但很多人没有意识到,将硬盘或移动存储设备连接到计算机上使用时,会造成硬盘中的数据更改。因此要保证证据的原始性,必须要使用写保护设备。律师行、调查公司或其他电子证据服务机构,应该和专业计算机法证机构一样,更应该注意这一点。大家都知道,读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是,应该注意的是,在将证据文件刻录到光盘的时候,却会改变原始证据文件的时间戳。
现在市场上有很多硬件设备可以实现硬件写保护功能。如果需要使用硬件写保护设备,目前市场上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。如软件写保护工具,可以选用 Safe Block XP。
当使用选购硬件写保护设备时,你可能会发现你不得不考虑到各种存储介质,比如不同类型的硬盘接口,USB闪存(优盘)、闪存卡、火线硬盘等等。这些加在一起需要上万元了。相比起来,我认为选用软件写保护方法,如 Safe Block XP ,可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多,可以运行于 Windows XP 中,允许用户对各种存储介质添加只读保护。此外,Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。软件方式可以使用计算机本身的各种接口,而硬件写保护设备目前主要局限于USB和火线接口。
七、数据恢复与数据法证恢复
计算机法证和数据恢复,我们暂不去在这里考究哪个概念涉及的领域更多,况且这两项技术本身也是密不可分的。数据恢复是一个发展非常快,需要非常大,技术性很强的产业,每一个个人可能都会涉及到数据恢复的需求。而计算机法证是一项专业性非常强的技术,不是每一个普通人都可以涉及到的。我们可以暂时将计算机法证技术中涉及到的数据恢复技术成为“数据法证恢复”。相信不用多久,数据法证恢复服务将在国内越来越多。
近日有机会与国内计算机数据恢复产业的领头人“效率源科技”的梁总进行了技术探讨,之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品,已经被几十个国家上千家数据恢复专业人士所使用,且声誉超过国外其他同类竞争产品。这效率源的产品,使国外数据恢复同行离不开中国技术,也将中国数据恢复技术的能力在世界上得到了展示。因此,我真心希望效率源技术更加成熟,规模进一步扩大,将中国的技术能力和信誉全方位地展示。
而中国的计算机法证技术和产品何时能够也在国际上脱颖而出?
效率源最新推出了Data Compass™ 数据指南针高智能化的多功能计算机法证专业硬件设备。测试了该设备后发现,最让人吃惊的是利用DC能够获取出那些连计算机都无法识别的故障硬盘中的数据,而且更可以从坏道严重的硬盘中读取出更多的数据。这种功能的设备一般只有在专业的数据恢复公司才可以进行,国际计算机法证专业人士普遍都无法做到。这可是完全的国货呀!相信这种既是只读锁,又是超级数据恢复设备的小设备,很快就会在国际计算机法证领域中推广开。
八、期待综合解决方案
面对如此众多的工具,计算机法证人员需要使用什么才能更有效、更全面地完成打击高科技犯罪的任务呢?
