数字取证实践指南(一)
原文:
annas-archive.org/md5/0bf21febc8db41989be66ed4cb38509d译者:飞龙
前言
本书将为您提供清晰的数字取证理解,从它作为取证学一个相对较新的子学科的出现,到它与更为成熟的取证学科一起,迅速增长的重要性。它将帮助您清晰理解数字取证实践者的角色,以及他们在网络犯罪和企业环境中恢复犯罪证据和民事违法行为证据的关键工作。通过真实案例研究,您将了解许多案件典型的复杂性,以及数字证据分析给实践者带来的挑战。
在过去的十年左右,数字取证作为高等教育课程的一部分以及执法和企业调查中的职业路径,受到了越来越多的关注。为了应对日益增多的依赖数字证据的案件,新的技术和取证流程应运而生。然而,越来越复杂、庞大的案件数量带来了问题,实践者面临资源和成本限制,同时还缺乏经过良好训练和有经验的人员。本书将描述这些挑战并提供一些解决方案,希望能帮助并赋能当前和未来的实践者在未来更有效地解决问题。
对于那些希望提升自己在恢复证据和帮助法律界理清重要发现方面的技能和经验的实践者来说,当前是一个既兴奋又充满挑战的时期。对于那些希望进入这一学科的人来说,他们正处于一个平庸、自满和疲劳令人失望地普遍的时期。进入这一行业的热情很可能会因单调和繁重的案件工作量而迅速消退,尽管这项工作的本质本身是激动人心且重要的。本书展示了减少单调和时间浪费的新的、更有效的方式,帮助实践者重新焕发活力,并恢复在追寻证据过程中的兴奋感,迎接充满新变化的希望之风。
本书内容
第一章,数字取证的角色及其环境,描述了数字取证环境——一个在广泛的取证科学领域内新兴的学科。它概述了刑事和民事法律案件中的主要数字取证环境,并描述了数字取证实践者的角色。
第二章,硬件和软件环境,介绍了计算机硬件、操作系统和应用软件的基本工作原理,并描述了恢复的数字证据的性质。书中还简要介绍了文件系统以及在取证检查过程中常见的文件,并深入探讨了文件加密和密码保护。
第三章,数字证据的性质和特殊属性,描述了数字证据的特殊特性,包括文件的性质、文件元数据和时间戳,这些构成了重建涉嫌犯罪事件的关键部分。本章介绍了数字证据的复杂性,并解释了法院对其在法律听证会中可采纳性的期望。
第四章,数字证据的恢复和保存,解释了根据法律惯例保存数字证据的重要性。它描述了法医恢复过程和用于在不同取证条件下无不当污染地获取数字证据的工具。
第五章,对更强大取证工具的需求,强调了传统法医影像和日益增大的数据集索引的冗余性,并介绍了新的法医过程和工具,以帮助更有效地恢复证据并更好地利用资源。本章介绍了当前挑战既定数字取证应对方法的颠覆性技术,以及对法医专家的过度依赖,法医专家们本身正面临着更繁重的案件负担和更大、更分散的数据集。
第六章,选择和分析数字证据,介绍了通过选择和分析可能用于法律程序的数字证据的迭代和交互阶段来进行数字信息的数字取证检查的结构。本章介绍了符合可接受取证标准的数字证据选择和分析的各个阶段。
第七章,Windows 及其他操作系统作为证据来源,帮助你理解计算机上处理的信息的复杂性和性质,这些信息对于法医检查至关重要。本章考察了典型的 Windows、Apple 及其他操作系统的结构,以便重建与恢复的数字证据相关的关键事件。它还涉及了恶意软件攻击以及违反者使用反取证策略所遇到的问题。
第八章,检查浏览器、电子邮件、消息系统和移动电话,探讨了互联网浏览器、电子邮件和消息系统、移动电话及其他手持设备,以及定位和恢复与个人通讯记录相关的数字证据的过程,例如电子邮件、浏览记录和手机记录。提到了提取和检查存储在计算机和手机中的重要人物之间通讯的价值。
第九章,验证证据,强调验证数字证据的重要性,确保尽可能全面地检查证据,以测试其真实性、相关性和可靠性。讨论了一些常见的陷阱,这些陷阱会降低数字证据的可采性,以及证据的证据价值或权重,同时也讨论了对证据进行开放性和无偏见测试和检查的必要性,作为日常事务。数字证据的呈现以及法务专家的角色在本章中有所概述。
第十章,增强从业者和其他利益相关者的能力,总结了本书内容,并回顾了目前学科内发生的变化。提供了一些新的过程和工具,这些工具能提升从业者的工作效率,减少每个案件的处理时间,同时帮助解开分析大型数据集的复杂性。
本书所需内容
本书不需要任何软件。
本书适用人群
本书适用于任何想进入数字取证领域的人。先前的编程语言知识可能有帮助,但不是必须的,也不是强制性前提。这是一本对有意成为数字取证从业者以及希望了解恢复和保存可能需要用于法律或纪律程序的数字信息性质的其他读者有帮助的指南。本书将吸引那些需要对这一快速发展的学科有基本了解的读者,包括:
-
警察、执法机关和政府调查机构
-
企业调查员
-
银行业务、商业和法务审计员
-
安全经理和调查员
-
IT 安全专业人员
-
税务合规调查员
-
国防和情报人员
-
法律界和犯罪学家
约定
本书中有多种文本样式,用于区分不同类型的信息。以下是一些样式示例及其含义的解释。
书中的代码词汇、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟网址、用户输入和 Twitter 账户名等,示例如下:“MS Word 文档,一个由 .docx 扩展名表示的文件。”
新术语 和 重要词汇 将以粗体显示。在屏幕上看到的单词,例如在菜单或对话框中,文本中将这样显示:“文件的确切视图显示在下面的截图中,显示了 属性 工作表。”
注意
警告或重要说明将以这种框的形式显示。
提示
提示和技巧像这样显示。
读者反馈
我们始终欢迎读者的反馈。请告诉我们您对这本书的看法——您喜欢什么或不喜欢什么。读者反馈对我们非常重要,因为它帮助我们开发出能让您最大程度受益的书籍。
要向我们发送一般反馈,只需发送电子邮件至 <feedback@packtpub.com>,并在邮件主题中提及书名。
如果您在某个主题方面具有专业知识,并且有兴趣编写或为书籍贡献内容,请参阅我们的作者指南,网址为 www.packtpub.com/authors。
客户支持
既然您现在是一本 Packt 图书的骄傲拥有者,我们提供了一些帮助您充分利用购买的资源。
下载本书的彩色图像
我们还为您提供了一份 PDF 文件,其中包含本书中使用的截图/图表的彩色图像。彩色图像将帮助您更好地理解输出结果的变化。您可以从 www.packtpub.com/sites/default/files/downloads/PracticalDigitalForensics_ColorImages.pdf 下载此文件。
勘误表
尽管我们已经尽最大努力确保内容的准确性,但错误仍然会发生。如果您在我们的书籍中发现错误——可能是文本或代码的错误——我们将非常感激您能向我们报告。这样,您可以帮助其他读者避免困扰,并帮助我们改进书籍的后续版本。如果您发现任何勘误,请访问 www.packtpub.com/submit-errata 进行报告,选择您的书籍,点击 勘误提交表单 链接,然后输入错误的详细信息。一旦您的勘误被验证,您的提交将被接受,并且勘误将上传到我们的网站或添加到该书籍标题的勘误表单中。
要查看先前提交的勘误,请访问 www.packtpub.com/books/content/support,并在搜索字段中输入书名。所需的信息将在 勘误 部分下显示。
版权问题
网络上的版权内容盗版问题在所有媒体中持续存在。我们在 Packt 对保护我们的版权和许可证非常重视。如果您在互联网上发现任何形式的非法复制品,请立即提供其位置地址或网站名称,以便我们可以采取补救措施。
如果你发现涉嫌盗版的内容,请通过 <copyright@packtpub.com> 与我们联系,并提供相关链接。
我们感谢你为保护我们的作者和我们提供有价值内容的能力所做的贡献。
问题
如果你对本书的任何方面有问题,可以通过 <questions@packtpub.com> 与我们联系,我们将尽力解决问题。
第一章:数字取证及其环境的作用
本书的目的是为您提供对数字取证的清晰理解,从其作为法医学子学科的相对较新兴起,到其在与更为成熟的法医学学科并行发展中迅速增长的重要性。本章将帮助您清楚地理解数字取证从业者的角色,以及网络犯罪和企业环境,在这些环境中,他们积极寻求犯罪和民事违法行为的证据。一小部分数字犯罪现场的案例研究将使您理解许多案件的典型复杂性以及对法医学从业者提出的挑战。
在过去大约 10 年里,数字取证作为高等教育课程的一部分,以及作为执法和企业调查职业道路的兴趣不断增长。为应对日益增长的依赖数字证据的案件,新的技术和法医学流程已经发展出来。然而,越来越复杂的案件、案件的规模和数量正在给从业者带来问题,同时从业者还面临资源和成本的限制以及缺乏经过良好培训的经验丰富人员。本书将描述这些挑战,并提供一些在我的实践和研究工作中帮助过我的解决方案,希望能够帮助并赋能当前及未来的从业者,更有效地应对未来的问题。
由于个人计算机的固有安全问题,尤其是它们在工作场所的普及,给执法部门带来了新的问题。例如,从事刑事调查或完成内部审计的组织通常会遇到繁琐的计算机记录检查,以恢复数字证据。这些检查迫切需要新的法医学流程和工具,帮助从业者更有效地完成他们的检查工作。
对于那些寻求增强自己在协助法律界中重要作用的从业者来说,现在是激动人心的时刻。对于那些希望加入这一学科的人来说,他们将会在一个从业者面临影响证据恢复与管理变革的十字路口时加入。平庸、自满和疲惫在这一学科中很常见,尽管这一工作本质上充满刺激和重要性,但进入这一职业的热情可能会因为单调的工作和繁重的案件负担而迅速消退。接下来将与您分享的是一些新的、更有效的方法,帮助减少单调和时间浪费,振兴从业者,并恢复寻找证据的兴奋感,这一过程受到正在席卷整个学科的变革之风的启发,如果一些挑战未得到解决,这股风潮最终将变成旋风。
本章将涵盖以下主题:
-
法医学,特别是数字法医学的历史和目的的概述
-
该学科的定义及其相对于更为传统法医学学科的作用
-
刑事调查的描述以及网络犯罪的兴起和性质
-
民事调查的概述及电子发现、争议和人员纪律调查的性质
-
对数字法医学从业人员角色、所需的技能和经验以及他们所面临的挑战的洞察
-
通过案例研究展示一些值得注意的数字取证犯罪现场,以突出这一主题
理解法医学的历史和目的——特别是数字法医学
法医证据被用于法庭或法律裁定中,尽管一些纯粹主义者不认为法医学是一门科学。这个术语可能会引起误解,但它可以应用于与特定科学相关的技术,而不是科学本身。法医学中有一些专业领域,如有争议的专家、法医牙医、土木工程师、汽车碰撞调查员、昆虫学家、指纹专家和犯罪现场重建专家。
法医学的起源
1879 年,巴黎警察局职员阿尔方斯·贝尔蒂永提出了一种通过拍摄尸体和犯罪现场遗留证据来记录犯罪现场的过程。贝尔蒂永对犯罪现场的创新性摄影记录,以及他对尸体的精确目录和测量,为与突发死亡和凶杀案件相关的法医学奠定了基础。这一方法有助于识别死者,并在尸检过程中提供重要信息,帮助确定导致死者死亡事件的相关情况。
贝尔蒂永在当时提出了刑事调查中的一种激进观点,认为应该使用科学和逻辑来调查和解决犯罪。他的科学工作极大地影响了他的一个追随者——埃德蒙·洛卡尔。
洛卡尔交换原则
洛卡尔交换原则是一个基本的法医学原则,基于在犯罪现场物理痕迹的常见交换。例如,指纹或 DNA 痕迹可能会留在现场,或者枪击的火药残留物可能会扩散到袭击者的衣服上。尽管本质上是间接的,这些痕迹有助于重建犯罪现场发生的事情,并可能识别出在场的人。我们将在本书中看到这个原则如何同样适用于数字取证。
在以下引用中可以找到一个常被引用的原则:“一个人的犯罪行为不可能不留下痕迹”,或者更简洁地说,“每一次接触都会留下痕迹”。Inman 和 Rudin(2001 年,第 44 页)更有意义地断言,没有人能够在进行犯罪行为时不留下大量的痕迹:要么犯罪者在犯罪现场留下了痕迹,要么,另一方面,他在身上或衣物上带走了表明他去过哪里或做过什么的痕迹。
虽然法医学分析自贝尔蒂永(Bertillon)和洛卡尔(Locard)时代以来已经有了显著的发展,但他们引入了三个核心概念,这些概念是刑事司法的重大进步,并且帮助了调查人员——尤其是犯罪现场文档记录、嫌疑人识别和痕迹分析学科。
除非有实际证据,否则任何假设都是无用的,就好像根本没有发生过犯罪一样。除非通过某种有效的过程识别出犯罪者,并通过不受污染的证据将其与犯罪现场联系起来,否则案件最终无法解决。这些原则在法医学中至关重要,当然也同样适用于数字法医检查。
指纹证据的演变
法医学领域的下一个里程碑与指纹证据有关。指纹作为身份证明和文书真实性的证据,已经在中国法律文书中使用了几个世纪。然而,直到 19 世纪末,爱德华·亨利(Edward Henry)才设计出了一个可行的分类系统,并于 1897 年在印度实施,1900 年出版了他的著作《指纹的分类与应用》(Classification and Uses of Fingerprints)。第二年,亨利的分类系统被引入伦敦大都会警察局;同年晚些时候,它在新苏格兰场的指纹办公室得到了全面实施,1902 年通过指纹证据获得了首宗法院定罪。
然而,指纹证据的可靠性最近在多个司法管辖区受到质疑,主要是因为缺乏有效的标准来评估两个指纹是否匹配。当前没有统一的流程来确定基于指纹检查确认身份的有效依据。一些检验员依赖于统计指纹上相似脊线特征的数量,但关于相似点的数量没有固定要求,并且在不同的司法管辖区之间差异很大。一些美国法院甚至明确表示,指纹识别并非基于可靠的法医学原则。类似的批评也针对了数字法医学这一相对较新的学科,指责其缺乏标准化和科学研究。
DNA 证据
通过最近的科学发展,脱氧核糖核酸(DNA)用于确定每个人的遗传特征。可以从各种样本中提取 DNA 证据,如唾液、使用过的邮票和信封、牙线、使用过的剃须刀、头发、衣物,以及最近的指纹。这种证据形式已经引起了广泛的关注,从犯罪现场恢复的 DNA 样本与嫌疑人的样本进行比较,以确立两者之间的可靠和令人信服的匹配。DNA 证据首次被用来通过匹配从现场恢复的样本和 1987 年在俄勒冈州获得的嫌疑人的样本来确保定罪。从那时起,它已经追究了许多可能本来可以逃脱法律制裁的罪犯。它还被用于"冷案",证明了许多错误定罪的人的无辜。
由于 DNA 证据的复杂性,陪审团最初对 DNA 证据的确凿性持怀疑态度。随着学科的发展,法庭更容易接受 DNA 证据。最近,法院面临 DNA 证据的挑战。辩护律师声称 DNA 是在现场被植入以牵连被告,或者样本的法医收集或检查污染了证据,导致其不可接受。
由于接触 DNA 的现象,即被遗留在许多表面上的遗传标记,对嫌疑人与犯罪现场样本之间的声音匹配的可能性提出了质疑。经常发生的是,无辜方与犯罪嫌疑人握手,后者的 DNA 被无意间转移到了凶器上。通过这种污染形式,多达 85%的拭子中恢复到了从未处理过相应武器的人的痕迹。
现在,责任完全落在从业者身上,确定恢复样本的相关性以及这些样本如何进入从犯罪现场恢复的工具上的历史。从业者还有责任协助确定恢复 DNA 的前因后果,以确保证据不会牵涉无辜的当事人。证据只告诉我们故事的一部分。发现 DNA 在某个位置和/或工具上只告诉我们那里发现了 DNA。它几乎什么也不告诉我们。它并不总是告诉我们这个人何时在那里,也不能保证这个人在那里——只是他们的 DNA 被发现在那里。如果确实已经确定他们实际上在场,它也不告诉我们他们在做什么。往往,证据只是证据,我们解释结果以符合我们的期望或实现我们的预期结果。在数字取证的背景下因交叉污染证据而产生的问题在《第四章》中有更详细的讨论,恢复和保护数字证据。
法庭科技检验的基本阶段
在进行任何类型的调查时都需要一定的秩序,法庭科学有一些必须满足的关键目标。保存犯罪现场是首要目标,因为如果证据被污染、丢失或简单地未被识别和忽视,那么随后的一切对于调查人员来说可能价值有限。
识别证据并确定其位置,知道该去哪里寻找,只能提高检验结果。这需要从业者的技能、知识和经验。一旦找到,证据需要被整理和分类。这为检验带来了秩序,使从业者能够确保没有遗漏任何内容,并正确分类恢复的物件作为相关证据。
证据不能孤立地看待,应与其他证据进行比较,并应识别协作证据。然后应该用科学术语描述,以清晰地突出证据,以便有助于事件的有益重建。
数字取证仍处于初期阶段,在一些民事和刑事调查机构中普遍存在非标准化的处理流程。如果有标准存在,也因不同司法管辖区而异。目前有多种数字取证调查模型在使用,展示了在检验过程中略有不同的阶段;然而,并没有普遍适用于从业者的标准模型。
基于错误或恶意法庭科技证据的不公正现象并非近年来的现象。例如,在过去的三十年中,英国发生了一些备受关注的不公正事件,包括伯明翰六人案、吉尔福德四人案和莎莉·克拉克案,这些案件均基于专家的无能。有关克拉克案的背景信息可在 netk.net.au/UK/SallyClark1.asp 查阅。
这些以及类似的案例导致了无辜人员被定罪,严重质疑法庭科技专家及其专家证据的可信性和权威性。三十多年前,在澳大利亚艾尔斯岩的阿扎里亚·钱伯兰案件中出现的法庭科技问题,对澳大利亚的法庭科技实践质量产生了深远影响,并在其他司法管辖区产生了后果。
定义数字取证及其角色
数字证据在法律诉讼中逐渐得到应用,并且受到了法院的审查。这给数字取证从业人员带来了沉重的负担,要求他们努力提供可靠的证据和严谨的分析结果,这些分析可能对确立和检验未来法院判例有重要意义。桌面计算的急剧增长以及网络系统被利用进行的网络犯罪泛滥,催生了对更高信息安全管理水平的需求。它还要求从业人员解开纷乱的局面,努力追究犯罪者的责任。对计算设备和网络服务器的持续攻击日益增多,这些攻击通常以其他国家为基地,利用各种受害者。计算机和网络中却富含具有证据价值的信息,这些信息有助于从业人员重建犯罪行为。
数字取证的出现是为了应对通过计算机系统实施的犯罪行为的升级,无论这些计算机系统是犯罪的对象、实施犯罪的工具,还是与犯罪有关的证据的存储库。调查和检查数字证据的要求,同时确保原始证据的完整性未被改变,迅速被认定为重要功能。
数字取证的定义
在 1980 年代,随着 DNA 证据和分子分析的进展等其他领域的发展,数字取证作为一门新兴学科逐渐显现出来。随着计算机变得更加经济实惠、相对易于使用,并通过局域网和广域网相互连接,计算机犯罪与网络空间所带来的奇迹同步出现。
传统法律甚至在法律标准下都显得过时。例如,曾有人提出疑问,如何将计算机设备的盗窃与从计算机中复制并在没有合法授权的情况下使用的无形信息盗窃进行比较。尽管信息未经所有者许可而被复制,且信息仍然保留在计算机中,但盗贼却假定对这些信息拥有永久(尽管是共享的)所有权。
传统上,盗窃具有可转移性这一关键特征,便于将有形财产永久移走。文件存在时就在那里,但一旦消失,它仍然是一个存储在计算机中的无形物品。复制过程可能会使原始文件信息仍保留在设备上,但从所有者的角度来看,它已经被盗。那么,复制算不算盗窃或滥用计算机?在大多数情况下,这无疑是对隐私的侵犯,尽管所有者可能感觉他们的隐私已被侵犯,但当信息仅仅被复制而尚未传播时,如何主张这一点呢?在街上跟踪某人和在线跟踪某人是等同的吗?最初的立法旨在涵盖前者,这引发了关于是否可以利用现有法律来涵盖新的计算机相关犯罪的严重疑问。
电子和数字信息存储在设备上,可能会通过未经授权的活动被滥用。计算机犯罪是现实世界中传统犯罪的网络版。勒索和威胁并不新鲜,但使用计算机来实施这些行为是新的。曾有人呼吁通过新的立法来重新定义计算机相关犯罪,且这些新近出台的法律在很大程度上为社会带来了积极影响。然而,在许多司法管辖区,关于法庭上呈交的数字信息的含义仍存在困惑,并且一些从业者和法律界成员有时过于草率地接受这些信息表面上的真实性。
根据许多观察者和从业者的观点,数字取证尚未成熟,确实需要一种科学和公正的方法来分析数字信息,有时如果没有其他证据可用,必须单独进行分析。这些证据可能会在刑事或民事诉讼中被要求提供,也可能涉及行政和纪律案件。法院和法律裁判者期望,像其他成熟的法医学科一样,采用科学的过程和工具来保存并协助证据分析。
数字取证检查的各个阶段旨在恢复和保护证据,并采用科学方法分析和解释证据,验证证据,并提供清晰、精确的法医报告。第四章,恢复和保存数字证据,以及第六章,选择和分析数字证据,详细描述了这些数字取证检查的阶段。
回顾数字取证的历史
数字取证是一个相对较新的现象。计算机已经存在了几十年,最初只需要少量人员输入数据进行处理,然后以硬拷贝形式接收输出。由于很少有人具备使用这些设备的专业知识和理解,计算机被视为安全的信息存储库。安全性根本不是问题,计算机打印件在法庭上也能顺利接受。然而,便宜且易于使用的桌面计算机与网络系统的出现,改变了计算机安全的格局。
初期阶段
在 1970 年代,计算机并不普及,只有大型组织、政府部门,特别是使用主机计算机的国防和情报界才有能力使用这些设备。围绕这些计算机的取证活动并不明确,且充满保密。
数字取证在公共领域的起源较晚,可以追溯到 1984 年,当时联邦调查局实验室和其他执法机构开始开发程序来检查计算机证据。安德鲁·罗森为加拿大警方编写了第一个专门的数字取证工具“Desktop Mountie”,随后他又推出了 Expert Witness、Encase 和 SMART 等版本。便宜且易于使用的桌面计算机迅速普及,这引起了不法分子的注意,他们急于利用这一新技术。
为应对计算机和网络日益增加的攻击,私人组织和政府开始制定和实施计算机安全政策和对策。数字取证应运而生,受害者逐渐意识到应对这一不断升级的问题需要一定的结构。最终,一些成熟的取证流程在 80 年代末期逐渐出现,但数字取证工具和软件的研发大多是由供应商主导,或者由具有一些基础计算机知识的执法人员开发的。
一些最早具有明确且公开要求对与犯罪行为相关的外部系统进行取证的政府机构,是税务和征收机构。那些在数字证据恢复过程中苦苦挣扎的人很快意识到,调查这一新技术需要一定的专业知识。
可靠的数字取证工具稀缺
不幸的是,对于数字取证从业者来说,80 年代并没有专门的取证工具,这导致开发人员根据MS-DOS设计了自己的取证工具套件。这些取证软件应用程序已经过多次改进和更新,直到今天仍然在使用。那个时代的一些数据保护和恢复工具套件至今仍存在,包括:
-
诺顿工具集
-
Central Point 软件
-
PC 工具
-
Mace 工具集
注意
1990 年,Mace Utilities 的注册用户达到了 100,000 人,Norton 的工具套件成为了最受欢迎的工具之一。
最初,取证检查员可用的唯一证据保存方法是从证据磁盘中通过磁带进行逻辑备份文件。人们希望这一过程能够保存重要的文件属性和元数据,并能够将这些文件恢复到另一块磁盘上。这样,检查员便可以使用命令行文件管理软件手动检查恢复的数据,软件如:
-
Executive Systems, Inc.
-
XTree Gold
-
Norton Commander (NC)
-
适当的文件查看软件,包括扇区成像方法
当时计算机数据集的大小在兆字节范围内,但仍然足够大,使得证据检索过程成为一项繁琐且耗时的任务。业内呼吁制定一些取证标准、指南和定义,以协助数字取证从业人员,同时也迫切呼吁修订现有立法,确保新兴的网络犯罪能够得到正确的定义。合理的立法早已迫切需要,以应对那些已经以新形式出现的旧犯罪。
法律界难以理解数字证据
在 80 年代中期,业界开始关注法律从业人员和立法者缺乏对数字证据日益依赖所带来的问题的认识。这是一个全球性现象,由于计算机使用量的急剧上升以及新设备的出现,包括数字手机,导致了这一问题的产生。因此,美国提出了一种协调方案,旨在帮助取证和法律从业人员克服提交数字证据时遇到的困难。
到了世纪之交,美国和欧盟建立了一项研究框架,旨在应用科学流程解决由实践需求驱动的取证挑战。研究人员当时对数字证据的真实性质存在广泛误解表示担忧。更令他们担忧的是,一些取证过程在恢复、分析以及随后的法律程序中的应用效率低下和效果不佳。
人们认识到,数字取证检查始于寻找关于涉嫌违法者身份的答案,特别是建立二进制数据与嫌疑人之间的某种数字联系。尽管仅仅拥有一台数字计算机通常被认为足以将违法者与设备中包含的所有数据关联起来,但人们开始对这种假设的合理性提出质疑。随着计算机网络的广泛发展,这种假设在未来是否仍然有效?数据本身是否能提供有关违法动机的线索?
1999 年,数字取证设计师安德鲁·罗森在克拉克森诉克拉克森案中为辩方出庭(罗阿诺克县巡回法院,弗吉尼亚州:案件编号 3CH 01.00099),最终确定被告的妻子将儿童色情内容放在他的计算机上,并试图通过陷害他来结束婚姻,获得孩子的监护权,并与她的新情人结婚。这个案件使得罗森被执法和以起诉为主的从业者视为“叛徒”,这些人显然更关心胜诉,而非寻求公正的结果。
这为一个危险的先例奠定了基础,鼓励一些实践者认为计算机的所有者和主要使用者最有可能是违法者。根据我的经验,在刑事审判中的辩护案件处理中,其他用户的明确识别,作为潜在的嫌疑人,常常只是口头上提到。这表明了基于嫌疑人的而非证据的调查,这显然不是一种客观和科学的方法。这与“取证人员是法院的仆人”这一概念相矛盾。数字证据的性质和特殊属性在第三章中有详细介绍,数字证据的性质与特殊属性。
数字取证的最新发展
从 1999 年到 2007 年,被认为是数字取证的黄金时代,这段时期,实践者能够通过恢复删除的文件看到过去,通过恢复电子邮件和信息洞察犯罪心理,从而使得实践者能够冻结时间并见证违法行为。数字取证曾经是一个小众科学,主要支持刑事调查。如今,数字取证已常见于流行的犯罪电视剧和小说中。数字取证的戏剧化表现以及对实践者和取证工具技术能力的夸大,通常被称为犯罪现场调查(CSI)综合症。
注意事项
1984 年,FBI 成立了计算机分析与响应小组(CART)来提供数字取证支持,但直到 1991 年才开始投入使用。
此后,研究小组成立,讨论计算机取证学科,并强调需要采用标准化的调查方法。在美国,这些小组包括以下组织:
-
数字证据科学工作组(SWGDE)
-
数字证据技术工作组(TWGDE)
-
国家司法研究所(NIJ)
到 2005 年,数字取证仍然缺乏标准化和流程,并且可以理解的是,取证工作主要集中在 Windows 系统,并在较小程度上涉及标准 Linux 系统。即使在 2010 年,尽管数字取证检查的基本阶段已有较为详细的文档记录,但一些研究者仍认为一个标准化或广泛接受的正式数字取证模型仍处于起步阶段。对于这些观察者来说,它显然还没有达到与血液分析等其他物理取证标准同等的水平。
2008 年,国际标准化组织联合技术委员会(ISO/IEC JTC 1)调查了数字取证治理国际标准的可行性,但至今尚未出台专门解决此问题的 ISO/IEC JTC1 标准。然而,国际社会对跨司法管辖区转移与法律程序相关信息的差异所带来的问题已有一定的关注(ISO 2009:4)。
数字取证学科发展迅速,但迄今为止,关于过程、程序或管理的国际标准化仍然非常少,然而它确实需要类似于信息系统和信息技术(IS和IT)治理的管理。最近,一些研究者对高度技术化的数字取证学科与治理的商业化方法之间的交集表示担忧,这使得数字取证成为一门高度专业化的学科。有一种不安的感觉,认为很少有从业人员具备足够的跨学科知识,涵盖计算机、法律和商业方面。也许这对大多数从事出色工作的从业人员来说是一种不公平的批评,因为他们在有限的资源和支持下做出了卓越的成绩。
相对的观点是,高技术犯罪调查员协会(HTCIA)和国际计算机调查专家协会(IACIS)等组织的出现确实增强了取证过程的权威性,通过确保数据可靠、准确、可验证和完整,从而确保数字证据被法律接受。
研究刑事调查和网络犯罪
与更为成熟的法医学科一样,数字取证这一相对较新的领域也涉及在数字环境中保存犯罪现场。数字取证从业人员检查从各种数字设备和网络中恢复的证据。这需要一定的计算机技术知识,尽管自动化的取证过程和工具日益普及。
注
许多检查不一定以刑事案件为结局,可能成为民事诉讼或内部纪律程序的一部分。当然,反之亦然,民事案件也可能导致刑事起诉。
数字取证分为三个广泛的类别:
-
公共调查:这些是由国家发起的
-
私人调查:这些通常是企业性质的
-
个人:这些通常表现为电子发现
需要进行数字取证检查的人员不当行为调查是一个新兴类别。国防和情报取证检查被认为是另一个类别,但本书不涉及。
在法庭上,计算机上找到的证据可以用来支持对犯罪或民事诉讼的指控,例如:
-
谋杀和暴力行为
-
诈骗、洗钱和盗窃
-
敲诈
-
涉毒
-
破坏和记录销毁
-
恋童癖和网络跟踪
-
恐怖主义和炸弹威胁
-
家庭暴力
通常,刑事调查和起诉涉及在刑法框架下工作的政府机构。执法人员根据相关刑法获得搜索和扣押权,使他们能够定位和捕获涉嫌用于犯罪或协助犯罪的设备。
概述民事调查和电子发现的性质
私人组织本身不受刑法管辖,通常涉及计算机和网络系统的诉讼争议和纪律调查,这类案件变得越来越频繁。民事调查可能升级为刑事案件。民事案件依赖民法、侵权法和诉讼程序,并且可以通过民事救济手段从对方当事人处恢复信息,特别是“发现”以及搜索和扣押权力,例如由安东·皮勒令或搜索令提供的权力。
本书主要讨论数字取证,并在一定程度上涉及民事调查。然而,根据我的经验,在使用数字取证时,刑事和民事检查之间并没有真正的区别。两个领域都在寻找相同类型的证据,但标准上有所不同。电子发现几乎完全是民事问题,因为它涉及不同组织之间的争议,因此证据的概念略有不同。我认为,过去用于电子发现的方法通常涉及大量机器,并且通过一些改进可以将其应用于数字取证,这是处理大量数据的唯一方法。第五章,增强取证工具的需求,概述了一些新的软件工具,这些工具能够处理大量数据集,为在这两个环境中工作的从业者提供了一些迫切需要的支持。
数字取证从业者的角色及其面临的挑战
法医学从业者不仅恢复和分析证据,还向调查人员、律师,最终向陪审团展示和解释其含义。作为一个合格的分析师当然是基本要求,但从业者还必须能够清晰地与外行人沟通他们的发现和专业意见。证据是盲目的,无法为自己发声,因此它需要一个解释者来解释它做了什么或可能意味着什么,以及为什么它对案件很重要等事情。我花了很多时间在案件工作中向法律团队和陪审团解释技术性问题,以确保他们对证据有清晰的理解——当关键时刻终于豁然开朗时,那是非常有成就感的工作!
