GA部A级通缉犯马家爵在海南省三亚市被捕时,谁又会想到,计算机取证技术在这次成功抓捕中起到了多么重要的作用?就在北方各省市纷纷报出马家爵被发现的假消息时,公
安机关侦察人员已经通过计算机取证技术将搜查范围锁定在三亚了。当时,随着调查一步步地深入,侦察人员从其他渠道获悉,马家爵有一个特别的爱好——上网。于是,放在马
家爵宿舍里的计算机很快地成为了众矢之的。侦察人员发现,这台旧电脑的硬盘竟然已被狡猾的马家爵格式化了三遍之多,尽管这样,取证人员还是运用专业软件将其数据进行了
还原。经过对硬盘中存放的海量信息过滤,侦察人员发现马家爵在出逃前三天基本上都在搜集有关海南省的信息,特别是有关三亚的旅游、交通和房地产信息。干警们判断,马家
爵很有可能早就开始为自己的逃亡作准备了,而且目的地非常明确——三亚!正是这些线索使干警们在外松内紧的形势下,将警力重点布防在三亚,最终取得了抓捕的成功。
当参与办案的人员向记者回忆时,说:“如果没有数据还原和修复技术,没有海量信息检索技术,我们抓马家爵就好比大海捞针一样困难。”如今,计算机取证技术已慢慢施展出
它的绝妙武功,取证人员以快速镜像备份、数据恢复、数据分析几招剑式,步步凌厉地将罪犯分子逼上绝路,令其原形毕露。马家爵案的侦破只不过是计算机取证者打的又一个漂
亮仗而已。
然而,再绝世的剑术,假如没有武功奇才的勤勉修炼,也只能是一本深藏于山洞石壁的旷世秘籍。比起国外20余年的精研和发展,我们自己的计算机取证技术虽有多年的快速跳跃
式发展,却凸现出三大制约其向纵深发展的顽症。
顽症一 电子证据也能做呈堂证供吗?
尽管取证技术有着强大的威力,可是在案件的整个司法过程中,能否将计算机取证得到的电子证据当作呈堂证供,却成为了技术人员和法律专家争相探讨的问题。这里,所谓的电
子证据(Electronic Evidence),就是在计算机及相关设备中反映犯罪者犯罪的信息。它们主要来源于操作系统的日志,局域网内的IDS(网络入侵检测系统)、防火墙、 FTP、WWW
和反病毒软件日志,系统的审计记录,网络监控流量,E-mail,Windows操作系统和数据库的临时文件或隐藏文件,历史记录或会话日志、实时聊天记录等等。而表现形式也是纷
繁多样,综合了文本、图形、图像、动画、音频及视频等多种媒体信息。
从案件侦破角度来讲,取证技术人员认为计算机取证技术只是作为一种调查案件线索的有效手段,对侦破过程有着强有力的支持,但是这
视频号怎么关闭样的虚拟化线索却并不适合作为白纸黑字
的证据承交法庭。
北京市GA局刑侦总队副总队长左芷津博士向记者讲述了这样一个案例。2004年,GA部等 14个部委开展的打击网络情专项行动中,个别狡猾的犯罪嫌疑人拒不承认自己的犯
罪事实,他们在经营站的同时,在自己的电脑中安装后门程序,一旦东窗事发便狡辩说电脑是被别人控制了,而自己却并不知情。遇到这种情况,干警们一方面只能进一步
探求技术层面上的突破,另一方面,也只能使用其他的辅助手段,将虚拟的线索转化为犯罪嫌疑人的笔录,证人的口供等其他间接证据。
国内相关的技术组织“安全焦点”的核心成员向实,因为电子证据更多的时候以虚拟形态存在,那么就存在篡改、仿造,甚至是假冒的可能。
但是,法学精英却提出了迥然不同的看法。中国电子学会计算机取证专家委员会的委员、中国人民大学法学院讲师刘品新博士说:“‘电子证据是新一代的证据之王’!这既是信
息化时代的预言,亦是当代世界证据法领域面临的绝对挑战。现在,不仅美英等国出台了有关电子证据的法律制度,南非的《1983年计算机证据法》、菲律宾的《电子证据规则》
也为不发达国家此方面的立法树立了很好的榜样。”他表示,其实很多一线人员担心计算机取证不能作为证据,是完全没有必要的。虽然中国关于电子证据的立法还处于起步阶段
