一、与电子证据相关的硬件产品发展速度减慢
美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。2003-2006年间,是国际电子证据相关硬件产品发展最为鼎盛的时期,各种硬盘复制机速度从1.8GB到3GB不断攀升,写保护接口从单一的IDE硬盘接口,到SCSI、SATA、USB、火线种类层出不穷,PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样,出现了皮箱型、工控型,服务器型等。这些产品的大量出现,对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始,国际各国计算机法证相关硬件产品发展速度渐缓,除简单的升级换代之外,没有什么更有创意的新产品出现。
冷清了一两年之后,我们看看有什么新的发展:
1.硬盘复制设备:Logicube公司推出了SuperSonix,一个应有于IT界的硬盘克隆工具,速度可达6GB。这个设备对于调查行业来说可以算个福音,对法证界还无法使用。但是Logicube在民间应用之后,应该很快就推出法证版的型号了。可以期待一下。
2.写保护设备:ICS 公司推出了Super DriveLock写保护设备,具有全面的接口,外观设计和实际功能都很不错。特别是最新的eSATA接口可以明显提高速度。
3.2008年,DataExpert推出的硬盘修复诊断破解设备、效率源推出的DC指南针都比较有特色,对计算机取证人员所遇到的故障硬盘有很大的帮助作用。
4.俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清的解密市场一剂强心针。北京天宇宁公司将俄罗斯Elcomsoft推荐的个人超级计算引入国内,将密码破解水平提升到一个全新的水平。设想一下:拥有960个核心的强大的并行处理能力,计算性能可达PC的250倍。这是一种什么样的计算能力呀!
不过大家也要清醒地认识到:不是所有的解密软件都可以利用到个人超级计算机的解密能力,只有支持专门支持GPU运算的软件才能够发挥出这种计算机的强大性能。而目前也仅有将GPU解密运算的发明者Elcomsoft公司才能够提供这种解密能力。
二、法证分析软件层出不穷
与硬件发展缓慢相对应,国际电子证据分析软件产品却如雨后春笋一般,涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK,这两个软件已经发展了若干年,基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错,从4.0、5.0到6.0版,差不多每年推出一个版本。相比之下,美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年,终于问世了,但这个庞大的系统对计算机的要求也实在有些高,使得很多用户很难适应。
最近几年,国际上先后推出了一系列的计算机法证分析工具,如德国X-ways公司的X-Ways Forensics,韩国FINALData公司推出的FINALForensics,澳大利亚的NuixForensicDestop。从欧洲、美国、澳大利亚这些计算机法证技术的先进国家来说,这些软件的出现可以说明显推动了冷清的市场。
国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制,也离不开数据恢复,因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力,快速的升级服务,X-ways Forensics立刻在世界各地受到热烈欢迎。
Nuix Forensic Desktop更是一个不可多得的数据分析工具,它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上,不仅能够直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系,加上其出色的多语言支持能力,该软件已经成为名副其实的法证工具。
三、在线取证工具成为热门话题
最近结识了F-Response的作者Matthew Shannon,并与几个组员一起测试了F-Response这个软件后,发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客,都对这个软件有高度的评价。简单来说,这个软件是一个在线取证工具的一个突破,他让过去遥不可及的Encase Enterprise企业版具备的功能,成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab结合。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多人都在重点研究在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response 的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。
四、计算机法证领域逐步拓宽----手机取证成关注
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,电子证据的研究领域已经越来越广泛。2007年开始,世界计算机法证界最热的大概就是三个话题:手机和MAC和Vista。
当今社会,计算机虽然已经非常普及,但也只能平均几个人才能拥有一台,但手机的拥有量和更新换代速度却令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据,让世界各国个行业不得不必须全力应对。值得一提的是厦门美亚柏科、上海盘石公司、韩国FinalData公司,都针对亚洲地区手机型号开展研究,这些研究成果不在欧美国家之下。