提供专家证据和意见的独特特权。
在正常情况下,法庭不允许传闻证据,且禁止证人提供意见。然而,专家证人和科学专家可以根据他们广泛的实践和研究提供意见,前提是这些意见仅限于已提供的证据。这些特权证人可以与法院分享他们从所观察到的证据中得出的任何推论,前提是这些推论在他们的专业领域内。
法医学专家应提供可能有助于法院作出结论的信息,且专家的主观意见可以被纳入。然而,法院有义务根据所提供的证词形成自己对被告有罪或无罪的看法或结论。法医学从业者在作为法医学专家时,应仅提供有关信息的科学意见,以帮助法院形成判断性意见。
专家必须避免提供最终意见,因为有时专家的知识并非完全确定。在多个法律管辖区内,法院期望法医学从业者具备扎实的计算机技术理解,以使其证词具有可信度。
英国《民事诉讼规则》(1998)要求所有专家证人遵守,其中第三十五部分规定专家(从业者)有责任协助法院并保持严格的公正性,而不能支持委托方。这些规则规定:
-
专家报告中使用的事实必须是真实的。
-
专家的意见必须是合理的,并基于对所讨论问题的当前经验。
-
当存在一系列合理的意见时,专家有义务在报告中考虑该范围的程度,并承认任何可能影响提供意见有效性的事项。
-
专家有义务指明所提供所有信息的来源,并且不得包含或排除任何其他人(特别是委托律师)提出的内容,除非形成独立的观点。
-
专家必须明确表明所表达的意见代表了实践者真实和完整的专业意见
2008 年,法医从业者监管委员会重申了这些规定,并增加了对实践者的进一步要求(Carroll 和 Notley 2005):
-
他们必须披露他们所获得的所有材料
-
他们必须表达自己在所讨论问题上的不同意见范围
-
他们必须解释为什么他们偏好自己的观点而非其他观点
-
他们必须提供其意见所基于的证据
-
他们不得提供超出其专业领域的证据
英国 2010 年由皇家检察署出版的专家指南手册《披露:专家证据、案件管理与未使用的材料》强调,实践者需要确保对任何指向被告有利或不利的信息给予足够的重视。该手册强调,实践者不得超出其专业领域提供专家意见。手册还涉及实践者的独立性,并重申了必须审查和与法庭及其他相关方共享无罪证据的要求。
美国的案件检察官根据布雷迪规则(布雷迪诉马里兰州案,1963 年)要求将其所持有的材料披露给辩方。根据布雷迪规则,检察官必须披露任何证据,包括任何有利于被告的证据(无罪证据),尤其是“有助于推翻被告罪行、减少被告潜在刑罚,或涉及证人可信度的证据。”
如果能够证明检察方未按照此规则披露无罪证据,且因此产生了不利后果,法院将拒绝并压制该证据,无论检察方是否知道自己掌握了该证据,也无论证据的隐瞒是故意还是无意。然而,被告必须证明未披露的证据具有实质性,并证明如果检察官披露了该证据,案件的结果有可能会不同。
这是数字取证实践者在案件审查和证据呈现过程中必须时刻关注并遵守的要求。已知会对数字证据披露产生不利影响的因素包括对无罪证据的了解,这些证据可能会挑战那些有罪或不利性质的证据。实践者可能由检方或辩方聘用,但最终,他们有义务向法庭呈现所有与案件相关的事实,无论是支持还是反对当事人。虽然披露有可能伤害自己案件的某些信息可能是一种不良的法律策略,但法院确实期望当事方之间能进行开放且诚实的证据交换。
专家必须抵制法院常常施加的压力,避免就罪责或无罪的概率提供意见,并坚持认为他们的意见不能替代法院的判决。众所周知,陪审员容易受到那些表现出自信的实践者的影响,尽管这些实践者的证词有时带有偏见且存在错误。
有充分的理由支持以证据为主导的法医和调查方法。嫌疑人主导的方法具有判断性,且常常带有偏见,给被调查者带来不利影响。经验丰富的调查员会让证据引导调查,避免过度关注可能的嫌疑人,以免影响调查的公正性并不合理地影响他们的判断。相同的策略也应适用于法医检查员。如果没有其他理由,至少应当识别案件中的弱点,检查员应该始终采用这种方法。如果分析存在缺陷和鲁莽行为,几乎无法为正义事业提供帮助。Kaptein(2009, p. 3)引用了美国最高法院副法官 A·斯卡利亚在赫雷拉诉柯林斯案(506 US 390, 1993)中的以下声明:“仅仅是事实上的无罪并不是不执行适当判定死刑的理由。”
然而,已故的斯卡利亚法官在这里的言论有些被误引用了,我建议你深入了解他所说的话背后的含义,相关信息可以参考以下网站:
实践者因法医流程不完善而面临的问题
在开始检查时,实践者通常会面临确定所需的获取过程类型,接着定位完成检查所需的数据,最重要的是,选择合适的证据分析过程。检查的仔细规划并非总能得到现有流程的支持,尤其是对于面对不熟悉案件类型或异常复杂的大规模案件的实践者而言。在这种情况下,实践者需要提供适当的案件背景信息,以帮助他们筛选大量的案件信息,否则这些信息可能会令人感到不堪重负。
对较大数据集的检查可能会使犯罪证据的特征化变得困难,且在缺乏工具、标准或结构化支持流程的情况下,很难清晰地定义范围和目标。遗憾的是,目前的法医工具常常无法为实践者提供足够的调查支持,且可以被描述为第一代工具,未能融入任何决策支持来帮助实践者。
早在 2001 年,数字法医研究研讨会(DFRWS)就观察到,从业人员在理解他们每天面临的挑战和困境时遇到了困难,尤其是调查方法中遗漏或未考虑的步骤,与传统法医学科中经过验证的调查流程相比,差距尤为明显。技术进步的快速发展以及软件应用和硬件的变动性,实际上加剧了从业人员面临的挑战。
数字法医的程序性不足,要求从业人员前所未有地收集大量数据以支持调查,这一问题由于缺乏标准化的分析程序和协议、且没有标准术语而进一步加剧。那时就显而易见,并且直到今天依然如此,法医工具需要更加精心设计,以适应分析流程。这将通过提供更友好的用户界面,解决培训问题,并提升从业人员的经验,满足从业人员的需求。
早期研究人员就已认识到,更好的法医流程迫切需要经过测试和试验,以克服现有从业人员技能水平的不足。许多研究人员预测,这将不可避免地变得越来越成问题。他们的预测显然是有根据的,因为现在这似乎已成为常态。
第五章,增强法医工具的需求,强调了传统法医影像的冗余性和日益庞大的数据集索引问题,并介绍了新的法医流程和工具。
劣质法医工具困扰着从业人员
专家证人常常受到对方律师团队及其专家的挑战,尤其在涉及数字证据的案件中尤为如此。美国法院对与数字证据相关的专家证词尤为敏感,1993 年达伯特与美瑞尔·道威制药公司之间的广为人知的法律案件为法医从业人员以及他们用来恢复证据的流程和工具设定了先例。此判决依据案例法为美国法院设定了期望标准,并且最初的判决仍然具有影响力。取代早期案例法的达伯特标准要求从业人员确立个人专家资格,并要求他们验证其在恢复证据过程中所使用的法医流程和工具的可靠性与准确性。
数字取证工具通常是为了获取“最低悬挂的果实”而制作的。换句话说,它们倾向于鼓励从业人员寻找最容易识别和恢复的证据。通常,这些工具没有能力寻找或甚至识别其他不太明显的证据。这个问题在第五章中有更详细的描述,增强法医工具的需求。
法医软件认证以确认法医证据的可靠性尚未广泛且正式地进行测试。供应商的炒作以及从业人员愿意接受未经测试、开源和未经验证的工具,已经造成了一种混乱,法律界应当看到这一点,但通常无法做到。研究人员提倡建立一种结构来衡量数字证据是否符合特定标准,以解决数字取证从业人员在特定情境中的需求、适用性和可接受性问题,类似于美国基于 Frye 测试的标准,现在已经被 Daubert 标准所取代。
面对从业人员的数字信息保护不足问题
法医从业人员常常面临传统安全过程在计算机和网络中不起作用的情况,这些过程旨在保存文档和网络功能;它们并非专门设计来增强数字证据的恢复。然而,这些过程可以帮助识别潜在证据和事件重建。
从业人员常遇到的一大困难是要求他们提供专家证词,以验证网络系统是否提供并保持对存储数据的可靠保护。例如,为了促成网络系统销售而进行的供应商炒作,并不总是反映它们是否能够提供对数据存储准确性和完整性的保障。供应商通常不会提供足够的信息,说明软件和网络能够保护数据的完整性。因此,从业人员无法验证这些设备,以确保它们能够经受住法律挑战。
由于固有的技术复杂性,从业人员通常难以完全确定计算机设备或网络系统的可靠性,并向法庭提供有关相关过程可靠性的保证。一个有序的过程对于从业人员来说会非常有帮助,可以确保没有部分检查过程被忽视或重复,从而通过节省时间和保证完整性确保有效的检查。
法医分析的枯燥乏味
在考试过程中,执业人员可能需要重新审视部分证据,以确定其有效性,这可能需要开展新的调查线索,并根据情况进一步验证其他证据。这通常是一个繁琐的过程,且通常需要大量的时间和资源来收集和分析数字证据。案件的数量庞大以及调查所需的时间可能会削弱执业人员重建证据并提供准确解释的效能。
然而,从务实的角度来看,数字取证过程中的时间和努力应通过可接受的“合理性测试”,意味着不应该将所有可能的精力都投入到寻找所有可以想象的痕迹证据,再进行提取和分析。随着待分析数据量的庞大且跨越多个网络,这对执业人员来说尤其变得越来越具挑战性。在我的案例工作中,显然,在实践中,理论上可行与完成审查所必需之间存在差距。尽管理论上可能希望分析每一字节数据,但实际上很少有正当理由这样做。
数字取证执业人员的素质
数字取证,也称为网络取证和计算机取证,通常被认为是三种角色的结合:一是熟悉计算机设备和网络工作原理的网络分析员;二是拥有犯罪调查知识的侦探;三是具有扎实法律和法庭程序知识的律师。
随着越来越多自称为网络取证专家的出现,行业中也出现了平庸的倾向。这些自我认证的“专家”迷惑了司法系统,且往往未被挑战,他们证据的真实性也很少受到质疑。然而,计算机和信息安全机构、法院、政府及企业对执业人员有基本的专业标准和经验要求。
参与数字犯罪现场审查的取证人员必须掌握局势,识别所有相关的数字证据,并将其整理并汇编成专业报告,供律师及最终法院呈交。为了满足法院要求,数字取证审查必须在法律上具有坚实基础,并且在日常意义上具有说服力。执业人员必须使用合理且经过验证的流程从计算机存储介质中恢复数据,并确保其准确性和可靠性。
确定执业人员的先决条件
我经常被希望进入该行业的高等教育学生询问,什么技能和经验能让他们更好地起步。嗯,光说自己喜欢读书并不意味着你适合做图书管理员,也不代表你具备图书管理所需的所有专业技能。任何职业都是如此。追求自己真正感兴趣的事情,而不是一时兴起的爱好,确实非常重要。没有取证经验的人进入这一职业时,取证团队领导最看重的是他们是否有真正的兴趣去从事这一领域。通过工作或学习对信息技术的兴趣,并且拥有信息技术相关的高等教育学历或 ICT 的学士学位,毫无疑问能为未来的候选人带来很大的优势。
对于希望专注于取证学科的执法人员,他们需要具备调查技能和案件经验;显然,了解法律将是一个优势。因此,如果他们还能够展示在计算机系统方面的一定熟练度和知识,他们将为该角色带来更多价值。
必须强调的是,取证检查员和调查员是可以互换的角色,且这两者通常是合并在一起的角色。许多从业者会参加取证培训课程和取证工具能力培训。也有一些人会发表博客,甚至是期刊论文,展示他们在重要取证事务中的研究和参与。
本科课程通常是三年的学习过程,通常包括一些数字取证的内容,但主要侧重于计算机科学和信息安全。基于理论和实际案例的研究生文凭和证书课程提供了进入该行业的有效途径。它们成本较低,学制较短,适合那些拥有基本技能、并希望获得职位的毕业生和执法与调查行业从业人员。这些证书的获得,前提是基于扎实的理论和实践内容,强烈推荐。数字取证的硕士课程是另一种选择,但费用较高,学制较长。
我目前正在准备一门四单元的研究生证书课程,内容涵盖数字取证,包括电子发现和多媒体取证,可以通过虚拟犯罪模拟在线完成。该证书可以作为数字取证研究生文凭和硕士学位的基础。该课程面向执法人员和希望进入这一领域、并寻求一些基本理论和实践资格的信息与通信技术(ICT)专业毕业生。
我的部分能力较强的学生在进入这个行业时缺乏现场经验,但从一开始,他们对数字取证的浓厚兴趣、在信息技术学习中的能力以及在完成的经验性取证训练中的出色表现在一定程度上弥补了这一不足。这为他们打下了坚实的基础,并巩固了他们对这一学科的兴趣。
案例研究
以下示例突出了依赖数字证据的前几起案件的小样本。第三章,数字证据的性质和特殊属性,将更详细地描述数字证据。
亚伦·卡夫里案件 - 英国,2003 年
2003 年,卡夫里被判无罪:未经授权修改计算机材料,通过从他的计算机发送数据关闭了休斯顿港口的计算机服务器。这是少数几个接受恶意软件辩护的案件之一,法院并未要求提供恶意软件控制计算机的证据。您可以在这里找到详细信息:
digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1370&context=chtlj。
朱莉·阿梅罗案件 - 康涅狄格州,2007 年
学校教师朱莉·阿梅罗面临严重的持有不雅图片的指控,这些图片被她的学生看到;她被解雇,从而避免了长期的监禁刑期。警方检查被证明存在错误,阿梅罗计算机上的恶意软件被认为是导致下载不雅文件的罪魁祸首。有关详细信息,请参考以下链接:
-
dfir.com.br/wp-content/uploads/2014/02/julieamerosummary.pdf -
reason.com/archives/2008/12/12/the-prosecution-of-julie-amero
迈克尔·费奥拉案件 - 马萨诸塞州,2008 年
当被告能够从一位从业人员那里获得确认,证明恶意软件可能是导致不雅文件存在的原因时,一个类似的案件被撤销了,您可以在这里找到详细信息:
参考文献
Carroll, R. 和 R. G. Notley. 2005. "医学专家的过失"。英国医学杂志 330:1024-1027。
Inman, K. 和 N. Rudin. 2001. "刑事学原理与实践:法医科学的职业"。CRC 出版社。
Kaptein, H. 2009. "证据和证明的僵化无政府原则:应对程序主义法律病理的非正统灵丹妙药"。在《法律证据与证明:统计、故事、逻辑》中。由 H. Kapstein, H. Prakken 和 B. Verheij 编辑。Ashgate 出版 [(1-3)]。
摘要
本章概述了法医科学的性质,简要回顾了数字法医的发展历史,并根据已有的法医学科定义了其目的。介绍了其在公共和私人调查中的价值,以及网络犯罪的兴起和特征。提供了数字法医从业者的角色、所需的技能和经验,以及他们面临的挑战,并通过一些数字法医犯罪现场案例来突显这一主题。本章不仅简要探讨了该学科面临的挑战,还提出了一些通过改进法医流程和工具来更好地应对这些挑战的解决方案。最后,本章还努力分享了一些关于考虑成为从业人员的基本思路,希望你们能够从中获得有益的见解和启发。
本章介绍了数字证据,并将在第三章,数字证据的性质和特殊属性中详细描述。理解数字证据的特性,甚至是它的变幻莫测,是从业人员的基础工作。数字证据可以提供关于犯罪行为的丰富线索。线索有时可以被认为是“失误”的另一种表现,而发现和解读这些线索正是法医检验中最令人兴奋的部分。分析数字证据可能是一个有回报的过程,但也常常令人失望,甚至是一个让人沮丧的过程,不过,总会获得更深入的理解。
第二章,硬件和软件环境,将概述计算机硬件、操作系统及通常安装在其上的应用程序的基本工作原理。将描述这些环境如何用于创建、存储和传输电子数据。还将提供计算机和存储设备的工作原理,以及可能存储数字证据的数据集的位置的见解。这为引入数字证据和数字法医的分析方法奠定了基础。
第二章. 硬件与软件环境
在详细探讨数字证据及其位置、恢复和分析的过程之前,理解计算机设备的基本原理及其如何存储数字信息是非常有帮助的。这样做将为理解数字证据的性质及其对从业者的价值提供坚实的基础。数字证据的性质将在本章中提及,但会在第三章中详细描述,数字证据的性质与特殊属性。
本章将描述和解释计算机硬件的基本工作原理,以及通常安装在这些硬件上的操作系统和应用程序。它将说明这些环境如何用于创建、存储和传输电子数据。提供对计算机及存储设备的工作原理的洞察,并介绍可能存放数字证据的数据集位置。
本章将涵盖以下内容:
-
详细介绍各种计算机和存储设备以及它们存储的具有潜在证据价值的数字信息的性质
-
描述用于创建、传输和存储电子信息的操作系统软件和应用程序
-
识别并解释包含证据价值的文件系统和文件,并说明它们通常存放在设备上的位置
-
解释用于保护信息和隐瞒证据的密码安全性和加密技术
描述计算机和数字信息的性质
数字证据包括在各种电子设备上找到的数字信息,通常被从业人员认为仅由以数字数据格式保存的信息组成,这些信息因其在各种法律程序中的价值而对法医检查员有用。存储在数字设备上的潜在证据来源包括电子邮件、音频和视频文件、电子文档、电子表格、数据库、系统日志和文件系统数据。
磁性硬盘和磁带
包含潜在证据的信息存储在硬盘、存储卡、智能卡等访问控制设备、生物识别扫描仪、答录机、数码相机、个人数字助理、电子组织器、打印机、可移动存储设备以及 CD-ROM、DVD 光盘、电话、复印机、信用卡刷卡器、数码手表、传真机和全球定位系统等介质的文件中。
直到本世纪初,主要用于数字信息存储的设备是磁性盘、软盘驱动器和磁带驱动器。磁带和磁盘以二进制形式存储数字数据,即作为磁性数据存储在金属盘片的表面,表现为 1 和 0。磁盘通过高速旋转这些磁化盘片,并将其靠近电磁读写设备,这样就可以通过可移动的机械臂读取或写入选定部分的数据。而磁带则只能通过前进或倒带的方式按顺序访问。两种存储方式至今仍是主要的存储设备来源。目前,它们在重建与某些调查中的违法行为相关的用户活动方面至关重要。
硬盘驱动技术出现在 1950 年代,并成为主要的数字存储形式。数据会永久保存,并且只要不被删除、摧毁或因设备的物理损坏而丢失,它就会一直存在。这种类型的存储器被称为非易失性存储器。这些设备的简单且一致的设计为法医人员带来了便利,使用成熟的流程(如死机分析)和法医工具(如写入阻断器)来恢复证据。
过去几十年是数字证据的黄金时代,因为存储在磁性硬盘上的证据不容易被永久删除(Bell 和 Boddington 2010)。然而,稍后将介绍的固态硬盘(SSD)的出现正在逐步取代市场的主导地位,特别是在手持设备上的小型数据存储方面。
光盘存储设备
CD、DVD 和蓝光光盘是相对便宜的光学存储介质,能够进行只读的大容量存储。这些介质依赖于光波反射在光盘表面的微小凹陷和高峰上的物理干涉。激光刻录机用来刻录光盘表面,速度较慢且不太方便。光盘表面可能会退化,因此在使用之前需要某种形式的保护。存储在这些介质上的数据也是非易失性的,通常情况下,已写入的内容理论上是可以恢复的。
随机存取存储器(RAM)
大多数计算机的中央内存核心,通常称为RAM,也是一个基于二进制的系统,数据在中央处理单元(CPU)中通过一大阵列微小的、类似电池的电容器进行存储和处理。这些内存单元或电容器通过电荷的选择性填充来存储数据,通过这些电荷可以将数据写入并读取出来。这些电容器不能永久存储电荷或长时间存储数据。为了防止数据丢失,它们必须定期并自动地读取数据,并对内存进行重新充电。
与存储在硬盘、磁带驱动器和光学设备上的非易失性数据不同,这种内存被称为易失性或动态 RAM。它不用于数据的长期存储,因为不断的刷新过程需要持续的电力供应。一旦设备断电,存储在 RAM 中的数据会迅速消失。
捕获 RAM 可能很重要,因为它提供了设备最新使用的详细信息,包括一些键盘活动。然而,在设备开机时捕获 RAM 的内容可能会导致法医人员覆盖并污染 RAM 中的内存以及硬盘中的数据。几种捕获 RAM 的法医流程将在第四章,恢复和保存数字证据中描述。关闭设备电源(如笔记本电脑或手机)可能使得无法再次访问设备,尤其是当设备被密码保护并加密时。
法医专家已经建立了检查磁盘存储设备(如 IDE、SATA 和 SCSI 驱动器)的成熟流程。然而,基于复杂晶体管设备的新技术存储系统正变得越来越普遍。例如,在过去的 10 年里,已经从便携式磁性软盘过渡到 USB 晶体管闪存或 U 盘。
固态硬盘(SSD)存储设备
SSD 比传统的 USB 闪存驱动器或 U 盘更快、更复杂。SSD 背后的技术与磁盘技术一样古老,但它们最近才作为比磁盘更快、更轻、更坚固的存储设备出现。USB 闪存驱动器的普及和需求导致了更便宜、更大容量的设备的出现。
然而,基于晶体管的 SSD 技术正在慢慢取代磁性硬盘,它复杂且以不同的方式存储数据。与磁盘驱动器相比,这些设备价格昂贵,通常可提供 250GB 到 1TB 的存储空间。尽管它们通常被认为比磁盘更快,但使用寿命较短,尽管新型号正变得更加可靠且更耐用。
SSD 通常以 512 千字节的块存储数据,这些块被细分为由大量负逻辑与(NAND)晶体管组成的页面,这些晶体管类似于之前提到的用于构建计算机处理器的逻辑芯片。由于 SSD 的特性,它们确实需要“清理”存储,以保持快速处理并减少晶体管的过度使用,这会显著缩短驱动器的寿命。因此,它们可能会自动删除已删除的数据,从而阻碍法医恢复(Bell 和 Boddington 2010)。
网络存储数据
在计算机网络服务器上存储数据的情况下,可以通过将设备连接到网络并提供身份验证信息来进行访问。较少见的情况是通过外部连接网络来访问和获取数据集以供后续分析。这是电子发现和严重犯罪(如欺诈和网络滥用)的典型场景。
通常,制作网络服务器的物理镜像比恢复操作系统提供的逻辑数据更为可取。一个组织是否能够使物理设备可用于数据获取,这使得这一可能性充满挑战,除了实际影响外,还包括确保对组织正常活动的影响最小化。这个挑战在第五章,对增强法医工具的需求中有详细描述。
云
基于互联网的计算共享资源和信息已经成为个人、组织和政府机构常用的网络功能。通常被称为云,它用于在线通信并存储大量数据,其中许多是私人或机密性质的数据。下一张图展示了一个典型的云网络:这是一个方便的存储点,供在外工作的员工访问并存储数据,以便他人访问和使用。由于传统的恢复工具在处理分散在网络上的大数据集时遇到问题,因此在第五章,对增强法医工具的需求中描述了能够提供更好结果的解决方案:
典型的云网络
从云中获取证据与从网络中恢复数据有所不同,且更具挑战性,因为数据存储在与用于恢复数据的设备不同的设备上。访问云网络通常通过普通消费者访问资源的过程,这些资源通常由其他实体拥有。恢复数据的一个挑战是难以确定数据从云服务器到存储设备的路径,这条路径可能并非固定路线(Adams 2013)。
由于拥有数据的云消费者无法对存储数据的网络服务器进行物理控制,因此获取实际存储设备的物理法医镜像的过程是复杂的;通常情况下,这是不可行的。网络服务器可能位于一个或多个不同法域的地点。这通常需要前往这些地点并请求网络运营商恢复数据,而这并不总是能够得到保证(Adams 2013)。
从实践者的角度来看,另一个问题出现在网络服务器运行在主机资源上的虚拟机实例中,而这虚拟机也可能是同一物理设备上的多个虚拟机之一。为了获取所有数据,包括已删除的材料以及未被擦除信息可能所在的空闲空间,需要通过具有访问权限的人获取虚拟机的副本。这同样会引发第三方不愿或缺乏动机来协助数据恢复的难题,并可能污染任何证据(Adams 2013)。
操作系统
操作系统是一组控制设备之间访问的程序,包括键盘、鼠标、显示器、磁盘驱动器和网络设备,以及像文字处理器和浏览器这样的应用软件程序。你一定对一系列 Windows 操作系统非常熟悉,从 1985 年发布的 Windows 1.0 到 2015 年发布的当前版本 Windows 10。
当然,还有一系列其他操作平台满足不同用户需求,包括 Ubuntu、FreeBSD、Linux、iCloud、Palm OS、Blackberry OS、Xbox 360 操作系统、Android 以及苹果系列计算机和手持设备。以下截图来自典型的 Windows 10 操作系统:
Windows 10 操作系统
将软件应用程序连接到操作系统
使用像 Paintshop 这样的软件应用程序需要将其安装在兼容的操作系统上,例如 Windows。通过使用该应用程序,用户可以创建一张图片并将其保存以供进一步使用,包括修改、删除以及将图片传输到其他媒介或通过某些通信过程(如通过电子邮件发送或上传到互联网)。下图展示了使用 Paintshop 创建图片的基本过程,在此过程中操作系统允许所创建的图片在计算机显示器上显示。图片可以通过键盘和其他外设进行修改、保存、通过互联网传输或打印:
在 Paintshop 中生成图片
文件在创建、修改和删除过程中保存在设备上,稍后可以恢复以查看它是否具有某些证据价值。文件会在设备上留下其他记录,如果这些记录可以恢复,也可能为实践者提供有关其历史的有用见解。
将软件应用程序连接到操作系统和设备
如果一个设备(例如扫描仪)连接到计算机设备上,就必须安装专用软件以使该设备能够连接到操作系统,从而使适当的软件应用程序能够使用该设备。这是通过设备驱动程序实现的——设备驱动程序是操作系统用来与附加设备进行通信的小程序。驱动程序被设计成能够识别设备的命令语言和特征。
驱动程序通常在设备上预安装,以便方便地连接外围设备,如显示器、键盘、鼠标和打印机。例如,较新的打印机型号可能会提示设备通过与打印机相关的互联网网站下载新的或更新的驱动程序,或者使用随打印机提供的软件。下图展示了通过操作系统启用的键盘与计算机连接,并创建一个可以在显示器上查看的文本文件的过程:
Word 文档创建
描述包含证据的文件系统
文件信息的存储方式在不同操作系统之间有所不同。为了清晰起见,本文将在目前最广泛使用的操作系统——Windows 文件系统环境中呈现相关内容。然而,第七章,Windows 及其他操作系统作为证据来源,会更详细地描述其他操作系统以及它们使用的文件和文件系统。文件本身可以从不同的角度进行审视,而 Windows 对文件的目录管理方式有助于取证检查。
操作系统接收到的用于读写文件的命令会在目录结构中进行解析,目录结构中包含文件索引系统,用于定义文件命名协议和文件的最大大小。Microsoft 操作系统通过主文件表(MFT)管理这些记录,其中对每个文件和目录的信息进行分类。该表本质上是一个关系数据库表,包含关于所有存储文件记录的各种属性。例如,当创建并保存一个 MS Word 文档时,它将被存储在选定的位置,并且会创建时间戳来记录该过程及其后续使用情况。
时间戳和其他文件元数据的重要性将在后续章节中进一步强调,以展示它们在事件重构中的作用。此图展示了将数据存储到硬盘磁盘上的特定扇区或扇区组的过程,并通过 MFT 进行目录管理:
将数据存储到磁盘
数据在下图中的文件中进行写入——这是一个简化的过程,表示将四个文本文件写入硬盘盘片的过程:
将文件写入硬盘
下图表示从硬盘读取文件的过程。这些文件可能已被删除或修改,这会留下关于这些事件的元数据,这对实践者未来可能具有价值:
数据是从存储在盘片上的文件中读取的
注意
元数据是关于数据的数据;它描述了文件的各种属性,包括时间戳、位置、创建日期、修改日期、最后访问日期,有时还包括删除日期。
以下部分描述了 Windows 将文件分类为不同类别,并概述了它们对实践者的价值。
文件系统类别
文件系统类别记录了一般的文件系统信息,虽然遵循一般设计,但每个设备上的结构都是独特的。通过对这些数据进行分类,文件系统类别显示用户在哪里可以找到他们正在寻找的数据和文件,同时也充当文件系统的地图(Carrier 2005)。它为混乱带来秩序,并允许用户安全地存储和检索文件。
文件系统的一个好处是它富含文件元数据,这对实践者来说是有益的。文件系统元数据是实践者导航和检查文件系统信息的关键部分。它在重建与案件相关的事件方面可以提供很大帮助(Carrier 2005)。
然而,如果这些数据遭到损坏或丢失,那么额外的分析将变得更加困难,因为需要数据和记录的备份副本。否则,实践者将需要猜测原始值是什么,并推测创建文件系统的应用程序类型以及文件或文件夹的创建日期。
文件名类别
文件名类别,有时也称为人机接口类别,记录用于为每个文件分配名称的数据。它由包含文件名的目录列表以及每个文件对应的元数据地址组成。已删除的文件名及其相应的元数据地址可用于通过基于元数据的恢复方法恢复文件内容(Carrier 2005)。
能够使用文件名列表是法医学检查的基本部分,因为它允许实践者识别文件名和父目录的名称,并可以用于根据文件名、路径或文件扩展名搜索证据。文件扩展名标识文件的类型,例如系统文件,或者在 MS Word 文档的情况下,通过 .docx 扩展名标识文件。
然而,如果在文件删除过程中清除了元数据地址,可能无法再找到更多信息。如果只知道文件名的一部分,仍然可以使用这部分进行搜索,例如在知道文件扩展名或名称,但不知道完整路径的情况下。元数据以固定长度的表格形式存储,并有自己的地址。当文件被删除时,元数据条目会更改为未分配状态,操作系统可能会擦除一些文件值。还应注意,文件擦除工具可能会删除文件名和元数据地址,或覆盖文件名中的关键值,表明该条目曾经存在,后来被作废(Carrier 2005)。
操作系统以二进制形式存储所有文件数据和元数据,这些数据通过应用程序接口转换为人类可读的文本或图像,通常被称为图形用户界面(GUI)。该图显示了以二进制形式保存的文件名数据和时间戳元数据:
文件名信息架构
元数据类别
元数据类别包含描述文件属性或特征的数据,展示文件的位置和大小。最重要的是,它提供了文件的历史记录,提供创建、修改和访问的时间戳。然而,与文件和内容类别不同,元数据本身并不记录文件内容或文件名(Carrier 2005)。
分析的重点是寻找特定文件的更多详细信息或搜索满足特定要求的文件。该类别包含许多非必要数据,可以由操作系统修改,操作系统可以更改某些元数据,例如文件访问时间。这可能会提供一些误导性的元数据。
基于元数据的恢复可能是寻找丢失或难以捉摸的文件时所需的,当删除文件的元数据没有被擦除时可以使用。文件可能已经被重新定位,例如从一个文件夹移动到另一个文件夹。这可能会导致检测困难,因为当文件重新分配时,恢复两个或更多未分配的元数据条目可能会导致它们有相同的文件地址。
元数据的检查有助于在查看文件内容、搜索文件值以及定位已删除文件时。通常,当文件名指向特定的元数据结构并需要进行文件检查时,才会启动这一过程(Carrier 2005)。
以下图显示了从一张照片缩略图中恢复的元数据。缩略图数据库文件记录了存储在特定文件夹中的多媒体文件。即使原始文件已被从文件夹中删除,小型数据库文件仍可能存在,包含原始文件的缩略版本及文件元数据。在此示例中,文件元数据包含可交换图像文件格式(EXIF)数据,这是数码相机或设备拍摄的照片的典型特征。这可能提供有关图像拍摄位置的精确地图参考,适用于某些类型的相机,有时还包括相机的序列号。
JPEG 图像缩略图文件的元数据
不同的文件类型提供基本的元数据,有时甚至会提供文件版本信息,如 MS Word 文档中的版本。下图显示的文件属性提供了文件创建、修改、最后访问的时间戳和文件位置的详细信息:
.bmp 图片文件的属性
打开文件可能会恢复文本文档的作者信息及其他高级设置。然而,若没有使用某种形式的写保护,执行此操作可能会污染文件元数据。为了防止文件内容和元数据无意中被修改,保持文件的原始状态是良好的取证实践的首要要求。
例如,如果没有使用取证保护来保护文件完整性,仅仅将文件从计算机的一个位置复制到另一个位置就会自动改变元数据。文件证据状态的这种污染可能对法律案件产生严重影响,并可能遭到对方法律团队的挑战。第四章,恢复和保护数字证据,描述了保护数字证据的重要性,并强调了防止证据污染的各种流程和取证工具。
内容类别
内容类别包括文件的内容,例如写入文档文件的文本、添加到电子表格中的图表或图像文件中的图片。如果从未分配空间恢复,可能没有关联的元数据或文件名,唯一的线索可能来自文件签名以及从内容中获取的线索,尤其是文本文档。
在文件系统中定位证据
违法行为的性质在某种程度上决定了可能恢复的相关证据类型。例如,在一起受害人因枪伤死亡的谋杀案中,确定死亡的时间、地点和死因是有帮助的。搜索工作会围绕着武器展开,包括已发射的子弹或弹壳、弹药残留物、血迹飞溅和射击轨迹数据等。在微观层面,死后分析以确定死因,发射弹壳的 DNA 分析、火药残留物的化学分析等都会进行。
洛卡尔交换原理,在第一章《数字取证及其环境的角色》中有描述,在数字取证检查中同样具有重要意义,就像在之前的情境中一样。在数字环境中,我们也在寻找“铁证”,它可能表现为通过电子邮件发送给受害人的死亡威胁。必须找到这封电子邮件,时间戳将帮助确定消息发送的时间。然而,如何确定笔记本电脑上的日期和时间是否正确,并且使用了哪个时区呢?是否能确定这条消息确实是在被扣押的笔记本电脑上创建并发送的?恶意用户是否可能创建这条消息以制造麻烦?是否有任何其他信息提供了关于这条消息的背景或可能的动机?如果笔记本电脑设置了密码保护,谁曾有权访问它?
