数字取证实践指南-全-
数字取证实践指南(全)
原文:
annas-archive.org/md5/0bf21febc8db41989be66ed4cb38509d译者:飞龙
前言
本书将为您提供清晰的数字取证理解,从它作为取证学一个相对较新的子学科的出现,到它与更为成熟的取证学科一起,迅速增长的重要性。它将帮助您清晰理解数字取证实践者的角色,以及他们在网络犯罪和企业环境中恢复犯罪证据和民事违法行为证据的关键工作。通过真实案例研究,您将了解许多案件典型的复杂性,以及数字证据分析给实践者带来的挑战。
在过去的十年左右,数字取证作为高等教育课程的一部分以及执法和企业调查中的职业路径,受到了越来越多的关注。为了应对日益增多的依赖数字证据的案件,新的技术和取证流程应运而生。然而,越来越复杂、庞大的案件数量带来了问题,实践者面临资源和成本限制,同时还缺乏经过良好训练和有经验的人员。本书将描述这些挑战并提供一些解决方案,希望能帮助并赋能当前和未来的实践者在未来更有效地解决问题。
对于那些希望提升自己在恢复证据和帮助法律界理清重要发现方面的技能和经验的实践者来说,当前是一个既兴奋又充满挑战的时期。对于那些希望进入这一学科的人来说,他们正处于一个平庸、自满和疲劳令人失望地普遍的时期。进入这一行业的热情很可能会因单调和繁重的案件工作量而迅速消退,尽管这项工作的本质本身是激动人心且重要的。本书展示了减少单调和时间浪费的新的、更有效的方式,帮助实践者重新焕发活力,并恢复在追寻证据过程中的兴奋感,迎接充满新变化的希望之风。
本书内容
第一章,数字取证的角色及其环境,描述了数字取证环境——一个在广泛的取证科学领域内新兴的学科。它概述了刑事和民事法律案件中的主要数字取证环境,并描述了数字取证实践者的角色。
第二章,硬件和软件环境,介绍了计算机硬件、操作系统和应用软件的基本工作原理,并描述了恢复的数字证据的性质。书中还简要介绍了文件系统以及在取证检查过程中常见的文件,并深入探讨了文件加密和密码保护。
第三章,数字证据的性质和特殊属性,描述了数字证据的特殊特性,包括文件的性质、文件元数据和时间戳,这些构成了重建涉嫌犯罪事件的关键部分。本章介绍了数字证据的复杂性,并解释了法院对其在法律听证会中可采纳性的期望。
第四章,数字证据的恢复和保存,解释了根据法律惯例保存数字证据的重要性。它描述了法医恢复过程和用于在不同取证条件下无不当污染地获取数字证据的工具。
第五章,对更强大取证工具的需求,强调了传统法医影像和日益增大的数据集索引的冗余性,并介绍了新的法医过程和工具,以帮助更有效地恢复证据并更好地利用资源。本章介绍了当前挑战既定数字取证应对方法的颠覆性技术,以及对法医专家的过度依赖,法医专家们本身正面临着更繁重的案件负担和更大、更分散的数据集。
第六章,选择和分析数字证据,介绍了通过选择和分析可能用于法律程序的数字证据的迭代和交互阶段来进行数字信息的数字取证检查的结构。本章介绍了符合可接受取证标准的数字证据选择和分析的各个阶段。
第七章,Windows 及其他操作系统作为证据来源,帮助你理解计算机上处理的信息的复杂性和性质,这些信息对于法医检查至关重要。本章考察了典型的 Windows、Apple 及其他操作系统的结构,以便重建与恢复的数字证据相关的关键事件。它还涉及了恶意软件攻击以及违反者使用反取证策略所遇到的问题。
第八章,检查浏览器、电子邮件、消息系统和移动电话,探讨了互联网浏览器、电子邮件和消息系统、移动电话及其他手持设备,以及定位和恢复与个人通讯记录相关的数字证据的过程,例如电子邮件、浏览记录和手机记录。提到了提取和检查存储在计算机和手机中的重要人物之间通讯的价值。
第九章,验证证据,强调验证数字证据的重要性,确保尽可能全面地检查证据,以测试其真实性、相关性和可靠性。讨论了一些常见的陷阱,这些陷阱会降低数字证据的可采性,以及证据的证据价值或权重,同时也讨论了对证据进行开放性和无偏见测试和检查的必要性,作为日常事务。数字证据的呈现以及法务专家的角色在本章中有所概述。
第十章,增强从业者和其他利益相关者的能力,总结了本书内容,并回顾了目前学科内发生的变化。提供了一些新的过程和工具,这些工具能提升从业者的工作效率,减少每个案件的处理时间,同时帮助解开分析大型数据集的复杂性。
本书所需内容
本书不需要任何软件。
本书适用人群
本书适用于任何想进入数字取证领域的人。先前的编程语言知识可能有帮助,但不是必须的,也不是强制性前提。这是一本对有意成为数字取证从业者以及希望了解恢复和保存可能需要用于法律或纪律程序的数字信息性质的其他读者有帮助的指南。本书将吸引那些需要对这一快速发展的学科有基本了解的读者,包括:
-
警察、执法机关和政府调查机构
-
企业调查员
-
银行业务、商业和法务审计员
-
安全经理和调查员
-
IT 安全专业人员
-
税务合规调查员
-
国防和情报人员
-
法律界和犯罪学家
约定
本书中有多种文本样式,用于区分不同类型的信息。以下是一些样式示例及其含义的解释。
书中的代码词汇、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟网址、用户输入和 Twitter 账户名等,示例如下:“MS Word 文档,一个由 .docx 扩展名表示的文件。”
新术语 和 重要词汇 将以粗体显示。在屏幕上看到的单词,例如在菜单或对话框中,文本中将这样显示:“文件的确切视图显示在下面的截图中,显示了 属性 工作表。”
注意
警告或重要说明将以这种框的形式显示。
提示
提示和技巧像这样显示。
读者反馈
我们始终欢迎读者的反馈。请告诉我们您对这本书的看法——您喜欢什么或不喜欢什么。读者反馈对我们非常重要,因为它帮助我们开发出能让您最大程度受益的书籍。
要向我们发送一般反馈,只需发送电子邮件至 <feedback@packtpub.com>,并在邮件主题中提及书名。
如果您在某个主题方面具有专业知识,并且有兴趣编写或为书籍贡献内容,请参阅我们的作者指南,网址为 www.packtpub.com/authors。
客户支持
既然您现在是一本 Packt 图书的骄傲拥有者,我们提供了一些帮助您充分利用购买的资源。
下载本书的彩色图像
我们还为您提供了一份 PDF 文件,其中包含本书中使用的截图/图表的彩色图像。彩色图像将帮助您更好地理解输出结果的变化。您可以从 www.packtpub.com/sites/default/files/downloads/PracticalDigitalForensics_ColorImages.pdf 下载此文件。
勘误表
尽管我们已经尽最大努力确保内容的准确性,但错误仍然会发生。如果您在我们的书籍中发现错误——可能是文本或代码的错误——我们将非常感激您能向我们报告。这样,您可以帮助其他读者避免困扰,并帮助我们改进书籍的后续版本。如果您发现任何勘误,请访问 www.packtpub.com/submit-errata 进行报告,选择您的书籍,点击 勘误提交表单 链接,然后输入错误的详细信息。一旦您的勘误被验证,您的提交将被接受,并且勘误将上传到我们的网站或添加到该书籍标题的勘误表单中。
要查看先前提交的勘误,请访问 www.packtpub.com/books/content/support,并在搜索字段中输入书名。所需的信息将在 勘误 部分下显示。
版权问题
网络上的版权内容盗版问题在所有媒体中持续存在。我们在 Packt 对保护我们的版权和许可证非常重视。如果您在互联网上发现任何形式的非法复制品,请立即提供其位置地址或网站名称,以便我们可以采取补救措施。
如果你发现涉嫌盗版的内容,请通过 <copyright@packtpub.com> 与我们联系,并提供相关链接。
我们感谢你为保护我们的作者和我们提供有价值内容的能力所做的贡献。
问题
如果你对本书的任何方面有问题,可以通过 <questions@packtpub.com> 与我们联系,我们将尽力解决问题。
第一章:数字取证及其环境的作用
本书的目的是为您提供对数字取证的清晰理解,从其作为法医学子学科的相对较新兴起,到其在与更为成熟的法医学学科并行发展中迅速增长的重要性。本章将帮助您清楚地理解数字取证从业者的角色,以及网络犯罪和企业环境,在这些环境中,他们积极寻求犯罪和民事违法行为的证据。一小部分数字犯罪现场的案例研究将使您理解许多案件的典型复杂性以及对法医学从业者提出的挑战。
在过去大约 10 年里,数字取证作为高等教育课程的一部分,以及作为执法和企业调查职业道路的兴趣不断增长。为应对日益增长的依赖数字证据的案件,新的技术和法医学流程已经发展出来。然而,越来越复杂的案件、案件的规模和数量正在给从业者带来问题,同时从业者还面临资源和成本的限制以及缺乏经过良好培训的经验丰富人员。本书将描述这些挑战,并提供一些在我的实践和研究工作中帮助过我的解决方案,希望能够帮助并赋能当前及未来的从业者,更有效地应对未来的问题。
由于个人计算机的固有安全问题,尤其是它们在工作场所的普及,给执法部门带来了新的问题。例如,从事刑事调查或完成内部审计的组织通常会遇到繁琐的计算机记录检查,以恢复数字证据。这些检查迫切需要新的法医学流程和工具,帮助从业者更有效地完成他们的检查工作。
对于那些寻求增强自己在协助法律界中重要作用的从业者来说,现在是激动人心的时刻。对于那些希望加入这一学科的人来说,他们将会在一个从业者面临影响证据恢复与管理变革的十字路口时加入。平庸、自满和疲惫在这一学科中很常见,尽管这一工作本质上充满刺激和重要性,但进入这一职业的热情可能会因为单调的工作和繁重的案件负担而迅速消退。接下来将与您分享的是一些新的、更有效的方法,帮助减少单调和时间浪费,振兴从业者,并恢复寻找证据的兴奋感,这一过程受到正在席卷整个学科的变革之风的启发,如果一些挑战未得到解决,这股风潮最终将变成旋风。
本章将涵盖以下主题:
-
法医学,特别是数字法医学的历史和目的的概述
-
该学科的定义及其相对于更为传统法医学学科的作用
-
刑事调查的描述以及网络犯罪的兴起和性质
-
民事调查的概述及电子发现、争议和人员纪律调查的性质
-
对数字法医学从业人员角色、所需的技能和经验以及他们所面临的挑战的洞察
-
通过案例研究展示一些值得注意的数字取证犯罪现场,以突出这一主题
理解法医学的历史和目的——特别是数字法医学
法医证据被用于法庭或法律裁定中,尽管一些纯粹主义者不认为法医学是一门科学。这个术语可能会引起误解,但它可以应用于与特定科学相关的技术,而不是科学本身。法医学中有一些专业领域,如有争议的专家、法医牙医、土木工程师、汽车碰撞调查员、昆虫学家、指纹专家和犯罪现场重建专家。
法医学的起源
1879 年,巴黎警察局职员阿尔方斯·贝尔蒂永提出了一种通过拍摄尸体和犯罪现场遗留证据来记录犯罪现场的过程。贝尔蒂永对犯罪现场的创新性摄影记录,以及他对尸体的精确目录和测量,为与突发死亡和凶杀案件相关的法医学奠定了基础。这一方法有助于识别死者,并在尸检过程中提供重要信息,帮助确定导致死者死亡事件的相关情况。
贝尔蒂永在当时提出了刑事调查中的一种激进观点,认为应该使用科学和逻辑来调查和解决犯罪。他的科学工作极大地影响了他的一个追随者——埃德蒙·洛卡尔。
洛卡尔交换原则
洛卡尔交换原则是一个基本的法医学原则,基于在犯罪现场物理痕迹的常见交换。例如,指纹或 DNA 痕迹可能会留在现场,或者枪击的火药残留物可能会扩散到袭击者的衣服上。尽管本质上是间接的,这些痕迹有助于重建犯罪现场发生的事情,并可能识别出在场的人。我们将在本书中看到这个原则如何同样适用于数字取证。
在以下引用中可以找到一个常被引用的原则:“一个人的犯罪行为不可能不留下痕迹”,或者更简洁地说,“每一次接触都会留下痕迹”。Inman 和 Rudin(2001 年,第 44 页)更有意义地断言,没有人能够在进行犯罪行为时不留下大量的痕迹:要么犯罪者在犯罪现场留下了痕迹,要么,另一方面,他在身上或衣物上带走了表明他去过哪里或做过什么的痕迹。
虽然法医学分析自贝尔蒂永(Bertillon)和洛卡尔(Locard)时代以来已经有了显著的发展,但他们引入了三个核心概念,这些概念是刑事司法的重大进步,并且帮助了调查人员——尤其是犯罪现场文档记录、嫌疑人识别和痕迹分析学科。
除非有实际证据,否则任何假设都是无用的,就好像根本没有发生过犯罪一样。除非通过某种有效的过程识别出犯罪者,并通过不受污染的证据将其与犯罪现场联系起来,否则案件最终无法解决。这些原则在法医学中至关重要,当然也同样适用于数字法医检查。
指纹证据的演变
法医学领域的下一个里程碑与指纹证据有关。指纹作为身份证明和文书真实性的证据,已经在中国法律文书中使用了几个世纪。然而,直到 19 世纪末,爱德华·亨利(Edward Henry)才设计出了一个可行的分类系统,并于 1897 年在印度实施,1900 年出版了他的著作《指纹的分类与应用》(Classification and Uses of Fingerprints)。第二年,亨利的分类系统被引入伦敦大都会警察局;同年晚些时候,它在新苏格兰场的指纹办公室得到了全面实施,1902 年通过指纹证据获得了首宗法院定罪。
然而,指纹证据的可靠性最近在多个司法管辖区受到质疑,主要是因为缺乏有效的标准来评估两个指纹是否匹配。当前没有统一的流程来确定基于指纹检查确认身份的有效依据。一些检验员依赖于统计指纹上相似脊线特征的数量,但关于相似点的数量没有固定要求,并且在不同的司法管辖区之间差异很大。一些美国法院甚至明确表示,指纹识别并非基于可靠的法医学原则。类似的批评也针对了数字法医学这一相对较新的学科,指责其缺乏标准化和科学研究。
DNA 证据
通过最近的科学发展,脱氧核糖核酸(DNA)用于确定每个人的遗传特征。可以从各种样本中提取 DNA 证据,如唾液、使用过的邮票和信封、牙线、使用过的剃须刀、头发、衣物,以及最近的指纹。这种证据形式已经引起了广泛的关注,从犯罪现场恢复的 DNA 样本与嫌疑人的样本进行比较,以确立两者之间的可靠和令人信服的匹配。DNA 证据首次被用来通过匹配从现场恢复的样本和 1987 年在俄勒冈州获得的嫌疑人的样本来确保定罪。从那时起,它已经追究了许多可能本来可以逃脱法律制裁的罪犯。它还被用于"冷案",证明了许多错误定罪的人的无辜。
由于 DNA 证据的复杂性,陪审团最初对 DNA 证据的确凿性持怀疑态度。随着学科的发展,法庭更容易接受 DNA 证据。最近,法院面临 DNA 证据的挑战。辩护律师声称 DNA 是在现场被植入以牵连被告,或者样本的法医收集或检查污染了证据,导致其不可接受。
由于接触 DNA 的现象,即被遗留在许多表面上的遗传标记,对嫌疑人与犯罪现场样本之间的声音匹配的可能性提出了质疑。经常发生的是,无辜方与犯罪嫌疑人握手,后者的 DNA 被无意间转移到了凶器上。通过这种污染形式,多达 85%的拭子中恢复到了从未处理过相应武器的人的痕迹。
现在,责任完全落在从业者身上,确定恢复样本的相关性以及这些样本如何进入从犯罪现场恢复的工具上的历史。从业者还有责任协助确定恢复 DNA 的前因后果,以确保证据不会牵涉无辜的当事人。证据只告诉我们故事的一部分。发现 DNA 在某个位置和/或工具上只告诉我们那里发现了 DNA。它几乎什么也不告诉我们。它并不总是告诉我们这个人何时在那里,也不能保证这个人在那里——只是他们的 DNA 被发现在那里。如果确实已经确定他们实际上在场,它也不告诉我们他们在做什么。往往,证据只是证据,我们解释结果以符合我们的期望或实现我们的预期结果。在数字取证的背景下因交叉污染证据而产生的问题在《第四章》中有更详细的讨论,恢复和保护数字证据。
法庭科技检验的基本阶段
在进行任何类型的调查时都需要一定的秩序,法庭科学有一些必须满足的关键目标。保存犯罪现场是首要目标,因为如果证据被污染、丢失或简单地未被识别和忽视,那么随后的一切对于调查人员来说可能价值有限。
识别证据并确定其位置,知道该去哪里寻找,只能提高检验结果。这需要从业者的技能、知识和经验。一旦找到,证据需要被整理和分类。这为检验带来了秩序,使从业者能够确保没有遗漏任何内容,并正确分类恢复的物件作为相关证据。
证据不能孤立地看待,应与其他证据进行比较,并应识别协作证据。然后应该用科学术语描述,以清晰地突出证据,以便有助于事件的有益重建。
数字取证仍处于初期阶段,在一些民事和刑事调查机构中普遍存在非标准化的处理流程。如果有标准存在,也因不同司法管辖区而异。目前有多种数字取证调查模型在使用,展示了在检验过程中略有不同的阶段;然而,并没有普遍适用于从业者的标准模型。
基于错误或恶意法庭科技证据的不公正现象并非近年来的现象。例如,在过去的三十年中,英国发生了一些备受关注的不公正事件,包括伯明翰六人案、吉尔福德四人案和莎莉·克拉克案,这些案件均基于专家的无能。有关克拉克案的背景信息可在 netk.net.au/UK/SallyClark1.asp 查阅。
这些以及类似的案例导致了无辜人员被定罪,严重质疑法庭科技专家及其专家证据的可信性和权威性。三十多年前,在澳大利亚艾尔斯岩的阿扎里亚·钱伯兰案件中出现的法庭科技问题,对澳大利亚的法庭科技实践质量产生了深远影响,并在其他司法管辖区产生了后果。
定义数字取证及其角色
数字证据在法律诉讼中逐渐得到应用,并且受到了法院的审查。这给数字取证从业人员带来了沉重的负担,要求他们努力提供可靠的证据和严谨的分析结果,这些分析可能对确立和检验未来法院判例有重要意义。桌面计算的急剧增长以及网络系统被利用进行的网络犯罪泛滥,催生了对更高信息安全管理水平的需求。它还要求从业人员解开纷乱的局面,努力追究犯罪者的责任。对计算设备和网络服务器的持续攻击日益增多,这些攻击通常以其他国家为基地,利用各种受害者。计算机和网络中却富含具有证据价值的信息,这些信息有助于从业人员重建犯罪行为。
数字取证的出现是为了应对通过计算机系统实施的犯罪行为的升级,无论这些计算机系统是犯罪的对象、实施犯罪的工具,还是与犯罪有关的证据的存储库。调查和检查数字证据的要求,同时确保原始证据的完整性未被改变,迅速被认定为重要功能。
数字取证的定义
在 1980 年代,随着 DNA 证据和分子分析的进展等其他领域的发展,数字取证作为一门新兴学科逐渐显现出来。随着计算机变得更加经济实惠、相对易于使用,并通过局域网和广域网相互连接,计算机犯罪与网络空间所带来的奇迹同步出现。
传统法律甚至在法律标准下都显得过时。例如,曾有人提出疑问,如何将计算机设备的盗窃与从计算机中复制并在没有合法授权的情况下使用的无形信息盗窃进行比较。尽管信息未经所有者许可而被复制,且信息仍然保留在计算机中,但盗贼却假定对这些信息拥有永久(尽管是共享的)所有权。
传统上,盗窃具有可转移性这一关键特征,便于将有形财产永久移走。文件存在时就在那里,但一旦消失,它仍然是一个存储在计算机中的无形物品。复制过程可能会使原始文件信息仍保留在设备上,但从所有者的角度来看,它已经被盗。那么,复制算不算盗窃或滥用计算机?在大多数情况下,这无疑是对隐私的侵犯,尽管所有者可能感觉他们的隐私已被侵犯,但当信息仅仅被复制而尚未传播时,如何主张这一点呢?在街上跟踪某人和在线跟踪某人是等同的吗?最初的立法旨在涵盖前者,这引发了关于是否可以利用现有法律来涵盖新的计算机相关犯罪的严重疑问。
电子和数字信息存储在设备上,可能会通过未经授权的活动被滥用。计算机犯罪是现实世界中传统犯罪的网络版。勒索和威胁并不新鲜,但使用计算机来实施这些行为是新的。曾有人呼吁通过新的立法来重新定义计算机相关犯罪,且这些新近出台的法律在很大程度上为社会带来了积极影响。然而,在许多司法管辖区,关于法庭上呈交的数字信息的含义仍存在困惑,并且一些从业者和法律界成员有时过于草率地接受这些信息表面上的真实性。
根据许多观察者和从业者的观点,数字取证尚未成熟,确实需要一种科学和公正的方法来分析数字信息,有时如果没有其他证据可用,必须单独进行分析。这些证据可能会在刑事或民事诉讼中被要求提供,也可能涉及行政和纪律案件。法院和法律裁判者期望,像其他成熟的法医学科一样,采用科学的过程和工具来保存并协助证据分析。
数字取证检查的各个阶段旨在恢复和保护证据,并采用科学方法分析和解释证据,验证证据,并提供清晰、精确的法医报告。第四章,恢复和保存数字证据,以及第六章,选择和分析数字证据,详细描述了这些数字取证检查的阶段。
回顾数字取证的历史
数字取证是一个相对较新的现象。计算机已经存在了几十年,最初只需要少量人员输入数据进行处理,然后以硬拷贝形式接收输出。由于很少有人具备使用这些设备的专业知识和理解,计算机被视为安全的信息存储库。安全性根本不是问题,计算机打印件在法庭上也能顺利接受。然而,便宜且易于使用的桌面计算机与网络系统的出现,改变了计算机安全的格局。
初期阶段
在 1970 年代,计算机并不普及,只有大型组织、政府部门,特别是使用主机计算机的国防和情报界才有能力使用这些设备。围绕这些计算机的取证活动并不明确,且充满保密。
数字取证在公共领域的起源较晚,可以追溯到 1984 年,当时联邦调查局实验室和其他执法机构开始开发程序来检查计算机证据。安德鲁·罗森为加拿大警方编写了第一个专门的数字取证工具“Desktop Mountie”,随后他又推出了 Expert Witness、Encase 和 SMART 等版本。便宜且易于使用的桌面计算机迅速普及,这引起了不法分子的注意,他们急于利用这一新技术。
为应对计算机和网络日益增加的攻击,私人组织和政府开始制定和实施计算机安全政策和对策。数字取证应运而生,受害者逐渐意识到应对这一不断升级的问题需要一定的结构。最终,一些成熟的取证流程在 80 年代末期逐渐出现,但数字取证工具和软件的研发大多是由供应商主导,或者由具有一些基础计算机知识的执法人员开发的。
一些最早具有明确且公开要求对与犯罪行为相关的外部系统进行取证的政府机构,是税务和征收机构。那些在数字证据恢复过程中苦苦挣扎的人很快意识到,调查这一新技术需要一定的专业知识。
可靠的数字取证工具稀缺
不幸的是,对于数字取证从业者来说,80 年代并没有专门的取证工具,这导致开发人员根据MS-DOS设计了自己的取证工具套件。这些取证软件应用程序已经过多次改进和更新,直到今天仍然在使用。那个时代的一些数据保护和恢复工具套件至今仍存在,包括:
-
诺顿工具集
-
Central Point 软件
-
PC 工具
-
Mace 工具集
注意
1990 年,Mace Utilities 的注册用户达到了 100,000 人,Norton 的工具套件成为了最受欢迎的工具之一。
最初,取证检查员可用的唯一证据保存方法是从证据磁盘中通过磁带进行逻辑备份文件。人们希望这一过程能够保存重要的文件属性和元数据,并能够将这些文件恢复到另一块磁盘上。这样,检查员便可以使用命令行文件管理软件手动检查恢复的数据,软件如:
-
Executive Systems, Inc.
-
XTree Gold
-
Norton Commander (NC)
-
适当的文件查看软件,包括扇区成像方法
当时计算机数据集的大小在兆字节范围内,但仍然足够大,使得证据检索过程成为一项繁琐且耗时的任务。业内呼吁制定一些取证标准、指南和定义,以协助数字取证从业人员,同时也迫切呼吁修订现有立法,确保新兴的网络犯罪能够得到正确的定义。合理的立法早已迫切需要,以应对那些已经以新形式出现的旧犯罪。
法律界难以理解数字证据
在 80 年代中期,业界开始关注法律从业人员和立法者缺乏对数字证据日益依赖所带来的问题的认识。这是一个全球性现象,由于计算机使用量的急剧上升以及新设备的出现,包括数字手机,导致了这一问题的产生。因此,美国提出了一种协调方案,旨在帮助取证和法律从业人员克服提交数字证据时遇到的困难。
到了世纪之交,美国和欧盟建立了一项研究框架,旨在应用科学流程解决由实践需求驱动的取证挑战。研究人员当时对数字证据的真实性质存在广泛误解表示担忧。更令他们担忧的是,一些取证过程在恢复、分析以及随后的法律程序中的应用效率低下和效果不佳。
人们认识到,数字取证检查始于寻找关于涉嫌违法者身份的答案,特别是建立二进制数据与嫌疑人之间的某种数字联系。尽管仅仅拥有一台数字计算机通常被认为足以将违法者与设备中包含的所有数据关联起来,但人们开始对这种假设的合理性提出质疑。随着计算机网络的广泛发展,这种假设在未来是否仍然有效?数据本身是否能提供有关违法动机的线索?
1999 年,数字取证设计师安德鲁·罗森在克拉克森诉克拉克森案中为辩方出庭(罗阿诺克县巡回法院,弗吉尼亚州:案件编号 3CH 01.00099),最终确定被告的妻子将儿童色情内容放在他的计算机上,并试图通过陷害他来结束婚姻,获得孩子的监护权,并与她的新情人结婚。这个案件使得罗森被执法和以起诉为主的从业者视为“叛徒”,这些人显然更关心胜诉,而非寻求公正的结果。
这为一个危险的先例奠定了基础,鼓励一些实践者认为计算机的所有者和主要使用者最有可能是违法者。根据我的经验,在刑事审判中的辩护案件处理中,其他用户的明确识别,作为潜在的嫌疑人,常常只是口头上提到。这表明了基于嫌疑人的而非证据的调查,这显然不是一种客观和科学的方法。这与“取证人员是法院的仆人”这一概念相矛盾。数字证据的性质和特殊属性在第三章中有详细介绍,数字证据的性质与特殊属性。
数字取证的最新发展
从 1999 年到 2007 年,被认为是数字取证的黄金时代,这段时期,实践者能够通过恢复删除的文件看到过去,通过恢复电子邮件和信息洞察犯罪心理,从而使得实践者能够冻结时间并见证违法行为。数字取证曾经是一个小众科学,主要支持刑事调查。如今,数字取证已常见于流行的犯罪电视剧和小说中。数字取证的戏剧化表现以及对实践者和取证工具技术能力的夸大,通常被称为犯罪现场调查(CSI)综合症。
注意事项
1984 年,FBI 成立了计算机分析与响应小组(CART)来提供数字取证支持,但直到 1991 年才开始投入使用。
此后,研究小组成立,讨论计算机取证学科,并强调需要采用标准化的调查方法。在美国,这些小组包括以下组织:
-
数字证据科学工作组(SWGDE)
-
数字证据技术工作组(TWGDE)
-
国家司法研究所(NIJ)
到 2005 年,数字取证仍然缺乏标准化和流程,并且可以理解的是,取证工作主要集中在 Windows 系统,并在较小程度上涉及标准 Linux 系统。即使在 2010 年,尽管数字取证检查的基本阶段已有较为详细的文档记录,但一些研究者仍认为一个标准化或广泛接受的正式数字取证模型仍处于起步阶段。对于这些观察者来说,它显然还没有达到与血液分析等其他物理取证标准同等的水平。
2008 年,国际标准化组织联合技术委员会(ISO/IEC JTC 1)调查了数字取证治理国际标准的可行性,但至今尚未出台专门解决此问题的 ISO/IEC JTC1 标准。然而,国际社会对跨司法管辖区转移与法律程序相关信息的差异所带来的问题已有一定的关注(ISO 2009:4)。
数字取证学科发展迅速,但迄今为止,关于过程、程序或管理的国际标准化仍然非常少,然而它确实需要类似于信息系统和信息技术(IS和IT)治理的管理。最近,一些研究者对高度技术化的数字取证学科与治理的商业化方法之间的交集表示担忧,这使得数字取证成为一门高度专业化的学科。有一种不安的感觉,认为很少有从业人员具备足够的跨学科知识,涵盖计算机、法律和商业方面。也许这对大多数从事出色工作的从业人员来说是一种不公平的批评,因为他们在有限的资源和支持下做出了卓越的成绩。
相对的观点是,高技术犯罪调查员协会(HTCIA)和国际计算机调查专家协会(IACIS)等组织的出现确实增强了取证过程的权威性,通过确保数据可靠、准确、可验证和完整,从而确保数字证据被法律接受。
研究刑事调查和网络犯罪
与更为成熟的法医学科一样,数字取证这一相对较新的领域也涉及在数字环境中保存犯罪现场。数字取证从业人员检查从各种数字设备和网络中恢复的证据。这需要一定的计算机技术知识,尽管自动化的取证过程和工具日益普及。
注
许多检查不一定以刑事案件为结局,可能成为民事诉讼或内部纪律程序的一部分。当然,反之亦然,民事案件也可能导致刑事起诉。
数字取证分为三个广泛的类别:
-
公共调查:这些是由国家发起的
-
私人调查:这些通常是企业性质的
-
个人:这些通常表现为电子发现
需要进行数字取证检查的人员不当行为调查是一个新兴类别。国防和情报取证检查被认为是另一个类别,但本书不涉及。
在法庭上,计算机上找到的证据可以用来支持对犯罪或民事诉讼的指控,例如:
-
谋杀和暴力行为
-
诈骗、洗钱和盗窃
-
敲诈
-
涉毒
-
破坏和记录销毁
-
恋童癖和网络跟踪
-
恐怖主义和炸弹威胁
-
家庭暴力
通常,刑事调查和起诉涉及在刑法框架下工作的政府机构。执法人员根据相关刑法获得搜索和扣押权,使他们能够定位和捕获涉嫌用于犯罪或协助犯罪的设备。
概述民事调查和电子发现的性质
私人组织本身不受刑法管辖,通常涉及计算机和网络系统的诉讼争议和纪律调查,这类案件变得越来越频繁。民事调查可能升级为刑事案件。民事案件依赖民法、侵权法和诉讼程序,并且可以通过民事救济手段从对方当事人处恢复信息,特别是“发现”以及搜索和扣押权力,例如由安东·皮勒令或搜索令提供的权力。
本书主要讨论数字取证,并在一定程度上涉及民事调查。然而,根据我的经验,在使用数字取证时,刑事和民事检查之间并没有真正的区别。两个领域都在寻找相同类型的证据,但标准上有所不同。电子发现几乎完全是民事问题,因为它涉及不同组织之间的争议,因此证据的概念略有不同。我认为,过去用于电子发现的方法通常涉及大量机器,并且通过一些改进可以将其应用于数字取证,这是处理大量数据的唯一方法。第五章,增强取证工具的需求,概述了一些新的软件工具,这些工具能够处理大量数据集,为在这两个环境中工作的从业者提供了一些迫切需要的支持。
数字取证从业者的角色及其面临的挑战
法医学从业者不仅恢复和分析证据,还向调查人员、律师,最终向陪审团展示和解释其含义。作为一个合格的分析师当然是基本要求,但从业者还必须能够清晰地与外行人沟通他们的发现和专业意见。证据是盲目的,无法为自己发声,因此它需要一个解释者来解释它做了什么或可能意味着什么,以及为什么它对案件很重要等事情。我花了很多时间在案件工作中向法律团队和陪审团解释技术性问题,以确保他们对证据有清晰的理解——当关键时刻终于豁然开朗时,那是非常有成就感的工作!
提供专家证据和意见的独特特权。
在正常情况下,法庭不允许传闻证据,且禁止证人提供意见。然而,专家证人和科学专家可以根据他们广泛的实践和研究提供意见,前提是这些意见仅限于已提供的证据。这些特权证人可以与法院分享他们从所观察到的证据中得出的任何推论,前提是这些推论在他们的专业领域内。
法医学专家应提供可能有助于法院作出结论的信息,且专家的主观意见可以被纳入。然而,法院有义务根据所提供的证词形成自己对被告有罪或无罪的看法或结论。法医学从业者在作为法医学专家时,应仅提供有关信息的科学意见,以帮助法院形成判断性意见。
专家必须避免提供最终意见,因为有时专家的知识并非完全确定。在多个法律管辖区内,法院期望法医学从业者具备扎实的计算机技术理解,以使其证词具有可信度。
英国《民事诉讼规则》(1998)要求所有专家证人遵守,其中第三十五部分规定专家(从业者)有责任协助法院并保持严格的公正性,而不能支持委托方。这些规则规定:
-
专家报告中使用的事实必须是真实的。
-
专家的意见必须是合理的,并基于对所讨论问题的当前经验。
-
当存在一系列合理的意见时,专家有义务在报告中考虑该范围的程度,并承认任何可能影响提供意见有效性的事项。
-
专家有义务指明所提供所有信息的来源,并且不得包含或排除任何其他人(特别是委托律师)提出的内容,除非形成独立的观点。
-
专家必须明确表明所表达的意见代表了实践者真实和完整的专业意见
2008 年,法医从业者监管委员会重申了这些规定,并增加了对实践者的进一步要求(Carroll 和 Notley 2005):
-
他们必须披露他们所获得的所有材料
-
他们必须表达自己在所讨论问题上的不同意见范围
-
他们必须解释为什么他们偏好自己的观点而非其他观点
-
他们必须提供其意见所基于的证据
-
他们不得提供超出其专业领域的证据
英国 2010 年由皇家检察署出版的专家指南手册《披露:专家证据、案件管理与未使用的材料》强调,实践者需要确保对任何指向被告有利或不利的信息给予足够的重视。该手册强调,实践者不得超出其专业领域提供专家意见。手册还涉及实践者的独立性,并重申了必须审查和与法庭及其他相关方共享无罪证据的要求。
美国的案件检察官根据布雷迪规则(布雷迪诉马里兰州案,1963 年)要求将其所持有的材料披露给辩方。根据布雷迪规则,检察官必须披露任何证据,包括任何有利于被告的证据(无罪证据),尤其是“有助于推翻被告罪行、减少被告潜在刑罚,或涉及证人可信度的证据。”
如果能够证明检察方未按照此规则披露无罪证据,且因此产生了不利后果,法院将拒绝并压制该证据,无论检察方是否知道自己掌握了该证据,也无论证据的隐瞒是故意还是无意。然而,被告必须证明未披露的证据具有实质性,并证明如果检察官披露了该证据,案件的结果有可能会不同。
这是数字取证实践者在案件审查和证据呈现过程中必须时刻关注并遵守的要求。已知会对数字证据披露产生不利影响的因素包括对无罪证据的了解,这些证据可能会挑战那些有罪或不利性质的证据。实践者可能由检方或辩方聘用,但最终,他们有义务向法庭呈现所有与案件相关的事实,无论是支持还是反对当事人。虽然披露有可能伤害自己案件的某些信息可能是一种不良的法律策略,但法院确实期望当事方之间能进行开放且诚实的证据交换。
专家必须抵制法院常常施加的压力,避免就罪责或无罪的概率提供意见,并坚持认为他们的意见不能替代法院的判决。众所周知,陪审员容易受到那些表现出自信的实践者的影响,尽管这些实践者的证词有时带有偏见且存在错误。
有充分的理由支持以证据为主导的法医和调查方法。嫌疑人主导的方法具有判断性,且常常带有偏见,给被调查者带来不利影响。经验丰富的调查员会让证据引导调查,避免过度关注可能的嫌疑人,以免影响调查的公正性并不合理地影响他们的判断。相同的策略也应适用于法医检查员。如果没有其他理由,至少应当识别案件中的弱点,检查员应该始终采用这种方法。如果分析存在缺陷和鲁莽行为,几乎无法为正义事业提供帮助。Kaptein(2009, p. 3)引用了美国最高法院副法官 A·斯卡利亚在赫雷拉诉柯林斯案(506 US 390, 1993)中的以下声明:“仅仅是事实上的无罪并不是不执行适当判定死刑的理由。”
然而,已故的斯卡利亚法官在这里的言论有些被误引用了,我建议你深入了解他所说的话背后的含义,相关信息可以参考以下网站:
实践者因法医流程不完善而面临的问题
在开始检查时,实践者通常会面临确定所需的获取过程类型,接着定位完成检查所需的数据,最重要的是,选择合适的证据分析过程。检查的仔细规划并非总能得到现有流程的支持,尤其是对于面对不熟悉案件类型或异常复杂的大规模案件的实践者而言。在这种情况下,实践者需要提供适当的案件背景信息,以帮助他们筛选大量的案件信息,否则这些信息可能会令人感到不堪重负。
对较大数据集的检查可能会使犯罪证据的特征化变得困难,且在缺乏工具、标准或结构化支持流程的情况下,很难清晰地定义范围和目标。遗憾的是,目前的法医工具常常无法为实践者提供足够的调查支持,且可以被描述为第一代工具,未能融入任何决策支持来帮助实践者。
早在 2001 年,数字法医研究研讨会(DFRWS)就观察到,从业人员在理解他们每天面临的挑战和困境时遇到了困难,尤其是调查方法中遗漏或未考虑的步骤,与传统法医学科中经过验证的调查流程相比,差距尤为明显。技术进步的快速发展以及软件应用和硬件的变动性,实际上加剧了从业人员面临的挑战。
数字法医的程序性不足,要求从业人员前所未有地收集大量数据以支持调查,这一问题由于缺乏标准化的分析程序和协议、且没有标准术语而进一步加剧。那时就显而易见,并且直到今天依然如此,法医工具需要更加精心设计,以适应分析流程。这将通过提供更友好的用户界面,解决培训问题,并提升从业人员的经验,满足从业人员的需求。
早期研究人员就已认识到,更好的法医流程迫切需要经过测试和试验,以克服现有从业人员技能水平的不足。许多研究人员预测,这将不可避免地变得越来越成问题。他们的预测显然是有根据的,因为现在这似乎已成为常态。
第五章,增强法医工具的需求,强调了传统法医影像的冗余性和日益庞大的数据集索引问题,并介绍了新的法医流程和工具。
劣质法医工具困扰着从业人员
专家证人常常受到对方律师团队及其专家的挑战,尤其在涉及数字证据的案件中尤为如此。美国法院对与数字证据相关的专家证词尤为敏感,1993 年达伯特与美瑞尔·道威制药公司之间的广为人知的法律案件为法医从业人员以及他们用来恢复证据的流程和工具设定了先例。此判决依据案例法为美国法院设定了期望标准,并且最初的判决仍然具有影响力。取代早期案例法的达伯特标准要求从业人员确立个人专家资格,并要求他们验证其在恢复证据过程中所使用的法医流程和工具的可靠性与准确性。
数字取证工具通常是为了获取“最低悬挂的果实”而制作的。换句话说,它们倾向于鼓励从业人员寻找最容易识别和恢复的证据。通常,这些工具没有能力寻找或甚至识别其他不太明显的证据。这个问题在第五章中有更详细的描述,增强法医工具的需求。
法医软件认证以确认法医证据的可靠性尚未广泛且正式地进行测试。供应商的炒作以及从业人员愿意接受未经测试、开源和未经验证的工具,已经造成了一种混乱,法律界应当看到这一点,但通常无法做到。研究人员提倡建立一种结构来衡量数字证据是否符合特定标准,以解决数字取证从业人员在特定情境中的需求、适用性和可接受性问题,类似于美国基于 Frye 测试的标准,现在已经被 Daubert 标准所取代。
面对从业人员的数字信息保护不足问题
法医从业人员常常面临传统安全过程在计算机和网络中不起作用的情况,这些过程旨在保存文档和网络功能;它们并非专门设计来增强数字证据的恢复。然而,这些过程可以帮助识别潜在证据和事件重建。
从业人员常遇到的一大困难是要求他们提供专家证词,以验证网络系统是否提供并保持对存储数据的可靠保护。例如,为了促成网络系统销售而进行的供应商炒作,并不总是反映它们是否能够提供对数据存储准确性和完整性的保障。供应商通常不会提供足够的信息,说明软件和网络能够保护数据的完整性。因此,从业人员无法验证这些设备,以确保它们能够经受住法律挑战。
由于固有的技术复杂性,从业人员通常难以完全确定计算机设备或网络系统的可靠性,并向法庭提供有关相关过程可靠性的保证。一个有序的过程对于从业人员来说会非常有帮助,可以确保没有部分检查过程被忽视或重复,从而通过节省时间和保证完整性确保有效的检查。
法医分析的枯燥乏味
在考试过程中,执业人员可能需要重新审视部分证据,以确定其有效性,这可能需要开展新的调查线索,并根据情况进一步验证其他证据。这通常是一个繁琐的过程,且通常需要大量的时间和资源来收集和分析数字证据。案件的数量庞大以及调查所需的时间可能会削弱执业人员重建证据并提供准确解释的效能。
然而,从务实的角度来看,数字取证过程中的时间和努力应通过可接受的“合理性测试”,意味着不应该将所有可能的精力都投入到寻找所有可以想象的痕迹证据,再进行提取和分析。随着待分析数据量的庞大且跨越多个网络,这对执业人员来说尤其变得越来越具挑战性。在我的案例工作中,显然,在实践中,理论上可行与完成审查所必需之间存在差距。尽管理论上可能希望分析每一字节数据,但实际上很少有正当理由这样做。
数字取证执业人员的素质
数字取证,也称为网络取证和计算机取证,通常被认为是三种角色的结合:一是熟悉计算机设备和网络工作原理的网络分析员;二是拥有犯罪调查知识的侦探;三是具有扎实法律和法庭程序知识的律师。
随着越来越多自称为网络取证专家的出现,行业中也出现了平庸的倾向。这些自我认证的“专家”迷惑了司法系统,且往往未被挑战,他们证据的真实性也很少受到质疑。然而,计算机和信息安全机构、法院、政府及企业对执业人员有基本的专业标准和经验要求。
参与数字犯罪现场审查的取证人员必须掌握局势,识别所有相关的数字证据,并将其整理并汇编成专业报告,供律师及最终法院呈交。为了满足法院要求,数字取证审查必须在法律上具有坚实基础,并且在日常意义上具有说服力。执业人员必须使用合理且经过验证的流程从计算机存储介质中恢复数据,并确保其准确性和可靠性。
确定执业人员的先决条件
我经常被希望进入该行业的高等教育学生询问,什么技能和经验能让他们更好地起步。嗯,光说自己喜欢读书并不意味着你适合做图书管理员,也不代表你具备图书管理所需的所有专业技能。任何职业都是如此。追求自己真正感兴趣的事情,而不是一时兴起的爱好,确实非常重要。没有取证经验的人进入这一职业时,取证团队领导最看重的是他们是否有真正的兴趣去从事这一领域。通过工作或学习对信息技术的兴趣,并且拥有信息技术相关的高等教育学历或 ICT 的学士学位,毫无疑问能为未来的候选人带来很大的优势。
对于希望专注于取证学科的执法人员,他们需要具备调查技能和案件经验;显然,了解法律将是一个优势。因此,如果他们还能够展示在计算机系统方面的一定熟练度和知识,他们将为该角色带来更多价值。
必须强调的是,取证检查员和调查员是可以互换的角色,且这两者通常是合并在一起的角色。许多从业者会参加取证培训课程和取证工具能力培训。也有一些人会发表博客,甚至是期刊论文,展示他们在重要取证事务中的研究和参与。
本科课程通常是三年的学习过程,通常包括一些数字取证的内容,但主要侧重于计算机科学和信息安全。基于理论和实际案例的研究生文凭和证书课程提供了进入该行业的有效途径。它们成本较低,学制较短,适合那些拥有基本技能、并希望获得职位的毕业生和执法与调查行业从业人员。这些证书的获得,前提是基于扎实的理论和实践内容,强烈推荐。数字取证的硕士课程是另一种选择,但费用较高,学制较长。
我目前正在准备一门四单元的研究生证书课程,内容涵盖数字取证,包括电子发现和多媒体取证,可以通过虚拟犯罪模拟在线完成。该证书可以作为数字取证研究生文凭和硕士学位的基础。该课程面向执法人员和希望进入这一领域、并寻求一些基本理论和实践资格的信息与通信技术(ICT)专业毕业生。
我的部分能力较强的学生在进入这个行业时缺乏现场经验,但从一开始,他们对数字取证的浓厚兴趣、在信息技术学习中的能力以及在完成的经验性取证训练中的出色表现在一定程度上弥补了这一不足。这为他们打下了坚实的基础,并巩固了他们对这一学科的兴趣。
案例研究
以下示例突出了依赖数字证据的前几起案件的小样本。第三章,数字证据的性质和特殊属性,将更详细地描述数字证据。
亚伦·卡夫里案件 - 英国,2003 年
2003 年,卡夫里被判无罪:未经授权修改计算机材料,通过从他的计算机发送数据关闭了休斯顿港口的计算机服务器。这是少数几个接受恶意软件辩护的案件之一,法院并未要求提供恶意软件控制计算机的证据。您可以在这里找到详细信息:
digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1370&context=chtlj。
朱莉·阿梅罗案件 - 康涅狄格州,2007 年
学校教师朱莉·阿梅罗面临严重的持有不雅图片的指控,这些图片被她的学生看到;她被解雇,从而避免了长期的监禁刑期。警方检查被证明存在错误,阿梅罗计算机上的恶意软件被认为是导致下载不雅文件的罪魁祸首。有关详细信息,请参考以下链接:
-
dfir.com.br/wp-content/uploads/2014/02/julieamerosummary.pdf -
reason.com/archives/2008/12/12/the-prosecution-of-julie-amero
迈克尔·费奥拉案件 - 马萨诸塞州,2008 年
当被告能够从一位从业人员那里获得确认,证明恶意软件可能是导致不雅文件存在的原因时,一个类似的案件被撤销了,您可以在这里找到详细信息:
参考文献
Carroll, R. 和 R. G. Notley. 2005. "医学专家的过失"。英国医学杂志 330:1024-1027。
Inman, K. 和 N. Rudin. 2001. "刑事学原理与实践:法医科学的职业"。CRC 出版社。
Kaptein, H. 2009. "证据和证明的僵化无政府原则:应对程序主义法律病理的非正统灵丹妙药"。在《法律证据与证明:统计、故事、逻辑》中。由 H. Kapstein, H. Prakken 和 B. Verheij 编辑。Ashgate 出版 [(1-3)]。
摘要
本章概述了法医科学的性质,简要回顾了数字法医的发展历史,并根据已有的法医学科定义了其目的。介绍了其在公共和私人调查中的价值,以及网络犯罪的兴起和特征。提供了数字法医从业者的角色、所需的技能和经验,以及他们面临的挑战,并通过一些数字法医犯罪现场案例来突显这一主题。本章不仅简要探讨了该学科面临的挑战,还提出了一些通过改进法医流程和工具来更好地应对这些挑战的解决方案。最后,本章还努力分享了一些关于考虑成为从业人员的基本思路,希望你们能够从中获得有益的见解和启发。
本章介绍了数字证据,并将在第三章,数字证据的性质和特殊属性中详细描述。理解数字证据的特性,甚至是它的变幻莫测,是从业人员的基础工作。数字证据可以提供关于犯罪行为的丰富线索。线索有时可以被认为是“失误”的另一种表现,而发现和解读这些线索正是法医检验中最令人兴奋的部分。分析数字证据可能是一个有回报的过程,但也常常令人失望,甚至是一个让人沮丧的过程,不过,总会获得更深入的理解。
第二章,硬件和软件环境,将概述计算机硬件、操作系统及通常安装在其上的应用程序的基本工作原理。将描述这些环境如何用于创建、存储和传输电子数据。还将提供计算机和存储设备的工作原理,以及可能存储数字证据的数据集的位置的见解。这为引入数字证据和数字法医的分析方法奠定了基础。
第二章. 硬件与软件环境
在详细探讨数字证据及其位置、恢复和分析的过程之前,理解计算机设备的基本原理及其如何存储数字信息是非常有帮助的。这样做将为理解数字证据的性质及其对从业者的价值提供坚实的基础。数字证据的性质将在本章中提及,但会在第三章中详细描述,数字证据的性质与特殊属性。
本章将描述和解释计算机硬件的基本工作原理,以及通常安装在这些硬件上的操作系统和应用程序。它将说明这些环境如何用于创建、存储和传输电子数据。提供对计算机及存储设备的工作原理的洞察,并介绍可能存放数字证据的数据集位置。
本章将涵盖以下内容:
-
详细介绍各种计算机和存储设备以及它们存储的具有潜在证据价值的数字信息的性质
-
描述用于创建、传输和存储电子信息的操作系统软件和应用程序
-
识别并解释包含证据价值的文件系统和文件,并说明它们通常存放在设备上的位置
-
解释用于保护信息和隐瞒证据的密码安全性和加密技术
描述计算机和数字信息的性质
数字证据包括在各种电子设备上找到的数字信息,通常被从业人员认为仅由以数字数据格式保存的信息组成,这些信息因其在各种法律程序中的价值而对法医检查员有用。存储在数字设备上的潜在证据来源包括电子邮件、音频和视频文件、电子文档、电子表格、数据库、系统日志和文件系统数据。
磁性硬盘和磁带
包含潜在证据的信息存储在硬盘、存储卡、智能卡等访问控制设备、生物识别扫描仪、答录机、数码相机、个人数字助理、电子组织器、打印机、可移动存储设备以及 CD-ROM、DVD 光盘、电话、复印机、信用卡刷卡器、数码手表、传真机和全球定位系统等介质的文件中。
直到本世纪初,主要用于数字信息存储的设备是磁性盘、软盘驱动器和磁带驱动器。磁带和磁盘以二进制形式存储数字数据,即作为磁性数据存储在金属盘片的表面,表现为 1 和 0。磁盘通过高速旋转这些磁化盘片,并将其靠近电磁读写设备,这样就可以通过可移动的机械臂读取或写入选定部分的数据。而磁带则只能通过前进或倒带的方式按顺序访问。两种存储方式至今仍是主要的存储设备来源。目前,它们在重建与某些调查中的违法行为相关的用户活动方面至关重要。
硬盘驱动技术出现在 1950 年代,并成为主要的数字存储形式。数据会永久保存,并且只要不被删除、摧毁或因设备的物理损坏而丢失,它就会一直存在。这种类型的存储器被称为非易失性存储器。这些设备的简单且一致的设计为法医人员带来了便利,使用成熟的流程(如死机分析)和法医工具(如写入阻断器)来恢复证据。
过去几十年是数字证据的黄金时代,因为存储在磁性硬盘上的证据不容易被永久删除(Bell 和 Boddington 2010)。然而,稍后将介绍的固态硬盘(SSD)的出现正在逐步取代市场的主导地位,特别是在手持设备上的小型数据存储方面。
光盘存储设备
CD、DVD 和蓝光光盘是相对便宜的光学存储介质,能够进行只读的大容量存储。这些介质依赖于光波反射在光盘表面的微小凹陷和高峰上的物理干涉。激光刻录机用来刻录光盘表面,速度较慢且不太方便。光盘表面可能会退化,因此在使用之前需要某种形式的保护。存储在这些介质上的数据也是非易失性的,通常情况下,已写入的内容理论上是可以恢复的。
随机存取存储器(RAM)
大多数计算机的中央内存核心,通常称为RAM,也是一个基于二进制的系统,数据在中央处理单元(CPU)中通过一大阵列微小的、类似电池的电容器进行存储和处理。这些内存单元或电容器通过电荷的选择性填充来存储数据,通过这些电荷可以将数据写入并读取出来。这些电容器不能永久存储电荷或长时间存储数据。为了防止数据丢失,它们必须定期并自动地读取数据,并对内存进行重新充电。
与存储在硬盘、磁带驱动器和光学设备上的非易失性数据不同,这种内存被称为易失性或动态 RAM。它不用于数据的长期存储,因为不断的刷新过程需要持续的电力供应。一旦设备断电,存储在 RAM 中的数据会迅速消失。
捕获 RAM 可能很重要,因为它提供了设备最新使用的详细信息,包括一些键盘活动。然而,在设备开机时捕获 RAM 的内容可能会导致法医人员覆盖并污染 RAM 中的内存以及硬盘中的数据。几种捕获 RAM 的法医流程将在第四章,恢复和保存数字证据中描述。关闭设备电源(如笔记本电脑或手机)可能使得无法再次访问设备,尤其是当设备被密码保护并加密时。
法医专家已经建立了检查磁盘存储设备(如 IDE、SATA 和 SCSI 驱动器)的成熟流程。然而,基于复杂晶体管设备的新技术存储系统正变得越来越普遍。例如,在过去的 10 年里,已经从便携式磁性软盘过渡到 USB 晶体管闪存或 U 盘。
固态硬盘(SSD)存储设备
SSD 比传统的 USB 闪存驱动器或 U 盘更快、更复杂。SSD 背后的技术与磁盘技术一样古老,但它们最近才作为比磁盘更快、更轻、更坚固的存储设备出现。USB 闪存驱动器的普及和需求导致了更便宜、更大容量的设备的出现。
然而,基于晶体管的 SSD 技术正在慢慢取代磁性硬盘,它复杂且以不同的方式存储数据。与磁盘驱动器相比,这些设备价格昂贵,通常可提供 250GB 到 1TB 的存储空间。尽管它们通常被认为比磁盘更快,但使用寿命较短,尽管新型号正变得更加可靠且更耐用。
SSD 通常以 512 千字节的块存储数据,这些块被细分为由大量负逻辑与(NAND)晶体管组成的页面,这些晶体管类似于之前提到的用于构建计算机处理器的逻辑芯片。由于 SSD 的特性,它们确实需要“清理”存储,以保持快速处理并减少晶体管的过度使用,这会显著缩短驱动器的寿命。因此,它们可能会自动删除已删除的数据,从而阻碍法医恢复(Bell 和 Boddington 2010)。
网络存储数据
在计算机网络服务器上存储数据的情况下,可以通过将设备连接到网络并提供身份验证信息来进行访问。较少见的情况是通过外部连接网络来访问和获取数据集以供后续分析。这是电子发现和严重犯罪(如欺诈和网络滥用)的典型场景。
通常,制作网络服务器的物理镜像比恢复操作系统提供的逻辑数据更为可取。一个组织是否能够使物理设备可用于数据获取,这使得这一可能性充满挑战,除了实际影响外,还包括确保对组织正常活动的影响最小化。这个挑战在第五章,对增强法医工具的需求中有详细描述。
云
基于互联网的计算共享资源和信息已经成为个人、组织和政府机构常用的网络功能。通常被称为云,它用于在线通信并存储大量数据,其中许多是私人或机密性质的数据。下一张图展示了一个典型的云网络:这是一个方便的存储点,供在外工作的员工访问并存储数据,以便他人访问和使用。由于传统的恢复工具在处理分散在网络上的大数据集时遇到问题,因此在第五章,对增强法医工具的需求中描述了能够提供更好结果的解决方案:
典型的云网络
从云中获取证据与从网络中恢复数据有所不同,且更具挑战性,因为数据存储在与用于恢复数据的设备不同的设备上。访问云网络通常通过普通消费者访问资源的过程,这些资源通常由其他实体拥有。恢复数据的一个挑战是难以确定数据从云服务器到存储设备的路径,这条路径可能并非固定路线(Adams 2013)。
由于拥有数据的云消费者无法对存储数据的网络服务器进行物理控制,因此获取实际存储设备的物理法医镜像的过程是复杂的;通常情况下,这是不可行的。网络服务器可能位于一个或多个不同法域的地点。这通常需要前往这些地点并请求网络运营商恢复数据,而这并不总是能够得到保证(Adams 2013)。
从实践者的角度来看,另一个问题出现在网络服务器运行在主机资源上的虚拟机实例中,而这虚拟机也可能是同一物理设备上的多个虚拟机之一。为了获取所有数据,包括已删除的材料以及未被擦除信息可能所在的空闲空间,需要通过具有访问权限的人获取虚拟机的副本。这同样会引发第三方不愿或缺乏动机来协助数据恢复的难题,并可能污染任何证据(Adams 2013)。
操作系统
操作系统是一组控制设备之间访问的程序,包括键盘、鼠标、显示器、磁盘驱动器和网络设备,以及像文字处理器和浏览器这样的应用软件程序。你一定对一系列 Windows 操作系统非常熟悉,从 1985 年发布的 Windows 1.0 到 2015 年发布的当前版本 Windows 10。
当然,还有一系列其他操作平台满足不同用户需求,包括 Ubuntu、FreeBSD、Linux、iCloud、Palm OS、Blackberry OS、Xbox 360 操作系统、Android 以及苹果系列计算机和手持设备。以下截图来自典型的 Windows 10 操作系统:
Windows 10 操作系统
将软件应用程序连接到操作系统
使用像 Paintshop 这样的软件应用程序需要将其安装在兼容的操作系统上,例如 Windows。通过使用该应用程序,用户可以创建一张图片并将其保存以供进一步使用,包括修改、删除以及将图片传输到其他媒介或通过某些通信过程(如通过电子邮件发送或上传到互联网)。下图展示了使用 Paintshop 创建图片的基本过程,在此过程中操作系统允许所创建的图片在计算机显示器上显示。图片可以通过键盘和其他外设进行修改、保存、通过互联网传输或打印:
在 Paintshop 中生成图片
文件在创建、修改和删除过程中保存在设备上,稍后可以恢复以查看它是否具有某些证据价值。文件会在设备上留下其他记录,如果这些记录可以恢复,也可能为实践者提供有关其历史的有用见解。
将软件应用程序连接到操作系统和设备
如果一个设备(例如扫描仪)连接到计算机设备上,就必须安装专用软件以使该设备能够连接到操作系统,从而使适当的软件应用程序能够使用该设备。这是通过设备驱动程序实现的——设备驱动程序是操作系统用来与附加设备进行通信的小程序。驱动程序被设计成能够识别设备的命令语言和特征。
驱动程序通常在设备上预安装,以便方便地连接外围设备,如显示器、键盘、鼠标和打印机。例如,较新的打印机型号可能会提示设备通过与打印机相关的互联网网站下载新的或更新的驱动程序,或者使用随打印机提供的软件。下图展示了通过操作系统启用的键盘与计算机连接,并创建一个可以在显示器上查看的文本文件的过程:
Word 文档创建
描述包含证据的文件系统
文件信息的存储方式在不同操作系统之间有所不同。为了清晰起见,本文将在目前最广泛使用的操作系统——Windows 文件系统环境中呈现相关内容。然而,第七章,Windows 及其他操作系统作为证据来源,会更详细地描述其他操作系统以及它们使用的文件和文件系统。文件本身可以从不同的角度进行审视,而 Windows 对文件的目录管理方式有助于取证检查。
操作系统接收到的用于读写文件的命令会在目录结构中进行解析,目录结构中包含文件索引系统,用于定义文件命名协议和文件的最大大小。Microsoft 操作系统通过主文件表(MFT)管理这些记录,其中对每个文件和目录的信息进行分类。该表本质上是一个关系数据库表,包含关于所有存储文件记录的各种属性。例如,当创建并保存一个 MS Word 文档时,它将被存储在选定的位置,并且会创建时间戳来记录该过程及其后续使用情况。
时间戳和其他文件元数据的重要性将在后续章节中进一步强调,以展示它们在事件重构中的作用。此图展示了将数据存储到硬盘磁盘上的特定扇区或扇区组的过程,并通过 MFT 进行目录管理:
将数据存储到磁盘
数据在下图中的文件中进行写入——这是一个简化的过程,表示将四个文本文件写入硬盘盘片的过程:
将文件写入硬盘
下图表示从硬盘读取文件的过程。这些文件可能已被删除或修改,这会留下关于这些事件的元数据,这对实践者未来可能具有价值:
数据是从存储在盘片上的文件中读取的
注意
元数据是关于数据的数据;它描述了文件的各种属性,包括时间戳、位置、创建日期、修改日期、最后访问日期,有时还包括删除日期。
以下部分描述了 Windows 将文件分类为不同类别,并概述了它们对实践者的价值。
文件系统类别
文件系统类别记录了一般的文件系统信息,虽然遵循一般设计,但每个设备上的结构都是独特的。通过对这些数据进行分类,文件系统类别显示用户在哪里可以找到他们正在寻找的数据和文件,同时也充当文件系统的地图(Carrier 2005)。它为混乱带来秩序,并允许用户安全地存储和检索文件。
文件系统的一个好处是它富含文件元数据,这对实践者来说是有益的。文件系统元数据是实践者导航和检查文件系统信息的关键部分。它在重建与案件相关的事件方面可以提供很大帮助(Carrier 2005)。
然而,如果这些数据遭到损坏或丢失,那么额外的分析将变得更加困难,因为需要数据和记录的备份副本。否则,实践者将需要猜测原始值是什么,并推测创建文件系统的应用程序类型以及文件或文件夹的创建日期。
文件名类别
文件名类别,有时也称为人机接口类别,记录用于为每个文件分配名称的数据。它由包含文件名的目录列表以及每个文件对应的元数据地址组成。已删除的文件名及其相应的元数据地址可用于通过基于元数据的恢复方法恢复文件内容(Carrier 2005)。
能够使用文件名列表是法医学检查的基本部分,因为它允许实践者识别文件名和父目录的名称,并可以用于根据文件名、路径或文件扩展名搜索证据。文件扩展名标识文件的类型,例如系统文件,或者在 MS Word 文档的情况下,通过 .docx 扩展名标识文件。
然而,如果在文件删除过程中清除了元数据地址,可能无法再找到更多信息。如果只知道文件名的一部分,仍然可以使用这部分进行搜索,例如在知道文件扩展名或名称,但不知道完整路径的情况下。元数据以固定长度的表格形式存储,并有自己的地址。当文件被删除时,元数据条目会更改为未分配状态,操作系统可能会擦除一些文件值。还应注意,文件擦除工具可能会删除文件名和元数据地址,或覆盖文件名中的关键值,表明该条目曾经存在,后来被作废(Carrier 2005)。
操作系统以二进制形式存储所有文件数据和元数据,这些数据通过应用程序接口转换为人类可读的文本或图像,通常被称为图形用户界面(GUI)。该图显示了以二进制形式保存的文件名数据和时间戳元数据:
文件名信息架构
元数据类别
元数据类别包含描述文件属性或特征的数据,展示文件的位置和大小。最重要的是,它提供了文件的历史记录,提供创建、修改和访问的时间戳。然而,与文件和内容类别不同,元数据本身并不记录文件内容或文件名(Carrier 2005)。
分析的重点是寻找特定文件的更多详细信息或搜索满足特定要求的文件。该类别包含许多非必要数据,可以由操作系统修改,操作系统可以更改某些元数据,例如文件访问时间。这可能会提供一些误导性的元数据。
基于元数据的恢复可能是寻找丢失或难以捉摸的文件时所需的,当删除文件的元数据没有被擦除时可以使用。文件可能已经被重新定位,例如从一个文件夹移动到另一个文件夹。这可能会导致检测困难,因为当文件重新分配时,恢复两个或更多未分配的元数据条目可能会导致它们有相同的文件地址。
元数据的检查有助于在查看文件内容、搜索文件值以及定位已删除文件时。通常,当文件名指向特定的元数据结构并需要进行文件检查时,才会启动这一过程(Carrier 2005)。
以下图显示了从一张照片缩略图中恢复的元数据。缩略图数据库文件记录了存储在特定文件夹中的多媒体文件。即使原始文件已被从文件夹中删除,小型数据库文件仍可能存在,包含原始文件的缩略版本及文件元数据。在此示例中,文件元数据包含可交换图像文件格式(EXIF)数据,这是数码相机或设备拍摄的照片的典型特征。这可能提供有关图像拍摄位置的精确地图参考,适用于某些类型的相机,有时还包括相机的序列号。
JPEG 图像缩略图文件的元数据
不同的文件类型提供基本的元数据,有时甚至会提供文件版本信息,如 MS Word 文档中的版本。下图显示的文件属性提供了文件创建、修改、最后访问的时间戳和文件位置的详细信息:
.bmp 图片文件的属性
打开文件可能会恢复文本文档的作者信息及其他高级设置。然而,若没有使用某种形式的写保护,执行此操作可能会污染文件元数据。为了防止文件内容和元数据无意中被修改,保持文件的原始状态是良好的取证实践的首要要求。
例如,如果没有使用取证保护来保护文件完整性,仅仅将文件从计算机的一个位置复制到另一个位置就会自动改变元数据。文件证据状态的这种污染可能对法律案件产生严重影响,并可能遭到对方法律团队的挑战。第四章,恢复和保护数字证据,描述了保护数字证据的重要性,并强调了防止证据污染的各种流程和取证工具。
内容类别
内容类别包括文件的内容,例如写入文档文件的文本、添加到电子表格中的图表或图像文件中的图片。如果从未分配空间恢复,可能没有关联的元数据或文件名,唯一的线索可能来自文件签名以及从内容中获取的线索,尤其是文本文档。
在文件系统中定位证据
违法行为的性质在某种程度上决定了可能恢复的相关证据类型。例如,在一起受害人因枪伤死亡的谋杀案中,确定死亡的时间、地点和死因是有帮助的。搜索工作会围绕着武器展开,包括已发射的子弹或弹壳、弹药残留物、血迹飞溅和射击轨迹数据等。在微观层面,死后分析以确定死因,发射弹壳的 DNA 分析、火药残留物的化学分析等都会进行。
洛卡尔交换原理,在第一章《数字取证及其环境的角色》中有描述,在数字取证检查中同样具有重要意义,就像在之前的情境中一样。在数字环境中,我们也在寻找“铁证”,它可能表现为通过电子邮件发送给受害人的死亡威胁。必须找到这封电子邮件,时间戳将帮助确定消息发送的时间。然而,如何确定笔记本电脑上的日期和时间是否正确,并且使用了哪个时区呢?是否能确定这条消息确实是在被扣押的笔记本电脑上创建并发送的?恶意用户是否可能创建这条消息以制造麻烦?是否有任何其他信息提供了关于这条消息的背景或可能的动机?如果笔记本电脑设置了密码保护,谁曾有权访问它?