FinalData公司开发的Final Mobile Forensics 软件一上市,就得到美国联邦调查局等机构的关注,并得到的相关执法部门的认可。目前,该软件在美国、日本、韩国开始销售。
最近看到两篇关于iPhone手机取证的资料。iPhone是目前比较新的手机,受到了国内外用户的普遍喜爱。对这个设备的取证问题一直到的各国专业人士的关注。
第一篇是MobilEdit! Forensics的报道。目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下:
在连接iPhone之前,请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。 连接好iPhone和PC的连接线后,运行MOBILedit!,选择"File" 菜单中"Settings..." ,选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时,也将进一步开发对更新型号的iPhone手机的支持。
第二篇,是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能,不仅增加了对Windows的支持,还支持对 Apple iPhone的信息收集。在对iPhone的支持方面,MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息,目前可以获取的信息包括:
1、拨出电话、已结来电记录,包括电话号码、通话时长,日期、时间。
2、发送和接收的短信息,包括电话号码,短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码(通常打印在手机电池下面的机身上)
4、TMSI 码- 临时移动用户识别号,
5、IMSI 码- 国际移动用户识别码,保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号,包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看,国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较,相信MacLockPick II会更胜一筹。MacLockPick II的作者Marko与苹果公司有很好的关系,他从去年就开始关注iPhone的研究。特别是MaclockPick II可以从运行的Windows和MacOS计算机中调取曾经保存过的iPhone的同步记录,此功能毫无疑问将是一个亮点。
最新的iPhone取证工具要算Wolf了。这是一个专注于苹果iPhone取证分析的一个专业工具,最新版刚刚发布不久。这个工具应该是一个最专业的iPhone分析工具了。测试之后,感到功能极强。分析来看该软件在2009年应该会有不俗的表现。
五、多平台将是计算机法证工具的发展趋势
从近年来国际市场上出现的多种工具,可以很有意思的发现,能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着,多平台是计算机法证工具的流行趋势呢?
Windows Vista作为世界软件巨头Microsoft推出的换代操作系统,令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大,但由于Vista系统可能会对电子证据产生的影响,使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。
Mac作为另类时尚一直只是少数人的热爱,但自推出双核、双系统概念之后,大量Windows用户也加入到Mac的阵营。几年前,各国计算机法证专家还在发愁如何有效分析Mac数据,但今年,作为Mac数据分析技术的领跑者,美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时,可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro,更成为计算机法证领域创新和高性能的代表。
MacForensicsLab最早只能在MacOS环境下使用,但不到一年,Marko就推出了Windows和Linux版本。“一个跨平台的工具,您唯一的工具”,就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距,仅凭跨平台一点,就可以说他们领先一步。
接下来,我们再看看F-Response。它不是一个单独的取证工具,但却是一个可以配合任何取证工具,并扩展各种取证工具网络取证功能的一个软件。F-Response刚刚推出了Linux版本下的工具,可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此,它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具,调查员已经不用对嫌疑计算机可能使用的不同操作系统而担心了。
那么Linux环境下使用什么分析工具呢? Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家,他开发了第一个计算机法证工具Expert Witness,后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart,的确有其独到之处。国际上有句说法:“Smart people don't use Encase”。一语双关。使用Smart的人,也都是“聪明的人”。从他的代表作品,您就完全可以想象出Smart是什么样的工具。除了Linux版本,Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。