从业人员面临的一个基本挑战是如何确定嫌疑人与从计算机中恢复的数据之间的确切联系。如果没有人为观察者或许没有监控摄像头来确认嫌疑人在犯罪发生时是否在计算机前,这就只能是凭借经验判断,或者最坏情况下只是猜测。从业人员必须依赖证据,如果证据无法得出结论,他或她必须寻找更多的证据线索,以提出可能的假设,推测发生了什么。收集所有支持不同假设的相关证据是从业人员的任务,但是否这些证据有助于确定嫌疑人的罪行或无罪,则由其他人来决定,例如陪审团。
对从业人员的挑战是定位与正在调查的案件相关的信息或数据。显然,恢复设备中的数据是有原因的——是某种犯罪、违法行为或活动,值得进行检查。调查的主题往往决定了所需的基本证据类型。然而,找到直接证据可能也意味着需要寻找与之相关联的证据,这些证据可以与关键证据相互印证。在检查过程中,根据法律公文,通常会寻找特定的证据,但有时也会发现其他犯罪的证据。因此,在处理数字案件时,保持警惕并保持开放心态至关重要。
在传统的犯罪形式中,调查人员会尝试确定犯罪行为的手段、机会和动机。在开始寻找证据之前,考虑这三种条件如何在数字环境中适用,将有助于理解整个过程。
确定犯罪手段
调查人员寻找嫌疑人实施非法行为所使用的手段或适当的过程,也就是确定犯罪行为是如何实施的以及使用了什么样的过程。安装在恢复设备上的应用软件并与犯罪行为相关联,可能会记录活动,这些记录可能对展示犯罪行为如何发生非常有用。例如,使用电子邮件发送死亡威胁,或连接互联网下载非法色情内容,会留下审计轨迹或事件日志,从而能够重建发生了什么以及涉及的过程。重建犯罪行为可能是一个相对简单的过程,也可能非常困难,因为犯罪行为和犯罪者留下的记录极少。
看似简单的概念,如发送威胁性电子邮件,可能需要一些证据来证明该邮件是在被扣押的设备上创建并发送的。初步检查时,这可能看起来没错,但进一步检查时,可能会发现虽然电子邮件账户记录了邮件的发送,但并不能确定邮件就是从该设备发送的。这个过程可能是另一个人通过远程访问账户并使用不同的计算机完成的。调查人员需要确定事实真相,并对电子邮件信息与正在检查的计算机之间的关系进行彻底分析。
确定嫌疑人是否有能力实施犯罪的另一个方面是验证嫌疑人是否具备使用相关软件的计算机技能,例如伪造电子文件或篡改照片的情况。
确定犯罪机会
拥有使用计算机进行非法活动的机会似乎很简单,但证明嫌疑人通过访问计算机确实拥有这个机会可能会是一个问题。如果没有任何佐证,可能很难(如果不是不可能的话)将犯罪发生的时间与嫌疑人对计算机或网络的访问联系起来。审计日志记录了特定用户访问计算机或网络的详细信息,通常假设使用授权用户登录信息和密码的人就是实际用户。通常情况下,确实如此,但如果另一个人未经授权获取了用户的登录信息并登录系统,除非有其他证据,比如人类观察者或监控录像来澄清发生了什么,否则可能很难证明。
审计和访问用户日志并非万无一失,可能会被篡改和伪造,因此并非总是可靠的。关键事件的时间和日期戳以及文件位置有助于确认与违规行为相关的情况。它们通常有助于确定某个用户在特定时间是否有机会进行违规行为。计算机用户访问安全可能会禁止未经授权的访问违规,并建立用户身份。这有助于缩小可能对违规行为负责的用户范围。
理想情况下,必须确定谁真正访问了设备或网络。通常,这并不是决定性的,而且假设显而易见的结论是不明智的。在刑事案件中,通常会做出谁实施了犯罪的假设,但必须排除合理怀疑地证明这一点,而在民事案件中,证明的标准较低,更多是依赖概率平衡。尽管如此,我们仍然看到一种倾向,认为设备的所有者和管理者通常是进行某些非法活动的主要嫌疑人。至少在调查的初期,这似乎是合乎逻辑的。然而,进一步的调查往往表明,其他人也可能有机会访问计算机或网络,因此潜在的嫌疑人范围会扩大。由此可见,必须彻底检查用户对设备的访问。这是为了确保调查的公平性,确保潜在用户名单的确定。
如果嫌疑人能提供一个合理且可验证的不在场证明,表明嫌疑人在犯罪发生时没有机会实施违规行为,则该嫌疑人的机会可被排除。许多计算机犯罪案件中都会提供不在场证明,包括凯斯·格里芬(Keith Griffin)在 2010 年因将儿童色情内容下载到计算机上被判刑 12 年时所提供的荒诞且被否定的不在场证明。格里芬将责任归咎于他的猫,称猫走在键盘上,导致了不雅照片的下载!(您可以在newsfeed.time.com/2010/09/12/man-blames-cat-for-child-porn-on-his-computer/了解更多案件详情。)
分析数据以将事件与特定用户关联的问题在第九章中有更详细的描述,验证证据。
确定越界动机
证明动机并非必需,而且通常很难做到,除非越界者某种形式地认罪,因为谁能知道越界者在行为发生时的内心想法呢?然而,设备上可能存在某些数据,能够提供对可能动机的解释,或者说,提供缺乏动机和犯罪意图的解释。
通过收集将用户与某些活动联系起来的证据,可以确定动机,这些活动确认了用户对计算机和相关应用程序及文件的某种程度的知识和控制。始终要警惕明显的线索。诸如“这是嫌疑人的计算机,因此嫌疑人应该负责”这种推测是高度不适当的,即使它没有被从业者口头表达出来。如第一章中所述,数字取证及其环境的角色,以证据为主导的调查和取证检查是合乎逻辑且更具科学客观性的,但在依赖数字证据的案件中,揭开真相可能是一个令人困扰的过程。
虚假证据也可以被恶作剧者相对轻松地制造出来,目的是将无辜方牵连其中,这一点在本章末尾的案例研究中有所展示。
决定在哪里寻找可能的证据
我们遇到了一个越界行为;某人有能力、有机会并有动机利用计算设备实施这一行为。使用的应用程序、文件和操作系统的记录可以提供一些有用的电子指纹,帮助从业者重建发生了什么、何时发生、发生在设备或系统中的哪里、如何发生,以及希望能够知道的为什么发生——那个通常难以证明的动机。那么,从业者应该从哪里开始呢?
计算机和其他设备将信息存储在不同类型的目录系统中,类似于 Windows 资源管理器。下图显示了通过高级取证工具 ILookIX 查看的 Windows 目录结构的一部分:
Windows 10 下的文件目录结构
然而,典型计算机上存储的文件数量使得这一过程因时间限制和检查每个文件的疲劳而变得不可行。有些是系统文件,通常不会被检查,除非进行特定检查。因此,为从业者提供易于查看的文件分类会更有帮助。例如,如果网页文件如 HTML 及其他类别被方便地分类,将会使定位和选择证据变得更快且不那么繁琐。
文件类别可以分为文件签名和文件类型,如下一个截图中 ILookIX 的类别浏览器面板所示。文件签名识别文件的内部结构和模式,而文件类型则基于使用该文件的应用软件,例如微软 Office 通过 Word 打开扩展名为.docx的文件:
在 ILookIX 类别浏览器窗格中查看的文件类型和文件签名
如果正在寻找电子邮件消息或多媒体文件,那么这些有用的目录将是搜索的便捷起点。主要关注领域可以被分类,并为各种案件提供一些有用的起点,如下表中所列举的示例所示:
| 类别 | 搜索原因 |
|---|---|
| 压缩文件 | 这些包括压缩和打包的文件,其内容可能与调查相关。 |
| 音频 | 这些文件可能记录了一些 Skype 对话,或者提供下载侵犯版权的音乐文件的证据。 |
| 数据库 | 这些包括缩略图文件(.db)的数据库以及与用户在设备上活动相关的其他记录。 |
| 电子邮件 | 这些是有关人类通信的重要信息来源,有时还包含具有刑事证据的内容。 |
| 事件日志 | 这些是设备保存的各种用户和系统活动记录——对于重建事件时间线非常有用。 |
| 互联网浏览器文件 | 这些文件记录了浏览活动以及可能与调查相关的搜索记录。 |
| 链接文件 | 这些文件告诉我们最近使用的文件和应用程序,并帮助重建用户活动和事件时间线。 |
| 微软 Office 套件 | 这包括与用户及其他回应者活动相关的文本和其他文档。 |
| 回收站 | 删除的文件和文件夹常常是丰富的证据来源。 |
| 注册表文件 | 注册表记录了可供用户使用的各种功能的状态,并且有各种连接到计算机的设备记录。 |
| 系统文件 | 大多数这些文件可能与检查无关,但其中一些在重建相关事件时发挥重要作用。 |
| 视频 | 这些文件可能包含与案件相关的用户活动证据,或者例如儿童剥削材料。 |
索引和文件搜索
文件的索引和搜索是另一种选择,且是更高级的过程,广受实践者青睐,用于在大型数据集中定位信息,包括桌面计算机和笔记本电脑,速度和便利性更高。它允许根据文件类型和签名、文件名、内容、元数据、时间框架、文件大小等对数据进行索引。例如,如果要查找在估计时间内发送的电子邮件死亡威胁,实践者可以搜索该期间内所有发出的电子邮件,并搜索电子邮件内容,如威胁的细节。搜索还可以通过查找匹配已知信息的发件人和收件人详情来过滤,以节省时间。
搜索可以是基于索引的搜索或关键词搜索。基于索引的搜索要求对数据集中的每个文件进行索引,实践者可以决定哪些文件可能与检查相关,并且可以过滤掉多余的文件,这些文件本来会拖慢索引和搜索过程。尽管索引可能需要一些时间,但它是机器生成的,更多的细节将在第五章,对加强法医工具的需求中描述。一旦数据集被索引,搜索时间几乎是即时的,实践者将得到更快速的结果。
下图显示了由先进的 ISeekDesigner 程序创建的配置文件中的多种搜索词,该程序为实践者提供了丰富的关键词搜索词选择。在此过程中,ISeekDiscovery 自动化工具使用该配置文件来搜索这些词,随后它们会被索引以加速分析:
多种关键词搜索词填充在 ISeekDesigner 配置文件中
搜索结果以多种格式呈现,允许实践者查看较小且更易管理的数据集,如下图所示。它展示了对一个包含超过两百万个文件的大型数据集进行搜索的结果,识别出六个有助于此训练犯罪模拟案例重建的文件,这些模拟是由我设计的:
寻找干草堆中的针并找到它们
未分配数据分析
存储数据的硬盘或存储驱动器的可用空间取决于设备的大小和安装的任何组件。例如,一台新购买的笔记本电脑可能已经安装了操作系统和一系列基本的软件应用程序、系统文件、用户数据等。剩余的空间,处于原始状态,可以根据用户、系统和软件应用程序的需要存储数据。这个空闲空间或未分配空间最初是空的,但在正常使用过程中很快会开始被填充。
文件可能从已分配的空间中恢复,在该空间中,操作系统以所谓的逻辑状态维护文件。除非它们是隐藏文件,否则这里的大部分文件都可以在法医恢复过程中找到并恢复。删除的文件也可以从垃圾桶文件夹中恢复。
最终,设备可能会因空间耗尽而导致操作系统崩溃,或者至少使其运行变得迟缓。用户经常删除文件,并将其保存在垃圾桶中,这些文件可以从垃圾桶恢复或重新移动到未分配空间。在未分配空间中,文件的残余部分依然存在,但会进一步被新写入的文件覆盖,直到完全消失。
然而,法医工具允许专家恢复这些文件或已删除文件的碎片,这些文件碎片可能有助于重构案件中的关键事件。通过检查文件目录中已删除的文件名,删除的文件可以轻松恢复。然而,在更改元数据之前,已删除的文件名常常会被重新使用。文件可能没有保留文件名,但文件的元数据可能依然存在。相反,文件名和元数据可能还在,但文件内容已不复存在。
经验丰富的专家通过一致性检查未分配块,可以发现故意隐藏数据的行为或文件系统错误,这些错误隐藏了数据。通过在两个有效条目之间找到已清零或无效的条目,也可以检测到数据擦除。数据雕刻是用来恢复文件碎片的技术,可以通过使用十六进制编辑器手动进行,或使用高级法医工具自动完成。这些工具和流程在第五章,增强法医工具的需求,以及第六章,选择和分析数字证据中有更详细的描述。然而,除非能够访问设备,否则所有这些数据恢复尝试可能会被阻止,如果设备已被密码保护并加密。
解释密码安全、加密和隐藏文件
以下部分描述了密码安全和加密,以及如何保护信息并防止证据被窥探。它们概述了管理计算机设备和网络安全的基本流程,并解释了数字信息为何需要防范广泛威胁的保护。
用户对计算机设备的访问
为了保护存储在设备上的数据免受未经授权的访问,用户访问控制提供了一定程度的保护。这适用于台式机、笔记本电脑、手机和其他手持设备、家庭安全系统以及广泛的其他电子设备。不仅需要限制对信息的直接人类访问,只有授权人员可以访问,而且信息还需要防止被其他程序、进程或系统访问,这些程序、进程或系统可能与设备连接。例如,登录到网络服务器的工作人员通常不应访问其他工作人员的终端(除非担任监督或支持角色)。否则,敏感信息将无法得到保护,情况最糟糕的情况下将变得混乱。
那么,为什么用户访问如此重要呢?信息具有保密性、完整性和可用性方面的价值,而这些都面临风险并需要保护。以下小节将描述这些术语。
理解信息保密性的重要性
保密性或隐私性要求防止未经授权的信息访问。即使访问是授权的,用户也可能以未经授权的方式使用该信息。例如,一位同事看到另一位同事已经离开办公室,但电脑仍在运行,从而允许未经授权的访问。该同事访问了电脑,阅读了一些机密文件,并将这些信息用于不正当(未经授权)用途。后来,信息的管理者被调查,但没有发现任何未经授权访问其电脑的记录。实践者可能能够重构未经授权访问的事件和时间,但从电脑记录中发现入侵者的证据几乎是不可能的。
理解信息完整性的重要性
信息的完整性还需要保护:某种形式的保证或担保,确保信息保持原始状态,没有被篡改或污染。信息的创建者和管理者需要确信信息没有被未经授权的行为、人工干预或计算机系统故障所改变或破坏。
以黑客入侵受害者的计算机为例,例如银行计算机,并悄悄修改重要财务记录的内容,作为在线欺诈的一部分。这种攻击不仅改变了记录的完整性,而且有人获利,有人失利。由此可见,最初有合法权限访问这些记录的银行人员将成为主要嫌疑人。
信息的完整性需要某种保证,以确保信息没有受到未经授权的创建、修改或操控,并且所有相关的交易都是正当且真实的。
理解信息可用性的重要性
信息可用性意味着信息对那些希望使用它的人是可访问的。然而,用户可能会无意中拒绝自己或他人访问信息,或者系统过程可能会使信息不可用。黑客和其他恶意分子通过网络攻击来拒绝用户和组织访问自己的信息。这些攻击被称为拒绝可用性攻击,可能还涉及某种形式的敲诈,要求支付财务报酬以确保信息再次对其合法所有者可访问。对网络和受感染计算机终端的取证检查可能会找到拒绝访问的原因,并允许组织恢复访问,以继续正常的业务。关于恶意软件检测的新方法的深入探讨将在第五章中提供,增强取证工具的需求。
用户访问安全控制
保护计算机、手机或网络免受未经授权访问是信息资源安全管理的一部分。几乎每天都会看到关于网络安全漏洞的新闻头条,或者听说身边的朋友的计算机或网络被入侵者攻击和破坏。随着旨在改善人类生活条件的技术进步,出现了一个阴险的副作用,威胁着信息资产的隐私、完整性和可用性。
防止未经授权的访问是通过严格规定谁可以访问数据以及可以访问哪些数据来实现的。用户访问管理可以视为防御的第一道防线,并且很少是万无一失的。它使用一系列基于已建立安全策略的保护过程。例如,在最简单的形式下,当购买一台新笔记本电脑时,通常会授予用户管理员权限——这是一种更高水平的设备管理控制。作为管理员,其他用户和访客用户可以通过创建其他用户帐户来使用该设备,而这些帐户可能会设置密码保护,也可能不会。
对于网络系统,使用更复杂的访问控制层级,通过严格的访问控制点和级别来管理大量的网络用户。会记录一份用户列表及其访问权限或特权的详细信息,并且会记录每个用户的访问日期、时间和持续时长的审计记录。
密码或密码短语通常与用户的唯一身份标识名称一起使用。生物特征保护,如指纹和虹膜检测,可能会被使用,或者可能会采用其他形式的安全保护措施,以阻止并最小化未经授权的利用的可能性。
各种应用程序提供了绕过或解锁隐藏密码的方法,使得访问驱动器内容变得更加容易。密码保护的设备可能给从业人员带来困难,尤其是在内容被加密的情况下,后续小节将进一步阐述这一点。
加密设备和文件
加密技术已被使用了数千年,用于隐藏信息以防止未经授权的查看;即使信息被拦截,加密也能防止或至少阻碍未经授权的查看,保护消息或容器的内容。在保护数字设备和消息方面,使用了多种隐私安全技术,以保持信息的机密性。加密技术在大多数数字设备上都有应用,尤其是在台式计算机、移动电话、平板电脑和服务器网络中。它们还包括电子邮件和其他通信消息的安全加密。
无论加密的级别如何,加密的 Achilles 之踵是密码、密码短语或其他形式的访问控制,用于打开加密的存储区。没有这个访问密钥,数据将无法被打开。一些简单的加密形式,比如 Word 文档保护,可以通过使用互联网上随时可用的程序轻松破解,从而击败保护文档的简单加密。更高级的加密应用程序也可以被绕过,但用于保护信息的算法的强大性可能使得打开存储区的过程变得耗时。近年来使用在更现代设备上的高级加密技术,特别是在具有加密区域和微芯片的移动电话上,目前正在击败寻求访问的专家,尽管他们使用的是所谓的先进法医工具。
面对被锁定和加密的设备,从业人员遇到的问题正成为一个严峻的挑战,稍后在书中会进一步讨论这一问题。
案例研究 – 将证据与用户关联
本案例研究涉及对 2006 年执法人员提供的被告笔记本电脑法医镜像的检查。在被告的笔记本电脑上,计算机修理员发现了一些未成年性行为的照片和视频,并将此事报告给警方,导致该笔记本电脑被查封,并在 2008 年提出刑事指控。从逮捕到审判的 2 年延迟可能是由于相关机构的工作负担繁重。
被告显然不相信自己曾将非法的色情文件下载到笔记本电脑上,并坚持自己无罪,这促使辩方团队对相关信息的可靠性进行检查,从而帮助后续的法律分析。违法材料在 2004 年和 2005 年间被放置在笔记本电脑上,而在此期间笔记本电脑曾由同一位维修员修理,该维修员显然没有注意到并报告在第一次修理时发现的材料。
辩方专家对从扣押的电脑中恢复的物理和逻辑信息进行检查,确认了警方的主张,即非法电影文件很可能是在 2004 年 9 月至 10 月期间下载的。显然,这些文件很可能是通过 LimeWire 程序下载到笔记本电脑上的,其余文件则在 2005 年 1 月下载,并且很可能是在该设备上观看的。
根据对程序可执行部分相关文件创建日期的检查,计算机上安装了 RealPlayer 和 Windows Media Player。这些应用程序可播放电影、音频和图像文件。两款应用程序都具有记录最近播放文件的功能。根据该机构报告,多个最近播放的文件与识别为相关电影的文件具有相同的文件名。重新检查数据后确认,多个非法文件曾多次被 RealPlayer 访问,而仅在一次情况下被 Windows Media Player 访问。
被告的年轻青少年子女在此期间有接触该笔记本电脑,并且在电脑上创建并访问了两个淫秽图像文件。电影和图像的最后访问日期被病毒扫描程序无意中更改,从而模糊了日期并使电影和图像查看器应用程序的重建不完整。该机构错误地解读了关键文件的不可靠的最后访问日期,并将其作为文件被用户访问的证据,从而延长了可能犯罪活动的时间段。事实上,文件元数据挑战了这一主张,并削弱了控方的论点。
从数字证据的表面来看,在笔记本电脑被查封时,可能看起来很合理地认为被告——电脑的所有者和保管者,且电脑位于其住所——是最可能的嫌疑人。然而,在 2005 年 9 月至 2006 年查封日期之间,其他人在电影被访问和观看的期间也有机会使用这台电脑。此外,一对年轻夫妇从 2005 年 6 月末到 2006 年 2 月初也曾不受限制地使用过该电脑。其他一些人(这对夫妇的朋友)在同一时期也曾使用过笔记本电脑。还有另一个人曾在 2005 年 7 月到 2005 年 9 月期间住在该住所。被告也常将笔记本电脑带到工作地点,其他人也可以不受限制地使用它。
还有证据表明,被告在一些非法文件被下载并在笔记本电脑上播放的期间不在他所在的城市。被告的青少年子女当时在场,并且每周会有一些朋友留宿在家里,他们被认为曾使用过笔记本电脑。密码安全性很基础,任何愿意使用它的人都知道密码。
辩方专家对重建的使用时间线进行检查时发现,一部非法电影文件在 2005 年 10 月 17 日被修改并写入,这时笔记本电脑被认为处于电脑维修人员的手中。此问题未被检方提出,也未向辩方团队披露,但这却提高了另一位潜在嫌疑人的可能性。
对于存储设备上非法电影及其副本的数量,也存在一些差异。然而,重新检查法医图像显示,设备上有六部独立的电影和九个文件副本,这与检方所声称的远远多于此的数量相矛盾。文件的记录不准确,这对检方案件的核心文件提出了疑问,也对检方专家的专业性产生了怀疑。
在电脑中发现了恶意软件,即木马病毒 A0044827.exe Infected: Backdoor.Win32.Agent。然而,并没有证据表明该恶意软件已经感染并控制了笔记本电脑,使其容易受到未经授权的远程控制。同样,对这一恶意软件在笔记本电脑上的活动的检查,交由辩方专家负责,并且由被告承担费用!
毫不奇怪,针对被告的案件最终被驳回。
这可能导致不完整和有偏见的分析,进而使用可疑证据和错误分析做出定罪。必须始终小心谨慎,确保调查是以证据为主导的,而不是以嫌疑人为主导的过程,正如本次调查中所发生的情况。
参考文献
Adams, R. 2013. “云存储的兴起及新数字取证流程模型的需求。”《网络犯罪与云取证:调查过程的应用》:79-104。由 K. Ruan 编辑。美国宾夕法尼亚州赫希:IGI Global 出版社。
Bell, G. B. 和 R. G. Boddington 2010. “固态硬盘:当前数字取证恢复实践的终结之始?”《数字取证、安全与法律期刊》,5(3):1-20。
Carrier, B. 2005. 文件系统取证分析。新泽西州上萨德尔河:艾迪生-韦斯理出版社。
概述
本章描述了各种计算机和存储设备,并概述了它们所保存的具有潜在证据价值的数字信息的性质。操作系统软件和应用程序功能及性质的解释引入了文件创建、文件传输以及电子信息存储的过程。本章介绍并解释了文件系统的性质,概述了一些包含证据价值的典型文件,并指出它们可能在设备上的位置。关于密码安全性和加密的总结表明,数字设备正变得更加先进,且加密正作为一种有效的安全特性被使用。这现在对试图寻找隐藏证据的从业人员构成了显著的挑战。
本章节中展示的数字证据在第三章中有更详细的描述,数字证据的性质和特殊属性,该章节解释了数字证据的性质和特殊属性,并确实决定了从业人员在案件审查时所遵循的取证方法。数字证据与其他类型的证据有许多共同特点,但也有其独特的属性,使得它既充满挑战又具有探索和利用的价值。第三章,数字证据的性质和特殊属性,强调了数字证据的技术复杂性以及它们对从业人员在分析证据并向法院解释证据时所带来的挑战。它定义了可接受性的权重以及数字取证必须满足的要求,才能在法律案件中被认为是可被采纳的。
第三章。数字证据的性质与特殊属性
到 21 世纪初,超过一半的刑事案件涉及某种计算设备,而且这一趋势仍在继续,并且可能会进一步上升。它在法律案件中的使用也在增长,且没有减少的迹象。数字证据源自对各种数字设备的检查,并与其他形式的证据具有相似的特性。虽然有些差异有助于增强证据恢复分析,但正如本书所示,也存在一些特性,使得执业人员在处理时面临挑战。
本章定义并描述了数字证据的特殊属性及其对调查的贡献。本章将具体涵盖以下内容:
-
定义数字证据及其用途
-
解释数字证据的特殊属性,包括其时间和位置元数据以及文件特征
-
突出数字证据的技术复杂性及其对准确分析的挑战
-
解释确定数字证据可采纳性的要求
-
提供一个案例研究示例,以说明数字证据的性质及其在法律案件中的价值
定义数字证据
数字证据是以数字形式存在的信息,通常可以在各种计算设备上找到;实际上,它是任何包含微芯片或经过微芯片处理后存储在其他介质上的物品。数字数据是通常以二进制形式表示的数值,与以模拟形式存储的电子数据不同。曾有报道称,一名澳大利亚毒品走私犯将其客户和交易的电子表格隐藏在植入其宠物狗体内的微芯片中。当一名机智的警察询问嫌疑人住所内是否有微芯片植入枪时,便发现了这一点。这一发现促使对狗进行小型手术以移除芯片,随后发现芯片内包含了一个电子表格,列出了毒品交易商和交易记录。
在法律案件中提交的证据,如刑事审判中,是作为证人证言或直接证据,或以物品形式呈现的间接证据,例如物理文件、个人财产等。以电子形式存在的证据,包括数字和模拟数据,被定义为实物证据,有时也被称为文书证据。它也被称为信息技术证据、电子证据或计算机证据。数字证据包括电子邮件、电子文件、电子表格、数据库、系统日志以及音频、图片和视频文件等。提交法院的最常见证据形式是执业人员在提供数字证据解释时的口头陈述。
数字证据的使用
法律案件中的证据用于证明(或反驳)争议中的事实,以及证明争议事实的合理性——尤其是间接证据或旁证。数字证据就像文书证据一样,提供推论,这些推论可能有助于证明案件中的某个关键事实。它帮助调查人员和法律团队发展出关于犯罪嫌疑人的可靠假设或理论。它在建立犯罪、受害者与犯罪嫌疑人之间的联系方面显得尤为重要。证据的可靠性对于支持或反驳任何关于可能嫌疑人参与的假设至关重要。我们将在第六章《选择与分析数字证据》中详细探讨这一点,选择与分析数字证据。
数字证据根据每个案件的具体情况和从中恢复证据的设备类型可能有多种形式。过去,最常见的恢复方式是从台式计算机、笔记本电脑和网络服务器中提取。收集到的数字证据有助于刑事和民事案件,有时甚至可能是唯一的证据。恢复工作通常通过物理移除源设备中的硬盘并将其连接到执法人员的计算机上来完成。为了防止或最小化嫌疑人源设备的污染,我们可以使用一种名为写保护器的硬件设备,以便复制可能包含证据的数据。硬件和软件写保护工具及过程的使用将在第四章《恢复与保存数字证据》中详细描述,恢复与保存数字证据。
镜像过程旨在将所有数据块从嫌疑人的设备复制到执法人员的目标设备。这通常被称为数据的物理复制,与逻辑复制有所区别,逻辑复制仅会复制用户通常能看到的内容。逻辑复制无法捕捉所有数据,且该过程会更改某些文件的元数据,从而大大降低其法医价值,导致可能会受到对方法律团队的挑战。因此,完整的逐位复制是首选的法医处理过程。在目标设备上创建的文件称为法医镜像文件,可以选择多种格式,包括 .AFF、.ASB、.E01 和 .dd 或原始镜像文件,以及虚拟镜像格式如 .VMDK 和 .VDI。
以下截图显示了由 IXImager 生成的 .ASB 法医镜像容器,其中包含一个加密的日志文件和一个图像文件:
一个 ASB 容器和日志文件
能够制作数据的精确副本的好处在于可以复制该数据,然后将原始设备返还给所有者或存储以供审判,通常无需反复检查。这减少了驱动器故障或证据污染的可能性。以下屏幕截图显示了成像过程日志文件的部分内容。这可能在法律程序中展示,以确认从业者进行成像的性质和情况:
日志文件显示了对 250GB 驱动器进行成像的时间段
特殊的取证工具需要打开和检查图像中保存的数据,它们这样做而不改变图像和污染证据,符合良好的取证实践传统。与有机或物理展品不同,例如尸体或油画,在测试期间通常会切取组织活检和画布以及颜料样本并通常会被破坏,取证图像会以原始状态保存所有数据。它允许使用取证软件提取和显示重要文件,但不会改变图像或其中包含的文件和元数据的构成和完整性。
能够检查图像中文件和文件夹以重建相关事件的能力需要一个用户友好的界面。通过增强的取证软件现在支持查看系统文件,导航文件目录,并打开缓存文件夹以查看浏览历史。以下屏幕截图显示了使用 ILookIX 查看文本文件的情况,以便在决定文件是否与调查相关时查看内容:
使用 ILookIX 查看文本文件
屏幕截图显示了一个文件的确切视图,显示了属性表,提供了文件元数据的记录,包括时间戳和文件位置。这些信息可能对重建违规行为或识别与作案者的链接有用:
使用 ILookIX 查看文件的属性表
同样地,从网络服务器计算机中恢复和查看信息可能会受到限制,因为组织可能不希望停止其正常业务,因为每个服务器或服务器上的文件夹可能会被成像。这样做可能成本高昂且耗时,并不能保证能够恢复所需的证据。以下图片展示了 ISEEKDISCOVERY 自动机在大型数据集上部署以恢复可能对调查有价值的文件搜索结果的电子表格,而不会干扰网络功能或污染数据:
ISEEKDISCOVERY 自动机:搜索词命中统计和相应恢复的文件
以下截图显示了已选定的待进一步分析的感兴趣文件。这些文件可以与调查员和法律团队共享,以便他们查看这些信息是否有用,并决定是否提取:
基于搜索词的文件类别,用于后续分析
移动电话和其他手持设备与桌面设备的成像方式不同。外部设备如法医计算机的硬件和接口也有所不同。以 iPhone 为例:除非已知密码,否则无法访问该设备。苹果公司使用一系列加密的扇区,这些扇区位于微芯片上,使得难以访问手机内部的原始数据。已经开发出专门的软件,用于恢复和分析来自手机、全球定位系统(GPS)设备、平板电脑和远程电话调制解调器的数据。
该软件将检查员的计算机与移动设备连接,通过一系列用户命令和对设备设置的一些小调整,实现数据提取。该软件提供设备的基本信息的逻辑提取,并记录设备特性和提取日志。这使得数据快速分类成为可能。直到最近,手机的更详细提取成为可能,允许通过所谓的物理提取方式提取或导出更多设备数据。iPhone 4S 及以后的型号不再支持物理提取。最近版本的 Android 设备同样限制了只能进行设备的备份,而不再允许恢复物理数据。附带的 SIM 卡和任何数据存储 SD 卡也可以通过这些应用程序进行检查。
领先的软件应用程序,如 Cellebrite 和 Microsystemation 的 XRY 套件,创建了一个专有的证据容器,包含已恢复的设备数据以及提取日志。该容器只能由软件读取,但允许提取和导出文件以供进一步分析。该软件的用户界面现在已经过优化,能够加快分析和报告生成,特别是在涉及更多设备的大规模调查中。
以下截图显示了 XRY 查看器屏幕中的物理提取案例摘要。在这个例子中,在较早的 Android 版本(2.3.4)中,曾可以对浏览活动的关键证据进行物理提取。这些额外的证据为被告提供了机会,证明他在严重刑事指控中的清白。最近,我的同事们通过测试发现,仍有大量数据是传统提取软件无法捕获的:
一款三星 GT-S7500l Galaxy Ace Plus 的 XRY 物理提取案例摘要视图
然而,在连接设备时,必须小心确保它不会连接到移动网络、本地 Wi-Fi 或附近的蓝牙设备。SIM 卡应当移除,并可单独检查,以防止通过不经意的本地连接污染手机数据。已有很多案例显示,手机被远程重置为出厂默认模式,从而清除任何需要检查的数据。远程擦除应用程序旨在帮助手机拥有者在手机丢失或被盗时擦除私人数据,现在也被那些希望阻碍调查人员获取潜在证据的人所使用。
与笔记本电脑和台式电脑不同,手机在数据恢复过程中并未完全受到取证软件和工具的写保护。通常会在手机上安装小型程序来协助提取过程。这可能会污染并覆盖设备上的某些空间,尽管这并不理想,但却是不可避免的。第八章,浏览器、电子邮件、信息系统和手机的检查将更详细地描述手机取证及其由于加密技术增强而给从业人员带来的挑战。
数字证据的特殊特点
或许你需要一些解释,以了解法院认为哪些证据是可接受的,哪些是不可接受的。在法律程序中提交的证据有不同的类别。最常见的是直接证据,有时也称为证人或证言证据。这是证人观察到的事件证据,依赖于证人对记忆的可靠性、诚实性、客观性等方面的可信度。此类证人证言可能会受到挑战和驳斥,但它通常在法庭上有助于确立事实的真相。
人类证言必须基于人类观察——通常称为目击者证言。它可能是证人直接听到、感受到、闻到、尝到或触及到的东西,但不能是道听途说的证据或外行人的意见。道听途说的证据是指证人并未通过五感直接观察到的任何与案件相关的事宜。
法院对于传闻证据有严格的规则,通常会拒绝那些没有被证人直接观察到的证据。例如,如果一名警察被证人告知某个犯罪行为发生并逮捕了犯罪嫌疑人,该警察不能提供证人所观察到的、并已声称的事实证据。来自警察的这类证据会被拒绝,因为它被视为不可靠。证人可以向法庭陈述自己所观察到的事实,而不是警察。法院不认为传闻证据具有可信性,特别是当法院无法对证人进行交叉询问以判断其可信度时。
对该规则有一些例外,这些例外是由法院实践、立法和案例法规定的。例如,意见可以作为专家和科学意见提出,关于这一点将在第六章中进行更详细的讨论,选择与分析数字证据。
数字证据的间接性质
与人类证人提供的证据不同,后者必须基于证人所观察到的事实,间接证据,例如数字证据,被视为传闻证据。间接证据,包括数字证据,通常被视为间接证据,可以与例如纸上墨迹等物理文件一样进行分类。
理论上,由于数字证据的真实性很难验证,它在基于英美法系的司法管辖区内,在许多刑事案件中是不被接纳的。然而,如今在刑事案件中,是否接受数字证据是由法官裁量的。这引发了一些主张,认为这种宽容的做法与正义的利益相悖。