从业人员面临的一个基本挑战是如何确定嫌疑人与从计算机中恢复的数据之间的确切联系。如果没有人为观察者或许没有监控摄像头来确认嫌疑人在犯罪发生时是否在计算机前,这就只能是凭借经验判断,或者最坏情况下只是猜测。从业人员必须依赖证据,如果证据无法得出结论,他或她必须寻找更多的证据线索,以提出可能的假设,推测发生了什么。收集所有支持不同假设的相关证据是从业人员的任务,但是否这些证据有助于确定嫌疑人的罪行或无罪,则由其他人来决定,例如陪审团。
对从业人员的挑战是定位与正在调查的案件相关的信息或数据。显然,恢复设备中的数据是有原因的——是某种犯罪、违法行为或活动,值得进行检查。调查的主题往往决定了所需的基本证据类型。然而,找到直接证据可能也意味着需要寻找与之相关联的证据,这些证据可以与关键证据相互印证。在检查过程中,根据法律公文,通常会寻找特定的证据,但有时也会发现其他犯罪的证据。因此,在处理数字案件时,保持警惕并保持开放心态至关重要。
在传统的犯罪形式中,调查人员会尝试确定犯罪行为的手段、机会和动机。在开始寻找证据之前,考虑这三种条件如何在数字环境中适用,将有助于理解整个过程。
确定犯罪手段
调查人员寻找嫌疑人实施非法行为所使用的手段或适当的过程,也就是确定犯罪行为是如何实施的以及使用了什么样的过程。安装在恢复设备上的应用软件并与犯罪行为相关联,可能会记录活动,这些记录可能对展示犯罪行为如何发生非常有用。例如,使用电子邮件发送死亡威胁,或连接互联网下载非法色情内容,会留下审计轨迹或事件日志,从而能够重建发生了什么以及涉及的过程。重建犯罪行为可能是一个相对简单的过程,也可能非常困难,因为犯罪行为和犯罪者留下的记录极少。
看似简单的概念,如发送威胁性电子邮件,可能需要一些证据来证明该邮件是在被扣押的设备上创建并发送的。初步检查时,这可能看起来没错,但进一步检查时,可能会发现虽然电子邮件账户记录了邮件的发送,但并不能确定邮件就是从该设备发送的。这个过程可能是另一个人通过远程访问账户并使用不同的计算机完成的。调查人员需要确定事实真相,并对电子邮件信息与正在检查的计算机之间的关系进行彻底分析。
确定嫌疑人是否有能力实施犯罪的另一个方面是验证嫌疑人是否具备使用相关软件的计算机技能,例如伪造电子文件或篡改照片的情况。
确定犯罪机会
拥有使用计算机进行非法活动的机会似乎很简单,但证明嫌疑人通过访问计算机确实拥有这个机会可能会是一个问题。如果没有任何佐证,可能很难(如果不是不可能的话)将犯罪发生的时间与嫌疑人对计算机或网络的访问联系起来。审计日志记录了特定用户访问计算机或网络的详细信息,通常假设使用授权用户登录信息和密码的人就是实际用户。通常情况下,确实如此,但如果另一个人未经授权获取了用户的登录信息并登录系统,除非有其他证据,比如人类观察者或监控录像来澄清发生了什么,否则可能很难证明。
审计和访问用户日志并非万无一失,可能会被篡改和伪造,因此并非总是可靠的。关键事件的时间和日期戳以及文件位置有助于确认与违规行为相关的情况。它们通常有助于确定某个用户在特定时间是否有机会进行违规行为。计算机用户访问安全可能会禁止未经授权的访问违规,并建立用户身份。这有助于缩小可能对违规行为负责的用户范围。
理想情况下,必须确定谁真正访问了设备或网络。通常,这并不是决定性的,而且假设显而易见的结论是不明智的。在刑事案件中,通常会做出谁实施了犯罪的假设,但必须排除合理怀疑地证明这一点,而在民事案件中,证明的标准较低,更多是依赖概率平衡。尽管如此,我们仍然看到一种倾向,认为设备的所有者和管理者通常是进行某些非法活动的主要嫌疑人。至少在调查的初期,这似乎是合乎逻辑的。然而,进一步的调查往往表明,其他人也可能有机会访问计算机或网络,因此潜在的嫌疑人范围会扩大。由此可见,必须彻底检查用户对设备的访问。这是为了确保调查的公平性,确保潜在用户名单的确定。
如果嫌疑人能提供一个合理且可验证的不在场证明,表明嫌疑人在犯罪发生时没有机会实施违规行为,则该嫌疑人的机会可被排除。许多计算机犯罪案件中都会提供不在场证明,包括凯斯·格里芬(Keith Griffin)在 2010 年因将儿童色情内容下载到计算机上被判刑 12 年时所提供的荒诞且被否定的不在场证明。格里芬将责任归咎于他的猫,称猫走在键盘上,导致了不雅照片的下载!(您可以在newsfeed.time.com/2010/09/12/man-blames-cat-for-child-porn-on-his-computer/了解更多案件详情。)
分析数据以将事件与特定用户关联的问题在第九章中有更详细的描述,验证证据。
确定越界动机
证明动机并非必需,而且通常很难做到,除非越界者某种形式地认罪,因为谁能知道越界者在行为发生时的内心想法呢?然而,设备上可能存在某些数据,能够提供对可能动机的解释,或者说,提供缺乏动机和犯罪意图的解释。
通过收集将用户与某些活动联系起来的证据,可以确定动机,这些活动确认了用户对计算机和相关应用程序及文件的某种程度的知识和控制。始终要警惕明显的线索。诸如“这是嫌疑人的计算机,因此嫌疑人应该负责”这种推测是高度不适当的,即使它没有被从业者口头表达出来。如第一章中所述,数字取证及其环境的角色,以证据为主导的调查和取证检查是合乎逻辑且更具科学客观性的,但在依赖数字证据的案件中,揭开真相可能是一个令人困扰的过程。
虚假证据也可以被恶作剧者相对轻松地制造出来,目的是将无辜方牵连其中,这一点在本章末尾的案例研究中有所展示。
决定在哪里寻找可能的证据
我们遇到了一个越界行为;某人有能力、有机会并有动机利用计算设备实施这一行为。使用的应用程序、文件和操作系统的记录可以提供一些有用的电子指纹,帮助从业者重建发生了什么、何时发生、发生在设备或系统中的哪里、如何发生,以及希望能够知道的为什么发生——那个通常难以证明的动机。那么,从业者应该从哪里开始呢?
计算机和其他设备将信息存储在不同类型的目录系统中,类似于 Windows 资源管理器。下图显示了通过高级取证工具 ILookIX 查看的 Windows 目录结构的一部分:
Windows 10 下的文件目录结构
然而,典型计算机上存储的文件数量使得这一过程因时间限制和检查每个文件的疲劳而变得不可行。有些是系统文件,通常不会被检查,除非进行特定检查。因此,为从业者提供易于查看的文件分类会更有帮助。例如,如果网页文件如 HTML 及其他类别被方便地分类,将会使定位和选择证据变得更快且不那么繁琐。
文件类别可以分为文件签名和文件类型,如下一个截图中 ILookIX 的类别浏览器面板所示。文件签名识别文件的内部结构和模式,而文件类型则基于使用该文件的应用软件,例如微软 Office 通过 Word 打开扩展名为.docx的文件:
在 ILookIX 类别浏览器窗格中查看的文件类型和文件签名
如果正在寻找电子邮件消息或多媒体文件,那么这些有用的目录将是搜索的便捷起点。主要关注领域可以被分类,并为各种案件提供一些有用的起点,如下表中所列举的示例所示:
| 类别 | 搜索原因 |
|---|---|
| 压缩文件 | 这些包括压缩和打包的文件,其内容可能与调查相关。 |
| 音频 | 这些文件可能记录了一些 Skype 对话,或者提供下载侵犯版权的音乐文件的证据。 |
| 数据库 | 这些包括缩略图文件(.db)的数据库以及与用户在设备上活动相关的其他记录。 |
| 电子邮件 | 这些是有关人类通信的重要信息来源,有时还包含具有刑事证据的内容。 |
| 事件日志 | 这些是设备保存的各种用户和系统活动记录——对于重建事件时间线非常有用。 |
| 互联网浏览器文件 | 这些文件记录了浏览活动以及可能与调查相关的搜索记录。 |
| 链接文件 | 这些文件告诉我们最近使用的文件和应用程序,并帮助重建用户活动和事件时间线。 |
| 微软 Office 套件 | 这包括与用户及其他回应者活动相关的文本和其他文档。 |
| 回收站 | 删除的文件和文件夹常常是丰富的证据来源。 |
| 注册表文件 | 注册表记录了可供用户使用的各种功能的状态,并且有各种连接到计算机的设备记录。 |
| 系统文件 | 大多数这些文件可能与检查无关,但其中一些在重建相关事件时发挥重要作用。 |
| 视频 | 这些文件可能包含与案件相关的用户活动证据,或者例如儿童剥削材料。 |
索引和文件搜索
文件的索引和搜索是另一种选择,且是更高级的过程,广受实践者青睐,用于在大型数据集中定位信息,包括桌面计算机和笔记本电脑,速度和便利性更高。它允许根据文件类型和签名、文件名、内容、元数据、时间框架、文件大小等对数据进行索引。例如,如果要查找在估计时间内发送的电子邮件死亡威胁,实践者可以搜索该期间内所有发出的电子邮件,并搜索电子邮件内容,如威胁的细节。搜索还可以通过查找匹配已知信息的发件人和收件人详情来过滤,以节省时间。
搜索可以是基于索引的搜索或关键词搜索。基于索引的搜索要求对数据集中的每个文件进行索引,实践者可以决定哪些文件可能与检查相关,并且可以过滤掉多余的文件,这些文件本来会拖慢索引和搜索过程。尽管索引可能需要一些时间,但它是机器生成的,更多的细节将在第五章,对加强法医工具的需求中描述。一旦数据集被索引,搜索时间几乎是即时的,实践者将得到更快速的结果。
下图显示了由先进的 ISeekDesigner 程序创建的配置文件中的多种搜索词,该程序为实践者提供了丰富的关键词搜索词选择。在此过程中,ISeekDiscovery 自动化工具使用该配置文件来搜索这些词,随后它们会被索引以加速分析:
多种关键词搜索词填充在 ISeekDesigner 配置文件中
搜索结果以多种格式呈现,允许实践者查看较小且更易管理的数据集,如下图所示。它展示了对一个包含超过两百万个文件的大型数据集进行搜索的结果,识别出六个有助于此训练犯罪模拟案例重建的文件,这些模拟是由我设计的:
寻找干草堆中的针并找到它们
未分配数据分析
存储数据的硬盘或存储驱动器的可用空间取决于设备的大小和安装的任何组件。例如,一台新购买的笔记本电脑可能已经安装了操作系统和一系列基本的软件应用程序、系统文件、用户数据等。剩余的空间,处于原始状态,可以根据用户、系统和软件应用程序的需要存储数据。这个空闲空间或未分配空间最初是空的,但在正常使用过程中很快会开始被填充。
文件可能从已分配的空间中恢复,在该空间中,操作系统以所谓的逻辑状态维护文件。除非它们是隐藏文件,否则这里的大部分文件都可以在法医恢复过程中找到并恢复。删除的文件也可以从垃圾桶文件夹中恢复。
最终,设备可能会因空间耗尽而导致操作系统崩溃,或者至少使其运行变得迟缓。用户经常删除文件,并将其保存在垃圾桶中,这些文件可以从垃圾桶恢复或重新移动到未分配空间。在未分配空间中,文件的残余部分依然存在,但会进一步被新写入的文件覆盖,直到完全消失。
然而,法医工具允许专家恢复这些文件或已删除文件的碎片,这些文件碎片可能有助于重构案件中的关键事件。通过检查文件目录中已删除的文件名,删除的文件可以轻松恢复。然而,在更改元数据之前,已删除的文件名常常会被重新使用。文件可能没有保留文件名,但文件的元数据可能依然存在。相反,文件名和元数据可能还在,但文件内容已不复存在。
经验丰富的专家通过一致性检查未分配块,可以发现故意隐藏数据的行为或文件系统错误,这些错误隐藏了数据。通过在两个有效条目之间找到已清零或无效的条目,也可以检测到数据擦除。数据雕刻是用来恢复文件碎片的技术,可以通过使用十六进制编辑器手动进行,或使用高级法医工具自动完成。这些工具和流程在第五章,增强法医工具的需求,以及第六章,选择和分析数字证据中有更详细的描述。然而,除非能够访问设备,否则所有这些数据恢复尝试可能会被阻止,如果设备已被密码保护并加密。
解释密码安全、加密和隐藏文件
以下部分描述了密码安全和加密,以及如何保护信息并防止证据被窥探。它们概述了管理计算机设备和网络安全的基本流程,并解释了数字信息为何需要防范广泛威胁的保护。
用户对计算机设备的访问
为了保护存储在设备上的数据免受未经授权的访问,用户访问控制提供了一定程度的保护。这适用于台式机、笔记本电脑、手机和其他手持设备、家庭安全系统以及广泛的其他电子设备。不仅需要限制对信息的直接人类访问,只有授权人员可以访问,而且信息还需要防止被其他程序、进程或系统访问,这些程序、进程或系统可能与设备连接。例如,登录到网络服务器的工作人员通常不应访问其他工作人员的终端(除非担任监督或支持角色)。否则,敏感信息将无法得到保护,情况最糟糕的情况下将变得混乱。
那么,为什么用户访问如此重要呢?信息具有保密性、完整性和可用性方面的价值,而这些都面临风险并需要保护。以下小节将描述这些术语。
理解信息保密性的重要性
保密性或隐私性要求防止未经授权的信息访问。即使访问是授权的,用户也可能以未经授权的方式使用该信息。例如,一位同事看到另一位同事已经离开办公室,但电脑仍在运行,从而允许未经授权的访问。该同事访问了电脑,阅读了一些机密文件,并将这些信息用于不正当(未经授权)用途。后来,信息的管理者被调查,但没有发现任何未经授权访问其电脑的记录。实践者可能能够重构未经授权访问的事件和时间,但从电脑记录中发现入侵者的证据几乎是不可能的。
理解信息完整性的重要性
信息的完整性还需要保护:某种形式的保证或担保,确保信息保持原始状态,没有被篡改或污染。信息的创建者和管理者需要确信信息没有被未经授权的行为、人工干预或计算机系统故障所改变或破坏。
以黑客入侵受害者的计算机为例,例如银行计算机,并悄悄修改重要财务记录的内容,作为在线欺诈的一部分。这种攻击不仅改变了记录的完整性,而且有人获利,有人失利。由此可见,最初有合法权限访问这些记录的银行人员将成为主要嫌疑人。
信息的完整性需要某种保证,以确保信息没有受到未经授权的创建、修改或操控,并且所有相关的交易都是正当且真实的。
理解信息可用性的重要性
信息可用性意味着信息对那些希望使用它的人是可访问的。然而,用户可能会无意中拒绝自己或他人访问信息,或者系统过程可能会使信息不可用。黑客和其他恶意分子通过网络攻击来拒绝用户和组织访问自己的信息。这些攻击被称为拒绝可用性攻击,可能还涉及某种形式的敲诈,要求支付财务报酬以确保信息再次对其合法所有者可访问。对网络和受感染计算机终端的取证检查可能会找到拒绝访问的原因,并允许组织恢复访问,以继续正常的业务。关于恶意软件检测的新方法的深入探讨将在第五章中提供,增强取证工具的需求。
用户访问安全控制
保护计算机、手机或网络免受未经授权访问是信息资源安全管理的一部分。几乎每天都会看到关于网络安全漏洞的新闻头条,或者听说身边的朋友的计算机或网络被入侵者攻击和破坏。随着旨在改善人类生活条件的技术进步,出现了一个阴险的副作用,威胁着信息资产的隐私、完整性和可用性。
防止未经授权的访问是通过严格规定谁可以访问数据以及可以访问哪些数据来实现的。用户访问管理可以视为防御的第一道防线,并且很少是万无一失的。它使用一系列基于已建立安全策略的保护过程。例如,在最简单的形式下,当购买一台新笔记本电脑时,通常会授予用户管理员权限——这是一种更高水平的设备管理控制。作为管理员,其他用户和访客用户可以通过创建其他用户帐户来使用该设备,而这些帐户可能会设置密码保护,也可能不会。
对于网络系统,使用更复杂的访问控制层级,通过严格的访问控制点和级别来管理大量的网络用户。会记录一份用户列表及其访问权限或特权的详细信息,并且会记录每个用户的访问日期、时间和持续时长的审计记录。
密码或密码短语通常与用户的唯一身份标识名称一起使用。生物特征保护,如指纹和虹膜检测,可能会被使用,或者可能会采用其他形式的安全保护措施,以阻止并最小化未经授权的利用的可能性。
各种应用程序提供了绕过或解锁隐藏密码的方法,使得访问驱动器内容变得更加容易。密码保护的设备可能给从业人员带来困难,尤其是在内容被加密的情况下,后续小节将进一步阐述这一点。
加密设备和文件
加密技术已被使用了数千年,用于隐藏信息以防止未经授权的查看;即使信息被拦截,加密也能防止或至少阻碍未经授权的查看,保护消息或容器的内容。在保护数字设备和消息方面,使用了多种隐私安全技术,以保持信息的机密性。加密技术在大多数数字设备上都有应用,尤其是在台式计算机、移动电话、平板电脑和服务器网络中。它们还包括电子邮件和其他通信消息的安全加密。
无论加密的级别如何,加密的 Achilles 之踵是密码、密码短语或其他形式的访问控制,用于打开加密的存储区。没有这个访问密钥,数据将无法被打开。一些简单的加密形式,比如 Word 文档保护,可以通过使用互联网上随时可用的程序轻松破解,从而击败保护文档的简单加密。更高级的加密应用程序也可以被绕过,但用于保护信息的算法的强大性可能使得打开存储区的过程变得耗时。近年来使用在更现代设备上的高级加密技术,特别是在具有加密区域和微芯片的移动电话上,目前正在击败寻求访问的专家,尽管他们使用的是所谓的先进法医工具。
面对被锁定和加密的设备,从业人员遇到的问题正成为一个严峻的挑战,稍后在书中会进一步讨论这一问题。
案例研究 – 将证据与用户关联
本案例研究涉及对 2006 年执法人员提供的被告笔记本电脑法医镜像的检查。在被告的笔记本电脑上,计算机修理员发现了一些未成年性行为的照片和视频,并将此事报告给警方,导致该笔记本电脑被查封,并在 2008 年提出刑事指控。从逮捕到审判的 2 年延迟可能是由于相关机构的工作负担繁重。
被告显然不相信自己曾将非法的色情文件下载到笔记本电脑上,并坚持自己无罪,这促使辩方团队对相关信息的可靠性进行检查,从而帮助后续的法律分析。违法材料在 2004 年和 2005 年间被放置在笔记本电脑上,而在此期间笔记本电脑曾由同一位维修员修理,该维修员显然没有注意到并报告在第一次修理时发现的材料。
辩方专家对从扣押的电脑中恢复的物理和逻辑信息进行检查,确认了警方的主张,即非法电影文件很可能是在 2004 年 9 月至 10 月期间下载的。显然,这些文件很可能是通过 LimeWire 程序下载到笔记本电脑上的,其余文件则在 2005 年 1 月下载,并且很可能是在该设备上观看的。
根据对程序可执行部分相关文件创建日期的检查,计算机上安装了 RealPlayer 和 Windows Media Player。这些应用程序可播放电影、音频和图像文件。两款应用程序都具有记录最近播放文件的功能。根据该机构报告,多个最近播放的文件与识别为相关电影的文件具有相同的文件名。重新检查数据后确认,多个非法文件曾多次被 RealPlayer 访问,而仅在一次情况下被 Windows Media Player 访问。
被告的年轻青少年子女在此期间有接触该笔记本电脑,并且在电脑上创建并访问了两个淫秽图像文件。电影和图像的最后访问日期被病毒扫描程序无意中更改,从而模糊了日期并使电影和图像查看器应用程序的重建不完整。该机构错误地解读了关键文件的不可靠的最后访问日期,并将其作为文件被用户访问的证据,从而延长了可能犯罪活动的时间段。事实上,文件元数据挑战了这一主张,并削弱了控方的论点。
从数字证据的表面来看,在笔记本电脑被查封时,可能看起来很合理地认为被告——电脑的所有者和保管者,且电脑位于其住所——是最可能的嫌疑人。然而,在 2005 年 9 月至 2006 年查封日期之间,其他人在电影被访问和观看的期间也有机会使用这台电脑。此外,一对年轻夫妇从 2005 年 6 月末到 2006 年 2 月初也曾不受限制地使用过该电脑。其他一些人(这对夫妇的朋友)在同一时期也曾使用过笔记本电脑。还有另一个人曾在 2005 年 7 月到 2005 年 9 月期间住在该住所。被告也常将笔记本电脑带到工作地点,其他人也可以不受限制地使用它。
还有证据表明,被告在一些非法文件被下载并在笔记本电脑上播放的期间不在他所在的城市。被告的青少年子女当时在场,并且每周会有一些朋友留宿在家里,他们被认为曾使用过笔记本电脑。密码安全性很基础,任何愿意使用它的人都知道密码。
辩方专家对重建的使用时间线进行检查时发现,一部非法电影文件在 2005 年 10 月 17 日被修改并写入,这时笔记本电脑被认为处于电脑维修人员的手中。此问题未被检方提出,也未向辩方团队披露,但这却提高了另一位潜在嫌疑人的可能性。
对于存储设备上非法电影及其副本的数量,也存在一些差异。然而,重新检查法医图像显示,设备上有六部独立的电影和九个文件副本,这与检方所声称的远远多于此的数量相矛盾。文件的记录不准确,这对检方案件的核心文件提出了疑问,也对检方专家的专业性产生了怀疑。
在电脑中发现了恶意软件,即木马病毒 A0044827.exe Infected: Backdoor.Win32.Agent。然而,并没有证据表明该恶意软件已经感染并控制了笔记本电脑,使其容易受到未经授权的远程控制。同样,对这一恶意软件在笔记本电脑上的活动的检查,交由辩方专家负责,并且由被告承担费用!