再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具,简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。一般的光盘启动工具,对于使用Windows、Linux系统的PC机,甚至Intel架构的MacBook都非常容易,但对于PPC架构的苹果机,这些启动光盘就失效了。而Peter的OSI工具中同时包含了2张光盘,您用完全一样的操作方法,就可以实现对PPC和INTEL架构这两种不同类型计算机的数据获取,而且兼容性非常好。这应当是目前支持多平台的数据获取工具的杰出代表了。
通过上面的简单说明,我们可以看到应用在多平台之上的取证分析工具,以及可以适应多平台取证需求的工具越来越多,这给计算机法证人员带来了很大的便利。世界在不断进步,计算机技术在不断进步,计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况,而打击高科技犯罪更需要各种各样的利剑。
六、硬件方式的只读锁与写保护软件
在民事和刑事调查中,读取或分析硬盘或其他移动存储中的数据时,保留原始文件内容和时间戳是非常关键的,这也是保持证据原始性的一个要求。但很多人没有意识到,将硬盘或移动存储设备连接到计算机上使用时,会造成硬盘中的数据更改。因此要保证证据的原始性,必须要使用写保护设备。律师行、调查公司或其他电子证据服务机构,应该和专业计算机法证机构一样,更应该注意这一点。大家都知道,读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是,应该注意的是,在将证据文件刻录到光盘的时候,却会改变原始证据文件的时间戳。
现在市场上有很多硬件设备可以实现硬件写保护功能。如果需要使用硬件写保护设备,目前市场上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。如软件写保护工具,可以选用 Safe Block XP。
当使用选购硬件写保护设备时,你可能会发现你不得不考虑到各种存储介质,比如不同类型的硬盘接口,USB闪存(优盘)、闪存卡、火线硬盘等等。这些加在一起需要上万元了。相比起来,我认为选用软件写保护方法,如 Safe Block XP ,可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多,可以运行于 Windows XP 中,允许用户对各种存储介质添加只读保护。此外,Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。软件方式可以使用计算机本身的各种接口,而硬件写保护设备目前主要局限于USB和火线接口。
七、数据恢复与数据法证恢复
计算机法证和数据恢复,我们暂不去在这里考究哪个概念涉及的领域更多,况且这两项技术本身也是密不可分的。数据恢复是一个发展非常快,需要非常大,技术性很强的产业,每一个个人可能都会涉及到数据恢复的需求。而计算机法证是一项专业性非常强的技术,不是每一个普通人都可以涉及到的。我们可以暂时将计算机法证技术中涉及到的数据恢复技术成为“数据法证恢复”。相信不用多久,数据法证恢复服务将在国内越来越多。
近日有机会与国内计算机数据恢复产业的领头人“效率源科技”的梁总进行了技术探讨,之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品,已经被几十个国家上千家数据恢复专业人士所使用,且声誉超过国外其他同类竞争产品。这效率源的产品,使国外数据恢复同行离不开中国技术,也将中国数据恢复技术的能力在世界上得到了展示。因此,我真心希望效率源技术更加成熟,规模进一步扩大,将中国的技术能力和信誉全方位地展示。
而中国的计算机法证技术和产品何时能够也在国际上脱颖而出?
效率源最新推出了Data Compass™ 数据指南针高智能化的多功能计算机法证专业硬件设备。测试了该设备后发现,最让人吃惊的是利用DC能够获取出那些连计算机都无法识别的故障硬盘中的数据,而且更可以从坏道严重的硬盘中读取出更多的数据。这种功能的设备一般只有在专业的数据恢复公司才可以进行,国际计算机法证专业人士普遍都无法做到。这可是完全的国货呀!相信这种既是只读锁,又是超级数据恢复设备的小设备,很快就会在国际计算机法证领域中推广开。
八、期待综合解决方案
面对如此众多的工具,计算机法证人员需要使用什么才能更有效、更全面地完成打击高科技犯罪的任务呢?
近日,温习到邓老的“名言”---不管黑猫、白猫,能抓老鼠就是好猫。豁然开朗。
中国计算机取证技术需要发展,但我们也不用总是苦恼自己没有全面的好工具。国内的研究人员也在努力,而且已经有了不俗的成绩。那么在等待中国自主的法证工具普及的同时,用几年国外的工具,学习学习也是好的呀。关键是要有能力把各种工具的功能掌握好,把精髓搞明白。
因此,我看“计算机取证综合解决方案”还是需要的。这是什么呢?实际就是一个“工具精选”。就是采用跨平台、多系统、全方位、多功能、流程化的设计理念,将PC、MAC、Linux;单机、在线、网络;取证、分析、查看;硬盘、内存、闪存;破解、修复、恢复集于一体,用最少软件的最精功能实现计算机取证的全部需要。只要组合合理,作用有效,就是好方案。
结束语
世界各国电子证据技术研究和发展,带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。目前在亚太地区,中国香港、中国台湾、韩国、日本、新加坡等地区,计算机法证技术发展非常迅速。特别是在中国香港,HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构,有效推动了该地区的计算机法证技术的发展。而国内,作为唯一一个计算机法证民间团队,中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者,为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入,相信国内专业人士将能够更全面地了解国内外计算机法证技术的发展,从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。
没有评论:
发表评论