近日,温习到邓老的“名言”---不管黑猫、白猫,能抓老鼠就是好猫。豁然开朗。
中国计算机取证技术需要发展,但我们也不用总是苦恼自己没有全面的好工具。国内的研究人员也在努力,而且已经有了不俗的成绩。那么在等待中国自主的法证工具普及的同时,用几年国外的工具,学习学习也是好的呀。关键是要有能力把各种工具的功能掌握好,把精髓搞明白。
因此,我看“计算机取证综合解决方案”还是需要的。这是什么呢?实际就是一个“工具精选”。就是采用跨平台、多系统、全方位、多功能、流程化的设计理念,将PC、MAC、Linux;单机、在线、网络;取证、分析、查看;硬盘、内存、闪存;破解、修复、恢复集于一体,用最少软件的最精功能实现计算机取证的全部需要。只要组合合理,作用有效,就是好方案。
结束语
世界各国电子证据技术研究和发展,带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。目前在亚太地区,中国香港、中国台湾、韩国、日本、新加坡等地区,计算机法证技术发展非常迅速。特别是在中国香港,HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构,有效推动了该地区的计算机法证技术的发展。而国内,作为唯一一个计算机法证民间团队,中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者,为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入,相信国内专业人士将能够更全面地了解国内外计算机法证技术的发展,从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。
一、与电子证据相关的硬件产品发展速度减慢
美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。2003-2006年间,是国际电子证据相关硬件产品发展最为鼎盛的时期,各种硬盘复制机速度从1.8GB到3GB不断攀升,写保护接口从单一的IDE硬盘接口,到SCSI、SATA、USB、火线种类层出不穷,PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样,出现了皮箱型、工控型,服务器型等。这些产品的大量出现,对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始,国际各国计算机法证相关硬件产品发展速度渐缓,除简单的升级换代之外,没有什么更有创意的新产品出现。
冷清了一两年之后,我们看看有什么新的发展:
1.硬盘复制设备:Logicube公司推出了SuperSonix,一个应有于IT界的硬盘克隆工具,速度可达6GB。这个设备对于调查行业来说可以算个福音,对法证界还无法使用。但是Logicube在民间应用之后,应该很快就推出法证版的型号了。可以期待一下。
2.写保护设备:ICS 公司推出了Super DriveLock写保护设备,具有全面的接口,外观设计和实际功能都很不错。特别是最新的eSATA接口可以明显提高速度。
3.2008年,DataExpert推出的硬盘修复诊断破解设备、效率源推出的DC指南针都比较有特色,对计算机取证人员所遇到的故障硬盘有很大的帮助作用。
4.俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清的解密市场一剂强心针。北京天宇宁公司将俄罗斯Elcomsoft推荐的个人超级计算引入国内,将密码破解水平提升到一个全新的水平。设想一下:拥有960个核心的强大的并行处理能力,计算性能可达PC的250倍。这是一种什么样的计算能力呀!
不过大家也要清醒地认识到:不是所有的解密软件都可以利用到个人超级计算机的解密能力,只有支持专门支持GPU运算的软件才能够发挥出这种计算机的强大性能。而目前也仅有将GPU解密运算的发明者Elcomsoft公司才能够提供这种解密能力。
二、法证分析软件层出不穷
与硬件发展缓慢相对应,国际电子证据分析软件产品却如雨后春笋一般,涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK,这两个软件已经发展了若干年,基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错,从4.0、5.0到6.0版,差不多每年推出一个版本。相比之下,美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年,终于问世了,但这个庞大的系统对计算机的要求也实在有些高,使得很多用户很难适应。
最近几年,国际上先后推出了一系列的计算机法证分析工具,如德国X-ways公司的X-Ways Forensics,韩国FINALData公司推出的FINALForensics,澳大利亚的NuixForensicDestop。从欧洲、美国、澳大利亚这些计算机法证技术的先进国家来说,这些软件的出现可以说明显推动了冷清的市场。
国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制,也离不开数据恢复,因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力,快速的升级服务,X-ways Forensics立刻在世界各地受到热烈欢迎。
Nuix Forensic Desktop更是一个不可多得的数据分析工具,它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上,不仅能够直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系,加上其出色的多语言支持能力,该软件已经成为名副其实的法证工具。
三、在线取证工具成为热门话题
最近结识了F-Response的作者Matthew Shannon,并与几个组员一起测试了F-Response这个软件后,发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客,都对这个软件有高度的评价。简单来说,这个软件是一个在线取证工具的一个突破,他让过去遥不可及的Encase Enterprise企业版具备的功能,成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab结合。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多人都在重点研究在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response 的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。