毫不奇怪,针对被告的案件最终被驳回。
这可能导致不完整和有偏见的分析,进而使用可疑证据和错误分析做出定罪。必须始终小心谨慎,确保调查是以证据为主导的,而不是以嫌疑人为主导的过程,正如本次调查中所发生的情况。
参考文献
Adams, R. 2013. “云存储的兴起及新数字取证流程模型的需求。”《网络犯罪与云取证:调查过程的应用》:79-104。由 K. Ruan 编辑。美国宾夕法尼亚州赫希:IGI Global 出版社。
Bell, G. B. 和 R. G. Boddington 2010. “固态硬盘:当前数字取证恢复实践的终结之始?”《数字取证、安全与法律期刊》,5(3):1-20。
Carrier, B. 2005. 文件系统取证分析。新泽西州上萨德尔河:艾迪生-韦斯理出版社。
概述
本章描述了各种计算机和存储设备,并概述了它们所保存的具有潜在证据价值的数字信息的性质。操作系统软件和应用程序功能及性质的解释引入了文件创建、文件传输以及电子信息存储的过程。本章介绍并解释了文件系统的性质,概述了一些包含证据价值的典型文件,并指出它们可能在设备上的位置。关于密码安全性和加密的总结表明,数字设备正变得更加先进,且加密正作为一种有效的安全特性被使用。这现在对试图寻找隐藏证据的从业人员构成了显著的挑战。
本章节中展示的数字证据在第三章中有更详细的描述,数字证据的性质和特殊属性,该章节解释了数字证据的性质和特殊属性,并确实决定了从业人员在案件审查时所遵循的取证方法。数字证据与其他类型的证据有许多共同特点,但也有其独特的属性,使得它既充满挑战又具有探索和利用的价值。第三章,数字证据的性质和特殊属性,强调了数字证据的技术复杂性以及它们对从业人员在分析证据并向法院解释证据时所带来的挑战。它定义了可接受性的权重以及数字取证必须满足的要求,才能在法律案件中被认为是可被采纳的。
第三章。数字证据的性质与特殊属性
到 21 世纪初,超过一半的刑事案件涉及某种计算设备,而且这一趋势仍在继续,并且可能会进一步上升。它在法律案件中的使用也在增长,且没有减少的迹象。数字证据源自对各种数字设备的检查,并与其他形式的证据具有相似的特性。虽然有些差异有助于增强证据恢复分析,但正如本书所示,也存在一些特性,使得执业人员在处理时面临挑战。
本章定义并描述了数字证据的特殊属性及其对调查的贡献。本章将具体涵盖以下内容:
-
定义数字证据及其用途
-
解释数字证据的特殊属性,包括其时间和位置元数据以及文件特征
-
突出数字证据的技术复杂性及其对准确分析的挑战
-
解释确定数字证据可采纳性的要求
-
提供一个案例研究示例,以说明数字证据的性质及其在法律案件中的价值
定义数字证据
数字证据是以数字形式存在的信息,通常可以在各种计算设备上找到;实际上,它是任何包含微芯片或经过微芯片处理后存储在其他介质上的物品。数字数据是通常以二进制形式表示的数值,与以模拟形式存储的电子数据不同。曾有报道称,一名澳大利亚毒品走私犯将其客户和交易的电子表格隐藏在植入其宠物狗体内的微芯片中。当一名机智的警察询问嫌疑人住所内是否有微芯片植入枪时,便发现了这一点。这一发现促使对狗进行小型手术以移除芯片,随后发现芯片内包含了一个电子表格,列出了毒品交易商和交易记录。
在法律案件中提交的证据,如刑事审判中,是作为证人证言或直接证据,或以物品形式呈现的间接证据,例如物理文件、个人财产等。以电子形式存在的证据,包括数字和模拟数据,被定义为实物证据,有时也被称为文书证据。它也被称为信息技术证据、电子证据或计算机证据。数字证据包括电子邮件、电子文件、电子表格、数据库、系统日志以及音频、图片和视频文件等。提交法院的最常见证据形式是执业人员在提供数字证据解释时的口头陈述。
数字证据的使用
法律案件中的证据用于证明(或反驳)争议中的事实,以及证明争议事实的合理性——尤其是间接证据或旁证。数字证据就像文书证据一样,提供推论,这些推论可能有助于证明案件中的某个关键事实。它帮助调查人员和法律团队发展出关于犯罪嫌疑人的可靠假设或理论。它在建立犯罪、受害者与犯罪嫌疑人之间的联系方面显得尤为重要。证据的可靠性对于支持或反驳任何关于可能嫌疑人参与的假设至关重要。我们将在第六章《选择与分析数字证据》中详细探讨这一点,选择与分析数字证据。
数字证据根据每个案件的具体情况和从中恢复证据的设备类型可能有多种形式。过去,最常见的恢复方式是从台式计算机、笔记本电脑和网络服务器中提取。收集到的数字证据有助于刑事和民事案件,有时甚至可能是唯一的证据。恢复工作通常通过物理移除源设备中的硬盘并将其连接到执法人员的计算机上来完成。为了防止或最小化嫌疑人源设备的污染,我们可以使用一种名为写保护器的硬件设备,以便复制可能包含证据的数据。硬件和软件写保护工具及过程的使用将在第四章《恢复与保存数字证据》中详细描述,恢复与保存数字证据。
镜像过程旨在将所有数据块从嫌疑人的设备复制到执法人员的目标设备。这通常被称为数据的物理复制,与逻辑复制有所区别,逻辑复制仅会复制用户通常能看到的内容。逻辑复制无法捕捉所有数据,且该过程会更改某些文件的元数据,从而大大降低其法医价值,导致可能会受到对方法律团队的挑战。因此,完整的逐位复制是首选的法医处理过程。在目标设备上创建的文件称为法医镜像文件,可以选择多种格式,包括 .AFF、.ASB、.E01 和 .dd 或原始镜像文件,以及虚拟镜像格式如 .VMDK 和 .VDI。
以下截图显示了由 IXImager 生成的 .ASB 法医镜像容器,其中包含一个加密的日志文件和一个图像文件:
一个 ASB 容器和日志文件
能够制作数据的精确副本的好处在于可以复制该数据,然后将原始设备返还给所有者或存储以供审判,通常无需反复检查。这减少了驱动器故障或证据污染的可能性。以下屏幕截图显示了成像过程日志文件的部分内容。这可能在法律程序中展示,以确认从业者进行成像的性质和情况:
日志文件显示了对 250GB 驱动器进行成像的时间段
特殊的取证工具需要打开和检查图像中保存的数据,它们这样做而不改变图像和污染证据,符合良好的取证实践传统。与有机或物理展品不同,例如尸体或油画,在测试期间通常会切取组织活检和画布以及颜料样本并通常会被破坏,取证图像会以原始状态保存所有数据。它允许使用取证软件提取和显示重要文件,但不会改变图像或其中包含的文件和元数据的构成和完整性。
能够检查图像中文件和文件夹以重建相关事件的能力需要一个用户友好的界面。通过增强的取证软件现在支持查看系统文件,导航文件目录,并打开缓存文件夹以查看浏览历史。以下屏幕截图显示了使用 ILookIX 查看文本文件的情况,以便在决定文件是否与调查相关时查看内容:
使用 ILookIX 查看文本文件
屏幕截图显示了一个文件的确切视图,显示了属性表,提供了文件元数据的记录,包括时间戳和文件位置。这些信息可能对重建违规行为或识别与作案者的链接有用:
使用 ILookIX 查看文件的属性表
同样地,从网络服务器计算机中恢复和查看信息可能会受到限制,因为组织可能不希望停止其正常业务,因为每个服务器或服务器上的文件夹可能会被成像。这样做可能成本高昂且耗时,并不能保证能够恢复所需的证据。以下图片展示了 ISEEKDISCOVERY 自动机在大型数据集上部署以恢复可能对调查有价值的文件搜索结果的电子表格,而不会干扰网络功能或污染数据:
ISEEKDISCOVERY 自动机:搜索词命中统计和相应恢复的文件
以下截图显示了已选定的待进一步分析的感兴趣文件。这些文件可以与调查员和法律团队共享,以便他们查看这些信息是否有用,并决定是否提取:
基于搜索词的文件类别,用于后续分析
移动电话和其他手持设备与桌面设备的成像方式不同。外部设备如法医计算机的硬件和接口也有所不同。以 iPhone 为例:除非已知密码,否则无法访问该设备。苹果公司使用一系列加密的扇区,这些扇区位于微芯片上,使得难以访问手机内部的原始数据。已经开发出专门的软件,用于恢复和分析来自手机、全球定位系统(GPS)设备、平板电脑和远程电话调制解调器的数据。
该软件将检查员的计算机与移动设备连接,通过一系列用户命令和对设备设置的一些小调整,实现数据提取。该软件提供设备的基本信息的逻辑提取,并记录设备特性和提取日志。这使得数据快速分类成为可能。直到最近,手机的更详细提取成为可能,允许通过所谓的物理提取方式提取或导出更多设备数据。iPhone 4S 及以后的型号不再支持物理提取。最近版本的 Android 设备同样限制了只能进行设备的备份,而不再允许恢复物理数据。附带的 SIM 卡和任何数据存储 SD 卡也可以通过这些应用程序进行检查。
领先的软件应用程序,如 Cellebrite 和 Microsystemation 的 XRY 套件,创建了一个专有的证据容器,包含已恢复的设备数据以及提取日志。该容器只能由软件读取,但允许提取和导出文件以供进一步分析。该软件的用户界面现在已经过优化,能够加快分析和报告生成,特别是在涉及更多设备的大规模调查中。
以下截图显示了 XRY 查看器屏幕中的物理提取案例摘要。在这个例子中,在较早的 Android 版本(2.3.4)中,曾可以对浏览活动的关键证据进行物理提取。这些额外的证据为被告提供了机会,证明他在严重刑事指控中的清白。最近,我的同事们通过测试发现,仍有大量数据是传统提取软件无法捕获的:
一款三星 GT-S7500l Galaxy Ace Plus 的 XRY 物理提取案例摘要视图
然而,在连接设备时,必须小心确保它不会连接到移动网络、本地 Wi-Fi 或附近的蓝牙设备。SIM 卡应当移除,并可单独检查,以防止通过不经意的本地连接污染手机数据。已有很多案例显示,手机被远程重置为出厂默认模式,从而清除任何需要检查的数据。远程擦除应用程序旨在帮助手机拥有者在手机丢失或被盗时擦除私人数据,现在也被那些希望阻碍调查人员获取潜在证据的人所使用。
与笔记本电脑和台式电脑不同,手机在数据恢复过程中并未完全受到取证软件和工具的写保护。通常会在手机上安装小型程序来协助提取过程。这可能会污染并覆盖设备上的某些空间,尽管这并不理想,但却是不可避免的。第八章,浏览器、电子邮件、信息系统和手机的检查将更详细地描述手机取证及其由于加密技术增强而给从业人员带来的挑战。
数字证据的特殊特点
或许你需要一些解释,以了解法院认为哪些证据是可接受的,哪些是不可接受的。在法律程序中提交的证据有不同的类别。最常见的是直接证据,有时也称为证人或证言证据。这是证人观察到的事件证据,依赖于证人对记忆的可靠性、诚实性、客观性等方面的可信度。此类证人证言可能会受到挑战和驳斥,但它通常在法庭上有助于确立事实的真相。
人类证言必须基于人类观察——通常称为目击者证言。它可能是证人直接听到、感受到、闻到、尝到或触及到的东西,但不能是道听途说的证据或外行人的意见。道听途说的证据是指证人并未通过五感直接观察到的任何与案件相关的事宜。
法院对于传闻证据有严格的规则,通常会拒绝那些没有被证人直接观察到的证据。例如,如果一名警察被证人告知某个犯罪行为发生并逮捕了犯罪嫌疑人,该警察不能提供证人所观察到的、并已声称的事实证据。来自警察的这类证据会被拒绝,因为它被视为不可靠。证人可以向法庭陈述自己所观察到的事实,而不是警察。法院不认为传闻证据具有可信性,特别是当法院无法对证人进行交叉询问以判断其可信度时。
对该规则有一些例外,这些例外是由法院实践、立法和案例法规定的。例如,意见可以作为专家和科学意见提出,关于这一点将在第六章中进行更详细的讨论,选择与分析数字证据。
数字证据的间接性质
与人类证人提供的证据不同,后者必须基于证人所观察到的事实,间接证据,例如数字证据,被视为传闻证据。间接证据,包括数字证据,通常被视为间接证据,可以与例如纸上墨迹等物理文件一样进行分类。
理论上,由于数字证据的真实性很难验证,它在基于英美法系的司法管辖区内,在许多刑事案件中是不被接纳的。然而,如今在刑事案件中,是否接受数字证据是由法官裁量的。这引发了一些主张,认为这种宽容的做法与正义的利益相悖。
存储在电子数据库和审计日志中的数字信息,例如,由计算机生成,并不总是包含由人类用户生成的信息。这类信息在一些早期的法律审判中曾受到挑战,但成功辩护认为,在对创建和记录信息的计算机可靠性和准确性作出某些保证的前提下,这些记录可以被接纳。法院还要求提供一些证据,证明这些记录的创建和存储是组织业务活动的一部分。自动化数字记录的超速车辆,通过雷达探测器生成的证据,在法庭上已经被接受了数十年,尽管它的可靠性曾受到一定程度的挑战,并且有过有限的成功反驳。
人类证词并非万无一失,有时会被发现是虚假的、具有误导性,甚至完全错误。间接证据没有声音,因此可以从中推断出一些事实,以帮助证明某个关键事实。在这方面,基于数字证据得出的推断现在常常被用来证明案件中的关键事实,方式类似于在谋杀现场发现的刀具,会通过 DNA 和指纹测试来识别嫌疑人。
然而,由于其固有特性,间接证据本质上是概率性的,这使得在重建案件时充满挑战。数字证据和文献证据受到相同程度的法律审查。它们通常作为证据在审判中与其他证据一起使用,形成提交方的联合证词。由于数字证据与实物文件在形式上具有相似性,它现在在法院中得到了更广泛的接受。
数字取证专家的角色至关重要,他们通过科学解释和意见阐释证据并解读其含义。实际上,他们从证据中解释出意义,以帮助法庭理解证据的性质以及可以从中推导出哪些推论。理想情况下,文献证据不是孤立提交的,而是通过其他相关证据的佐证或被佐证,增强其可采性和可靠性。经验丰富的从业者会寻找额外的证据,以帮助将证据置于其创建的背景中,并与案件中相关事件的相关人员关联起来。
有趣的是,美国联邦证据规则排除了证人心态或状态的陈述,不受传闻规则的限制。规则 803(3) (www.law.cornell.edu/rules/fre/rule_803) 规定了“声明者当时存在的心态、情感、感觉或身体状况(如意图、计划、动机、设计、心理感觉、疼痛和身体健康)的陈述是可以接受的,但不包括用以证明记忆或信仰的陈述,除非它涉及声明者遗嘱的执行、撤销、鉴定或条款。”
这个重要的例外适用于电子邮件和社交网络网站,尽管它们的交流方式表面上看似非正式,但通常包含作者心态的坦率表达。这在其他司法管辖区是普遍接受的原则,尽管证明犯罪意图必须在超越合理怀疑的证据范围内进行,而非基于百分之百的确定性。
文件元数据与其他证据的关联
数字证据通常容易定位和处理,并且可能包含有用的元数据,这些元数据可以为过去事件提供重要的证明。许多评论员认为它优于其他形式的证据。作为数字证据恢复的文件,包含有用的前置信息,这些信息以文件内容和元数据的形式展现,包括文件的创建、修改和最后访问时间戳。文件的名称和位置通常会保留在计算机上,还有一些关于它最后一次打开和查看的时间的信息。这些信息对于重建与调查相关的过去事件非常有帮助,且经常出现在数字证据中。
文件元数据广泛存储在各类应用程序中。例如,Windows 注册表会记录连接到计算机的标准外设设备,如硬盘、显示器、键盘和打印机。以下截图展示了连接到计算机的 USB 设备的记录,包括最后修改的时间戳、设备类型和序列号:
显示连接的 USB 设备记录的 Windows 注册表
显示用户最近访问文件的链接文件分布在计算机各处。它们可以帮助查看最近访问了哪些应用程序以及正在访问的文件的身份信息。在重建关键事件的时间线时,这些信息非常有用。链接文件和跳转列表在这方面十分有帮助,能够提供文件位置和时间戳元数据,如下图所示:
恢复的链接文件列表
了解用户的浏览历史对于犯罪重建也能提供重要线索。Cookie 文件通常存储在计算机上。这些是由每个用户访问的网站创建的小型文本文件,并存储在计算机中。以下截图展示了从计算机中恢复的 cookie 文件列表:
恢复的 cookie 文件列表
互联网浏览器通常会存储访问过的网站详细信息,这些信息会保存在可以恢复的缓存文件中,如下图所示。然而,如果用户禁用了浏览器历史记录,可能无法记录这些数据:
恢复的浏览器缓存文件
更有帮助的是,从搜索历史记录中恢复的信息,显示了用户在浏览器中进行的搜索记录。如下图所示,这些记录包含了丰富的时间戳和搜索词。请记住,这些信息是从取证镜像中恢复的,而不是通过启动计算机查看浏览器历史记录获得的。后者可能会污染记录,而且很可能只能恢复部分数据。
其他数据可能不易恢复,需要使用取证工具来恢复额外的数据集。可以将取证镜像转换为可启动的虚拟驱动器,以模拟计算机在逻辑或正常查看模式下的操作,避免污染原始镜像:
恢复的数据库文件,包含搜索词历史记录
许多软件应用程序会在其应用日志中记录数据。多媒体播放器将此功能作为默认设置,如下图所示。这些日志结合最近查看的链接文件可以用来重建与调查相关的时间线的部分内容:
最近在 VLC 媒体播放器中查看的文件
如下图所示,虚拟机应用程序如 TightVNC 可以通过ProgramData文件夹访问。可以确定并恢复程序访问的实际日期及其他用户活动:
远程访问应用程序的位置
文件内容信息对实践者来说是无价的,但元数据提供了附加信息,这些信息往往也非常有价值。第六章,选择与分析数字证据将提供有关文件和元数据分析的更多细节。
数字证据的技术复杂性
本节概述了数字证据的技术复杂性以及对准确分析的挑战。像所有间接证据一样,理解从犯罪现场恢复的更复杂证据构件存在挑战。由于数字证据及其环境的技术复杂性,需要一定的经验和专业知识。现在我们已经看到文件和元数据信息对实践者有多么有用,清晰、全面地理解数字信息的性质至关重要。本节将介绍在使用和分析数字证据时遇到的一些挑战,表明数字取证,尽管提供了如此重要的材料,但并不是一项轻松的任务。
在电子和数字数据出现之前,伪造和篡改物理文件相较于数字数据较为困难,因为有安全措施保护重要文件,并且篡改纸上的墨水或铅笔字迹需要特殊技能。然而,应该注意的是,如今超过 90%的文件都以数字格式存储。这给检测数据篡改带来了显著困难,要求实践者通过明确的证据链将违法者与启动事件或某些结论性陈述联系起来。理论上这听起来很好,但往往证据丢失或被擦除,完整的证据链并不总是能获得。文件元数据可能存在,但通过元数据将嫌疑人与事件联系起来,特别是确定创建事件的人的元数据,充满了困难。
在任何审查中,最重要的要求是将嫌疑人与相关或与犯罪行为相关的事件联系起来。由于缺乏有效的科学流程来将违法者与事件联系起来,再加上匿名攻击受害者计算机和网络的远程攻击日益增多,问题变得更加复杂。对于从业人员来说,意识到这种利用行为已经是一项艰巨的任务,更别提追踪违法者的身份了。即便追踪到攻击者的地点,他们通常位于一些为其提供庇护的国家。即使存在引渡条约,这些条约也不一定能促使他们迅速且经济地被逮捕。
数字证据的可塑性
数字证据容易受到污染这一点不容小觑,在本章末的案例研究中得到了突出展示。在任何取证恢复潜在证据的过程中,都必须非常小心,避免污染证据,特别是犯罪现场。根据犯罪现场的不同,可能存在各种因素,能够破坏或至少改变证据。动物和昆虫的食腐行为、自然环境的变化以及土地的扰动都可能影响尸体的组成,这可能使得识别尸体及估算死亡时间和死因变得困难。
同样,电子数据可能因不当处理而轻易被修改、损坏或删除,即便是出于好意。开启数字设备将启动操作系统以及与启动系统相关的各种应用程序。关闭设备则会清除内存(RAM),更糟糕的是,如果设备设有密码保护和加密,可能会使其无法再次访问。需要使用取证工具来连接并访问设备上存储的数据。这些工具必须防止,或至少将对存储数据的污染降到最低。第四章,恢复与保护数字证据,详细描述了用于最小化证据污染的流程和取证工具。
数字证据可能被修改以删除其在计算设备上存在的所有痕迹,而且这种修改的证据并不总是能够被识别出来。它需要审查员付出相当大的努力和专业知识,甚至需要运气或先进的数据雕刻技术来恢复一些文件名和内容痕迹或元数据,这些痕迹表明文件或用于删除或修改它的软件曾经存在。如第二章,硬件与软件环境中所述,缩略图 .db 文件就是一个例子,它显示了计算机中多媒体文件的曾经存在。
元数据不应被表面接受
元数据显示了文件历史的各个阶段。最常见的情况是,它显示文件在设备文件夹中存在时的创建日期。在文本文件创建的情况下,创建日期、文件修改日期和最后访问日期会是相同的,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
10/10/2012 20:50:32 |
10/10/2012 20:50:32 |
10/10/2012 20:50:32 |
文件元数据时间戳
然而,如果用户在稍后的时间访问了文件,最后访问日期将反映那个更晚的事件,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
10/10/2012 20:50:32 |
10/10/2012 20:50:32 |
15/10/2012 18:.03:49 |
最后访问时间戳已更改
如果用户访问文件并修改了内容,比如删除了部分文本文件的内容,该事件将反映在之后的时间戳中,以显示修改。最后访问日期也会更改以反映该事件,如下表所示:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
10/10/2012 20:50:32 |
16/10/2012 11:50:59 |
16/10/2012 11:50:59 |
最后修改和访问日期
需要强调的是,元数据并不会记录所有的访问和修改事件。Word 文档可能会存储之前的版本,这需要打开文件查看是否提供了关于文件前因和内容的额外信息。这一功能并不是 Word 文档的默认设置,但作为操作程序值得检查。
最后访问日期不应被视为文件最后一次由用户访问的实际时间,因为在例行扫描过程中,杀毒软件会访问计算机上的大多数文件以检测恶意软件,这可能会更改最后访问日期。这可以通过读取杀毒软件中的扫描日志来发现。
在以下示例中,基于第二章的案例研究,硬件与软件环境,涉及使用电影播放器查看电影文件,这些文件在一起构成了一个重要的刑事案件。需要仔细检查文件时间戳和用户访问日志。检察官声称,电影自2004 年 9 月 19 日起,通过 Kazaa 文件共享应用下载,并从共享目录文件夹移动到我的文档文件夹。这导致了同一文件的多个版本被创建。已知有多人在被告的住所和工作地点使用该笔记本电脑。检察官还称,电影在2005 年 8 月 6 日被观看,这是最后已知的修改日期。这并没有显示电影已被观看,并且电影播放器日志和链接文件也未能证实实际观看了电影。
检察官称,根据最后访问日期,电影在2005 年 12 月 2 日最后一次被观看,推断这部描绘儿童性剥削画面的电影在 15 个月的时间内被观看过(这增加了罪行的严重性),并且可以推定在此期间有对这些淫秽材料的知识和控制。
下表概述了电影文件的用户活动和文件元数据,该文件为.mpeg视频:
| 文件活动 | 日期 | 有访问权限的用户 | 评论 |
|---|---|---|---|
| 文件创建 | 2004 年 9 月 19 日 | 被告 | 同日 |
| 文件写入 | |||
| 文件修改 | 2005 年 8 月 6 日 | 被告访客用户 A 被告访客用户 B 被告访客用户 C 其他 | 其他证据证实了用户访问。 |
| 文件访问 | 2005 年 12 月 2 日 | 被告访客用户 B 被告访客用户 C 其他 | 不可靠数据——病毒检查器受污染。 |
用户访问与异常电影文件元数据分析
注释
最后写入列显示文件最后一次实际打开、编辑并保存的日期和时间。如果文件被打开后关闭但没有修改,最后写入的日期和时间不会变化。
显示02/12/05的最后访问日期已被电脑病毒扫描器修改,如下截图所示,且此时并未被用户访问。它显示了赛门铁克防病毒应用程序日志记录确认在02/12/05的8:15:34 PM进行过扫描。这使得潜在的观看时间被缩短至 12 个月。此现象在从笔记本电脑恢复的其他电影文件访问实例中重复出现。这表明,实践者必须始终警惕过早对文件元数据做出结论:
一个显示确认扫描的防病毒应用日志,时间为 02/12/05 8:15:34 PM
最后访问日期在单独查看时应始终小心处理。例如,某些应用程序和文件可能对鼠标指针悬停和接触文件非常敏感,这可能会将其记录为已访问,而实际上它并未被访问。访问记录有助于实践者分析文件是否已被打开。在调查过程中,通过验证一个重要文件的访问情况,这些信息可能被用来推断文件及其内容的知识和控制情况——这对于法庭判断嫌疑人的有罪或无罪至关重要。
基本的文件时间戳也提供了一些令人困惑的结果,正如下面的表格所示。这个例子展示了一个最后修改日期早于创建日期,乍一看似乎是错误或与文件存储方式相矛盾。这是一个常见的现象,反映了文件在之前的版本中是09/09/2012创建的,但后来被移动或复制到另一个文件夹。
原始的创建日期变为新的最后修改日期,而新的创建日期则基于文件在其新文件夹中的起源,作为文件的新版本。必须识别这种现象,以避免对关键日期的误解:
| 创建日期 | 最后修改日期 | 最后访问日期 |
|---|---|---|
| 16/10/2012 11:50:59 | 09/09/2012 07:01:13 | 16/10/2012 11:50:59 |
一个示例,展示最后修改日期早于文件创建日期的情况。
下载的文件,包括图片和视频文件,也展示了这一现象,有时日期来源于 17 世纪或 19 世纪,远早于桌面计算机的时代。01/01/1801 时间戳是一个常见的默认时间,当设备未启动时间索引时,通常会显示此时间。
从未分配空间恢复文件(数据雕刻)
第二章,硬件与软件环境描述了文件删除的过程及其退化和最终通过系统操作被抹除的过程。这导致许多文件部分存储在硬盘的未分配区域。传统上,这些文件的碎片只能通过使用十六进制编辑器来手动定位和提取,该编辑器能够识别文件头、尾和图像中存储的片段。通常无法通过文件系统的分配信息来定位和检查这些文件,因此实践者需要进行一项劳动密集型且具有挑战性的操作。然而,文件雕刻仍然是一个重要的过程,广泛用于许多需要恢复可疑删除文件的案件,尤其是当文件在调查的重要部分中时。
领先的取证工具,如 ILookIX,允许专业人员定位硬盘上可能包含已删除重要信息的块和扇区。通过手动查看磁盘中的磁盘视图组件,如下图所示,可以查看未分配空间,看看是否存储了任何数据。在此视图中,红色块表示系统文件,黄色块表示文件夹结构,绿色块表示分配给文件的扇区,蓝色块表示空闲空间,灰色块(未显示)表示未使用空间:
显示空闲空间、带数据的未分配空间和数据占用空间的磁盘视图
ILookIX 十六进制编辑器允许查看选定扇区的数据,以十六进制和可读文本形式显示,如下图的两列所示。使用此工具,可以选择文件段的开始和结束,并尝试重建或部分重建文件:
ILookIX 十六进制编辑器显示文件数据的十六进制和可读文本
显然,这一手动过程是非常耗时的,因为许多文件系统包含数百万个已删除的文件和文件碎片,现在自动化系统在很大程度上已取代了手动文件雕刻。ILookIX 将恢复和挽救已删除的数据,允许用户对这些恢复的数据进行索引,如下所示:
在取证映像中索引所有未分配块
这个过程将创建所有当前未分配给任何文件的数据块的索引,便于对未分配块进行几乎即时搜索。对未分配块的索引可能需要相当长的时间来运行,并且对于大多数情况可能没有多大用处。由于操作系统使用压缩,对 Mac OS 未分配块进行索引并不值得花费时间。像其他文件、电子邮件和注册表搜索查询一样,搜索未分配空间也可以像以下截图所示的那样执行:
包括未分配空间的搜索词结果
日期和时间问题
在任何数字证据分析中,文件时间戳的可靠性对于有效重建关键事件至关重要。所有数字设备上的时间戳都是自动系统,通常可以手动调整。例如,笔记本电脑和台式计算机需要在首次启用设备时设置计算机时钟。计算机时钟在时间保持方面通常不可靠,因此需要与像国家标准与技术研究院(NIST)这样的可靠在线服务进行自动同步。如果设备长时间未使用,或没有自动同步,那么计算机时钟很可能会运行得太慢或太快。这种差异可能会呈指数级增长,并使文件事件日志变得不可靠。有些时钟可能会快一个小时或慢一个小时,在某些情况下,这种差异甚至可能达到天数或年数。
用户也可以将设备设置为本地时区,或者当旅行者将笔记本电脑带经多个时区时,设备的时区可能会发生变化,这时设备的时区可能会发生调整。在 Windows 注册表中,会记录是否启用了自动时间同步,以及之前(最后)时区和时钟设置的调整时间。
一些文件系统将所有日期/时间信息存储在协调世界时(UTC)中。其他文件系统则使用映像源位置的本地时区。源时区是文件系统使用的时区:它可能是 UTC,也可能是其他时区。即使用户选择了特定的时区,Windows 注册表也会将时区记录为 UTC 或 Zulu 时间或 GMT+0。这一点在解释注册表中的时间戳时必须予以确认,因为它与 Windows 目录中显示的常规文件夹不同。
为了强调这一点,以下截图显示的 Windows 注册表视图与对嫌疑人桌面计算机上连接的 USB 设备的搜索相关。这些时间戳记录为 UTC,而不是本地时区的 UTC=8。注册表就是以这种方式记录信息的,这可能会让不小心的人陷入困境:
显示 UTC 时间的 Windows 注册表时间戳
后续章节将更详细地探讨文件分析。下一节将讨论评估数字证据的证据价值和可采性。
确定数字证据的价值和可采性
如果在法律听证会上考虑使用数字证据,它必须满足一系列条件和法院的高标准。它必须具有一定的证明价值,即它能增加支持刑事或民事案件的证据链。在证据提交之前,它必须符合一些关于可采性的强制性条件。如果未能满足这些条件,则法院可能会认为其不可采纳,不允许作为证据提交,从而阻止法官或陪审团对其进行审查和评议。
在大多数司法管辖区,证据的可采性由立法和普通法来管理。一些司法管辖区比其他地方的规定宽松,例如美国,主要依赖法官或裁判分析数字证据可采性的相关情况。通常需要特别的法医专业知识来定位、分析并确定数字证据的可采性,而这些证据常常未受到质疑,尽管它们本应得到更为彻底的审查。越来越多的法院开始对数字证据的可采性感到头疼,因为法律争议可能会导致其实用性下降。
审判制度在多个不同的司法管辖区中较为常见,例如法国、德国以及其他欧洲国家;部分非洲地区;南美洲;以及一些亚洲国家。审判制度源自早期的天主教宗教法庭,旨在通过对所有证据的彻底调查和审查,寻求案件的真相。这是一种与较新采用的对抗制模式相对的替代模式,对抗制模式广泛应用于普通法国家,如英国、大洋洲国家和北美洲。对抗制的批评者认为,该制度通过控辩双方在法庭上竞争,争取展示最具说服力的论点来寻求真相,这往往会掩盖对实际真相的追求。两种制度都提供了可靠的司法补救措施,且随着近年来混合司法制度的出现,结合了每种模式的特点,现已共享许多相似的特征。
以下小节概述了证据的价值或证据价值,它的可采性以及法律惯例如何特别适用于数字证据。
解释数字证据的证据分量
从犯罪现场收集到的证据的价值,取决于它与其他可用证据的相关性,这些证据支持对嫌疑人身份和责任的最终结论。被认为具有证据价值的信息必须是合理的并与案件有关,即它是合理且有根据的,与案件有一定关联,并且有助于收集信息,从中可以推断出嫌疑人是否有罪或是否有共谋。
评估证据的分量,以确定被告是否有罪,是法官和陪审团的责任。明确来说,执业人员并不负责对被告的有罪或无罪发表评论。然而,执业人员可能是第一个发现与正在调查的案件相关信息的人,因此必须对所找到的信息在案件中的实际相关性作出有价值的判断。这在数字证据的检查中尤为重要,因为执业人员可能是唯一一个能够发现相关证据并理解其意义的人。
执业人员通常是根据特定任务来寻找证据的,例如在欺诈调查中,他们会对犯罪性质和支持起诉的证据类型有所了解。法律辩论可能围绕证据所能得出的推论的强度展开。当证据可能被误解或不可靠时,挑战通常会随之而来。
为了增强案件的权重,需要足够的证据来证明或反驳案件的各个要素。显然,任何被认为不可采纳的证据都会削弱案件的整体地位,并可能导致案件的崩溃。许多案件之所以未能进入审判阶段,是因为证据的分量不足,缺乏佐证,且与嫌疑人之间的关联性证据可能不确定。
证据的可采性问题也可能使许多有罪的嫌疑人无法在法庭上受审。然而,在法庭得出证据分量之前,证据必须是可采纳的。我们将在下一小节中详细探讨这一点。
理解数字证据的可采性
关于证据是否可采纳的争议并不罕见;然而,在涉及数字证据的案件中,似乎很少有人会质疑数字证据的展示,尽管实际上可能有充分的理由这样做。这可能是因为数字证据相对较新,且法律界在处理技术性质的案件时存在不确定性。律师对数字证据的不了解,特别是在面对技术复杂的证据时,也可能导致他们无法判断这种新型证据是否可采纳。在实践中,评估数字文档的可采性是法官的权利;然而,有时这个决定会交给陪审团在实际审判中讨论。
从业人员的职责是向调查或法律团队提供关于数字证据是否可采纳的建议。由于技术证据的复杂性日益增加,以及涉及此类证据的高成本法庭案件需要的时间较长,可能会在法官在场而陪审团缺席的情况下进行审判。听证会由案件双方的专家提供技术证据和专家意见。这些审判被称为voir dire听证会,有时被开玩笑地称为hot-tubbing听证会。它允许法院听取双方的论点,并就证据的可采性做出裁决,而不会在陪审团心中造成混淆或可能的偏见。
证据的重量通常没有通过立法来定义,但其可采性有明确规定,证据必须符合各个法域的法院指南和惯例。证据的可采性要求证据是合法获得的,与案件某部分的证明或反驳相关,并且是可靠的。
定义数字证据的合法获取
第一个规则要求提供证据的一方提供保证,证明该证据是合法获得的。现在,这可能仅仅是证据的所有者或保管人提供了自由且不受阻碍的访问权限,允许取走证据,或在数字证据的情况下,对其进行镜像,以供法律程序使用。通常需要获得所有者的书面授权。
合法获取可能受到相关立法的约束,赋予执法人员进入场所并扣押涉嫌包含证据的计算机设备的权力。例如,可能是机场的海关人员检查计算机,并有理由怀疑该设备中存储有 incriminating evidence(指控性证据)。扣押涉嫌物品的权力由具体管理机构的相关立法规定,无需搜查令。
由治安法官或法官签发的搜查和扣押令是执法机构的另一种选择。搜查令规定了其签发的理由、可执行的地点、相关人员以及可扣押的物品类型。
从业人员必须深入理解涉及计算设备合法扣押的法律问题,包括手机等设备,以及可能成为证据的数据,位于设备和计算机网络上的数据。从业人员应始终考虑到,证据可能会在未来的法律听证会上被要求使用,尽管数字证据最初可能并不是为法律程序而获取的。因此,从业人员对于涵盖证据获取的立法的理解和遵守非常重要。
最近,美国执法人员在逮捕嫌疑人以及搜查其住宅和车辆时,扣押手机的问题引发了一些困扰。美国最高法院的最新裁定要求,不论手机是在一般搜查令下扣押,还是在机关扣押权限下获得,必须获得单独的搜查令才能检查被扣押的手机。法院还可能要求规定 30 天的期限,要求机关在此期间内提供获得的证据。这引发了关于手机(因其本身越来越难以获取法医图像)以及刑事案件积压、警力资源紧张的问题,可能导致除非在特殊情况和紧急情况下,否则未来对手机的检查可能难以为继。
尽管这可能令调查人员感到沮丧并使从业人员不满,但它确实要求他们具备足够的培训、政策和技术来正确处理移动设备证据。良好的职业发展能够增强执法机关在数字证据收集方面的有效性,这也有助于在刑事诉讼中增强数字证据的可采纳性。
如果在执行搜查令时,执法人员的行为超出了规定的范围,或者搜查令是在证据物品被扣押之后才获得的,那么许多法域会对证据进行排除,从而在正常情况下使其不可采纳。然而,在一些法域,例如美国,如果存在其他未受污染的证据支持案件,法院仍可能基于这些被排除的证据做出有罪判决。
强调数字证据相关性的重要性
尽管不同法域的规定有所不同,但法院评估数字证据的相关性与评估其他形式的间接证据相同。各种法院标准和判例法通常要求证据必须相关、非传闻证据,并且不得过度有偏见。因此,法院可能要求从业人员解释数字证据的创作和存储过程,以阐明所呈现证据的相关性。
证据的相关性以及证据的可信度也是陪审团需要商议的事项,依据各证据展示所能推断的证据重量。由于数字证据的技术复杂性,法官在决定是否采纳证据时常常难以判断其相关性。过于急功近或经验不足的从业人员有时会错误解读或过度解读证据,以符合特定论点或假设。
证据必须通过某种形式的逻辑相关性测试,这种测试不过分苛刻,法院对数字证据的逻辑相关性的确定与对更传统的证据形式的测试方式相似。数字证据的相关性测试是直观的,并排除了数字证据具有某种根本神秘逻辑相关性的观点。
概述数字证据的可靠性
在试图定义数字证据的可靠性时,许多形容词涌现出来,因为没有普遍可接受的定义。真实性、准确性和忠实度经常被提供来解释定义,而不是简单接受"可靠"这个词在不同背景下的多种解释。尽管在司法管辖区之间的定义各异,但普遍认为,证据被认为是其所声称的,并且没有以某种方式被污染或受到污染。就保护其完整性而言,有助于定义数字证据的可靠性。
-
用于收集和保存的法庭工具的可靠性
-
恢复和保护过程的效力
-
数字证据没有人为或机器污染的重要性
-
设备和网络安全的充分性以保护数字证据
法庭工具和流程的可靠性的重要性
从而促进通过进一步分析找到更多证据。如果获取工具和法庭程序未能保护并导致证据污染,则存在问题。如果一些软件程序被设置为诱饵陷阱以隐藏或销毁证据,例如,数据可能会被覆盖或丢失,并且可能检索到虚假信息。
法院因担心在恢复过程中的污染而质疑数字证据的可录入性,并因怀疑污染而拒绝接受证据。在美国,戴伯特测试在评估工具和恢复过程的有效性方面被广泛使用,但遗憾的是,在其他司法管辖区尚未广泛使用。
法院已经意识到,随着数字证据的普遍性和增加的重要性,证据被篡改的风险也在相应增加。许多法院认识到,数字证据比纸质文件更复杂地存在认证问题的变种。在数字证据的情况下,可能需要一些取证专业知识来验证证据的可信性。被认为不可信的证据可能被视为不可接受的法律诉讼证据,并且对案件的相关性当然对其中一方有害。
第四章,恢复和保存数字证据,将更详细地探讨数字证据的保护,以及第五章,需求增强的取证工具,将介绍更先进的恢复和分析工具的需求。
评估计算机/网络证据的保留
信息对于大多数组织来说是关键资源,这些组织越来越依赖基于计算机的系统来存储和管理它们的信息记录。这些管理系统通常集成在计算机数据库中,通过电子网络与一系列内部和外部用户连接,这些用户需要访问和使用信息。
虽然管理信息的有效和便捷系统,但这些数据库面临一系列威胁,可能会降低它们保存记录的整体可靠性。当通过网络系统连接时,这些计算机数据库面临更大的风险,易受各种威胁的影响,这可能危及它们作为可靠证据的可接受性。
越来越多地,网络化数据库系统的管理员和用户面临来自各种威胁的安全问题。系统安全并未显示出任何真正改善的迹象,一些人甚至认为情况可能正在恶化。网络数据库安全问题,归因于过去 40 年信息技术的快速发展,在不同地点、不同行业发展速度不一致的情况下,似乎进一步恶化。
尽管一些法院已经对验证数字记录的真实性和准确性施加了严格要求,但更多的情况是,法院对于确保此类证据真实性的保证要求较少。例如,在欺诈审判中,经常涉及篡改的纸质文档,可以通过各种技术轻松地篡改,而被告挑战证据的真实性时,法院不会基于未经证实的篡改或伪造推定来支持这些主张。
然而,有一种观点认为,由于数字证据具有不同的特点,它需要更仔细的审查,以验证是否存在足够的真实性和相关性证据,确保其符合可采性要求。通常,纸质文档的保存情况至关重要,而非其创建情况,以确保所提交的证据确实是所声称的内容。数字证据格式不同,且其认证问题比纸质记录更为复杂。
英国法院长期以来采用“最佳证据规则”,在确定证据的可采性时,认为应当赋予最佳证据更高的可信度,特别是原始文档和口头证词。此规则同样适用于网络存储数据,尽管保留原始数字信息需要一定程度的认证,并确保网络安全的完整性。
核实数字证据
与传统的法律案件一样,尽可能地对数字证据进行佐证总是比较理想的。例如,Windows 注册表保留了操作系统和应用系统环境的记录,可以用来佐证并解释其他证据。但它同样可能需要与存储在计算机上的其他信息进行佐证,而不是仅仅依赖表面证据。这种佐证可能包括查阅应用日志文件和 .lnk 文件。
如前所述,计算机时钟本身并不可靠,往往会几乎不可察觉地改变时间。随着时间推移,这可能导致时间记录不准确,从而对时间线的有效性产生不利影响。有些网络终端因为未与可靠的时间同步服务同步,导致时钟延迟超过一年。
证明数字证据的真实性和正确性是法律案件中持续的要求,以确定其作为证据的价值。从表面上看,数字证据可能具有足够的证据权重,但某种形式的佐证有助于增加其价值。例如,操作系统可能会产生一些不稳定性,从而影响证据的准确性,例如文件时间戳的准确性或用户访问记录的识别,导致证据被误解。
文献证据也可以为特定的数字证据提供佐证。例如,罪证文件是在工作计算机上创建并打印的证据,可能显示是哪个用户帐户创建了该文件,因为打印文件上有微点标识符。如果打印机和计算机的电子记录对于该文件的历史记录不明确,打印机的缓存记录往往被覆盖且难以确凿解读,这将尤为有帮助。这类过程,包括微打印,通常用于防止和检测计算机创建文件的伪造。以下网站提供了此类安全保护的最新发展:
www.xerox.com/innovation/news-stories/microtext/enus.html
佐证可能通过使用人类证词得到增强。证人可以证明嫌疑人在犯罪发生时正在操作计算机键盘。相反,证人可以提供一个真正的不在场证明,确认嫌疑人在指控时并未在计算机前。这在以下实际案例中得到了体现。
案例研究 – 将证据与用户联系起来
考虑一个近期的案例,一名离职员工与公司会计师合谋伪造了 50,000 美元的离职奖金。该员工通过电子邮件联系会计师,寻求首席执行官的批准,要求将奖金追溯至公司被新老板收购之前的某个时间。为了获得支付,提交的批准信件虽然被追溯日期,但直到新老板收购公司之后才收到并支付给该员工,新老板认为这是一项收购前的安排。后来,新老板注意到奖金金额过大。进一步调查发现,员工与会计师之间的电子邮件记录已从员工的计算机中删除,这一行为本身被新老板认为是极其可疑的。
幸运的是,电子邮件已从邮件服务器中恢复,但在会计师或首席执行官的计算机上未找到批准奖金的信件创建记录。通过法医工具,部分电子邮件已从员工的计算机中恢复,奖金附件也从已删除的电子邮件备份文件(.OST)中恢复。试图将两台计算机上的电子邮件拼凑在一起的工作人员,没有任何正式的法医知识,并且修改了几份与罪证电子邮件相关的文件。最后访问和修改的日期被不小心更改,导致无法完整重建用户访问这些文件的历史记录。
潜在的情况是,辩护律师可能会提出质疑,认为在员工归还计算机后,文件曾被访问,暗示这些电子邮件可能已经被这些员工篡改或伪造。通过服务器记录可以确定文档的元数据。然而,电子邮件和文档上的时间戳,这些对证明伪造奖金申请和审批的阴谋至关重要,现在已经被破坏。
奖金审批文件的检查表明,该文件是从一份原始签署文档扫描而来的,并以 PDF 格式保存。该文档保留了创建日期,但没有作者信息。看起来 CEO 的电子签名出现在原始文件上,但未被恢复。签名上的日期是手写的,并且早于公司出售日期。CEO 的电子签名出现在会计师电子邮件文件夹中的其他多个文档上,可能在扫描之前已经被添加到原始文本文件中。
然而,PDF 元数据表明该文档很可能是在收购后创建的,并且通过其内容和 ILookIX 扫描检测工具的识别确认它是扫描文件。该工具能够打开卷影快照,恢复并解构包含各种已删除电子邮件的电子邮件备份文件。这些电子邮件通过存储在服务器上的更可靠记录得到了证实,有助于重建案件前因,这些可以在随后的法律程序中使用。
本案展示了文件内容和元数据的价值,同时也表明数据容易受到故意和无意的人为操作的影响,导致证据被污染。如果诈骗者在电子邮件仍与电子邮件服务器同步时有足够的机智和机会删除电子邮件,那么这些记录也会被删除,并且未必能够恢复。这也显示了确保电子邮件服务器保留所有电子邮件消息的完整记录的必要性,甚至是那些用户删除的电子邮件。政府组织通常要求对电子邮件存储进行备份,并规定存储一定期限。在许多国家,公共公司必须遵守此要求,美国则在《2002 年萨班斯-奥克斯利法案》的广泛条款下强制执行此项规定。
参考文献
Frieden, J. D. 和 Murray, L. M. 2007. “根据联邦证据规则,电子证据的可接纳性。” Richmond Journal of Law and Technology 14(2): 1-39.
摘要
本章定义了数字证据,并解释了其作为证据的价值以及在法律程序中必须满足的条件。描述了数字证据的特殊特征,展示了它的巨大价值,但也因为其复杂的技术特性而带来的使用问题。强调了从业者在分析和解释数字证据时,向外行人和法律界说明的特殊作用。
数字证据的可靠性,包括其完整性和作为最佳证据的使用,已被介绍,并且在第四章中,恢复与保存数字证据,我们将更深入地探讨其恢复和保存的工具与流程。第四章,恢复与保存数字证据,将涵盖帮助从业者以更好和独特方式保存证据的创新技术,避免污染,同时使他们的工作变得稍微轻松一些。
第四章:恢复与保存数字证据。
本章探讨了从各种设备收集并恢复数字证据的重要性,以及用于恢复和保存这些证据的过程。本章解释了如何按照法律要求保存数字证据的重要性。它描述了在不造成不当污染的情况下收集数字证据的法医过程和工具。本章涵盖的主题如下:
-
保管链的概念与从证据收集到法庭提交过程中的证据保存有关。
-
获取和安全保管数字设备和数据。
-
通过法医成像过程恢复数字证据,也称为死恢复。
-
通过实时恢复过程获取数字证据。
-
现有法医工具的有效性和增强工具的出现。
-
案例研究突出了从犯罪现场恢复和保存数字证据的过程和陷阱。
数字法医检查需要一个系统化、正式化且符合法律合规的方法,以增强证据的可采性,这一点在第三章《数字证据的性质与特殊属性》中已介绍并强调。始终要假设任何法医检查都会受到严格审查。法院需要确保证据的可靠性以及整个法医过程和工具在获取、保护和分析证据中的完整性。
数字犯罪现场与物理犯罪现场相结合,因为数字证据位于物理物件中,特别是某种形式的计算设备,如台式计算机、手机或数字存储介质,包括闪存驱动器和外部存储驱动器。物理犯罪现场遵循物理法则,决定了物理证据的适当回收,而存储数字数据的分析则用于寻找数字证据。
法院通常会接受一个展示物有责任且合法的保管链,这作为证据完整性的保证,除非有相反证据证明。保管链中任何历史上的断裂,都会降低数字证据的可采性及其证据价值。证据的完整性必须从扣押开始,直到证据保管人或展示物的保管人将其出示于法庭。
下一节描述了证据的保管链及其在保存证据展示物中的重要性,这些证据将在后续的法律程序中使用,包括刑事和民事案件。
理解保管链。
每当可能时,在收集并合法占有任何可能作为法律案件证据的物理对象时,必须非常小心。有许多重要的原因说明为何收集的证据必须避免污染。防止证据被故意或无意篡改至关重要。如果证据未保持原始状态,对方律师可能会提出不便且深入的质疑。
如果证据在某些方面被认为已被污染,那么其可接受性就会受到质疑。合情合理地,作为常规处理,它应当被质疑,因为它可能不可靠,且其真实性存在严重疑虑。在刑事案件中,若证据存疑,陪审团在揭示真相并确定可疑展品的可靠性时将面临极大的困难。在这种情况下,法官可能会指示将疑点利益归于被告。因此,展品的价值会被削弱,法官可能会将其排除,认为其不具备可接受性。这一点在本章后续的案例研究中得到了强调。
必须向法院展示已采取声音保护流程并遵循法院惯例和标准的保证。法院期望采取合理步骤以确保展品始终得到保护。遵守证据收集规则及证据的保管链至关重要,必须确保回收的证据未被污染。这包括确保证据在获取与呈交法律程序之间未被更改,甚至在其由从业人员获取之前也应如此。如果证据因某些原因被更改,那么必须向法院及案件其他方披露,并提供一些解释和正当理由。
一般数字取证恢复的收集规则包括以下内容:
-
对所收集的设备和证据在合法授权下获取的声明。
-
完整记录描述了计算机设备和外围设备,如调制解调器、显示器和打印机,以及它们在设备被查获或访问时所在的位置——一张草图图示是必需的。
-
先前两点的摄影和录像记录。
-
使用防静电和无菌手套处理每一件扣押物,并标记上牢固贴附的标签,描述该物品并可以与证据登记册交叉参考。
-
记录每个设备的电源状态,并注明设备是否已关机,以及在尝试实时恢复时的访问方式。
-
使用的取证工具的描述,包括使用的硬件和软件写保护器、每个设备或软件的型号或版本,并确认工具经过测试并且是最新的。
-
记录所有扣押和处理设备的人员,并且记录每个设备及证据存储设备从扣押到提交法庭的完整访问记录。
-
对证据恢复过程中任何更改的报告,以及对此类更改的解释和合理化。例如,在从手机中恢复数据时,通常需要开启设备并安装一个小的可执行文件以允许提取。从理论上讲,这可能会导致手机数据的丢失,但这是一个不可避免的过程,并且具有自我合理化的性质,只要执法人员能够在需要时进行解释。
展品的完整保管历史必须被完全记录,以说明其从扣押到提交过程中所在的位置及其保管责任。这包括确认展品在可能的上诉期限内的安全保管。法院还必须确信,展品的任何测试和检查都有完整记录,特别是展品是否有任何更改,例如,移除的样本组织用于毒理学和其他分析的情况。法院还要求提供证明,证明展品在从犯罪现场运输到保管地点及实验室的过程中没有受到物理损害。
显然,如果能够证明或怀疑证据的链条已被破坏,案件可能会崩溃。法官有时可能会指示证据不予接受,但也可能允许陪审团在考虑其证据价值的同时,决定其是否可以作为证据。因此,展示证据链条的完整性非常重要,否则如果对方法律团队质疑,法院可能会不允许该证据入庭。证据链条的完整性和准确性能够增强法院对数字证据真实性保证的接受度。因此,确保证据链条符合批准的法律标准至关重要。
描述数字证据的物理获取和保管过程
处理数字证据的过程特别容易出错。就像血样或指纹,可能在犯罪现场容易被污染,数字证据也可能在收集和提取过程中受到损坏,除非严格遵循程序。物理记录的存储和保管,例如证人陈述、犯罪现场照片、手稿副本等,需要谨慎的记录保存和安全保管,从而方便它们作为证据的出示。必须重申,法院期望能够证明数字证据从扣押时刻到法庭呈递时未被更改或污染。
这与犯罪现场保护没有什么不同,犯罪现场也要求证据保持原始状态。在传统犯罪现场,发现现场的人打扰现场并不罕见。极端天气条件如火灾、热风、雨水,动物、昆虫和细菌等,也能改变证据的状态。这使得法医检查员面临着一个挑战,那就是尽力保护遗留物和其他物证,如尸体或凶器,免受进一步的恶化。因此,这使得重建犯罪事件变得困难。
数字犯罪现场也是如此,必须防止被污染和进一步干扰。常见的情况是,存储在计算机上的信息表明某种形式的犯罪或不当行为,通常是由组织人员(如主管或管理员)发现的。他们本意良好,想要预览和收集他们认为是关键证据的内容,但实际上这些行为可能会污染证据,甚至使其在最坏的情况下无法被采纳,在最好的情况下,则可能会被篡改,降低证据的权重。如果没有经过正规的法医训练来恢复证据并初步管理可能的违规行为,这将是从事重建关键事件链条的人员面临的持续问题。
你可以参考案例研究中提到的第三章中的类似事件,数字证据的性质与特殊属性。
解释数字证据的证据链
数字证据的恢复通常是一个复杂的过程,需要非常小心,以确保证据不会被无意中污染、破坏或丢失(请参阅本章结尾的案例研究)。在恢复和保存阶段,常常会遇到一些常见的陷阱,且一个过于热心且缺乏经验的检查员在检查犯罪现场或返回法医实验室时,很容易无意中改变证据。回想一下第三章,数字证据的性质与特殊属性,数字元数据是多么容易被篡改。例如,最后访问时间戳可能会在计算机被扣押前或扣押时被一个无能的从业人员或保管人无意中删除或覆盖。
仅仅扣押展示物并将其锁入安全容器中,直到法庭需要时,并不足够。必须有正式记录,详细列出展示物的历史。法院期望对数字证据的安全保管提供与其他形式证据相同的保证,确保在整个拥有期间对数字证据进行妥善保管。执业者对证据的仔细处理和记录使法院能够重建数字证据的创建过程以及计算机系统中发生的事件,这将大大增强对证据真实性的信心。
保管链非常重要。每一项获取的展示物和每一个从设备恢复的数据所制作的法医影像都必须详细记录。在接收展示物时,必须记录获取的详细信息。此记录应包括展示物的完整描述、案件参考、保管人的详细信息以及所有相关方的签名,如以下截图所示:
证据展示物的获取
当保管权转交给另一方,比如法医检查员或外部检查员,或归还给原所有者时,转交详情必须记录在保管链登记表中。以下截图展示了这种表格的一个示例:
证据展示物转交给另一方
概述数字设备的扣押和初步检查