存储在电子数据库和审计日志中的数字信息,例如,由计算机生成,并不总是包含由人类用户生成的信息。这类信息在一些早期的法律审判中曾受到挑战,但成功辩护认为,在对创建和记录信息的计算机可靠性和准确性作出某些保证的前提下,这些记录可以被接纳。法院还要求提供一些证据,证明这些记录的创建和存储是组织业务活动的一部分。自动化数字记录的超速车辆,通过雷达探测器生成的证据,在法庭上已经被接受了数十年,尽管它的可靠性曾受到一定程度的挑战,并且有过有限的成功反驳。
人类证词并非万无一失,有时会被发现是虚假的、具有误导性,甚至完全错误。间接证据没有声音,因此可以从中推断出一些事实,以帮助证明某个关键事实。在这方面,基于数字证据得出的推断现在常常被用来证明案件中的关键事实,方式类似于在谋杀现场发现的刀具,会通过 DNA 和指纹测试来识别嫌疑人。
然而,由于其固有特性,间接证据本质上是概率性的,这使得在重建案件时充满挑战。数字证据和文献证据受到相同程度的法律审查。它们通常作为证据在审判中与其他证据一起使用,形成提交方的联合证词。由于数字证据与实物文件在形式上具有相似性,它现在在法院中得到了更广泛的接受。
数字取证专家的角色至关重要,他们通过科学解释和意见阐释证据并解读其含义。实际上,他们从证据中解释出意义,以帮助法庭理解证据的性质以及可以从中推导出哪些推论。理想情况下,文献证据不是孤立提交的,而是通过其他相关证据的佐证或被佐证,增强其可采性和可靠性。经验丰富的从业者会寻找额外的证据,以帮助将证据置于其创建的背景中,并与案件中相关事件的相关人员关联起来。
有趣的是,美国联邦证据规则排除了证人心态或状态的陈述,不受传闻规则的限制。规则 803(3) (www.law.cornell.edu/rules/fre/rule_803) 规定了“声明者当时存在的心态、情感、感觉或身体状况(如意图、计划、动机、设计、心理感觉、疼痛和身体健康)的陈述是可以接受的,但不包括用以证明记忆或信仰的陈述,除非它涉及声明者遗嘱的执行、撤销、鉴定或条款。”
这个重要的例外适用于电子邮件和社交网络网站,尽管它们的交流方式表面上看似非正式,但通常包含作者心态的坦率表达。这在其他司法管辖区是普遍接受的原则,尽管证明犯罪意图必须在超越合理怀疑的证据范围内进行,而非基于百分之百的确定性。
文件元数据与其他证据的关联
数字证据通常容易定位和处理,并且可能包含有用的元数据,这些元数据可以为过去事件提供重要的证明。许多评论员认为它优于其他形式的证据。作为数字证据恢复的文件,包含有用的前置信息,这些信息以文件内容和元数据的形式展现,包括文件的创建、修改和最后访问时间戳。文件的名称和位置通常会保留在计算机上,还有一些关于它最后一次打开和查看的时间的信息。这些信息对于重建与调查相关的过去事件非常有帮助,且经常出现在数字证据中。
文件元数据广泛存储在各类应用程序中。例如,Windows 注册表会记录连接到计算机的标准外设设备,如硬盘、显示器、键盘和打印机。以下截图展示了连接到计算机的 USB 设备的记录,包括最后修改的时间戳、设备类型和序列号:
显示连接的 USB 设备记录的 Windows 注册表
显示用户最近访问文件的链接文件分布在计算机各处。它们可以帮助查看最近访问了哪些应用程序以及正在访问的文件的身份信息。在重建关键事件的时间线时,这些信息非常有用。链接文件和跳转列表在这方面十分有帮助,能够提供文件位置和时间戳元数据,如下图所示:
恢复的链接文件列表
了解用户的浏览历史对于犯罪重建也能提供重要线索。Cookie 文件通常存储在计算机上。这些是由每个用户访问的网站创建的小型文本文件,并存储在计算机中。以下截图展示了从计算机中恢复的 cookie 文件列表:
恢复的 cookie 文件列表
互联网浏览器通常会存储访问过的网站详细信息,这些信息会保存在可以恢复的缓存文件中,如下图所示。然而,如果用户禁用了浏览器历史记录,可能无法记录这些数据:
恢复的浏览器缓存文件
更有帮助的是,从搜索历史记录中恢复的信息,显示了用户在浏览器中进行的搜索记录。如下图所示,这些记录包含了丰富的时间戳和搜索词。请记住,这些信息是从取证镜像中恢复的,而不是通过启动计算机查看浏览器历史记录获得的。后者可能会污染记录,而且很可能只能恢复部分数据。
其他数据可能不易恢复,需要使用取证工具来恢复额外的数据集。可以将取证镜像转换为可启动的虚拟驱动器,以模拟计算机在逻辑或正常查看模式下的操作,避免污染原始镜像:
恢复的数据库文件,包含搜索词历史记录
许多软件应用程序会在其应用日志中记录数据。多媒体播放器将此功能作为默认设置,如下图所示。这些日志结合最近查看的链接文件可以用来重建与调查相关的时间线的部分内容:
最近在 VLC 媒体播放器中查看的文件
如下图所示,虚拟机应用程序如 TightVNC 可以通过ProgramData文件夹访问。可以确定并恢复程序访问的实际日期及其他用户活动:
远程访问应用程序的位置
文件内容信息对实践者来说是无价的,但元数据提供了附加信息,这些信息往往也非常有价值。第六章,选择与分析数字证据将提供有关文件和元数据分析的更多细节。
数字证据的技术复杂性
本节概述了数字证据的技术复杂性以及对准确分析的挑战。像所有间接证据一样,理解从犯罪现场恢复的更复杂证据构件存在挑战。由于数字证据及其环境的技术复杂性,需要一定的经验和专业知识。现在我们已经看到文件和元数据信息对实践者有多么有用,清晰、全面地理解数字信息的性质至关重要。本节将介绍在使用和分析数字证据时遇到的一些挑战,表明数字取证,尽管提供了如此重要的材料,但并不是一项轻松的任务。
在电子和数字数据出现之前,伪造和篡改物理文件相较于数字数据较为困难,因为有安全措施保护重要文件,并且篡改纸上的墨水或铅笔字迹需要特殊技能。然而,应该注意的是,如今超过 90%的文件都以数字格式存储。这给检测数据篡改带来了显著困难,要求实践者通过明确的证据链将违法者与启动事件或某些结论性陈述联系起来。理论上这听起来很好,但往往证据丢失或被擦除,完整的证据链并不总是能获得。文件元数据可能存在,但通过元数据将嫌疑人与事件联系起来,特别是确定创建事件的人的元数据,充满了困难。
在任何审查中,最重要的要求是将嫌疑人与相关或与犯罪行为相关的事件联系起来。由于缺乏有效的科学流程来将违法者与事件联系起来,再加上匿名攻击受害者计算机和网络的远程攻击日益增多,问题变得更加复杂。对于从业人员来说,意识到这种利用行为已经是一项艰巨的任务,更别提追踪违法者的身份了。即便追踪到攻击者的地点,他们通常位于一些为其提供庇护的国家。即使存在引渡条约,这些条约也不一定能促使他们迅速且经济地被逮捕。
数字证据的可塑性
数字证据容易受到污染这一点不容小觑,在本章末的案例研究中得到了突出展示。在任何取证恢复潜在证据的过程中,都必须非常小心,避免污染证据,特别是犯罪现场。根据犯罪现场的不同,可能存在各种因素,能够破坏或至少改变证据。动物和昆虫的食腐行为、自然环境的变化以及土地的扰动都可能影响尸体的组成,这可能使得识别尸体及估算死亡时间和死因变得困难。
同样,电子数据可能因不当处理而轻易被修改、损坏或删除,即便是出于好意。开启数字设备将启动操作系统以及与启动系统相关的各种应用程序。关闭设备则会清除内存(RAM),更糟糕的是,如果设备设有密码保护和加密,可能会使其无法再次访问。需要使用取证工具来连接并访问设备上存储的数据。这些工具必须防止,或至少将对存储数据的污染降到最低。第四章,恢复与保护数字证据,详细描述了用于最小化证据污染的流程和取证工具。
数字证据可能被修改以删除其在计算设备上存在的所有痕迹,而且这种修改的证据并不总是能够被识别出来。它需要审查员付出相当大的努力和专业知识,甚至需要运气或先进的数据雕刻技术来恢复一些文件名和内容痕迹或元数据,这些痕迹表明文件或用于删除或修改它的软件曾经存在。如第二章,硬件与软件环境中所述,缩略图 .db 文件就是一个例子,它显示了计算机中多媒体文件的曾经存在。
元数据不应被表面接受
元数据显示了文件历史的各个阶段。最常见的情况是,它显示文件在设备文件夹中存在时的创建日期。在文本文件创建的情况下,创建日期、文件修改日期和最后访问日期会是相同的,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
10/10/2012 20:50:32 | 10/10/2012 20:50:32 | 10/10/2012 20:50:32 |
文件元数据时间戳
然而,如果用户在稍后的时间访问了文件,最后访问日期将反映那个更晚的事件,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 | |
|---|---|---|---|
10/10/2012 20:50:32 | 10/10/2012 20:50:32 | 15/10/2012 18:.03:49 |
最后访问时间戳已更改
如果用户访问文件并修改了内容,比如删除了部分文本文件的内容,该事件将反映在之后的时间戳中,以显示修改。最后访问日期也会更改以反映该事件,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
10/10/2012 20:50:32 | 16/10/2012 11:50:59 | 16/10/2012 11:50:59 |
最后修改和访问日期
需要强调的是,元数据并不会记录所有的访问和修改事件。Word 文档可能会存储之前的版本,这需要打开文件查看是否提供了关于文件前因和内容的额外信息。这一功能并不是 Word 文档的默认设置,但作为操作程序值得检查。
最后访问日期不应被视为文件最后一次由用户访问的实际时间,因为在例行扫描过程中,杀毒软件会访问计算机上的大多数文件以检测恶意软件,这可能会更改最后访问日期。这可以通过读取杀毒软件中的扫描日志来发现。
在以下示例中,基于第二章的案例研究,硬件与软件环境,涉及使用电影播放器查看电影文件,这些文件在一起构成了一个重要的刑事案件。需要仔细检查文件时间戳和用户访问日志。检察官声称,电影自2004 年 9 月 19 日起,通过 Kazaa 文件共享应用下载,并从共享目录文件夹移动到我的文档文件夹。这导致了同一文件的多个版本被创建。已知有多人在被告的住所和工作地点使用该笔记本电脑。检察官还称,电影在2005 年 8 月 6 日被观看,这是最后已知的修改日期。这并没有显示电影已被观看,并且电影播放器日志和链接文件也未能证实实际观看了电影。
检察官称,根据最后访问日期,电影在2005 年 12 月 2 日最后一次被观看,推断这部描绘儿童性剥削画面的电影在 15 个月的时间内被观看过(这增加了罪行的严重性),并且可以推定在此期间有对这些淫秽材料的知识和控制。
下表概述了电影文件的用户活动和文件元数据,该文件为.mpeg视频:
| 文件活动 | 日期 | 有访问权限的用户 | 评论 |
|---|---|---|---|
| 文件创建 | 2004 年 9 月 19 日 | 被告 | 同日 |
| 文件写入 | |||
| 文件修改 | 2005 年 8 月 6 日 | 被告访客用户 A 被告访客用户 B 被告访客用户 C 其他 | 其他证据证实了用户访问。 |
| 文件访问 | 2005 年 12 月 2 日 | 被告访客用户 B 被告访客用户 C 其他 | 不可靠数据——病毒检查器受污染。 |
用户访问与异常电影文件元数据分析
注释
最后写入列显示文件最后一次实际打开、编辑并保存的日期和时间。如果文件被打开后关闭但没有修改,最后写入的日期和时间不会变化。
显示02/12/05的最后访问日期已被电脑病毒扫描器修改,如下截图所示,且此时并未被用户访问。它显示了赛门铁克防病毒应用程序日志记录确认在02/12/05的8:15:34 PM进行过扫描。这使得潜在的观看时间被缩短至 12 个月。此现象在从笔记本电脑恢复的其他电影文件访问实例中重复出现。这表明,实践者必须始终警惕过早对文件元数据做出结论:
一个显示确认扫描的防病毒应用日志,时间为 02/12/05 8:15:34 PM
最后访问日期在单独查看时应始终小心处理。例如,某些应用程序和文件可能对鼠标指针悬停和接触文件非常敏感,这可能会将其记录为已访问,而实际上它并未被访问。访问记录有助于实践者分析文件是否已被打开。在调查过程中,通过验证一个重要文件的访问情况,这些信息可能被用来推断文件及其内容的知识和控制情况——这对于法庭判断嫌疑人的有罪或无罪至关重要。
基本的文件时间戳也提供了一些令人困惑的结果,正如下面的表格所示。这个例子展示了一个最后修改日期早于创建日期,乍一看似乎是错误或与文件存储方式相矛盾。这是一个常见的现象,反映了文件在之前的版本中是09/09/2012创建的,但后来被移动或复制到另一个文件夹。
原始的创建日期变为新的最后修改日期,而新的创建日期则基于文件在其新文件夹中的起源,作为文件的新版本。必须识别这种现象,以避免对关键日期的误解:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
| 16/10/2012 11:50:59 | 09/09/2012 07:01:13 | 16/10/2012 11:50:59 |
一个示例,展示最后修改日期早于文件创建日期的情况。
下载的文件,包括图片和视频文件,也展示了这一现象,有时日期来源于 17 世纪或 19 世纪,远早于桌面计算机的时代。01/01/1801 时间戳是一个常见的默认时间,当设备未启动时间索引时,通常会显示此时间。
从未分配空间恢复文件(数据雕刻)
第二章,硬件与软件环境描述了文件删除的过程及其退化和最终通过系统操作被抹除的过程。这导致许多文件部分存储在硬盘的未分配区域。传统上,这些文件的碎片只能通过使用十六进制编辑器来手动定位和提取,该编辑器能够识别文件头、尾和图像中存储的片段。通常无法通过文件系统的分配信息来定位和检查这些文件,因此实践者需要进行一项劳动密集型且具有挑战性的操作。然而,文件雕刻仍然是一个重要的过程,广泛用于许多需要恢复可疑删除文件的案件,尤其是当文件在调查的重要部分中时。
领先的取证工具,如 ILookIX,允许专业人员定位硬盘上可能包含已删除重要信息的块和扇区。通过手动查看磁盘中的磁盘视图组件,如下图所示,可以查看未分配空间,看看是否存储了任何数据。在此视图中,红色块表示系统文件,黄色块表示文件夹结构,绿色块表示分配给文件的扇区,蓝色块表示空闲空间,灰色块(未显示)表示未使用空间:
显示空闲空间、带数据的未分配空间和数据占用空间的磁盘视图
ILookIX 十六进制编辑器允许查看选定扇区的数据,以十六进制和可读文本形式显示,如下图的两列所示。使用此工具,可以选择文件段的开始和结束,并尝试重建或部分重建文件:
ILookIX 十六进制编辑器显示文件数据的十六进制和可读文本
显然,这一手动过程是非常耗时的,因为许多文件系统包含数百万个已删除的文件和文件碎片,现在自动化系统在很大程度上已取代了手动文件雕刻。ILookIX 将恢复和挽救已删除的数据,允许用户对这些恢复的数据进行索引,如下所示:
在取证映像中索引所有未分配块
这个过程将创建所有当前未分配给任何文件的数据块的索引,便于对未分配块进行几乎即时搜索。对未分配块的索引可能需要相当长的时间来运行,并且对于大多数情况可能没有多大用处。由于操作系统使用压缩,对 Mac OS 未分配块进行索引并不值得花费时间。像其他文件、电子邮件和注册表搜索查询一样,搜索未分配空间也可以像以下截图所示的那样执行:
包括未分配空间的搜索词结果
日期和时间问题
在任何数字证据分析中,文件时间戳的可靠性对于有效重建关键事件至关重要。所有数字设备上的时间戳都是自动系统,通常可以手动调整。例如,笔记本电脑和台式计算机需要在首次启用设备时设置计算机时钟。计算机时钟在时间保持方面通常不可靠,因此需要与像国家标准与技术研究院(NIST)这样的可靠在线服务进行自动同步。如果设备长时间未使用,或没有自动同步,那么计算机时钟很可能会运行得太慢或太快。这种差异可能会呈指数级增长,并使文件事件日志变得不可靠。有些时钟可能会快一个小时或慢一个小时,在某些情况下,这种差异甚至可能达到天数或年数。
用户也可以将设备设置为本地时区,或者当旅行者将笔记本电脑带经多个时区时,设备的时区可能会发生变化,这时设备的时区可能会发生调整。在 Windows 注册表中,会记录是否启用了自动时间同步,以及之前(最后)时区和时钟设置的调整时间。
一些文件系统将所有日期/时间信息存储在协调世界时(UTC)中。其他文件系统则使用映像源位置的本地时区。源时区是文件系统使用的时区:它可能是 UTC,也可能是其他时区。即使用户选择了特定的时区,Windows 注册表也会将时区记录为 UTC 或 Zulu 时间或 GMT+0。这一点在解释注册表中的时间戳时必须予以确认,因为它与 Windows 目录中显示的常规文件夹不同。
为了强调这一点,以下截图显示的 Windows 注册表视图与对嫌疑人桌面计算机上连接的 USB 设备的搜索相关。这些时间戳记录为 UTC,而不是本地时区的 UTC=8。注册表就是以这种方式记录信息的,这可能会让不小心的人陷入困境:
显示 UTC 时间的 Windows 注册表时间戳
后续章节将更详细地探讨文件分析。下一节将讨论评估数字证据的证据价值和可采性。
确定数字证据的价值和可采性
如果在法律听证会上考虑使用数字证据,它必须满足一系列条件和法院的高标准。它必须具有一定的证明价值,即它能增加支持刑事或民事案件的证据链。在证据提交之前,它必须符合一些关于可采性的强制性条件。如果未能满足这些条件,则法院可能会认为其不可采纳,不允许作为证据提交,从而阻止法官或陪审团对其进行审查和评议。
在大多数司法管辖区,证据的可采性由立法和普通法来管理。一些司法管辖区比其他地方的规定宽松,例如美国,主要依赖法官或裁判分析数字证据可采性的相关情况。通常需要特别的法医专业知识来定位、分析并确定数字证据的可采性,而这些证据常常未受到质疑,尽管它们本应得到更为彻底的审查。越来越多的法院开始对数字证据的可采性感到头疼,因为法律争议可能会导致其实用性下降。
审判制度在多个不同的司法管辖区中较为常见,例如法国、德国以及其他欧洲国家;部分非洲地区;南美洲;以及一些亚洲国家。审判制度源自早期的天主教宗教法庭,旨在通过对所有证据的彻底调查和审查,寻求案件的真相。这是一种与较新采用的对抗制模式相对的替代模式,对抗制模式广泛应用于普通法国家,如英国、大洋洲国家和北美洲。对抗制的批评者认为,该制度通过控辩双方在法庭上竞争,争取展示最具说服力的论点来寻求真相,这往往会掩盖对实际真相的追求。两种制度都提供了可靠的司法补救措施,且随着近年来混合司法制度的出现,结合了每种模式的特点,现已共享许多相似的特征。
以下小节概述了证据的价值或证据价值,它的可采性以及法律惯例如何特别适用于数字证据。
解释数字证据的证据分量
从犯罪现场收集到的证据的价值,取决于它与其他可用证据的相关性,这些证据支持对嫌疑人身份和责任的最终结论。被认为具有证据价值的信息必须是合理的并与案件有关,即它是合理且有根据的,与案件有一定关联,并且有助于收集信息,从中可以推断出嫌疑人是否有罪或是否有共谋。
评估证据的分量,以确定被告是否有罪,是法官和陪审团的责任。明确来说,执业人员并不负责对被告的有罪或无罪发表评论。然而,执业人员可能是第一个发现与正在调查的案件相关信息的人,因此必须对所找到的信息在案件中的实际相关性作出有价值的判断。这在数字证据的检查中尤为重要,因为执业人员可能是唯一一个能够发现相关证据并理解其意义的人。
执业人员通常是根据特定任务来寻找证据的,例如在欺诈调查中,他们会对犯罪性质和支持起诉的证据类型有所了解。法律辩论可能围绕证据所能得出的推论的强度展开。当证据可能被误解或不可靠时,挑战通常会随之而来。
为了增强案件的权重,需要足够的证据来证明或反驳案件的各个要素。显然,任何被认为不可采纳的证据都会削弱案件的整体地位,并可能导致案件的崩溃。许多案件之所以未能进入审判阶段,是因为证据的分量不足,缺乏佐证,且与嫌疑人之间的关联性证据可能不确定。
证据的可采性问题也可能使许多有罪的嫌疑人无法在法庭上受审。然而,在法庭得出证据分量之前,证据必须是可采纳的。我们将在下一小节中详细探讨这一点。
理解数字证据的可采性
关于证据是否可采纳的争议并不罕见;然而,在涉及数字证据的案件中,似乎很少有人会质疑数字证据的展示,尽管实际上可能有充分的理由这样做。这可能是因为数字证据相对较新,且法律界在处理技术性质的案件时存在不确定性。律师对数字证据的不了解,特别是在面对技术复杂的证据时,也可能导致他们无法判断这种新型证据是否可采纳。在实践中,评估数字文档的可采性是法官的权利;然而,有时这个决定会交给陪审团在实际审判中讨论。
从业人员的职责是向调查或法律团队提供关于数字证据是否可采纳的建议。由于技术证据的复杂性日益增加,以及涉及此类证据的高成本法庭案件需要的时间较长,可能会在法官在场而陪审团缺席的情况下进行审判。听证会由案件双方的专家提供技术证据和专家意见。这些审判被称为voir dire听证会,有时被开玩笑地称为hot-tubbing听证会。它允许法院听取双方的论点,并就证据的可采性做出裁决,而不会在陪审团心中造成混淆或可能的偏见。
证据的重量通常没有通过立法来定义,但其可采性有明确规定,证据必须符合各个法域的法院指南和惯例。证据的可采性要求证据是合法获得的,与案件某部分的证明或反驳相关,并且是可靠的。
定义数字证据的合法获取
第一个规则要求提供证据的一方提供保证,证明该证据是合法获得的。现在,这可能仅仅是证据的所有者或保管人提供了自由且不受阻碍的访问权限,允许取走证据,或在数字证据的情况下,对其进行镜像,以供法律程序使用。通常需要获得所有者的书面授权。
合法获取可能受到相关立法的约束,赋予执法人员进入场所并扣押涉嫌包含证据的计算机设备的权力。例如,可能是机场的海关人员检查计算机,并有理由怀疑该设备中存储有 incriminating evidence(指控性证据)。扣押涉嫌物品的权力由具体管理机构的相关立法规定,无需搜查令。
由治安法官或法官签发的搜查和扣押令是执法机构的另一种选择。搜查令规定了其签发的理由、可执行的地点、相关人员以及可扣押的物品类型。
从业人员必须深入理解涉及计算设备合法扣押的法律问题,包括手机等设备,以及可能成为证据的数据,位于设备和计算机网络上的数据。从业人员应始终考虑到,证据可能会在未来的法律听证会上被要求使用,尽管数字证据最初可能并不是为法律程序而获取的。因此,从业人员对于涵盖证据获取的立法的理解和遵守非常重要。
最近,美国执法人员在逮捕嫌疑人以及搜查其住宅和车辆时,扣押手机的问题引发了一些困扰。美国最高法院的最新裁定要求,不论手机是在一般搜查令下扣押,还是在机关扣押权限下获得,必须获得单独的搜查令才能检查被扣押的手机。法院还可能要求规定 30 天的期限,要求机关在此期间内提供获得的证据。这引发了关于手机(因其本身越来越难以获取法医图像)以及刑事案件积压、警力资源紧张的问题,可能导致除非在特殊情况和紧急情况下,否则未来对手机的检查可能难以为继。
尽管这可能令调查人员感到沮丧并使从业人员不满,但它确实要求他们具备足够的培训、政策和技术来正确处理移动设备证据。良好的职业发展能够增强执法机关在数字证据收集方面的有效性,这也有助于在刑事诉讼中增强数字证据的可采纳性。
如果在执行搜查令时,执法人员的行为超出了规定的范围,或者搜查令是在证据物品被扣押之后才获得的,那么许多法域会对证据进行排除,从而在正常情况下使其不可采纳。然而,在一些法域,例如美国,如果存在其他未受污染的证据支持案件,法院仍可能基于这些被排除的证据做出有罪判决。
强调数字证据相关性的重要性
尽管不同法域的规定有所不同,但法院评估数字证据的相关性与评估其他形式的间接证据相同。各种法院标准和判例法通常要求证据必须相关、非传闻证据,并且不得过度有偏见。因此,法院可能要求从业人员解释数字证据的创作和存储过程,以阐明所呈现证据的相关性。
证据的相关性以及证据的可信度也是陪审团需要商议的事项,依据各证据展示所能推断的证据重量。由于数字证据的技术复杂性,法官在决定是否采纳证据时常常难以判断其相关性。过于急功近或经验不足的从业人员有时会错误解读或过度解读证据,以符合特定论点或假设。
证据必须通过某种形式的逻辑相关性测试,这种测试不过分苛刻,法院对数字证据的逻辑相关性的确定与对更传统的证据形式的测试方式相似。数字证据的相关性测试是直观的,并排除了数字证据具有某种根本神秘逻辑相关性的观点。
概述数字证据的可靠性
在试图定义数字证据的可靠性时,许多形容词涌现出来,因为没有普遍可接受的定义。真实性、准确性和忠实度经常被提供来解释定义,而不是简单接受"可靠"这个词在不同背景下的多种解释。尽管在司法管辖区之间的定义各异,但普遍认为,证据被认为是其所声称的,并且没有以某种方式被污染或受到污染。就保护其完整性而言,有助于定义数字证据的可靠性。
-
用于收集和保存的法庭工具的可靠性
-
恢复和保护过程的效力
-
数字证据没有人为或机器污染的重要性
-
设备和网络安全的充分性以保护数字证据
法庭工具和流程的可靠性的重要性
从而促进通过进一步分析找到更多证据。如果获取工具和法庭程序未能保护并导致证据污染,则存在问题。如果一些软件程序被设置为诱饵陷阱以隐藏或销毁证据,例如,数据可能会被覆盖或丢失,并且可能检索到虚假信息。
法院因担心在恢复过程中的污染而质疑数字证据的可录入性,并因怀疑污染而拒绝接受证据。在美国,戴伯特测试在评估工具和恢复过程的有效性方面被广泛使用,但遗憾的是,在其他司法管辖区尚未广泛使用。
法院已经意识到,随着数字证据的普遍性和增加的重要性,证据被篡改的风险也在相应增加。许多法院认识到,数字证据比纸质文件更复杂地存在认证问题的变种。在数字证据的情况下,可能需要一些取证专业知识来验证证据的可信性。被认为不可信的证据可能被视为不可接受的法律诉讼证据,并且对案件的相关性当然对其中一方有害。
第四章,恢复和保存数字证据,将更详细地探讨数字证据的保护,以及第五章,需求增强的取证工具,将介绍更先进的恢复和分析工具的需求。
评估计算机/网络证据的保留
信息对于大多数组织来说是关键资源,这些组织越来越依赖基于计算机的系统来存储和管理它们的信息记录。这些管理系统通常集成在计算机数据库中,通过电子网络与一系列内部和外部用户连接,这些用户需要访问和使用信息。
虽然管理信息的有效和便捷系统,但这些数据库面临一系列威胁,可能会降低它们保存记录的整体可靠性。当通过网络系统连接时,这些计算机数据库面临更大的风险,易受各种威胁的影响,这可能危及它们作为可靠证据的可接受性。
越来越多地,网络化数据库系统的管理员和用户面临来自各种威胁的安全问题。系统安全并未显示出任何真正改善的迹象,一些人甚至认为情况可能正在恶化。网络数据库安全问题,归因于过去 40 年信息技术的快速发展,在不同地点、不同行业发展速度不一致的情况下,似乎进一步恶化。
尽管一些法院已经对验证数字记录的真实性和准确性施加了严格要求,但更多的情况是,法院对于确保此类证据真实性的保证要求较少。例如,在欺诈审判中,经常涉及篡改的纸质文档,可以通过各种技术轻松地篡改,而被告挑战证据的真实性时,法院不会基于未经证实的篡改或伪造推定来支持这些主张。
然而,有一种观点认为,由于数字证据具有不同的特点,它需要更仔细的审查,以验证是否存在足够的真实性和相关性证据,确保其符合可采性要求。通常,纸质文档的保存情况至关重要,而非其创建情况,以确保所提交的证据确实是所声称的内容。数字证据格式不同,且其认证问题比纸质记录更为复杂。
英国法院长期以来采用“最佳证据规则”,在确定证据的可采性时,认为应当赋予最佳证据更高的可信度,特别是原始文档和口头证词。此规则同样适用于网络存储数据,尽管保留原始数字信息需要一定程度的认证,并确保网络安全的完整性。
核实数字证据
与传统的法律案件一样,尽可能地对数字证据进行佐证总是比较理想的。例如,Windows 注册表保留了操作系统和应用系统环境的记录,可以用来佐证并解释其他证据。但它同样可能需要与存储在计算机上的其他信息进行佐证,而不是仅仅依赖表面证据。这种佐证可能包括查阅应用日志文件和 .lnk 文件。
如前所述,计算机时钟本身并不可靠,往往会几乎不可察觉地改变时间。随着时间推移,这可能导致时间记录不准确,从而对时间线的有效性产生不利影响。有些网络终端因为未与可靠的时间同步服务同步,导致时钟延迟超过一年。
证明数字证据的真实性和正确性是法律案件中持续的要求,以确定其作为证据的价值。从表面上看,数字证据可能具有足够的证据权重,但某种形式的佐证有助于增加其价值。例如,操作系统可能会产生一些不稳定性,从而影响证据的准确性,例如文件时间戳的准确性或用户访问记录的识别,导致证据被误解。
文献证据也可以为特定的数字证据提供佐证。例如,罪证文件是在工作计算机上创建并打印的证据,可能显示是哪个用户帐户创建了该文件,因为打印文件上有微点标识符。如果打印机和计算机的电子记录对于该文件的历史记录不明确,打印机的缓存记录往往被覆盖且难以确凿解读,这将尤为有帮助。这类过程,包括微打印,通常用于防止和检测计算机创建文件的伪造。以下网站提供了此类安全保护的最新发展:
www.xerox.com/innovation/news-stories/microtext/enus.html
佐证可能通过使用人类证词得到增强。证人可以证明嫌疑人在犯罪发生时正在操作计算机键盘。相反,证人可以提供一个真正的不在场证明,确认嫌疑人在指控时并未在计算机前。这在以下实际案例中得到了体现。
案例研究 – 将证据与用户联系起来
考虑一个近期的案例,一名离职员工与公司会计师合谋伪造了 50,000 美元的离职奖金。该员工通过电子邮件联系会计师,寻求首席执行官的批准,要求将奖金追溯至公司被新老板收购之前的某个时间。为了获得支付,提交的批准信件虽然被追溯日期,但直到新老板收购公司之后才收到并支付给该员工,新老板认为这是一项收购前的安排。后来,新老板注意到奖金金额过大。进一步调查发现,员工与会计师之间的电子邮件记录已从员工的计算机中删除,这一行为本身被新老板认为是极其可疑的。
幸运的是,电子邮件已从邮件服务器中恢复,但在会计师或首席执行官的计算机上未找到批准奖金的信件创建记录。通过法医工具,部分电子邮件已从员工的计算机中恢复,奖金附件也从已删除的电子邮件备份文件(.OST)中恢复。试图将两台计算机上的电子邮件拼凑在一起的工作人员,没有任何正式的法医知识,并且修改了几份与罪证电子邮件相关的文件。最后访问和修改的日期被不小心更改,导致无法完整重建用户访问这些文件的历史记录。
潜在的情况是,辩护律师可能会提出质疑,认为在员工归还计算机后,文件曾被访问,暗示这些电子邮件可能已经被这些员工篡改或伪造。通过服务器记录可以确定文档的元数据。然而,电子邮件和文档上的时间戳,这些对证明伪造奖金申请和审批的阴谋至关重要,现在已经被破坏。
奖金审批文件的检查表明,该文件是从一份原始签署文档扫描而来的,并以 PDF 格式保存。该文档保留了创建日期,但没有作者信息。看起来 CEO 的电子签名出现在原始文件上,但未被恢复。签名上的日期是手写的,并且早于公司出售日期。CEO 的电子签名出现在会计师电子邮件文件夹中的其他多个文档上,可能在扫描之前已经被添加到原始文本文件中。
然而,PDF 元数据表明该文档很可能是在收购后创建的,并且通过其内容和 ILookIX 扫描检测工具的识别确认它是扫描文件。该工具能够打开卷影快照,恢复并解构包含各种已删除电子邮件的电子邮件备份文件。这些电子邮件通过存储在服务器上的更可靠记录得到了证实,有助于重建案件前因,这些可以在随后的法律程序中使用。
本案展示了文件内容和元数据的价值,同时也表明数据容易受到故意和无意的人为操作的影响,导致证据被污染。如果诈骗者在电子邮件仍与电子邮件服务器同步时有足够的机智和机会删除电子邮件,那么这些记录也会被删除,并且未必能够恢复。这也显示了确保电子邮件服务器保留所有电子邮件消息的完整记录的必要性,甚至是那些用户删除的电子邮件。政府组织通常要求对电子邮件存储进行备份,并规定存储一定期限。在许多国家,公共公司必须遵守此要求,美国则在《2002 年萨班斯-奥克斯利法案》的广泛条款下强制执行此项规定。
参考文献
Frieden, J. D. 和 Murray, L. M. 2007. “根据联邦证据规则,电子证据的可接纳性。” Richmond Journal of Law and Technology 14(2): 1-39.