,也面临着与计算机取证相关的技术、方法和标准等方面的问题,但是由国外诸多法律、法规的可借鉴性来看,电子证据是完全可以作为真实有效的诉讼证据递交法庭,从而将罪
犯绳之以法的。
刘博士强调:“有一些案件只能依靠电子证据来作为决定性依据,比如交通JC通过自动违章检测仪对司机的违章行为进行拍照,以此作为证据来对司机施行处罚。再比如网络上
的一些侵犯著作权、名誉权的案件,GA部门也只能提取当事人的网页作为证据,而不可能将它们转化成传统证据。为了适应这种变化,我们国家的有关法律法规也相应有所调整
,比如去年颁布的《道路交通安全法》规定,电子JC拍摄的数据可以作为证据使用,这说明某些特殊领域已经出现了靠电子证据来定案的模式了。”
顽症二 “计算机取证”意识你也得有
就目前的案件侦破形式看,不同形态的犯罪活动的侦破过程都或多或少地运用到了计算机取证技术。
三国演义的主要内容2004年5月30日下午5时许,某大队接刑警大队协查通报,近来在该市出现一伙4~5人组成的抢劫团伙,这个犯罪团伙多次佯装乘坐出租车,在出租车行驶到市内比较偏僻的场所时
,暴力殴
打出租车司机索要钱财,将出租车司机捆绑,并将司机逼入汽车后备箱中,连人带车抛弃在市郊偏僻处。犯罪手段极其嚣张,严重影响了该市的社会治安秩序。负责
侦破该案的干警回忆:“现在越来越多的刑事案件需要计算机取证技术,因为很多调查的突破口就是通过犯罪嫌疑人爱好上网而获得的,从他们的QQ聊天记录、,甚至是
手机短信中,我们可以轻而易举的到作案证据。另外,通过相关的侦察手段给判断在案发时间嫌疑人是否在犯罪现场提供了极大的便利条件,就像这个案件的侦破便是利用了这
套系统。”
犯罪分子的生活方式依赖于计算机,更依赖于网络,这一方面给计算机取证工作带来便利条件,但另一方面对办案人员的要求也成倍地增加了,尤其是一线办案人员的计算机取证
笔记本数字键盘切换意识亟待加强。
自去年底开展的打击通过网络参与赌博活动的专项行动中,2004年12月20日晚,某地专项行动组经众举报,抓捕嫌疑人12人,在场的30 多台计算机也被办案人员带回了总
部。但是,由于他们仍然沿袭传统的方法,尽管经过多次问供,嫌疑人却拒不承认其罪行或者避重就轻。眼看着批捕回来的犯罪嫌疑人就要因证据不足而逍遥法外,民警却束手无
策。就在这时,侦察人员抵达了专案组,他们立即应用计算机取证技术,很快便通过查涉案计算机的上网历史记录、恢复了下注统计记录和相关涉案帐号(人员ID、银行帐号)
,将此团伙参与赌博的过程还原了出来。眼见铁证如山,嫌疑人终于供认不讳。
说到这儿,计算机取证工作看似更像是和一线办案民警关系重大,其实不然,企业和个人同样需要增强计算机取证意识,甚至需要掌握一些基本的取证技术。建立了“全国网络警
察培训基地”的厦门美亚柏科资讯科技有限公司代表胡力和先生,在大会上展示了“计算机取证”技术这一利器割下的种种网络毒瘤,但他也承认在一些案件的侦破中,受到不法
侵害的企业或者个人如果有较强的计算机取证意识,很多证据是很容易被到的
低格的硬盘照样可以恢复,因为操作系统(无论xp或dos)只是在需格式化扇区的头部标记了一下,告诉操作系统这里被格式化了,实际上该扇区的内容并未磁化,通过特殊手段
照样读取出来。 就算你把硬盘废了,只要盘面上的磁性物质完好,还是可以恢复数据。格盘没用
“1986年,‘挑战者’号宇宙飞船发射升空后没多久就爆炸了,3周后,在大西洋底打捞出来的机身残骸中到了黑匣子,它被送到了亚利桑那州Tucson,在专业实验室内进行数
据重组,”来自
日立数据系统有限公司(HDS)的高级存储应用主管Claus Mikkelsen介绍说,“哪怕磁介质经历了如此可怕的大爆炸、并在咸海水中浸泡了3周之久,哪怕最后送