在传统的犯罪现场检查中,每一项实物证据通常是案件的单独且独立的组成部分。实物展示物的不可接受性可能不会严重削弱案件的强度,起诉方可能没有它也能成功。相比之下,数字证据通常与其他证据高度相关,如果它被认为不可接受,可能会对案件产生更大的负面影响。在重建关键事件时间线时,支持任何假设或反驳侵权性质的论点时,数字证据显得尤为重要,因此,尽可能地,执业者应该尝试将每个证据对象与其他信息进行对比,或至少展示两个事件之间的某种关联。如果有任何迹象表明证据在恢复过程之前、期间,甚至之后曾被篡改,这可能会改变数据和元数据,如相关时间戳,从而降低其价值。因此,执业者需要保持被扣押设备中证据的完整性。
在制作设备的法医图像时,传统上需要从设备中取出硬盘。如果硬盘没有立即返回设备,取出时应非常小心,以避免对硬盘造成物理损坏。应使用无菌防静电手套,避免对硬盘造成短路,防止使其无法操作。硬盘和正在复制图像的硬盘应进行标签标注,并放入防静电证据袋中,记录图像处理的日期和时间、案件识别信息、母机和硬盘的序列号、品牌、型号,以及填写标签人员的姓名。
此证据识别过程的记录将被复制并交叉引用在链条登记表中。记录应包括获取的日期、时间和地点,以及在恢复数字信息过程中使用的法医工具和流程。接下来我们将查看一些证据收集表格示例,首先是以下截图:
一个样本证据收集表格
以下截图展示了一个草图计划示例,显示了设备的连接性和它们在犯罪现场的位置:
一个样本证据收集表格
以下截图显示了被扣押证据的详细信息:
一个样本链条登记表
以下截图展示了一个证据追踪表和最终处置证明的示例:
一个样本链条登记表
附在收集表格上的还应包含另一个证据:图像日志报告,确认被影像化设备的身份、影像处理的日期和时间、从业人员姓名以及设备的哈希值。以下截图展示了来自自认证 .ASB 文件(本章稍后将描述的 IXImager 数字法医证据容器)的一个图像日志样本:
来自.ASB 法医图像日志的摘录
法律要求证据保管人能够提供文档证明,证明从记录创建到在法庭上提交证据时的完整链条无断裂。显然,从业人员应尽可能少地处理持有潜在证据的计算机,以确保保存在法医图像或容器中的数据的认证副本不被篡改。如果已被篡改,从业人员必须能够解释和描述发生的任何更改。
数字证据采集的恢复和保存阶段旨在稳定数字犯罪现场,从而防止或至少最小化提取数据时的数据丢失或更改。它需要将系统与任何电缆和活动的 Wi-Fi 网络连接隔离开。理想情况下,执行者应提前考虑恢复可能重要的易失性数据(如 RAM)的方式,因为这些数据在系统关闭时会丢失。
标准程序是拍摄犯罪现场的照片并记录视频,包括计算机显示器及屏幕上显示的任何图像。记录与每个证物相关的笔记,例如其在犯罪现场的位置、连接的任何电缆以及其电源状态,应当成为常规程序。
在移除硬盘或打开设备时,应佩戴防静电取证手套,或者至少佩戴防静电手环并确保接地。这将最小化静电放电对敏感电子设备电路的损害,避免设备无法操作。
执行者还应考虑识别在实时设备上运行的任何可疑进程。此外,电信设备和蓝牙发射器的使用(例如嵌入在手机和平板中的设备)可能会干扰被扣押设备的正常工作。如果可行,应断开这些电信设备和任何发射强磁波的设备。在需要防止外部电信干扰设备的情况下,应考虑使用便携式法拉第笼来运输和检查手机。
将物理证物运送到适合的地点进行后续检查通常涉及将被扣押的计算机设备转移到安全地点。较少见的是,可能涉及数据的网络传输。在运输过程中,确保证物免受物理损害或电子干扰非常重要。证物还需要避免热量、湿气、灰尘和物理冲击的影响。应当采用某种形式的保护包装,并附上标识标签,清晰描述证物以防止丢失或误认。特别是如果设备具有电话或 Wi-Fi 连接功能时,隔离设备非常重要,在访问设备上存储的数据时,如果设备(如手机)处于开机状态,这一点尤为需要考虑。
在大多数情况下,收集到的证据需要被安全存储,因为通常无法立即进行检查。应当小心识别和标记物理证据,如计算机,通常这些设备通过其存储的数字证据将证据与潜在嫌疑人联系起来。数字犯罪现场可以被视为物理犯罪现场的次级犯罪现场。还应当回忆一下洛卡尔交换原理:可能需要提取 DNA 和指纹样本,以确定谁曾接触过键盘和设备。
如果法医检查导致了庭审,实践者需要解释如何以及为什么使用了法医工具和流程。如果需要,实践者必须准备好为所有这些检查方面的完整性做担保,并能够验证这些方面的完整性。这将包括描述收集过程,并确认收集过程未造成任何污染,以及证据在收集后和检查期间保持无污染。
有时,实践者可能需要验证证据是否在任何方面未被篡改,这通常通过比较设备和成像的哈希签名来实现,二者应完全相同。这个过程将在本章稍后的法医成像工具的可靠性以恢复和保护数字证据小节中进一步讨论。对方的法律团队和法院可以坚持要求提供的数字证据必须能够通过独立分析进行确认。
怀疑包含证据的数字信息通常通过将其存储在另一台计算机、外部存储设备或 DVD 上来保存。在进行此复制过程之前,必须遵循严格的法医流程,确保严格遵守证据链。法医成像是证据链的一部分,接下来将详细介绍。
通过法医成像过程恢复数字证据
实践者负责获取包含数字证据的物理展品,这些展品与其他展品一样被保存在安全的存储中。如在第三章中所讨论的,数字证据的性质与特殊属性,法院承认数字证据存在更高的篡改风险和认证问题。数字证据的篡改相对容易,并且在过去曾造成对其可靠性的巨大不确定性。使用可靠的法医工具可以最大限度地减少在正式恢复数字数据过程中证据污染的风险。遗憾的是,数字取证作为一门科学学科仍处于不成熟阶段,这继续导致在定义有用且广泛接受的标准和流程方面存在分歧。
从计算机上取证的价值数据的死恢复或活恢复是从一台被认为持有有价值证据的计算机中恢复数据的一种选择。然而,从业者需要检查数据,并有几种选择方法。通常和首选的做法是对设备内部的驱动器进行取证镜像。这种恢复方式通常被称为死分析,允许在不激活操作系统的情况下对驱动器进行镜像。这旨在避免证据污染和复制错误。在这个阶段的不良实践可能会因污染而危及证据的可采纳性。
死分析证据恢复
死恢复 是指在不使用计算机操作系统的情况下对计算机进行取证复制数据的情况。术语“死”指的是操作系统的状态,并使用从可信 CD 或外部设备启动的计算机硬件,或者使用硬件写入阻塞器从提取的硬盘驱动器复制数据。
死分析恢复可以通过关闭设备、移除驱动器并分别对其进行镜像复制,或者开启设备来就地复制驱动器来实现。死恢复发生在系统关机后,信任的取证应用程序和硬件工具恢复数据。在过去的一段时间里,逮捕超出实际计算机终端的东西变得日益不切实际。在两种情况下,驱动器都没有完全启动,而在后一种情况下,设备由 CD 或 USB 闪存驱动器访问,这样可以防止操作系统被挂载,但允许从业者查看和选择镜像的文件分区。
写入阻止器硬件
实际上,死恢复确保所有操作系统进程在关闭系统时终止,如果设备在扣押时仍处于活动状态。写入阻止器硬件和软件通常用于防止证据被覆盖。死恢复确保后续对取证镜像的分析可以在可信的操作环境中使用可靠的取证硬件和软件进行。这个过程在镜像数据之后继续,以确保镜像不会以任何方式被更改,因为保留数据以供将来分析至关重要。
制作取证镜像的一个好处是可以复制镜像,并将复制品用作备份副本,交给其他检验员进行分析,或者交给其他法律团队进行独立证据检查。然而,逻辑会告诉我们只需要收集必要的数据。在这里,我与那些在需要取证镜像“任何活动中的东西”上过于拘泥的学科坚定分开。这一学科已经养成了一些不良习惯,而不加选择地镜像整个硬盘驱动器就是其中之一。
在法医恢复和检查阶段,完全有可能在不小心的情况下将数据写入包含证据的设备。显然,这种情况可能导致在法律程序中数字证据无法被接受。这就要求从业人员采取措施,避免证据的污染。
正常的计算机操作包括通过特定命令写入数据或读取存储在设备上的数据,并将这些命令传输到存储设备(如硬盘),从法医角度来看,这样会污染设备。避免此类污染的有效方法是使用写保护软件或硬件,在不写入设备的情况下进行数据恢复。
注意
使用写保护器可以防止源计算机向硬盘接口写入数据,避免覆盖或污染数据。
这里是一个硬件写保护器的图片,它可以用来访问 SATA 硬盘:
Tableau 写保护器
以下图像显示了一台通过硬件写保护器连接到 SATA 硬盘的笔记本电脑:
通过硬件写保护器连接到 SATA 硬盘的笔记本电脑
在现场恢复中,由于设备未关机,恢复到的证据可能是假和不完整的,因为操作系统和应用程序可能不可信,或可能隐藏或伪造数据。然而,过快切断电源可能会导致内存中的信息被清除。此外,突然断电可能会导致设备无法重新启动。设备硬件可能会遭受损坏,并且某些正在运行的服务和文件系统可能会丢失。对于桌面和笔记本电脑,它们会在 RAM 松余、交换文件和页面文件中保留这些过程的部分日志活动和硬盘上的一些信息,可能部分可恢复。
有一系列磁盘编辑程序,包括 Norton Diskedit,可以读取并恢复 RAM 中的内容,RAM 可能存有登录密码。近年来,RAM 中的内容在恶意软件分析中变得尤为重要,可以更容易地定位已在 RAM 中解密的加密或混淆的恶意软件,这些恶意软件在其他情况下通常难以解密和分析。然而,这些捕获过程要求系统处于运行状态,且程序需要在关机之前安装,这本身可能导致数据污染。当从存储有大量数据集的联网系统恢复数据时,在收集易失性数据之前关闭系统,可能会导致部分证据丢失。
在恢复过程开始之前,必须考虑操作系统文件和所有其他存储数据的保存,这可能会改变源设备。保存过程必须与数据恢复过程结合,以最小化,理想情况下避免污染,并保持数据的原始状态。在组织网络中进行死机恢复可能不合适,因为它可能导致长时间的功能丧失。如果网络没有镜像或复制,以避免正常业务的中断,这种情况可能会发生。
写保护软件
使用写保护软件的优势在于与需要拆卸硬盘的硬件写保护器相比,如下文所述的过程。
在启动并暂停计算机的过程中,硬盘仍保持原位,插入成像 USB 加密狗(或 CD),按下F12键以允许从 USB 加密狗(或 CD)启动。此时,成像提示屏幕(在下图中为 IXImager)会出现在显示器上,允许键入键盘指令,以访问和使用包含写保护器的软件应用程序的各种功能:
法医成像程序的启动界面
进一步的提示允许将计算机中持有的设备复制或克隆到附加的外部硬盘。下图所示的成像应用程序提示操作人员将基本输入/输出系统(BIOS)的日期和时间与外部可靠的时间进行比较,并输入一个单独的日期和时间记录实际时间与计算机时钟之间的差异,通常计算机时钟会走得太慢或太快:
IXImager:读取计算机时钟并添加实际时间的记录,以便在分析时进行对比
下图显示了选择不同硬盘和分区的各种选项:
IXImager:选择一个驱动器进行成像
一旦选择了要复制的设备和存储目标设备,成像过程就会开始,如下图所示。根据存储数据的大小、计算机中源驱动器的速度、计算机的处理速度以及 USB 接口的速度,整个过程可能会耗费相当长的时间。
在下图所示的示例中,选择了一个相对较小的 123GB 驱动器。驱动器和存储数据越大,成像过程所需的时间就越长:
成像过程开始
在下图示例中,一个更小的设备被复制,并且 130 MB 的数据被复制到映像文件中。面板显示唯一的哈希值,标记为 SHA-1 值。在这个实例中,映像已被压缩但未加密。哈希过程可能会显著增加处理时间。
确认映像过程的完成与状态
需要注意的是,IXImager 独立于物理硬件写保护器,因为它依赖于嵌入其程序代码中的软件封锁。
查看映像中的数据可以通过多种不同的法医应用程序来实现。下图示例展示了目录结构、文件查看和属性面板,供实践者研究感兴趣的文件:
查看 ASB 法医映像中的数据
在虚拟环境中(如 VMware 和 VirtualBox)也可以查看法医映像中的数据,只要该映像可以挂载。法医映像可以通过诸如 ILookIX 等法医工具进行挂载。虽然这并不等同于实时恢复,但操作系统和应用程序可以像实时分析一样使用,这对实践者有补充价值,通常能加速定位和查看与调查相关的应用日志及其他文件。由于法医映像是只读模式且是原始数据的副本,因此避免了证据污染,原始数据仍保留在源设备中。
增强恢复过程中数据的保存
确保法医工具经过校准以满足制造商规格,并安装任何固件更新,是标准的法医实践。这可以减少恢复过程中发生错误和不准确的可能性,例如在设备的法医映像过程中。校准用于存储法医映像和其他媒体的数字存储设备(如外部硬盘)同样重要。这些设备应进行清零、哈希处理,并检查是否有坏道或错误,这些问题可能会影响映像过程及映像的完整性。如果没有正确配置目标设备,可能会导致设备中残留的先前事件数据或制造过程中留下的数据与恢复数据混合,从而导致污染。
有效的保存过程通常会通过采集日志和哈希值进行记录,这些记录可以将事件和数据归因于设备的用户,并禁止日后声称数据被操作或篡改。及时的法医数据采集最小化了未来关于故意或意外污染的指控影响。
注意事项
哈希算法是对任何长度的数据进行复杂数学计算,生成一个固定长度的唯一字符串。
输入数据的修改会产生一个可通过比较两个输入来检测的不同输出。理论上,两个相同的输入会生成相同的哈希值,从而提供一个可重复的过程来验证两个文件是否相同。
在实际操作中,第二次使用相同的法医软件对同一个硬盘进行哈希时,并不总是会生成相同的哈希值。哈希过程是一个耗时的过程,实际上它在法医影像处理中才具有价值,而这种技术可能最终会变得过时——这对于一些目光短浅的观察者来说可能是一个离谱的预测。法医影像重要性下降的问题将在概述现有法医工具的有效性以及增强过程和工具的出现部分讨论,该部分讨论了新兴技术如何预示着数字证据收集方式的范式转变。
恢复已删除内存的残余
虽然死后恢复可能无法访问易失性内存,但内存残留通常会存在于所谓的文件空白区,这可能有助于某些内存恢复。这是 Windows 操作系统的一种现象,它规定了硬盘上每个文件的长度。由于大多数文件大小不同,且每个分配的簇或文件空间中有一部分未被文件占用,因此该扇区会被称为RAM 空白区的簇填充。计算机可能会将这片空闲空间填充为来自计算机内存的随机数据序列,这些数据可能是可恢复的,并提供一些关于最近和过往 RAM 事件的有用证据。如果在文件存储过程中需要更多的磁盘扇区,则会使用磁盘空白区,并填充已删除数据的残余。磁盘和 RAM 空白区可能包含内存残余,提供登录名、密码以及其他潜在的有用信息。恢复这些信息可能包括在法医镜像分析期间进行高级数据雕刻。实时恢复可能更容易恢复易失性内存,以下部分将讨论这一内容。
通过实时恢复过程获取数字证据
恢复数字证据的过程涉及在关机前提取实时系统数据,捕获并同时保存易失性内存、系统进程和网络信息,这些信息在传统的死后恢复过程中无法恢复。实时恢复发生在计算机操作系统仍在运行时。直到最近,通常的做法是进行死后恢复,建议关机以防止意外删除和污染证据。
数据集相对较小,使得作为惯例,硬盘映像制作变得可行,但仍然是时间消耗较大的工作。同时,也有一种观点认为,法院希望能够提供最好的证据,并且接受硬盘的法医映像,这无疑有助于恢复和分析证据,同时保障数据安全。
从业人员认为,使用实时恢复存在风险,因为恢复过程中的检查可能会导致数据被覆盖或删除。此外,也有合理的担忧认为,操作系统和软件应用程序可能已被修改,以在恢复过程中删除重要信息或产生虚假读数和信息。
在特殊情况下,从业人员发现通过实时恢复过程访问原始数据是可行的。进行实时恢复时,从业人员必须具备相应的能力,并提供证据解释其行动的相关性、正当性及其影响。所有使用的恢复过程必须进行完整记录,并在需要时提供审查。
实时恢复的好处
实时恢复的一个目标是尽可能保存和收集计算机的易失性数据,保持计算机操作系统和数据的状态。在事件响应场景中,从业人员进行某种形式的分类工作并不罕见,特别是在需要确定是否发生了重大事件的情况下。这种方法的好处是,在分类后,如果有正当理由,可以为全面的法医分析提供可靠的数据收集。这在使用现场工具进行手机恢复时似乎是相当常见的做法。
实时恢复并不会创建目标驱动的逐位镜像,而是对系统的目标部分进行快照,这通常是不可重复的,因为目标驱动可能已被后续使用,早期数据可能已经被修改。尽管法院曾因担心在恢复过程中可能丢失部分数据而质疑实时恢复中获得的证据的可采性,但这一问题现在已不再那么严重。然而,前提是从业人员能够解释涉及的恢复过程,并向法院保证,任何小规模的数据丢失不会对呈现的剩余证据产生不利影响。关于这一担忧的更多细节,请参见第五章,增强法医工具的需求。
实时恢复的挑战
从业人员仍然不愿意使用实时恢复,认为这不是一个健全和直接的取证过程。然而,另一些人认为,这一过程只会对操作系统和数据产生轻微影响。如果进行实时恢复,从业人员应能够预测恢复对系统和数据的影响,并解释和证明该过程。有趣的是,许多案例法支持使用任何能最好保存计算机媒体上所有数据的方法。
再次强调,从业人员通常会对每个存储设备内包含的所有字节数据进行取证性有效的镜像,以便进一步识别证据。到目前为止,从业人员更倾向于使用死机恢复来捕获和保存数字证据,担心在此过程中会修改数据,因此他们会关闭计算机。然而,如前所述,关机可能导致某些元数据丢失。例如,时间戳可能会被修改,从而妨碍和混淆后续事件的重建。此外,如果硬盘被密码保护和加密,可能无法访问。RAM 数据也会丢失。
对于检查本地和计算机网络的从业人员来说,使用反取证工具包带来的问题之一是如何确定数字证据的真实性和可靠性。这些工具包可能会使事件重建变得模糊不清,并可能阻碍从实时网络源中恢复证据。由于正在运行的程序修改了文件系统,进行实时恢复时,模糊的图像也可能出现,从而在采集过程中修改和改变元数据,影响与文件数据的关联。
在极端情况下,反取证策略可能会使设备陷入陷阱,使得设备启动时,先前安装的程序删除或更改设备上存储的数据。其他反取证手段,例如 Metasploit 项目,针对并阻止取证工具恢复证据。在其他情况下,爆炸物可能被连接到计算机,希望在启动时,调查人员会因爆炸而丧命。
在从业人员处理数字证据时,证据的丢失或污染是常见的,并且可能影响其可采性。这迫使法院,尤其是美国的法院,考虑现有的两种标准:法院可以对不完整或缺失的证据做出判决,或者法院依赖“起诉方的善意”。然而,一些评论者认为,这些做法可能会冤枉一个潜在无辜的人,或者让一个有罪的被告逃脱惩罚。直到现在,可靠的取证工具尚未能够进行实时恢复。这些内容在第五章 增强取证工具的需求中介绍,涉及增强型取证工具的出现。
挥发性内存恢复的好处
实时恢复的一个优势是能够恢复易失性和非易失性数据。易失性数据(如存储在 RAM 中的数据)是如果切断计算机的电源则可能丢失的信息,而使用死机恢复时这些数据是无法获取的。
然而,最有帮助的是,IXImager 可以快速重启,足以捕获系统的 RAM,从而有效地捕获正在运行的程序、密码等。这可以通过插入取证 USB 驱动器、光盘,甚至 SD 卡到计算机中,重启计算机并开始成像过程,以及成像设备文件夹中的 RAM 来完成。然而,建议首先确定需要按下哪个功能键(通常是F12)以防止正常启动过程,并确保成像过程成功。
实时恢复还便于恢复非易失性数据。恢复易失性数据有助于重建事件时间线,以确定嫌疑人的身份、可能的作案动机以及其他有用的事件记录。可能有价值的易失性数据类型包括:
-
系统日期和时间
-
当前网络连接
-
打开传输控制协议(TCP)和用户数据报协议(UDP)端口,以及打开这些端口的可执行文件
-
当前登录的用户
-
内部路由表
-
正在运行的进程
-
定时任务
-
打开的文件
-
进程内存转储
实时恢复有助于将正在检查的计算机与其他网络连接的计算机之间的信息进行关联。易失性数据可以在实时恢复过程中被定位并保存。易失性数据的顺序从快速被擦除的内存 RAM,到更持久且在计算机关机后通常会保留在驱动器上的原始磁盘块。易失性数据的范围从最易失性到最不易失性的顺序如下:
-
内存
-
交换文件
-
网络进程
-
系统进程
-
文件系统
-
信息
-
原始磁盘块
将设备与外部攻击隔离
来自外部的威胁对计算机中存储数据的完整性构成了一个永远存在的问题。尤其是在尝试实时恢复证据时,这一点尤为突出。将设备与设备上的不可预测数据隔离是明智的做法。位于可能被设置了陷阱以防止取证检查的系统上的数据,很可能包含可执行文件,这些文件可能会例如删除设备上的所有文件。
它还可以被编程与远程系统通信,并警告其他人实时恢复正在进行。打开文件(例如 HTML 文件)可能也会带来意外后果,例如导致已安装的浏览器执行脚本并从远程站点下载文件。与外部环境的隔离对于防止敌对方篡改嫌疑系统至关重要。这也将防止可能影响取证检查的意外传输。
在进行实时恢复时,实践者需要识别并暂停可能污染数据的任何可疑进程。如果存在网络连接,应该物理拔掉,或者设备可能连接到一个空的集线器,那么应小心防止网络断开日志消息发送到连接到设备的任何外部方。必须防止远程访问设备的风险,这可以通过应用网络过滤器来实现,从而阻止任何远程访问。
始终存在这样的可能性:在实时恢复过程中,远程攻击者可能与正在检查的计算机服务器建立联系。而且,可能存在从服务器进行的暴力攻击,针对其他联网计算机进行攻击。检查计算机的网络连接,查找活动连接并识别合法端口与可能表明黑客攻击的端口是标准做法。对于面对这种恢复形式的经验不足的实践者来说,他们常常会遇到大量未识别的开放端口,这些端口可能是合法的,也可能被利用作为后门攻击。因此,谨慎的做法是确定计算机上可能利用这些开放端口的可执行文件。
实时恢复认识到保护可能丢失的易失性数据的价值,但这可能会对系统和数据产生一定的影响。许多人认为,考虑到从运行中的系统中收集的数据价值,这是一种可以接受的权衡,因为对其他证据的影响最小。一些实践者评论说,改变证据可采性制度,证明实时恢复未或无法实质性修改或引入新信息,将使实践者能够进行更有效的检查。这可能会促进更多的数字证据在法庭程序中被提交。如果某个文件对证明案件至关重要,则必须证明它没有从原始状态被更改,因为证据识别和文件恢复的过程变得不再是一个问题。
另一个从业者常提出的论点是,实时恢复应作为最后手段,直到此过程得到判例法和法院裁决的支持。或许,从业者应当将辩论引向一个新的方向,而不是等待法院做出改变。这可能需要一些扎实的经验和训练来进行实时恢复,以便能够向法院展示和解释涉及的过程。事实上,许多从业者已经开始使用专为此目的设计的新法医工具进行实时恢复——这些工具已经适应了面对大型分散数据集时法医成像的低效性。
直到最近,该学科似乎仍然专注于繁重的案件处理、庞大的数据集以及那些未能为从业者提供更好结果的工具,这些工具未能满足这些新需求。下一节将讨论现有工具和流程的局限性。
概述现有法医工具的有效性及增强流程和工具的出现
一直以来,都需要验证法医过程和工具,并确定它们恢复和分析的数字证据的可信度。这些过程和工具必须提供可验证的结果,证明它们如何产生完整、真实、准确的证据,并且具有完整性和准确性。尽管学科内有人呼吁对工具和过程进行科学审查,但仍有关于工具可靠性的抱怨。人们对这些工具收集数据的能力以及成像数据易受到伪造的质疑。
有报告时常出现某些类型的法医硬件在数据恢复过程中明显发生故障,这引发了对成像和哈希过程有效性的质疑。以前从业者曾抱怨法医工具无法检测和恢复存储在主机保护扇区(HPA)和设备配置覆盖区(DCO)中的隐藏数据,从而引发了对工具成像能力有效性的疑问。我的共同研究开发者已经发现,现有的手机工具在从许多设备中恢复所有可恢复数据方面存在不足。
其他观察者对学术研究未能成功转化为实践感到失望,且法医工具供应商对学术法医研究了解甚少,情况更加复杂。从业者处于供应商的掌控之中,而供应商可能在向相对较小、资金紧张的执法人员市场销售工具时发现几乎没有盈利空间。低水平的工具标准也在普遍接受中占据主导地位。
法院对从业者及其使用的工具有着合理的期望。法院和立法标准存在,但是否对提升取证工具的质量有任何积极作用尚属可疑。尽管标准确实存在,但在许多司法管辖区很少被遵守,并且供应商在设计和试用新工具或版本时很少真正关注。供应商对利润追求的偏执,他们对从业者真实需求缺乏理解,以及缺乏第一手取证经验,很可能导致当今可用的取证工具质量低下。
下面的小节讨论了数字取证工具的标准,它们恢复和保护数字证据的可靠性,以及克服部分主要挑战的新工具的出现。
数字取证工具的标准
各种软件包协助从大型数据集中搜索可疑证据。这些工具能够过滤和减少大量数据,使其更易管理。它们还能协助切割已删除文件和查找隐藏数据。像 ILookIX 这样的工具,使用极端文件恢复(XFR),由信息和通信技术(ICT)专家和实践者设计并进行现场测试,将能够识别和打开文件夹和文件,同时还能挽救其他工具未能察觉的数据,这些数据常常未被发现和利用。因此,现在从传统工具产生的大量、杂乱的数据输出中去除了单调乏味的过程。这意味着通过更自动化、智能的文件系统分析,案件分析能更快速地得到解决。
信息安全标准概述在 ISO/IEC 27041/2015 中,该标准为验证取证工具提供了指导方针。这旨在确保工具适合用于取证恢复和分析。许多评论者称这些标准缺乏深度和足够详细,以便任何人理解其含义,并鼓励设计者在新的取证工具和应用程序的设计中临时应用它们。迅速而持续的数字技术变化几乎不可能在没有那些制定标准的人做出一些有力努力的情况下被吸收为某种形式的监管指南。
美国国家标准与技术研究院(NIST)管理着计算机取证工具测试计划,旨在确保取证工具符合法院的期望。特别是,该计划旨在确保工具可靠,提供准确的恢复,并在成像和分析过程中最大限度地减少任何数据污染。
2014 年,英国法庭科学监管机构发布了名为数字取证方法验证的草案指南,重点是验证用于恢复数字证据的过程。提议的指南要求所有恢复过程产生可靠的证据,并且必须创建和保留详细的文档,详细说明验证其过程所遵循的步骤。然而,类似于国家标准与技术研究院(NIST)的指南,没有提供关于“案件文件的完整性和链条保持的具体标准”,尽管它们是数字取证过程的重要组成部分。(McCutcheon, 2014)
国际计算机证据组织(IOCE)规定,包括成像软件包在内的法医软件工具需要独立评估其有效性,或者从软件提供者处获得某些保证,即使需要在法庭听证会上支持其产品的有效性。大多数数字取证工具是商业软件应用程序和硬件,未经独立验证,并且一些可能由用户定制。IOCE 已确定了独立验证所有工具的不切实际性和高昂费用,并依赖于更加务实的验证检查解决方案,通过增强执法机构之间的合作来确定合适和可靠的工具,然后共享测试结果,测试任何工具中发现的不足。
应当铭记道,道伯特测试评估了法医过程和工具的有效性。这有时要求这些工具的制造商解释和验证其工具的功效,以便法院能够确定其适用性。这些数字取证工具大多已经在广泛的司法管辖区内被接受,几乎没有人质疑其完整性和准确性。在美国,道伯特测试和法院惯例不太可能接受基于制造商或从业者任何不合格声明的工具的完整性,而不提供某种形式的正式和科学保证。
在某种程度上,对于分享关于开发符合从业者需求的更高质量法医工具的信息采取了平淡无奇的方法,进一步恶化了许多司法管辖区内工具标准和任何实质性合规要求的缺乏。
这导致了对同一问题的重复努力,并且阻碍了有效研究和成果的产生,无法生成有效的法医工具。大约 10 年或更长时间以来,人们已经认识到,未来对大数据集的分析将变得越来越耗时,进一步加剧了需要为利益相关者提供及时结果的要求。此外,由于缺乏先进的自动化恢复和分析技术,分析大数据集的工作几乎不可避免地由人工完成。这样的时间限制和人工干预会妨碍从业者,后者还需要提供专家证人证言,并恢复证据。
法医成像工具在恢复和保护数字证据方面的可靠性
国际法医计算机专家组织(IOCE)曾声称,硬盘的法医成像是一个简单的过程,只依赖于通过可靠的验证工具确认其准确性,或许这种说法没有进行充分的调查。
法医图像必须能够验证为真实副本,才能被接受。这通常通过哈希过程来实现,这是目前证明法医图像完整性的标准,并用于证明两个文件或图像的相同性。这些哈希值通常以未保护的文本文件形式存储,但必须加以保护,因为它们可能容易受到篡改或修改,而这些修改很难被发现。这种保护需要在图像采集过程中进行复杂的数学运算,并记录结果以供将来比较。
哈希报告与数字证据文件相关联,是存储来自源设备的文件及其日志、哈希值和描述采集过程的其他信息的构造物,但实际上,这些过程并未增加图像文件的安全性或完整性,因为它们可能被故意修改。一个违法者可以简单地用修改后的输入重新计算哈希值。一个加密的图像文件可能会被拥有解密密钥的人修改。这是一个诚实的从业者不希望处于的境地,而一个不诚实的从业者则不会过于担心,因为即使有所怀疑,也不太可能发现任何干扰。
数字证据图像文件最常见的保存格式是E01和高级法医格式,这些格式声称能够保存和保护从计算机设备恢复的数据。这些图像可能会进行哈希处理,以便稍后验证证据是否与从原始设备复制的内容相同,并且没有被修改。直到最近,人们一直认为,当这些图像文件受到密码保护并加密时,它们无法在不被检测到的情况下进行篡改。文件图像采集日志本应是不可侵犯的,但由 FTK Imager 和 EnCase 等流行的法医成像工具生成的日志现在已知容易受到利用。
然而,McCutcheon (2014, p. 49-52) 已经证明,E01 法医图像格式(它主导了约 90% 的法医成像环境)并非防污染的:McCutcheon 证明,使用简单的编辑工具,E01 图像可以在不被检测到的情况下篡改,而执业人员也无法认证法医图像。这一发现几乎没有引起人们对更好成像技术(如 .ASB 图像容器所提供的技术)进行探索,这一技术对该领域并不陌生。
McCutcheon 的实验明确证明了,E01 图像中的元数据可以使用开源的第三方库进行操控,这引发了对常用软件流程是否有效检查法医图像有效性的质疑。这些发现表明,文件数据、元数据甚至图像采集日志都可能被修改,并且通过一定技巧,可以伪装这些修改以避免 Forensic Toolkit (FTK) 和 EnCase 等工具的检测。在撰写本文时,这些工具根本无法认证图像文件的完整性。这意味着,如果对方认为在成像过程中执业人员有任何不当行为或对恢复并成像的数据的完整性存有疑虑,那么这些证据就可能受到挑战。
以下链接将为您提供有关此实验的更多信息:
researchrepository.murdoch.edu.au/24962/
我在现场和实验室对 IXImager .ASB 证据容器的测试确认了它能够安全地将法医图像存储在受保护的证据容器中,支持 McCutcheon 在 2014 年提出的关于证据认证的担忧。这些实验于 2015 年完成,得出了一些重要且令人鼓舞的结果,具体如下:
-
与 EnCase Forensic Imager 不同,后者会记录与更改数据相关的空数据,IXImager 会对修改后的图像进行自我认证,并通过在更改的区域写入零来修复它,从而使得可以检测到被篡改的扇区,从而提醒执业人员注意那些已被修改的图像扇区。
-
当使用成像应用程序 IXImager 打开时,应用程序会验证图像是否已被修改,并且不再是原始的。该应用程序提供了详细报告,列出图像的具体修改内容。此类事件会在检查证据容器时通知执业人员。
-
证据容器中嵌入并加密了采集日志和一个用于验证的秘密副本日志,这些日志是不可侵犯的,并为执业人员提供了原始采集情况的真实记录。
.ASB 证据容器已经为从事数字取证的人员提供了一段时间的工具,当在法庭听证中受到质疑时,可以用来验证数字证据。然而,大多数从业人员并未意识到或似乎对这一问题不感兴趣。大多数人仍然使用E01文件,这些文件无法自我验证,且无法提供防篡改的采集日志。到目前为止,NIST(美国国家标准与技术研究院)尚未审视这一做法,这可能会削弱法医图像的价值。然而,创建.ASB容器的 IXImager 是唯一一款 100%通过 NIST 认证的影像软件(NIST, 2013)。到撰写本章时(2016 年),这一情况没有发生变化。
IXImager 通过 CD 或 USB 闪存驱动器在启动设备时加载,提供了一个安全的避风港,用于存放法医图像和嵌入的影像日志表。此外,它的写保护软件避免了使用昂贵的硬件写保护器和多个加密狗。数据成像速度的测试也使得这款软件领先于竞争对手。
已有一些担忧表明,数字取证工具不适合在联网计算机上使用,它们主要针对的是从网络中移除的单台计算机进行成像和分析。恢复要求应规定对联网系统进行在线本地或远程分析,同时在成像和恢复过程中不会污染证据。第五章,增强取证工具的需求,详细讨论了这一问题的解决方案。
下一部分介绍了两个澳大利亚的案例研究,强调了在恢复数字证据时保持最高专业标准的重要性,并强调了证据保存的重要性。这些案例提出了一个问题:为什么执法机构过度依赖专业的数字取证单位,而不为普通警员提供一些基础的数字伪取证培训和更有效的工具,因为他们往往是犯罪现场的第一响应者,而这些现场越来越多涉及到某种形式的计算设备。
案例研究 – 将证据与用户关联
有时候,在法律程序中出现对可采性的挑战时,数字证据可能会不恰当地交给陪审团审理,因为法官未能理解证据的性质以及挑战的依据。这在 2007 年莫德伊诉西澳大利亚州的儿童色情非法持有案件的陪审团审判中得到了体现。案件表明,审判法官未能拒绝数字证据,尽管辩护律师在审判开始时已提出严重怀疑该证据的保管情况。因此,在上诉程序中,莫德伊案件中的数字证据被判定无效,具体的定罪也被撤销。你可以在这里阅读该案件的详情:
在 2008 年澳大利亚的一起儿童色情案件中,计算机技术员在之前由被告委托升级设备并移除疑似恶意软件时,在被告的笔记本电脑上找到了儿童色情视频和图片文件。在为电脑升级新内存芯片的过程中,操作系统被删除,被告的个人数据被保存到技术员的备份电脑中。在对硬盘进行碎片整理后,操作系统被重新安装到笔记本电脑上,随后被告的个人数据被复制回到笔记本电脑上。没有使用任何特殊的法医工具来复制、删除或稍后恢复这些个人数据。
在复制过程中,技术员打开了一些视频文件,这些文件似乎描绘了儿童色情内容。当地警方接到可能犯罪的通知,访问了工作室,并指示技术员将数据复制到 DVD 上,DVD 随后交给了警察。根据警方指示,个人数据被恢复到笔记本电脑上,之后笔记本电脑被返还给被告,待日后扣押。随后,警察丢失了这张 DVD。
这台笔记本电脑在技术员的办公室里放了几周,等待正确的内存芯片到货。其他技术员可以进入存放笔记本的房间,但警察团队并没有尝试在笔记本电脑被扣押之前就取走它并保存证据。正是这个事实导致案件被挑战,理由是笔记本电脑在被扣押之前并未建立起有效的物证链,而是在一个相当长时间后通过专门的计算机团队在被告的住所进行突击搜查时才被扣押。
两次审判无效。第三次重审时,法官认为部分数字证据因异常的文件元数据而不可靠——这并不令人惊讶,因为硬盘已经被清空,之后又被写入了更多数据。无法提供恢复数据与原始已删除数据的比较。恢复的数据可能与原始数据有所不同,或者已被篡改。
然而,尽管辩护律师反复且强烈质疑缺乏可靠的证据链(无法防止证据被篡改),陪审团仍然根据剩余的拥有罪名判定被告有罪。
被告之后提出的上诉被驳回,上诉法院指出,被告在笔记本电脑上承认了拥有儿童色情内容。尽管在被告笔记本电脑中缺乏任何对数据的责任关怀,并且 DVD 的副本丢失,但证据仍被允许呈交给陪审团。
起诉方有责任确认数字证据的完好无损,尽管显然并非如此。在毒品贩运和儿童色情内容拥有案件中,证据的无罪推定发生了逆转,导致被告需要证明自己并未意识到拥有非法或令人反感的材料。让人难以置信的是,当证据的真实性显得可疑时,竟然被视为可接受证据——这一点连检察官也表示认同!影响陪审团作出有罪判决的,可能是被告在视频采访中部分承认了罪行。
在数字取证调查中,这种缺乏专业性的情况遗憾地并不罕见。那些原本应作为法院诉讼一部分的信息,或者可能作为证据使用的信息,必须小心处理并加以保护。绝不容忍随意和不负责任的态度。因此,亲爱的读者,如果你打算成为这个领域的一部分,请在证据处理上保持严谨。
参考文献
Grossman, M. R. 和 Gordon, V. Cormack. 2011 年。技术辅助审查在电子发现中比全面的人工审查更有效、更高效。《里士满法律与技术期刊》 (17):11-16。
Mowday 诉西澳大利亚州。2007 年,WASCA 165。
NIST. 2013 年。IXImager v3.0.Nov.12.12:数字数据采集工具的测试结果。美国国土安全部科技与研究部。参考文献:www.dhs.gov/cyber-research。
摘要
本章首先从总体上看待证据恢复和保存,然后重点讨论这两者如何与数字证据相关。从保存包含数字信息的实物证据,到以数字形式恢复证据,本章概述了从业人员的责任以及在证据处理过程中面临的挑战。
死证与活证的恢复过程已被描述,尽管这些行之有效的过程如今正面临由先进技术带来的范式转变。新颖且更可靠的证据恢复与保存方法,以及更高效、可靠的法医成像方法被提出。
第五章,增强法医工具的需求,将探讨解决并克服活证恢复某些弊端的新技术和工艺,介绍一些“颠覆性技术”,这些技术正好及时到来,为从业人员在法医检查中提供竞争优势。这将使你能够在本章所学的基础上进一步拓展知识,并为你呈现数字证据恢复与处理的新兴环境。
本章还将重点介绍快速变化的法医环境,在这种环境中,传统的法医成像和日益增大的数据集的索引变得不可行。它将介绍新的法医过程和工具,以帮助更有效的证据恢复和资源的更好利用。这种“颠覆性技术”已经开始挑战既定的数字法医响应,并且使得法医专家的过度依赖面临考验,因为法医专家本身正被日益增加的案件负担压得喘不过气,且无法处理更大、更复杂的数据集。
第五章:提升法医工具的需求
本章重点介绍了快速变化的法医环境,其中传统的法医成像和日益增大的数据集的索引变得不可行。它介绍了新的法医流程和工具,旨在帮助更有效地恢复证据并更好地利用资源。本章还介绍了颠覆性技术的出现,这些技术挑战了既有的数字法医响应,并使过度依赖法医专家的情况愈加严峻,而这些专家本身也正面临越来越重的工作负担以及处理更大、更分散数据集的能力受限。
本章将特别涵盖以下主题:
-
法医实验室和从业人员在从日益庞大和分散的数据集中恢复证据时所面临的新兴问题
-
帮助从业人员更有效应对这些挑战的流程和法医工具
-
使非专业的执法人员和其他相关方(如 IT 管理员、法医审计员和安全官员)成为数字犯罪现场的首批响应者
-
一个案例研究,展示了审查大数据集所面临的挑战
数字法医实验室
在过去十年中,政府和私营部门的数字法医培训和教育加速发展,以满足对合格从业人员日益增长的需求。许多进入这一领域的人都在法医实验室就业,参与数字法医检查工作。最近,预算约束正影响着许多数字法医实验室,导致它们的人员配备和专业培训受到严重限制。同时,实验室案件负荷的急剧增加可能对工作质量产生不利影响。简而言之,法医实验室在设备、人员和建筑方面的成本非常高。
然而,数字法医社区内的知识共享促成了在法医分析方面的显著进展。许多数字法医实验室,特别是执法环境中的实验室,正在利用这份共享知识库,制定指导方针,改进分析工作,从而实现任务自动化,加速处理原本繁琐且耗时的工作,以应对更大数据集。
近年来,全球许多企业的倒闭往往涉及管理者和员工在某些程度上的不诚实行为,他们试图通过剥削濒临破产的企业来获取某种形式的经济利益。这些违法行为涉及窃取企业和客户资产,需要取证审计专家的调查,而这些专家又需要从业人员的专业技能来定位和分析相关的数字证据。这给私人实验室带来了额外的负担,导致案件负担加重,同时也需要更多有经验和合格的从业人员来增加 staffing。
数字取证实验室的目的
很少有组织具备数字取证能力,也并非所有政府部门都拥有数字取证实验室,因为这些实验室成本高昂,并且需要经验丰富的人员,而这些人员并不总是随时可用。通常,组织会将数字取证集成到安全事件响应程序中。数字取证检查在时间和人力上可能非常昂贵,提供这些服务的实验室也不例外。执法机构、国防和情报机构、大型金融机构,以及国际会计公司,如德勤、安永、毕马威和普华永道,都拥有成熟的实验室。
较小的组织可能会使用已建立的私人从业人员或大中型会计事务所的取证人员提供的服务。聘请取证专家的费用始终很高,与辩护律师团队寻求独立审查由检方专家恢复的数字证据没有区别。遗憾的是,许多被告往往无法承担聘请顾问从业人员的费用,除非他们有足够的资金或获得某种形式的法律援助。
设计良好并运作正常的实验室为从业人员及其服务的组织提供了必要的支持和协调。这些实验室提升并提高了法医检查的标准,使其符合法院的预期,并提供了高效的案件处理和更好的资源管理。有效实验室的设计因组织不同而异,但有一些共同的要求。没有某个正式建立的法医学机构,能够适应并遵守相关法律辖区的证据规则,数字取证检查将会缺乏协调、零散且无效。
以下部分概述了数字取证实验室的基本组成部分,并探讨了它们面临的重大挑战。
数字取证标准的接受、共识和采纳
应该回顾一下,DNA 证据的早期优势在 OJ·辛普森案件中受到了挑战。该案件得到充足资金支持,帮助辩方成功反驳了法医证据,声称证据在实验室中被污染,最终导致辛普森被宣判无罪:
abcnews.go.com/US/oj-simpson-trial-now/story?id=17377772。
在全球范围内,类似的情况屡见不鲜,糟糕的实验室操作导致了冤假错案。在澳大利亚,年轻婴儿 Azaria Chamberlain 的失踪事件及其在 Ayers Rock 的被害案件揭示了松散的法医实践和对证据的错误解读,至今仍在澳大利亚引发共鸣:
www.abc.net.au/news/2012-06-13/eastley-a-dingo-did-steal-her-baby/4068026。
准确有效的审查结果对于确保公正的审判至关重要。错误和不称职的法医检查可能导致错误定罪,或至少导致不安全的审判。因此,数字取证实验室的认证设立了更高的标准,法院可能会对法医分析和物证处理更有信心。尽管一些法域要求法医实验室进行正式认证,但大多数并未要求,尽管曾多次呼吁进行认证以及对法医从业人员进行认证。此类呼吁坚持认为法医从业人员需要接受包括能力测试在内的认证,确保他们具备执业资格并能提供专家证词。
然而,似乎不太可能在大多数法域达成对这种认证的普遍共识,国际认证协议的达成更是难上加难。更可能的是,从业人员需要在法院和雇主面前证明自己的专业资质,表明他们配得上作为专业合格从业人员的认定。
回顾第三章,数字证据的性质与特殊属性,使用 Daubert 测试来衡量数字取证工具的能力以及取证从业人员的资质,这在美国是常见的做法,但在其他法域中尚未广泛采用。美国倾向于在数字取证实践的测试与验证方面走在前列,这在很大程度上是由判例法和法律先例推动的。
还有一个期望,即数字取证实验室应符合ISO 17025或美国等效的美国犯罪实验室主任协会/实验室认证委员会(ASCLD/LAB)国际要求。ASCLD/LAB 国际认证实验室必须遵守ISO 17025的 360 项标准,但数字取证实验室遵循的标准要少得多。
尽管该规定未定义数字证据,但它要求实验室提供一些保证,确保:
-
适当的实物证据保管
-
法医过程和工具的验证
-
遵守法医最佳实践
-
法医计算机保持有效工作状态
-
可验证的法医工具校准
在这种体制下,证据的保存、处理以及物理安全政策和流程必须针对证据的保存进行调整。关于计算机和存储设备等实物证据的“标记和包装”问题有明确说明,但在数字证据和数字证据容器的定义方面,完全没有给出定义。这引发了一些关于计算机或其硬盘是否为实际证据,以及计算机外壳是否为容器的疑问。遗憾的是,未给出任何定义来澄清存储在硬盘或其他存储介质上的数字数据是否为证据容器。
这些可能被视为语义问题,但不明确的表述引发了关于原始证据数字化副本性质的挑战。例如,在检查过程中生成并导出供法院呈现的录像带被称为原始证据。然而,立法者和法院采取了务实的态度,认为任何可以在计算机上打印、复制或复印的数据记录都是最佳证据,并且在验证其真实性的前提下可以作为证据接受。
标准的采用主要由美国和欧盟推动。不幸的是,这些标准通常仅涵盖一般要求,并未专门针对数字取证,导致数字取证实验室不得不采取昂贵的零散努力,试图满足法院的期望。尽管ISO 17025在为更成熟的法医学科建立质量管理体系方面具有良好的记录,但它在数字取证实验室中的应用证明是资源和时间密集型的,并且效果不佳。这是因为该标准是为传统学科设计的。实施这些设计的人员通常是对数字取证和最佳实践了解有限的传统法医管理者。
数字取证实验室的最佳实践
最佳实践手册、法规和治理是任何取证实验室的核心部分,确保案件管理尽可能顺利和专业。最佳实践包括对设备的检查管理以及报告概览,确保设备检查和取证分析符合最佳实践,并且工作人员的发现已被交叉检查,以确保其准确性、完整性,排除任何错误和异常。
每个案件相关的所有数字证据和设备必须在证据保管登记册中得到妥善记录和核对,登记册记录了所有证据的移动情况以及曾经检查或测试过这些证据的人员。必须在实验室最佳实践的相关规定中明确计算机设备和存储介质提交分析时的适当标记和与证据登记册的交叉引用。
所有取证软件应用程序和技术工具的熟练测试必须在使用前完成。数字媒体的成像和复制到取证计算机,以及其他数字媒体的复制应遵循实验室的证据保管登记册及证据分析与报告协议。
数字证据、计算设备和存储介质的档案通常需要进行分类存储,以便在上诉审判、冷案复审和其他调查中作为未来参考。有些材料在经过指定期限后可能需要根据政府的证据、档案保存和记录管理法规进行处置或销毁。
数字取证实验室的物理安全
物理安全对于控制和保护证据及技术设备免受未经授权的污染和篡改至关重要。它还可以保护工作人员免受潜在攻击者或敌对方的威胁。证据必须得到妥善保管,且其证据链需谨慎维护、管理和协调。数字证据及其容器、原始硬盘或磁带应存放在安全级别的储物柜、柜子或保险箱中,最好配备组合锁和钥匙锁。
然而,准备取证图像和硬盘以供分析的过程可能要求取证设备在较长时间内持续运行,包括非办公时间。因此,分配给证据处理的工作空间本身必须防止未经授权的内部或外部访问。理想情况下,这可能需要严格的访问控制,每位工作人员的工作站需与物理访问隔离,并采用控制进入的措施以及某种形式的安全报警系统,以便在出现未经授权访问尝试时发出警报。实验室和证据展品的访问必须严格控制。为了防止未经授权的访问和篡改证据及相关设备,必须对所有访客进行监管。
除了物理安全性保护实验室周边和一定程度的工作站内部隔离外,计算机显示器不应从实验室窗户外部可见,以防泄露隐私。
数字取证实验室的网络和电子要求
可靠且经过批准的电力基础设施是保护敏感设备免受电力波动(如电压峰值和谷值)损害的关键要求。理想情况下,每个计算机电路应限制为两个端口,外围设备也应如此,以避免电力消耗和中断。将每个计算机系统与其他系统隔离开,有助于减少电力问题并提高正在检查数据的安全性。
每个从业人员/检查员需要一个独立的工作站和存储空间来存放当前正在检查的证物。理想情况下,每个从业人员的工作站应至少为 6 平方米,并包括一个用于拆解计算机设备的工作台以及一个用于分析恢复数据的工作台。从业人员还应能访问网络,因为他们可能经常需要互联网连接来检查在分析过程中恢复的信息。然而,这样做也存在一些固有风险,特别是如果其他有权限访问网络连接的用户获得了关于检查的信息。必须采取措施防止此类信息被截取,并隐蔽研究活动。
电缆设计应减少计算机网络中常见的谐波,以延长其他设备(如显示器)的使用寿命。所有敏感设备都应配备浪涌保护器、不间断电源以防止在断电时数据丢失,并且每个工作站都应有简化的电缆管理系统,这是至关重要的改进措施。
电磁干扰可能会污染存储在具备 Wi-Fi 通信功能的设备上的数字数据。移动电话就是一个例子,许多其他设备也是如此,包括配备蓝牙和其他 Wi-Fi 通信硬件的计算机。对这些设备进行数字取证检查时,要求它们被解除武装,并且无法与本地通信网络进行连接。
在开始从移动设备恢复数据时,标准程序是先取出 SIM 卡,并将设备切换到飞行模式,以防止它们与外部通信点连接。这可以防止新数据下载到设备或现有数据被修改或删除,从而影响从业人员恢复所有潜在证据。最好在设备开机前就将其屏蔽。
此类测试通常在有屏蔽的房间内进行,这些房间用多层细金属网或穿孔金属封闭。这些金属层被接地,以散除来自外部或内部电磁场产生的电流,阻挡可能损坏被检查设备并改变其存储数据的大量电磁干扰。这些房间可以用便携的取证(迈克尔·法拉第)袋替代,这些袋子可以带到犯罪现场,用于保护和检查移动设备。实际上,它们是法拉第笼,能够屏蔽电磁干扰,保护电子设备免受外部射频干扰的潜在损害。
为了确保人员的福祉并保持服务器和计算机设备的适当室温,空调和防尘(防静电)地毯也是必不可少的。由于审查过程的机密性,还应安装声学隔音设施,以确保不违反案件隐私。
目前数字取证实验室面临的困境
与传统犯罪形式相比,网络犯罪相关案件的数量现在显著增加。网络犯罪涵盖了广泛的违法行为,最典型的包括信用卡欺诈、身份盗窃、网络钓鱼、敲诈勒索和未经授权访问电子邮件等。大量数据集的爆发和计算设备的激增,已经使得执法实验室无法检查所有可能包含潜在证据的数据和设备。
许多执法机构已经通过依赖低效的筛查流程和案件优先级排序来应对这一挑战,这意味着除了那些被分类为高优先级的案件,其他案件可能会延迟处理数月甚至数年——这显然无法有效执法。与此同时,关于低技能的从业人员是否能够完成高质量的数字犯罪现场重建的担忧也在不断加剧。
为了节省时间,实践者有时会使用筛查过程,通过快速扫描存储介质来确定其是否包含有价值的证据,然后再进行更为全面的检查,尽管文件压缩技术有助于减少取证图像文件和案件数据的大小。尽管数据大小减少,存储和归档这些数据仍然是一个耗时的任务。存储设备数量和对这些设备进行的取证图像拍摄数量显著增加,给取证实验室带来了更多的担忧,导致了大量的工作积压和严重的处理错误。数据集大小的增加进一步加剧了这一积压问题。
因大规模和广泛分散的数据集而带来的新兴问题
尽管许多商业法医软件供应商都在努力应对数字证据性质的变化和数据集量的增加,但它并没有缓解或解决数据存储的重大问题。存储问题不容忽视。为了将来能检索和检查数字证据,进行分类和保存是一个既耗时又昂贵的过程,无论存储介质的成本较低且存储容量较大与否。需要考虑的一点是,如果这些遗留或冗余的法医工具没有被备份以便后续使用,它们可能无法再获得。如果工具厂商/供应商不再经营,可能还会出现未来的许可问题。
较小的数据需要更少的存储空间,且更容易归档。例如,ISseekExplorer 法医容器的好处在于,它为证据提供了一个永久的安全港,并且比传统容器占用更少的存储空间(这一点将在本章后面详细描述)。
数字证据分析通常涉及处理大量数据集,使用现有的法医工具需要技术专长和理解,这往往是法律从业者和 IT 经理等人群所不具备的。此外,数字证据的技术复杂性有时会导致对法律案件中提交的数字证据产生误解。尽管目前的法医工具理论上可以完成大型数据集的处理,但这将非常耗时,因此亟需研究以缓解大型数据集带来的问题。
我认为,在使用数字法医过程和工具时,刑事(主要是执法部门)和民事检查之间并没有实质性的区别,因为每个利益相关方都在寻找相同类型的证据,但可以说标准不同。我进一步认为,以前用于电子发现的方法,通常涉及大量机器,现在需要应用于数字法医,并进行一些改进,这是处理大量数据的唯一方法,尽管不一定是来自大量不同来源的数据。
因此,存储大型数据集并分析其内容以寻找证据的挑战是巨大的,有时这会对法律听证会产生不利影响。定位和保存刑事和民事案件中的数字证据的目标是相似的,但所使用的法医流程和工具在每种环境中的发展方式不同,这将在以下两个小节中进行描述。
揭穿法医成像的神话
法庭期望数字证据的恢复应遵循可靠的法医流程,这些流程在最佳情况下消除、在最坏情况下最小化数字信息的任何修改。这在电子发现中被误解了,某种程度上在刑事数字取证中也有类似误解,认为每个案件中设备上的完整数字信息都必须进行镜像。
在许多法域中,特别是在美国,并没有强制要求必须制作法医镜像。法院需要确认的是,所收集的证据在法医层面是可靠的,即能够证明它是未被修改且未被污染的。如在第四章中所示,恢复与保存数字证据,这一过程应包括一个可靠且可信的记录,说明数据是如何恢复的,以及采用了何种流程。
美国联邦证据规则第 901(a)条规定,认证展品,包括数字证据,必须有充分的证据证明恢复证据所使用的过程的真实性,这一规定适用于大多数民事和刑事案件。在民事案件中,法院和案件当事人倾向于“过度收集”证据,这一点可以从使用镜像的案件中看出。还有人担心,过多无关的信息可能会被审查,违反了其他数据来源方的隐私。
特别需要的是一些敏锐的推理,来判断应该选择恢复哪些信息,而不是采用全盘镜像的“桶式方法”,即完全复制硬盘。在过时的理论中,收集的数据应该是未被修改的,必须包含硬盘上的每一个比特,包括已删除和部分擦除的分配空间数据。法医镜像提供对在镜像过程中恢复的所有数据的访问,包括已删除、擦除和损坏的数据。这使得执法人员能够重建犯罪历史,但这需要相当的专业知识和时间成本,并且往往不会对调查产生有益的结果。
法医镜像通常作为刑事调查的标准流程使用,但在怀疑故意删除数据并需要特殊工具从镜像中恢复证据的企业调查中也经常使用。事实上,在需要恢复隐藏和修改过的数据的情况下,镜像仍然被认为是首选的方式。