摘要
本章定义了数字证据,并解释了其作为证据的价值以及在法律程序中必须满足的条件。描述了数字证据的特殊特征,展示了它的巨大价值,但也因为其复杂的技术特性而带来的使用问题。强调了从业者在分析和解释数字证据时,向外行人和法律界说明的特殊作用。
数字证据的可靠性,包括其完整性和作为最佳证据的使用,已被介绍,并且在第四章中,恢复与保存数字证据,我们将更深入地探讨其恢复和保存的工具与流程。第四章,恢复与保存数字证据,将涵盖帮助从业者以更好和独特方式保存证据的创新技术,避免污染,同时使他们的工作变得稍微轻松一些。
第四章:恢复与保存数字证据。
本章探讨了从各种设备收集并恢复数字证据的重要性,以及用于恢复和保存这些证据的过程。本章解释了如何按照法律要求保存数字证据的重要性。它描述了在不造成不当污染的情况下收集数字证据的法医过程和工具。本章涵盖的主题如下:
-
保管链的概念与从证据收集到法庭提交过程中的证据保存有关。
-
获取和安全保管数字设备和数据。
-
通过法医成像过程恢复数字证据,也称为死恢复。
-
通过实时恢复过程获取数字证据。
-
现有法医工具的有效性和增强工具的出现。
-
案例研究突出了从犯罪现场恢复和保存数字证据的过程和陷阱。
数字法医检查需要一个系统化、正式化且符合法律合规的方法,以增强证据的可采性,这一点在第三章《数字证据的性质与特殊属性》中已介绍并强调。始终要假设任何法医检查都会受到严格审查。法院需要确保证据的可靠性以及整个法医过程和工具在获取、保护和分析证据中的完整性。
数字犯罪现场与物理犯罪现场相结合,因为数字证据位于物理物件中,特别是某种形式的计算设备,如台式计算机、手机或数字存储介质,包括闪存驱动器和外部存储驱动器。物理犯罪现场遵循物理法则,决定了物理证据的适当回收,而存储数字数据的分析则用于寻找数字证据。
法院通常会接受一个展示物有责任且合法的保管链,这作为证据完整性的保证,除非有相反证据证明。保管链中任何历史上的断裂,都会降低数字证据的可采性及其证据价值。证据的完整性必须从扣押开始,直到证据保管人或展示物的保管人将其出示于法庭。
下一节描述了证据的保管链及其在保存证据展示物中的重要性,这些证据将在后续的法律程序中使用,包括刑事和民事案件。
理解保管链。
每当可能时,在收集并合法占有任何可能作为法律案件证据的物理对象时,必须非常小心。有许多重要的原因说明为何收集的证据必须避免污染。防止证据被故意或无意篡改至关重要。如果证据未保持原始状态,对方律师可能会提出不便且深入的质疑。
如果证据在某些方面被认为已被污染,那么其可接受性就会受到质疑。合情合理地,作为常规处理,它应当被质疑,因为它可能不可靠,且其真实性存在严重疑虑。在刑事案件中,若证据存疑,陪审团在揭示真相并确定可疑展品的可靠性时将面临极大的困难。在这种情况下,法官可能会指示将疑点利益归于被告。因此,展品的价值会被削弱,法官可能会将其排除,认为其不具备可接受性。这一点在本章后续的案例研究中得到了强调。
必须向法院展示已采取声音保护流程并遵循法院惯例和标准的保证。法院期望采取合理步骤以确保展品始终得到保护。遵守证据收集规则及证据的保管链至关重要,必须确保回收的证据未被污染。这包括确保证据在获取与呈交法律程序之间未被更改,甚至在其由从业人员获取之前也应如此。如果证据因某些原因被更改,那么必须向法院及案件其他方披露,并提供一些解释和正当理由。
一般数字取证恢复的收集规则包括以下内容:
-
对所收集的设备和证据在合法授权下获取的声明。
-
完整记录描述了计算机设备和外围设备,如调制解调器、显示器和打印机,以及它们在设备被查获或访问时所在的位置——一张草图图示是必需的。
-
先前两点的摄影和录像记录。
-
使用防静电和无菌手套处理每一件扣押物,并标记上牢固贴附的标签,描述该物品并可以与证据登记册交叉参考。
-
记录每个设备的电源状态,并注明设备是否已关机,以及在尝试实时恢复时的访问方式。
-
使用的取证工具的描述,包括使用的硬件和软件写保护器、每个设备或软件的型号或版本,并确认工具经过测试并且是最新的。
-
记录所有扣押和处理设备的人员,并且记录每个设备及证据存储设备从扣押到提交法庭的完整访问记录。
-
对证据恢复过程中任何更改的报告,以及对此类更改的解释和合理化。例如,在从手机中恢复数据时,通常需要开启设备并安装一个小的可执行文件以允许提取。从理论上讲,这可能会导致手机数据的丢失,但这是一个不可避免的过程,并且具有自我合理化的性质,只要执法人员能够在需要时进行解释。
展品的完整保管历史必须被完全记录,以说明其从扣押到提交过程中所在的位置及其保管责任。这包括确认展品在可能的上诉期限内的安全保管。法院还必须确信,展品的任何测试和检查都有完整记录,特别是展品是否有任何更改,例如,移除的样本组织用于毒理学和其他分析的情况。法院还要求提供证明,证明展品在从犯罪现场运输到保管地点及实验室的过程中没有受到物理损害。
显然,如果能够证明或怀疑证据的链条已被破坏,案件可能会崩溃。法官有时可能会指示证据不予接受,但也可能允许陪审团在考虑其证据价值的同时,决定其是否可以作为证据。因此,展示证据链条的完整性非常重要,否则如果对方法律团队质疑,法院可能会不允许该证据入庭。证据链条的完整性和准确性能够增强法院对数字证据真实性保证的接受度。因此,确保证据链条符合批准的法律标准至关重要。
描述数字证据的物理获取和保管过程
处理数字证据的过程特别容易出错。就像血样或指纹,可能在犯罪现场容易被污染,数字证据也可能在收集和提取过程中受到损坏,除非严格遵循程序。物理记录的存储和保管,例如证人陈述、犯罪现场照片、手稿副本等,需要谨慎的记录保存和安全保管,从而方便它们作为证据的出示。必须重申,法院期望能够证明数字证据从扣押时刻到法庭呈递时未被更改或污染。
这与犯罪现场保护没有什么不同,犯罪现场也要求证据保持原始状态。在传统犯罪现场,发现现场的人打扰现场并不罕见。极端天气条件如火灾、热风、雨水,动物、昆虫和细菌等,也能改变证据的状态。这使得法医检查员面临着一个挑战,那就是尽力保护遗留物和其他物证,如尸体或凶器,免受进一步的恶化。因此,这使得重建犯罪事件变得困难。
数字犯罪现场也是如此,必须防止被污染和进一步干扰。常见的情况是,存储在计算机上的信息表明某种形式的犯罪或不当行为,通常是由组织人员(如主管或管理员)发现的。他们本意良好,想要预览和收集他们认为是关键证据的内容,但实际上这些行为可能会污染证据,甚至使其在最坏的情况下无法被采纳,在最好的情况下,则可能会被篡改,降低证据的权重。如果没有经过正规的法医训练来恢复证据并初步管理可能的违规行为,这将是从事重建关键事件链条的人员面临的持续问题。
你可以参考案例研究中提到的第三章中的类似事件,数字证据的性质与特殊属性。
解释数字证据的证据链
数字证据的恢复通常是一个复杂的过程,需要非常小心,以确保证据不会被无意中污染、破坏或丢失(请参阅本章结尾的案例研究)。在恢复和保存阶段,常常会遇到一些常见的陷阱,且一个过于热心且缺乏经验的检查员在检查犯罪现场或返回法医实验室时,很容易无意中改变证据。回想一下第三章,数字证据的性质与特殊属性,数字元数据是多么容易被篡改。例如,最后访问时间戳可能会在计算机被扣押前或扣押时被一个无能的从业人员或保管人无意中删除或覆盖。
仅仅扣押展示物并将其锁入安全容器中,直到法庭需要时,并不足够。必须有正式记录,详细列出展示物的历史。法院期望对数字证据的安全保管提供与其他形式证据相同的保证,确保在整个拥有期间对数字证据进行妥善保管。执业者对证据的仔细处理和记录使法院能够重建数字证据的创建过程以及计算机系统中发生的事件,这将大大增强对证据真实性的信心。
保管链非常重要。每一项获取的展示物和每一个从设备恢复的数据所制作的法医影像都必须详细记录。在接收展示物时,必须记录获取的详细信息。此记录应包括展示物的完整描述、案件参考、保管人的详细信息以及所有相关方的签名,如以下截图所示:
证据展示物的获取
当保管权转交给另一方,比如法医检查员或外部检查员,或归还给原所有者时,转交详情必须记录在保管链登记表中。以下截图展示了这种表格的一个示例:
证据展示物转交给另一方
概述数字设备的扣押和初步检查
在传统的犯罪现场检查中,每一项实物证据通常是案件的单独且独立的组成部分。实物展示物的不可接受性可能不会严重削弱案件的强度,起诉方可能没有它也能成功。相比之下,数字证据通常与其他证据高度相关,如果它被认为不可接受,可能会对案件产生更大的负面影响。在重建关键事件时间线时,支持任何假设或反驳侵权性质的论点时,数字证据显得尤为重要,因此,尽可能地,执业者应该尝试将每个证据对象与其他信息进行对比,或至少展示两个事件之间的某种关联。如果有任何迹象表明证据在恢复过程之前、期间,甚至之后曾被篡改,这可能会改变数据和元数据,如相关时间戳,从而降低其价值。因此,执业者需要保持被扣押设备中证据的完整性。
在制作设备的法医图像时,传统上需要从设备中取出硬盘。如果硬盘没有立即返回设备,取出时应非常小心,以避免对硬盘造成物理损坏。应使用无菌防静电手套,避免对硬盘造成短路,防止使其无法操作。硬盘和正在复制图像的硬盘应进行标签标注,并放入防静电证据袋中,记录图像处理的日期和时间、案件识别信息、母机和硬盘的序列号、品牌、型号,以及填写标签人员的姓名。
此证据识别过程的记录将被复制并交叉引用在链条登记表中。记录应包括获取的日期、时间和地点,以及在恢复数字信息过程中使用的法医工具和流程。接下来我们将查看一些证据收集表格示例,首先是以下截图:
一个样本证据收集表格
以下截图展示了一个草图计划示例,显示了设备的连接性和它们在犯罪现场的位置:
一个样本证据收集表格
以下截图显示了被扣押证据的详细信息:
一个样本链条登记表
以下截图展示了一个证据追踪表和最终处置证明的示例:
一个样本链条登记表
附在收集表格上的还应包含另一个证据:图像日志报告,确认被影像化设备的身份、影像处理的日期和时间、从业人员姓名以及设备的哈希值。以下截图展示了来自自认证 .ASB 文件(本章稍后将描述的 IXImager 数字法医证据容器)的一个图像日志样本:
来自.ASB 法医图像日志的摘录
法律要求证据保管人能够提供文档证明,证明从记录创建到在法庭上提交证据时的完整链条无断裂。显然,从业人员应尽可能少地处理持有潜在证据的计算机,以确保保存在法医图像或容器中的数据的认证副本不被篡改。如果已被篡改,从业人员必须能够解释和描述发生的任何更改。
数字证据采集的恢复和保存阶段旨在稳定数字犯罪现场,从而防止或至少最小化提取数据时的数据丢失或更改。它需要将系统与任何电缆和活动的 Wi-Fi 网络连接隔离开。理想情况下,执行者应提前考虑恢复可能重要的易失性数据(如 RAM)的方式,因为这些数据在系统关闭时会丢失。
标准程序是拍摄犯罪现场的照片并记录视频,包括计算机显示器及屏幕上显示的任何图像。记录与每个证物相关的笔记,例如其在犯罪现场的位置、连接的任何电缆以及其电源状态,应当成为常规程序。
在移除硬盘或打开设备时,应佩戴防静电取证手套,或者至少佩戴防静电手环并确保接地。这将最小化静电放电对敏感电子设备电路的损害,避免设备无法操作。
执行者还应考虑识别在实时设备上运行的任何可疑进程。此外,电信设备和蓝牙发射器的使用(例如嵌入在手机和平板中的设备)可能会干扰被扣押设备的正常工作。如果可行,应断开这些电信设备和任何发射强磁波的设备。在需要防止外部电信干扰设备的情况下,应考虑使用便携式法拉第笼来运输和检查手机。
将物理证物运送到适合的地点进行后续检查通常涉及将被扣押的计算机设备转移到安全地点。较少见的是,可能涉及数据的网络传输。在运输过程中,确保证物免受物理损害或电子干扰非常重要。证物还需要避免热量、湿气、灰尘和物理冲击的影响。应当采用某种形式的保护包装,并附上标识标签,清晰描述证物以防止丢失或误认。特别是如果设备具有电话或 Wi-Fi 连接功能时,隔离设备非常重要,在访问设备上存储的数据时,如果设备(如手机)处于开机状态,这一点尤为需要考虑。
在大多数情况下,收集到的证据需要被安全存储,因为通常无法立即进行检查。应当小心识别和标记物理证据,如计算机,通常这些设备通过其存储的数字证据将证据与潜在嫌疑人联系起来。数字犯罪现场可以被视为物理犯罪现场的次级犯罪现场。还应当回忆一下洛卡尔交换原理:可能需要提取 DNA 和指纹样本,以确定谁曾接触过键盘和设备。
如果法医检查导致了庭审,实践者需要解释如何以及为什么使用了法医工具和流程。如果需要,实践者必须准备好为所有这些检查方面的完整性做担保,并能够验证这些方面的完整性。这将包括描述收集过程,并确认收集过程未造成任何污染,以及证据在收集后和检查期间保持无污染。
有时,实践者可能需要验证证据是否在任何方面未被篡改,这通常通过比较设备和成像的哈希签名来实现,二者应完全相同。这个过程将在本章稍后的法医成像工具的可靠性以恢复和保护数字证据小节中进一步讨论。对方的法律团队和法院可以坚持要求提供的数字证据必须能够通过独立分析进行确认。
怀疑包含证据的数字信息通常通过将其存储在另一台计算机、外部存储设备或 DVD 上来保存。在进行此复制过程之前,必须遵循严格的法医流程,确保严格遵守证据链。法医成像是证据链的一部分,接下来将详细介绍。
通过法医成像过程恢复数字证据
实践者负责获取包含数字证据的物理展品,这些展品与其他展品一样被保存在安全的存储中。如在第三章中所讨论的,数字证据的性质与特殊属性,法院承认数字证据存在更高的篡改风险和认证问题。数字证据的篡改相对容易,并且在过去曾造成对其可靠性的巨大不确定性。使用可靠的法医工具可以最大限度地减少在正式恢复数字数据过程中证据污染的风险。遗憾的是,数字取证作为一门科学学科仍处于不成熟阶段,这继续导致在定义有用且广泛接受的标准和流程方面存在分歧。
从计算机上取证的价值数据的死恢复或活恢复是从一台被认为持有有价值证据的计算机中恢复数据的一种选择。然而,从业者需要检查数据,并有几种选择方法。通常和首选的做法是对设备内部的驱动器进行取证镜像。这种恢复方式通常被称为死分析,允许在不激活操作系统的情况下对驱动器进行镜像。这旨在避免证据污染和复制错误。在这个阶段的不良实践可能会因污染而危及证据的可采纳性。
死分析证据恢复
死恢复 是指在不使用计算机操作系统的情况下对计算机进行取证复制数据的情况。术语“死”指的是操作系统的状态,并使用从可信 CD 或外部设备启动的计算机硬件,或者使用硬件写入阻塞器从提取的硬盘驱动器复制数据。
死分析恢复可以通过关闭设备、移除驱动器并分别对其进行镜像复制,或者开启设备来就地复制驱动器来实现。死恢复发生在系统关机后,信任的取证应用程序和硬件工具恢复数据。在过去的一段时间里,逮捕超出实际计算机终端的东西变得日益不切实际。在两种情况下,驱动器都没有完全启动,而在后一种情况下,设备由 CD 或 USB 闪存驱动器访问,这样可以防止操作系统被挂载,但允许从业者查看和选择镜像的文件分区。
写入阻止器硬件
实际上,死恢复确保所有操作系统进程在关闭系统时终止,如果设备在扣押时仍处于活动状态。写入阻止器硬件和软件通常用于防止证据被覆盖。死恢复确保后续对取证镜像的分析可以在可信的操作环境中使用可靠的取证硬件和软件进行。这个过程在镜像数据之后继续,以确保镜像不会以任何方式被更改,因为保留数据以供将来分析至关重要。
制作取证镜像的一个好处是可以复制镜像,并将复制品用作备份副本,交给其他检验员进行分析,或者交给其他法律团队进行独立证据检查。然而,逻辑会告诉我们只需要收集必要的数据。在这里,我与那些在需要取证镜像“任何活动中的东西”上过于拘泥的学科坚定分开。这一学科已经养成了一些不良习惯,而不加选择地镜像整个硬盘驱动器就是其中之一。
在法医恢复和检查阶段,完全有可能在不小心的情况下将数据写入包含证据的设备。显然,这种情况可能导致在法律程序中数字证据无法被接受。这就要求从业人员采取措施,避免证据的污染。
正常的计算机操作包括通过特定命令写入数据或读取存储在设备上的数据,并将这些命令传输到存储设备(如硬盘),从法医角度来看,这样会污染设备。避免此类污染的有效方法是使用写保护软件或硬件,在不写入设备的情况下进行数据恢复。
注意
使用写保护器可以防止源计算机向硬盘接口写入数据,避免覆盖或污染数据。
这里是一个硬件写保护器的图片,它可以用来访问 SATA 硬盘:
Tableau 写保护器
以下图像显示了一台通过硬件写保护器连接到 SATA 硬盘的笔记本电脑:
通过硬件写保护器连接到 SATA 硬盘的笔记本电脑
在现场恢复中,由于设备未关机,恢复到的证据可能是假和不完整的,因为操作系统和应用程序可能不可信,或可能隐藏或伪造数据。然而,过快切断电源可能会导致内存中的信息被清除。此外,突然断电可能会导致设备无法重新启动。设备硬件可能会遭受损坏,并且某些正在运行的服务和文件系统可能会丢失。对于桌面和笔记本电脑,它们会在 RAM 松余、交换文件和页面文件中保留这些过程的部分日志活动和硬盘上的一些信息,可能部分可恢复。
有一系列磁盘编辑程序,包括 Norton Diskedit,可以读取并恢复 RAM 中的内容,RAM 可能存有登录密码。近年来,RAM 中的内容在恶意软件分析中变得尤为重要,可以更容易地定位已在 RAM 中解密的加密或混淆的恶意软件,这些恶意软件在其他情况下通常难以解密和分析。然而,这些捕获过程要求系统处于运行状态,且程序需要在关机之前安装,这本身可能导致数据污染。当从存储有大量数据集的联网系统恢复数据时,在收集易失性数据之前关闭系统,可能会导致部分证据丢失。
在恢复过程开始之前,必须考虑操作系统文件和所有其他存储数据的保存,这可能会改变源设备。保存过程必须与数据恢复过程结合,以最小化,理想情况下避免污染,并保持数据的原始状态。在组织网络中进行死机恢复可能不合适,因为它可能导致长时间的功能丧失。如果网络没有镜像或复制,以避免正常业务的中断,这种情况可能会发生。
写保护软件
使用写保护软件的优势在于与需要拆卸硬盘的硬件写保护器相比,如下文所述的过程。
在启动并暂停计算机的过程中,硬盘仍保持原位,插入成像 USB 加密狗(或 CD),按下F12键以允许从 USB 加密狗(或 CD)启动。此时,成像提示屏幕(在下图中为 IXImager)会出现在显示器上,允许键入键盘指令,以访问和使用包含写保护器的软件应用程序的各种功能:
法医成像程序的启动界面
进一步的提示允许将计算机中持有的设备复制或克隆到附加的外部硬盘。下图所示的成像应用程序提示操作人员将基本输入/输出系统(BIOS)的日期和时间与外部可靠的时间进行比较,并输入一个单独的日期和时间记录实际时间与计算机时钟之间的差异,通常计算机时钟会走得太慢或太快:
IXImager:读取计算机时钟并添加实际时间的记录,以便在分析时进行对比
下图显示了选择不同硬盘和分区的各种选项:
IXImager:选择一个驱动器进行成像
一旦选择了要复制的设备和存储目标设备,成像过程就会开始,如下图所示。根据存储数据的大小、计算机中源驱动器的速度、计算机的处理速度以及 USB 接口的速度,整个过程可能会耗费相当长的时间。
在下图所示的示例中,选择了一个相对较小的 123GB 驱动器。驱动器和存储数据越大,成像过程所需的时间就越长:
成像过程开始
在下图示例中,一个更小的设备被复制,并且 130 MB 的数据被复制到映像文件中。面板显示唯一的哈希值,标记为 SHA-1 值。在这个实例中,映像已被压缩但未加密。哈希过程可能会显著增加处理时间。
确认映像过程的完成与状态
需要注意的是,IXImager 独立于物理硬件写保护器,因为它依赖于嵌入其程序代码中的软件封锁。
查看映像中的数据可以通过多种不同的法医应用程序来实现。下图示例展示了目录结构、文件查看和属性面板,供实践者研究感兴趣的文件:
查看 ASB 法医映像中的数据
在虚拟环境中(如 VMware 和 VirtualBox)也可以查看法医映像中的数据,只要该映像可以挂载。法医映像可以通过诸如 ILookIX 等法医工具进行挂载。虽然这并不等同于实时恢复,但操作系统和应用程序可以像实时分析一样使用,这对实践者有补充价值,通常能加速定位和查看与调查相关的应用日志及其他文件。由于法医映像是只读模式且是原始数据的副本,因此避免了证据污染,原始数据仍保留在源设备中。
增强恢复过程中数据的保存
确保法医工具经过校准以满足制造商规格,并安装任何固件更新,是标准的法医实践。这可以减少恢复过程中发生错误和不准确的可能性,例如在设备的法医映像过程中。校准用于存储法医映像和其他媒体的数字存储设备(如外部硬盘)同样重要。这些设备应进行清零、哈希处理,并检查是否有坏道或错误,这些问题可能会影响映像过程及映像的完整性。如果没有正确配置目标设备,可能会导致设备中残留的先前事件数据或制造过程中留下的数据与恢复数据混合,从而导致污染。
有效的保存过程通常会通过采集日志和哈希值进行记录,这些记录可以将事件和数据归因于设备的用户,并禁止日后声称数据被操作或篡改。及时的法医数据采集最小化了未来关于故意或意外污染的指控影响。
注意事项
哈希算法是对任何长度的数据进行复杂数学计算,生成一个固定长度的唯一字符串。
输入数据的修改会产生一个可通过比较两个输入来检测的不同输出。理论上,两个相同的输入会生成相同的哈希值,从而提供一个可重复的过程来验证两个文件是否相同。
在实际操作中,第二次使用相同的法医软件对同一个硬盘进行哈希时,并不总是会生成相同的哈希值。哈希过程是一个耗时的过程,实际上它在法医影像处理中才具有价值,而这种技术可能最终会变得过时——这对于一些目光短浅的观察者来说可能是一个离谱的预测。法医影像重要性下降的问题将在概述现有法医工具的有效性以及增强过程和工具的出现部分讨论,该部分讨论了新兴技术如何预示着数字证据收集方式的范式转变。
恢复已删除内存的残余
虽然死后恢复可能无法访问易失性内存,但内存残留通常会存在于所谓的文件空白区,这可能有助于某些内存恢复。这是 Windows 操作系统的一种现象,它规定了硬盘上每个文件的长度。由于大多数文件大小不同,且每个分配的簇或文件空间中有一部分未被文件占用,因此该扇区会被称为RAM 空白区的簇填充。计算机可能会将这片空闲空间填充为来自计算机内存的随机数据序列,这些数据可能是可恢复的,并提供一些关于最近和过往 RAM 事件的有用证据。如果在文件存储过程中需要更多的磁盘扇区,则会使用磁盘空白区,并填充已删除数据的残余。磁盘和 RAM 空白区可能包含内存残余,提供登录名、密码以及其他潜在的有用信息。恢复这些信息可能包括在法医镜像分析期间进行高级数据雕刻。实时恢复可能更容易恢复易失性内存,以下部分将讨论这一内容。
通过实时恢复过程获取数字证据
恢复数字证据的过程涉及在关机前提取实时系统数据,捕获并同时保存易失性内存、系统进程和网络信息,这些信息在传统的死后恢复过程中无法恢复。实时恢复发生在计算机操作系统仍在运行时。直到最近,通常的做法是进行死后恢复,建议关机以防止意外删除和污染证据。
数据集相对较小,使得作为惯例,硬盘映像制作变得可行,但仍然是时间消耗较大的工作。同时,也有一种观点认为,法院希望能够提供最好的证据,并且接受硬盘的法医映像,这无疑有助于恢复和分析证据,同时保障数据安全。
从业人员认为,使用实时恢复存在风险,因为恢复过程中的检查可能会导致数据被覆盖或删除。此外,也有合理的担忧认为,操作系统和软件应用程序可能已被修改,以在恢复过程中删除重要信息或产生虚假读数和信息。
在特殊情况下,从业人员发现通过实时恢复过程访问原始数据是可行的。进行实时恢复时,从业人员必须具备相应的能力,并提供证据解释其行动的相关性、正当性及其影响。所有使用的恢复过程必须进行完整记录,并在需要时提供审查。
实时恢复的好处
实时恢复的一个目标是尽可能保存和收集计算机的易失性数据,保持计算机操作系统和数据的状态。在事件响应场景中,从业人员进行某种形式的分类工作并不罕见,特别是在需要确定是否发生了重大事件的情况下。这种方法的好处是,在分类后,如果有正当理由,可以为全面的法医分析提供可靠的数据收集。这在使用现场工具进行手机恢复时似乎是相当常见的做法。
实时恢复并不会创建目标驱动的逐位镜像,而是对系统的目标部分进行快照,这通常是不可重复的,因为目标驱动可能已被后续使用,早期数据可能已经被修改。尽管法院曾因担心在恢复过程中可能丢失部分数据而质疑实时恢复中获得的证据的可采性,但这一问题现在已不再那么严重。然而,前提是从业人员能够解释涉及的恢复过程,并向法院保证,任何小规模的数据丢失不会对呈现的剩余证据产生不利影响。关于这一担忧的更多细节,请参见第五章,增强法医工具的需求。
实时恢复的挑战
从业人员仍然不愿意使用实时恢复,认为这不是一个健全和直接的取证过程。然而,另一些人认为,这一过程只会对操作系统和数据产生轻微影响。如果进行实时恢复,从业人员应能够预测恢复对系统和数据的影响,并解释和证明该过程。有趣的是,许多案例法支持使用任何能最好保存计算机媒体上所有数据的方法。
再次强调,从业人员通常会对每个存储设备内包含的所有字节数据进行取证性有效的镜像,以便进一步识别证据。到目前为止,从业人员更倾向于使用死机恢复来捕获和保存数字证据,担心在此过程中会修改数据,因此他们会关闭计算机。然而,如前所述,关机可能导致某些元数据丢失。例如,时间戳可能会被修改,从而妨碍和混淆后续事件的重建。此外,如果硬盘被密码保护和加密,可能无法访问。RAM 数据也会丢失。
对于检查本地和计算机网络的从业人员来说,使用反取证工具包带来的问题之一是如何确定数字证据的真实性和可靠性。这些工具包可能会使事件重建变得模糊不清,并可能阻碍从实时网络源中恢复证据。由于正在运行的程序修改了文件系统,进行实时恢复时,模糊的图像也可能出现,从而在采集过程中修改和改变元数据,影响与文件数据的关联。
在极端情况下,反取证策略可能会使设备陷入陷阱,使得设备启动时,先前安装的程序删除或更改设备上存储的数据。其他反取证手段,例如 Metasploit 项目,针对并阻止取证工具恢复证据。在其他情况下,爆炸物可能被连接到计算机,希望在启动时,调查人员会因爆炸而丧命。
在从业人员处理数字证据时,证据的丢失或污染是常见的,并且可能影响其可采性。这迫使法院,尤其是美国的法院,考虑现有的两种标准:法院可以对不完整或缺失的证据做出判决,或者法院依赖“起诉方的善意”。然而,一些评论者认为,这些做法可能会冤枉一个潜在无辜的人,或者让一个有罪的被告逃脱惩罚。直到现在,可靠的取证工具尚未能够进行实时恢复。这些内容在第五章 增强取证工具的需求中介绍,涉及增强型取证工具的出现。
挥发性内存恢复的好处
实时恢复的一个优势是能够恢复易失性和非易失性数据。易失性数据(如存储在 RAM 中的数据)是如果切断计算机的电源则可能丢失的信息,而使用死机恢复时这些数据是无法获取的。
然而,最有帮助的是,IXImager 可以快速重启,足以捕获系统的 RAM,从而有效地捕获正在运行的程序、密码等。这可以通过插入取证 USB 驱动器、光盘,甚至 SD 卡到计算机中,重启计算机并开始成像过程,以及成像设备文件夹中的 RAM 来完成。然而,建议首先确定需要按下哪个功能键(通常是F12)以防止正常启动过程,并确保成像过程成功。
实时恢复还便于恢复非易失性数据。恢复易失性数据有助于重建事件时间线,以确定嫌疑人的身份、可能的作案动机以及其他有用的事件记录。可能有价值的易失性数据类型包括:
-
系统日期和时间
-
当前网络连接
-
打开传输控制协议(TCP)和用户数据报协议(UDP)端口,以及打开这些端口的可执行文件
-
当前登录的用户
-
内部路由表
-
正在运行的进程
-
定时任务
-
打开的文件
-
进程内存转储
实时恢复有助于将正在检查的计算机与其他网络连接的计算机之间的信息进行关联。易失性数据可以在实时恢复过程中被定位并保存。易失性数据的顺序从快速被擦除的内存 RAM,到更持久且在计算机关机后通常会保留在驱动器上的原始磁盘块。易失性数据的范围从最易失性到最不易失性的顺序如下:
-
内存
-
交换文件
-
网络进程
-
系统进程
-
文件系统
-
信息
-
原始磁盘块
将设备与外部攻击隔离
来自外部的威胁对计算机中存储数据的完整性构成了一个永远存在的问题。尤其是在尝试实时恢复证据时,这一点尤为突出。将设备与设备上的不可预测数据隔离是明智的做法。位于可能被设置了陷阱以防止取证检查的系统上的数据,很可能包含可执行文件,这些文件可能会例如删除设备上的所有文件。
它还可以被编程与远程系统通信,并警告其他人实时恢复正在进行。打开文件(例如 HTML 文件)可能也会带来意外后果,例如导致已安装的浏览器执行脚本并从远程站点下载文件。与外部环境的隔离对于防止敌对方篡改嫌疑系统至关重要。这也将防止可能影响取证检查的意外传输。
在进行实时恢复时,实践者需要识别并暂停可能污染数据的任何可疑进程。如果存在网络连接,应该物理拔掉,或者设备可能连接到一个空的集线器,那么应小心防止网络断开日志消息发送到连接到设备的任何外部方。必须防止远程访问设备的风险,这可以通过应用网络过滤器来实现,从而阻止任何远程访问。
始终存在这样的可能性:在实时恢复过程中,远程攻击者可能与正在检查的计算机服务器建立联系。而且,可能存在从服务器进行的暴力攻击,针对其他联网计算机进行攻击。检查计算机的网络连接,查找活动连接并识别合法端口与可能表明黑客攻击的端口是标准做法。对于面对这种恢复形式的经验不足的实践者来说,他们常常会遇到大量未识别的开放端口,这些端口可能是合法的,也可能被利用作为后门攻击。因此,谨慎的做法是确定计算机上可能利用这些开放端口的可执行文件。
实时恢复认识到保护可能丢失的易失性数据的价值,但这可能会对系统和数据产生一定的影响。许多人认为,考虑到从运行中的系统中收集的数据价值,这是一种可以接受的权衡,因为对其他证据的影响最小。一些实践者评论说,改变证据可采性制度,证明实时恢复未或无法实质性修改或引入新信息,将使实践者能够进行更有效的检查。这可能会促进更多的数字证据在法庭程序中被提交。如果某个文件对证明案件至关重要,则必须证明它没有从原始状态被更改,因为证据识别和文件恢复的过程变得不再是一个问题。
另一个从业者常提出的论点是,实时恢复应作为最后手段,直到此过程得到判例法和法院裁决的支持。或许,从业者应当将辩论引向一个新的方向,而不是等待法院做出改变。这可能需要一些扎实的经验和训练来进行实时恢复,以便能够向法院展示和解释涉及的过程。事实上,许多从业者已经开始使用专为此目的设计的新法医工具进行实时恢复——这些工具已经适应了面对大型分散数据集时法医成像的低效性。
直到最近,该学科似乎仍然专注于繁重的案件处理、庞大的数据集以及那些未能为从业者提供更好结果的工具,这些工具未能满足这些新需求。下一节将讨论现有工具和流程的局限性。
概述现有法医工具的有效性及增强流程和工具的出现
一直以来,都需要验证法医过程和工具,并确定它们恢复和分析的数字证据的可信度。这些过程和工具必须提供可验证的结果,证明它们如何产生完整、真实、准确的证据,并且具有完整性和准确性。尽管学科内有人呼吁对工具和过程进行科学审查,但仍有关于工具可靠性的抱怨。人们对这些工具收集数据的能力以及成像数据易受到伪造的质疑。
