GitChat · 安全 | 揭秘我国的电子取证技术

GitChat 作者：肖志华
原文：电子取证技术基础与实践
关注微信公众号：GitChat 技术杂谈，一本正经的讲技术

取证，司法解释是具有调查取证权的国家机关对于立案处理的案件，为查明案情，收集证据。电子取证，顾名思义可理解为基于计算机的证据收集。

取证相关介绍

对于电子取证的介绍，百度是这样回答的：电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

电子证据概念

电子证据在很多年前已经作为一种新兴证据被列入法律，但我实在是没找到这个法律条文……

现在的中华民族共和国刑事诉讼法，中华人民共和国刑法里的第四十八条里，电子证据是在第八条，这八条依此是：

物证
书证
证人证言
被害人陈述
犯罪嫌疑人、被告人供述和辩解
鉴定意见
勘探、检查、辨认、侦查实验等笔录
视听资料、电子数据

证据必须经过查证属实，才能作为定案的根据。那么，怎么去取证，下面我们来讲讲正确的取证姿势。

电子取证行业标准

上图这个表，就是在取证里，怎么去取证操作才能是合法的，必须遵守公安机关电子取证鉴定规则，基于这条规定，你的取证才能合法合理的。

现场取证技术

现场取证，涉及到计算机取证硬件、软件、移动智能取证工具，这里我们分开详讲。

计算机取证硬件

硬盘复制机，他的功能就是对硬盘进行一个打镜像，进行复制然后取证的工具，因为取证过程是不允许对原硬盘进行直接操作，都需要打镜像。如下图：

这就是一个正在运行的复制机，结构根据厂商都有稍不同。
硬盘只读锁

硬盘只读锁，来看看这是个什么玩意。

硬盘只读锁的功能就是，给硬盘加上一块锁，阻止写入通道，有效的保储存介质中的数据在获取和分析过程里不会被修改，从而保证取证工作的司法有效性于数据完整性。简单说就是，确保我拿到手的硬盘数据是原生态，没有被二次修改过的一个设备。
取证一体机

一体机这个比较好理解，基于拷贝克隆、读取、销毁于一体的取证设备。
取证塔，和一体机的一样的，不过是多了一些ID分析接口和集合的大平台。
介质修复设备

这个设备的作用就是个修复设备，可理解为“医疗兵”，硬盘磁道坏了，就用这个设备结合软件进行修复。工作环境必须无尘。

设备就介绍完了，接下来讲讲计算机取证软件，计算机取证软件分为国内外，值得一提的是，硬盘隐藏数据以上设备也是能读取出来的，加不加锁形同虚设。

计算机取证软件

国外取证分析软件：

ENcase
X-Ways
FTK

国外取证分析软件：

取证大师
盘石介质取证分析系统

以上设备均可取证，比如一木马制作者制作的木马威胁用户很多，在中途过程中他在浏览器IE里搜索过：怎么写入注册表实现开机自启过杀毒。那么以上软件均可在读取到你的搜索记录。

分布式取证系统

分布式，怎么理解，建立在网路之上的软件系统。

这是一份文档，提供个链接给大家：

http://www.chinacloud.cn/upload/2014-04/14041406572100.pdf?WebShieldDRSessionVerify=Izq4UwNheLLIWpOvgpD6

作用就是，采集单个设备的数据，上传云，在系统里搜索关键词进行比对发现问题，一般用于公安局省厅。

智能终端取证

人工分析

智能终端也跟的比较快，刚开始是人工分析的，比如拍照或者手抄分析，效率也普遍较低。(人工分析）

逻辑分析

人才有逻辑，计算机逻辑也是人工编的逻辑，一成不变，也不知变通。逻辑分析是用取证软件对照手机电话本、QQ、微信、邮箱等信息的获取，进行人为逻辑分析，也是等于给嫌疑人画像，即使你已经见过他的样子了。

JTAG分析

也就是十六制镜像。在电影里有这样的情节，一个犯罪团伙老大，联系了他的杀手后，就把手机砸碎，放厕所里，或者是丢水里。以前看刘德华的一部电影，华仔是反派还是间谍身份，公安组在手机上安装了GPS定位，团伙老大等华仔接完电话后就让华仔把车扔对面水池里，与此同时，公安也失去的定位。

讲道理的话，手机砸碎和丢水里都是能够取证的，如果利用JTAG芯片分析技术，还是能做数据提取的，因为手机芯片上是记录了运动轨迹的。

iPhone，iPod也都属于移动智能终端，遇到人为损坏的，特殊情况下，照样是能取的。

动态仿真

这个就比较前沿了，动态，仿真，有没有人能想到？安卓模拟器用过吧？这就是比较接近的，类似于模拟器进行手机仿真，比如你在微信群里讨论一些政治敏感的内容，如果拿到了你的手机，我是能够还原你聊天的一幕幕，对你聊天的场景进行模拟，你做了什么，发了什么图，就好像是我自身在进行对话。