成像的缺点在于,该过程从被成像的设备中恢复每一位数据,并且由于驱动器的大小,图像现在的大小显著增大。其大小之所以重要,是因为图像中大部分是无关的数据,这使得定位证据变得困难且耗时,并且传统上需要较高的专业水平。通常,图像中的证据价值部分仅占一小部分。此外,实践者必须前往设备所在位置,连接到设备或硬盘后完成成像过程。这增加了恢复数据所需的时间以及涉及人员的成本。
这种耗时且资源密集的取证成像实践正在迅速变得不可持续,因为更多案件涉及大数据集,并且表明存在比现有方法更有效的流程。虽然取证成像是刑事调查中的常态,但据估计,在超过 90%的民事案件中,进行取证成像的做法是过度的且没有正当理由的资源和资金浪费。未来几年,刑事调查中可能会出现相同的趋势。此外,取证成像工具无法有效地从基于网页的电子邮件账户、Dropbox 或其他云端或远程位置的账户中恢复证据。
目前困扰数字取证从业者的困境
从业者现在正在处理越来越大的,达到数 TB 的数据集,但却因分析工具不足以及耗时低效的恢复过程而感到困惑。早在 2004 年,取证从业者就因数据捕获后分析所需的时间密集型哈希和索引算法而在处理大数据集时感到困难。即使是像 500GB 这样适中的数据集,处理起来也有问题,因为这一过程本身就极其耗时且效率低下。这是因为数据提取和分析过程变得极其缓慢和低效。
十多年来,研究人员一直认为,实践者必须解决使用他们所描述的不充分的取证工具和流程来定位和恢复相关数据的问题。人们还预测,数据集的快速增长将需要更复杂的自动化分析来帮助定位和识别目标证据,并可能需要更多的计算能力。更为敏锐的观察者意识到,需要改进的自动化流程是及时且可靠地识别和分类隐藏在庞大且分散数据集中的相关证据的一部分。
过度依赖取证镜像以及不愿意进行如桌面计算机和网络服务器等设备的实时恢复,已使从业人员陷入困境,并迫使他们花费过多时间在不必要的恢复、存储和分析上。传统取证工具制作完整镜像并使这些镜像重建以便查看所有数据的能力多次失败。然而,镜像技术仍然是主流——至少目前是如此。
不过,对从业人员来说也有一些令人鼓舞的消息。需要更简单的、符合法律系统预期的流程,这些流程将在下一节中进行描述。
协助从业人员更有效应对这些挑战的流程和取证工具
与镜像技术形成鲜明对比的是,使用法医合规的工具和流程进行目标明确的实时恢复是可行的。在这一过程中,证据是通过搜索获得的,但搜索过程不会改变文件数据和元数据。恢复的数据会被收集到符合取证标准的、密码保护的证据容器中。电子发现工具正迎来这一变化——我预测这一变化将扩展到刑事证据恢复过程中。
电子发现证据的恢复与保存
目前用于电子发现的技术的最新发展,正在预示着一个范式转变,摆脱目前捕捉和识别数字证据的繁琐流程。对于参与民事诉讼的公司来说,电子发现的范围正在增加,涉及捕获与证据目的相关的数字信息。
现有流程涉及的技术有时挑战了数字取证和法律从业人员的技能与经验,从而产生了对专业数字取证从业人员的需求。这些专家的费用昂贵,这对发现过程来说是一项额外负担,尤其是考虑到处理恢复数据的强制性法律分析团队的高昂费用。
对所捕获的电子发现数据进行有限关键词搜索的处理时间例如,也非常耗时,往往需要数天甚至数周,而大量的搜索结果需要审查,常常使人不堪重负。证据检查受到人工分析师处理能力的限制,随着数据集规模的增加和后处理审查的加重,这一问题愈加严重。给从业人员提供仔细审查所有捕获证据和搜索大型数据集的机会早已过去,这显然表明需要更好的数字证据捕获和处理技术。
电子数据发现(E-discovery)几乎完全是一个民事问题,涉及不同组织之间的争议,因此“证据”的概念略有不同。然而,民事调查有时会导致恢复的证据被用于刑事审判、纪律听证会以及其他法庭程序,如不公平解雇案件。通常,围绕电子数据发现的案件要求当事人通过在其网络和存储系统中完成搜索,确定与诉讼相关的信息。所有被确定为与诉讼相关的文件将被提取、处理以去除无关文件,并提供给请求的当事人。请注意,此过程中没有进行法医成像。
在使用自动化工具优先选择和筛选文件以供审查的各种电子数据发现过程中,存在一个难题。这些自动化工具通常被认为是节省成本的方式,但却是繁琐的手动审查的劣质替代方案,后者需要对每个文件进行评估,以响应生产请求并确定特权。Grossman 和 Cormack(2011)引用了Sedona Conference 关于电子数据发现中搜索和信息检索方法使用的最佳实践评论,其中警告说:“[t]似乎存在一个误解,认为人工审查大量信息与自动化审查一样准确且完整——甚至可能是完美的——并且是所有搜索应当遵循的黄金标准。即便假设这个行业有足够的时间和资源继续对庞大的电子数据集进行人工审查(实际上并没有),这种方法与使用新开发的自动化审查方法的相对效能仍然是一个值得辩论的问题。”
电子数据发现中的索引过程由软件应用程序执行,这些程序扫描众多电子文件的可读文本,并将其纳入与文本文件相对应的搜索词数据库表中。索引旨在优化后续的搜索和检索,并有助于管理封闭的存储库、集中式数据档案和业务记录存储库。
通常,在基于索引和非基于索引的电子数据发现数据收集中,软件会安装在客户端服务器或网络上,允许对选定的语料库进行检查和索引,并将其保存在代理或索引服务器上,作为可搜索的数据,以便后续检索和处理,如下图所示:
网络数据的客户端-服务器索引
电子存储信息(ESI)的持有者,无论是公司还是客户,他们可能并不清楚,为了执行大多数 ESI 电子邮件数据库处理,几乎每一项他们拥有的知识产权价值,都在不知情的情况下大批量地转移到审查公司所在的地方,仅仅是为了丢弃 90%的数据。或许值得注意的是,数据泄露甚至企业间谍活动的巨大风险,可能会发生在审查者的数据中心。
根据我在该领域的案件工作,我坚信如果在获取阶段完成处理会更为理想。最终,为了存储图像而存储不仅占用存储空间、时间、金钱和管理成本,还涉及到安全问题,并且它还带来了可能扩展数据请求范围的潜在风险,这些请求超出了当前案件的范畴。一项从一个轨道开始的调查,可能无意中发现其他事件的数据切线,从而扩大调查范围,超出了最初导致案件发生的要点。
增强的数字证据恢复与保存
电子发现索引过程的局限性在于,管理大型档案库会导致搜索变慢和文件遗漏。许多组织抱怨在管理索引时遇到显著困难,特别是需要定期重新索引损坏的档案,从而消除了任何风险缓解的好处。也有人提出质疑,基于索引的电子发现工具是否能找到受特权保护的关键文件。在检查一些已经审查过的大型电子邮件数据库时,发现了一些在索引过程中遗漏的文档。
认识到资源成本、对电子发现快速增长的迫切依赖以及对专业知识的需求,以及搜索日益增长的数据集的挑战,我确定了一些需要改进的地方来应对这些挑战。通过审查各种工具和电子发现领域的专业知识、我之前对作为定位相关证据的主要过程——电子发现索引服务器的了解,以及Adam(2015 年)的早期实验,促使我进行初步研究,探索现有工具,看看是否有一些或所有所需的改进可以实现。
2015 年,我和我的共同研究者们研究了 Xtremeforensics 的独特专利自动化工具 ISeekDiscovery,并注意到它对电子发现相关利益方,甚至可能对执法分析,提出了多项有前景的结果。ISeekDiscovery 套件现在由 eReveal Technologies Pty Ltd 以 eFinder 的名义推向市场,包括一个配置工具、一个搜索工具和一个审查工具,这些工具不需要安装在目标设备或网络服务器上。它们的功能如下:
-
配置工具 ISeekDesigner 可以创建一个包含搜索词的配置文件,搜索词可以是整段文本(如果需要),以精确搜索。
-
搜索工具 ISeekDiscovery 无需安装,可以通过插入 USB 设备运行。包含搜索词的文件被放置在由 ISeekDesigner 设置的加密容器中。
-
审核工具 ISeekExplorer 可以访问加密容器,允许根据需要查看和提取已收集的文件。
提供有关其工具和服务的更多详细信息的 eReveal 网站位于此处:
以下截图展示了一个设置良好的向导的第一个窗格,帮助用户使用 ISeekDesigner 准备搜索词以供 ISeekDiscovery 自动化程序使用:
ISeekDesigner 帮助向导的打开窗格(配置)
以下是该工具的一些基本功能:
-
根据您要查找的内容和/或在要搜索的对象部分的要求,选择适当的选项
-
容器密码保护
-
企业主自动处理密码
-
识别对象
-
仅显示/搜索这些驱动器
-
操作模式—讨论默认选择
-
目标文件夹
-
临时文件夹
-
电子邮件操作
下一个截图展示了一个搜索词和搜索词类型的列表,反映了自动化程序的搜索能力。更长的搜索短语能够优化特定文件和电子邮件内容的定位,帮助调查。这反过来过滤掉了许多无关的命中,并加速了搜索过程,同时减少了捕获的数据量,促进了所需数据集的更有效捕获:
ISeekDesigner 帮助向导的打开窗格(搜索词)
ISeekDesigner 的目的是创建一个包含搜索词和其他搜索过程参数的配置文件。该配置文件通常是一个几兆字节的小文件,并与同样小巧的 ISeekDiscovery 可执行文件(自动化程序)一起加载到客户端的网络服务器或计算机终端中。无需安装任何程序(对网络管理员来说是个福音),并且自动化程序包可以通过电子邮件发送到远程位置。ISeekDiscovery 可执行文件启动后,会在系统仍在运行的同时开始对网络或计算机进行低级别的扫描。不会修改文件,也不会进行索引操作。这将使数据捕获更快速,而不会干扰网络或附加终端的正常功能。
以下截图展示了自动化程序搜索计算机终端上的其中一个驱动器的情况,显示被选中的驱动器正在被搜索,搜索进度、读取的数据量以及捕获的命中记录:
查看 ISeekDiscovery 自动化程序搜索选定计算机驱动器
一旦搜索完成,通常所需时间仅为传统基于索引的工具完成任务所需时间的一小部分,自动化程序会通过电子邮件或查看面板通知执法人员记录的命中次数及文件选择的理由。套件中的第三个工具 ISeekExplorer 允许执法人员查看所选文件及其内容和元数据,以及每个捕获文件的搜索理由,如以下屏幕截图所示。这些文件存储在受密码保护的.ISK加密取证容器中,以保障隐私并便于法律特权保护:
ISeekExplorer 查看捕获的文件、文件内容及元数据
在刑事调查中,增强恢复工具的好处
注意到,与传统的电子发现或数字取证工具相比,执法人员或分析师可以编制搜索并审查捕获的数据是否相关。ISeekExplorer 通过为处理后的数据创建索引,便于在捕获后进行快速审查,而不是在目标数据集上进行,且提供了以下增强功能:
-
在不污染证据的情况下进行索引,从而产生有效的证据识别
-
显著减少完成数据捕获所需的时间:索引与搜索对比
-
显著减少所需捕获的数据量
-
避免现场访问及相关的差旅
-
提供一个“安全港”以便快速、低成本地传输捕获的数据
-
没有污染已收集的证据
-
在没有互联网连接或软件安装的情况下,轻松访问目标数据集
-
简单的可执行文件,所需的技术知识极少,避免了设置复杂捕获过程的繁琐
-
与分析师和法律团队目标兼容的可定制搜索选项
-
增强捕获后的过滤和分析
-
一种可用于犯罪调查和情报分析的过程
捕获的文件可以在容器内通过 ISeekExplorer 嵌入的高级软件进行索引。以下屏幕截图显示了在新创建的Search Results文件夹下,Explorer窗格中列出的搜索结果。每个子文件夹的名称基于所选的搜索词,可以在其他查看窗格中打开查看:
搜索结果被归档在 ISeekExplorer 保护的取证容器中
采用新的证据恢复方法,ISeekDiscovery 套件的试用表明,相关的研究和设计提供了一种可靠的工具,为证据检索的更务实的过程铺平了道路。ISeek 开发团队(顺便提一下,包括了经验丰富的取证从业人员和取证软件专家)目前正在整合和测试代码,以使 ISeekDiscovery 能够恢复选定的 Windows 注册表 hive 和键,以及从空闲空间恢复已删除文件。这增加了该工具被执法部门部署的相关性,特别是在追踪分布式网络上的证据时,如云或大型网络服务器。
像 ISeekDiscovery 这样的工具现在允许信息管理者和执法人员在最少的培训下,跨越广泛的数据存储库进行搜索,而无需复杂的取证工具和专家的协助。理论上,具备一定 IT 和取证培训的律师和审计员可以用这些工具取代昂贵的专家,并掌握自己的证据检索管理。仅将相关数据保存在受保护的取证容器中的便利,避免了存储问题和繁琐的索引与搜索过程。
我将进一步指出,这类工具提供的搜索和检索功能也可以应用于刑事调查中,其中以取证镜像为中心的关注点可以被更务实的过程所取代。这些以搜索为导向、以证据为基础的过程在取证分析上提供了显著的改进,并在资源成本上节省了大量开支。情报和防务领域也可能受益,因为这种过程所提供的搜索策略可以应用于现场调查和长期案件,其中计算机系统和数据集正作为调查的一部分进行审查。
第十章,赋能从业人员和其他利益相关者,概述了这些新技术的好处,帮助你了解这些技术将如何塑造数字取证的未来。
赋能非专业执法人员和其他利益相关者,使其成为数字犯罪现场更有效的首批响应者
如在第四章中提到的,恢复与保存数字证据,网络管理员、信息管理员或初到现场的执法人员,若在试图判断是否发生违规行为并保存证据时,缺乏一定的法医经验和合适的工具,他们的善意行为可能会变成无意间篡改证据。考虑到执法机构和数字取证从业人员的案件繁重,以及使用其服务的高成本,似乎已经迫切需要某种基本培训和工具,例如 ISeek,来帮助利益相关者管理潜在证据的识别与收集,避免证据污染。
本节探讨了数字证据收集与保存中的不足,并提供了一些务实的解决方案。
非法医执法人员面临的挑战
执法现场人员通常承担证据收集的任务。实际上,由于专业犯罪现场人员和法医检查员的工作负担沉重,他们未必随时能帮助稳定犯罪现场并及时恢复证据,因此执法人员实际上履行了类似法医的角色。执法人员在处理现场事件时,越来越多地需要扣押并检查计算机、计算机网络中的数据、移动设备、数码相机和录像机。
访问这些设备以获取信息,可能常常作为操作上的紧急需求,而非单纯作为证据收集和保存的任务。是否以及如何进行这一操作,最终是现场执法人员的判断。操作上的需求,例如可能导致抓捕嫌疑人、预防他人受伤或防止财产损失的情况,应优先于证据的收集。但这并不意味着不能为非法医专业人员提供一些意识与应对培训。
例如,从手机中恢复数据,传统上由熟悉恢复过程、并有实验室或法医现场工具的计算机犯罪团队处理。这些团队通常集中在某一地点,案件负担沉重,并且由于经常需要作为专家证人出庭作证,花费大量时间,通常专注于更高层次的案件类别。最多,他们只能向现场执法人员提供证据恢复的最佳响应方向,有时这会使得现场执法人员在没有经验、没有有效工具的情况下,得到有限的指导。
提升执法人员作为初响应者的能力
使用便携式手机恢复单元供执法人员使用,采用价格合理的恢复软件并为指定目标提供一些基础培训,这在中央和更广泛的操作地点提供了一定的好处。虽然它减少了对中央法证团队的过度依赖,但它依赖于机构能够购买足够多的高质量设备,才能产生实际影响。新兴的手机加密技术和新型号手机可能使这些现场工具包一夜之间变得过时。
使用这些工具包的指定人员的培训,有时在操作人员面对各种手机类型的特殊性时,效果不佳。近期我观察到的工具包效果和操作人员的能力,令人对其整体效益产生怀疑,尤其是那些本应能够恢复的证据未能恢复。如果要使用此类策略,设备的可靠性必须经过严格测试。此外,必须提供并监督对操作人员的持续培训,以确保最佳效果。
除了手机外,桌面和笔记本电脑的处理也需要一个务实的流程,以保存证据并提供可行的证据恢复指南,帮助案件预测。实现这一目标的基本要求包括:
-
合理的预算,用于设置和维护该计划
-
选择负担得起、经过验证且可靠的软件和硬件,这些软件和硬件相对容易使用和更新
-
可靠的培训人员,确保操作人员接受适当培训,并在需要时获得持续支持和再培训
-
对流程的审查,以确定其成功性及最终的重要性(以增强未来的预算编制)
-
审查的灵活性,以确保流程与技术的持续变化保持同步
作为流程的一部分,所需的技能包括能够对设备进行成像,或者更理想的是,搜索可以存储在法证安全数字证据容器中的证据,如 ISeek .ISK证据容器。可以通过使用 64GB 的 USB 闪存驱动器和预先设计的 ISeek 配置文件来实现,通过这些配置文件,可以选择并恢复设备中的内容,例如电子邮件记录或通讯文件。这是唯一可以启动 Apple 计算机并检索信息的工具。自动化设备还可以捕捉驱动器内容或选定的文件夹和分区。关键过程是设计搜索标准,以满足调查人员的需求。虽然这看起来很简单,但确实需要一些思考和使用搜索词的经验。
恢复过程可能需要 30 分钟到几个小时,具体取决于驱动器的大小,也可以部署在网络服务器上,且只需少量操作员培训。一旦搜索结果已知,可以选择数据并在现场访问,或将其发送到更安全的中央处理中心进行进一步分析。恢复的数据集可以迁移到处理应用程序,如Relativity;不过,ISeek 套件提供了一个应用接口,XtremeReporting,帮助法律和分析团队迅速处理数据。
或者,代理可以使用 ISeekExtractor 从.ISK文件中导出选定的文件和文件夹,进行本地或集中位置分析,如下图所示:
ISeekExtractor API 工具
提取的文件夹随后可以进行分类,方便搜索以查找关键证据,如下所示:
提取的电子邮件消息文件夹
以下截图展示了一个典型文件夹的内容,显示电子邮件头文件、电子邮件正文及附件——在此案例中为 PDF 文件:
查看提取到检查文件夹中的电子邮件头、正文和附件
使用自动化工具比成像过程要简单得多,即便是使用 IXImager,也只需要访问设备并适当设计配置文件。无需拆卸设备,该工具使用冗余独立磁盘阵列(RAID)和网络服务器,通过数据存储虚拟化技术定位必要的数据。
本章末尾的示例案例比较了旧流程和新流程在欺诈调查过程中促进数据快速恢复的效果。它展示了如何加速并简化犯罪调查中的数字取证部分。
IT 管理员、法律团队、取证审计员和其他第一响应者面临的挑战
桌面和笔记本电脑的管理员及网络管理员了解他们数据持有、用户访问和运行的应用程序的特性。他们可能是第一响应者,发现系统遭遇不当使用,包括黑客攻击、内部欺诈或人员不当行为。对于组织来说,员工通过桌面终端、便携笔记本或移动设备访问,通常通过直接布线或远程访问、Wi-Fi 连接等与组织的网络服务器连接。
通常,调查会需要包含罪证的材料,这些材料通常以个人或商业通信的形式出现,特别是电子邮件信息及附件、文本文件、照片和图表,以及数据库访问记录和文档管理系统日志。此外,调查还可能需要进行更深层次的取证检查,以查找被故意隐藏和删除的信息。
这些类型的调查可能由一系列事件触发,包括:
-
保密性泄露
-
员工的突然离职且无明确解释
-
组织资金或资产的欺诈或挪用证据
-
账户审计异常
-
滥用互联网浏览权限
-
客户和其他员工对不当行为的投诉,包括行为不端、性骚扰和违反就业规范的其他行为
存储在桌面计算机和个人计算设备上的证据可能需要进行取证映像,或者在手机的情况下,使用一系列取证工具进行数据提取。然而,这些工具可能并不总是可用,且公司内部可能没有合格的使用人员。
为了从网络服务器提取数据,网络管理员可能会使用一系列数据备份应用程序,如 Safeback 或 ShadowProtect,来进行服务器的逻辑复制以及备份磁带的复制。然而,在查看和访问文件以确定是否存在安全漏洞或某些违规行为的证据时,可能会无意中更改文件数据、时间戳和审计日志。若提取的信息最终在法庭上呈现,对方团队可能会质疑数据的真实性,声称数据可能在恢复过程中被更改过,或者被敌对方故意篡改。
这些工具会对服务器进行逻辑复制,例如复制服务器上托管的任何数据库文件,如电子邮件服务器数据库和其他会计及管理数据库。在给定时刻对服务器文件的复制以及所有可用的备份磁带(无论是本地还是远程)的存储是一种便捷的措施,因为它允许组织在保持原始数据集(可能包含证据)的完整性的同时,重新开始业务操作。备份会复制所有系统文件,重申一下,这个过程非常耗时,且会收集比实际需要更多的数据。操作人员还可能受到网络管理员的限制,后者可能不在现场,或者在关键时刻无法访问以进行服务器数据备份。
通常,网络管理员会保存所有数据,以便在需要时进行相关数据的检查,尽管与法医影像不同,这将是数据的逻辑副本,而不是逐位精确的物理镜像,后者有助于定位隐藏和已删除的文件。对于一台 1TB 的网络服务器,复制过程需要 3 到 5 小时,但对于更大的网络,所需时间和存储空间会显著增加。
这可能是基于用户身份、时间框架和主题内容,隔离与可疑活动相关的电子邮件数据库的问题。在任何规模的组织中,调查不太可能检查与每位员工或经理相关的信息存储,而是从一开始就可能集中在一个或多个员工身上。另一方面,可能不清楚潜在嫌疑人的身份,但某个事件或主题可能为定位嫌疑人提供线索。
如果可能,拥有服务器的影像可能对索引和搜索证据有用,但如果网络分散且考虑影像化大数据集不切实际呢?复制并恢复网络影像非常耗时,可能需要一天到几天才能完成。虽然大量数据被保存,但其中所需的部分却很少。如果指定的调查员只被要求寻找与事件相关的某些网络部分,那么不能保证这些部分包含所有可用证据。员工终端也需要时间进行影像处理,然后再搜索证据,这并非没有挑战,正如在第六章中所展示的,选择和分析数字证据。
增强 IT 管理员、法律团队成员及其他人员作为初期响应者的能力
因此,我和我的研究同仁并不认为影像处理是最佳流程,我们使用并推荐使用 ISeek 自动化工具来定位和恢复具有潜在价值的数据。这在本章末尾的案例研究中有所体现,但请考虑通过自动化工具审问服务器和桌面终端,收集一个可管理的信息容器,从中进行早期的快速判断,这对调查具有帮助。
例如,电子邮件服务器可能包含成千上万的用户数据库,但调查可能只需要寻找一个或两个内部用户在特定时间范围内进行的某些活动的电子邮件。自动化工具可以配置为在调查范围内查找电子邮件和附件。它可以按文件大小、类型和时间段进行过滤,以避免处理不必要的数据,并加快定位证据和进一步调查线索的过程。
此外,这类调查需要对大量电子邮件和文档集合进行高效的过滤和分类,以减少检查团队人员的时间浪费和繁琐操作。执法人员用于搜索和筛选选定数据的策略在此同样适用。此外,尽管管理员可能能够隔离用户和电子邮件账户,但仍然有可能忽视服务器上其他位置的有价值信息,这些位置并不明显且不容易被检查团队察觉。检查团队可能缺乏足够的技术知识和经验,无法找到那些不太可能出现证据的位置。自动化系统无需依赖提取大数据集,可以快速高效地处理可能存有证据的驱动器。
管理员和审计员使用自动化系统的另一个好处是,他们可以参与配置搜索条件,这些搜索可以在服务器或终端上启动,而无需安装任何软件应用程序,也无需法医专家的现场支持。这扩展了调查的范围,否则由于聘请昂贵的专家及相关的旅行和住宿费用,可能会被推迟或放弃。所有这些都可以通过电子邮件和电话沟通完成。
确保证据的安全,或者初步检查后可能有助于后续调查的信息,是优先事项。确保证据保持完好无损在之前的章节中已有强调,同时也提到了其可能被敌对方或检查人员污染,以及那些试图将其保存到安全位置的人。
再次强调,ISeekDiscovery 工具具有快速部署的能力,只需一个简单的配置文件,就可以启用对驱动器或文件夹的捕获,将信息放入“安全港”。证据容器是密码保护和加密的,以限制对恢复证据的访问,确保保密性和安全保管。此图显示了选择一个驱动器文件夹供 ISeekDiscovery 捕获:
使用 ISeekDiscovery 捕获驱动器文件夹进行保管
这些是可能赋能第一响应者的软件应用解决方案。尽管所需的工具和培训并非没有成本,但它们确实使响应者能够对其负责的数字信息问题承担一定的责任,并在民事和刑事环境中直接负责保护已恢复的证据。第八章,浏览器、电子邮件、消息系统和手机的检查,将探讨法医过程,以增强数字证据的恢复和保存,包括存储在远程位置(如云端)的数据。
以下案例研究基于一起最初是企业破产的案件,后来揭示出由企业主主事人盗窃了大量客户和员工资金的事实。该案例旨在将恢复的证据交给执法机构,以便正式提出刑事指控,并进行旨在追回资金和其他财产的民事诉讼。
案例研究 – 说明审问大型数据集的挑战
考虑一个国内物业管理公司的案例,这家公司在大约 30 年的时间里,成功建立了在澳大利亚某州省会城市的多个时尚郊区管理住宅销售、购买和租赁的盈利业务。该公司主事人在相对年轻且缺乏商业管理能力的情况下进入了这项业务,但他充满了雄心壮志和表演天赋。
犯罪背景
一直以来盈利的企业的所有者们意识到,公司的财务状况出现了越来越严重的问题。来自承包商的催款信被收到了,这些承包商负责该公司管理的租赁物业的维护和修理工作,他们抱怨未支付他们的款项。客户抱怨作为销售和购买上市物业的一部分放入信托基金的款项未能在规定时间内清算。来自公司融资方的关于贷款违约的信函,以及员工未收到工资和佣金的投诉,进一步加剧了喧嚣。
主事人被询问问题的性质,经过一个月显然的推诿后,他带着自己的工作电脑和手机离开了公司。尝试采访主事人失败,随后发现主事人已被注册为破产者。资金的严重短缺和无法满足债权人要求的情况迫使公司进入了强制管理。
很快显而易见,通过负责人控制的一些空壳公司和信托,公司的大量资金被秘密转移。这些资金是公司储备的主要部分,总额约为 500 万美元,包括客户的信托基金。甚至员工的退休金基金也已空无一物;公司每月的基金缴纳已经拖欠了 6 个月。
调查
法证审计团队开始调查公司的事务,并注意到一些重要的商业账簿遗失了,这些账簿包含了与资金相关的近期交易,而这些资金在负责人意外离职前不久已被转移。负责人的丢失的笔记本电脑和办公电话使审计人员无法获得负责人的电子邮件和电话通信。通过审查公司的银行账户,确认了大量资金已由授权账户持有者——负责人转移到其他公司。
初步怀疑是负责人参与了资金转移,并可能利用他拥有的公司进行操作。有些人怀疑与转账以及这些公司相关的文件被伪造,以便促进转账并避免银行的检测,从而避免引起不必要的注意。
审计员的简报
虽然资金挪用涉及负责人,但仍然需要证明其知识、参与度以及动机是为了犯罪获利,而不是出于其他较轻微的原因。可以通过以下证据来证明:
-
与负责人及可能的共犯有关的电子邮件和其他通讯,包括附件,涉及可疑交易
-
与公司债务相关的所有通讯
-
遗失的商业账簿的电子副本痕迹(审计团队将单独检查财务和客户业务数据库,以识别缺失的交易)
-
与负责人及相关商业实体相关的 Word 和 Excel 文件,这些文件涉及可疑的财务交易
-
所有看似被扫描的
.PDF文件,可能揭示与可疑交易相关的伪造证据 -
与复制和更改文件为 PDF 格式相关的所有应用程序,可能有助于涉嫌伪造
-
负责人的手机备份,可能提供更多参与欺诈的证据
-
任何可能提供调查线索并重建相关事件的其他信息
可用证据
可供审查员使用的数据包括:
-
网络服务器,包含约 800GB 的数据,包括电子邮件数据库、房地产管理数据库和员工工资及业务运营的会计数据库
-
17 个员工终端
-
物业管理数据库的备份驱动器
-
负责人丢弃的一部损坏的手机
数据提取过程
网络服务器数据需要进行镜像,以便最终由相关政府部门进行分析,并作为未来任何法律诉讼中对公司及负责人不利的最佳证据。由于服务器因紧急业务及不满客户和其他承诺无法关机,镜像硬盘的选项不可行。网络管理员,同时也是公司的无担保债权人,隔离了网络与负责人及其他人员,并制作了硬盘备份。备份花费了 48 小时,因为服务器自行刷新并延迟了这个过程。然而,管理员确实提供了约 60GB 的全体员工和用户终端的电子邮件存储数据。这些数据通过 ISeekDiscovery 进行了搜索。
然而,这些数据在 3 天内未能进行分析。服务器备份已恢复,花费了额外的 20 小时,并且将数据复制到政府部门的法证容器中又发生了延迟。
使用自动化工具,人员电子邮件 .PST 文件的检查在 2 小时内完成,找到了负责人电子邮件服务器账户中的证据,并在另一名员工账户中找到了少量相关信息。这与审计团队的观点一致,认为负责人是单独行动的。
如果在第一天启动自动化工具对服务器进行操作,电子邮件数据本可以被恢复。其他待寻求的文档证据,包括少数涉嫌伪造或编造的 PDF 文件及相关软件应用,也可以通过自动化工具迅速捕获。这本可以让审计团队更早了解负责人的不当行为,并识别出其他有力证据及可能与其他犯罪嫌疑人有关的线索。
对其他人员使用的六台台式电脑进行了镜像,以便进行更广泛的分析,因为认为可能会获得与欺诈相关的信息。使用 IXImager 镜像每台设备的过程非常迅速,且并行进行,3 小时内完成。镜像被挂载,并使用 ISeek 对可能的证据和其他线索进行了搜索。这一过程比起同时使用自动化工具在六个终端上进行搜索要更耗时,而事实证明,后者只恢复了很少的有力证据。然而,客户在最终结果表明,这些旧的、经过验证的流程耗时较长时,仍坚持使用这些流程。
通过这些组合过程获取了与 PDF 文件、手机和电子邮件信息及附件相关的数据,并使用 ISeekExtractor 进行了过滤,生成了相关数据的提炼版本,供审计团队审查。特别重要的证据被提取并纳入提供给法证审计团队进行分析的报告中,同时也反馈给从业人员以便进行进一步搜索。
恢复和检查结果
调查人员已获得足够的调查背景信息,以便进行一些分析和重建,帮助审计团队处理数字证据。与传统的取证工具相比,使用 ISeekExplorer 从最初的大数据集中搜索和编目可能的证据和线索,操作相对简单且速度较快。
对审计团队有价值的信息被提炼并包括以下内容:
-
校长与金融机构之间关于将大额资金从公司转移到校长控制的公司之间的电子邮件
-
从校长的手机备份服务器中恢复的同步电子邮件,涉及可疑的金融交易和校长的债务状况
-
涉嫌参与非法交易的校长所拥有和控制的家庭信托、单位信托及住宅物业的身份
-
存储在校长服务器文件夹中的文件,与公司岌岌可危状态相关的扫描书面交易
-
从公司账户转移到其他可能与调查相关实体的大额且规律的银行转账细节
没有发现任何文件伪造的证据,也没有找到可能用于更改和伪造文件的软件应用。校长与其配偶和家人的消息无害且与调查无关。没有其他员工涉及任何不当行为。
很明显,任何可能存在的实质性数字证据都在校长丢失的笔记本电脑或其他在工作场所之外使用的设备上。服务器的电子邮件数据库提供了一些校长的电子邮件,但对调查帮助不大。也有可能,使用公司电子邮件服务器的任何有罪证据邮件已被校长永久删除,因为该服务器没有防止用户进行无法恢复的永久删除。服务器的备份磁带没有发现任何有罪证据邮件。更有可能的是,实际的欺诈和伪造行为并未发生在公司场所内,也没有使用其计算机进行操作。
校长后来交出了笔记本电脑,使用 ISeekDiscovery 进行访问,但仅产生了少量但重要的潜在证据,形式为一个电子表格。该文件显然包含了校长涉及盗用客户资金的资金流动的具体细节。
结论
案例描述了通过结合旧有与新型取证过程对一个小型组织进行检查,并清晰地展示了新技术的优势。对于一个更大的组织,通过自动化系统获得的选择性数据将使用 ISeekExtractor 提取,最终处理则可使用像 Relativity 这样的软件进行。尽管最终恢复的数据量并不多,但所做的工作成本更低,所节省的时间和所需的检查也帮助降低了客户的成本。
参考文献
Adams, R. B. 2015. “利用结合数字取证与电子发现的新技术进行情报用途。”《期刊》(2015 年 5 月 25 日):1-4. 来源:www.sageinternational.com.au/product/leveraging-new-technology-that-combines-digital-forensics-and-electronic-discovery-for-intelligence-purposes/.
Grossman, M. R. 和 Gordon V. Cormack. 2011. “在电子发现中,技术辅助审查比详尽的手工审查更有效且更高效。”《里士满法律与技术期刊》(17):11-16。
摘要
本章节进一步描述了数据集规模快速增长所带来的挑战,这使得在没有大量时间、资金和人力投入的情况下很难寻找数字证据。传统的取证影像保护的可疑性也被提出。由于相应增加的安全数据存储规模和相关资源成本,预计传统的取证影像使用将逐渐减少。迫切需要使用更好的工具来处理大型数据集、识别重要证据,并将其保存在更为紧凑的存储空间中。
本章节介绍了证据搜索自动化系统,并通过测试和案例研究展示了其价值,证实了其在克服从业者面临的挑战中的有效性,并取得了一些令人鼓舞的成果。这些工具所提供的处理流程应该引起从业者的关注,不仅是在电子发现领域,而且在执法和情报界——这些领域面临着成本上升、人员减少和在有限时间内及时处理信息的难题。信息管理人员和法律界人士也寻求摆脱昂贵的专家和供应商的依赖,更好地管理、捕获和保存可能在后续法律案件中需要的信息。
我希望你能从本章获得的知识中受益,通过它你可以了解新兴的数字证据处理环境。这些新技术解决了日益庞大且分散的数据集带来的挑战,传统的影像复制方法已经无法再有效处理这么大的数据量。这些新技术不仅帮助解决了这些问题,使用它们的相对简便性也消除了许多关于电子发现专家和供应商宣传的神秘感。IT 管理员现在可以抓住机会,参与信息的有效采集和管理,这些信息很可能在法庭上使用,并且通过这些新技术,他们可以获得更大的权力。
第六章,选择与分析数字证据,介绍了使用结构化流程来导航获取的法医镜像和容器,特别是 ISeekExplorer .ISK容器文件,基于有效的法医实践定位和选择证据。本章提供的案例研究展示了案件的复杂性如何成为挑战,因此,采用一些结构化的方法来辅助实践者是非常重要的。每个案件都是独特的,可能有很大的差异,但它们都有一些共同的特征。虽然经验无可替代,但仍需要一些灵活且务实的框架,以确保检查能够有序进行。
恢复的数据量本身意味着需要使用最好的法医工具来完成检查。第六章,选择与分析数字证据,提供了法医工具的见解,这些工具用于提取和选择证据。它还将进一步描述出现的法医工具,这些工具减少了分析的单调性和耗费的时间,同时能够提取更多证据。法医检查中最令人兴奋的部分是知道在哪里寻找潜在证据,寻找什么,为什么它可能对调查至关重要,接着就是找到它。所有这些都需要经验,因为有许多盲区需要探索,尽管大脑是最好的法医工具,但在寻找和理解证据时,它也会感到疲倦、困惑和沮丧。对于经验丰富的实践者和新手来说,这些新工具确实在减少疲劳和急躁情绪方面产生了显著的差异,从而使检查更加完整和令人满意。
第六章。选择和分析数字证据
本章将介绍通过选择和分析数字证据的迭代和互动阶段,进行获取的数字信息数字取证检查的过程。它将概述与公认的取证标准一致的数字证据选择和分析的关键阶段。本章将讨论:
-
使用结构化过程浏览获取的取证图像,以根据合理的取证实践定位和选择证据
-
减少分析繁琐性和耗时的取证工具的出现,以及可以获取更多证据的工具
定位和选择数字证据的结构化过程
目前使用了多种数字取证检查模型,每种模型强调的调查过程阶段略有不同,且从业人员之间并没有统一认可的模型。我已经分析了每个模型的结构,并提出典型的数字取证检查可以分为证据恢复和保存阶段,然后是定位、排序、选择和分析已恢复的证据,这些证据可能支持(或反驳)法律论点。下一阶段是验证证据,确保其符合其声明的内容。最后阶段是将选择的证据以正式报告的形式呈现。这可能是提交给法律团队或调查员,或者可能是由从业人员在法律听证会上作证时展示。
检查通常是一个迭代过程,因为在最终结论之前,可能需要多次回顾各个阶段。例如,稍后可能恢复的另一台设备将需要数据恢复和数据保存,正如在第四章中详细描述的,恢复和保存数字证据。
恢复和保存传统上涉及设备的成像,并将数据以大宗存储在取证文件中,或更安全地存储在取证图像容器中,特别是 ILookIX .ASB 容器。第五章,增强取证工具的需求,描述了如何使用 ISeekDiscovery 自动化工具从设备或网络系统中的较大数据集中恢复更小、更易管理的数据集。无论是检查图像容器还是提取 ISeekDiscovery .ISK 容器中的信息,都应该能够概览恢复的信息,并形成对应证据类型的更清晰感知。使用结构化过程来定位证据,使得找到证据的确定性更高,而且比使用非结构化方法更轻松。
一旦获取,图像或设备可以进行搜索以找到证据。定位证据需要一定程度的分析,并结合执业人员的知识和经验。如第二章中所述,硬件和软件环境,证据可能存在于各种设备中,并且位于这些设备的不同位置。感兴趣的信息可能位于电子邮件文件夹中,包含对调查员有用的消息和附件。选择过程需要分析,随着新的线索出现,寻找更多证据的力度逐渐加强,直到最终完成全面的搜索过程。
搜索过程涉及对可能的证据进行分析,在此过程中,证据可能被丢弃、收集或标记以便后续重新检查,从而启动选择过程。必须强调的是,执业人员选择候选证据并不意味着它是有罪或无罪的证据——它仅仅意味着所选择的证据似乎与案件相关并能提供支持。这意味着证据支持或增强了法律论点或假设——案件的最终证据,例如被告使用计算机击打死者的头部,导致其死亡!一些理论家和实践者在他们的模型中明确界定了一个阶段,称之为分析,但这可能会有些令人困惑,因为分析是所有阶段的一部分,并不完全是一个独立的过程。
下图是我提出的一个简单模型,重点突出数字证据在调查和法律领域中的审查过程。调查过程的倒数第二个阶段是证据的验证,目的是确定其可靠性、相关性、真实性、准确性和完整性。最后一个阶段是将证据呈交给相关方,如调查人员、法律团队,最终是法律裁决机构。证据验证的详细内容请参见第九章,验证证据。一旦法律程序完成,数字证据容器和数字设备可能需要安全存储,直至任何审查或法律上诉的结果:
我的数字取证检查模型
以下子章节描述了证据搜索和选择的过程。
定位数字证据
从普遍存在的大型数据集中定位证据需要过滤掉多余的材料,直到最近,这主要是一个手动任务,需要从大量无关信息中筛选出有价值的部分。但重要的是清理繁忙操作系统和应用程序中的杂乱无章和噪音,因为只有少量的证据才真正需要提取。本节描述了实践者在寻找相关材料以协助调查时遵循的过程。
搜索过程
搜索过程包括在文件系统和文件内进行搜索;常见的文件搜索基于:
-
其名称或名称中的模式
-
内容中的关键词
-
时间数据(元数据),例如最后访问时间或最后写入时间
需要采取务实的方法进行检查,实践者需要创建一个关键词或搜索词的列表,从大量文件中提取特定的、具有证明力和案件相关的信息。ISeekDesigner 中的高级搜索词为实践者提供了高度的灵活性,以便定位证据,特别包括以下内容:
-
普通搜索
-
区分大小写的普通搜索
-
整词搜索
-
区分大小写的整词搜索
-
正则表达式搜索
-
不区分大小写的正则表达式搜索
-
通配符搜索
-
十六进制序列搜索
-
词首搜索
-
区分大小写的词首搜索
-
词尾搜索
-
区分大小写的词尾搜索
-
已禁用
哈希算法用于将文件的签名与包含恶意软件和儿童剥削材料的数据库进行对比。它还可以帮助在嫌疑计算机上定位与已知签名相符的文件。例如,尽管文件扩展名和名称被更改以隐藏伪造,但仍能通过使用文件内容的哈希值找到一个被伪造的文本文档,从而使得在一台计算机上找到并怀疑另一台计算机上的文件成为可能。
搜索桌面和笔记本电脑
下图显示了一台通过调制解调器连接到互联网的计算机终端。各种外围设备被连接:扫描仪、打印机、外部硬盘、闪存驱动器、存储设备、数码相机和手机。在办公室网络中,这将是一个更为复杂的系统。典型的家庭可能包括局域网以及各种用户和他们的数字设备。设备和互联网之间通过终端的连接留下了一系列的痕迹和日志记录,这些记录存在于终端、某些设备以及互联网中。电子邮件消息会在电子邮件服务器上被外部记录;打印机可能会保存打印任务的记录;外部存储设备和通信介质也会留下与终端相关的日志和数据。所有这些数据都可能有助于重构关键事件并提供与调查相关的证据:
典型的单终端网络
如果我们查看存储在终端上的数据,可能是桌面电脑、笔记本电脑或上网本,可能会在那里找到相关数据的痕迹。在以下图示中,我们从回收站恢复了一个已删除的 MS Word 文档,内容是对另一个人的死亡威胁。
预定的受害者报告称收到了一封来自嫌疑人的电子邮件,附件中包含一个 Word 文档,嫌疑人的电脑随后被没收以供检查。在这个假设情境中(基于一个实际案例),实践者的任务是定位电子邮件和附件的证据。这一简单任务可能会揭示电子邮件文件和附件,但它可能只会找到消息的痕迹:
恢复的证据物证与其他物证之间的关系
注
时间戳元数据的异常也可能会使关键事件的重建更加复杂。
在这种情况下,我们有一封电子邮件,可能与记录事件的其他文件存在多种关系,这些事件似乎与电子邮件相关,并且在相关的时间范围内。通过这个恢复的文件,可以基于相关的时间戳和附加文件的位置重建时间线。这将有助于更全面地选择有用的信息,以帮助分析证据链。接下来的证据选择小节将详细讨论这一点,但首先,实践者需要知道在哪里寻找有用的线索。
从这个简单而常见的情境来看,请注意文件并非孤立存在。存在相关的信息应该被定位——并且位于与电子邮件消息的创建和传输对应的时间段内。首先,寻找与电子邮件消息相关的其他信息是很有帮助的,这些信息可能有助于澄清:
-
消息创建和发送的时间
-
是否是在嫌疑人的计算机上创建并发送的
-
附件的创建位置
-
附件创建时间
-
创建该 Word 文档的用户身份
先前的图示突出了看似相关的事件,这些事件是基于已删除的文件和创建或修改这些文件的应用程序,这些事件如下:
-
被删除的电子邮件文件夹包含了被删除的电子邮件和附件
-
回收站包含了一个已删除的文件夹以及先前位于计算机桌面上的威胁性 Word 文档的已删除版本
-
Word 文档文件包含了与文件先前位置及其记录作者相关的元数据
-
链接文件(或跳转列表日志)指的是之前位于桌面上的同名文件在此文件夹中的位置
-
微软 Word 已安装,并且在最近的文档日志中显示了具有相同名称的文件的创建和修改记录
在计算机上创建、修改、传输或存储的文件通常会留下链接的痕迹,记录文件在设备上的存在。这些链接常常包含元数据,如作者、文件位置和时间戳,这些都可能有助于事件重建,并且它们确实有助于定位这些链接。以下截图展示了文件资源管理器窗格中的快速访问功能。在这个示例中,显示了计算机用户经常访问的文件夹。截图展示了文件夹和一个单独的文件,这是典型的默认设置。通过启动设备的取证镜像,可以轻松观察到这一点,并且不会污染原始设备上的证据:
Windows 10 快速访问功能
然而,这些数据自 Windows 7 发布以来就存储在跳转列表文件中,旨在帮助用户快速便捷地访问存储在计算机不同位置的文件和应用程序。在设备的物理检查过程中,可以通过 Windows 注册表访问跳转列表的详细信息,路径为HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_JumpListItems。
这些 Windows 专有文件,被称为对象链接和嵌入(OLE),用于嵌入和链接文档及应用程序,以便快速检索,通常位于 Windows 10 的文件夹中,如C:\Users\LCDI\AppData\Roaming\Microsoftg\Windows\Recent\。
跳转列表被分为两个目录:
-
AutomaticDestinations:这些是由操作系统和其他默认应用程序创建的,包含
DestList流,记录最近或最常使用的文件。 -
CustomDestinations:当用户将应用程序固定到任务栏或开始菜单时,会创建这些文件,例如,在 Windows 10 中。
仔细分析这些文件有助于确定文件被访问的次数和具体日期。以下截图显示了任务栏上 Microsoft Word 的跳转列表,列出了固定文件和最近访问的文件:
显示最近使用的文件的 Word 文档跳转列表,位于任务栏上的应用程序
下一张截图展示了一个 Word 文档文件,提供了文档的一些背景信息、创建和最后修改日期、作者及文件位置——这些都是有助于事件重建的潜在有用证据,如果你知道在哪里查找:
存储在 Word 文档中的文件元数据
以下截图显示了同一页面中的一个小菜单标签,允许检查文档以搜索隐藏的属性或个人信息。该工具查找可能包含不可见信息或已被格式化为不可见的嵌入文档:
文档检查菜单
文件,在此示例中是 Word 文档,可以通过打开相关文档标签页找到,如下所示:
相关文档标签页–查找 Word 文档的文件夹位置
重要的是要确定计算机上的其他活动是否能够识别特定用户在创建和发送电子邮件及附件时的身份。例如,前面的截图表明了恢复的证据与相互验证的证据之间的关联。关键是要证明在相关时间段内发生或可能发生了这些附加事件。Windows 10 有大量指向频繁和最近使用文件的链接,如下面截图中的智能屏幕功能所示,其中显示了指向 Yahoo! Mail 帐户的链接和一些最近访问的网站:
启动表单显示常访问网站的列表
使用逻辑检查过程(启动镜像),我们可以看到,在下面的截图中,曾在计算机桌面上的一个已删除文件被放入了回收站。右键单击文件可以看到文件的创建和删除日期:
以下截图显示了 Mozilla Firefox 浏览器历史,列出了许多访问过的网站。此功能在大多数浏览器中作为默认设置启用,但如果用户选择了隐身模式浏览,则会停用该功能,以避免留下历史日志:
Mozilla Firefox 浏览历史
这张截图显示了从 IE 浏览器历史中恢复的类似历史列表:
IE 浏览器历史
有时可能无法启动取证镜像并以其逻辑格式查看,这种格式对于用户来说更容易理解且更为熟悉。然而,以取证镜像中的物理形式查看数据,可以提供未更改的元数据和文件,这些数据和文件提供了关于应用程序和文件的准确信息。具体来说,正如下面的截图所示,可以查看存储在取证文件容器中的历史记录和搜索记录容器:
恢复的容器列表,包括浏览器历史数据库
ILookIX 已经恢复并解构了容器,显示了其内容,如下截图所示。此情况下的内容是电子表格(.CSV 文件),可以使用 ILookIX 查看或导出以供进一步分析,并在审判中作为证据呈现。文件和文件夹的路径以及在成像时的时间戳也已列出。以逻辑环境查看文件的缺点是,启动和使用各种应用程序的过程会改变元数据。
即使图像是写保护的,任何此类更改也是非持久性的,显示的视图也显示了当前对元数据的修改,并删除了原始时间戳。例如,最后访问的日期将在文件被打开后更改为当前查看文件的时间:
从浏览器历史记录数据库中提取的电子表格和内容列表
执业者应该了解违规行为的性质以及一些关键“角色”。案件可能集中在电子邮件或聊天消息上,或者可能与嫌疑人的浏览活动等相关。如果在检查 Skype 通信时,定位记录聊天日志的数据库文件非常有帮助,通常这些是 .CSV 电子表格文件。该文件是 main.db,通常位于特定用户的目录文件夹中。
这里显示的简短摘录提供了使用的 Skype 账户名称、每条消息的时间戳以及内容的详细信息:
从 Skype 数据库提取的消息对话电子表格——经过严格筛选
明智的做法是假设账户的使用者不一定是账户的所有者。要确认当时使用应用程序的人的身份,可能需要一些有力的佐证。例如,用户的身份可以通过设备与其他数字设备的三角定位来确认。这可以通过追踪用户的手机数据来实现,证明手机与用于与他人通信的计算机处于相同位置。
其他案件涉及恢复在通信中披露的个人信息,这些信息已被记录在对话日志中,只有通信者或少数亲密的朋友或亲属知晓。用户的身份可以通过在相关时间见证用户操作键盘并在计算机显示器上观察 Skype 通信的其他人在场人员来确认。Skype 及其他消息系统,如 Kik 和 Whatsapp,是潜在的丰富信息来源,这些信息可能存储在计算机和手机中。视频片段、图片、音频、文本和语音通话都可能与这些广泛使用的应用程序相关联。
下一张截图显示了从 MacBook Air 中恢复的电子表格,其中提供了交换消息的详细信息以及涉及的用户帐户名称。MediaDocuments文件提供了两方对话中交换的非法图片的详细信息,这些图片后来从回收站中恢复出来:
从 MacBook Air 中提取的 Skype 数据库中的电子表格
选择数字证据
审查过程的下一个阶段是选择并分析将成为法律案件一部分的证据。对于不熟悉调查的人来说,错误解读现成证据并得出错误结论是很常见的。商业经理在分析他们认为的案件事实时,明智的做法是寻求法律帮助,选择并评估他们可能希望作为案件基础的证据。
选择证据,通常称为分析阶段或事件重建阶段,涉及对已找到证据的分析,以确定系统中发生了哪些事件以及这些事件对案件的意义和证明价值。选择分析阶段要求执法人员仔细审查现有的数字证据,确保他们不误解证据并在没有仔细核对信息的情况下做出轻率的假设。这是一个事实发现过程,旨在构建一个合理的事实重建。与调查和法律团队合作,以确保选择相关且具有证明力的信息,可能是一个便捷的做法。
与传统犯罪调查类似,执法人员应寻找表明或暗示嫌疑犯的动机(为什么?)、手段(怎么做?)和机会(何时?)的证据。在依赖数字证据的案件中,确定这些因素可能是一个棘手的过程。然而,执法人员需要意识到,在寻求明确犯罪的三个基本要素时,同时保持中立和冷静,对嫌疑犯是否有罪保持不偏不倚。
寻求真相
在调查过程中,执法人员的主要角色之一是寻找支持初步假设的证据,但同样重要的是寻找反驳假设的证据。这也被称为无罪证据。需要强调的是,出于公正的考虑,即使是最处于困境中的执法人员也必须始终牢记这一要求,并在任何情况下遵守它。
执法人员寻求定罪,常常专注于选择最容易获得的证据。这被称为挑选“低垂的果实”,是一种选择性、偏向性的做法,有时会导致发现一些可能挑战其他证据的重要证据。任何值得在法庭上提出案件的检察官,都会寻找控方案件中的弱点,主要作为防止反击的策略。为了确保公正,控方所获取的与案件相关的所有证据必须与对方共享。对于辩方来说,是否需要回应这些证据在不同司法管辖区之间有所不同,依据的是对抗性法院程序——即控方必须证明被告有罪,而不是被告需要证明自己的清白。
审判日益依赖数字证据,并且已有记录表明无辜者被定罪,因此需要高度确认证据的有效性。更多细节可以在第九章中找到,验证证据。
在此过程中需要有一定的秩序,而不是采取随意的方法。重要的是定义所搜索证据的一般特征,然后在数据集合中寻找相关对象。例如,如果正在搜索图像文件,比如 JPEG 文件,调查员会寻找所有扩展名为.jpeg的图像文件。在前面提到的涉及恢复含有非法图片的 Skype 聊天消息的案例中,附件被保存后删除,最有可能是为了防止被发现。在下一张截图中,恢复了从用户受保护和隐藏文件夹中删除的 PNG 格式图片样本。由于文件名包含每个文件保存到 MacBook Air 时的日期和时间,它们被轻松识别。这些时间戳与聊天消息日志相关联,用来更全面地重建这些通信。这是一个间接但有力的关系,为此案的公正结果提供了重要支持:
从嫌疑人隐藏文件夹中恢复的图片截图
随着调查的深入,调查员会发展出关于犯罪性质和可能嫌疑人的各种假设。调查员寻找能够支持或反驳有关事件假设的数据。例如,时间戳在大多数系统中可能会被更改;因此,寻找日志条目、网络流量和其他与嫌疑计算机相关的内外部事件是非常有帮助的。然后可以使用这些信息来三角定位与整个调查相关的数据的准确性和可靠性。
对证据的审查涉及使用可能大量的技术手段来寻找和解释重要数据。这可能需要以保持数据完整性和潜在有用性的方法修复或恢复损坏的数据。执业者必须时刻意识到,证据能够将假设与毫无根据的断言区分开来——它可能证实或驳斥一个假设。因此,可靠性和完整性是其在法庭上可接受性和权重的关键,且在选择过程中必须加以重视。
潜在嫌疑人往往过多,而将某个嫌疑人与犯罪事件联系起来并不总是像看起来那么直接。下图展示了一个典型的家庭网络设置,使用 Wi-Fi 连接家庭调制解调器,从而连接到互联网。在这个真实案例中,父母为自己和另外三名家庭成员提供了宽带服务。一个孩子的朋友在孩子的电脑上完成了大学作业,并将他们的 iPad 同步到孩子的设备:
一般家庭网络的复杂性以及确定犯罪者身份
这个场景容易被利用,因为其他家庭成员和朋友在访问住宅时可以不受限制地访问孩子的电脑,并通过这些设备接入互联网。Wi-Fi 连接也容易被劫持,外部恶意攻击者能够访问并控制这个小型本地网络。假设某台设备包含犯罪数据,必须提出的问题是:它是如何进入的?是谁放在那里?可能的动机是什么?
对于传统的犯罪行为,犯罪行为或事件通常是显而易见的——有尸体、有盗窃,或者至少有可以处理的投诉,通常还会有一份潜在嫌疑人的名单,依据这些标准:
-
谁认识受害者?
-
谁曾物理接触过现场?
-
谁有动机?