到实验室中的只是一块块的磁盘碎片,上面存储的数据经过重组之后,全部被修复了。要知道,这是20年前发生的事情了,当时的科技水平已经这么发达了。
农历2022年二月黄道吉日查询哥伦比亚号上面的硬盘。。
爆炸后那么高摔下来。。。。
现在已经恢复了99%
以前在HP的一个研究室一起做过一次,一块西捷的scsi140G硬盘,被我们用3种不同工具低格了10遍,最后3个人恢复了83%的数据,低格《=7遍的时候,恢复所有数据的几率》95%
硬盘多次格式化等于一次格式化。所以一样可以恢复出来 现在jc已经采用了一些取证系统,能做到硬盘多次格式化后的完整数据重现
可靠的办法是至少将磁盘格式化并写入数据7次(注:其步骤包括完全格式化磁盘,然后写入由0和1组成的数据流;反转数据流中的0和1并再次写入;最后,写入随机的数据流)
。这些一来,即使以后有人想办法还原了旧磁盘里的残存数据,也只能得到一些不可读的垃圾信息。或者把硬盘拆开,取出磁碟,用磁铁破坏,对磁盘做“消磁”处理,通过产生
瞬时强磁场达到销毁数据的目的 用榔头猛砸,用电钻打上无数小孔, 放到火里焚烧
孙涛个人资料以前,一个哥们曾经告诉我,他从不担心数据外泄的问题,军队有军队的解决办法:将需要销毁的磁盘扔在地上,随便调来一辆坦克,在上面来回碾上几回,你觉得还能剩下点什
么呢
在使用Windows本身提供的删除工具,通常会被认为清空回收站之后,被删除的文件已经彻底清除了。不过事实并非如此,只要有专用的硬件和软件,即使数据已经被覆盖、驱动
器已经重新格式化、引导扇区彻底损坏,或者磁盘驱动器不再运转,我们还是可以恢复几乎所有的文件,通常情况下往往由于数据意外丢失寻求恢复帮助,但是做为双刃剑,同样
也会被不法分子所利用,尤其是我国各级敏感部门以及商业区域的重要信息,因此必须使用该系统进行剩余信息进行彻底删除!
要理彻底清除的数据,首先要搞清楚磁盘如何保存数据。硬盘驱动器里面有一组盘片,数据就保存在盘片的磁道(Track)上,磁道在盘片上呈同心圆分布,读/写磁头在盘片的表
面移动访问硬盘的各个区域,因此文件可以随机地分布到磁盘的各个位置,同一文件的各个部分不一定要顺序存放。存放在磁盘上的数据以簇为分配单位,簇的大小因操作系统和
逻辑卷大小的不同而不同。如果一个硬盘的簇大小是4K,那么保存1K的文件也要占用4K
的磁盘空间。大的文件可能占用多达数千、数万的簇,分散到整个磁盘上,操作系统的文件
子系统负责各个部分的组织和管理。当前,Windows支持的硬盘文件系统共有三种。第一种是FAT,即所谓的文件分配表(File Allocation Table),它是最古老的文件系统,从
DOS时代开始就已经有了。Windows 95引入了第二种文件系统,即FAT32,Windows NT 4.0则引入了第三种文件系统NTFS。目前的windowsXP以及Windows2003也都支持NTFS格式,由
于其安全性设计是目前应用比较多得一种格式,这三种文件系统的基本原理都一样,都用一个类似目录的结构来组织文件,目录结构包含一个指向文件首簇的指针,首簇的FAT入
口又包含一个指向下一簇地址的指针,依此类推,直至出现文件的结束标记为止。在Windows中,如果我们用常规的办法删除一个文件,文件本身并未被真正清除。例如,如果我
们在Windows资源管理器中删除一个文件,Windows会把文件放入回收站,即使我们清空了回收站(或者不启动回收站功能),操作系统也不会真正清除文件的数据。Windows所谓
的删除实际上只是把文件名称的第一个字母改成一个特殊字符,然后把该文件占用的簇标记为空闲状态,但文件包含的数据仍在磁盘上,下次将新的文件保存到磁盘时,这些簇可
能被新的文件使用,从而覆盖原来的数据。因此,只要不保存新的文件,被删除文件的数据实际上仍旧完整无缺地保存在磁盘上。这样就给数据带来一定的安全隐患,若保密数据