有报告时常出现某些类型的法医硬件在数据恢复过程中明显发生故障,这引发了对成像和哈希过程有效性的质疑。以前从业者曾抱怨法医工具无法检测和恢复存储在主机保护扇区(HPA)和设备配置覆盖区(DCO)中的隐藏数据,从而引发了对工具成像能力有效性的疑问。我的共同研究开发者已经发现,现有的手机工具在从许多设备中恢复所有可恢复数据方面存在不足。
其他观察者对学术研究未能成功转化为实践感到失望,且法医工具供应商对学术法医研究了解甚少,情况更加复杂。从业者处于供应商的掌控之中,而供应商可能在向相对较小、资金紧张的执法人员市场销售工具时发现几乎没有盈利空间。低水平的工具标准也在普遍接受中占据主导地位。
法院对从业者及其使用的工具有着合理的期望。法院和立法标准存在,但是否对提升取证工具的质量有任何积极作用尚属可疑。尽管标准确实存在,但在许多司法管辖区很少被遵守,并且供应商在设计和试用新工具或版本时很少真正关注。供应商对利润追求的偏执,他们对从业者真实需求缺乏理解,以及缺乏第一手取证经验,很可能导致当今可用的取证工具质量低下。
下面的小节讨论了数字取证工具的标准,它们恢复和保护数字证据的可靠性,以及克服部分主要挑战的新工具的出现。
数字取证工具的标准
各种软件包协助从大型数据集中搜索可疑证据。这些工具能够过滤和减少大量数据,使其更易管理。它们还能协助切割已删除文件和查找隐藏数据。像 ILookIX 这样的工具,使用极端文件恢复(XFR),由信息和通信技术(ICT)专家和实践者设计并进行现场测试,将能够识别和打开文件夹和文件,同时还能挽救其他工具未能察觉的数据,这些数据常常未被发现和利用。因此,现在从传统工具产生的大量、杂乱的数据输出中去除了单调乏味的过程。这意味着通过更自动化、智能的文件系统分析,案件分析能更快速地得到解决。
信息安全标准概述在 ISO/IEC 27041/2015 中,该标准为验证取证工具提供了指导方针。这旨在确保工具适合用于取证恢复和分析。许多评论者称这些标准缺乏深度和足够详细,以便任何人理解其含义,并鼓励设计者在新的取证工具和应用程序的设计中临时应用它们。迅速而持续的数字技术变化几乎不可能在没有那些制定标准的人做出一些有力努力的情况下被吸收为某种形式的监管指南。
美国国家标准与技术研究院(NIST)管理着计算机取证工具测试计划,旨在确保取证工具符合法院的期望。特别是,该计划旨在确保工具可靠,提供准确的恢复,并在成像和分析过程中最大限度地减少任何数据污染。
2014 年,英国法庭科学监管机构发布了名为数字取证方法验证的草案指南,重点是验证用于恢复数字证据的过程。提议的指南要求所有恢复过程产生可靠的证据,并且必须创建和保留详细的文档,详细说明验证其过程所遵循的步骤。然而,类似于国家标准与技术研究院(NIST)的指南,没有提供关于“案件文件的完整性和链条保持的具体标准”,尽管它们是数字取证过程的重要组成部分。(McCutcheon, 2014)
国际计算机证据组织(IOCE)规定,包括成像软件包在内的法医软件工具需要独立评估其有效性,或者从软件提供者处获得某些保证,即使需要在法庭听证会上支持其产品的有效性。大多数数字取证工具是商业软件应用程序和硬件,未经独立验证,并且一些可能由用户定制。IOCE 已确定了独立验证所有工具的不切实际性和高昂费用,并依赖于更加务实的验证检查解决方案,通过增强执法机构之间的合作来确定合适和可靠的工具,然后共享测试结果,测试任何工具中发现的不足。
应当铭记道,道伯特测试评估了法医过程和工具的有效性。这有时要求这些工具的制造商解释和验证其工具的功效,以便法院能够确定其适用性。这些数字取证工具大多已经在广泛的司法管辖区内被接受,几乎没有人质疑其完整性和准确性。在美国,道伯特测试和法院惯例不太可能接受基于制造商或从业者任何不合格声明的工具的完整性,而不提供某种形式的正式和科学保证。
在某种程度上,对于分享关于开发符合从业者需求的更高质量法医工具的信息采取了平淡无奇的方法,进一步恶化了许多司法管辖区内工具标准和任何实质性合规要求的缺乏。
这导致了对同一问题的重复努力,并且阻碍了有效研究和成果的产生,无法生成有效的法医工具。大约 10 年或更长时间以来,人们已经认识到,未来对大数据集的分析将变得越来越耗时,进一步加剧了需要为利益相关者提供及时结果的要求。此外,由于缺乏先进的自动化恢复和分析技术,分析大数据集的工作几乎不可避免地由人工完成。这样的时间限制和人工干预会妨碍从业者,后者还需要提供专家证人证言,并恢复证据。
法医成像工具在恢复和保护数字证据方面的可靠性
国际法医计算机专家组织(IOCE)曾声称,硬盘的法医成像是一个简单的过程,只依赖于通过可靠的验证工具确认其准确性,或许这种说法没有进行充分的调查。
法医图像必须能够验证为真实副本,才能被接受。这通常通过哈希过程来实现,这是目前证明法医图像完整性的标准,并用于证明两个文件或图像的相同性。这些哈希值通常以未保护的文本文件形式存储,但必须加以保护,因为它们可能容易受到篡改或修改,而这些修改很难被发现。这种保护需要在图像采集过程中进行复杂的数学运算,并记录结果以供将来比较。
哈希报告与数字证据文件相关联,是存储来自源设备的文件及其日志、哈希值和描述采集过程的其他信息的构造物,但实际上,这些过程并未增加图像文件的安全性或完整性,因为它们可能被故意修改。一个违法者可以简单地用修改后的输入重新计算哈希值。一个加密的图像文件可能会被拥有解密密钥的人修改。这是一个诚实的从业者不希望处于的境地,而一个不诚实的从业者则不会过于担心,因为即使有所怀疑,也不太可能发现任何干扰。
数字证据图像文件最常见的保存格式是E01和高级法医格式,这些格式声称能够保存和保护从计算机设备恢复的数据。这些图像可能会进行哈希处理,以便稍后验证证据是否与从原始设备复制的内容相同,并且没有被修改。直到最近,人们一直认为,当这些图像文件受到密码保护并加密时,它们无法在不被检测到的情况下进行篡改。文件图像采集日志本应是不可侵犯的,但由 FTK Imager 和 EnCase 等流行的法医成像工具生成的日志现在已知容易受到利用。
然而,McCutcheon (2014, p. 49-52) 已经证明,E01 法医图像格式(它主导了约 90% 的法医成像环境)并非防污染的:McCutcheon 证明,使用简单的编辑工具,E01 图像可以在不被检测到的情况下篡改,而执业人员也无法认证法医图像。这一发现几乎没有引起人们对更好成像技术(如 .ASB 图像容器所提供的技术)进行探索,这一技术对该领域并不陌生。
McCutcheon 的实验明确证明了,E01 图像中的元数据可以使用开源的第三方库进行操控,这引发了对常用软件流程是否有效检查法医图像有效性的质疑。这些发现表明,文件数据、元数据甚至图像采集日志都可能被修改,并且通过一定技巧,可以伪装这些修改以避免 Forensic Toolkit (FTK) 和 EnCase 等工具的检测。在撰写本文时,这些工具根本无法认证图像文件的完整性。这意味着,如果对方认为在成像过程中执业人员有任何不当行为或对恢复并成像的数据的完整性存有疑虑,那么这些证据就可能受到挑战。
以下链接将为您提供有关此实验的更多信息:
researchrepository.murdoch.edu.au/24962/
我在现场和实验室对 IXImager .ASB 证据容器的测试确认了它能够安全地将法医图像存储在受保护的证据容器中,支持 McCutcheon 在 2014 年提出的关于证据认证的担忧。这些实验于 2015 年完成,得出了一些重要且令人鼓舞的结果,具体如下:
-
与 EnCase Forensic Imager 不同,后者会记录与更改数据相关的空数据,IXImager 会对修改后的图像进行自我认证,并通过在更改的区域写入零来修复它,从而使得可以检测到被篡改的扇区,从而提醒执业人员注意那些已被修改的图像扇区。
-
当使用成像应用程序 IXImager 打开时,应用程序会验证图像是否已被修改,并且不再是原始的。该应用程序提供了详细报告,列出图像的具体修改内容。此类事件会在检查证据容器时通知执业人员。
-
证据容器中嵌入并加密了采集日志和一个用于验证的秘密副本日志,这些日志是不可侵犯的,并为执业人员提供了原始采集情况的真实记录。
.ASB 证据容器已经为从事数字取证的人员提供了一段时间的工具,当在法庭听证中受到质疑时,可以用来验证数字证据。然而,大多数从业人员并未意识到或似乎对这一问题不感兴趣。大多数人仍然使用E01文件,这些文件无法自我验证,且无法提供防篡改的采集日志。到目前为止,NIST(美国国家标准与技术研究院)尚未审视这一做法,这可能会削弱法医图像的价值。然而,创建.ASB容器的 IXImager 是唯一一款 100%通过 NIST 认证的影像软件(NIST, 2013)。到撰写本章时(2016 年),这一情况没有发生变化。
IXImager 通过 CD 或 USB 闪存驱动器在启动设备时加载,提供了一个安全的避风港,用于存放法医图像和嵌入的影像日志表。此外,它的写保护软件避免了使用昂贵的硬件写保护器和多个加密狗。数据成像速度的测试也使得这款软件领先于竞争对手。
已有一些担忧表明,数字取证工具不适合在联网计算机上使用,它们主要针对的是从网络中移除的单台计算机进行成像和分析。恢复要求应规定对联网系统进行在线本地或远程分析,同时在成像和恢复过程中不会污染证据。第五章,增强取证工具的需求,详细讨论了这一问题的解决方案。
下一部分介绍了两个澳大利亚的案例研究,强调了在恢复数字证据时保持最高专业标准的重要性,并强调了证据保存的重要性。这些案例提出了一个问题:为什么执法机构过度依赖专业的数字取证单位,而不为普通警员提供一些基础的数字伪取证培训和更有效的工具,因为他们往往是犯罪现场的第一响应者,而这些现场越来越多涉及到某种形式的计算设备。
案例研究 – 将证据与用户关联
有时候,在法律程序中出现对可采性的挑战时,数字证据可能会不恰当地交给陪审团审理,因为法官未能理解证据的性质以及挑战的依据。这在 2007 年莫德伊诉西澳大利亚州的儿童色情非法持有案件的陪审团审判中得到了体现。案件表明,审判法官未能拒绝数字证据,尽管辩护律师在审判开始时已提出严重怀疑该证据的保管情况。因此,在上诉程序中,莫德伊案件中的数字证据被判定无效,具体的定罪也被撤销。你可以在这里阅读该案件的详情:
在 2008 年澳大利亚的一起儿童色情案件中,计算机技术员在之前由被告委托升级设备并移除疑似恶意软件时,在被告的笔记本电脑上找到了儿童色情视频和图片文件。在为电脑升级新内存芯片的过程中,操作系统被删除,被告的个人数据被保存到技术员的备份电脑中。在对硬盘进行碎片整理后,操作系统被重新安装到笔记本电脑上,随后被告的个人数据被复制回到笔记本电脑上。没有使用任何特殊的法医工具来复制、删除或稍后恢复这些个人数据。
在复制过程中,技术员打开了一些视频文件,这些文件似乎描绘了儿童色情内容。当地警方接到可能犯罪的通知,访问了工作室,并指示技术员将数据复制到 DVD 上,DVD 随后交给了警察。根据警方指示,个人数据被恢复到笔记本电脑上,之后笔记本电脑被返还给被告,待日后扣押。随后,警察丢失了这张 DVD。
这台笔记本电脑在技术员的办公室里放了几周,等待正确的内存芯片到货。其他技术员可以进入存放笔记本的房间,但警察团队并没有尝试在笔记本电脑被扣押之前就取走它并保存证据。正是这个事实导致案件被挑战,理由是笔记本电脑在被扣押之前并未建立起有效的物证链,而是在一个相当长时间后通过专门的计算机团队在被告的住所进行突击搜查时才被扣押。
两次审判无效。第三次重审时,法官认为部分数字证据因异常的文件元数据而不可靠——这并不令人惊讶,因为硬盘已经被清空,之后又被写入了更多数据。无法提供恢复数据与原始已删除数据的比较。恢复的数据可能与原始数据有所不同,或者已被篡改。
然而,尽管辩护律师反复且强烈质疑缺乏可靠的证据链(无法防止证据被篡改),陪审团仍然根据剩余的拥有罪名判定被告有罪。
被告之后提出的上诉被驳回,上诉法院指出,被告在笔记本电脑上承认了拥有儿童色情内容。尽管在被告笔记本电脑中缺乏任何对数据的责任关怀,并且 DVD 的副本丢失,但证据仍被允许呈交给陪审团。
起诉方有责任确认数字证据的完好无损,尽管显然并非如此。在毒品贩运和儿童色情内容拥有案件中,证据的无罪推定发生了逆转,导致被告需要证明自己并未意识到拥有非法或令人反感的材料。让人难以置信的是,当证据的真实性显得可疑时,竟然被视为可接受证据——这一点连检察官也表示认同!影响陪审团作出有罪判决的,可能是被告在视频采访中部分承认了罪行。
在数字取证调查中,这种缺乏专业性的情况遗憾地并不罕见。那些原本应作为法院诉讼一部分的信息,或者可能作为证据使用的信息,必须小心处理并加以保护。绝不容忍随意和不负责任的态度。因此,亲爱的读者,如果你打算成为这个领域的一部分,请在证据处理上保持严谨。
参考文献
Grossman, M. R. 和 Gordon, V. Cormack. 2011 年。技术辅助审查在电子发现中比全面的人工审查更有效、更高效。《里士满法律与技术期刊》 (17):11-16。
Mowday 诉西澳大利亚州。2007 年,WASCA 165。
NIST. 2013 年。IXImager v3.0.Nov.12.12:数字数据采集工具的测试结果。美国国土安全部科技与研究部。参考文献:www.dhs.gov/cyber-research。
摘要
本章首先从总体上看待证据恢复和保存,然后重点讨论这两者如何与数字证据相关。从保存包含数字信息的实物证据,到以数字形式恢复证据,本章概述了从业人员的责任以及在证据处理过程中面临的挑战。
死证与活证的恢复过程已被描述,尽管这些行之有效的过程如今正面临由先进技术带来的范式转变。新颖且更可靠的证据恢复与保存方法,以及更高效、可靠的法医成像方法被提出。
第五章,增强法医工具的需求,将探讨解决并克服活证恢复某些弊端的新技术和工艺,介绍一些“颠覆性技术”,这些技术正好及时到来,为从业人员在法医检查中提供竞争优势。这将使你能够在本章所学的基础上进一步拓展知识,并为你呈现数字证据恢复与处理的新兴环境。
本章还将重点介绍快速变化的法医环境,在这种环境中,传统的法医成像和日益增大的数据集的索引变得不可行。它将介绍新的法医过程和工具,以帮助更有效的证据恢复和资源的更好利用。这种“颠覆性技术”已经开始挑战既定的数字法医响应,并且使得法医专家的过度依赖面临考验,因为法医专家本身正被日益增加的案件负担压得喘不过气,且无法处理更大、更复杂的数据集。
第五章:提升法医工具的需求
本章重点介绍了快速变化的法医环境,其中传统的法医成像和日益增大的数据集的索引变得不可行。它介绍了新的法医流程和工具,旨在帮助更有效地恢复证据并更好地利用资源。本章还介绍了颠覆性技术的出现,这些技术挑战了既有的数字法医响应,并使过度依赖法医专家的情况愈加严峻,而这些专家本身也正面临越来越重的工作负担以及处理更大、更分散数据集的能力受限。
本章将特别涵盖以下主题:
-
法医实验室和从业人员在从日益庞大和分散的数据集中恢复证据时所面临的新兴问题
-
帮助从业人员更有效应对这些挑战的流程和法医工具
-
使非专业的执法人员和其他相关方(如 IT 管理员、法医审计员和安全官员)成为数字犯罪现场的首批响应者
-
一个案例研究,展示了审查大数据集所面临的挑战
数字法医实验室
在过去十年中,政府和私营部门的数字法医培训和教育加速发展,以满足对合格从业人员日益增长的需求。许多进入这一领域的人都在法医实验室就业,参与数字法医检查工作。最近,预算约束正影响着许多数字法医实验室,导致它们的人员配备和专业培训受到严重限制。同时,实验室案件负荷的急剧增加可能对工作质量产生不利影响。简而言之,法医实验室在设备、人员和建筑方面的成本非常高。
然而,数字法医社区内的知识共享促成了在法医分析方面的显著进展。许多数字法医实验室,特别是执法环境中的实验室,正在利用这份共享知识库,制定指导方针,改进分析工作,从而实现任务自动化,加速处理原本繁琐且耗时的工作,以应对更大数据集。
近年来,全球许多企业的倒闭往往涉及管理者和员工在某些程度上的不诚实行为,他们试图通过剥削濒临破产的企业来获取某种形式的经济利益。这些违法行为涉及窃取企业和客户资产,需要取证审计专家的调查,而这些专家又需要从业人员的专业技能来定位和分析相关的数字证据。这给私人实验室带来了额外的负担,导致案件负担加重,同时也需要更多有经验和合格的从业人员来增加 staffing。
数字取证实验室的目的
很少有组织具备数字取证能力,也并非所有政府部门都拥有数字取证实验室,因为这些实验室成本高昂,并且需要经验丰富的人员,而这些人员并不总是随时可用。通常,组织会将数字取证集成到安全事件响应程序中。数字取证检查在时间和人力上可能非常昂贵,提供这些服务的实验室也不例外。执法机构、国防和情报机构、大型金融机构,以及国际会计公司,如德勤、安永、毕马威和普华永道,都拥有成熟的实验室。
较小的组织可能会使用已建立的私人从业人员或大中型会计事务所的取证人员提供的服务。聘请取证专家的费用始终很高,与辩护律师团队寻求独立审查由检方专家恢复的数字证据没有区别。遗憾的是,许多被告往往无法承担聘请顾问从业人员的费用,除非他们有足够的资金或获得某种形式的法律援助。
设计良好并运作正常的实验室为从业人员及其服务的组织提供了必要的支持和协调。这些实验室提升并提高了法医检查的标准,使其符合法院的预期,并提供了高效的案件处理和更好的资源管理。有效实验室的设计因组织不同而异,但有一些共同的要求。没有某个正式建立的法医学机构,能够适应并遵守相关法律辖区的证据规则,数字取证检查将会缺乏协调、零散且无效。
以下部分概述了数字取证实验室的基本组成部分,并探讨了它们面临的重大挑战。
数字取证标准的接受、共识和采纳
应该回顾一下,DNA 证据的早期优势在 OJ·辛普森案件中受到了挑战。该案件得到充足资金支持,帮助辩方成功反驳了法医证据,声称证据在实验室中被污染,最终导致辛普森被宣判无罪:
abcnews.go.com/US/oj-simpson-trial-now/story?id=17377772。
在全球范围内,类似的情况屡见不鲜,糟糕的实验室操作导致了冤假错案。在澳大利亚,年轻婴儿 Azaria Chamberlain 的失踪事件及其在 Ayers Rock 的被害案件揭示了松散的法医实践和对证据的错误解读,至今仍在澳大利亚引发共鸣:
www.abc.net.au/news/2012-06-13/eastley-a-dingo-did-steal-her-baby/4068026。
准确有效的审查结果对于确保公正的审判至关重要。错误和不称职的法医检查可能导致错误定罪,或至少导致不安全的审判。因此,数字取证实验室的认证设立了更高的标准,法院可能会对法医分析和物证处理更有信心。尽管一些法域要求法医实验室进行正式认证,但大多数并未要求,尽管曾多次呼吁进行认证以及对法医从业人员进行认证。此类呼吁坚持认为法医从业人员需要接受包括能力测试在内的认证,确保他们具备执业资格并能提供专家证词。
然而,似乎不太可能在大多数法域达成对这种认证的普遍共识,国际认证协议的达成更是难上加难。更可能的是,从业人员需要在法院和雇主面前证明自己的专业资质,表明他们配得上作为专业合格从业人员的认定。
回顾第三章,数字证据的性质与特殊属性,使用 Daubert 测试来衡量数字取证工具的能力以及取证从业人员的资质,这在美国是常见的做法,但在其他法域中尚未广泛采用。美国倾向于在数字取证实践的测试与验证方面走在前列,这在很大程度上是由判例法和法律先例推动的。
还有一个期望,即数字取证实验室应符合ISO 17025或美国等效的美国犯罪实验室主任协会/实验室认证委员会(ASCLD/LAB)国际要求。ASCLD/LAB 国际认证实验室必须遵守ISO 17025的 360 项标准,但数字取证实验室遵循的标准要少得多。
尽管该规定未定义数字证据,但它要求实验室提供一些保证,确保:
-
适当的实物证据保管
-
法医过程和工具的验证
-
遵守法医最佳实践
-
法医计算机保持有效工作状态
-
可验证的法医工具校准
在这种体制下,证据的保存、处理以及物理安全政策和流程必须针对证据的保存进行调整。关于计算机和存储设备等实物证据的“标记和包装”问题有明确说明,但在数字证据和数字证据容器的定义方面,完全没有给出定义。这引发了一些关于计算机或其硬盘是否为实际证据,以及计算机外壳是否为容器的疑问。遗憾的是,未给出任何定义来澄清存储在硬盘或其他存储介质上的数字数据是否为证据容器。
这些可能被视为语义问题,但不明确的表述引发了关于原始证据数字化副本性质的挑战。例如,在检查过程中生成并导出供法院呈现的录像带被称为原始证据。然而,立法者和法院采取了务实的态度,认为任何可以在计算机上打印、复制或复印的数据记录都是最佳证据,并且在验证其真实性的前提下可以作为证据接受。
标准的采用主要由美国和欧盟推动。不幸的是,这些标准通常仅涵盖一般要求,并未专门针对数字取证,导致数字取证实验室不得不采取昂贵的零散努力,试图满足法院的期望。尽管ISO 17025在为更成熟的法医学科建立质量管理体系方面具有良好的记录,但它在数字取证实验室中的应用证明是资源和时间密集型的,并且效果不佳。这是因为该标准是为传统学科设计的。实施这些设计的人员通常是对数字取证和最佳实践了解有限的传统法医管理者。
数字取证实验室的最佳实践
最佳实践手册、法规和治理是任何取证实验室的核心部分,确保案件管理尽可能顺利和专业。最佳实践包括对设备的检查管理以及报告概览,确保设备检查和取证分析符合最佳实践,并且工作人员的发现已被交叉检查,以确保其准确性、完整性,排除任何错误和异常。
每个案件相关的所有数字证据和设备必须在证据保管登记册中得到妥善记录和核对,登记册记录了所有证据的移动情况以及曾经检查或测试过这些证据的人员。必须在实验室最佳实践的相关规定中明确计算机设备和存储介质提交分析时的适当标记和与证据登记册的交叉引用。
所有取证软件应用程序和技术工具的熟练测试必须在使用前完成。数字媒体的成像和复制到取证计算机,以及其他数字媒体的复制应遵循实验室的证据保管登记册及证据分析与报告协议。
数字证据、计算设备和存储介质的档案通常需要进行分类存储,以便在上诉审判、冷案复审和其他调查中作为未来参考。有些材料在经过指定期限后可能需要根据政府的证据、档案保存和记录管理法规进行处置或销毁。
数字取证实验室的物理安全
物理安全对于控制和保护证据及技术设备免受未经授权的污染和篡改至关重要。它还可以保护工作人员免受潜在攻击者或敌对方的威胁。证据必须得到妥善保管,且其证据链需谨慎维护、管理和协调。数字证据及其容器、原始硬盘或磁带应存放在安全级别的储物柜、柜子或保险箱中,最好配备组合锁和钥匙锁。
然而,准备取证图像和硬盘以供分析的过程可能要求取证设备在较长时间内持续运行,包括非办公时间。因此,分配给证据处理的工作空间本身必须防止未经授权的内部或外部访问。理想情况下,这可能需要严格的访问控制,每位工作人员的工作站需与物理访问隔离,并采用控制进入的措施以及某种形式的安全报警系统,以便在出现未经授权访问尝试时发出警报。实验室和证据展品的访问必须严格控制。为了防止未经授权的访问和篡改证据及相关设备,必须对所有访客进行监管。
除了物理安全性保护实验室周边和一定程度的工作站内部隔离外,计算机显示器不应从实验室窗户外部可见,以防泄露隐私。
数字取证实验室的网络和电子要求
可靠且经过批准的电力基础设施是保护敏感设备免受电力波动(如电压峰值和谷值)损害的关键要求。理想情况下,每个计算机电路应限制为两个端口,外围设备也应如此,以避免电力消耗和中断。将每个计算机系统与其他系统隔离开,有助于减少电力问题并提高正在检查数据的安全性。
每个从业人员/检查员需要一个独立的工作站和存储空间来存放当前正在检查的证物。理想情况下,每个从业人员的工作站应至少为 6 平方米,并包括一个用于拆解计算机设备的工作台以及一个用于分析恢复数据的工作台。从业人员还应能访问网络,因为他们可能经常需要互联网连接来检查在分析过程中恢复的信息。然而,这样做也存在一些固有风险,特别是如果其他有权限访问网络连接的用户获得了关于检查的信息。必须采取措施防止此类信息被截取,并隐蔽研究活动。
电缆设计应减少计算机网络中常见的谐波,以延长其他设备(如显示器)的使用寿命。所有敏感设备都应配备浪涌保护器、不间断电源以防止在断电时数据丢失,并且每个工作站都应有简化的电缆管理系统,这是至关重要的改进措施。
电磁干扰可能会污染存储在具备 Wi-Fi 通信功能的设备上的数字数据。移动电话就是一个例子,许多其他设备也是如此,包括配备蓝牙和其他 Wi-Fi 通信硬件的计算机。对这些设备进行数字取证检查时,要求它们被解除武装,并且无法与本地通信网络进行连接。
在开始从移动设备恢复数据时,标准程序是先取出 SIM 卡,并将设备切换到飞行模式,以防止它们与外部通信点连接。这可以防止新数据下载到设备或现有数据被修改或删除,从而影响从业人员恢复所有潜在证据。最好在设备开机前就将其屏蔽。
此类测试通常在有屏蔽的房间内进行,这些房间用多层细金属网或穿孔金属封闭。这些金属层被接地,以散除来自外部或内部电磁场产生的电流,阻挡可能损坏被检查设备并改变其存储数据的大量电磁干扰。这些房间可以用便携的取证(迈克尔·法拉第)袋替代,这些袋子可以带到犯罪现场,用于保护和检查移动设备。实际上,它们是法拉第笼,能够屏蔽电磁干扰,保护电子设备免受外部射频干扰的潜在损害。
为了确保人员的福祉并保持服务器和计算机设备的适当室温,空调和防尘(防静电)地毯也是必不可少的。由于审查过程的机密性,还应安装声学隔音设施,以确保不违反案件隐私。
目前数字取证实验室面临的困境
与传统犯罪形式相比,网络犯罪相关案件的数量现在显著增加。网络犯罪涵盖了广泛的违法行为,最典型的包括信用卡欺诈、身份盗窃、网络钓鱼、敲诈勒索和未经授权访问电子邮件等。大量数据集的爆发和计算设备的激增,已经使得执法实验室无法检查所有可能包含潜在证据的数据和设备。
许多执法机构已经通过依赖低效的筛查流程和案件优先级排序来应对这一挑战,这意味着除了那些被分类为高优先级的案件,其他案件可能会延迟处理数月甚至数年——这显然无法有效执法。与此同时,关于低技能的从业人员是否能够完成高质量的数字犯罪现场重建的担忧也在不断加剧。
为了节省时间,实践者有时会使用筛查过程,通过快速扫描存储介质来确定其是否包含有价值的证据,然后再进行更为全面的检查,尽管文件压缩技术有助于减少取证图像文件和案件数据的大小。尽管数据大小减少,存储和归档这些数据仍然是一个耗时的任务。存储设备数量和对这些设备进行的取证图像拍摄数量显著增加,给取证实验室带来了更多的担忧,导致了大量的工作积压和严重的处理错误。数据集大小的增加进一步加剧了这一积压问题。
因大规模和广泛分散的数据集而带来的新兴问题
尽管许多商业法医软件供应商都在努力应对数字证据性质的变化和数据集量的增加,但它并没有缓解或解决数据存储的重大问题。存储问题不容忽视。为了将来能检索和检查数字证据,进行分类和保存是一个既耗时又昂贵的过程,无论存储介质的成本较低且存储容量较大与否。需要考虑的一点是,如果这些遗留或冗余的法医工具没有被备份以便后续使用,它们可能无法再获得。如果工具厂商/供应商不再经营,可能还会出现未来的许可问题。
较小的数据需要更少的存储空间,且更容易归档。例如,ISseekExplorer 法医容器的好处在于,它为证据提供了一个永久的安全港,并且比传统容器占用更少的存储空间(这一点将在本章后面详细描述)。
数字证据分析通常涉及处理大量数据集,使用现有的法医工具需要技术专长和理解,这往往是法律从业者和 IT 经理等人群所不具备的。此外,数字证据的技术复杂性有时会导致对法律案件中提交的数字证据产生误解。尽管目前的法医工具理论上可以完成大型数据集的处理,但这将非常耗时,因此亟需研究以缓解大型数据集带来的问题。
我认为,在使用数字法医过程和工具时,刑事(主要是执法部门)和民事检查之间并没有实质性的区别,因为每个利益相关方都在寻找相同类型的证据,但可以说标准不同。我进一步认为,以前用于电子发现的方法,通常涉及大量机器,现在需要应用于数字法医,并进行一些改进,这是处理大量数据的唯一方法,尽管不一定是来自大量不同来源的数据。
因此,存储大型数据集并分析其内容以寻找证据的挑战是巨大的,有时这会对法律听证会产生不利影响。定位和保存刑事和民事案件中的数字证据的目标是相似的,但所使用的法医流程和工具在每种环境中的发展方式不同,这将在以下两个小节中进行描述。
揭穿法医成像的神话
法庭期望数字证据的恢复应遵循可靠的法医流程,这些流程在最佳情况下消除、在最坏情况下最小化数字信息的任何修改。这在电子发现中被误解了,某种程度上在刑事数字取证中也有类似误解,认为每个案件中设备上的完整数字信息都必须进行镜像。
在许多法域中,特别是在美国,并没有强制要求必须制作法医镜像。法院需要确认的是,所收集的证据在法医层面是可靠的,即能够证明它是未被修改且未被污染的。如在第四章中所示,恢复与保存数字证据,这一过程应包括一个可靠且可信的记录,说明数据是如何恢复的,以及采用了何种流程。
美国联邦证据规则第 901(a)条规定,认证展品,包括数字证据,必须有充分的证据证明恢复证据所使用的过程的真实性,这一规定适用于大多数民事和刑事案件。在民事案件中,法院和案件当事人倾向于“过度收集”证据,这一点可以从使用镜像的案件中看出。还有人担心,过多无关的信息可能会被审查,违反了其他数据来源方的隐私。
特别需要的是一些敏锐的推理,来判断应该选择恢复哪些信息,而不是采用全盘镜像的“桶式方法”,即完全复制硬盘。在过时的理论中,收集的数据应该是未被修改的,必须包含硬盘上的每一个比特,包括已删除和部分擦除的分配空间数据。法医镜像提供对在镜像过程中恢复的所有数据的访问,包括已删除、擦除和损坏的数据。这使得执法人员能够重建犯罪历史,但这需要相当的专业知识和时间成本,并且往往不会对调查产生有益的结果。
法医镜像通常作为刑事调查的标准流程使用,但在怀疑故意删除数据并需要特殊工具从镜像中恢复证据的企业调查中也经常使用。事实上,在需要恢复隐藏和修改过的数据的情况下,镜像仍然被认为是首选的方式。
成像的缺点在于,该过程从被成像的设备中恢复每一位数据,并且由于驱动器的大小,图像现在的大小显著增大。其大小之所以重要,是因为图像中大部分是无关的数据,这使得定位证据变得困难且耗时,并且传统上需要较高的专业水平。通常,图像中的证据价值部分仅占一小部分。此外,实践者必须前往设备所在位置,连接到设备或硬盘后完成成像过程。这增加了恢复数据所需的时间以及涉及人员的成本。
这种耗时且资源密集的取证成像实践正在迅速变得不可持续,因为更多案件涉及大数据集,并且表明存在比现有方法更有效的流程。虽然取证成像是刑事调查中的常态,但据估计,在超过 90%的民事案件中,进行取证成像的做法是过度的且没有正当理由的资源和资金浪费。未来几年,刑事调查中可能会出现相同的趋势。此外,取证成像工具无法有效地从基于网页的电子邮件账户、Dropbox 或其他云端或远程位置的账户中恢复证据。