例如,互联网可能会根据连接情况提供超过 7 亿个潜在嫌疑人。在这种情况下,不应假定持有含有犯罪数据的电脑或其他家庭成员是唯一的嫌疑人。显然,这是一个自然且直观的假设,但如果能证明其他人在相关时间内也能接触到该终端,这一假设就会变得危险。
在选择过程中,有时很难确定犯罪行为。以下是一些例子:
-
在网络犯罪中,事件的性质通常不那么明显且立即显现
-
如果黑客窃取了机密信息,受害者可能根本不知道被盗了哪些内容
-
受害者通常依赖系统管理员来获得信息
-
管理员可能直到事件发生很久之后才会发现——如本章最后的案例研究所示
-
身份盗窃诈骗是增长最快的金融犯罪,可能需要多年才能被揭露。
从业人员在选择证据时还应考虑其质量,并注意数字证据通常是间接的,且往往涉及大量可能与调查无关的数据审查。除非有充分的证据支持,否则它很少能单独提供足够的证据来证明罪行或无罪。
下一节将介绍有助于证据选择过程的新兴工具。
更有效的取证工具
有多种取证工具可以帮助从业人员选择并整理数据以进行审查、分析和调查。即便是个人电脑的混乱数据,也可能是一个耗时且复杂的排序过程。随着数字取证领域的发展,更好、更可靠的取证工具正在不断开发,以帮助从业人员从更大、更复杂的数据集中定位、选择和整理证据。需要指出的是,许多情况下涉及的不止一台设备,这些设备也需要进行审查。这无疑增加了整体取证检查的挑战。
以下小节展示了如何通过一系列管理过程来组织数据。
分类文件
在不同程度上,大多数用于查看和分析取证镜像或附加设备的数字取证工具都提供了有助于定位和分类与审查相关信息的用户界面。
提供文件访问和便捷查看的最先进应用是 ILookIX 中的类别浏览器功能,如此截图所示;它通过类型、签名和属性来划分文件:
ILookIX 类别浏览器
类别浏览器还允许从业人员创建自定义类别,称为我的类别,以按相关性对文件进行分组。例如,在涉及阴谋的刑事调查中,从业人员可以为第一名嫌疑人创建一个类别,为第二名嫌疑人创建一个类别。在审查文件时,它们会被添加到一个或两个类别中。与标签不同,文件可以添加到多个类别中,且类别可以使用描述性名称。
要将文件或文件组添加到分类中,实践者可以按需选择一个或多个文件在文件列表中。选择保存选定文件到分类按钮后,将弹出我的分类窗口。以下截图显示了当前所有现有的分类(包括在初始案件创建过程中创建的分类);审查员可以选择添加新的分类或删除冗余的分类。在此截图中,选定的要加入分类的文件是 Skype 消息文件。我的分类文件夹可以方便地在分类资源管理器窗口中查看和访问,允许实践者选择、编辑、取消选择,并在案件准备过程中将文件导出:
ILookIX 我的分类功能
在证据选择过程中,常常会找到一些令人垂涎的信息,但后来忘记了它们的具体位置,导致花费大量时间试图重新找到它们并跟进可能提供的重要线索。将可能相关的文件添加到应用程序中的不同容器中,可以减少不必要的重复操作。它还为实践者提供了将有趣的片段信息进行分类以便未来分析的机会。这避免了在选择过程中因过早关注可能分散注意力的有趣线索而影响到对关键证据的正式搜索。
消除多余的文件
在大量位于计算机上的文件中筛查证据的前景,可以与“无法看见森林中的树木,更别提看到任何木材(证据)”相提并论。计算机通常会存储相同文件的重复、三重或更多版本,这些文件往往散布在系统中的各个隐蔽角落。没有内容或零长度的文件也增加了杂乱;通过隐藏这些文件来消除它们,可以显著减少需要手动或通过自动化应用程序搜索的文件数量。
以下截图所示的 ILookIX 数据减少功能,可以将文件从视图中消除,但这些文件并未被销毁,可以随时返回案件中。当文件处于已消除类别时,它们将不会出现在任何列表中,且诸如索引、哈希和搜索等处理将不会对其进行。ILookIX 允许通过多种方式消除文件。这些方式包括运行哈希消除或哈希去重处理,或根据文件类型或路径手动消除文件。文件消除通常用于在处理前从映像中移除文件以加速处理,也可用于抑制重复文件。哈希去重可在审查前使用,确保审查员仅获得每个感兴趣文件的一个副本,而不是多个不同名称下的相同副本:
ILookIX 数据压缩功能
ILookIX 的哈希集管理器允许检查员审查加载的哈希集,并确定每个哈希集是否用于文件删除、哈希搜索或两者兼有。其哈希删除功能将案件中所有已哈希的文件,与选择用于删除的哈希集的所有哈希值进行比较,并将匹配的文件转移到哈希删除文件/电子邮件类别。哈希去重功能会将案件中所有已哈希的文件,与它们的哈希值进行比较,并将每个文件保留一份,其他重复的文件移至哈希删除文件/电子邮件类别。
一旦文件进入此类别,它们将不再出现在任何文件或电子邮件列表中,除非检查员选择哈希删除类别来查看文件,或者选择某个文件并恢复该文件。
解构文件
可解构文件是复合文件,可以进一步拆解为更小的部分,例如电子邮件、归档文件、缩略图存储和其他文件。一旦解构完成,这些文件将被分类为解构文件或解构失败文件。ILookIX 内置的文件解构功能允许实践者在处理图像或附加设备时解构各种复杂的文件,如下所示:
ILookIX 数据解构功能
注意
文件解构涉及处理复合文件,如归档、电子邮件存储、注册表存储或其他文件,从复杂的文件格式中提取有用的可用数据并生成报告。手动解构会显著增加完成检查所需的时间。
查找文件
根据映射的镜像类型和所选选项,可能需要相当长的时间才能将数据提供给检查员。最耗时的选项包括哈希、索引和恢复。根据检查的目的,应该权衡这些活动所消耗的时间与未来节省的时间。例如,哈希处理可以显著减少检查员需要审查的多余文件数量。索引则在需要进行多次关键字搜索的几乎所有检查中节省时间。
注意
索引是将数据块编目处理的过程。它是生成文本字符串表的过程,这些表可以几乎即时地进行多次搜索。
索引的两大主要用途是创建密码破解时使用的字典和为几乎即时搜索索引单词。索引在创建字典或使用 ILookIX 内置的任何分析功能时也非常有价值。ILookIX 支持在初始处理时一次性对整个媒体进行索引,也可以在处理后进行。索引有助于搜索文件和归档、Windows 注册表、电子邮件列表以及未分配空间。此功能可以通过设置选项进行高度自定义,并可以针对搜索优化或创建用于密码破解的自定义字典。
声音索引确保快速和准确的搜索。搜索是查看证据中特定项的过程,如一段文本或一个表达式。在搜索中,表达式是用于结构化数据的模式,例如信用卡号或电子邮件地址。ILookIX 提供了全面的搜索范围,包括关键字搜索,简单地查找磁盘上特定字符。
这种类型的搜索如果不先将复合文件解构为其组成部分,则会遗漏复合文件中的文件,即 PST 中的邮件或压缩文件中的.docx和.xlsx文件。已索引的搜索非常快速可靠,因为先前的索引过程消除了对整个驱动器或镜像进行重复和耗时的搜索的需求。
ILookIX 的搜索历史视图显示了案件中进行的所有搜索的历史记录,并允许调查人员将任何历史搜索的结果在稍后的时间发送回 ILookIX 的列表窗格,如下一张截图所示。本节后面将展示搜索结果和找到的文件示例:
ILookIX 列表窗格显示各种搜索结果
事件分析工具
ILookIX 的事件分析工具为实践者提供了主题系统事件的图形化表示,如下所示:
-
文件的创建、访问或修改时间
-
发送或接收的电子邮件
-
其他事件,如 NTFS 系统上的主文件表修改
图表本身显示了以下内容:
-
X轴上的时间(以月为单位) -
Y轴上的项目数量
事件按事件类型进行颜色编码,每种事件类型的总数显示在该月事件的条形图上,如下所示:
ILookIX 事件查看器显示选择日期之间的事件
该应用程序允许用户缩放图表上的任何点,以查看更具体的细节,如下所示:
ILookIX 事件查看器显示最后访问的时间
在图表上的任何条形上单击左键,将返回主 ILookIX 窗口,并在列表窗格中显示所选日期条目的项目。以下截图展示了这种结果的一个示例。这对于分析特定时期的事件非常有帮助:
ILookIX 事件查看器显示提取的文件以供审查
云分析工具
嵌入在 ILookIX 中的云分析工具是一个视觉化表示,展示了单个词汇在案件中出现的频率。分析基于当前的索引数据库,因此在进行分析之前,执业人员必须先对案件数据进行索引。该分析以数据云的形式呈现,去除了底层分析的复杂性,并为执业人员提供了一个易于理解的分析图像。
在云分析查看器的右上角部分,如下图所示,有一个高亮列表,帮助将案件中的词汇组织成易于记忆的类别。这样,分析结果能够立即引起执业人员的注意,无需额外努力去查找:
ILookIX 云分析正在搜索相关术语
云分析具有多个功能,旨在简化分析过程并将与案件相关的数据呈现出来。由于它是基于索引数据并且只需要简单点击就可以启动,功能问题是唯一需要描述的问题。由于生成的显示是一个交互式图示,用户可以通过逐个左键单击词汇来与选择项进行交互。然后,可以通过双击该词语来启动对该词汇的搜索。
在下面的示例中,选择的搜索词是烟花:
"烟花" 词语的云分析搜索结果
选择该搜索历史记录条目将显示包含该术语的所有对象的文件列表响应,如下图所示:
"烟花" 词语的搜索结果
领导分析工具
领导分析工具是一个嵌入在 ILookIX 中的交互式证据模型,允许执业人员将已知事实汇总为图形化表示,直接关联未见对象。它提供了答案,随着执业人员增加设计表面的细节,特定的关系也将呈现出来,否则这些关系可能被忽视。
引导分析的主要目的是帮助发现案件数据中那些可能不明显或直观的链接,且实践者可能没有直接意识到,或者缺乏相关背景知识来帮助手动建立这些关系。与其找出并记下各种信息,不如通过易于使用的链接模型展示分析结果。建模的复杂性被去除;我们得到了最清晰的发现方法。分析基于当前的索引数据库,再次提醒,进行分析前必须先对案件数据进行索引。
应用程序界面初始时会是空白的,如下图所示。分析对话框的中心是画布:这是证据链路的主要建模区域。左侧是引导对象部分:这些对象可以拖到画布上,用于为分析设置起始点或手动建模连接。右上角是潜在链接列表。右下角是跳过列表。这是一个全局跳过列表,应用程序也会使用它:
ILookIX 引导分析
第一个任务是陈述一些关于案件的事实,并以这些事实作为分析的起点。这些事实可以通过在画布上建立起始点来陈述,方法是将引导对象从“引导对象”部分拖动到画布上。然后,用户可以选择一个代表相关信息或概念的引导对象,并将其拖到画布上。接着,点击该对象的文本标签,它会切换到编辑模式,并将默认文本替换为与该引导相关的内容,如某人的姓氏。右键点击头像,再点击查找链接,会列出与头像名称相关的词汇,如下所示:
ILookIX 引导分析创建头像节点
一旦生成了潜在链接列表,就需要审查这些链接,看是否有潜在的相关链接。通过高亮显示相关链接并点击潜在链接的迷你工具栏上的绿色链接转移按钮,可以查看目录中是否包含这些链接。在以下截图中的示例场景中,找到了离婚一词,因为已知Sarah与计算机所有者(初步嫌疑人)离婚。通过左键单击某个词并点击绿色箭头将其与Sarah连接,如截图所示,可以揭示出一些在首次检查数据时并不明显的关系:
ILookIX 引导分析创建关系链接
一旦Lead Objects开始,就可以通过右键点击Lead Object并使用Find Links功能开始发现。如果存在任何链接,它们将显示在潜在链接列表中。如果没有找到链接,可能需要修改主对象的文本或从迷你工具栏的下拉框中增加猜测级别,如下所示的屏幕片段所示。在正常使用中,最好将猜测级别保持为无设置:
ILookIX Lead 分析设置猜测级别以搜索线索
每个已声明的事实都会成为画布上的一个起始线索。如果节点之间存在关联,可以通过手动将它们连接在一起来建模这种关系,方法是选择第一个要连接的Lead Project,右键点击并从菜单中选择添加新端口。然后对第二个要连接的Lead Object重复这一过程。通过简单地点击选定对象的新端口,将其拖动到应链接的Lead Object的端口上,一条连接两者的线将会出现。然后,可以使用每个起始节点或已发现节点反复执行此过程,直到能够理解整个案件数据。以下示例展示了嫌疑人、地点甚至概念之间的简单关系:
ILookIX Lead 分析发现各实体之间的关系
在更复杂的案件中,这使得从业者能够比手动搜索更有效地定位和分析关系。然后可以查看支持该模型的文档,以获取更多信息,正如以下截图中显示的文件命中数所示:
ILookIX Lead 分析发现的关系命中在文件命中(448)和电子邮件命中(20)中找到
以下截图展示了使用Lead 分析获得的部分关系命中结果:
ILookIX Lead 分析发现的文件来自关系
分析电子邮件数据集
从大型电子邮件数据集中分析和选择证据是从业者的常见任务。ILookIX 的嵌入式应用程序电子邮件关联分析是一个交互式证据模型,旨在帮助从业者发现电子邮件数据中发件人之间的关联。该分析呈现为一个易于使用的链接模型;去除了建模的复杂性,提供了最清晰的发现方法。分析结果会在建模会话结束时保存,以便将来进行编辑。
必须理解的一个重要概念是 ILookIX 支持的所有电子邮件类型的同质性。所有电子邮件客户端的解构都成为相同基本浏览器电子邮件概念的一部分。这消除了客户端之间的差异,使得电子邮件关联分析等功能可以在一个新的、更易用的界面中进行分析和探索。这更容易解读复杂的电子邮件关系。它允许在向导案件加载过程中解构电子邮件,或者提供逐个或分组解构的选项。无论哪种方式,界面都提供了一个对象模型,涵盖了所有互联网电子邮件项目的特性,使用适用于所有互联网电子邮件发送/接收客户端的 RFC 标准。
如果需要处理大量电子邮件,则生成分析可能需要几分钟。为了使分析结果更易读,在首次使用该工具时,建议只选择一个或几个电子邮件存储进行分析。一旦生成分析,用户将看到电子邮件之间的联系。此时,可以看到通信者之间的线条,表示他们之间有某种关系。特别是,线条的粗细表示两个通信者之间的通讯频率,因此,较粗的流线表示更多的通讯。
该应用程序允许通过点击其名称旁边的复选框来选择电子邮件存储。在画布上,一旦分析生成,用户可以通过左键点击选择任何电子邮件收件人节点。创建分析非常简单,其中一个最直接有价值的资源是群体识别,如下所示的截图所示。ILookIX 将启动对该收件人的搜索,并列出所有该收件人参与的电子邮件。用户可以通过点击收件人节点并拖动到另一个节点来创建自己的连接线。节点可以被删除,从而允许在较小的群体之间建立联系:
电子邮件关联工具显示与案件可能相关的关系
检测扫描图像
搜索扫描图像是一个可以帮助文件认证或检测伪造文件的过程。它可以通过ILookIX 检测扫描图像应用程序完成。结果可以在类别浏览器中查看,如下所示的截图。第三章,数字证据的性质和特殊属性,以及第五章,需要增强法医工具,中的案例研究包括了对扫描文件证据的搜索:
ILookIX 类别浏览器中可能的扫描图像列表
扫描文档也显示在文件列表查看器中,如下图所示:
显示与案件可能相关的关系的电子邮件关联工具
卷影副本分析工具
卷影副本,也称为卷快照服务(VSS),是一项创建文件时间点副本的服务。该服务内置于 Windows Vista、7、8 和 10 版本中,并且默认启用。ILookIX 可以从卷影副本中恢复被覆盖文件的真实副本,只要它们在创建快照时已经存在于该卷上。VSS 恢复是一种从系统上可用的卷快照中恢复现存和已删除文件的方法。这是定位以前无法访问的数据以协助调查的宝贵资源,正如本章末尾案例研究所示。
与其他法医工具不同,ILookIX 能够在差异化或完全恢复模式下以可读结构重建 VSS 副本,包括 VSS 和已删除的文件和文件夹。无论哪种选项,都可以在工具的映像加载窗口中选择,如下图所示:
选择了差异化记录的 ILookIX 卷影副本快照工具
在下图所示的测试场景中,工具总共恢复了 87,000 个文件,等同于传统工具的恢复率。使用 ILookIX 的Xtreme 文件恢复,恢复了约 337,000 个文件。最大完全卷影副本快照应用程序恢复了总计 778,000 个文件。通过差异化过程,恢复了 354,000 个文件,这过滤出了 17,000 个额外文件以供进一步分析,如下图所示。这使得电子邮件消息和附件以及 Windows 注册表的更改得以检测到,这些通常是隐藏的或难以找到的:
显示不同搜索结果的 ILookIX 卷影副本快照工具
差异化 XFR-VSS 记录仅报告那些在每个记录之间有差异(即使是一个文件)的 VSS,以加速证据材料的识别。删除的快照被恢复并进一步解构,从原始 30GB 硬盘中恢复了超过一 TB 的压缩数据——信不信由你!
时间线和其他分析工具
时间线通常用于重建给定时期的事件顺序。然而,它们可能变得过于密集,并且覆盖很长时间段,因此需要考虑制作更具可读性的图表。例如,整体重建可以通过简单、简洁的图表来展示关键事件等。每个主要事件节点可以作为单独的图表展示,并与相邻事件有所关联。
以下图示展示了一起涉及两名嫌疑人和一些电子交易及电子邮件的真实银行诈骗案件的简单重建:
使用 Timeline Maker Pro 制作事件时间线
时间事件图表旨在纠正这些不足,流程图也有助于解释复杂的过程。当遇到一个复杂的方案或一个不熟悉的过程时,流程图有助于事件的可视化。
这些模型超出了本书的范围,但值得作为任何从业者分析工具包的一部分进行融入。
案例研究 – 说明如何恢复保存在卷影中的已删除证据
该案例研究涉及一家新兴企业,为一系列矿业勘探公司提供专业技术服务。该企业失去了多名技术专家,这些专家转投了一家竞争对手公司,且企业的市场份额出现下滑。人们怀疑离职的员工可能窃取了一些专有知识和技术,并随后将其分享给了竞争对手。一项对企业服务器及离职员工使用的计算机终端的法医检查被启动,以确定是否发生了某种形式的工业间谍活动或破坏行为。
除了 CEO 的直觉认为可能有不正当行为发生外,几乎没有其他线索,便对前员工的计算机终端和外部存储设备进行了搜索,以寻找可能的不当行为证据。从逻辑上讲,员工的电子邮件被认为是一个不错的起点,但检查仅恢复了他们对公司不满和蔑视的内容,以及计划跳槽到竞争对手的消息。然而,电子邮件确实提供了前员工与竞争对手公司联系人之间的联系细节,从中可以进一步发展出新的线索。
注意到一个 Dropbox 账户已被安装并使用在其中一位前员工的计算机上。该应用已被使用,并包含多个同步的文件夹,显然这些文件已上传到该员工的在线账户。大部分文件似乎是个人和社交性质的,且与调查无关。然而,有一个名为Calibration.rar的大型已删除的压缩档案文件,大小约为 4 GB,看起来是技术性质的。该文件在初步检查时无法打开,可能需要一些专业的恢复技术,前提是该文件没有严重损坏。
CEO 被告知文件的位置,并被询问文件的重要性以及 Dropbox 账户为何出现在该员工的终端上,这似乎是一个令人震惊的安全操作。该文件似乎是与业务操作至关重要的技术校准的基本记录,随后得知:
-
包含数据的文件夹在公司服务器上存储不安全,但在大约同一时间出现在员工的终端上时就已被移除。
-
服务器的安全性差,导致所有用户都能访问并可能破坏和窃取任何数据,且未记录事件。
-
除非能够恢复数据,否则公司面临严重的运营问题,可能会导致关闭。
看来档案文件夹是作为故意破坏行为被移除的,同时也导出了员工的 Dropbox 文件夹用于其他目的。随后对员工电脑进行了“深度清洗”,ILookIX 恢复了 12 个 VSS 文件夹,其中一个来自较早时期,提供了可读的档案文件副本。该文件未设置密码保护,CEO 检查后确认其中包含了对公司运营至关重要的丢失数据,且数据完好无损。文件在以下截图中突出显示,它是从 Dropbox 同步帐户中恢复的:
从存储在卷影快照中的 Dropbox 文件夹恢复的数据
虽然公司在短时间内成功找回了珍贵的数据,但关于公司未能保护其重要电子资产的以下几点仍需注意:
-
公司并未意识到档案丢失,若不是在检查过程中被恢复,几周内可能都无法得知其失踪情况。
-
服务器和终端没有密码保护,且没有有效的备份来保护和保存关键数据
-
数据访问管理未进行任何安全审计。
-
办公场所的物理防护措施不足,增加了公司整体的脆弱性。
-
网络管理员是 CEO 的朋友,且网络安全能力较差,是一个业余爱好者。
盗窃和恶意破坏电子信息的证据,以及针对前员工的民事诉讼证据已被确认。由于缺乏任何有效的信息安全管理系统,基于较少的信息进行有意义的搜索受到了阻碍,发现安全漏洞和恢复证据大多依赖于直觉。涉及恢复被盗数据和指向特定嫌疑人的证据的这种有利结果并不是常见的结局。令人遗憾的是,业务在信息安全方面依然不足,显然未从过去的错误中吸取教训。
摘要
本章更详细地描述了定位和选择证据的过程,作为一个通用过程进行说明。它还进一步解释了数字证据的性质,并提供了其在支持法律案件中的价值的示例。展示了各种先进的分析和恢复工具,展示了技术如何加速并提高证据定位和选择过程的效率。其中一些工具并不新颖,但已得到增强,而另一些则具有创新性,能够寻找通常对从业人员不可得的证据。
大多数笔记本电脑、台式机和基于网络的计算机使用 Windows 操作系统,本书的本章及前几章已经对其进行了不同程度的详细介绍。第七章,Windows 及其他操作系统作为证据来源,将概述 Windows 注册表、系统文件和日志,并介绍 VSS 恢复作为数字证据恢复和分析的一种资源的额外好处。它将详细描述常见的其他操作系统,包括 Apple 和 Linux。本章还将涉及远程访问、恶意软件攻击以及反取证的普遍性和挑战,这些都妨碍了证据的恢复和识别。
第七章:Windows 和其他操作系统作为证据来源
大多数笔记本电脑、台式机和基于网络的计算机使用 Windows 操作系统,本章将详细描述这一点,并简要介绍其他常见的操作系统。本章将帮助你理解计算机上处理的信息的复杂性和性质,从而辅助司法鉴定,并有助于重建与存储在各类操作系统中的数字证据相关的关键事件。
本章将讨论:
-
Windows 注册表、系统文件和日志作为数字证据资源
-
苹果及其他操作系统结构
-
远程访问和恶意软件攻击,以及反取证技术对数字证据恢复所带来的普遍挑战
-
一个关于 Windows 注册表分析的案例研究
Windows 注册表、系统文件和日志作为数字证据资源
基于 Windows 的系统有一个名为Windows 注册表的设置集中库。注册表通常是一个宝贵的信息来源,可以用于澄清和证实从文件系统中恢复的其他相关信息。Windows 注册表是 Windows 操作系统的重要组成部分,维护着系统的配置、支持的应用程序、访问系统的用户以及附加的设备和网络的配置。
注册表由一个目录结构组成,包含文件夹或“蜂巢”,这些蜂巢包含文件或键,这些键包含值,有时还包含子键。每个键包含特定的值,这些值被操作系统或依赖该值的应用程序使用,例如计算机使用的时区、远程访问设置的状态或附加存储设备的详细信息。
注册表资源管理器允许用户探索注册表蜂巢的内容,这些蜂巢在查看之前必须经过处理。根据检查的目的,注册表可能包含有价值的信息。注册表键有一个关联值,称为最后写入时间,它记录了键的最后修改时间。最后修改时间可能揭示键中更改的内容。有些注册表键包含多个值,这也使得确定哪个值被更改变得更加困难。
以下截图展示了使用 ILookIX 注册表资源管理器查看的注册表蜂巢的样本,包含所有已处理的注册表蜂巢,并附有一个查看器用于查看选定的键和值:
使用 ILookIX 注册表资源管理器查看注册表蜂巢
从业人员必须对注册表的工作原理和布局有所了解,并知道它可能提供哪些佐证。接下来的小节将介绍如何找到需要查看的地方以及所需的信息。
在注册表中寻找有用的线索
注册表浏览器有两个部分:
-
上部显示了 hives、键和子键
-
下部显示注册表值的名称和属性
hives 的结构显示在顶部面板中,如下图所示。点击 hives 中的任何键将显示该键的值在下方面板中。点击下方面板中的一个值将显示该值的数据,并在查看面板中展示。
注册表查看器显示注册表的 hives 和键
注册表浏览器具有其他取证工具中不存在或实现不完全的功能,例如:
-
搜索:它搜索已加载的 hives 的值数据
-
列表:用于列出你当前在顶部面板中选择的键下的所有值
-
键结构报告:此功能创建当前在顶部面板中可见的结构报告
-
Hive 值报告:此功能创建当前在下方面板中显示的值报告
-
值名称查找:此功能允许你搜索值名称
-
隐藏值列表:用于列出你当前在顶部面板中选择的键下的所有隐藏值(如果有的话)
注册表浏览器标记了一些可能从正常视图中隐藏的 hives、键和值。隐藏的键和值,通常用于存储病毒和 Trojan 数据,可能包含额外的数据。如果有这些数据,ILookIX 将允许从业人员查看。Windows 中的程序,包括病毒和 Trojan,有能力通过直接写入注册表来读取和写入值,而使用标准 Win32 应用程序编程接口(Win32 API)的程序无法检测到这些。这些值被称为隐藏值。
也有一些程序不依赖于 Win32 API,并能够向注册表写入隐藏值。这可以用来隐藏数据。隐藏值不应自动被解释为恶意的,因为例如 Windows XP 中就有约 27 个隐藏值。
通过选择一个键或子键,或使用任一生成列表按钮,值的列表将被传送到注册表浏览器下部的值列表框中。下方窗口中的列表将显示有关该值的相关信息,如下图所示:
注册表查看器显示一些键的值
以下截图显示了值的十六进制编辑器视图:
键值的十六进制视图
以下屏幕截图显示的搜索功能使用索引搜索来识别有用的数据,例如在相应字段中进行的词语搜索:
-
注册表键
-
注册表值
-
注册表数据
在注册表中搜索信息
通过注册表映射设备
通过映射设备以确定分区和已挂载及附加的存储设备,工作人员将更深入了解设备的使用情况。例如,考虑一种情况,计算机上已拆卸的内部硬盘被恢复,并包含一些可用的证据。
应考虑以下事项:
-
它可以与设备关联吗?
-
如果是这样,这是否增加了设备用户与硬盘之间存在关系的可能性?
-
如果不是,这是否影响嫌疑人与设备上证据之间的关联强度?
ILookIX 将识别设备分区并从中提取数据。然而,检查其他证据可能会提供更具体的设备来源细节。
Windows 会记录连接到设备的各种内部和外部硬盘的详细信息,以及其他外设的细节,如打印机、光驱和优盘。通过该设备日志,可能显示以前连接的、现已断开的外部设备的记录。在注册表中,SYSTEM\MountedDevices 键记录了以前挂载的设备。它可以提供许多附加 USB 设备的实际序列号——这是工作人员在重建关键事件时最有用的属性。以下屏幕截图显示了连接到台式计算机的设备集合:
查看注册表中的系统挂载设备
检测 USB 可移动存储
为了重申,已连接到计算机的外部设备的详细信息,尤其是 USB 设备、手机和数码相机,会被存储在注册表中。注册表记录了一些附加外设的基本信息,如内部硬盘、显示器、键盘和鼠标,但它也会保存有关可能曾暂时连接到计算机的其他设备的信息,例如外部硬盘、优盘、手机和数码相机。
以下屏幕截图显示了存储在注册表中的附加 USB 优盘记录,并显示了制造商的名称。通常,设备的唯一序列号可以被恢复。
显示附加 USB 设备记录的注册表
并非所有 USB 闪存驱动器都有序列号。这可以通过设备 ID 的第二个字符是&而不是数字来判断。在检查每个附加设备时,可以看到显示了各种值,包括ParentIdPrefix,但几乎没有其他信息能帮助实践者确定该值的来源或系统的使用情况。然而,注册表确实保存了其他可能有帮助的信息,例如HKEY_LOCAL_MACHINE\System\MountedDevices键,实际上是一个挂载卷的数据库。该数据库记录了与这些卷的唯一标识符相关的持久卷名。通过检查这些附加数据,通常可以证明分配给卷的名称,如驱动器字母F,将与附加闪存驱动器的ParentIdPrefix值相关联。如果用户为闪存驱动器指定了特定名称,这个名称也可能会记录在注册表中。
用户活动
注册表为每个被授权使用设备的用户保存各种文件,如NTUSER.DAT文件,并存储该用户的特定设置。这些文件的内容被映射到HKEY_USERS\SID配置单元,以记录用户登录的情况。该过程会创建并更新HKEY_CURRENT_USER配置单元,该配置单元可以提供有关用户登录设备后所采取的操作的有用信息。
审查最近使用和跳跃列表活动
注册表保存最近使用(MRU)列表和跳跃列表,它们在第六章,选择与分析数字证据中被介绍。这个功能旨在帮助用户跟踪近期活动,例如快速访问曾查看的文字处理文档或图片视频。然而,从取证角度来看,它们就像窃贼在花园里留下的“脚印”,对于重建用户执行特定操作时的历史条目非常有用。它们被存储以跟踪用户可能在未来返回的项目。
注册表在此键中维护用户输入到开始 | 运行框中的命令列表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
当在运行框中输入命令时,操作会被记录到该键,并维护一个最近使用的值列表,尽管这些数据可能与文件和应用程序的元数据相关联。作为常规操作,检查这些数据是谨慎的做法,以确保没有无法解释的异常情况,以免影响证据的可信度。
检测无线连接
Windows 机器上的网络连接提供服务集标识符(SSID)数据,确认当前及先前连接到桌面或笔记本电脑的无线网络。这个常用数据保存在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\WZCSVC\Parameters\Interfaces Hive 中。此存储库可以提供包括 IP 地址在内的网络设置详细信息,这些信息存储在KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Interfaces\GUID键下。通过这些数据,可能有助于将 IP 地址与从计算机恢复的证据相联系。
查看 Windows 事件查看器日志
从 Windows 7 开始维护的事件查看器日志记录了比注册表中更多的信息。例如,它可以证明 USB 设备的连接,而这些连接可能并未保留在注册表日志中。它还可以记录某些程序的使用频率,例如虚拟网络,这些程序可能曾在操作并能够验证应用程序记录的日志。
以下截图中显示的部分文本格式包含与 USB 设备相关的相同信息,这些信息也可以在System Hive 中找到。注册表中还应显示设备驱动程序的安装日期,通常这些信息也会记录在事件查看器日志中。
Windows 事件查看器显示连接的 USB 设备的记录
断开连接的 USB 设备会生成日志,这些日志可以证明需要更详细地检查外部设备断开连接的情况,并可能提供断开时间的时间戳。这些信息可能位于System Hive 中的CurrentControlSet\Enum\DeviceType\DeviceID\InstanceID\Properties\xxxx路径下。
从 VSS 中恢复隐藏数据
回顾第五章,增强取证工具的需求,可以得出结论,启用了 VSS 功能的 Windows 系统可以恢复额外的数据。在上一章节中的案例研究中,重要的文件从一个 VSS 文件夹中的 Dropbox 帐户恢复。在以下截图所示的实例中,ILookIX 的差异 XFR-VSS 记录功能被用来仅恢复那些包含文件内容差异的 VSS 文件夹:
VSS 文件夹的恢复选项
在这次实验室仿真中,恢复了七个 VSS 文件夹,具体可以在以下截图中看到:
从仿真图像中恢复的 VSS 的不同实例
不仅可以恢复已删除的文件,这些文件在其他情况下可能会被遮蔽,还可以恢复帮助重建违规行为的系统信息和日志。下图显示了注册表键和蜂巢的先前版本以及事件查看器的日志记录。这些记录可能揭示与远程访问、时钟和桌面设置更改以及注册表的恶意入侵相关的各种活动。
从 VSS 文件夹恢复的各种注册表蜂巢和键实例
还可以恢复诸如归档存储(包括压缩文件)之类的附加信息。下图突出显示了存在于不同 VSS 文件夹中的一些额外 ZIP 文件,并显示了不同的日期:
从 VSS 中恢复的归档存储,位于 ILookIX 容器类别中
从 VSS 文件夹中恢复的额外电子邮件存储,如下图所示,反映了不同时间段的电子邮件信息。在模拟过程中,VSS文件夹中提供了一封已删除的电子邮件,该电子邮件在当前驱动器视图中找不到:
从 VSS 文件夹中恢复的电子邮件
检查预取文件
启动 Windows 系统的过程会将一系列文件读取到 RAM 中,这是一个较长的过程,因此每当程序第一次运行时,Windows 都会创建预取文件。这些信息可以为执法人员提供与正在调查的系统上相关的各种程序的历史信息。
应用程序执行可能表明使用了反取证程序,例如,用于掩盖某种违规行为。如果程序已被删除,可能能够找到一个预取文件,确认该程序在删除前已被执行——这比简单的声明“该程序已安装,但是否执行过未知”要有帮助得多。
恶意软件活动有时可以通过检查预取文件来确定,预取文件可以提供其下载和执行的历史记录。prefetch文件夹和ReadyBoot文件夹如下面的截图所示:
预取文件夹及其子文件夹视图
应用程序预取使用类似的过程,但它仅限于单个应用程序的启动,并且通常将其追踪文件存储在C:\Windows\Prefetch中。预取数据以一个名为Layout.ini的文件形式存在,文件按顺序保持一个目录,记录了在启动过程中活动的文件和文件夹,这是系统维护的一部分:
Layout.ini 文件视图
预取文件分析并不复杂,实际上确认文件包含关于应用程序运行频率、音量细节和应用程序首次与最后一次运行的时间戳并不困难。Windows 10 会记录每次应用程序运行时最多八个时间戳,并将它们存储在ROOT/Windows/Prefetch文件夹中。
页面文件
Windows 使用pagefile.sys来存储当前无法适配到物理内存的内存帧。Windows 支持 16 个页面文件,但通常只使用一个隐藏文件,并将其存储在%SystemDrive%\pagefile.sys中。作为虚拟内存文件的作用,当 RAM 达到极限时,隐藏的pagefile.sys文件会运行,成为虚拟内存文件。当系统内存不足时,它会将内存转储到硬盘上作为页面文件,以补充稀缺的内存。这可能导致系统变慢,通常发生在运行过多应用程序时。
这个操作与hiberfil.sys的功能相似,因为它存储特定时间内运行的进程。然而,应该注意的是,pagefile.sys并不会记录所有的 RAM 活动。
pagefile.sys文件对系统的良好运行至关重要,并随着设备使用的不断进行而发生变化。以下截图显示了一个大尺寸的pagefile.sys文件的多个副本:
定位 pagefile.sys 文件
休眠和睡眠文件
hiberfil.sys文件是 Windows 用于保存机器状态的默认文件,作为休眠过程的一部分。由于操作系统一直保持该文件处于打开状态,因此在系统运行时无法读取该文件。互联网遗留物通常存在于内存中,并通常以页面文件或休眠文件的形式保留下来。恢复已删除的休眠数据可以帮助确定休眠前内存中的内容。
睡眠模式提供的信息有限,因为 RAM 仍在后台工作,并且一旦设备重新启动,这些信息会消失。休眠模式可能提供更多来自笔记本电脑的有用数据,因为在休眠过程中,RAM 中的所有数据会被捕捉并写入硬盘。
以下截图显示了对休眠文件的搜索,以寻找可能帮助实践者的信息:
搜索 hiberfile.sys 实例
检测隐写术
隐写术是将数据隐藏在通信中的过程,只有发送者和接收者知道其存在,并能访问隐藏的信息。在可能的情况下,隐藏在数字文件或图像中的数据通常会被加密。检测隐写编码文件被称为隐写分析。隐写分析仅限于检测嵌入的信息,这可能识别嵌入过程。当隐写工具或隐藏方法被识别后,可能能够提取出信息。
隐写图像中的不寻常模式显而易见,容易引起怀疑,但最初可能难以检测。可以使用许多磁盘分析工具,如 ILookIX,这些工具可以报告和过滤存储设备中未使用的簇或分区中的隐藏信息。通过识别重复的模式,可能会发现隐藏在看似无害文件中的信息。这种重复可能揭示出隐写工具的存在以及隐藏的信息。比较一个真实的原始文件与一个怀疑包含隐藏信息的文件是一个可行的过程,但这需要有两个样本进行比较。
水印通常用于合法地识别和保护版权材料。尽管水印通常被隐藏,但有时会被伪造者识别并非法去除,以阻碍调查者的工作。
为了协助使用各种工具检测隐藏信息,实践者必须识别并匹配每个怀疑文件的哈希值。这样做涉及导入或构建哈希集合的库,尤其是隐写软件,作为比较库的一部分。
苹果及其他操作系统结构
虽然微软主导了家庭市场和许多网络系统,但其他流行的操作系统,如苹果和 Linux,也被广泛使用,并且很可能需要法医人员进行检查。以下小节简要介绍了这些系统。
检查苹果操作系统
苹果的 Macintosh 设备使用不同的操作系统(目前称为 OS X),与微软的系统不同,它允许应用程序独立运行,用户无法直接访问文件系统。简单性和便利性是一般惯例,这基于 Unix 文件系统。
安装在苹果机器上的应用程序与文件系统的交互是有限的,因为应用程序只能在其沙盒中的目录内进行操作,无法访问文件系统。沙盒保护系统和用户免受恶意软件攻击。实际上,它限制了每个应用程序的访问权限,以增强设备的安全性。
安装应用程序时,会创建一些具有特定角色的容器。通常,应用程序的操作文件保存在捆绑容器中,数据文件则保存在数据容器和子目录中。用户通过查找器功能访问文件。文件系统由四个主要域组成,将资源与文件分开,以便于访问和使用,并提供良好的安全保护。这些域包括:
-
用户域:此域包含特定于用户的资源,限制每个用户仅能访问和控制他们自己的主目录。
-
本地域:此域与当前计算机上安装的应用程序相关,并在所有用户之间共享,包含本地启动卷上的多个目录,由系统管理。具有管理员权限的用户可以添加、删除或修改此域。
-
网络域:此域包含本地网络中所有用户共享的应用程序和文档。
-
系统域:此域包含 Apple 安装的系统软件,防止用户添加、删除或修改项目。
作为简化应用程序使用、查找功能和其他一些功能(如打开和保存面板)的一部分,系统会隐藏不需要用户访问或干预的文件和目录。通过取证工具查看的典型目录结构如以下截图所示:
Apple 文件层次结构
存储在 Apple 桌面和笔记本电脑上的各种文件类别可供从业人员访问,并在以下 ILookIX 类别资源管理器的截图中显示:
从 Apple 计算机中归档的文件类别和签名
文件元数据,包括时间戳、图像文件的 EXIF 数据和文件位置,也可以从 iOS 中恢复,如以下截图所示:
从 Apple 计算机收集的文件元数据
Linux 操作系统
Linux 操作系统,Unix 的一个变种,将应用程序的指令传递给计算机的中央处理单元和处理器。处理器执行指令任务,并通过操作系统将结果返回给应用程序。尽管 Linux 具有许多与 Windows 和 OS X 相似的功能,但它是一个开源操作系统,由用户、公司和合作伙伴共同开发。这促进了经济研究与开发工作,生产出一种创新的、许多人称之为更优的操作系统。Linux 已经成为一个重要的桌面系统,并且是网络和许多设备(如手机)基础操作系统的核心。
由于 Linux 存在于笔记本和手机的系统 BIOS 中,它大大提高了这些设备的启动速度。Linux 正越来越多地用于运行大量的 Web 服务器,包括亚马逊的云服务。Twitter、LinkedIn、YouTube 和 Google 都使用 Linux 作为他们的操作系统。
操作系统的架构包含内核,其中包含一组编码指令,使计算机硬件响应操作系统,并默认响应应用程序级程序。与许多人认为笨重且只有少数程序员能接触到的微软 Windows 内核不同,Linux 内核的灵活性和模块化结构为开发者提供了许多优势。特别是,内核的大小可以根据开发者的需求进行增减,以满足开发者希望为不同的操作环境和设备重新设计系统的需求。这在系统小型化方面,尤其是在更小型的手持设备上,具有特别重要的意义。
Linux 内核中嵌入的一整套工具实际上就是其操作系统,这些工具还具有模块化的优点。Linux 为用户提供了多种选择方式,使其能够按照自己的需求使用系统,包括许多用户熟悉的 Windows 和 OS X 中的窗口和桌面功能。
一个包含用户、组和权限的系统被嵌入到 Linux 中,以确保操作系统的安全性。它提供类似于其他操作系统的独立用户账户。例如,个人文件存储在用户的home目录中,并可以轻松访问。然而,典型的 Linux 文件系统可能包含一系列复杂的本地和远程文件及正在运行的进程,并且与 Windows 不同的是,Linux 中没有Program Files目录。以下截图展示了 Linux 系统的菜单视图:
Linux 系统中的菜单视图
以下截图展示了一个示例 Linux 操作系统的档案视图:
Linux 系统的档案视图
远程访问和恶意软件威胁
恶意软件和其他通过黑客攻击(通常通过远程访问漏洞)引发的安全问题,仍然是对由于安全管理不善而脆弱的计算机和网络系统的重大威胁。这些问题将在以下小节中讨论。
远程访问
"特洛伊木马辩护"已经被无辜和有罪的计算机用户用来支持他们的清白主张,指责非法活动是由远程攻击者造成的。虽然这种说法有一定的合理性,但似乎是反转了无罪推定的责任,原本应该由检察官承担举证责任,却由被告来承担。所有数字取证检查中的大难题是将嫌疑人与犯罪事件联系起来。对于取证人员来说,澄清远程访问漏洞的可能性或概率会更公正,尽管显然这有时会花费大量时间。
Windows 操作系统允许出于合法目的的远程访问,但通常情况下,Windows 更新是为了解决功能中的漏洞,特别是其远程桌面协议服务,这一服务本身是不安全的,容易受到利用。
远程访问还可以通过恶意软件攻击获得,帮助黑客访问目标设备或网络。如果缺乏安全保护或安全保护水平较低,这尤其成问题。
虽然 Wi-Fi 连接很方便,但它通常会允许敏感网络流量的窥探,可能会为计算机和手持设备上的账户提供轻松访问。缺乏对这些通信的有效加密将使得针对在线银行和涉及财务交易的其他账户的网络攻击变得可能。
检测恶意软件攻击和其他漏洞
注册表在多个位置存储自动启动键,这些键可以在没有用户直接干预的情况下启动应用程序。黑客最常利用的一个键是运行键,它允许许多此类漏洞继续留在系统中:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。启动键将在系统启动时、用户登录系统时或用户执行其他指定操作时启动程序。
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File 注册表项是为管理员调试各种执行选项而设计的,但它容易受到外部攻击者的攻击,攻击者可以利用它将应用程序重定向到被劫持的应用程序副本。添加 Word 的自动启动键可以将进程指向一个包含恶意代码的 Word 副本,这样每次启动该程序时都能访问计算机。这些自动启动键通常会留下某些电子指纹,帮助判断是计算机用户还是入侵者对相关事件负责。
在第四章《恢复与保存数字证据》中,提到了读取和恢复 RAM 内容,以分析那些杀毒程序未检测到的恶意软件。IXImager 可以足够快速地重启,以便捕获系统的 RAM,从而捕捉到正在运行的程序、密码等内容。这是通过将 USB、CD 或 SD 卡插入计算机端口,重启计算机并开始成像过程,进而恢复和存储捕获的 RAM 数据以供分析。
ISeekDiscovery 自动化工具提供了一种新颖且高效的搜索虚假文件的方法。例如,如果用户想要查找计算机上所有命名错误、拼写错误或没有扩展名的 Word 和 Excel 文件,只需要通过 Excel 和 Word 的签名使用自动捕获功能,并且还需使用搜索排除标签(如下图所示),并添加以下文件扩展名:
-
*.xls -
*.xlsx -
*.doc -
*.docx
使用 ISeekDesigner 排除文件扩展名
当此例程运行时,它将删除具有合法名称的文件,仅保留那些具有虚假名称的文件。这对于入侵检测应该非常有帮助,因为隐藏的黑客可执行代码导致了大量的安全漏洞。
反取证过程和工具的普及
混淆和销毁证据不是一种新现象,它随着数字取证的出现而出现,挑战并妨碍证据恢复。它包括一系列广泛的软件工具,这些工具可以混淆与违规行为相关的事件,以及删除或修改数据。反取证也可能旨在延迟完成检查的时间。有时,它可能会对稍后在法庭上依赖的证据的有效性产生怀疑。这些工具通常隐藏其存在,并且在设备被没收后可能会继续存在。
这一非法行为的具体应用包括:
-
覆盖或更改数据和元数据,包括时间戳
-
隐藏和加密数据以及隐写术(前面提到过)
-
加密文件夹、分区和网络流量
-
使用外部设备使计算机能够启动,但不在主机上留下任何活动痕迹
检测反取证活动不一定是直观的过程,但应该始终考虑到它可能已经在正在检查的设备上进行。能够检测甚至阻止反取证活动的工具似乎供应不足,显然需要进一步研究这个问题。
本书不会推广或提供关于这些在互联网上自由提供的工具包的任何信息,但我承认这些工具包已经开始损害数字取证工具的声誉,而这些工具仍然被广泛依赖。令人关注的是这些工具被用来保护有罪者并可能牵连无辜者。第八章,浏览器、电子邮件、消息系统和手机的检查,描述了暗网以及使用此类反取证工具来加密和隐藏信息的情况,如 Tor 和 12P。
案例研究 – 使用 Windows 注册表进行证据核实
本案例研究示范了如何在可能的情况下始终对数字证据进行核实和验证。
该案件与下载非法儿童剥削图片和电影文件有关。恢复的其中一份可能有害的文件是一张未成年儿童的色情图片。检方辩称该文件曾作为计算机的桌面壁纸显示,且在计算机启动时清晰可见。检方合理地认为,计算机用户不可能没有注意到这一点,从而暗示用户在处理非法淫秽材料方面的共谋行为。
在查获时,计算机桌面显示了一张无害的空白图片,未引起立即注意。然而,后续检查发现计算机中有一个 .jpg 文件,里面是未成年儿童的淫秽图片。该令人不安的图片位于 C:\Documents and Settings\xyz\Application Data\Opera\Opera\xxx.jpg。检方的办案人员证明,在一个确认的日期和时间,xxx.jpg 被设置为桌面壁纸。一个名为该文件的图片文件位于 C:\Documents and Settings\xyz,这是确认的默认目录,包含与用户账户 xyz 相关的文件和文件夹。
实验人员的测试表明,直到应用一个非 Windows 标准图片作为桌面壁纸时,才会创建此条目。如果桌面更改为另一个非标准图片,注册表键值将被修改,以反映新图片,而不保留旧文件的列表。当选择标准 Windows 图片作为桌面时,这个键值将保留,显示最后使用的非标准图片。
对与xyz用户账户相关的注册表项分析表明,并没有发现非人工干预创建桌面壁纸并将非法图像文件放入用户账户的证据,但也不能完全排除这种可能性,因为此类事件的痕迹不容易被识别以供进一步检查。在本例中,系统将通常的背景壁纸位图存储在壁纸注册表热键中,位置为HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper注册表项。Windows 注册表并不会记录使用过的标准 Windows 文件的历史记录。
xxx.jpg的元数据揭示了文件的创建、修改和最后访问时间,这与在重建犯罪时间线时确定的互联网使用情况相吻合。检查表明,文件曾存在于计算机的另一个位置,但无法确认它是从互联网下载的,还是从外部设备复制的。
用户不太可能通过手动搜索目录C:\Documents and Settings\xyz\Application Data\Opera\Opera\来将图像设置为桌面壁纸。更常见的做法,也因此更有可能的情况是,用户通过 Opera 浏览器查看该图像,然后使用右键将其设置为壁纸。该文件也被保存到了xyz文件夹,这表明有两个手动过程,这暗示着用户或用户群体的故意操作。这些操作可能是由恶意软件(如木马病毒)的存在引起的,但鉴于案件中的其他证词,这种可能性似乎不大。
不幸的是,没有数据能够显示何时某个用户将图像从壁纸中移除,转而选择了默认设置无或在桌面框架中没有图像的黑色屏幕。如果有这些信息,至少能够提供一个非法文件操作的更精确时间。Windows XP 操作系统上未安装 VSS,如果安装了,可能会对这些注册表更改提供一些澄清。
虽然注册表在许多情况下是有帮助的,但在本例中,它留下了一些不确定性。当假设计算机的用户(被告家中的租户,而非被控拥有儿童性剥削材料的实际所有者)在计算机被查扣前 14 小时已知执法机关对该计算机的关注时,这一点尤其令人困惑。怀疑他们在计算机被查扣前匆忙删除了涉案壁纸以及其他一些涉案文件,后来证明所有者(被告)无法访问该计算机。
该所有者有一个铁证如山的不在场证明,证明他在计算机文件被删除时身处另一个郊区。如果在准备对被告提起指控时考虑到这一点,案件不太可能进入审判。回想起来,似乎调查侦探和法医专家没有看到用户访问中的明显冲突,也没有尝试确定其他有访问权限的人员的参与。这再次是一个以嫌疑人为主导的调查的典型例子。
随着设备的法医检查进行,明显发现不止一个本地用户可以访问该设备。人们认为,判断是否发生了远程攻击,以及是否有外部人员对非法文件的存在负责,是明智的做法。计算机设置显示,在扣押时外部用户访问计算机的功能已被禁用,但不一定是在相关事件发生时禁用的。
实践者声称计算机已被搜索以查找恶意应用程序,但没有结果。然而,辩方实践者在C:\Documents and Settings\xyz\My Documents\setup.exe位置找到了ZLOB.JN木马下载程序。该文件被辩方实践者删除并隔离,等待进一步检查。
关于此恶意软件的未经证实的信息有很多,从将其描述为严重威胁到仅仅是一个导致计算机变慢并启动弹出命令的烦扰。一些观察者声称,它可以作为获取计算机访问权限的一种手段,让黑客远程访问计算机。一些版本的 Zlob 会在启动时自动加载,并通过劫持 Windows 资源管理器程序来隐藏其存在。该木马被声称有能力完全控制计算机,但这一说法并未得到证实。
一些评论认为,Zlob 感染会开始接管计算机浏览器,导致不断弹出窗口、将 URL 重定向到其他网站、删除文档和图片,甚至侵入个人信息,这些信息可能被删除或分发到其他网站。手动清除 Zlob 需要一定的技术知识。它因在不同名称下复制自己而难以清除。即使清除,可能已经在计算机上复制并重新安装了自己。
对嫌疑文件 Zlob 文件 setup.exe 的检查显示,它是在计算机上记录的非法活动之前创建的,且未被杀毒程序识别或移除。据报道,该特洛伊木马会在系统中创建多个文件,包括 stdole3.tlb,并创建注册表项,试图在启动时运行 Troj/Zlob-JN,包括 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run wininet.dll 和 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run regperf.exe。
然而,检查计算机时未能在 Windows 注册表或计算机中找到这三个文件。似乎不太可能发生外部攻击,因此留下了一个可能性,即一个或多个本地用户对非法活动负责。尽管防御方专家对外部攻击的可能性进行了额外的检查并未取得成果,但这一工作必须完成,为什么不由提出指控的方来做呢?被告被陪审团判定无罪,但未对其他涉及使用计算机的用户提出进一步指控。
再次强调,这个案件突显了反驳论证作为审查的一个重要部分的好处,反驳论证有助于寻找可能存在的辩解证据,若存在此类证据,则可能会修改或反驳一个论点,回想一下实践者和学者达迪克(2010)简洁而有力的名言:“没有什么比明显的事实更具欺骗性。”
参考文献
Dardick, G. S. 2010. "网络取证保障." 第 8 届澳大利亚数字取证会议,西澳大利亚珀斯。SECAU: 57–64.