安抚奶嘴哪个牌子好没有得到及时清除,剩余在磁盘中的信息将被不法分子通过特殊渠道获取将对应用数据存在较大威胁。研究调查表明,98%以上计算机用户对此技术没有太多接触。
如果数据已经覆盖,用通常的恢复工具就无能为力了,但这并不意味着我们绝对不能挽救丢失的数据。读取硬盘上被覆盖的数据通常有两种办法。读/写磁头向磁盘写入数据
时,它会将磁化数据位的信号调整到某个适当的强度,但信号不是越强越好,不应超出一定的界限,以免影响相邻的数据位。由于信号强度不足以使存储媒介达到饱和的磁化状态
,所以实际记录在媒介上的信号受到以前保存在同一位置的信号的影响,例如,如果原来记录的数据位是0,现在被一个1覆盖,那么实际记录在磁盘媒介上的信号强度肯定不如原
来数据位是1的强度。专用的硬件设备能够精确地检测出信号强度的实际值,将这个值减去当前数据位的标准强度,就得到了被覆盖数据的副本。理论上,这个过程可以向前递推
七次,所以如果要彻底清除文件,必须反复覆盖数据七次以上,每次都用随机生成的数据
覆盖。通常而言,能够恢复已删除、覆盖的数据应该算是一件好事,当然,某些必须彻底
清除数据的场合除外。这方面最为著名的标准是美国国防部订立的磁盘清洗规范,它要求数据必须覆盖三次:第一次用一个8位的字符覆盖,第二次用该字符的补码(0和1全反转
的字符)覆盖,最后用一个随机字符覆盖。不过这个清洗方法不适用于包含高度机密信息的媒介,这类媒介必须进行消磁处理,或者销毁其物理载体。当然,对于大多数场合来说
,简单的覆盖处理已经足够。删除和覆盖文件还不能清除硬盘上的所有敏感数据,因为数据可能隐藏在某些意料之外的地方,所以文件占用的每一个扇区都必须彻底清除所谓扇区
,就是大小为512字节的数据片断,每个簇包含多个扇区。向磁盘写入文件时,文件的最后一部分通常不会恰好填满最后一个扇区,这时操作系统就会随机地提取一些内存数据来
填充空余区域。从内存获取的数据称为 RAM Slack(内存渣滓),它可能是计算机启动之后创建、访问、修改的任何数据。另外,最后一个簇中没有用到的扇区就原封不动,即保
留原来的数据,称为 Drive Slack(磁盘渣滓)。问题在于许多号称安全删除文件的工具不会正确清除内存渣滓和磁盘渣滓,而这些被称为渣滓的地方却可能包含大量的敏感信息
。在 NTFS文件系统中,每个文件包含多个流,其中一个流用来保存访问权限之类的信息,另一个流用来保存真正的文件数据。除此之外,NTFS还允许额外的数据流,即ADS
(Alternative Data Stream),ADS可以用来保存任何信息,最常见的用途是保存图形文件的缩略图。由于许多安全删除文件的工具不能清除ADS,所以即使存放文件实际数据的
流已经清除,但缩略图仍可能泄露机密。第二种数据恢复技术的依据是,磁头每次读/写数据时,不可能绝对精确地定位在同一个点上,写入新数据的位置不会刚好覆盖在原来的
数据上。原有数据总是会留下一些痕迹,利用专用的设备可以分析出原有数据的副本--称为影子数据。当然,如果我们反复执行覆盖操作,原有数据的痕迹也会越来越弱,能够完
全恢复的几率几乎为零。
如何进行数据清除
由于磁盘可以重复使用,前面的数据被后面的数据覆写后,前面的数据被还原的可能性就大大降低了,随着被覆写次数的增多,能够被还原的可能性就趋于0,但相应的时间
支出也就越多。密级要求的高低对应着不同的标准,低密级要求的就是一次性将磁盘全部覆写;高密级要求则须进行多次多规则覆写。
♂参考: 美国国防部 DOD 的 5220.22M 标准;北约 NATO
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论