还有就是，群里发送黄色视频这种，如果影响大，公安指定取证的话，是对你的微信QQ提取文件分析，转发了多少，影响范围，甚至还有播放数量，查到源头，也不是完全不可能。

远程勘验技术

远程勘验取证技术包括也比较多，有网络取证和现场取证，也有Web网页取证和服务器取证技术等，一一详解。

现场取证与网络取证

这个图就已经说明是现场和网络取证的不同和相关技术。

现场取证

分为静态取证，事后取证。证据链的发端，软硬件的恢复技术，数据格式分析于检索技术。现场一般是静态取证，也就是事后取证，证据面的开始，就会接触到一些软硬件的恢复，对软件进行数据的分析和检索。

假设，到现场发现一台电脑，如果是开机状态，你就不能关机的。只能对电脑进行开凿然后进行数据提取，如果是关机状态，就只能保持关机，直接对硬盘进行复制，打镜像。做到开机不关，关机不开即可。

服务器如果取证的话，取证的话，是不能正常关机的，只能直接拔掉电源。你也可以理解为，直接拔掉电源，防止有人远程连接服务器进行数据篡改。

静态取证，是电脑已经摆在面前了，直接对数据进行分析。事后取证，是已经案发了，这个事情已经发生了，我们在进行一个取证调查过程。软硬件恢复技术，是对数据进行恢复，因为你不知道他的硬盘是否进行了一次格盘操作，当你找不到相关的信息，得到允许后，你可对当前的硬盘进行一次数据恢复。

有个案子，是一个制作外挂的，非法牟利百万，严重影响了游戏厂商正常运营，无奈选择报案，当公安局抓获嫌疑人后，在他的硬盘里没有找到外挂源代码或者是其他信息，取证方就可以思考，是否在我们来之前，嫌疑人就已经把硬盘数据删掉了，正常的取证你是取不到什么，所以只能对硬盘做一次数据恢复然后尝试取证。

数据格式分析检索技术，这个比较好理解，数据格式，比如是TXT，word，PPT，EXE都属于一个格式，取证过程对你想要的数据进行格式检索，提高效率之用。

网络取证

网络取证，他是区别于现场取证的，网络取证都是动态的一种取证方式，现有大多数案子都是网络取证的。

数据抓取技术：利用抓包工具（wireshark等），对信息日子进行分析，过滤IP等等。

海量数据与协议分析：有关海量的，必定是基于大数据平台，海量数据与协议分析就是基于大数据平台来获取相关信息。

网络取证的内容也比较多，首先你得对来源进行取证，也就是犯罪嫌疑人所在的位置，取证的内容包括 IP地址，MAC地址，电子邮件（邮件头有IP地址），一些软件或者的互联网的账号等。

有个案例是，一黑客对手机用户进行木马植入，取证方对木马APK进行反编译，从而发现黑客做数据提交的一个IP地址，查阅后发现是某大型云服务器平台，从而提交到相关人员，锁定此人。

事实取证：确定犯罪事实的具体内容和过程。

这个取证的内容包括网络状态和数据包分析、日志文件分析、然后对文件内容进行调查、使用痕迹调查，软件的功能分析等。

数据包分析就和数据抓取一样了，日志文件的分析，像WIN系统都有运行日志，像伪基站系统，他也会记录日志，什么时候向什么人发送了什么信息，这些都是可以在日志里得到的。文件内容调查，取证时对相关文件进行调查分析，比如一个商业机密的Word或者是合同。

使用痕迹的分析，就好比什么用户，什么时候做了什么事。比如我在我电脑上插上U盘，拔下，拷贝录入和删除行为，都属于使用痕迹。

软件功能分析，有可能涉及到对软件进行OD反编译，如果有源代码就对源代码分析，没有就只能分析软件运行后的行为，一步一步调试。

这个一是自己搭建环境，在环境里对功能进行分析。有点类似于分析一个病毒，他运行后是调用了系统的什么进程。

二就是对源代码分析了，也需要对编程有所了解，得看懂源码才行。

网络取证相关技术

蜜罐取证技术，也就是挖一个坑让你跳，跳了我就知道你的行为。也包括上面所讲的网络数据包分析取证技术。还有一个数据挖掘技术，也就是对数据进行恢复、提取、深入的分析。

网络数据包分析取证工具：

功能和优势都列举出来了，需要体验的请自行百度下载。

网页取证相关技术

查看网页使用语言，网站信息，利用爬虫来获取网站相关数据。
网站/服务器取证技术

远程链接登陆服务器（如有需要，获取服务器账号密码的手段不限）查看日志，截获快照，但是全程都必须屏幕录制，是必须。
新型取证技术

新型取证技术，内存取证，芯片取证，云取证，物联网取证，边信道于量子计算。
内存取证技术
- 内存证据以及和硬盘证据成为打击网络违法犯罪的重要依据。
- 内存证据分析可被用于发现系统的各种关键信息和用户行为特征。
- 内存取证技术也可被用户恶意代码检测的分析。