总结
本章详细描述了 Windows 操作系统以及其他常见检查的操作系统,包括 Apple 和 Linux。介绍了 Windows 注册表、系统文件和日志,以及 VSS 恢复的一些额外优势,作为数字证据恢复和分析的宝贵资源。本章还涉及了远程访问和恶意软件攻击,以及反取证的普遍性和挑战,这些挑战妨碍了证据的恢复和识别。
第八章,检查浏览器、电子邮件、消息系统和移动电话,将描述定位和恢复与个人通信记录相关的数字证据的过程,包括存储在计算机设备中的电子邮件和浏览记录,以及保存在手机上的电话通信。具体将讨论互联网浏览和搜索记录的恢复,其他消息系统,包括 Skype 和虚拟私人网络,以及电子邮件分析。
本章将介绍手机取证及其在法医鉴定中的重要性,同时讨论从个人计算机和 GPS 设备中获取证据日益增加的挑战。本章将让你认识到定位、提取并检查存储在计算机和手机上的与相关人员之间的通信记录的价值。
第八章:浏览器、电子邮件、消息系统和手机的检查
本章讨论了互联网浏览器、电子邮件和消息系统、手机及其他手持设备——这些通常被认为是数字证据的丰富来源。描述了定位和恢复与个人通信记录相关的数字证据的过程,包括存储在计算机设备中的电子邮件和浏览记录以及存储在手机上的电话通信记录。你将理解定位、提取和检查存储在计算机和手机上的通信记录的价值,这些记录通常是丰富的证据来源。
本章将为你提供以下概念的基本理解:
-
恢复互联网浏览和搜索记录以及其他消息系统,包括 Skype 和虚拟私人网络
-
电子邮件分析及大规模电子邮件数据库的处理
-
手机取证及从个人计算设备(包括平板电脑和 GPS 设备)中获取证据的日益增长的挑战
多种互联网浏览器可用于桌面和笔记本设备,也可以用于平板电脑及其他手持设备,包括 Mozilla Firefox、Google Chrome、Microsoft Internet Explorer,以及最近的 Microsoft Edge、Safari 和其他浏览器。下一节及从手机和手持设备中恢复证据的日益增长的挑战部分将概述使用浏览器时存储的数据的价值。
定位互联网浏览证据
与用户网页浏览活动相关的信息通常以 Cookies、缓存文件、URL 历史记录、搜索词、历史记录以及计算机上的其他文件形式存储。这是许多取证检查的重要组成部分,因为它可以帮助重建嫌疑人在与知识产权侵权、网络犯罪、儿童色情及其他严重犯罪相关的案件中的在线浏览行为。以下小节描述了一些有助于犯罪重建的网页浏览事件的基本特征。它们还概述了从浏览器数据中恢复证据的过程,这一过程也可以从未分配的空间中进行,为执法人员提供对私人浏览活动的洞察。
典型的网页浏览行为
典型的浏览活动涉及搜索存储在网站上的特定主题,例如个人、事件、组织或电子邮件或消息账户——几乎是搜索者在寻找的任何内容。在访问或链接到远程网站的过程中,根据洛卡尔交换原理,会发生一些数据交换:一些痕迹会被留下,部分数据会转移到另一台设备。远程网站可能会在不同程度上记录用户访问的某些细节。像 Hotmail 和 Yahoo! 这样的基于 Web 的电子邮件服务器会记录账户持有人的登录信息,并经常在访问账户时记录他们的 IP 地址。这些信息在重建违规行为时非常有用,特别是当它们与账户持有人的设备匹配时。
例如,Gmail 将电子邮件消息存储在其云服务器上,而不是本地机器上,因此,除了可能存在于瞬态内存中的电子邮件状态外,从这些账户中恢复电子邮件证据的可能性较小。然而,现在这些电子邮件账户可以同步并备份到 邮局协议 (POP) 客户端,这是一个标准协议,用于通过互联网连接从远程服务器检索和管理消息。这样一来,消息会被下载并存储到本地机器上。Windows 10 的电子邮件消息也同样将这些消息缓存到本地磁盘中,从而可能有助于法医恢复。
浏览记录通常会被缓存到用户的本地机器上。例如,默认浏览器设置会以多种不同的形式记录浏览活动,最显著的是:
-
缓存的文件夹存储访问过的网页的 HTML 和多媒体文件
-
访问过的网页的历史数据库,以及某些程度上记录某个网页访问的日期和时间范围
-
使用如 Google 和 Bing 等应用程序进行搜索的数据库记录
-
记录访问过网站及每次访问时间戳的 Cookie 存储
-
用户访问的在线账户记录
-
电子商务活动,包括电子银行记录和账户
法医工具处理可能包含有用证据材料的常见文件类型。许多这些小型数据库文件需要解构,包括历史数据库和图像缩略图数据库 .db 文件,index.dat 以及其他记录互联网历史的文件等。下表展示了从 Firefox 默认缓存和位于嫌疑人笔记本电脑中的默认临时文件夹中恢复的图像和 Shockwave 文件。这些信息构成了提起对嫌疑人指控的部分证据,并帮助确认了与主指控相关的浏览活动的时间段。表中展示了从浏览器缓存和默认 temp 文件夹中恢复的图像和媒体文件。
| 名称 | 类型 | 路径 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|---|---|
E3A65A2Ed01 |
.jpg |
\Documents and Settings\User\Local Settings\Application Data\Mozilla\Firefox\Profiles\7yyxpig9.default\Cache |
17/07/2015 5:54 |
17/07/2015 5:54 |
14/09/2015 |
25C1B625d01 |
.jpg |
\Documents and Settings\User\Local Settings\Application Data\Mozilla\Firefox\Profiles\7yyxpig9.default\Cache |
17/07/2015 5:49 |
17/07/2015 5:49 |
14/09/2015 |
PV.SWF |
.swf |
\Documents and Settings\User\Local Settings\Temp\TMP27340-11320 |
5/03/2015 0:04 |
5/03/2015 0:04 |
14/09/2015 |
PE.SWF |
.swf |
\Documents and Settings\User\Local Settings\Temp\TMP27340-11320 |
5/03/2015 0:04 |
5/03/2015 0:04 |
14/09/2015 |
PR.SWF |
.swf |
\Documents and Settings\User\Local Settings\Temp\TMP27340-11320 |
5/03/2015 0:04 |
5/03/2015 0:04 |
14/09/2015 |
以下表格显示了第一个已删除的图像文件,该文件已从缓存文件夹中恢复。其之前的位置未知,但该文件提供了一些可能有用的时间戳。其余已删除的文件没有位置或时间戳,但它们有一个哈希过的文件名和签名,可能可用于与设备上恢复的其他文件进行比较。文件雕刻过程从扇区中恢复了这些文件,进一步检查这些扇区可能有助于发现它们的更多背景。没有某种形式的佐证,这些证据的证据效力会减弱。表格显示了从未分配空间中恢复的已删除文件,记录了文件名和(在一种情况下)时间戳:
| 名称 | 类型 | 路径 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|---|---|
12DffGbbvt |
jpg |
\路径未知\Cache |
23/08/2014 01:58 |
23/08/2014 01:58 |
23/08/2014 01:58 |
00049.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00476.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00352.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00573.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00700.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00865.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00869.jpg |
jpg |
\路径未知\Carved 文件 |
|||
00886.jpg |
jpg |
\路径未知\Carved 文件 |
|||
01492.jpg |
jpg |
\路径未知\Carved 文件 |
|||
01931.jpg |
jpg |
\路径未知\Carved 文件 |
以下表格显示了一些 .db 数据库文件,这些文件保存了存在于设备上某个未知位置的文件夹中的图像痕迹。尽管没有时间戳,但文件的命名约定表明它们可能是在 2015 年 8 月的两个日期中创建或访问的。通过 X-Ways Forensics 工具获得的数据的可靠性可能不足以使这些证据在没有其他可靠证据的情况下被认为具有可采性。
| 名称 | 类型 | 路径 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|---|---|
Thumbnail.jpg |
jpg |
\Path unknown\Carved files\C120,D380 2015-08-13 03:15:03.jpg |
|||
Thumbnail.jpg |
jpg |
\Path unknown\Carved files\C120,D380 2015-08-22 05:22:04.jpg |
以下截图展示了从一台笔记本电脑中恢复的 URL 和关键字搜索历史文件。这些信息用于重建嫌疑人的浏览活动以及作为在线犯罪活动一部分的搜索术语的性质。数据库中提取的电子表格提供了时间戳、访问过的网站的详细信息,以及在犯罪实施过程中使用的搜索术语:
从浏览器数据库解构的恢复电子表格,显示了多种浏览活动
从松散区域和未分配空间恢复浏览痕迹
使用 ILookIX 对未分配扇区的索引将对未分配给文件或文件夹的每个扇区的原始扇区内容进行索引。以下截图展示了搜索术语tightvnc的结果,旨在探索这个远程访问程序是否可能被用来妥协桌面计算机。恢复了116个文件松散区的命中,并记录了423个文件命中,从而为针对设备的远程攻击提供了更多线索:
在文件和文件松散区域中恢复的搜索命中
以下截图展示了包含搜索术语或命踪的恢复扇区的样本。请注意,这些数据没有时间戳,显示的日期是执法人员提取痕迹后,免费和未分配空间在取证图像中被索引的日期。在许多情况下,即便使用内置的十六进制编辑器,数据也不完全可读——通常缺少时间戳和原始文件位置。
在这个实例中,恢复了 BitTorrent 活动,提供了细节,表明嫌疑人使用 BitTorrent 点对点协议从其他 torrent 用户下载媒体。在这个例子中,部分活动的时间戳非常清晰可见,同时还可以看到正在下载的媒体的性质:
在文件和文件松散区域中恢复的搜索命中
在这个例子中,数据是通过使用术语search terms从松散文件区域中恢复的。以下截图中的一个命中提供了驱动器扇区和记录所在的连续扇区的详细信息。对这些扇区的数据雕刻可能会提供数据的部分重建,但除非信息正文中包含某些时间戳,否则对时间数据的分析最多也只能是猜测:
从松散空间恢复的互联网浏览数据的属性
通过打开这些数据,可以获取一些重要信息。下图突出显示了一个访问过的网站,用于删除 Skype 账户。这些信息与嫌疑人可能试图删除账户以防止未来涉及与有组织犯罪人物的非法活动调查的行为相符:
从松散空间恢复的部分可读的互联网浏览记录数据
这些数据包含一些时间性材料,与已删除的 HTML 数据相关联,帮助确定搜索发生的月份和年份。下图显示了 Skype 可能已安装在计算机上的可能性,但在回收站或松散空间中没有找到该程序及已删除的数据文件。Windows 事件查看器确实提供了其早期安装和使用的证据,尤其是在特定时间段内。通过从松散空间恢复的 Skype 活动残余,包括消息文本和卸载过程的搜索,进一步证明了这一点。从松散空间恢复的部分网页也提供了该网页在网站上创建的大致时间。对这些分散残余的证据进行佐证,对于重建关键事件是非常有用的。
在这种情况下,是试图删除 Skype 及其相关数据,这可能被认为是潜在的有罪证据:
从未分配空间恢复的数据与事件重构的关联,以及试图掩盖使用 Skype 的行为
ILookIX 包括一个快捷方式功能,可以获取常用值,如 Internet Explorer 中最近输入的网页地址和设置,并重新生成这些注册表项、键和值为快捷方式树,方便检查,截图如下所示:
从注册表中恢复的活动前因
私密浏览
私密浏览是一些网页浏览器提供的功能,包括 Google Chrome、Mozilla Firefox 和 Internet Explorer,目的是为了避免在浏览会话中留下用户活动的任何痕迹,保护隐私,并可能出于安全原因。它也通常用于那些希望隐藏涉及一定非法性的浏览活动的用户。这使得分析和定位与网页浏览活动相关的证据变得可能更加困难,因为私密浏览可能已经删除了所有与浏览活动相关的证据,而这些证据可能对调查有所帮助。
我进行的研究旨在更清晰地理解私人浏览功能及其对法医检查的影响。以前的研究主要集中在从计算机硬盘中恢复浏览数据,而其他研究则强调了从计算机上存储的 RAM 数据中记录浏览活动的智慧。早期的实验中使用了一些法医程序来分析网页浏览器,包括 EnCase、AccessData 的 Forensic Toolkit、Nirsoft Internet Tools 和 Internet Evidence Finder。
我的实验旨在确定在正常和私人浏览会话中,计算机系统哪些区域被修改或访问。这表明,在私人浏览期间,IE 会正常存储所有内容,但在退出浏览器后会删除它。Chrome 修改了安全浏览数据库、cookies 和历史记录,Firefox 修改了 Firefox 配置文件和安全浏览数据库。这些结果可能有助于研究人员在分析网页浏览器时集中搜索目标。
在是否 pagefile.sys 文件包含与私人浏览相关的信息方面注意到了一些差异,但这可能与可用的 RAM 大小有关,因为当内存被完全使用时,会创建内存交换文件并将数据存储在硬盘上。这似乎更像是偶然现象,而不是在硬盘死亡分析中可以依赖的内容,随着会话之后的时间和计算机使用增加,找到相关数据的机会会减小。
使用 ILookIX 和 IXImager 在 Windows 7 Ultimate 上对每个浏览器进行成像和检查的实验结果表明,Chrome 和 Firefox 的私人浏览模式比 Internet Explorer 更安全,除了与 Firefox 或 Chrome 相关文件中的日期变化外,未发现与私人浏览会话相关的任何信息。以下是可以做出的总体观察:
-
谷歌浏览器:检查了空闲空间、
pagefile.sys文件、未分配空间和针对谷歌浏览器的字符串搜索,但未恢复任何文物。早期的研究者只发现了 SysVolume 信息中的时间戳变化,以及像Safebrowsingcookies.db这样的文件中存在的变化。 -
Mozilla Firefox:分析仅发现了 Firefox | Profiles 文件中的时间戳变化。
-
Internet Explorer:与之前的研究一致,私密浏览会话后恢复的数据更多,从所有访问过的网站中恢复了浏览文档。大部分恢复的数据位于缓存、历史记录和临时 Internet 文件中,也有部分位于未分配的空间中。研究发现,浏览信息既出现在常规文件夹,也出现在未分配的空间中。这些浏览文档所在位置的差异可能是由于系统、网页浏览器版本或取证分析软件的不同所导致。研究还发现,在 Internet Explorer 的私密浏览会话后,可恢复的文档数量有所不同。这似乎取决于私密浏览时用于访问文件的不同过程,当直接在 InPrivate 浏览模式下打开 Internet Explorer 时,恢复的文档较少。
这些结果表明,虽然相关浏览器文件的时间戳发生了变化,表明有浏览事件发生,但如果有人在 Firefox 或 Chrome 中进行私密浏览会话,从硬盘的死机分析中恢复任何浏览文档将非常困难——最好说是无法恢复。在这项研究中没有找到任何内容。然而,使用 Internet Explorer 进行私密浏览会话时,与网页浏览器会话相关的信息是可以恢复的。然而,当直接以私密浏览模式打开 Internet Explorer 时,比起以正常模式打开然后切换到私密模式时,恢复到的信息较少。
Microsoft Edge,作为 Internet Explorer 的变种,也包含私密浏览功能,以下截图显示了这一功能。初步研究表明,像 Internet Explorer 一样,该功能的痕迹依然会保留在设备中,并且可以恢复:
从注册表中恢复的活动先兆
消息系统
许多安装在计算机上的消息应用程序通常提供关于不法分子活动、联系人和意图的有用数字证据。移动电话越来越多地用于此类通信,后文将详细描述这一点。
MSN Messenger、Skype、Yahoo! Messenger 和其他基于网页的电子邮件应用程序是许多计算机上的常见功能。曾经似乎注定要被淘汰的聊天室,因为其使用简便和普遍的便利性,在计算机、平板电脑和手机上经历了复兴。例如,Banter 使得与附近的其他人进行轻松聊天成为可能。
Facebook、Twitter、LinkedIn、Google+、Flickr 和 Meetup 等社交网络站点是用户结识朋友、联系人以及其他具有相似兴趣的人的一些常见平台。其他网站则提供各种兴趣和追求的聊天室——并非所有的都是合法的或有品味的。
检查 Skype 和聊天室文档
以下截图显示了通过社交网站TeenChat(www.teenchat.com/)恢复的嫌疑人与年轻人之间的聊天消息文件属性表。该网站旨在供青少年使用,但其用户有时会被网络跟踪者和恋童癖者所利用:
使用 TeenChat 进行无害对话的记录属性表
与聊天室相关的数据通常会被记录下来,即使不法分子试图删除并移除有罪证据,对话和多媒体文件的交换也可能仍然保留在设备中。Skype 默认会留下对调查人员有用的电子表格。在以下截图中,有一些包含各种方之间对话记录的文件示例:
与 Skype 活动相关的恢复文件
通常,尝试删除或掩盖这些通信记录,犯罪者可能会认为对话记录已经被永久销毁。然而,其他对话方以及负责的网站托管服务可能会保留一些流量数据,并且根据法律要求必须与调查团队分享这些数据。
为了混淆执法调查,犯罪者会采用第七章中介绍的反取证手段,Windows 和其他操作系统作为证据来源,包括使用不可见的互联网。
不可见互联网
据估计,全球信息网只是网络站点的一个小代表,大部分(一些观察者估计超过 90%)由所谓的不可见互联网或深网组成。像 Google 这样的搜索引擎无法识别和索引这些站点。要定位这些站点,需要一定的内部知识、一些技巧和像 Tor 这样的网页浏览器。
另一方面,暗网并非不可见,但其托管网站在后台是不可见的,因为它们已经通过 Tor 和 I2P 提供的特殊工具进行了加密和隐藏。臭名昭著的丝绸之路在线毒品交易网站就是通过这些工具进行隐秘活动的。其他人也使用它来进行合法活动,但希望在浏览网络时保持匿名。
显然,在设备上定位这些秘密通信的残留物是从业者面临的又一个挑战,但实际上,这些残留物确实经常被遗留下来。在接下来的截图中,经版图处理,ILookIX 能够从一台笔记本电脑上恢复到了一些 Tor 活动的迹象。这些信息支持了嫌疑人秘密访问非法色情网站等行为的可能性,并且希望这些行为对其他计算机用户保持秘密。遗憾的是,恋童癖者团伙利用网络交换非法和淫秽材料,并与其他人进行这种恶心的交流,希望能够避免被检测和起诉:
浏览暗网网站获取色情内容
下面的截图显示了从另一台设备中恢复的.TOR文件的示例。尽管许多文件已被删除且无法恢复,但一些仍然存在,并提供了有用的信息,证实了与案件相关的知识产权侵犯。
恢复的.TOR 文件显示了使用 Tor 下载多媒体文件。
在许多情况下,即使使用内置的十六进制编辑器,也无法读取所有数据,并且缺少时间戳和原始文件位置信息。在这种情况下,已经恢复了 BitTorrent 活动,提供了嫌疑人使用 BitTorrent 点对点协议从其他 BitTorrent 用户下载媒体的详细信息。在这个示例中,一些活动的时间戳清晰可见,以及正在下载的媒体的性质:
从 slack 空间恢复的种子下载数据
电子邮件分析和大型电子邮件数据库的处理
从台式机或笔记本电脑中恢复的电子邮件可以保存大量数据,但在网络服务器上保存的电子邮件存储,即使是中等大小的存储,也可能包含大量的消息和附件,需要使用特殊程序来选择和正确管理它们。以下各小节进一步描述了如何管理这些数据集以及从业者可能采用更有效的方法进行电子邮件分析和识别。
从台式机和笔记本电脑中恢复电子邮件
在下图中,ILookIX 已从单个帐户中解构了超过 28,000 封电子邮件消息和附件。文件以反映电子邮件目录结构的方式显示在设备上。这使从业者能够快速了解电子邮件布局,并获得对邮件系统的快速视角:
ILookIX 电子邮件查看器中查看的电子邮件目录结构
电子邮件存储文件是任何包含电子邮件消息或类似数据的文件,如 Microsoft Outlook 的 .OST 或 .PST 文件中的日历和联系人信息。这包括 .EML、.MSG、.NSF、.MBOX、.MBS,甚至基于 .HTML 的电子邮件。一些电子邮件存储,如 .EML 或 .MSG 文件,每个文件包含一条消息,但即便是这些文件也需要通过 ILookIX 解构才能在电子邮件浏览器中显示。每个电子邮件存储在电子邮件浏览器中都作为一个条目列出,无论该存储包含单条消息(如 .EML 或 .MSG 文件)还是包含消息的完整结构(如 .PST 文件中的文件夹和子文件夹)。
一个必须理解的重要概念是 ILookIX 支持的所有电子邮件类型的同质性。所有电子邮件客户端的解构都成为同一基本电子邮件浏览器概念的一部分。这消除了客户端之间的差异,使得像电子邮件链接这样的功能可以在一个新的、更易于解读的界面中进行分析和探索。该界面提供了一个对象模型,涵盖了使用适用于所有互联网电子邮件收发客户端的 RFC 标准的互联网电子邮件项目的所有特征。在此过程中,像 Lotus Notes 这样的项目被纳入与 Outlook .OST 文件相同的模型——该界面包括电子邮件的浏览器栏。
电子邮件浏览器将所有电子邮件存储(如 Microsoft Outlook 的 .PST 文件)整合在一起,并显示每个存储的文件夹结构。在文件夹结构中,用户可以查看消息、联系人、附件和其他项目,具体取决于处理的邮箱类型。在处理文件时,电子邮件消息通过选择电子邮件存储或存储中的子文件夹显示在列表窗格中,如以下截图所示:
按主题查看电子邮件
消息可以通过查看器、十六进制视图或纯文本视图查看。在以下截图中,消息和附件通过查看器窗格查看:
阅读电子邮件及附件
电子邮件文件属性表提供了有关消息的重要文件和元数据,这对于案件准备非常宝贵:
电子邮件属性表
电子邮件消息的附件可以通过在电子邮件列表中显示消息,然后选择文件列表来查看。每条消息的最左侧列默认会有一个与之相关的图标。该图标可以是信封,表示没有附件的电子邮件消息,也可以是回形针,表示有文件附件的消息,如下所示:
检查电子邮件附件状态
这将显示所有附加在邮件中的文件,并允许用户将它们作为一个组进行操作,但不会显示每个附件的具体来源。通过选择电子邮件列表,用户可以在邮件的上下文中查看附件,并获得更多的选择:
查看电子邮件附件
此外,附件列会显示每条邮件的附件数量:
邮件头、附件和邮件正文
ILookIX 还可以在电子邮件列表中对消息进行分组和筛选。分组允许用户将所有显示的消息按单一列进行分组。这可以节省时间,并在用户筛选证据时增强证据的分类工作:
分类电子邮件的潜在相关证据
电子邮件消息可以与文件归类到相同类别,或者根据需要为邮件创建专门的类别,由用户决定。整个电子邮件存储或其中的子文件夹可以通过在电子邮件资源管理器中选择存储或文件夹,然后选择将消息保存到我的类别来添加到类别中:
对潜在相关的电子邮件进行分类
分类后的文件可在类别资源管理器中查看,便于访问:
在选择过程中,通过对有价值证据的分类来实现良好的管理
从较大数据集中恢复和分析电子邮件
如第五章所述,对增强型取证工具的需求,ISeekDiscovery 自动化工具是一款分布式采集工具,可以从大量计算机和数字存储设备中捕获电子存储信息(ESI)。与其他工具不同,它利用其专利技术,将每台目标机器用于处理,且对该计算机用户的影响最小。ISeekDiscovery 极大地改善了 ESI 的采集,并为法医检查员进行了增强,以便在大规模网络中远程采集传统数字取证工具无法捕获的数据(包括 RAM 和 Windows 注册表数据)。
重申一下,自动化工具只需要访问设备并适当设计配置文件;它只收集所需的证据,从而使端点分析变得不那么令人生畏,因为数据集的大小较小,这有助于过滤和搜索证据。然而,提取的数据仍然可能很大,且需要大量的后期恢复处理。
XtremeForensics 提供的 32 位和 64 位 API 允许用户利用公司的服务器从.ISK证据容器中提取大规模数据集。这是一个相对简单的过程,打开应用程序并登录到我们的服务器,然后让 ISeekExtractor 开始操作。
提取过程提供多种提取样式选项:
-
原始文件夹和文件名,丢弃元数据
-
原始文件夹和文件名,添加
.XML元数据 -
带有元数据的编号文件,在
.XML索引中
通过使用动态链接库(DLL)文件,可以在几分钟内初始化 API,并进行指导,以便快速且安全地将所有捕获的数据从 ISeekExplorer 容器中传输到:
-
任何用于当前使用的基本审查平台的数据库或审查系统
-
适合导入其他系统的文件格式
当从大型网络服务器捕获大量数据时,这种方法尤其节省时间。
搜索扫描文件
搜索扫描图像可以使用 ILookIX 提供的便携式扫描图像工具,如下方截图所示。定位扫描物品有助于识别那些无法被索引和搜索的文档,因为在扫描过程中,它们没有通过光学字符识别(OCR)进行转换,因此无法作为文本文件进行索引。这些文件可能包含相关信息,因此可能需要手动查看,或者如果数量过多,则通过 OCR 过程进行转换。
该过程对于确定与伪造和欺骗相关的文件的来源和真实性也非常有用:
恢复的扫描文件准备手动检查
从手机和手持设备中恢复证据的日益严峻挑战
数字证据可能来自多种设备,包括手机、GPS 导航设备、打印机、数码相机和视频录像机、录音笔、Kindle、家庭安防设备、汽车计算机、Xbox 和 Wii 游戏机、飞行记录器和数码手表。
手机和其他手持设备存储用户的个人信息,包括通话记录、互联网浏览记录、文件下载和上传、地理位置、短信、电子邮件、多媒体文件、联系人列表、日历事件和私人信息。如果启用了定位设置,它们还会记录用户的位置——总之,这些数据可能有助于调查。例如,存储的信息可能揭示用户的联系人和他们在某些违法行为中的通信细节,以及对其动机和思维方式的洞察。
以下截图显示了关于手机用户活动的项目和已删除项目报告,包括短信、电话、位置和浏览活动:
移动电话账户和文件的一般取证报告
然而,移动电话对取证从业人员提出了挑战,特别是随着新型手机和操作系统的快速发展,以及对保护和加密的依赖,极大地挑战了证据的恢复。随着使用不同硬件和操作系统的手机快速增长,开发一个通用的流程或工具来应对所有情况变得困难。除了不断增长的智能手机和平台种类,包括 Android、Blackberry、Apple iPhone 和 Windows Mobile 外,还有大量使用旧版系统的廉价手机。以下部分概述了从移动电话恢复证据的过程。
从移动设备提取数据
移动电话中存储着不同类型的文件证据,可能存在多个位置,包括设备内存、可拆卸存储器如 SD 卡以及可移除的 SIM 卡。
每部手机都会提供一个通常唯一的标识符,称为国际移动设备身份码(IMEI),用于唯一标识广泛的移动电话。这个唯一的号码通常打印在电池仓内或手机外壳上。它也存储在手机的嵌入式存储器中,并且可以从那里显示在屏幕上并通过取证工具恢复。IMEI 用来识别和验证手机硬件与 GSM 网络的连接,防止被盗手机接入该网络。IMEI 是手机使用和身份的重要记录。
在以下截图中,XRY Micro Systemation 取证工具提取了关于 iPhone 4 的基本信息,包括其 IMEI 号码。SIM 卡识别号记录在报告的底部:
显示 iPhone 4 基本设备设置的取证报告
注意
用户通过另一个唯一标识符来识别:存储在 SIM 卡上的 IMEI 号码,该号码用于识别和认证用户。这有助于取证人员与电话网络联系,获取账单信息、通话位置和联系人—这些都是潜在的证据。
在从业人员中,最佳实践是记录用于访问和恢复来自移动电话的证据的手动和技术流程,并尽量减少数据丢失或更改。Android 和 Apple 手机以及其他许多手机在 SQLite 数据库中存储大量用户信息—这些信息有时在其他信息删除后仍然保留在设备上。这可能成为一个有用的信息来源,取证工具通常可以恢复广泛的文件类型,包括数据库。
在下一个截图中,使用 NowSecure Mobile Forensics 工具从 Android 手机恢复信息。此类新一代工具将检查工作组织为一个项目,使所有恢复的数据都可以分类,并通过简易的图形界面进行分析:
在 NowSecure Mobile Forensics 中创建法医案件
被检查的设备是一款新型号的 Android 手机,无法获取物理转储,如下图所示:
从 Android 手机恢复数据的选项
设备的逻辑提取或备份可以用于分析,在这个实例中,选择了设备的备份:
准备法医检查并插入案件详情
一旦提取完成,专家可以从一系列恢复的项目类别中进行选择,如图所示:
NowSecure Mobile Forensics 中从 Android 手机恢复的数据目录
在下一个实例中,提供了一系列互联网浏览活动,包括网页标题、网址和时间戳,供专家参考:
恢复的网页,包括标题、网址和时间戳
在下一个截图中,显示了下载文件的列表以及源网站和相关时间戳:
从 Android 手机下载的文件及其元数据列表
在下一个截图中,该工具已恢复存储在手机外部 SD 卡上的视频和音乐文件:
查看从附加 SD 卡恢复的数据
手机上安装了多种不同的应用程序,部分应用程序可以在下图中看到:
安装在 Android 手机上的应用程序及其安装日期
在以下的犯罪模拟中,XRY Micro Systemation 恢复了一些具有证据性质的聊天消息:
从 SMS 对话记录,可以追溯到呼叫者和发件人手机
电子邮件也可以从手机中恢复,以下模拟展示了嫌疑人与妻子之间的部分通讯:
从 Android 手机恢复的电子邮件记录和内容
恢复的关于嫌疑人 iPhone 5 的一般信息,包括 IMEI 和国际移动用户身份(IMSI)号码以及关于手机的基本信息:
从 iPhone 5 中获取的常规信息
以下截图是 Google 地图提取的内容,显示了手机在2012 年 12 月 23 日的具体位置。在此模拟中,可以追踪到手机位于西澳洲的位置,然后又被追踪到位于澳大利亚东海岸的维多利亚的另一个目的地。这些记录可以通过三角定位与电信公司信息进行比对,记录设备经过每个基站时的位置信息,同时获取其打电话和接电话时的位置记录。
恢复的地图显示了手机的位置
在以下截图中,记录了一个新的位置,显示手机接近一个主要道路交叉口的位置:
恢复的地图显示了手机在运输过程中的位置
以下表格是记录在一部 iPhone 上的聊天消息摘录,该手机被用来反驳配偶的强奸指控。它记录了两方的对话,显示出比受害者先前披露的更多的友好与同情。此案件在下级法院被驳回:
夫妻之间的聊天消息作为辩解证据
在下面的摘录中,涉及一宗关于遗嘱争议的民事案件,恢复了已故人与其配偶之间的一条聊天消息以及在诺基亚手机上记录的多个语音邮件通知。遗憾的是,手机未能提供任何进一步的信息来帮助解决争议双方:
与遗嘱纠纷相关的聊天消息和语音邮件通知
移动设备将信息以及系统和应用文件存储在固态硬盘上,这些硬盘体积小巧、紧凑且物理耐用。这种格式与平板设备以及小型笔记本或上网本(如 Windows Surface Pro、苹果的 MacBook Air 和华硕上网本)类似。这种设备的格式以及其安全加密技术目前使得在启动过程中制作设备镜像变得具有挑战性。与我合作的一个研究团队目前正在寻找解决方案,并在使用 ISeek 技术制作苹果桌面和 Windows Surface Pro 笔记本的逻辑副本时取得了一些成功,从而恢复了本来难以定位和恢复的证据。
移动电话和平板电脑在存储数据的容量上受到严格限制,平均只能存储大约 32 到 64 千兆字节的数据。这些驱动器的删除过程使用了磨损均衡技术,以确保高效地删除数据,从而最大限度地延长驱动器的使用寿命。这意味着,尽管删除的数据可能不显眼,但它可能在设备上持续更长时间,并且通过对删除扇区进行物理转储,有可能恢复这些数据。相反,磨损均衡和删除功能通常在手机开机时启用,因此在查获后应避免开启设备。Android 手机和 iPhone 的物理提取工作由于设备安全性以及手机厂商不愿帮助从业者进行合法证据恢复的努力而受到阻碍。
执法机关处理大量的电话拦截数据,同时编制嫌疑人和有组织犯罪集团的数据库。从单一设备恢复的数据处理可能非常耗时,但处理更多手机以重建犯罪事件以及嫌疑人之间的关系则更为复杂。像 Cellebrite 和 XRY Micro Systemation 等复杂的取证工具可以从这些大量数据中筛选出无关的材料。这些工具和其他工具能够创建关系图和时间线,帮助重建犯罪活动并快速识别关键信息群体。
现代移动取证工具提供了许多节省劳动的功能,例如准备关系矩阵、报告、数据整理报告和时间轴。以下屏幕截图中的时间轴由 NewSecure ViaExtract 取证工具生成,帮助从业者概览证据的性质和关键事件,并筛选数据以创建有意义的时间线:
从手机恢复的关键活动时间线
一些移动取证工具,如 MobileEdit,可以从用于同步启用密码保护的 iPhone 的计算机中检索移动备份文件。安装在计算机上的 iTunes 应用程序用于同步音乐,但默认情况下,该应用程序会存储之前连接的 iPhone 的锁定文件。如果从业者可以访问用于同步特定 iPhone 的计算机或 Mac,而手机的密码未知,这时可以使用该过程。通过定位并复制 lockdown.plist 文件,可以使用该文件配合取证工具访问锁定的 iPhone。
这些 iTunes 文件夹通常存储在以下位置:
-
Windows 10:
C:\ProgramData\Apple\Lockdown -
Mac OS X:
/var/db/lockdown
其他工具能够通过暴力破解攻击恢复用户的访问 PIN 码,并且可以识别屏幕滑动解锁路径,从而允许访问锁定的手机。
管理证据污染
常规的桌面设备死区影像可以实现,但通常不适用于手机。移除内部硬盘在技术上具有挑战性且越来越不实际。然而,外部设备和 SIM 卡可以被移除,内容可以使用适当的工具进行复制和分析。
应注意隔离手机,防止其与电话服务提供商以及本地 Wi-Fi 和蓝牙服务进行通信。移除 SIM 卡可以防止与电话服务提供商的通信,但如果设备在恢复过程中开机,建议在一个与无线通信隔离的实验室中进行操作——法拉第袋或容器是另一种常见的保护选项。启用设备的飞行模式也能将手机与干扰隔离,但取证人员需要迅速找到该功能,以防干扰发生。
手机操作系统可能会受到低电池电量、极端温度、灰尘和湿气的负面影响。设备失败或连接点被腐蚀,或受到静电荷影响导致连接问题并不少见。
手机及某些其他手持设备可以通过其所有者远程访问,用以定位丢失或被盗的设备,还可以通过删除私人信息并将其重置为出厂默认状态或永久锁定手机来“杀死”手机。这可能会让窃贼感到沮丧,但也阻止了取证人员恢复证据。
从桌面和笔记本电脑以及手持设备恢复数据之间存在一些差异,尽管这些差异正变得越来越模糊,最显著的差异如下:
-
这些设备连接到如电信系统、Wi-Fi 和蓝牙等通信网络
-
存储在设备上的信息可能会完全丢失,因为它容易被新数据或通过无线网络接收的远程销毁命令覆盖
此外,要从移动设备中提取信息,设备必须开启,以便进行实时证据恢复。这可能会导致设备上某些数据被污染或销毁。取证工具通常会在设备上放置一个小的可执行文件,且可能会更改 Android 设备的开发者选项等。例如,在下图中,Android 手机的开发者选项在与取证软件和计算机配对之前手动更改:
准备 Android 手机与取证工具配对
在以下示例中,Android 手机的设置已手动修改,以允许手机数据的取证恢复:
一部 Android 手机正在与取证工具配对
如下图所示,取证工具正在开始与 iPhone 配对过程:
一个 iPhone 正在与法证工具配对
隐藏非法活动
尽管执法机构成功地通过从手机中恢复的数字证据起诉了许多罪犯,但现在这一趋势正在逆转。手机强加密,一些 RIM Blackberry 和一次性手机的保护措施非常完善,通常无法恢复任何证据。一些罪犯使用多个 SIM 卡和/或预付费移动设备,用于短期使用。这有效地使从业者无法访问由电话网络提供商提供的与正常使用相关的任何计费或其他跟踪信息:
一部通常用于安全隐秘电子邮件的 RIM BlackBerry 9320 Curve
从云端提取移动数据
云端也成为了数字证据的宝贵来源,来自于手机备份存储以及社交媒体账户,例如 Facebook、Twitter 和 Kik。例如,Cellebrite 提供了一种法庭程序,能够在适当的法律许可下从这些网站中恢复私人用户数据。这包括使用之前从嫌疑人其他数据中检索的用户识别和密码登录这些用户账户。该过程在恢复过程中保护恢复的数据免受污染,并将其保持在法庭状态以供进一步检查。
分析 GPS 设备和其他手持设备
GPS 网络用于导航和查看全球各地的位置。正如前文所述,它们是手机功能的重要组成部分,并且现在通常安装在汽车仪表板上,取代了安装在挡风玻璃或支架上的独立单元。
手持设备,包括卫星电话、平板电脑和网络书籍,还存储有关设备访问过的位置的有限信息以及显示设备在特定位置的时间戳。发布到社交媒体网站的 EXIF 数据也可能包含有关拍摄照片的大致位置的信息。更先进的移动取证工具可以验证照片是否是使用所谓的相机弹道过程在移动设备上拍摄的。数字书籍阅读器,如 Kindle,也会受到法证检查,因为它们被发现隐藏了证据材料。
从平板电脑和其他手持设备获取数据相对简单,类似于计算机和手机。它们为证据重建提供了有用的数据。GPS 设备越来越难以从中检索数据,特别是那些内置在车辆仪表板中的设备。通常情况下,这些设备提供的数据不会超过家庭位置和作为潜在目的地输入的位置。它们通常不记录旅程和旅程的任何有意义的时间顺序,但它们可以通过协助手机记录和电信日志来增加调查的内容。
案例研究 - 炸弹恶作剧中的手机证据
这个案例研究进一步说明了数字证据应始终得到协作、验证,尽可能核实,绝对不能轻信的重要性。
该案件中的被告被控根据与向被告的父亲发送短信有关的电信立法的严重罪行,声称一颗炸弹将在被告的兄弟姐妹所就读的学校爆炸。这一威胁被报告给当地警察,后者随即疏散了学校作为安全措施。学校的搜查证实了这一威胁可能是一个恶作剧,但这仍然是一个非常严重的问题。不幸的是,这些恶作剧太常见了,在学校遭到敲诈者、极端分子和有严重心理健康问题的人袭击的情况下,执法部门和受影响的各方总是认真对待。然而,它们如此频繁,以至于人们很难责怪第一响应者偶尔对逮捕这些恶作剧的肇事者采取漠不关心的态度。
事发前,被告一直在手机上收到一些恼人和险恶的短信。这些短信部分用英语写成,部分用另一种亚洲语言写成。它们似乎提到了一个当时居住在另一个国家的前情人。它们还对被告的未婚妻发表了贬低的评论,后者也开始收到类似的短信。
在这个时候,被告看起来更像是受害者,手机上收到了一些险恶的短信,以下是其中一些的样本:
被告及其未婚妻对这些短信的回应似乎刺激了来电者发出更多威胁性的短信,包括从未婚妻手机中提取的以下短信:
后来发给未婚妻的短信暗示了炸弹威胁和其他险恶行为:
这些短信的语气变得更加奇怪和威胁:
并且它们继续以类似的方式:
在这一点上,被告向当地警方投诉了这些信息以及被告与年幼兄弟共享的父母家中明显发生的入室盗窃。投诉被记录,警方前往家中,但他们注意到虽然被告的卧室被洗劫一空,但显然没有被盗。
第二天,被告的父亲收到了一条炸弹恐吓信息,警方接管了被告父亲的手机,后来能够确定来电者的订户号码。电话提供商提供了手机与其他联系人之间的通话记录日志,这些记录仅限于属于被告、未婚妻和父亲的手机。手机的 IMEI 和 SIM 卡的 IMSI 号码被确定,进一步的调查证实手机属于被告,尽管 SIM 卡是在未提供身份证明的情况下购买的(这并不罕见)。
被告卧室(先前被盗)的搜查发现手机放在被告床底下。事实证明,这部手机是被告购买并后来换成了新型号的旧手机。因此,被告接受了询问,随后被逮捕,起诉行动开始。然而,被告这位受人尊敬的办公室工作人员的动机并未得到确认——考虑到背景情况,这是不寻常的。此外,警方并未注意到导致炸弹恐吓事件的前期事件,于是我被委托去寻找事情的真相。
通过比较可用的起诉证据与辩护调查结果,对犯罪进行了重建。毫无疑问,短信是从属于被告的扣押手机发送的,但从未找到 SIM 卡。被告通过手机、记录在上面的短信以及电信提供商提供的协助信息与犯罪联系在一起——这是强有力的证据,但并非必然是动机不足的结论。
我通过辩护团队向检察官提出了以下关切:
-
起诉方提供的发现事实缺乏辩护团队进行合理审查所需的基本信息。
-
未对被告的新手机或未婚妻的手机进行法庭报告,这些手机包含了无罪证据。
-
未提供用于从扣押的手机中提取数据的法庭工具和流程的详细信息。
-
通过这些过程获得的扣押手机的实际法庭文件副本未完整分享。
-
未检查任何手机中恢复的任何 Wi-Fi 连接细节,并提供给辩护团队。
-
没有提供任何可能从犯罪者手机中恢复的 GPS 位置数据的详细信息,特别是在发送威胁性短信时。
-
没有提供有关扣押手机的记录位置的详细信息,以确定在被告和其他当事人收到恶意和威胁电话的期间,通过连接到电话塔来确定其位置。
最后提出的问题很重要,以确定发送炸弹威胁信息的人的位置,并将其与被告的手机位置进行比较,该手机在发送炸弹威胁信息时处于活动状态。被告声称在威胁发生时处于一个遥远的郊区,并有一个坚实而独立的不在场证明来支持这一说法。如果可以证明威胁是从另一个地点发送的,这似乎是可能的,那么可以推断在关键时刻被告并没有手机。
在检控机构被告知这些问题的一天内,对被告的指控出人意料地被撤销,而没有提供理由。不希望对参与此案的机构过分批评,似乎存在一些系统性问题,这在处理数字证据时并不罕见。当然,检控调查存在缺陷,不完整,并且过于狭隘地专注于在低级法院迅速定罪以解决警官可能认为是例行骚扰电话的问题。粗心的警务工作导致调查标准低下,过度依赖扣押的设备,并未注意或考虑其他数字和证人证据。
尚不清楚实际罪犯是谁,但以下观察似乎表明是被告的年幼兄弟,因为:
-
他可以进入被告的卧室,并在发送威胁后将带有罪证的手机放在床底下后取走并后来放回。
-
他能流利地讲外语,并对家庭内部和家庭成员的活动有亲密的了解,正如短信中所反映的那样。
-
他患有某种形式的精神疾病,智力较低,这似乎在一些短信中有所体现。
-
他不喜欢未婚妻,并对父母和被告有着过分的占有欲。
实际上,他有动机、手段和机会牵连被告。奇怪的是,被告似乎不愿提供除手机证据外的其他证据,并似乎在保护兄弟。这只是猜测,但高度可信,有一些理由认为被告希望数字证据能成功推翻案件而不牵连兄弟。
这是一个不寻常的案例,你可能会觉得很有趣,虽然它提供了一个真实案例的样本,但它也引出了下一章,重点讨论一个永远重要的法医规则:追求真相,依赖所有证据,绝不让调查员的偏见遮掩真相。
总结
本章提供了定位和恢复与个人通信记录相关的数字证据的关键过程,包括存储在计算机设备上的电子邮件和浏览记录,以及存储在手机上的电话通信。它概述了恢复和搜索互联网浏览记录及其他消息系统(如 Skype)的方法。它还更详细地描述了电子邮件分析和恢复的过程。
引入了手机取证及其在法医检查中的重要性,同时解释了从个人计算设备和 GPS 设备获取证据日益增长的挑战。案例研究提供了对手机证据的一些关键问题的见解。它描述了调查人员对手机取证复杂性理解不足以及对案件相关环境的假设过度依赖所带来的陷阱。
第九章,验证证据,将回顾数字证据分析的基础:对证据的彻底审查,以验证其真实性、相关性和可靠性。你将进一步认识到并欣赏对数字设备和证据进行科学检查的重要性,以确保保持最佳的法医实践。
尤其是,下一章将描述一些常见的陷阱,这些陷阱通过草率和有偏见的检查削弱了数字取证的价值。一个案例研究将展示正确选择和分析证据的重要性,并强调在选择证据时保持公正,以确保符合法庭的期望。验证证据的相关性和真实性,以期其在法律程序中被采纳,依赖于对证据进行测试和检查,确保其与声称的一致。这包括对收集的证据进行更为结构化的分析,包括根据法医标准发展和测试假设与反驳论点。
第九章. 验证证据
缺乏清晰的数字证据验证模型是数字取证这一新兴学科中实践者面临的许多根本性弱点之一。“每个案件都是独特的!”是常见的口号。的确如此,但大多数案件有许多共同的特征,这些共同知识可以比现在更好地加以利用,并且在更广泛的范围内应用。
本章反思了数字证据分析的基本理念,即确保无论案件的情况如何,以及对实践者施加了什么样的限制,都应尽可能彻底地检查证据,以测试其真实性、相关性和可靠性。
本章描述了一些常见的陷阱,这些陷阱会降低数字证据的可采性,并影响已提交证据的证明力或价值。验证证据依赖于对其进行测试和检查,以确保其所声明的内容是准确的。这需要对所收集的证据进行结构化分析,包括根据法医学标准发展和测试假设与反论点。实践者需要基于某种合理的推理过程来证明其证据选择,这一过程必须是可以解释的,并且没有偏见或无根据的评论。
在听证会上以普通人能够理解的术语呈现复杂的技术证据,是许多法医检查和实践者的努力与专业知识的结晶。出庭作证要求保持冷静和清晰的精心准备,并且证据的确凿性至关重要。本书并非旨在成为提供专家证人的一系列建议的权威指南;这是一个过于复杂的问题;您可以参考以下资源来了解更多内容:
legal.thomsonreuters.com.au/expert-evidence-individual-technical-chapters/productdetail/118878
本章末尾的案例研究将展示证据选择和分析的重要性。它将强调在选择证据时保持公正性的重要性,以确保满足法院的期望。
本章概述了验证数字证据的困难,并提供了一些解决方案来应对这一问题。它将描述并讨论以下内容:
-
不可靠数字证据的性质和问题
-
在选择数字证据以满足法律期望时,公正性和客观性的重要性
-
对收集到的证据进行结构化分析,包括根据法医学标准发展和测试假设及反论点
-
正式化验证过程和最佳实践的解决方案
-
数字证据的呈现
-
数字取证实践者面临的伦理问题
-
一个案例研究,描述了问题并为法医实践者提供了建议
不可靠数字证据的性质和问题
在法律听证会上提交的证据必须符合法院的期望。数字证据的有效性必须经过检验,以确定其在法律案件中的可采性,就像其他确立的证据形式验证一样。
如第三章所述,数字证据的性质和特殊属性,为了使证据在听证会上可采,必须满足三个条件:其获得是合法的,与案件相关,并且没有被污染。
一般来说,必须证明其在获取前、获取过程中或获取后没有被篡改或损坏,并且已经收集到足够的证据来支持案件。如果符合这些条件,就可以认为该证据已被验证,或者至少经过了测试,并且其有效性已经得到了确认。如果它有效,那么它可以被提交并根据其证据价值进行判断。
目前并没有普遍公认或标准化的流程来指导数字取证从业人员验证数字证据制品,以确保其在法律程序中的可采性。然而,迫切需要对数字证据的有效性进行更科学的测量,而不是依赖从业人员或律师的直觉,这些直觉可能在简单的“是”或“否”证据分析中具有洞察力。
从更复杂或曲折的情况中可以明显看出,数字证据由于其特殊性质可能会产生误导。最重要的是,文件位置、时间戳和其他包含文件前因及文件数据的元数据需要仔细审查,以确保能够充分识别和解释其属性。当关联文件事件时,如果引入了一定程度的不确定性,那么必须以某种方式进行测量,以确定展品的有效性,这使得分析变得更加具有挑战性。
为了说明表面看起来简单的问题,考虑一下在计算机的已发送邮件文件夹中找到的有罪电子邮件的位置。计算机所有者在嫌疑人主导的检查中成为主要嫌疑人(这种情况太常见了),因为通常存在隐含的有罪推定,因为计算机所有者最有可能对其创建和发送负责。在证据主导的检查中,证据是客观地、不带偏见和错误直觉地进行审查的,试图确定其前因以及与可能的犯罪嫌疑人的关联。了解这种替代类型检查的整个过程后,法院更倾向于采用这种客观过程,而非仅凭直觉判断。
在这个例子中,简单地说明电子邮件文件在发件箱中,暗示它是由计算机的某个用户发送的——这确实是或者不是。但实际上,检查其前因会引发一系列问题,包括确定是否有“黑客攻击”,是否是从另一台计算机发送并同步到嫌疑人计算机的,时间戳是否异常,或者信息是否被篡改。如果对这些问题的回答是“是”、“不是”甚至“不确定”,通过仔细关注细节,可能会对发生了什么有所了解,但这仍然需要通过可能性进行判断。如果某些问题或所有问题的答案是不确定的,那么这会增加对证据合理性的怀疑;因此,需要对证据进行一些测试、检查,并在可能的情况下进行证据的 corroboration 来确定真相。