四、计算机法证领域逐步拓宽----手机取证成关注
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,电子证据的研究领域已经越来越广泛。2007年开始,世界计算机法证界最热的大概就是三个话题:手机和MAC和Vista。
当今社会,计算机虽然已经非常普及,但也只能平均几个人才能拥有一台,但手机的拥有量和更新换代速度却令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据,让世界各国个行业不得不必须全力应对。值得一提的是厦门美亚柏科、上海盘石公司、韩国FinalData公司,都针对亚洲地区手机型号开展研究,这些研究成果不在欧美国家之下。
FinalData公司开发的Final Mobile Forensics 软件一上市,就得到美国联邦调查局等机构的关注,并得到的相关执法部门的认可。目前,该软件在美国、日本、韩国开始销售。
最近看到两篇关于iPhone手机取证的资料。iPhone是目前比较新的手机,受到了国内外用户的普遍喜爱。对这个设备的取证问题一直到的各国专业人士的关注。
第一篇是MobilEdit! Forensics的报道。目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下:
在连接iPhone之前,请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。 连接好iPhone和PC的连接线后,运行MOBILedit!,选择"File" 菜单中"Settings..." ,选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时,也将进一步开发对更新型号的iPhone手机的支持。
第二篇,是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能,不仅增加了对Windows的支持,还支持对 Apple iPhone的信息收集。在对iPhone的支持方面,MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息,目前可以获取的信息包括:
1、拨出电话、已结来电记录,包括电话号码、通话时长,日期、时间。
2、发送和接收的短信息,包括电话号码,短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码(通常打印在手机电池下面的机身上)
4、TMSI 码- 临时移动用户识别号,
5、IMSI 码- 国际移动用户识别码,保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号,包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看,国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较,相信MacLockPick II会更胜一筹。MacLockPick II的作者Marko与苹果公司有很好的关系,他从去年就开始关注iPhone的研究。特别是MaclockPick II可以从运行的Windows和MacOS计算机中调取曾经保存过的iPhone的同步记录,此功能毫无疑问将是一个亮点。
最新的iPhone取证工具要算Wolf了。这是一个专注于苹果iPhone取证分析的一个专业工具,最新版刚刚发布不久。这个工具应该是一个最专业的iPhone分析工具了。测试之后,感到功能极强。分析来看该软件在2009年应该会有不俗的表现。
五、多平台将是计算机法证工具的发展趋势
从近年来国际市场上出现的多种工具,可以很有意思的发现,能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着,多平台是计算机法证工具的流行趋势呢?
Windows Vista作为世界软件巨头Microsoft推出的换代操作系统,令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大,但由于Vista系统可能会对电子证据产生的影响,使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。
Mac作为另类时尚一直只是少数人的热爱,但自推出双核、双系统概念之后,大量Windows用户也加入到Mac的阵营。几年前,各国计算机法证专家还在发愁如何有效分析Mac数据,但今年,作为Mac数据分析技术的领跑者,美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时,可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro,更成为计算机法证领域创新和高性能的代表。
MacForensicsLab最早只能在MacOS环境下使用,但不到一年,Marko就推出了Windows和Linux版本。“一个跨平台的工具,您唯一的工具”,就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距,仅凭跨平台一点,就可以说他们领先一步。
接下来,我们再看看F-Response。它不是一个单独的取证工具,但却是一个可以配合任何取证工具,并扩展各种取证工具网络取证功能的一个软件。F-Response刚刚推出了Linux版本下的工具,可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此,它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具,调查员已经不用对嫌疑计算机可能使用的不同操作系统而担心了。
那么Linux环境下使用什么分析工具呢? Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家,他开发了第一个计算机法证工具Expert Witness,后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart,的确有其独到之处。国际上有句说法:“Smart people don't use Encase”。一语双关。使用Smart的人,也都是“聪明的人”。从他的代表作品,您就完全可以想象出Smart是什么样的工具。除了Linux版本,Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。