内存取证实践：

虚拟内存文件
休眠文件
内存转储
DMA
冷启动

这是一个内存取证的完整过程，1.2名词请百度一下。

DMA的原理就是，数据传输要经过CPU然后再传给电脑，这时候直接转到DMA，不经过CPU，数据传输非常快，但是保存数据量比较小。

冷启动，按住电源键强制启动或者关机，就是冷启动。但是可能会造成数据的丢失，这些数据都保存在内存，冷启动取证就是对机器进行冷却，尽快的恢复数据。

以上就是对内存进行喷冰处理。

内存转储文件：内存转储是用于系统崩溃时，将内存中的数据转储保存在转储文件中，供给有关人员进行排错分析用途。而它所保存生成的文件就叫做内存转储文件。

芯片取证技术

这个是针对现有手机取证工具无法解决的问题，才会搬出芯片取证技术，多涉及硬件。

已损坏的手机（恶意破坏）可以用这种情况。
掩埋，水浸等原因无法开机。
数据接口（USB等）无法使用的手机，但屏幕可正常亮起。
设置密码且没有办法解锁的手机。

以上情况都可用于芯片取证技术。

现在来介绍一下芯片取证的相关流程:

这是个被摔坏的手机。将它拆解，如下图红框里所示的就是芯片所在位置。

拆下芯片后，连接取证工具，选择芯片类型，设置芯片镜像文件，继续对芯片镜像进行读取。

镜像读取完以后就可操作解析恢复，以及仿真。仿真他是模拟手机的实际运行环境。如下图微信红包所示。

一个芯片取证到这里就算结束了。

IOS取证实践：

取证工具
硬件/系统漏洞
iCloud
社会工程学
暴力破解

IOS取证国内外都有工具，但是是比较难的，在没有越狱的情况下。限制比较多。线下取证的话，可使用IOS的备份功能，将应用数据一起备份出来。然后再解析数据。原理实现就是iCloud的备份功能，用过iPhone的都知道，连上了就会问你备不备份可下载到本地。

漏洞/硬件漏洞，iPhone能被越狱。

iCloud，用户名和密码。

社会工程学：这方面用的很少，主要是利用欺骗手段进行活动。

暴力破解：暴力破解现只支持IOS7以下的版本，高于7 都是无法破解的。

IOS取证流程

吹下iPhone flash芯片并使用复制设备制作副本。
讲副本使用测试架桥接至iPhone主板然后开机。
穷举密码，进行暴力破解额，5-10次为一轮。
如果触发了IOS安全机制，被锁定或者是数据抹除，那么更换副本继续测试。
直到解锁。

网络取证上，IOS比较难，因为要越狱。线下取证，越不越狱没关系的，都可直接取证。

云取证的相关技术

云端数据的保全和迁移：把数据从一个云端转移到另一个云端，保证数据的完整性。

云端服务重现：对他的服务里找到相关数据。

云数据恢复：数据被删了，想恢复就必须找到他的云服务商，找到服务器进行数据的恢复，涉及到硬盘恢复等技术。

在线取证：远程提取数据进行取证。

客户端现场取证：和在线取证一个意思。

物联网取证

物理安全。
物理俘获固件器件等修改。
接入层安全。
网络层安全。
应用层安全（数据安全、隐私保护）。

有兴趣的朋友可自行查阅资料，物联网没怎么接触过。

物联网取证相关技术

物联网黑匣子技术。
物联网分布式IDS技术。
物联网嗅探取证技术。

物联网黑匣子技术，是通过访问他的日志，固件更新日志，操作日志，用入侵检测（分布式IDS）的方式进行操作取证。

物联网嗅探取证技术，大多指摄像头监控，什么人在什么地点做什么事，进行取证。

边信道攻击与取证

新手段，边信道攻击简称SCA，是针对加密电子设备在运行过程中的时间消耗或者功率消耗之类、电磁辐射造成的信息泄露来进行攻击。如果想得到你的数据，是根据这几种来实现攻击。说明白一点就是窃听监听你的数据然后进行破译。感兴趣的朋友可以百度了解一下。

量子计算取证

还没普及，就跳过吧………

到此电子取证技术基础就结束了，硬盘数据恢复这个，军方的条件是格式化37次，基本上无法提取数据了，最简单的方法是格式化后用大文件覆盖硬盘空间，大文件也就指垃圾文件。

实录：《肖志华：电子取证技术解析》