目前困扰数字取证从业者的困境
从业者现在正在处理越来越大的,达到数 TB 的数据集,但却因分析工具不足以及耗时低效的恢复过程而感到困惑。早在 2004 年,取证从业者就因数据捕获后分析所需的时间密集型哈希和索引算法而在处理大数据集时感到困难。即使是像 500GB 这样适中的数据集,处理起来也有问题,因为这一过程本身就极其耗时且效率低下。这是因为数据提取和分析过程变得极其缓慢和低效。
十多年来,研究人员一直认为,实践者必须解决使用他们所描述的不充分的取证工具和流程来定位和恢复相关数据的问题。人们还预测,数据集的快速增长将需要更复杂的自动化分析来帮助定位和识别目标证据,并可能需要更多的计算能力。更为敏锐的观察者意识到,需要改进的自动化流程是及时且可靠地识别和分类隐藏在庞大且分散数据集中的相关证据的一部分。
过度依赖取证镜像以及不愿意进行如桌面计算机和网络服务器等设备的实时恢复,已使从业人员陷入困境,并迫使他们花费过多时间在不必要的恢复、存储和分析上。传统取证工具制作完整镜像并使这些镜像重建以便查看所有数据的能力多次失败。然而,镜像技术仍然是主流——至少目前是如此。
不过,对从业人员来说也有一些令人鼓舞的消息。需要更简单的、符合法律系统预期的流程,这些流程将在下一节中进行描述。
协助从业人员更有效应对这些挑战的流程和取证工具
与镜像技术形成鲜明对比的是,使用法医合规的工具和流程进行目标明确的实时恢复是可行的。在这一过程中,证据是通过搜索获得的,但搜索过程不会改变文件数据和元数据。恢复的数据会被收集到符合取证标准的、密码保护的证据容器中。电子发现工具正迎来这一变化——我预测这一变化将扩展到刑事证据恢复过程中。
电子发现证据的恢复与保存
目前用于电子发现的技术的最新发展,正在预示着一个范式转变,摆脱目前捕捉和识别数字证据的繁琐流程。对于参与民事诉讼的公司来说,电子发现的范围正在增加,涉及捕获与证据目的相关的数字信息。
现有流程涉及的技术有时挑战了数字取证和法律从业人员的技能与经验,从而产生了对专业数字取证从业人员的需求。这些专家的费用昂贵,这对发现过程来说是一项额外负担,尤其是考虑到处理恢复数据的强制性法律分析团队的高昂费用。
对所捕获的电子发现数据进行有限关键词搜索的处理时间例如,也非常耗时,往往需要数天甚至数周,而大量的搜索结果需要审查,常常使人不堪重负。证据检查受到人工分析师处理能力的限制,随着数据集规模的增加和后处理审查的加重,这一问题愈加严重。给从业人员提供仔细审查所有捕获证据和搜索大型数据集的机会早已过去,这显然表明需要更好的数字证据捕获和处理技术。
电子数据发现(E-discovery)几乎完全是一个民事问题,涉及不同组织之间的争议,因此“证据”的概念略有不同。然而,民事调查有时会导致恢复的证据被用于刑事审判、纪律听证会以及其他法庭程序,如不公平解雇案件。通常,围绕电子数据发现的案件要求当事人通过在其网络和存储系统中完成搜索,确定与诉讼相关的信息。所有被确定为与诉讼相关的文件将被提取、处理以去除无关文件,并提供给请求的当事人。请注意,此过程中没有进行法医成像。
在使用自动化工具优先选择和筛选文件以供审查的各种电子数据发现过程中,存在一个难题。这些自动化工具通常被认为是节省成本的方式,但却是繁琐的手动审查的劣质替代方案,后者需要对每个文件进行评估,以响应生产请求并确定特权。Grossman 和 Cormack(2011)引用了Sedona Conference 关于电子数据发现中搜索和信息检索方法使用的最佳实践评论,其中警告说:“[t]似乎存在一个误解,认为人工审查大量信息与自动化审查一样准确且完整——甚至可能是完美的——并且是所有搜索应当遵循的黄金标准。即便假设这个行业有足够的时间和资源继续对庞大的电子数据集进行人工审查(实际上并没有),这种方法与使用新开发的自动化审查方法的相对效能仍然是一个值得辩论的问题。”
电子数据发现中的索引过程由软件应用程序执行,这些程序扫描众多电子文件的可读文本,并将其纳入与文本文件相对应的搜索词数据库表中。索引旨在优化后续的搜索和检索,并有助于管理封闭的存储库、集中式数据档案和业务记录存储库。
通常,在基于索引和非基于索引的电子数据发现数据收集中,软件会安装在客户端服务器或网络上,允许对选定的语料库进行检查和索引,并将其保存在代理或索引服务器上,作为可搜索的数据,以便后续检索和处理,如下图所示:
网络数据的客户端-服务器索引
电子存储信息(ESI)的持有者,无论是公司还是客户,他们可能并不清楚,为了执行大多数 ESI 电子邮件数据库处理,几乎每一项他们拥有的知识产权价值,都在不知情的情况下大批量地转移到审查公司所在的地方,仅仅是为了丢弃 90%的数据。或许值得注意的是,数据泄露甚至企业间谍活动的巨大风险,可能会发生在审查者的数据中心。
根据我在该领域的案件工作,我坚信如果在获取阶段完成处理会更为理想。最终,为了存储图像而存储不仅占用存储空间、时间、金钱和管理成本,还涉及到安全问题,并且它还带来了可能扩展数据请求范围的潜在风险,这些请求超出了当前案件的范畴。一项从一个轨道开始的调查,可能无意中发现其他事件的数据切线,从而扩大调查范围,超出了最初导致案件发生的要点。
增强的数字证据恢复与保存
电子发现索引过程的局限性在于,管理大型档案库会导致搜索变慢和文件遗漏。许多组织抱怨在管理索引时遇到显著困难,特别是需要定期重新索引损坏的档案,从而消除了任何风险缓解的好处。也有人提出质疑,基于索引的电子发现工具是否能找到受特权保护的关键文件。在检查一些已经审查过的大型电子邮件数据库时,发现了一些在索引过程中遗漏的文档。
认识到资源成本、对电子发现快速增长的迫切依赖以及对专业知识的需求,以及搜索日益增长的数据集的挑战,我确定了一些需要改进的地方来应对这些挑战。通过审查各种工具和电子发现领域的专业知识、我之前对作为定位相关证据的主要过程——电子发现索引服务器的了解,以及Adam(2015 年)的早期实验,促使我进行初步研究,探索现有工具,看看是否有一些或所有所需的改进可以实现。
2015 年,我和我的共同研究者们研究了 Xtremeforensics 的独特专利自动化工具 ISeekDiscovery,并注意到它对电子发现相关利益方,甚至可能对执法分析,提出了多项有前景的结果。ISeekDiscovery 套件现在由 eReveal Technologies Pty Ltd 以 eFinder 的名义推向市场,包括一个配置工具、一个搜索工具和一个审查工具,这些工具不需要安装在目标设备或网络服务器上。它们的功能如下:
-
配置工具 ISeekDesigner 可以创建一个包含搜索词的配置文件,搜索词可以是整段文本(如果需要),以精确搜索。
-
搜索工具 ISeekDiscovery 无需安装,可以通过插入 USB 设备运行。包含搜索词的文件被放置在由 ISeekDesigner 设置的加密容器中。
-
审核工具 ISeekExplorer 可以访问加密容器,允许根据需要查看和提取已收集的文件。
提供有关其工具和服务的更多详细信息的 eReveal 网站位于此处:
以下截图展示了一个设置良好的向导的第一个窗格,帮助用户使用 ISeekDesigner 准备搜索词以供 ISeekDiscovery 自动化程序使用:
ISeekDesigner 帮助向导的打开窗格(配置)
以下是该工具的一些基本功能:
-
根据您要查找的内容和/或在要搜索的对象部分的要求,选择适当的选项
-
容器密码保护
-
企业主自动处理密码
-
识别对象
-
仅显示/搜索这些驱动器
-
操作模式—讨论默认选择
-
目标文件夹
-
临时文件夹
-
电子邮件操作
下一个截图展示了一个搜索词和搜索词类型的列表,反映了自动化程序的搜索能力。更长的搜索短语能够优化特定文件和电子邮件内容的定位,帮助调查。这反过来过滤掉了许多无关的命中,并加速了搜索过程,同时减少了捕获的数据量,促进了所需数据集的更有效捕获:
ISeekDesigner 帮助向导的打开窗格(搜索词)
ISeekDesigner 的目的是创建一个包含搜索词和其他搜索过程参数的配置文件。该配置文件通常是一个几兆字节的小文件,并与同样小巧的 ISeekDiscovery 可执行文件(自动化程序)一起加载到客户端的网络服务器或计算机终端中。无需安装任何程序(对网络管理员来说是个福音),并且自动化程序包可以通过电子邮件发送到远程位置。ISeekDiscovery 可执行文件启动后,会在系统仍在运行的同时开始对网络或计算机进行低级别的扫描。不会修改文件,也不会进行索引操作。这将使数据捕获更快速,而不会干扰网络或附加终端的正常功能。
以下截图展示了自动化程序搜索计算机终端上的其中一个驱动器的情况,显示被选中的驱动器正在被搜索,搜索进度、读取的数据量以及捕获的命中记录:
查看 ISeekDiscovery 自动化程序搜索选定计算机驱动器
一旦搜索完成,通常所需时间仅为传统基于索引的工具完成任务所需时间的一小部分,自动化程序会通过电子邮件或查看面板通知执法人员记录的命中次数及文件选择的理由。套件中的第三个工具 ISeekExplorer 允许执法人员查看所选文件及其内容和元数据,以及每个捕获文件的搜索理由,如以下屏幕截图所示。这些文件存储在受密码保护的.ISK加密取证容器中,以保障隐私并便于法律特权保护:
ISeekExplorer 查看捕获的文件、文件内容及元数据
在刑事调查中,增强恢复工具的好处
注意到,与传统的电子发现或数字取证工具相比,执法人员或分析师可以编制搜索并审查捕获的数据是否相关。ISeekExplorer 通过为处理后的数据创建索引,便于在捕获后进行快速审查,而不是在目标数据集上进行,且提供了以下增强功能:
-
在不污染证据的情况下进行索引,从而产生有效的证据识别
-
显著减少完成数据捕获所需的时间:索引与搜索对比
-
显著减少所需捕获的数据量
-
避免现场访问及相关的差旅
-
提供一个“安全港”以便快速、低成本地传输捕获的数据
-
没有污染已收集的证据
-
在没有互联网连接或软件安装的情况下,轻松访问目标数据集
-
简单的可执行文件,所需的技术知识极少,避免了设置复杂捕获过程的繁琐
-
与分析师和法律团队目标兼容的可定制搜索选项
-
增强捕获后的过滤和分析
-
一种可用于犯罪调查和情报分析的过程
捕获的文件可以在容器内通过 ISeekExplorer 嵌入的高级软件进行索引。以下屏幕截图显示了在新创建的Search Results文件夹下,Explorer窗格中列出的搜索结果。每个子文件夹的名称基于所选的搜索词,可以在其他查看窗格中打开查看:
搜索结果被归档在 ISeekExplorer 保护的取证容器中
采用新的证据恢复方法,ISeekDiscovery 套件的试用表明,相关的研究和设计提供了一种可靠的工具,为证据检索的更务实的过程铺平了道路。ISeek 开发团队(顺便提一下,包括了经验丰富的取证从业人员和取证软件专家)目前正在整合和测试代码,以使 ISeekDiscovery 能够恢复选定的 Windows 注册表 hive 和键,以及从空闲空间恢复已删除文件。这增加了该工具被执法部门部署的相关性,特别是在追踪分布式网络上的证据时,如云或大型网络服务器。
像 ISeekDiscovery 这样的工具现在允许信息管理者和执法人员在最少的培训下,跨越广泛的数据存储库进行搜索,而无需复杂的取证工具和专家的协助。理论上,具备一定 IT 和取证培训的律师和审计员可以用这些工具取代昂贵的专家,并掌握自己的证据检索管理。仅将相关数据保存在受保护的取证容器中的便利,避免了存储问题和繁琐的索引与搜索过程。
我将进一步指出,这类工具提供的搜索和检索功能也可以应用于刑事调查中,其中以取证镜像为中心的关注点可以被更务实的过程所取代。这些以搜索为导向、以证据为基础的过程在取证分析上提供了显著的改进,并在资源成本上节省了大量开支。情报和防务领域也可能受益,因为这种过程所提供的搜索策略可以应用于现场调查和长期案件,其中计算机系统和数据集正作为调查的一部分进行审查。
第十章,赋能从业人员和其他利益相关者,概述了这些新技术的好处,帮助你了解这些技术将如何塑造数字取证的未来。
赋能非专业执法人员和其他利益相关者,使其成为数字犯罪现场更有效的首批响应者
如在第四章中提到的,恢复与保存数字证据,网络管理员、信息管理员或初到现场的执法人员,若在试图判断是否发生违规行为并保存证据时,缺乏一定的法医经验和合适的工具,他们的善意行为可能会变成无意间篡改证据。考虑到执法机构和数字取证从业人员的案件繁重,以及使用其服务的高成本,似乎已经迫切需要某种基本培训和工具,例如 ISeek,来帮助利益相关者管理潜在证据的识别与收集,避免证据污染。
本节探讨了数字证据收集与保存中的不足,并提供了一些务实的解决方案。
非法医执法人员面临的挑战
执法现场人员通常承担证据收集的任务。实际上,由于专业犯罪现场人员和法医检查员的工作负担沉重,他们未必随时能帮助稳定犯罪现场并及时恢复证据,因此执法人员实际上履行了类似法医的角色。执法人员在处理现场事件时,越来越多地需要扣押并检查计算机、计算机网络中的数据、移动设备、数码相机和录像机。
访问这些设备以获取信息,可能常常作为操作上的紧急需求,而非单纯作为证据收集和保存的任务。是否以及如何进行这一操作,最终是现场执法人员的判断。操作上的需求,例如可能导致抓捕嫌疑人、预防他人受伤或防止财产损失的情况,应优先于证据的收集。但这并不意味着不能为非法医专业人员提供一些意识与应对培训。
例如,从手机中恢复数据,传统上由熟悉恢复过程、并有实验室或法医现场工具的计算机犯罪团队处理。这些团队通常集中在某一地点,案件负担沉重,并且由于经常需要作为专家证人出庭作证,花费大量时间,通常专注于更高层次的案件类别。最多,他们只能向现场执法人员提供证据恢复的最佳响应方向,有时这会使得现场执法人员在没有经验、没有有效工具的情况下,得到有限的指导。
提升执法人员作为初响应者的能力
使用便携式手机恢复单元供执法人员使用,采用价格合理的恢复软件并为指定目标提供一些基础培训,这在中央和更广泛的操作地点提供了一定的好处。虽然它减少了对中央法证团队的过度依赖,但它依赖于机构能够购买足够多的高质量设备,才能产生实际影响。新兴的手机加密技术和新型号手机可能使这些现场工具包一夜之间变得过时。
使用这些工具包的指定人员的培训,有时在操作人员面对各种手机类型的特殊性时,效果不佳。近期我观察到的工具包效果和操作人员的能力,令人对其整体效益产生怀疑,尤其是那些本应能够恢复的证据未能恢复。如果要使用此类策略,设备的可靠性必须经过严格测试。此外,必须提供并监督对操作人员的持续培训,以确保最佳效果。
除了手机外,桌面和笔记本电脑的处理也需要一个务实的流程,以保存证据并提供可行的证据恢复指南,帮助案件预测。实现这一目标的基本要求包括:
-
合理的预算,用于设置和维护该计划
-
选择负担得起、经过验证且可靠的软件和硬件,这些软件和硬件相对容易使用和更新
-
可靠的培训人员,确保操作人员接受适当培训,并在需要时获得持续支持和再培训
-
对流程的审查,以确定其成功性及最终的重要性(以增强未来的预算编制)
-
审查的灵活性,以确保流程与技术的持续变化保持同步
作为流程的一部分,所需的技能包括能够对设备进行成像,或者更理想的是,搜索可以存储在法证安全数字证据容器中的证据,如 ISeek .ISK证据容器。可以通过使用 64GB 的 USB 闪存驱动器和预先设计的 ISeek 配置文件来实现,通过这些配置文件,可以选择并恢复设备中的内容,例如电子邮件记录或通讯文件。这是唯一可以启动 Apple 计算机并检索信息的工具。自动化设备还可以捕捉驱动器内容或选定的文件夹和分区。关键过程是设计搜索标准,以满足调查人员的需求。虽然这看起来很简单,但确实需要一些思考和使用搜索词的经验。
恢复过程可能需要 30 分钟到几个小时,具体取决于驱动器的大小,也可以部署在网络服务器上,且只需少量操作员培训。一旦搜索结果已知,可以选择数据并在现场访问,或将其发送到更安全的中央处理中心进行进一步分析。恢复的数据集可以迁移到处理应用程序,如Relativity;不过,ISeek 套件提供了一个应用接口,XtremeReporting,帮助法律和分析团队迅速处理数据。
或者,代理可以使用 ISeekExtractor 从.ISK文件中导出选定的文件和文件夹,进行本地或集中位置分析,如下图所示:
ISeekExtractor API 工具
提取的文件夹随后可以进行分类,方便搜索以查找关键证据,如下所示:
提取的电子邮件消息文件夹
以下截图展示了一个典型文件夹的内容,显示电子邮件头文件、电子邮件正文及附件——在此案例中为 PDF 文件:
查看提取到检查文件夹中的电子邮件头、正文和附件
使用自动化工具比成像过程要简单得多,即便是使用 IXImager,也只需要访问设备并适当设计配置文件。无需拆卸设备,该工具使用冗余独立磁盘阵列(RAID)和网络服务器,通过数据存储虚拟化技术定位必要的数据。
本章末尾的示例案例比较了旧流程和新流程在欺诈调查过程中促进数据快速恢复的效果。它展示了如何加速并简化犯罪调查中的数字取证部分。
IT 管理员、法律团队、取证审计员和其他第一响应者面临的挑战
桌面和笔记本电脑的管理员及网络管理员了解他们数据持有、用户访问和运行的应用程序的特性。他们可能是第一响应者,发现系统遭遇不当使用,包括黑客攻击、内部欺诈或人员不当行为。对于组织来说,员工通过桌面终端、便携笔记本或移动设备访问,通常通过直接布线或远程访问、Wi-Fi 连接等与组织的网络服务器连接。
通常,调查会需要包含罪证的材料,这些材料通常以个人或商业通信的形式出现,特别是电子邮件信息及附件、文本文件、照片和图表,以及数据库访问记录和文档管理系统日志。此外,调查还可能需要进行更深层次的取证检查,以查找被故意隐藏和删除的信息。
这些类型的调查可能由一系列事件触发,包括:
-
保密性泄露
-
员工的突然离职且无明确解释
-
组织资金或资产的欺诈或挪用证据
-
账户审计异常
-
滥用互联网浏览权限
-
客户和其他员工对不当行为的投诉,包括行为不端、性骚扰和违反就业规范的其他行为
存储在桌面计算机和个人计算设备上的证据可能需要进行取证映像,或者在手机的情况下,使用一系列取证工具进行数据提取。然而,这些工具可能并不总是可用,且公司内部可能没有合格的使用人员。
为了从网络服务器提取数据,网络管理员可能会使用一系列数据备份应用程序,如 Safeback 或 ShadowProtect,来进行服务器的逻辑复制以及备份磁带的复制。然而,在查看和访问文件以确定是否存在安全漏洞或某些违规行为的证据时,可能会无意中更改文件数据、时间戳和审计日志。若提取的信息最终在法庭上呈现,对方团队可能会质疑数据的真实性,声称数据可能在恢复过程中被更改过,或者被敌对方故意篡改。
这些工具会对服务器进行逻辑复制,例如复制服务器上托管的任何数据库文件,如电子邮件服务器数据库和其他会计及管理数据库。在给定时刻对服务器文件的复制以及所有可用的备份磁带(无论是本地还是远程)的存储是一种便捷的措施,因为它允许组织在保持原始数据集(可能包含证据)的完整性的同时,重新开始业务操作。备份会复制所有系统文件,重申一下,这个过程非常耗时,且会收集比实际需要更多的数据。操作人员还可能受到网络管理员的限制,后者可能不在现场,或者在关键时刻无法访问以进行服务器数据备份。
通常,网络管理员会保存所有数据,以便在需要时进行相关数据的检查,尽管与法医影像不同,这将是数据的逻辑副本,而不是逐位精确的物理镜像,后者有助于定位隐藏和已删除的文件。对于一台 1TB 的网络服务器,复制过程需要 3 到 5 小时,但对于更大的网络,所需时间和存储空间会显著增加。
这可能是基于用户身份、时间框架和主题内容,隔离与可疑活动相关的电子邮件数据库的问题。在任何规模的组织中,调查不太可能检查与每位员工或经理相关的信息存储,而是从一开始就可能集中在一个或多个员工身上。另一方面,可能不清楚潜在嫌疑人的身份,但某个事件或主题可能为定位嫌疑人提供线索。
如果可能,拥有服务器的影像可能对索引和搜索证据有用,但如果网络分散且考虑影像化大数据集不切实际呢?复制并恢复网络影像非常耗时,可能需要一天到几天才能完成。虽然大量数据被保存,但其中所需的部分却很少。如果指定的调查员只被要求寻找与事件相关的某些网络部分,那么不能保证这些部分包含所有可用证据。员工终端也需要时间进行影像处理,然后再搜索证据,这并非没有挑战,正如在第六章中所展示的,选择和分析数字证据。
增强 IT 管理员、法律团队成员及其他人员作为初期响应者的能力
因此,我和我的研究同仁并不认为影像处理是最佳流程,我们使用并推荐使用 ISeek 自动化工具来定位和恢复具有潜在价值的数据。这在本章末尾的案例研究中有所体现,但请考虑通过自动化工具审问服务器和桌面终端,收集一个可管理的信息容器,从中进行早期的快速判断,这对调查具有帮助。
例如,电子邮件服务器可能包含成千上万的用户数据库,但调查可能只需要寻找一个或两个内部用户在特定时间范围内进行的某些活动的电子邮件。自动化工具可以配置为在调查范围内查找电子邮件和附件。它可以按文件大小、类型和时间段进行过滤,以避免处理不必要的数据,并加快定位证据和进一步调查线索的过程。
此外,这类调查需要对大量电子邮件和文档集合进行高效的过滤和分类,以减少检查团队人员的时间浪费和繁琐操作。执法人员用于搜索和筛选选定数据的策略在此同样适用。此外,尽管管理员可能能够隔离用户和电子邮件账户,但仍然有可能忽视服务器上其他位置的有价值信息,这些位置并不明显且不容易被检查团队察觉。检查团队可能缺乏足够的技术知识和经验,无法找到那些不太可能出现证据的位置。自动化系统无需依赖提取大数据集,可以快速高效地处理可能存有证据的驱动器。
管理员和审计员使用自动化系统的另一个好处是,他们可以参与配置搜索条件,这些搜索可以在服务器或终端上启动,而无需安装任何软件应用程序,也无需法医专家的现场支持。这扩展了调查的范围,否则由于聘请昂贵的专家及相关的旅行和住宿费用,可能会被推迟或放弃。所有这些都可以通过电子邮件和电话沟通完成。
确保证据的安全,或者初步检查后可能有助于后续调查的信息,是优先事项。确保证据保持完好无损在之前的章节中已有强调,同时也提到了其可能被敌对方或检查人员污染,以及那些试图将其保存到安全位置的人。
再次强调,ISeekDiscovery 工具具有快速部署的能力,只需一个简单的配置文件,就可以启用对驱动器或文件夹的捕获,将信息放入“安全港”。证据容器是密码保护和加密的,以限制对恢复证据的访问,确保保密性和安全保管。此图显示了选择一个驱动器文件夹供 ISeekDiscovery 捕获:
使用 ISeekDiscovery 捕获驱动器文件夹进行保管
这些是可能赋能第一响应者的软件应用解决方案。尽管所需的工具和培训并非没有成本,但它们确实使响应者能够对其负责的数字信息问题承担一定的责任,并在民事和刑事环境中直接负责保护已恢复的证据。第八章,浏览器、电子邮件、消息系统和手机的检查,将探讨法医过程,以增强数字证据的恢复和保存,包括存储在远程位置(如云端)的数据。
以下案例研究基于一起最初是企业破产的案件,后来揭示出由企业主主事人盗窃了大量客户和员工资金的事实。该案例旨在将恢复的证据交给执法机构,以便正式提出刑事指控,并进行旨在追回资金和其他财产的民事诉讼。
案例研究 – 说明审问大型数据集的挑战
考虑一个国内物业管理公司的案例,这家公司在大约 30 年的时间里,成功建立了在澳大利亚某州省会城市的多个时尚郊区管理住宅销售、购买和租赁的盈利业务。该公司主事人在相对年轻且缺乏商业管理能力的情况下进入了这项业务,但他充满了雄心壮志和表演天赋。
犯罪背景
一直以来盈利的企业的所有者们意识到,公司的财务状况出现了越来越严重的问题。来自承包商的催款信被收到了,这些承包商负责该公司管理的租赁物业的维护和修理工作,他们抱怨未支付他们的款项。客户抱怨作为销售和购买上市物业的一部分放入信托基金的款项未能在规定时间内清算。来自公司融资方的关于贷款违约的信函,以及员工未收到工资和佣金的投诉,进一步加剧了喧嚣。
主事人被询问问题的性质,经过一个月显然的推诿后,他带着自己的工作电脑和手机离开了公司。尝试采访主事人失败,随后发现主事人已被注册为破产者。资金的严重短缺和无法满足债权人要求的情况迫使公司进入了强制管理。
很快显而易见,通过负责人控制的一些空壳公司和信托,公司的大量资金被秘密转移。这些资金是公司储备的主要部分,总额约为 500 万美元,包括客户的信托基金。甚至员工的退休金基金也已空无一物;公司每月的基金缴纳已经拖欠了 6 个月。
调查
法证审计团队开始调查公司的事务,并注意到一些重要的商业账簿遗失了,这些账簿包含了与资金相关的近期交易,而这些资金在负责人意外离职前不久已被转移。负责人的丢失的笔记本电脑和办公电话使审计人员无法获得负责人的电子邮件和电话通信。通过审查公司的银行账户,确认了大量资金已由授权账户持有者——负责人转移到其他公司。
初步怀疑是负责人参与了资金转移,并可能利用他拥有的公司进行操作。有些人怀疑与转账以及这些公司相关的文件被伪造,以便促进转账并避免银行的检测,从而避免引起不必要的注意。
审计员的简报
虽然资金挪用涉及负责人,但仍然需要证明其知识、参与度以及动机是为了犯罪获利,而不是出于其他较轻微的原因。可以通过以下证据来证明:
-
与负责人及可能的共犯有关的电子邮件和其他通讯,包括附件,涉及可疑交易
-
与公司债务相关的所有通讯
-
遗失的商业账簿的电子副本痕迹(审计团队将单独检查财务和客户业务数据库,以识别缺失的交易)
-
与负责人及相关商业实体相关的 Word 和 Excel 文件,这些文件涉及可疑的财务交易
-
所有看似被扫描的
.PDF文件,可能揭示与可疑交易相关的伪造证据 -
与复制和更改文件为 PDF 格式相关的所有应用程序,可能有助于涉嫌伪造
-
负责人的手机备份,可能提供更多参与欺诈的证据
-
任何可能提供调查线索并重建相关事件的其他信息
可用证据
可供审查员使用的数据包括:
-
网络服务器,包含约 800GB 的数据,包括电子邮件数据库、房地产管理数据库和员工工资及业务运营的会计数据库
-
17 个员工终端
-
物业管理数据库的备份驱动器
-
负责人丢弃的一部损坏的手机
数据提取过程
网络服务器数据需要进行镜像,以便最终由相关政府部门进行分析,并作为未来任何法律诉讼中对公司及负责人不利的最佳证据。由于服务器因紧急业务及不满客户和其他承诺无法关机,镜像硬盘的选项不可行。网络管理员,同时也是公司的无担保债权人,隔离了网络与负责人及其他人员,并制作了硬盘备份。备份花费了 48 小时,因为服务器自行刷新并延迟了这个过程。然而,管理员确实提供了约 60GB 的全体员工和用户终端的电子邮件存储数据。这些数据通过 ISeekDiscovery 进行了搜索。
然而,这些数据在 3 天内未能进行分析。服务器备份已恢复,花费了额外的 20 小时,并且将数据复制到政府部门的法证容器中又发生了延迟。
使用自动化工具,人员电子邮件 .PST 文件的检查在 2 小时内完成,找到了负责人电子邮件服务器账户中的证据,并在另一名员工账户中找到了少量相关信息。这与审计团队的观点一致,认为负责人是单独行动的。
如果在第一天启动自动化工具对服务器进行操作,电子邮件数据本可以被恢复。其他待寻求的文档证据,包括少数涉嫌伪造或编造的 PDF 文件及相关软件应用,也可以通过自动化工具迅速捕获。这本可以让审计团队更早了解负责人的不当行为,并识别出其他有力证据及可能与其他犯罪嫌疑人有关的线索。
对其他人员使用的六台台式电脑进行了镜像,以便进行更广泛的分析,因为认为可能会获得与欺诈相关的信息。使用 IXImager 镜像每台设备的过程非常迅速,且并行进行,3 小时内完成。镜像被挂载,并使用 ISeek 对可能的证据和其他线索进行了搜索。这一过程比起同时使用自动化工具在六个终端上进行搜索要更耗时,而事实证明,后者只恢复了很少的有力证据。然而,客户在最终结果表明,这些旧的、经过验证的流程耗时较长时,仍坚持使用这些流程。
通过这些组合过程获取了与 PDF 文件、手机和电子邮件信息及附件相关的数据,并使用 ISeekExtractor 进行了过滤,生成了相关数据的提炼版本,供审计团队审查。特别重要的证据被提取并纳入提供给法证审计团队进行分析的报告中,同时也反馈给从业人员以便进行进一步搜索。
恢复和检查结果
调查人员已获得足够的调查背景信息,以便进行一些分析和重建,帮助审计团队处理数字证据。与传统的取证工具相比,使用 ISeekExplorer 从最初的大数据集中搜索和编目可能的证据和线索,操作相对简单且速度较快。
对审计团队有价值的信息被提炼并包括以下内容:
-
校长与金融机构之间关于将大额资金从公司转移到校长控制的公司之间的电子邮件
-
从校长的手机备份服务器中恢复的同步电子邮件,涉及可疑的金融交易和校长的债务状况
-
涉嫌参与非法交易的校长所拥有和控制的家庭信托、单位信托及住宅物业的身份
-
存储在校长服务器文件夹中的文件,与公司岌岌可危状态相关的扫描书面交易
-
从公司账户转移到其他可能与调查相关实体的大额且规律的银行转账细节
没有发现任何文件伪造的证据,也没有找到可能用于更改和伪造文件的软件应用。校长与其配偶和家人的消息无害且与调查无关。没有其他员工涉及任何不当行为。
很明显,任何可能存在的实质性数字证据都在校长丢失的笔记本电脑或其他在工作场所之外使用的设备上。服务器的电子邮件数据库提供了一些校长的电子邮件,但对调查帮助不大。也有可能,使用公司电子邮件服务器的任何有罪证据邮件已被校长永久删除,因为该服务器没有防止用户进行无法恢复的永久删除。服务器的备份磁带没有发现任何有罪证据邮件。更有可能的是,实际的欺诈和伪造行为并未发生在公司场所内,也没有使用其计算机进行操作。
校长后来交出了笔记本电脑,使用 ISeekDiscovery 进行访问,但仅产生了少量但重要的潜在证据,形式为一个电子表格。该文件显然包含了校长涉及盗用客户资金的资金流动的具体细节。
结论
案例描述了通过结合旧有与新型取证过程对一个小型组织进行检查,并清晰地展示了新技术的优势。对于一个更大的组织,通过自动化系统获得的选择性数据将使用 ISeekExtractor 提取,最终处理则可使用像 Relativity 这样的软件进行。尽管最终恢复的数据量并不多,但所做的工作成本更低,所节省的时间和所需的检查也帮助降低了客户的成本。
参考文献
Adams, R. B. 2015. “利用结合数字取证与电子发现的新技术进行情报用途。”《期刊》(2015 年 5 月 25 日):1-4. 来源:www.sageinternational.com.au/product/leveraging-new-technology-that-combines-digital-forensics-and-electronic-discovery-for-intelligence-purposes/.