再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具,简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。一般的光盘启动工具,对于使用Windows、Linux系统的PC机,甚至Intel架构的MacBook都非常容易,但对于PPC架构的苹果机,这些启动光盘就失效了。而Peter的OSI工具中同时包含了2张光盘,您用完全一样的操作方法,就可以实现对PPC和INTEL架构这两种不同类型计算机的数据获取,而且兼容性非常好。这应当是目前支持多平台的数据获取工具的杰出代表了。
通过上面的简单说明,我们可以看到应用在多平台之上的取证分析工具,以及可以适应多平台取证需求的工具越来越多,这给计算机法证人员带来了很大的便利。世界在不断进步,计算机技术在不断进步,计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况,而打击高科技犯罪更需要各种各样的利剑。
六、硬件方式的只读锁与写保护软件
在民事和刑事调查中,读取或分析硬盘或其他移动存储中的数据时,保留原始文件内容和时间戳是非常关键的,这也是保持证据原始性的一个要求。但很多人没有意识到,将硬盘或移动存储设备连接到计算机上使用时,会造成硬盘中的数据更改。因此要保证证据的原始性,必须要使用写保护设备。律师行、调查公司或其他电子证据服务机构,应该和专业计算机法证机构一样,更应该注意这一点。大家都知道,读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是,应该注意的是,在将证据文件刻录到光盘的时候,却会改变原始证据文件的时间戳。
现在市场上有很多硬件设备可以实现硬件写保护功能。如果需要使用硬件写保护设备,目前市场上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。如软件写保护工具,可以选用 Safe Block XP。
当使用选购硬件写保护设备时,你可能会发现你不得不考虑到各种存储介质,比如不同类型的硬盘接口,USB闪存(优盘)、闪存卡、火线硬盘等等。这些加在一起需要上万元了。相比起来,我认为选用软件写保护方法,如 Safe Block XP ,可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多,可以运行于 Windows XP 中,允许用户对各种存储介质添加只读保护。此外,Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。软件方式可以使用计算机本身的各种接口,而硬件写保护设备目前主要局限于USB和火线接口。
七、数据恢复与数据法证恢复
计算机法证和数据恢复,我们暂不去在这里考究哪个概念涉及的领域更多,况且这两项技术本身也是密不可分的。数据恢复是一个发展非常快,需要非常大,技术性很强的产业,每一个个人可能都会涉及到数据恢复的需求。而计算机法证是一项专业性非常强的技术,不是每一个普通人都可以涉及到的。我们可以暂时将计算机法证技术中涉及到的数据恢复技术成为“数据法证恢复”。相信不用多久,数据法证恢复服务将在国内越来越多。
近日有机会与国内计算机数据恢复产业的领头人“效率源科技”的梁总进行了技术探讨,之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品,已经被几十个国家上千家数据恢复专业人士所使用,且声誉超过国外其他同类竞争产品。这效率源的产品,使国外数据恢复同行离不开中国技术,也将中国数据恢复技术的能力在世界上得到了展示。因此,我真心希望效率源技术更加成熟,规模进一步扩大,将中国的技术能力和信誉全方位地展示。
而中国的计算机法证技术和产品何时能够也在国际上脱颖而出?
效率源最新推出了Data Compass™ 数据指南针高智能化的多功能计算机法证专业硬件设备。测试了该设备后发现,最让人吃惊的是利用DC能够获取出那些连计算机都无法识别的故障硬盘中的数据,而且更可以从坏道严重的硬盘中读取出更多的数据。这种功能的设备一般只有在专业的数据恢复公司才可以进行,国际计算机法证专业人士普遍都无法做到。这可是完全的国货呀!相信这种既是只读锁,又是超级数据恢复设备的小设备,很快就会在国际计算机法证领域中推广开。
八、期待综合解决方案
面对如此众多的工具,计算机法证人员需要使用什么才能更有效、更全面地完成打击高科技犯罪的任务呢?
近日,温习到邓老的“名言”---不管黑猫、白猫,能抓老鼠就是好猫。豁然开朗。
中国计算机取证技术需要发展,但我们也不用总是苦恼自己没有全面的好工具。国内的研究人员也在努力,而且已经有了不俗的成绩。那么在等待中国自主的法证工具普及的同时,用几年国外的工具,学习学习也是好的呀。关键是要有能力把各种工具的功能掌握好,把精髓搞明白。
因此,我看“计算机取证综合解决方案”还是需要的。这是什么呢?实际就是一个“工具精选”。就是采用跨平台、多系统、全方位、多功能、流程化的设计理念,将PC、MAC、Linux;单机、在线、网络;取证、分析、查看;硬盘、内存、闪存;破解、修复、恢复集于一体,用最少软件的最精功能实现计算机取证的全部需要。只要组合合理,作用有效,就是好方案。
结束语
世界各国电子证据技术研究和发展,带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。目前在亚太地区,中国香港、中国台湾、韩国、日本、新加坡等地区,计算机法证技术发展非常迅速。特别是在中国香港,HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构,有效推动了该地区的计算机法证技术的发展。而国内,作为唯一一个计算机法证民间团队,中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者,为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入,相信国内专业人士将能够更全面地了解国内外计算机法证技术的发展,从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。
订阅:
评论 (Atom)