Grossman, M. R. 和 Gordon V. Cormack. 2011. “在电子发现中,技术辅助审查比详尽的手工审查更有效且更高效。”《里士满法律与技术期刊》(17):11-16。
摘要
本章节进一步描述了数据集规模快速增长所带来的挑战,这使得在没有大量时间、资金和人力投入的情况下很难寻找数字证据。传统的取证影像保护的可疑性也被提出。由于相应增加的安全数据存储规模和相关资源成本,预计传统的取证影像使用将逐渐减少。迫切需要使用更好的工具来处理大型数据集、识别重要证据,并将其保存在更为紧凑的存储空间中。
本章节介绍了证据搜索自动化系统,并通过测试和案例研究展示了其价值,证实了其在克服从业者面临的挑战中的有效性,并取得了一些令人鼓舞的成果。这些工具所提供的处理流程应该引起从业者的关注,不仅是在电子发现领域,而且在执法和情报界——这些领域面临着成本上升、人员减少和在有限时间内及时处理信息的难题。信息管理人员和法律界人士也寻求摆脱昂贵的专家和供应商的依赖,更好地管理、捕获和保存可能在后续法律案件中需要的信息。
我希望你能从本章获得的知识中受益,通过它你可以了解新兴的数字证据处理环境。这些新技术解决了日益庞大且分散的数据集带来的挑战,传统的影像复制方法已经无法再有效处理这么大的数据量。这些新技术不仅帮助解决了这些问题,使用它们的相对简便性也消除了许多关于电子发现专家和供应商宣传的神秘感。IT 管理员现在可以抓住机会,参与信息的有效采集和管理,这些信息很可能在法庭上使用,并且通过这些新技术,他们可以获得更大的权力。
第六章,选择与分析数字证据,介绍了使用结构化流程来导航获取的法医镜像和容器,特别是 ISeekExplorer .ISK容器文件,基于有效的法医实践定位和选择证据。本章提供的案例研究展示了案件的复杂性如何成为挑战,因此,采用一些结构化的方法来辅助实践者是非常重要的。每个案件都是独特的,可能有很大的差异,但它们都有一些共同的特征。虽然经验无可替代,但仍需要一些灵活且务实的框架,以确保检查能够有序进行。
恢复的数据量本身意味着需要使用最好的法医工具来完成检查。第六章,选择与分析数字证据,提供了法医工具的见解,这些工具用于提取和选择证据。它还将进一步描述出现的法医工具,这些工具减少了分析的单调性和耗费的时间,同时能够提取更多证据。法医检查中最令人兴奋的部分是知道在哪里寻找潜在证据,寻找什么,为什么它可能对调查至关重要,接着就是找到它。所有这些都需要经验,因为有许多盲区需要探索,尽管大脑是最好的法医工具,但在寻找和理解证据时,它也会感到疲倦、困惑和沮丧。对于经验丰富的实践者和新手来说,这些新工具确实在减少疲劳和急躁情绪方面产生了显著的差异,从而使检查更加完整和令人满意。
第六章。选择和分析数字证据
本章将介绍通过选择和分析数字证据的迭代和互动阶段,进行获取的数字信息数字取证检查的过程。它将概述与公认的取证标准一致的数字证据选择和分析的关键阶段。本章将讨论:
-
使用结构化过程浏览获取的取证图像,以根据合理的取证实践定位和选择证据
-
减少分析繁琐性和耗时的取证工具的出现,以及可以获取更多证据的工具
定位和选择数字证据的结构化过程
目前使用了多种数字取证检查模型,每种模型强调的调查过程阶段略有不同,且从业人员之间并没有统一认可的模型。我已经分析了每个模型的结构,并提出典型的数字取证检查可以分为证据恢复和保存阶段,然后是定位、排序、选择和分析已恢复的证据,这些证据可能支持(或反驳)法律论点。下一阶段是验证证据,确保其符合其声明的内容。最后阶段是将选择的证据以正式报告的形式呈现。这可能是提交给法律团队或调查员,或者可能是由从业人员在法律听证会上作证时展示。
检查通常是一个迭代过程,因为在最终结论之前,可能需要多次回顾各个阶段。例如,稍后可能恢复的另一台设备将需要数据恢复和数据保存,正如在第四章中详细描述的,恢复和保存数字证据。
恢复和保存传统上涉及设备的成像,并将数据以大宗存储在取证文件中,或更安全地存储在取证图像容器中,特别是 ILookIX .ASB 容器。第五章,增强取证工具的需求,描述了如何使用 ISeekDiscovery 自动化工具从设备或网络系统中的较大数据集中恢复更小、更易管理的数据集。无论是检查图像容器还是提取 ISeekDiscovery .ISK 容器中的信息,都应该能够概览恢复的信息,并形成对应证据类型的更清晰感知。使用结构化过程来定位证据,使得找到证据的确定性更高,而且比使用非结构化方法更轻松。
一旦获取,图像或设备可以进行搜索以找到证据。定位证据需要一定程度的分析,并结合执业人员的知识和经验。如第二章中所述,硬件和软件环境,证据可能存在于各种设备中,并且位于这些设备的不同位置。感兴趣的信息可能位于电子邮件文件夹中,包含对调查员有用的消息和附件。选择过程需要分析,随着新的线索出现,寻找更多证据的力度逐渐加强,直到最终完成全面的搜索过程。
搜索过程涉及对可能的证据进行分析,在此过程中,证据可能被丢弃、收集或标记以便后续重新检查,从而启动选择过程。必须强调的是,执业人员选择候选证据并不意味着它是有罪或无罪的证据——它仅仅意味着所选择的证据似乎与案件相关并能提供支持。这意味着证据支持或增强了法律论点或假设——案件的最终证据,例如被告使用计算机击打死者的头部,导致其死亡!一些理论家和实践者在他们的模型中明确界定了一个阶段,称之为分析,但这可能会有些令人困惑,因为分析是所有阶段的一部分,并不完全是一个独立的过程。
下图是我提出的一个简单模型,重点突出数字证据在调查和法律领域中的审查过程。调查过程的倒数第二个阶段是证据的验证,目的是确定其可靠性、相关性、真实性、准确性和完整性。最后一个阶段是将证据呈交给相关方,如调查人员、法律团队,最终是法律裁决机构。证据验证的详细内容请参见第九章,验证证据。一旦法律程序完成,数字证据容器和数字设备可能需要安全存储,直至任何审查或法律上诉的结果:
我的数字取证检查模型
以下子章节描述了证据搜索和选择的过程。
定位数字证据
从普遍存在的大型数据集中定位证据需要过滤掉多余的材料,直到最近,这主要是一个手动任务,需要从大量无关信息中筛选出有价值的部分。但重要的是清理繁忙操作系统和应用程序中的杂乱无章和噪音,因为只有少量的证据才真正需要提取。本节描述了实践者在寻找相关材料以协助调查时遵循的过程。
搜索过程
搜索过程包括在文件系统和文件内进行搜索;常见的文件搜索基于:
-
其名称或名称中的模式
-
内容中的关键词
-
时间数据(元数据),例如最后访问时间或最后写入时间
需要采取务实的方法进行检查,实践者需要创建一个关键词或搜索词的列表,从大量文件中提取特定的、具有证明力和案件相关的信息。ISeekDesigner 中的高级搜索词为实践者提供了高度的灵活性,以便定位证据,特别包括以下内容:
-
普通搜索
-
区分大小写的普通搜索
-
整词搜索
-
区分大小写的整词搜索
-
正则表达式搜索
-
不区分大小写的正则表达式搜索
-
通配符搜索
-
十六进制序列搜索
-
词首搜索
-
区分大小写的词首搜索
-
词尾搜索
-
区分大小写的词尾搜索
-
已禁用
哈希算法用于将文件的签名与包含恶意软件和儿童剥削材料的数据库进行对比。它还可以帮助在嫌疑计算机上定位与已知签名相符的文件。例如,尽管文件扩展名和名称被更改以隐藏伪造,但仍能通过使用文件内容的哈希值找到一个被伪造的文本文档,从而使得在一台计算机上找到并怀疑另一台计算机上的文件成为可能。
搜索桌面和笔记本电脑
下图显示了一台通过调制解调器连接到互联网的计算机终端。各种外围设备被连接:扫描仪、打印机、外部硬盘、闪存驱动器、存储设备、数码相机和手机。在办公室网络中,这将是一个更为复杂的系统。典型的家庭可能包括局域网以及各种用户和他们的数字设备。设备和互联网之间通过终端的连接留下了一系列的痕迹和日志记录,这些记录存在于终端、某些设备以及互联网中。电子邮件消息会在电子邮件服务器上被外部记录;打印机可能会保存打印任务的记录;外部存储设备和通信介质也会留下与终端相关的日志和数据。所有这些数据都可能有助于重构关键事件并提供与调查相关的证据:
典型的单终端网络
如果我们查看存储在终端上的数据,可能是桌面电脑、笔记本电脑或上网本,可能会在那里找到相关数据的痕迹。在以下图示中,我们从回收站恢复了一个已删除的 MS Word 文档,内容是对另一个人的死亡威胁。
预定的受害者报告称收到了一封来自嫌疑人的电子邮件,附件中包含一个 Word 文档,嫌疑人的电脑随后被没收以供检查。在这个假设情境中(基于一个实际案例),实践者的任务是定位电子邮件和附件的证据。这一简单任务可能会揭示电子邮件文件和附件,但它可能只会找到消息的痕迹:
恢复的证据物证与其他物证之间的关系
注
时间戳元数据的异常也可能会使关键事件的重建更加复杂。
在这种情况下,我们有一封电子邮件,可能与记录事件的其他文件存在多种关系,这些事件似乎与电子邮件相关,并且在相关的时间范围内。通过这个恢复的文件,可以基于相关的时间戳和附加文件的位置重建时间线。这将有助于更全面地选择有用的信息,以帮助分析证据链。接下来的证据选择小节将详细讨论这一点,但首先,实践者需要知道在哪里寻找有用的线索。
从这个简单而常见的情境来看,请注意文件并非孤立存在。存在相关的信息应该被定位——并且位于与电子邮件消息的创建和传输对应的时间段内。首先,寻找与电子邮件消息相关的其他信息是很有帮助的,这些信息可能有助于澄清:
-
消息创建和发送的时间
-
是否是在嫌疑人的计算机上创建并发送的
-
附件的创建位置
-
附件创建时间
-
创建该 Word 文档的用户身份
先前的图示突出了看似相关的事件,这些事件是基于已删除的文件和创建或修改这些文件的应用程序,这些事件如下:
-
被删除的电子邮件文件夹包含了被删除的电子邮件和附件
-
回收站包含了一个已删除的文件夹以及先前位于计算机桌面上的威胁性 Word 文档的已删除版本
-
Word 文档文件包含了与文件先前位置及其记录作者相关的元数据
-
链接文件(或跳转列表日志)指的是之前位于桌面上的同名文件在此文件夹中的位置
-
微软 Word 已安装,并且在最近的文档日志中显示了具有相同名称的文件的创建和修改记录
在计算机上创建、修改、传输或存储的文件通常会留下链接的痕迹,记录文件在设备上的存在。这些链接常常包含元数据,如作者、文件位置和时间戳,这些都可能有助于事件重建,并且它们确实有助于定位这些链接。以下截图展示了文件资源管理器窗格中的快速访问功能。在这个示例中,显示了计算机用户经常访问的文件夹。截图展示了文件夹和一个单独的文件,这是典型的默认设置。通过启动设备的取证镜像,可以轻松观察到这一点,并且不会污染原始设备上的证据:
Windows 10 快速访问功能
然而,这些数据自 Windows 7 发布以来就存储在跳转列表文件中,旨在帮助用户快速便捷地访问存储在计算机不同位置的文件和应用程序。在设备的物理检查过程中,可以通过 Windows 注册表访问跳转列表的详细信息,路径为HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_JumpListItems。
这些 Windows 专有文件,被称为对象链接和嵌入(OLE),用于嵌入和链接文档及应用程序,以便快速检索,通常位于 Windows 10 的文件夹中,如C:\Users\LCDI\AppData\Roaming\Microsoftg\Windows\Recent\。
跳转列表被分为两个目录:
-
AutomaticDestinations:这些是由操作系统和其他默认应用程序创建的,包含
DestList流,记录最近或最常使用的文件。 -
CustomDestinations:当用户将应用程序固定到任务栏或开始菜单时,会创建这些文件,例如,在 Windows 10 中。
仔细分析这些文件有助于确定文件被访问的次数和具体日期。以下截图显示了任务栏上 Microsoft Word 的跳转列表,列出了固定文件和最近访问的文件:
显示最近使用的文件的 Word 文档跳转列表,位于任务栏上的应用程序
下一张截图展示了一个 Word 文档文件,提供了文档的一些背景信息、创建和最后修改日期、作者及文件位置——这些都是有助于事件重建的潜在有用证据,如果你知道在哪里查找:
存储在 Word 文档中的文件元数据
以下截图显示了同一页面中的一个小菜单标签,允许检查文档以搜索隐藏的属性或个人信息。该工具查找可能包含不可见信息或已被格式化为不可见的嵌入文档:
文档检查菜单
文件,在此示例中是 Word 文档,可以通过打开相关文档标签页找到,如下所示:
相关文档标签页–查找 Word 文档的文件夹位置
重要的是要确定计算机上的其他活动是否能够识别特定用户在创建和发送电子邮件及附件时的身份。例如,前面的截图表明了恢复的证据与相互验证的证据之间的关联。关键是要证明在相关时间段内发生或可能发生了这些附加事件。Windows 10 有大量指向频繁和最近使用文件的链接,如下面截图中的智能屏幕功能所示,其中显示了指向 Yahoo! Mail 帐户的链接和一些最近访问的网站:
启动表单显示常访问网站的列表
使用逻辑检查过程(启动镜像),我们可以看到,在下面的截图中,曾在计算机桌面上的一个已删除文件被放入了回收站。右键单击文件可以看到文件的创建和删除日期:
以下截图显示了 Mozilla Firefox 浏览器历史,列出了许多访问过的网站。此功能在大多数浏览器中作为默认设置启用,但如果用户选择了隐身模式浏览,则会停用该功能,以避免留下历史日志:
Mozilla Firefox 浏览历史
这张截图显示了从 IE 浏览器历史中恢复的类似历史列表:
IE 浏览器历史
有时可能无法启动取证镜像并以其逻辑格式查看,这种格式对于用户来说更容易理解且更为熟悉。然而,以取证镜像中的物理形式查看数据,可以提供未更改的元数据和文件,这些数据和文件提供了关于应用程序和文件的准确信息。具体来说,正如下面的截图所示,可以查看存储在取证文件容器中的历史记录和搜索记录容器:
恢复的容器列表,包括浏览器历史数据库
ILookIX 已经恢复并解构了容器,显示了其内容,如下截图所示。此情况下的内容是电子表格(.CSV 文件),可以使用 ILookIX 查看或导出以供进一步分析,并在审判中作为证据呈现。文件和文件夹的路径以及在成像时的时间戳也已列出。以逻辑环境查看文件的缺点是,启动和使用各种应用程序的过程会改变元数据。
即使图像是写保护的,任何此类更改也是非持久性的,显示的视图也显示了当前对元数据的修改,并删除了原始时间戳。例如,最后访问的日期将在文件被打开后更改为当前查看文件的时间:
从浏览器历史记录数据库中提取的电子表格和内容列表
执业者应该了解违规行为的性质以及一些关键“角色”。案件可能集中在电子邮件或聊天消息上,或者可能与嫌疑人的浏览活动等相关。如果在检查 Skype 通信时,定位记录聊天日志的数据库文件非常有帮助,通常这些是 .CSV 电子表格文件。该文件是 main.db,通常位于特定用户的目录文件夹中。
这里显示的简短摘录提供了使用的 Skype 账户名称、每条消息的时间戳以及内容的详细信息:
从 Skype 数据库提取的消息对话电子表格——经过严格筛选
明智的做法是假设账户的使用者不一定是账户的所有者。要确认当时使用应用程序的人的身份,可能需要一些有力的佐证。例如,用户的身份可以通过设备与其他数字设备的三角定位来确认。这可以通过追踪用户的手机数据来实现,证明手机与用于与他人通信的计算机处于相同位置。
其他案件涉及恢复在通信中披露的个人信息,这些信息已被记录在对话日志中,只有通信者或少数亲密的朋友或亲属知晓。用户的身份可以通过在相关时间见证用户操作键盘并在计算机显示器上观察 Skype 通信的其他人在场人员来确认。Skype 及其他消息系统,如 Kik 和 Whatsapp,是潜在的丰富信息来源,这些信息可能存储在计算机和手机中。视频片段、图片、音频、文本和语音通话都可能与这些广泛使用的应用程序相关联。
下一张截图显示了从 MacBook Air 中恢复的电子表格,其中提供了交换消息的详细信息以及涉及的用户帐户名称。MediaDocuments文件提供了两方对话中交换的非法图片的详细信息,这些图片后来从回收站中恢复出来:
从 MacBook Air 中提取的 Skype 数据库中的电子表格
选择数字证据
审查过程的下一个阶段是选择并分析将成为法律案件一部分的证据。对于不熟悉调查的人来说,错误解读现成证据并得出错误结论是很常见的。商业经理在分析他们认为的案件事实时,明智的做法是寻求法律帮助,选择并评估他们可能希望作为案件基础的证据。
选择证据,通常称为分析阶段或事件重建阶段,涉及对已找到证据的分析,以确定系统中发生了哪些事件以及这些事件对案件的意义和证明价值。选择分析阶段要求执法人员仔细审查现有的数字证据,确保他们不误解证据并在没有仔细核对信息的情况下做出轻率的假设。这是一个事实发现过程,旨在构建一个合理的事实重建。与调查和法律团队合作,以确保选择相关且具有证明力的信息,可能是一个便捷的做法。
与传统犯罪调查类似,执法人员应寻找表明或暗示嫌疑犯的动机(为什么?)、手段(怎么做?)和机会(何时?)的证据。在依赖数字证据的案件中,确定这些因素可能是一个棘手的过程。然而,执法人员需要意识到,在寻求明确犯罪的三个基本要素时,同时保持中立和冷静,对嫌疑犯是否有罪保持不偏不倚。
寻求真相
在调查过程中,执法人员的主要角色之一是寻找支持初步假设的证据,但同样重要的是寻找反驳假设的证据。这也被称为无罪证据。需要强调的是,出于公正的考虑,即使是最处于困境中的执法人员也必须始终牢记这一要求,并在任何情况下遵守它。
执法人员寻求定罪,常常专注于选择最容易获得的证据。这被称为挑选“低垂的果实”,是一种选择性、偏向性的做法,有时会导致发现一些可能挑战其他证据的重要证据。任何值得在法庭上提出案件的检察官,都会寻找控方案件中的弱点,主要作为防止反击的策略。为了确保公正,控方所获取的与案件相关的所有证据必须与对方共享。对于辩方来说,是否需要回应这些证据在不同司法管辖区之间有所不同,依据的是对抗性法院程序——即控方必须证明被告有罪,而不是被告需要证明自己的清白。
审判日益依赖数字证据,并且已有记录表明无辜者被定罪,因此需要高度确认证据的有效性。更多细节可以在第九章中找到,验证证据。
在此过程中需要有一定的秩序,而不是采取随意的方法。重要的是定义所搜索证据的一般特征,然后在数据集合中寻找相关对象。例如,如果正在搜索图像文件,比如 JPEG 文件,调查员会寻找所有扩展名为.jpeg的图像文件。在前面提到的涉及恢复含有非法图片的 Skype 聊天消息的案例中,附件被保存后删除,最有可能是为了防止被发现。在下一张截图中,恢复了从用户受保护和隐藏文件夹中删除的 PNG 格式图片样本。由于文件名包含每个文件保存到 MacBook Air 时的日期和时间,它们被轻松识别。这些时间戳与聊天消息日志相关联,用来更全面地重建这些通信。这是一个间接但有力的关系,为此案的公正结果提供了重要支持:
从嫌疑人隐藏文件夹中恢复的图片截图
随着调查的深入,调查员会发展出关于犯罪性质和可能嫌疑人的各种假设。调查员寻找能够支持或反驳有关事件假设的数据。例如,时间戳在大多数系统中可能会被更改;因此,寻找日志条目、网络流量和其他与嫌疑计算机相关的内外部事件是非常有帮助的。然后可以使用这些信息来三角定位与整个调查相关的数据的准确性和可靠性。
对证据的审查涉及使用可能大量的技术手段来寻找和解释重要数据。这可能需要以保持数据完整性和潜在有用性的方法修复或恢复损坏的数据。执业者必须时刻意识到,证据能够将假设与毫无根据的断言区分开来——它可能证实或驳斥一个假设。因此,可靠性和完整性是其在法庭上可接受性和权重的关键,且在选择过程中必须加以重视。
潜在嫌疑人往往过多,而将某个嫌疑人与犯罪事件联系起来并不总是像看起来那么直接。下图展示了一个典型的家庭网络设置,使用 Wi-Fi 连接家庭调制解调器,从而连接到互联网。在这个真实案例中,父母为自己和另外三名家庭成员提供了宽带服务。一个孩子的朋友在孩子的电脑上完成了大学作业,并将他们的 iPad 同步到孩子的设备:
一般家庭网络的复杂性以及确定犯罪者身份
这个场景容易被利用,因为其他家庭成员和朋友在访问住宅时可以不受限制地访问孩子的电脑,并通过这些设备接入互联网。Wi-Fi 连接也容易被劫持,外部恶意攻击者能够访问并控制这个小型本地网络。假设某台设备包含犯罪数据,必须提出的问题是:它是如何进入的?是谁放在那里?可能的动机是什么?
对于传统的犯罪行为,犯罪行为或事件通常是显而易见的——有尸体、有盗窃,或者至少有可以处理的投诉,通常还会有一份潜在嫌疑人的名单,依据这些标准:
-
谁认识受害者?
-
谁曾物理接触过现场?
-
谁有动机?
例如,互联网可能会根据连接情况提供超过 7 亿个潜在嫌疑人。在这种情况下,不应假定持有含有犯罪数据的电脑或其他家庭成员是唯一的嫌疑人。显然,这是一个自然且直观的假设,但如果能证明其他人在相关时间内也能接触到该终端,这一假设就会变得危险。
在选择过程中,有时很难确定犯罪行为。以下是一些例子:
-
在网络犯罪中,事件的性质通常不那么明显且立即显现
-
如果黑客窃取了机密信息,受害者可能根本不知道被盗了哪些内容
-
受害者通常依赖系统管理员来获得信息
-
管理员可能直到事件发生很久之后才会发现——如本章最后的案例研究所示
-
身份盗窃诈骗是增长最快的金融犯罪,可能需要多年才能被揭露。
从业人员在选择证据时还应考虑其质量,并注意数字证据通常是间接的,且往往涉及大量可能与调查无关的数据审查。除非有充分的证据支持,否则它很少能单独提供足够的证据来证明罪行或无罪。
下一节将介绍有助于证据选择过程的新兴工具。
更有效的取证工具
有多种取证工具可以帮助从业人员选择并整理数据以进行审查、分析和调查。即便是个人电脑的混乱数据,也可能是一个耗时且复杂的排序过程。随着数字取证领域的发展,更好、更可靠的取证工具正在不断开发,以帮助从业人员从更大、更复杂的数据集中定位、选择和整理证据。需要指出的是,许多情况下涉及的不止一台设备,这些设备也需要进行审查。这无疑增加了整体取证检查的挑战。
以下小节展示了如何通过一系列管理过程来组织数据。
分类文件
在不同程度上,大多数用于查看和分析取证镜像或附加设备的数字取证工具都提供了有助于定位和分类与审查相关信息的用户界面。
提供文件访问和便捷查看的最先进应用是 ILookIX 中的类别浏览器功能,如此截图所示;它通过类型、签名和属性来划分文件:
ILookIX 类别浏览器
类别浏览器还允许从业人员创建自定义类别,称为我的类别,以按相关性对文件进行分组。例如,在涉及阴谋的刑事调查中,从业人员可以为第一名嫌疑人创建一个类别,为第二名嫌疑人创建一个类别。在审查文件时,它们会被添加到一个或两个类别中。与标签不同,文件可以添加到多个类别中,且类别可以使用描述性名称。
要将文件或文件组添加到分类中,实践者可以按需选择一个或多个文件在文件列表中。选择保存选定文件到分类按钮后,将弹出我的分类窗口。以下截图显示了当前所有现有的分类(包括在初始案件创建过程中创建的分类);审查员可以选择添加新的分类或删除冗余的分类。在此截图中,选定的要加入分类的文件是 Skype 消息文件。我的分类文件夹可以方便地在分类资源管理器窗口中查看和访问,允许实践者选择、编辑、取消选择,并在案件准备过程中将文件导出:
ILookIX 我的分类功能
在证据选择过程中,常常会找到一些令人垂涎的信息,但后来忘记了它们的具体位置,导致花费大量时间试图重新找到它们并跟进可能提供的重要线索。将可能相关的文件添加到应用程序中的不同容器中,可以减少不必要的重复操作。它还为实践者提供了将有趣的片段信息进行分类以便未来分析的机会。这避免了在选择过程中因过早关注可能分散注意力的有趣线索而影响到对关键证据的正式搜索。
消除多余的文件
在大量位于计算机上的文件中筛查证据的前景,可以与“无法看见森林中的树木,更别提看到任何木材(证据)”相提并论。计算机通常会存储相同文件的重复、三重或更多版本,这些文件往往散布在系统中的各个隐蔽角落。没有内容或零长度的文件也增加了杂乱;通过隐藏这些文件来消除它们,可以显著减少需要手动或通过自动化应用程序搜索的文件数量。
以下截图所示的 ILookIX 数据减少功能,可以将文件从视图中消除,但这些文件并未被销毁,可以随时返回案件中。当文件处于已消除类别时,它们将不会出现在任何列表中,且诸如索引、哈希和搜索等处理将不会对其进行。ILookIX 允许通过多种方式消除文件。这些方式包括运行哈希消除或哈希去重处理,或根据文件类型或路径手动消除文件。文件消除通常用于在处理前从映像中移除文件以加速处理,也可用于抑制重复文件。哈希去重可在审查前使用,确保审查员仅获得每个感兴趣文件的一个副本,而不是多个不同名称下的相同副本:
ILookIX 数据压缩功能
ILookIX 的哈希集管理器允许检查员审查加载的哈希集,并确定每个哈希集是否用于文件删除、哈希搜索或两者兼有。其哈希删除功能将案件中所有已哈希的文件,与选择用于删除的哈希集的所有哈希值进行比较,并将匹配的文件转移到哈希删除文件/电子邮件类别。哈希去重功能会将案件中所有已哈希的文件,与它们的哈希值进行比较,并将每个文件保留一份,其他重复的文件移至哈希删除文件/电子邮件类别。
一旦文件进入此类别,它们将不再出现在任何文件或电子邮件列表中,除非检查员选择哈希删除类别来查看文件,或者选择某个文件并恢复该文件。
解构文件
可解构文件是复合文件,可以进一步拆解为更小的部分,例如电子邮件、归档文件、缩略图存储和其他文件。一旦解构完成,这些文件将被分类为解构文件或解构失败文件。ILookIX 内置的文件解构功能允许实践者在处理图像或附加设备时解构各种复杂的文件,如下所示:
ILookIX 数据解构功能
注意
文件解构涉及处理复合文件,如归档、电子邮件存储、注册表存储或其他文件,从复杂的文件格式中提取有用的可用数据并生成报告。手动解构会显著增加完成检查所需的时间。
查找文件
根据映射的镜像类型和所选选项,可能需要相当长的时间才能将数据提供给检查员。最耗时的选项包括哈希、索引和恢复。根据检查的目的,应该权衡这些活动所消耗的时间与未来节省的时间。例如,哈希处理可以显著减少检查员需要审查的多余文件数量。索引则在需要进行多次关键字搜索的几乎所有检查中节省时间。
注意
索引是将数据块编目处理的过程。它是生成文本字符串表的过程,这些表可以几乎即时地进行多次搜索。
索引的两大主要用途是创建密码破解时使用的字典和为几乎即时搜索索引单词。索引在创建字典或使用 ILookIX 内置的任何分析功能时也非常有价值。ILookIX 支持在初始处理时一次性对整个媒体进行索引,也可以在处理后进行。索引有助于搜索文件和归档、Windows 注册表、电子邮件列表以及未分配空间。此功能可以通过设置选项进行高度自定义,并可以针对搜索优化或创建用于密码破解的自定义字典。
声音索引确保快速和准确的搜索。搜索是查看证据中特定项的过程,如一段文本或一个表达式。在搜索中,表达式是用于结构化数据的模式,例如信用卡号或电子邮件地址。ILookIX 提供了全面的搜索范围,包括关键字搜索,简单地查找磁盘上特定字符。
这种类型的搜索如果不先将复合文件解构为其组成部分,则会遗漏复合文件中的文件,即 PST 中的邮件或压缩文件中的.docx和.xlsx文件。已索引的搜索非常快速可靠,因为先前的索引过程消除了对整个驱动器或镜像进行重复和耗时的搜索的需求。
ILookIX 的搜索历史视图显示了案件中进行的所有搜索的历史记录,并允许调查人员将任何历史搜索的结果在稍后的时间发送回 ILookIX 的列表窗格,如下一张截图所示。本节后面将展示搜索结果和找到的文件示例:
ILookIX 列表窗格显示各种搜索结果
事件分析工具
ILookIX 的事件分析工具为实践者提供了主题系统事件的图形化表示,如下所示:
-
文件的创建、访问或修改时间
-
发送或接收的电子邮件
-
其他事件,如 NTFS 系统上的主文件表修改
图表本身显示了以下内容:
-
X轴上的时间(以月为单位) -
Y轴上的项目数量
事件按事件类型进行颜色编码,每种事件类型的总数显示在该月事件的条形图上,如下所示:
ILookIX 事件查看器显示选择日期之间的事件
该应用程序允许用户缩放图表上的任何点,以查看更具体的细节,如下所示:
ILookIX 事件查看器显示最后访问的时间
在图表上的任何条形上单击左键,将返回主 ILookIX 窗口,并在列表窗格中显示所选日期条目的项目。以下截图展示了这种结果的一个示例。这对于分析特定时期的事件非常有帮助:
ILookIX 事件查看器显示提取的文件以供审查
云分析工具
嵌入在 ILookIX 中的云分析工具是一个视觉化表示,展示了单个词汇在案件中出现的频率。分析基于当前的索引数据库,因此在进行分析之前,执业人员必须先对案件数据进行索引。该分析以数据云的形式呈现,去除了底层分析的复杂性,并为执业人员提供了一个易于理解的分析图像。
在云分析查看器的右上角部分,如下图所示,有一个高亮列表,帮助将案件中的词汇组织成易于记忆的类别。这样,分析结果能够立即引起执业人员的注意,无需额外努力去查找:
ILookIX 云分析正在搜索相关术语
云分析具有多个功能,旨在简化分析过程并将与案件相关的数据呈现出来。由于它是基于索引数据并且只需要简单点击就可以启动,功能问题是唯一需要描述的问题。由于生成的显示是一个交互式图示,用户可以通过逐个左键单击词汇来与选择项进行交互。然后,可以通过双击该词语来启动对该词汇的搜索。
在下面的示例中,选择的搜索词是烟花:
"烟花" 词语的云分析搜索结果
选择该搜索历史记录条目将显示包含该术语的所有对象的文件列表响应,如下图所示:
"烟花" 词语的搜索结果
领导分析工具
领导分析工具是一个嵌入在 ILookIX 中的交互式证据模型,允许执业人员将已知事实汇总为图形化表示,直接关联未见对象。它提供了答案,随着执业人员增加设计表面的细节,特定的关系也将呈现出来,否则这些关系可能被忽视。
引导分析的主要目的是帮助发现案件数据中那些可能不明显或直观的链接,且实践者可能没有直接意识到,或者缺乏相关背景知识来帮助手动建立这些关系。与其找出并记下各种信息,不如通过易于使用的链接模型展示分析结果。建模的复杂性被去除;我们得到了最清晰的发现方法。分析基于当前的索引数据库,再次提醒,进行分析前必须先对案件数据进行索引。
应用程序界面初始时会是空白的,如下图所示。分析对话框的中心是画布:这是证据链路的主要建模区域。左侧是引导对象部分:这些对象可以拖到画布上,用于为分析设置起始点或手动建模连接。右上角是潜在链接列表。右下角是跳过列表。这是一个全局跳过列表,应用程序也会使用它:
ILookIX 引导分析
第一个任务是陈述一些关于案件的事实,并以这些事实作为分析的起点。这些事实可以通过在画布上建立起始点来陈述,方法是将引导对象从“引导对象”部分拖动到画布上。然后,用户可以选择一个代表相关信息或概念的引导对象,并将其拖到画布上。接着,点击该对象的文本标签,它会切换到编辑模式,并将默认文本替换为与该引导相关的内容,如某人的姓氏。右键点击头像,再点击查找链接,会列出与头像名称相关的词汇,如下所示:
ILookIX 引导分析创建头像节点
一旦生成了潜在链接列表,就需要审查这些链接,看是否有潜在的相关链接。通过高亮显示相关链接并点击潜在链接的迷你工具栏上的绿色链接转移按钮,可以查看目录中是否包含这些链接。在以下截图中的示例场景中,找到了离婚一词,因为已知Sarah与计算机所有者(初步嫌疑人)离婚。通过左键单击某个词并点击绿色箭头将其与Sarah连接,如截图所示,可以揭示出一些在首次检查数据时并不明显的关系:
ILookIX 引导分析创建关系链接
一旦Lead Objects开始,就可以通过右键点击Lead Object并使用Find Links功能开始发现。如果存在任何链接,它们将显示在潜在链接列表中。如果没有找到链接,可能需要修改主对象的文本或从迷你工具栏的下拉框中增加猜测级别,如下所示的屏幕片段所示。在正常使用中,最好将猜测级别保持为无设置:
ILookIX Lead 分析设置猜测级别以搜索线索
每个已声明的事实都会成为画布上的一个起始线索。如果节点之间存在关联,可以通过手动将它们连接在一起来建模这种关系,方法是选择第一个要连接的Lead Project,右键点击并从菜单中选择添加新端口。然后对第二个要连接的Lead Object重复这一过程。通过简单地点击选定对象的新端口,将其拖动到应链接的Lead Object的端口上,一条连接两者的线将会出现。然后,可以使用每个起始节点或已发现节点反复执行此过程,直到能够理解整个案件数据。以下示例展示了嫌疑人、地点甚至概念之间的简单关系:
ILookIX Lead 分析发现各实体之间的关系
在更复杂的案件中,这使得从业者能够比手动搜索更有效地定位和分析关系。然后可以查看支持该模型的文档,以获取更多信息,正如以下截图中显示的文件命中数所示:
ILookIX Lead 分析发现的关系命中在文件命中(448)和电子邮件命中(20)中找到
以下截图展示了使用Lead 分析获得的部分关系命中结果:
ILookIX Lead 分析发现的文件来自关系
分析电子邮件数据集
从大型电子邮件数据集中分析和选择证据是从业者的常见任务。ILookIX 的嵌入式应用程序电子邮件关联分析是一个交互式证据模型,旨在帮助从业者发现电子邮件数据中发件人之间的关联。该分析呈现为一个易于使用的链接模型;去除了建模的复杂性,提供了最清晰的发现方法。分析结果会在建模会话结束时保存,以便将来进行编辑。
必须理解的一个重要概念是 ILookIX 支持的所有电子邮件类型的同质性。所有电子邮件客户端的解构都成为相同基本浏览器电子邮件概念的一部分。这消除了客户端之间的差异,使得电子邮件关联分析等功能可以在一个新的、更易用的界面中进行分析和探索。这更容易解读复杂的电子邮件关系。它允许在向导案件加载过程中解构电子邮件,或者提供逐个或分组解构的选项。无论哪种方式,界面都提供了一个对象模型,涵盖了所有互联网电子邮件项目的特性,使用适用于所有互联网电子邮件发送/接收客户端的 RFC 标准。
如果需要处理大量电子邮件,则生成分析可能需要几分钟。为了使分析结果更易读,在首次使用该工具时,建议只选择一个或几个电子邮件存储进行分析。一旦生成分析,用户将看到电子邮件之间的联系。此时,可以看到通信者之间的线条,表示他们之间有某种关系。特别是,线条的粗细表示两个通信者之间的通讯频率,因此,较粗的流线表示更多的通讯。
该应用程序允许通过点击其名称旁边的复选框来选择电子邮件存储。在画布上,一旦分析生成,用户可以通过左键点击选择任何电子邮件收件人节点。创建分析非常简单,其中一个最直接有价值的资源是群体识别,如下所示的截图所示。ILookIX 将启动对该收件人的搜索,并列出所有该收件人参与的电子邮件。用户可以通过点击收件人节点并拖动到另一个节点来创建自己的连接线。节点可以被删除,从而允许在较小的群体之间建立联系:
电子邮件关联工具显示与案件可能相关的关系
检测扫描图像
搜索扫描图像是一个可以帮助文件认证或检测伪造文件的过程。它可以通过ILookIX 检测扫描图像应用程序完成。结果可以在类别浏览器中查看,如下所示的截图。第三章,数字证据的性质和特殊属性,以及第五章,需要增强法医工具,中的案例研究包括了对扫描文件证据的搜索:
ILookIX 类别浏览器中可能的扫描图像列表
扫描文档也显示在文件列表查看器中,如下图所示:
显示与案件可能相关的关系的电子邮件关联工具
卷影副本分析工具
卷影副本,也称为卷快照服务(VSS),是一项创建文件时间点副本的服务。该服务内置于 Windows Vista、7、8 和 10 版本中,并且默认启用。ILookIX 可以从卷影副本中恢复被覆盖文件的真实副本,只要它们在创建快照时已经存在于该卷上。VSS 恢复是一种从系统上可用的卷快照中恢复现存和已删除文件的方法。这是定位以前无法访问的数据以协助调查的宝贵资源,正如本章末尾案例研究所示。
与其他法医工具不同,ILookIX 能够在差异化或完全恢复模式下以可读结构重建 VSS 副本,包括 VSS 和已删除的文件和文件夹。无论哪种选项,都可以在工具的映像加载窗口中选择,如下图所示:
选择了差异化记录的 ILookIX 卷影副本快照工具
在下图所示的测试场景中,工具总共恢复了 87,000 个文件,等同于传统工具的恢复率。使用 ILookIX 的Xtreme 文件恢复,恢复了约 337,000 个文件。最大完全卷影副本快照应用程序恢复了总计 778,000 个文件。通过差异化过程,恢复了 354,000 个文件,这过滤出了 17,000 个额外文件以供进一步分析,如下图所示。这使得电子邮件消息和附件以及 Windows 注册表的更改得以检测到,这些通常是隐藏的或难以找到的:
显示不同搜索结果的 ILookIX 卷影副本快照工具
差异化 XFR-VSS 记录仅报告那些在每个记录之间有差异(即使是一个文件)的 VSS,以加速证据材料的识别。删除的快照被恢复并进一步解构,从原始 30GB 硬盘中恢复了超过一 TB 的压缩数据——信不信由你!
时间线和其他分析工具
时间线通常用于重建给定时期的事件顺序。然而,它们可能变得过于密集,并且覆盖很长时间段,因此需要考虑制作更具可读性的图表。例如,整体重建可以通过简单、简洁的图表来展示关键事件等。每个主要事件节点可以作为单独的图表展示,并与相邻事件有所关联。
以下图示展示了一起涉及两名嫌疑人和一些电子交易及电子邮件的真实银行诈骗案件的简单重建:
使用 Timeline Maker Pro 制作事件时间线
时间事件图表旨在纠正这些不足,流程图也有助于解释复杂的过程。当遇到一个复杂的方案或一个不熟悉的过程时,流程图有助于事件的可视化。
这些模型超出了本书的范围,但值得作为任何从业者分析工具包的一部分进行融入。
案例研究 – 说明如何恢复保存在卷影中的已删除证据
该案例研究涉及一家新兴企业,为一系列矿业勘探公司提供专业技术服务。该企业失去了多名技术专家,这些专家转投了一家竞争对手公司,且企业的市场份额出现下滑。人们怀疑离职的员工可能窃取了一些专有知识和技术,并随后将其分享给了竞争对手。一项对企业服务器及离职员工使用的计算机终端的法医检查被启动,以确定是否发生了某种形式的工业间谍活动或破坏行为。
除了 CEO 的直觉认为可能有不正当行为发生外,几乎没有其他线索,便对前员工的计算机终端和外部存储设备进行了搜索,以寻找可能的不当行为证据。从逻辑上讲,员工的电子邮件被认为是一个不错的起点,但检查仅恢复了他们对公司不满和蔑视的内容,以及计划跳槽到竞争对手的消息。然而,电子邮件确实提供了前员工与竞争对手公司联系人之间的联系细节,从中可以进一步发展出新的线索。
注意到一个 Dropbox 账户已被安装并使用在其中一位前员工的计算机上。该应用已被使用,并包含多个同步的文件夹,显然这些文件已上传到该员工的在线账户。大部分文件似乎是个人和社交性质的,且与调查无关。然而,有一个名为Calibration.rar的大型已删除的压缩档案文件,大小约为 4 GB,看起来是技术性质的。该文件在初步检查时无法打开,可能需要一些专业的恢复技术,前提是该文件没有严重损坏。
CEO 被告知文件的位置,并被询问文件的重要性以及 Dropbox 账户为何出现在该员工的终端上,这似乎是一个令人震惊的安全操作。该文件似乎是与业务操作至关重要的技术校准的基本记录,随后得知:
-
包含数据的文件夹在公司服务器上存储不安全,但在大约同一时间出现在员工的终端上时就已被移除。
-
服务器的安全性差,导致所有用户都能访问并可能破坏和窃取任何数据,且未记录事件。
-
除非能够恢复数据,否则公司面临严重的运营问题,可能会导致关闭。
看来档案文件夹是作为故意破坏行为被移除的,同时也导出了员工的 Dropbox 文件夹用于其他目的。随后对员工电脑进行了“深度清洗”,ILookIX 恢复了 12 个 VSS 文件夹,其中一个来自较早时期,提供了可读的档案文件副本。该文件未设置密码保护,CEO 检查后确认其中包含了对公司运营至关重要的丢失数据,且数据完好无损。文件在以下截图中突出显示,它是从 Dropbox 同步帐户中恢复的:
从存储在卷影快照中的 Dropbox 文件夹恢复的数据
虽然公司在短时间内成功找回了珍贵的数据,但关于公司未能保护其重要电子资产的以下几点仍需注意:
-
公司并未意识到档案丢失,若不是在检查过程中被恢复,几周内可能都无法得知其失踪情况。
-
服务器和终端没有密码保护,且没有有效的备份来保护和保存关键数据
-
数据访问管理未进行任何安全审计。
-
办公场所的物理防护措施不足,增加了公司整体的脆弱性。
-
网络管理员是 CEO 的朋友,且网络安全能力较差,是一个业余爱好者。
盗窃和恶意破坏电子信息的证据,以及针对前员工的民事诉讼证据已被确认。由于缺乏任何有效的信息安全管理系统,基于较少的信息进行有意义的搜索受到了阻碍,发现安全漏洞和恢复证据大多依赖于直觉。涉及恢复被盗数据和指向特定嫌疑人的证据的这种有利结果并不是常见的结局。令人遗憾的是,业务在信息安全方面依然不足,显然未从过去的错误中吸取教训。
摘要
本章更详细地描述了定位和选择证据的过程,作为一个通用过程进行说明。它还进一步解释了数字证据的性质,并提供了其在支持法律案件中的价值的示例。展示了各种先进的分析和恢复工具,展示了技术如何加速并提高证据定位和选择过程的效率。其中一些工具并不新颖,但已得到增强,而另一些则具有创新性,能够寻找通常对从业人员不可得的证据。
大多数笔记本电脑、台式机和基于网络的计算机使用 Windows 操作系统,本书的本章及前几章已经对其进行了不同程度的详细介绍。第七章,Windows 及其他操作系统作为证据来源,将概述 Windows 注册表、系统文件和日志,并介绍 VSS 恢复作为数字证据恢复和分析的一种资源的额外好处。它将详细描述常见的其他操作系统,包括 Apple 和 Linux。本章还将涉及远程访问、恶意软件攻击以及反取证的普遍性和挑战,这些都妨碍了证据的恢复和识别。