用普通人能够理解的方式解释这些复杂性,需要对技术细节有清晰的理解,并具备良好的沟通能力。后续章节中将更详细地描述这一点。文献表明,阻碍从业人员有效验证证据可采性的困难可能归因于:
-
向法院解释数字证据的技术复杂性挑战
-
法医子学科的不成熟
-
计算机和网络的安全完整性不足
-
证据污染
解释数字证据的复杂性挑战
这是广泛接受的观点,且我通过自己的研究和与多个法律团队的合作也证实了这一点:法律界和客户往往对计算机系统缺乏清晰的理解,并且常常对呈现给他们的数字证据的有效性和重要性感到困惑。尽管数字证据与其他间接证据(如纸质文件)有很多相似之处,但其固有的技术复杂性使得法医专家在许多法律环境中尝试呈现和解释数字证据时面临挑战。对数字证据的日益依赖可能会增加其可采性面临的法律挑战,最终影响其证据效力。
使用图表、图尔敏图(在本章节的数字证据展示部分有描述)以及其他视觉辅助工具,比单纯的详细报告更能打破许多人感到困惑的局限;视觉材料可以突破沟通障碍。
法医子学科的不成熟
观察者指出,许多实践者在数字取证检查中迅速采用科学过程和工具的愿望过于鲁莽,同时有一种不良的看法,认为方法和过程的适当审查与验证是没有必要的。这种审查和测试往往完全甚至部分被忽视。我对这一不良做法表示担忧。似乎这种误解会导致新过程产生的证据受到质疑,因为在恢复和分析过程中使用的过程或新法医工具未经过验证,无法确定其是否适用于法医检查。这并不意味着恢复的证据无效,而是说如果这些过程和工具没有经过测试和独立的科学评估,那么它们会使证据的可靠性降低。
这是一个全球性的问题,案件依赖于基于有缺陷的法医科学分析的信息和证词,而这些分析被认为导致了无辜者的错误定罪。缺乏标准化的法医实践协议以及对许多法医过程和实践有效性的 uncertainty,令人惊讶的是并不罕见。
因为不当的证据收集、处理和保存过程而在法庭程序中被拒绝的证据,实际上是浪费的努力。长时间以来,知情观察者和实践者普遍认为,虽然这一学科有所发展,但尚未成熟。对这一学科缺乏实质性和重要性的研究,未能确定广泛的科学标准。此外,目前并没有明确建立的科学来支撑和支持数字证据的使用。指纹分析作为嫌疑人识别的手段,长期以来是一个成熟的学科;然而,最近由于缺乏坚实的科学基础,它开始受到审查。
数字取证的未成熟性引发了对其作为科学学科的正当性提出质疑,原因是缺乏标准化和法律管辖区以及刑事和民事调查环境中的一致性。
计算机和网络的安全完整性不有效
法庭在评估证据时遇到困难,因为有时实践者难以向其提供关于存储证据的计算和网络系统的完整性和可靠性的保证。在提供数字证据时,常见的做法是由记录的保管人或其他合格的证人证明记录是可信的。
法庭假定计算设备和管理计算机网络的人员的证据完整性是可靠的,同时还期望能够提供保障,证明计算机和网络系统的安全性和完整性,而这些系统通常易受各种威胁的影响。
证据污染
证据不仅必须合法获取,法院现在已认识到数字证据在篡改和认证方面的风险增加。近年来,DNA 证据可以被伪造和制造,从而产生关于其可靠性的巨大不确定性,这一点已被充分证明。近期也明确表明,数字证据可能在不留下明显篡改痕迹的情况下被修改,尽管可以推测证据曾经存在,但如果它确实存在,它已经无法恢复。
使用有效的法医工具可以在从数字设备恢复数据时最小化证据污染的风险,这有助于法院确定恢复数据的可靠性。然而,当对涉及数字法医工具和流程的案件应用标准测试时,如美国的标准,数字法医作为一门科学学科的地位引发了一些争议,因为缺乏广泛接受的标准和流程。数字证据的保存在前面的章节中已有较为详细的描述,其重要性不容忽视。
在选择证据时保持公正
数字证据的恢复和法医分析及其最终在法庭上的呈现与其他法医证物没有区别。这需要遵循最佳的法医标准,并期望从业人员具备特殊技能,尤其是:
-
能够进行公正、无偏见且彻底的证据审查
-
拥有并遵循强烈的道德规范
-
一定程度的良好的法医审查经验
-
能够访问其他从业人员进行交流互动
-
广泛阅读数字法医实践和案例研究
-
拥有最佳法医工具,并具备高水平的使用和部署能力
-
充分理解相关法律法规
-
认识到自身能力的局限性并及时寻求专家支持
-
了解客户需求并在早期阶段明确定义审查性质的能力,并在必要时持续进行
-
具备良好的沟通能力,能够向法律团队并最终向法院解释发现结果
-
能够让法院相信证据已经过检查和测试以验证其有效性
这些特质是法医从业人员所期望具备的,最重要的是,他们必须证明在案件审查中没有偏见。那些基本上是“肮脏证人”的从业人员丧失了公正性,得到了为客户或组织服务的名声,显然他们绝不是法院的仆人。其他人往往选择符合自己主观观点的证据,这通常被称为检查者偏见。
懒散和庸俗可能主导执业者的行为,尤其是在他们认为自己的意见不会受到挑战时,以及他们可能会产生一种优越感。这种情况发生时,良心强烈的人必须避免这一陷阱。这些伦理问题将在稍后的数字取证执业者面临的伦理问题部分详细讨论。
根据我在刑事和民事案件中工作的取证经验,显而易见的是,即使是在较小的数据集里寻找证据,也需要耐心、专注以及为客户做好工作的决心。这个领域可能听起来很有魅力,偶尔在法庭上亮相,展示和辩论证据,确实能带来成就感,但有时却令人感到煎熬和恐惧。尽管如此,证据的呈现,不论其价值如何,必须基于稳妥的专业检查和分析。
在理想的世界里,时间和资源不受限制,执业者可以花时间和心思进行彻底、从容的分析。然而,如果客户预算有限,可能只能在有限的时间内完成彻底的检查。临近的审判日期和其他紧张的日程往往会限制执业者的时间。此外,缺乏确保检查彻底性的时间,结合过重的工作负荷或案件内容(例如性不端行为和暴力等令人不快的话题),有时会导致执业者感到压力和失望——这显然不利于保持有效的取证输出。
含义只有在上下文中才能清晰理解
信息的模式结合在一起提供实质内容,就像拼图一样,碎片被组合在一起以呈现出一个完整的画面。然而,这些证据性资料可能很容易被误解,有时会产生误导性,甚至显而易见是错误的。
错过的证据或未被认为与调查相关的信息可能会带来灾难性的后果,常见的问题是未能:
-
确认证据的存在
-
收集新鲜的证据
-
确定与搜查令相关的材料
-
正确标记和记录展品
相反,执业者可能会:
-
将并非证据的物品误认为证据
-
收集搜查令所不允许的物品
-
错误地标记展品
-
制造伪证
错误的案件管理和证据验证
自 2008 年以来,我为澳大利亚的辩护刑事律师提供数字证据的专家分析。这涉及重新审查和验证州和联邦执法案件中呈现的数字证据。许多被告成功说服了陪审团,并因此被判无罪。虽然陪审团的审议是严格保密的,但人们认为,数字证据的重新审查和测试提供了额外的解释和对证据的相反看法,同时更加清晰地呈现所有证据,可能帮助陪审团做出更公正或更充分知情的决策。
对我和我在该领域的同事们来说,显而易见的是两个相关的问题:
-
通过不充分分析和展示数字证据而导致的案件管理失误
-
数字证据的验证不完整和不准确
在实际操作中,不充分分析往往由多种因素导致,例如案件负担或从业者经验不足。然而,有时也可能是由于与案件相关的证据被忽视或未被识别。这些证据可能是无罪辩护型的,即它可能为嫌疑人辩解或指控其他嫌疑人。一些从业人员倾向于在选择证据时只挑选最简单的证据,而没有对证据进行分析,确保它确实是所声称的内容,这仍然是一个问题。这表明从业人员需要更多的责任心,因为他们实际上是法庭的服务者。
在审查证据时,真正的危险在于,无论其形式如何,证据可能会具有诱惑力,并提供寻找者希望看到的内容。乍一看似乎显而易见的东西,可能会是具有误导性的。实践者必须坚持证据本身,而不是沉迷于是否基于个人感受来证明有罪或无罪。由于数字证据的偏见和错误解读而导致的诉讼失败并不罕见。这是无益的,因为它可能加重那些证据成功挑战后,并未导致有罪之人定罪的案件。相反,偏见证据可能导致无辜者被定罪。
从业人员必须预料到他们的陈述和专家意见会受到质疑和驳斥,因为在许多司法辖区,法律的基本原则是被告在未被证明有罪之前是无罪的。有一些例外情况,例如毒品贩运和持有案件,其中基本的保护被逆转。在这些案件中,证明清白的责任落在被告身上,必须解释清楚证据并证明自己是无辜的。
“被告推定无罪”似乎是一个陈词滥调和误解的术语。警察如果没有足够的证据证明被告有罪,是不会起诉的,这也是一个危险的谬论。初步案件并不假定被告有罪,也不意味着最终必然有罪。检方的责任是为法官或陪审团提供尽可能有力的案件以供审议。被告不需要证明自己无罪;检方必须证明事件与被告之间是否存在联系。实际上,检方必须证明被告并非无辜。
就依赖数字证据的案件而言,通常证据可能是真的,但却容易被否定。需要某些验证过程来确定证据是否准确、事实是否属实、是否相关(并始终相关)、是否适用于违法行为发生的时间,并且是否能够呈现完整的事实真相。还可以加入其他同义词,但关键是需要某种正式的程序来帮助从业者界定他们所呈现的证据的有效性。相关内容将在以下章节中讨论。
数字证据的结构化和平衡分析
很明显,阅读过前几章后,希望你能意识到直觉并不足够,也无法给法庭留下深刻印象——需要坚实的事实并且应通过逻辑分析来支持。必须努力寻找所有证据,单凭直觉可能不足以帮助缺乏经验的从业者发现隐藏和难以找到的证据。没有全面识别所有应被寻找的证据,可能会阻碍对关键事实的调查。这可能是由于从业者的无能或经验不足,或者由于缺乏时间和可用资源。
不对证据进行验证可能会毁掉案件,如果证据后来被成功质疑。我特别批评那些在追求将主要嫌疑人“框住”的过程中忽视有利辩解证据的从业者。将嫌疑人与可能构成罪证的事件联系起来(假设这些事件确实是罪证),是任何调查中的第一个障碍,这需要进行假设验证。即便这些事件构成罪证,也必须验证它们与嫌疑人之间的关系。
发展假设
例如,公司系统管理员进行的内部调查通常会导致一份较为非正式的报告提交给管理层,并且往往会导致证据被污染。这一常见现象困扰着法医调查,并在本章结尾的案例研究中得到了突出展示。关于设备或网络上可能发生的事件,通常是由调查人员、执法团队以外的人来提出假设或论点。
法医检查的结果可以在刑事或民事法院、某些法律听证会上,或者在内部纪律案件中提交给管理团队。领导行动的团队将提出一个由各种证据物件和论点支持的最终假设。在听证会之前,从业人员可能需要测试数字证据的每个假设,这些假设可能会被驳斥,或者需要证实以支持其有效性。一位真正的专业人士会寻找另一种假设或反假设,以测试哪一种更可能。
更精确的衡量和标准化证据的方法可能有助于从业人员、调查人员和陪审员决定证据的有效性。对于从业人员来说,始终保持客观是至关重要的。一旦数字证据被作为证据接受,常识似乎就会消失。
为某些类型的案件制定标准操作程序将限制人为错误的可能性,并且通常作为一般过程最为有效。当然,仍然需要为各种类型的案件制定一套必要的行动步骤。重要的是,证据能够独立突出并指向真相。从业人员应避免在审查过程中根据情况选择采取哪些行动,因为这可能被视为有争议的,非证据主导的,过于主观且倾向于寻求罪行。这也可能会错过线索,误解其他事实,而不是建立在一个坚实的框架之上。
建立论证模型
从业人员需要尝试回答的一个重要问题是,哪些属性是证据在特定调查背景下有效所必需的和/或充分的。这在一定程度上将依赖于以下因素:
-
数据的完整性,或确保证据未被故意或无意篡改,是一个主要关切。
-
必须具备认证信息的能力。
-
能够重现用于收集和检查证据的过程是另一个需要考虑的问题。
-
重要的是要知道,证据的扣押不会实质性地改变证据或其来源系统的状态。
-
可能还需要证明,只有与调查相关的信息被访问了。
图尔敏的论证模型
我是图尔敏论证模型的倡导者,并且发现它在图示形式下有助于向法律团队解释在案件不同层次上关于数字证据的论点。
图尔敏的理论定义了论证中的六个方面,这些方面在任何类型的论证中都是常见的,如下图所示,该图展示了一个论证过程,即嫌疑人明知自己电脑上有攻击性图像(该论证的支持点),但这一论点被数据和文件时间戳的不可靠性所反驳(对论点有效性的保留):
托尔敏图展示了验证证据有效性的简易性
一个有趣的网站提供了关于论证模型的背景和示例,网址是changingminds.org/disciplines/argument/making_argument/toulmin.htm。
该图是证据的简单表示,我用它来展示最终假设,然后每组证据可以在单独的图表中拆解,展示主张和保留意见(或反论点)的可能性。它要求从业人员以可视化的形式展示关键问题和普通人能理解的反问题。
数字证据验证的形式化
数字证据中的“验证”一词定义不清。我提供以下验证的定义:
“数字证据的验证是一个确保法院案件中呈现的数字证据是合法可采的过程,这意味着可以证明其是合法获取的;未经污染、相关,并且由于其情境性质,得到证实;并且其证明价值超过其偏见效应。”
目前没有现行流程指导数字取证从业人员验证数字证据的有效性,以确保其在法律程序中的可采性。我的持续研究和数字取证检查增强验证模型的开发,旨在使取证从业人员能够以关于证据项目的问题形式输入数据,并通过模型中嵌入的计算,得出证据可采性有效性的诊断。模型中包含了一个软件应用,结合了贝叶斯网络推理过程和基于数字取证检查中遇到的一系列案例研究和情境的数据存储库。
正式化验证过程的预期好处
原型模型隐含的功能是,它能够量化数字验证过程,并以简单易懂的格式提供从业人员用于诊断证据验证的测量值。具体来说,模型设计必须:
-
确保每项取证检查所适用的验证条件已经满足,特别是在检查和测试每一项证据有效性时的彻底性。
-
提供可靠的证据有效性测量,以确定每一项证据是否符合证据可采性条件
这里展示的原型模型旨在通过帮助取证从业人员更好地理解和明确他们自己的取证工具、流程和实践,来协助数字证据验证。具体目标包括:
-
开发数字证据验证的正式流程
-
将这一过程实施在一个实践模型中,供从业者使用
-
提供对证据有意义且易于理解的预判,帮助从业者并最终帮助法庭
-
在验证过程中最小化错误和证据误解
-
提供彻底的验证检查机制
-
通过提供更可靠的证据分析,并能够通过科学过程验证分析,减少冗长且昂贵的法律挑战的发生
基于设计的模型被认为对法庭和法律从业者有益,能够提供更可靠的科学证据分析。
选择的理由
在各种推理模型中,选择了贝叶斯网络模型进行实验。贝叶斯推理作为一种正式的推理过程,已被法医学专家用于帮助理解和解释法律案件中复杂证据的性质。它在解读存在不确定性的证据时特别有用,尤其是当证据的可靠性存在疑问时。贝叶斯模型对于理想法庭评估新证据项的规范性较强,并且比以往更加明确地区分了信息和意见。
法律辩护人和法官倾向于依赖归纳推理来基于支持事实发展和评估合理的假设。然而,法医学从业者在证据验证过程中使用贝叶斯概率论的好处,尤其是与法院的区别,仍具有一定的价值。
研究人员强调区分科学知识和司法判断的重要性和适宜性,因为前者可以通过贝叶斯概率论得出。诉讼律师和法官通常避免基于概率推理的统计学来解释证据的合理性,但是否有必要让法律从业者理解概率推理的基本原理?在数字环境中,使用这些过程增强决策者对证据最可能表明的内容的理解,可能会带来益处。
我的研究表明,这种模型为从业者提供了一个有用的验证过程,能够:
-
以结构化的方式浏览证据组,以识别需要验证的证据
-
测试并检查这些证据,衡量它们作为证据的有效性
-
提供易于理解的测量计算方法解释
-
提供有意义的有效性度量
-
作为新手从业者的培训工具
证据的合理性帮助法医专家提供他们证据的客观证明价值的评估。从中,陪审团或裁判员可以决定被告有罪或无罪的概率。贝叶斯定理基于概率或某事发生或成立的可能性。它可以用赔率来表示,例如预测印度在测试赛中战胜巴基斯坦的可能性。这些赔率不是随机的猜测,也不是基于证据线索的推测性猜测(如归纳推理),而是基于已知和可能的结果,通常能够产生比人类猜测更可靠的预测。
在法律案件中,试图证明有罪的证据的证明力度可以通过似然比表示:
当该似然比与决策者已知的其他证据的强度(先前的赔率)结合时,决策者就掌握了后验赔率。贝叶斯逻辑也可以类似地用于衡量可接纳性的似然比,如下所示:
在贝叶斯推理中,任何正在考虑的假设都必须具有某种成立的概率。如果基于附加证据的假设为真,那么就会有一定的概率观察到该证据;相反,如果该假设是假的,则有另一个不同的概率观察到该证据。
模型的概念框架
我的研究认为,每个证据对象的有效性必须在其被认为可以接纳之前进行验证。换句话说,支持某一状态事实声明的证据验证至关重要。这些数字证据(以及一般的间接证据)可接纳的条件可以定义为其法律可接纳性、其未受污染的状态、与当前问题的相关性,以及理想情况下,是否有佐证。描述这四个证据条件及证据与声明之间关系的概念框架如下所示:
模型的概念框架
因此,为了模型的目的,所有可接纳条件必须满足,即,如果证据在法律上可接纳、未受污染且相关,那么该证据可以被接纳,并且在适当的情况下,证据应当被独立佐证。在下图中,突出显示的可接纳条件及其相互依赖性如下所示:
可接纳性条件图示
原型模型基于需要验证的证据可采纳条件的子结构。每个条件的提议子集已包含在内,以概述模型结构,如下所示:
需要验证的证据可采纳性条件的结构
验证过程
需要验证的证据输入通过模型进行处理,基于对一组相关的、预定的问题的回应,这些问题以e1、e2等形式表示,存储在统计数据库中,如下图所示。证据输入是选择证据并准备进行质询的正式方式,建立在预设的测试和检查基础上。质询输入需要与预定事件和阈值的统计数据库进行比较,以衡量证据的可采纳性:
数字取证检查的增强验证模型
通过由嵌入式贝叶斯网络推理软件应用程序完成的计算,该程序利用统计数据库,模型生成一条输出声明,指出证据物品的有效性。统计数据库包含与正在审查的证据物品相关的广泛信息问题。这些问题要求有经验的证据证明,以表明它们及其相关的回答范围适合纳入统计数据库。可以基于证据物品是否满足特定的可采纳性条件来验证广泛的数字证据物品,输出结果或回应可以是简单的Yes(是)、No(否)、Unsure(不确定)、Discounted(已折扣)或Cannot Be Determined(无法确定)。
输出结果包括可供实践者理解的推理过程说明,以及对于如果提供的测量结果得出负面预期所需进一步调查过程的建议评论。
将贝叶斯推理应用于验证分析
本模型所展示的真正价值在于帮助验证那些存在一定不确定性的证据。模型的第一个条件——证据的法律可采纳性——是一个相对直接的组成部分,不像其他条件那样复杂,且没有明确的最终结果声明。这个相对简单的条件将在以下小节中描述。
法律可采纳性分析的相对简易性
在许多情况下,证据的有效性是明确证实的且没有争议的。证据的合法可采性要求遵循某些法律程序,允许扣押和检查证据,或者要求合法所有者授权获取该证据。除非在特殊情况下,通常需要确认证据是否合法获取,才能在审判中提交。证据扣押的合法性,例如根据搜查令扣押的手机,似乎很简单,前提是没有需要更严格遵守搜查令的特殊情况。
在电子发现过程中,搜查令可能会规定只收集特定数据,以保护数据保管人和用户的隐私。任何超出搜查令条款收集的证据可能会面临法律挑战。
这些合法授权的情况可以通过一个简单的决策树过程和流程图进行检查,通常会给实践者和法律代表提供正面或负面的结果。根据搜查令收集的证据合法性检查过程在以下图表中有所展示。该过程要求满足所有检查条件;否则,收集到的信息可能无法被采纳。实践者必须参考立法下的其他扣押形式以及所有者的许可,并应用类似的检查:
流程图:测试证据合法获取的条件
在这些情况下,并不需要复杂的软件过程,但检查其他可采条件可能需要一些结构化的指导。尤其是在确定计算设备上基于文件的事件的相关性时,正如下一小节中的示例所解释的那样。
更复杂的组件需要科学测量
文件与操作系统和应用程序系统之间的关系涉及复杂的动态,需进行仔细审查。对于数字证据有效性的更科学测量需求,在更加复杂或曲折的情况下尤为明显,因为数字证据的性质可能由于其特性而产生误导。
这些特性包括检查文件位置;时间戳;创建、传输和存储的前因;以及其他帮助重建设备或系统使用的事件,如软件和用户生成的事件。当将文件事件(或其缺失)关联时,这一分析变得更加具有挑战性,并引入了一定的不可确定性,这种不可确定性必须以某种方式被测量,以确定证据的有效性。
如果仅凭直觉和经验对这些复杂问题进行评估,可能并不正确。可能存在对基本事实的主观和权宜处理的倾向。关于相关性的解释,在不同的从业人员中也会有所不同,且很少有人或根本没有考虑测试他们的假设。当然,除了自己的组织或团队外,实际上没有任何中心化的资料库供从业人员查阅,因此,一些从业人员可能会表现出防御性自我中心的倾向——这显然不是理想的科学环境,但出于安全原因,可能不会分享此类案件细节。
例如,已经证明,基于网页的电子邮件消息相对容易伪造和替换,且通过一些基本知识,干预的证据也容易被掩盖。
如果为了突出模型,我们拆解其中一个可采纳性条件,例如证据的相关性,如下图所示,则必须检查七个已识别的子条件,以确定其相关性。例如,若以子条件r7为例,用户与事件之间的联系是明确的,不影响相关性。
存在许多可能的远程访问实例,应促使从业人员验证某个陈述是否成立。检查嫌疑用户与关键事件之间的关联可能需要检查,是否有其他用户通过物理访问、黑客攻击等远程访问方式,或通过如 TightVNC 等软件应用程序的存在访问计算机:
可采纳性条件——相关性
这些可能的远程访问实例可能表明,单一用户并未独占计算机的访问权限,因此需要更大的确定性来建立特定用户与违规证据之间的联系。在实践中,作为案件审查的一部分,从业人员应检查所有这些潜在的联系。为了说明这一过程,以下演示通过假设的情况展示了如何通过软件应用程序的存在来测量远程访问漏洞的可能性。
流程图如下所示,展示了检查应用程序和文件的过程,以确定在与违规行为相关的时间是否发生了其他用户访问。检查过程的不同结果有助于从业人员判断证据是否可采纳,因为发生远程访问的可能性很小。检查结果还可能表明,证据不太可能牵连到计算机所有者,因为其他用户的访问是通过远程访问得以暗示的。此过程还可能显示,其他用户访问的可能性不确定,或可能无法确定。
检查通过设备上安装的应用程序进行远程访问的过程
关键问题是远程应用程序是否在违规发生期间已安装并使用。从业者可能确认或不确认计算机上是否存在该应用程序,因为它可能已被卸载或删除且没有留下痕迹,并且日志文件可能也不再存在。如果无法得出结论,检查其他系统记录(如事件查看器和注册表)可能会揭示该应用程序以前的使用情况。任何显示应用程序在违规时或接近违规时启用了远程访问的迹象,都会引发未经授权使用计算机的可能性。此示例用于演示该模型处理推理输入并提供有用输出预后的能力。
在此选定的样本场景中,重要的是确定计算机上是否曾经存在远程访问应用程序。如果确认这一点,那么它可能对违规事件的性质产生的影响应该被视为理所当然地考虑。一个勤勉的从业者会检查应用程序文件的元数据,以确定应用程序是否在安装之前已经安装。如果确认先前已安装,那么重点将放在检查应用程序和系统日志,以确认该应用程序是否在违规时使用。
对应用程序运行证据的正面回应应该引发警觉,如果其他证据支持在违规时使用该应用程序,那么从业者应考虑计算机的其他用户活动。
如果能够确定应用程序在违规时未被使用,这将使从业者得出结论,认为此事不会降低证据的价值。此外,如果应用程序一直存在于计算机上且未使用,则不会降低其有效性。
然而,如果应用程序已安装,这将引起对其在违规时使用的担忧,并需要进一步检查。应用程序降低证据有效性的可能性增加,并且可能会被衡量,特别是当能证明它在违规时已被安装并使用时。如果其使用不确定,这将影响可能性比率,并具有不确定预后的含义。
如果其他证据支持在违规时使用该应用程序,则会呈现不同的可能性比率。正是这些问题的累积结果和所提供的输出测量值,使从业者能够深入了解所提出的含义,但有时,大脑需要额外的帮助。
确定先验概率
每个假设都有一个先验概率,即在任何证据被关联之前,该假设为真的概率,并且可以在任何时候进行修改。在假设远程用户通过在目标计算机上安装并运行远程访问软件来利用漏洞的例子中,设置先验概率是首要任务。
模型中的每个子类别都有不同的阈值,用以向专家展示不同的输出。
在试图确定是否存在远程应用程序来利用该设备时,可能会决定这种事件的发生概率不高或极不可能,其他的量表也可能会被选择,但仍然在合理预期的范围内。问题是,是否有远程应用程序允许外部攻击用户的计算机。实践者必须决定是否有发生这种事件的概率较低、极不可能、可能、最有可能等。所有的预测必须是合理的,并且在计算机上可能发生的范围内。
如果事件发生不频繁,可以选择一个较低的先验概率阈值 0.01,表示概率为 1/100。如果发生的可能性更大,可以选择较高的先验概率阈值,比如 0.1,表示概率为 1/10。较低的阈值意味着这种事件发生的频率较低,而较高的阈值则表示发生频率较高。
模型中嵌入了灵活性,允许根据刑事和民事案件的确定性标准进行调整,例如刑事案件中的“超出合理怀疑”或民事案件中的“平衡概率”。在刑事案件中,如果证据不能超出合理怀疑,那么被告应当得到怀疑的利益。
设置后验概率
下一步是根据不同假设来确定后验概率或后期概率。与此命题相关的有两个证据:
-
违规时远程应用程序是否在运行?
-
系统日志是否确认在违规时远程应用程序正在运行?
如果其中任何一个在运行,这将表明远程用户在违规发生时访问了计算机的概率(这可能是未经授权的黑客攻击,也可能不是)。我们可以将此概率设置为 0.8,即 10 次中有 8 次的概率。我们也可以将阈值设置为 1.0,这意味着当这些事件中的任何一个在违规期间发生时,就可以确定远程攻击已经发生。然而,没有确凿的证据时,无法预测这样的确定性。
在尺度的另一端,我们可以将其设置为 0.01,这意味着即使远程应用程序没有受到攻击,仍然有 1/100 的概率观察到应用程序在违规时正在运行。在测试样本中,先验概率分别设置为 0.1 和 0.01,以观察在计算这两个问题的输出时是否有显著差异。每个问题的后验概率分别设置为 0.8 和 0.1,因为这两个问题的重要性被认为相同,均用于确定远程攻击的可能性。
这些后验概率比率是基于以下认识计算的:如果这两个问题中的任何一个回答为肯定,那么远程攻击的可能性就很高;如果两个问题的答案都为肯定,则高度可能。更高的 0.8 阈值支持这一测量,而 0.01 阈值则被认为是代表了不应轻易忽视这一概念的事实。
模型根据这个问题提出了这些阈值:远程应用程序在违规时是否正在运行?在这种情况下:
-
如果远程应用程序在违规时正在运行,则观察到的概率为 0.8。
-
即使远程应用程序未被攻破,也会观察到在违规行为发生时应用程序正在运行的概率为 0.01。
它还会考虑以下问题:系统日志是否确认远程应用程序在违规时正在运行?在这种情况下:
-
如果远程应用程序在违规时正在运行,则观察到的系统日志显示的概率为 0.8。
-
即使远程应用程序未被攻破,也会观察到系统日志显示在违规行为发生时应用程序正在运行的概率为 0.01。
基于对是、否和不确定提示的完整响应范围,模型的输出如下表所示。如表所示,在使用 0.1 和 0.01 的先验概率比率时,观察到了一些差异。使用较低的 0.01 概率比率时,比使用较高的 0.1 阈值时,支持假设的范围或赔率较低。
以下九个输出报告包括:
-
假设是可能的:来自实例D的一个结果。
-
假设不确定:来自实例B、C、F、G、H和I的六个结果。
-
假设被否定:来自实例A和E的两个结果。
应用程序状态与赔率实例 远程应用程序在违规期间是否正在运行 其他系统数据是否表明远程应用程序在违规期间正在运行 先验赔率(后验赔率 0.8 和 0.01) 模型计算得出的赔率 远程应用程序攻破的预后 A 否 否 0.1 2 in 443 这个假设被排除 0.01 1 in 2,427 B 是 否 0.1 9 in 14 这个假设不确定 0.01 8 in 57 C 否 是 0.1 9 in 14 这个假设不确定 0.01 8 in 57 D 是 是 0.1 712 in 713 这个假设是可能的 0.01 66 in 67 E 不确定 不确定 0.1 1 in 100 这个假设被排除 0.01 F 是 不确定 0.1 53 in 59 这个假设不确定 0.01 17 in 38 G 不确定 是 0.1 53 in 59 这个假设不确定 0.01 17 in 38 H 否 不确定 0.1 7 in 319 这个假设不确定 0.01 1 in 491 I 不确定 否 0.1 7 in 319 这个假设不确定 0.01 1 in 491
检查远程访问应用程序是否在违规时运行
关于远程访问应用程序在违规时是否运行的结果分析,检查过程提供了不同的结果,具体描述如下:
-
这个假设是可能的:从这些结果中,执业人员会认识到,在一个实例(D)中,反映出两个问题都是积极输入的情况下,远程利用的可能性较高。
-
这个假设不确定:实例 B、C、F、G、H 和 I 应该让评估者意识到,是否发生了远程利用现在有一些不确定性。在实例 B、C、F 和 G 中,0.1 的结果显示支持这些假设的可能性大于反对,而 0.01 的结果则显示相反。其余实例显示使用任何可能性比率时对假设的支持非常小。结果的不确定性可以衡量,且有些结果偏向排除这些假设,尤其是实例 H 和 I,而 B、C、F 和 G 是更模棱两可的结果,暗示远程访问利用是可能的,但并未得到证明。
-
这个假设被排除:实例 A 和 F 表明这个假设极不可能。
提供给执业人员的注释,包括关于输入问题的重要性及一些背景信息,以协助检查和测试响应问题所依据的证据,也会包含在输出报告中。
以下是关于应用程序在违规时是否运行的样本说明:
注释
证据:应用程序在违规时是活跃的
问题:应用程序在违规时是否运行?
响应:是
注意:应用程序的操作日志可能提供确认,证明应用程序在违规期间是活跃的。检查 Windows 中的可用卷影副本也可能提供一些确认,证明应用程序在关键时刻是活跃的。
这是有关应用程序在违规时段运行的样本注释,基于系统日志:
注意
证据:其他系统日志确认远程应用程序运行
问题:其他系统日志是否确认远程应用程序运行?
回复:是的
注意:此信息可能来源于 Windows 事件查看器文件。Windows 注册表还可能提供额外信息。
现有的限制和范围
该模型处理的是展品的可接受性而不是其证据重量。证据的重量,包括其合理性,超出了模型的范围,是调查团队和法律从业者讨论和最终由陪审团决定的问题。
原型和其他模型的结果必须增强对数字证据物件有效性的复杂性和似然比的理解。这被视为增强从业者将其发现传达给他人的方式的一部分。
数字证据的呈现
有两种主要类型的专业人士在审判、询问或听证会上提供证词:
-
技术或科学证人证词
-
专家证人证词
数字取证从业者可能被要求扮演两种或两种角色。技术或科学证人提供调查过程中发现的事实证据,并描述发现的内容及其获取方式。专家证人基于经验对所观察到的内容提供意见,使用演绎推理来说明或检查的事实。
强调再次强调,在撰写报告或亲自作证时,从业者必须确保无论是有利于被告还是不利于被告的证据都被提供给对方。从业者在呈现证据时必须确保以下事项:
-
结论在技术上是合理的
-
证据坚实支持它们并且被适当地保留
-
已考虑到可能发现的任何有利证据
准备数字取证报告
在准备法庭审查报告时,重要的是力求清晰简明,并确保证据易于访问并正确交叉引用。报告应提出建议,包括预防事件再次发生的建议,并描述允许其发生的根本原因(如果有的话)。
在最佳状态下呈现证据,并逐步展示检查过程。此外,还应描述案件的优势和劣势如下:
-
首先和最后的最受欢迎的立场
-
中间的选择
-
在过程的背景下总结证据
-
在对方之前处理异常情况
-
如有结论,提出结论
-
提供得出这些结论的依据
-
处理其他可能的解释及其基础
-
清晰的结论,包括可理解和有理有据的推理
-
如果给定的信息有误或发生变化,结果和结论是否会改变
这里展示了一个样本报告大纲:
一个样本法医报告布局
它包含一个执行摘要,简明扼要地概述报告的目的、涉及的过程、恢复证据的分析以及其他关键事实。报告的主体部分提供了更详细的案件背景和法医检查的目标。
报告还应包括证据恢复过程,包括链条信息(如果没有单独的登记册)。然后,具体详细地描述检查结果,在这一部分的末尾进行讨论,并将其嵌入报告的相关部分。报告的最后包括任何建议和结论,并附上图表、表格以及相关文件的附件。
出庭
陪审团对从业人员的证据非常重视,这得益于《犯罪现场调查》。我们所有人都有责任帮助他们理解并不高估它。仅仅因为从业人员了解自己的专业领域,并不意味着陪审团和法律团队也能理解。
专家的基本规则是:
-
知识要扎实
-
永远不要低估律师
-
在回答问题前要先思考
-
诚实
-
结果并不重要
记住,从业人员应保持公正,并且需要证明:
-
使用的过程背后的科学原理
-
技术的过程或验证数据
-
使用的参考数据库及使用原因
-
他们计算统计数据和可能性比率的能力(为这些过程的必要性辩护,正如在验证模型中所述!)
从业人员还应实践以下内容:
-
使用简明的语言,避免行话。
-
保持在自己的专业领域内。
-
确保他们在相关特定事项上的研究是最新的,特别是当该领域不断变化时。
-
如果报告中存在错误,或从业人员在试验前改变了想法,需紧急通知律师。
-
如果从业人员在法庭上改变了想法,那就改变吧:要勇敢。如果真相要求改变立场,就要做好准备。
-
承认知识的不足或不确定性,并接受其他合理的提议。
-
如果问题不清楚或提出复杂问题,请要求重复并拆解问题——如果含义仍不明确,拒绝回答。
-
注意问题中的假设和误引,并确保所依赖的信息容易找到,例如在计算机上共享信息作为视觉辅助工具时。
-
尽量避免防御性反应。
-
对诸如“难道不可能吗?”的问题回答:“我没有看到任何证据支持这个说法。”或者“这非常不可能。”
-
留意模糊或多部分的问题。
-
为法官提问并准备接受进一步的交叉盘问做好准备。
-
保留初步笔记并在审判前复查。
-
标注笔记,带到法庭,并要求在作证时引用它们。
-
倾听、暂停、思考,仅回答被问到的问题。
-
说出完整的真相,不要对律师居高临下。
-
如果答案是“是”或“不是”可能引起误导,请不要仅仅回答这些——寻求法官的帮助。
-
在审判前向朋友练习。
-
不要表现得过于聪明。
-
不要争辩或失去重点。
-
不要试图猜测。
-
在各个案件之间保持一致性。
-
将每个问题视为案件中最重要的一个。
除非从业人员:
-
居高临下地与律师对话
-
显示明显的偏见
-
自负、失去耐性并变得防御性强
-
准备不足
-
提供令人困惑、难以阅读、杂乱无章的视觉辅助材料
法院和法律团队希望看到从业人员的资质,其中应包括:
-
你的职称和工作年限
-
在该领域工作的年数
-
进行此类分析的次数
-
资质,包括学术背景和培训课程
-
在数字取证过程和工具的能力上具备的技能和认证
-
职业经验
-
发表的文章
-
向专业学会作的讲座和报告
-
先前的专家证词,包括作证的法院类型
-
专业组织的会员身份
-
参加的研讨会/座谈会
面对数字取证从业人员的伦理问题
伦理学关乎对与错的行为,促使我们反思一个人在各种情况中应如何行动,尤其是当面临伦理困境时。通常,每种情况下,每一项行动选择都有令人信服的支持和反对论点。
除其他行为外,伦理行为要求:
-
诚实
-
公正
-
良好的声誉
-
一致性
-
良好意愿
-
勤奋
-
熟练程度
-
社区意识
伦理学是哲学的一个分支,研究人类与他人、动物、环境以及宇宙中所有事物之间的相互关系。它询问某个行为是否是:
-
好或坏
-
对与错
-
可接受或不可接受
-
善良或邪恶
伦理学实际上是很难定义的,不同的解释和环境使得尝试定义一个普遍意义变得复杂。我们每个人都可能从许多来源中衍生出个人的伦理观,包括家庭和文化、宗教或信仰、法律体系以及我们生活的地方。考虑到需要保持最高标准,在进行法医检查时的懒散和庸俗是不可原谅的。
从业人员将会经历一些考验其伦理标准的情况,正如以下案例研究所示。公正性和对法院的服务听起来可能有些陈旧,但当被迫放弃标准时,它却是一个坚固的防线。专家的首要责任是对法院,而非对委托方。
案例研究——假定未经授权使用知识产权
这个最近的案例研究展示了在检查过程中可能出现的一些问题,并提供了一些避免常见陷阱的建议。
案例背景
这是一起涉及员工的工业间谍案件,员工涉嫌窃取雇主的知识产权。当监控录像显示员工在下班后两个小时仍在工作站上时,产生了怀疑——这种行为对员工来说非常不寻常。对监控录像的审查显示,画面中部分可见员工的笔记本电脑,并且可以看到桌面上文件的打开。
对公司的服务器进行检查确认了在与 CCTV 监控录像同时,下载了一些文件,包括图像、电子表格以及一些文本文件。服务器日志还显示了服务器与笔记本电脑上的电子邮件账户之间的同步。雇主得知员工将加入竞争公司及其他有关其不忠的传闻后,员工的服务在 3 个月后被终止。
在员工离职之前,公司悄悄地在笔记本电脑(公司的财产)上安装了一个应用程序,用于监控感兴趣的浏览活动。此举的合法性存在疑问。员工离职后,IT 管理人员对笔记本进行了检查,寻找可能证明员工有罪的信息。他们安装了各种应用程序试图恢复已删除的文件,但未能成功。此时,寻求了法医专家的服务,希望通过寻找证据来决定是否有足够的理由向警方提出投诉。
法医恢复
随后对笔记本进行了检查,但无论是通过启动还是移除硬盘,均无法获得硬盘的物理镜像,这个过程显得繁琐且有一定风险可能损坏设备。理想情况下,物理镜像能够恢复已删除的数据,但此次情况下,并不能保证安装在固态硬盘上的设备特有的操作系统能提供更多的证据。
不是所有设备都能够通过启动过程进行恢复,设备移除(如果可能)应作为最后手段。建议在一个特别配置的外部硬盘上安装 ISeekDiscovery,以便捕获设备的逻辑镜像,但由于插入硬盘可能覆盖附加硬盘日志,因此对此表示担忧。
公司法务团队被告知,证据可能会有些许污染,但由于设备已经被其他人员访问过,损害已经发生,法医过程不太可能进一步污染数据。已获得许可继续提取数据,且已按程序完成。
法医检查
检查恢复了一些数据,并作出了以下观察:
-
确认在服务器下载发生的下班后期间,笔记本电脑处于开启状态。时间与其他证据相符,这些证据与员工在办公室工作场所的身体存在有关。
-
找到了一些图片文件的位置,这些文件与从服务器下载的信息有些相似。从笔记本电脑中恢复的一些图片文件名与服务器日志中记录的文件名似乎完全相同。
-
笔记本电脑上还找到了其他一些看似属于组织的知识产权的图片文件。
-
服务器日志中记录的多个相似文件名在笔记本电脑上找到了,但时间戳不匹配。
-
服务器日志中记录的多个文件名在笔记本电脑上未找到。
-
笔记本电脑上找到了多个电子邮件和日历文件,且这些文件似乎与组织的业务相关。
-
设备上有一些克隆软件的证据,表明有组织财产被复制。
将嫌疑人与设备以及设备与服务器的联系
IT 管理员无法确认服务器日志中记录的文件是否通过员工的笔记本电脑进行了打开和访问,依据是服务器日志中显示的 IP 地址。根据 IT 管理员的说法,这是在员工登录服务器时,分配给多个员工的 IP 地址。然而,尽管进行了大量搜索,笔记本电脑上没有找到该 IP 地址的任何痕迹,这很可能是在员工离职后,设备退役过程中被删除的。IT 管理员还确认,除了 IT 管理团队外,没有其他员工有权限远程访问服务器。并且确认了 IT 管理团队未曾访问过服务器。
还建议保留访问日志的备份副本作为潜在证据。办公室的监控视频显示了员工在工作场所的身影,而不是显示建筑物的监控视频,视频中显示其他员工已提前离开。笔记本电脑没有显著的标识特征来确认它就是监控视频中显示的那一台,尽管可以看到疑似员工正在使用其键盘。笔记本电脑上没有任何记录表明与服务器有连接,除了通过电子邮件同步和公司拥有的数据之外,这些数据后来通过搜索词被识别出来。
对该日期恢复的其他数据表明,员工的电子邮件账户曾用于发送和接收工作消息。这建立了员工、笔记本电脑与服务器之间的合理联系,且难以反驳。然而,确认文件被下载到笔记本电脑并在未经授权的情况下使用并不那么简单。
分析下载的文件
在笔记本电脑上仅恢复了部分已下载的文件,并且时间戳与下载时间不匹配,有些时间戳早于,另一些则晚于服务器记录。同样,日志中显示的任何同步服务器电子邮件也未在笔记本电脑上找到。
连接的存储设备
在 IT 管理员人员安装数据恢复设备到笔记本电脑之前,未检测到任何关于外部设备连接的信息,如 U 盘或外部存储设备。这些信息有助于确定是否使用外部设备复制了公司的数据。
这种连接日志缺失可能归因于以下因素:
-
操作系统未保持完整的附加设备列表,类似于 Windows 系统。
-
IT 管理员团队在法医检查之前附加外部设备,尝试恢复已删除的文件并检查笔记本电脑。这会导致覆盖并删除任何早期的日志事件。
-
在涉嫌违规事件发生和员工离职之间的三个月期间,系统可能还记录了连接的设备,但这些事件可能已覆盖任何相关的早期连接记录,并很快发生了变化。
-
日志可能已经被手动删除,但这需要一定的存在知识和技术技能。
-
USB 端口位于键盘的左侧和右侧,靠近屏幕。显然,根据监控录像,没有报告发现任何连接的设备。
笔记本电脑未配备 micro-SD 卡槽,因此该数据传输过程不可用。或者,如果图片和其他文档如电子表格和 PDF 文件曾出现在桌面上并随后被删除,如果它们已被删除并从回收站中移除,恢复这些文件的可能性很小——简单来说,证据并不存在。
非法复制数据
在涉嫌违规后,克隆应用程序的安装文件位于笔记本电脑上,且早期浏览记录与该软件网站有关。该应用程序会对笔记本电脑进行克隆,这意味着如果它被使用,将允许用户保存完整的数据记录,以便未来可能使用。通过这种过程保存的数据可以让用户在另一台机器上重新安装数据并使数据可用。目前无法确定该应用程序是否用于克隆设备;然而,存在这种可能性。谁加载并安装了该应用程序尚未确定,且这可能不是员工所为,因为笔记本电脑的数据完整性在法医检查之前,已在某种程度上受到工作人员操作的影响。
结果
有一些证据显示员工最有可能持有公司财产,并利用该财产来私下谋取商业机会。是否这些信息足以证明盗窃或知识产权滥用的案件尚不确定,但实际上,这并不是从业者所关心的问题。为什么在这里呈现这种不起眼但并不罕见的案件,是因为它让公司形象受损,并突显了从业者面临的一些挑战:
-
客户是以怀疑为驱动,基于八卦和暗示在初始阶段就已决定员工有罪,而从业者则是证据驱动且保持中立。
-
客户期待这些怀疑得到确认,但当证据部分不明确且不具决定性时,感到失望。
-
证据在某种程度上证实了这些怀疑,但仅限于此,案件显得薄弱,客户期待法医提供更多的辅助证据——有时确实如此;有时则恰恰相反。
-
客户要求将有关证据污染的评论从从业者报告中删除。由于伦理和程序原因,这一要求被拒绝,客户被严厉告知,从业者是法院的仆人,而非客户的仆人,并且不是一个可以受客户操控的调查员。从业者的这一拒绝得到了客户律师的支持。
-
在这个特定法域内,安装网页浏览追踪应用程序是否合法存在一些疑问,这需要法官的授权令。
亲爱的读者,请思考一下,如果从业者未能作出全面且诚实的说明,法律团队本可能会继续推进,准备起诉或诉讼,并且有合理的机会通过威胁迫使员工承认某些责任和罪行。
如果从业者妥协并删除了污染信息,外界会怀疑客户可能通过一个看似合理的案件进行拖延,试图让员工承认怀疑中的违规行为。但一旦从业者迎合客户的意愿,便会陷入堕落的滑坡。通常,反方法律团队会发现并未做出全面和公开的证据披露。这可能导致案件被法院驳回,并且从业者的声誉受到损害,甚至可能是永久性的。
总结
本章描述了不可靠的数字证据问题、在进行法医检查时需要保持公正性,以及一些常见的陷阱,这些陷阱通过草率和偏见的检查降低了数字法医的价值。
结构化和平衡分析的迫切需求被概述,同时还强调了验证证据的必要性,以确定其在法律程序中提交时的相关性和真实性。该过程强调了测试和检查证据的重要性,以确保其与声明一致。这包括对所收集证据的更结构化分析的讨论,包括根据法医标准发展和测试假设以及反驳论点。
提出了一个验证的原型模型,旨在帮助实践者处理复杂证据,其中通过一个示例场景展示了测试和检查数字证据的过程。证据报告的呈现和法院出庭也得到了简要讨论。
在案例研究中概述了伦理问题,并强调了选择和分析证据的重要性,同时强调了在选择证据时保持公正性,以确保法院的期望得到满足。
第十章,赋能实践者与其他利益相关者,将总结书中涵盖的主题,讨论影响实践者和利益相关者的趋势,并强调以更务实的方式管理可能在法律听证中依赖的数字信息的必要性。它将描述通过更好的流程赋能数字取证实践者和其他利益相关者的方法。我将重点介绍数字取证实践中的趋势,以及采用更好策略来管理日益庞大和复杂数据集的需求。同时,还将介绍增加利益相关者意识和提高他们管理所托管的数字信息能力的流程、工具和法医应急策略。
第十章:赋能从业人员及其他利益相关者
本章将回顾本书的关键内容,并强调当前挑战从业人员的议题。我们将涵盖以下主题:
-
数字证据的演变与从业人员角色的关系
-
针对新硬件和软件所带来的挑战的解决方案
-
更有效的证据恢复与保存
-
增强的证据选择与分析工具
-
通信媒体和云计算带来的挑战
-
有效证据处理与验证的需求
-
应急计划
本章还将讨论提高利益相关者意识并在其信任下管理数字信息的能力的过程、工具和取证应急策略。
数字证据的演变与从业人员角色的关系
这是一项真正令人兴奋且充满回报的职业——结合了调查员的技能、律师的智慧和计算机分析师的知识。能够就检查结果向法律顾问或调查团队提供建议,将从业人员置于一个独特且特权的位置。
无论结果如何,从业人员的建议都不容忽视。检查结果往往显示很少有有价值的信息;在许多情况下,根本没有任何可恢复的内容。然而,客户和律师常常会说,这次调查是有意义的,因为它可以被排除,并且证据搜索可以集中在其他地方。根据雇佣从业人员的一方,有时能够找到有助于定罪或无罪释放的证据,这同样令人高兴。
从业人员并非在真空中工作。他们遵循标准流程,并通过案件经验和法院判决制定自己的流程。问题在于这些标准是否足够充分,是否容易理解并在实践中应用。实践者不断更新自己对新兴应用和设备的知识。积累专业知识对他们来说是一段探索之旅。
第三章,数字证据的性质及特殊属性,介绍了使用像 ILookIX 这样复杂工具从设备中恢复数据的过程,并描述了数字证据的性质:它可能在哪里找到、如何恢复以及如何在调查中使用。那一章浓缩了大量信息,足以填满一本书。可以说,理解数字证据的特性是进入这一领域的前提。此外,数字证据并非静态:新的文件类型、应用程序、操作系统、存储库、通信网络和处理过程以惊人的频率涌现。
从业者必须跟上这些趋势,但很少有相关的出版物或共享信息,导致每个人都需要自行探索新的格式和流程,并确定恢复和处理证据的最佳方法。发现的交流缓慢而繁琐,通常仅限于出版物和评审,且在同行评审后,通常需要很长时间才能发布,或者被做成快速的博客文章但没有经过适当的审查,或者由于保密和隐私问题被“保留在公司内部”。本书并未对数字证据提供百科全书式的覆盖,但涵盖了该学科的一个相当广泛的领域。
从业者需要能够解释数字证据的属性及其在加重案件证据中的作用,但必须确保其符合可采性规则。解释证据的可靠性和真实性,并能够提供一些佐证,帮助法院评估其价值,不仅仅是选择和展示证据,因为从业者的职责是解读并解释证据和元数据的完整含义,并向外行解释其可能的意义。
随着学科的发展并希望逐步成熟,从业者将是这场变革的领军者,但如果他们不进行研究和分享任何知识,那么这对他们来说将是一项艰巨的任务。并非所有从业者都有时间,即使他们有分享发现和经验的意愿,而且如前所述,也有保密要求。第九章,验证证据,介绍了一个证据验证过程,对于新手从业者作为培训工具,以及对于经验更丰富的从业者作为导航工具,采用这样的流程可能会有价值。随着新问题的出现,该过程可以进行更新,并用于其可采性检查设计之外的其他用途。
新硬件和软件所带来的挑战的解决方案
第二章,硬件和软件环境,描述了不同的操作系统和文件系统,并介绍了定位潜在价值证据的过程。文件系统变得极为复杂,可能有些不必要地复杂,但正因如此,它们保留了过去可能被删除的违纪行为的信息。挑战在于知道该从哪里寻找——前提是从业者知道如何导航新操作系统和应用程序。
传统的成像-索引-搜索过程或成像并手动搜索的方式,已经变得不可持续;其庞大的数据量和复杂性不仅耗时,而且并非总能保证定位到证据,很多情况下只能靠运气。虽然“深度清洗”分析总会有其必要性,但更有效的方式已经出现。我的研究和实地工作表明,尽管很难放弃这些熟悉的过程,但确实存在一种更好的方式来恢复潜在的证据。
ISeekDiscovery 自动化工具目前正在修改中,以便除电子发现外,还能用于刑事调查。该自动化工具能够恢复删除的文件和注册表文件,并收集所有特定的文件类型。多个刑事辩护案件已使用 ILookIX 和 ISeekDiscovery 进行了测试,恢复率很高,但 ISeekDiscovery 能够精准捕获所需的数据,并且在数据恢复后的目录整理和处理方面更为高效。
尽管传统工具可以对文件进行目录整理并零消除重复文件以减少数据集,但它们无法与自动化工具在短时间内搜索并返回结果的能力相比,也无法进行基于初步分析的后续搜索。将其应用于电子发现和网络环境中时,自动化工具可以远程启动,结果也可以安全地远程查看并提取到法律过程团队中。这样可以节省时间、旅行成本、昂贵的专业人员费用,以及解决系统中固有的挑战。这使得执业者可以更快速地访问和分析证据,并将更多时间投入到证据分析中。
更有效的证据恢复和保存
看起来可以肯定的是,随着新技术的挑战和从不断增长的大型复杂数据集中恢复证据的能力,这需要一种务实的证据恢复方法,而现有的刑事和电子发现法医工具并没有达到这一要求。依我看,它们已经是过时的流程,实际上并未提供快速证据分析所需的支持。本书介绍了保存数字证据的新技术和流程,使恢复变得更快速、更可靠。
驱动器的成像是大多数刑事调查中从台式机、笔记本和联网计算机收集数字信息的传统方式。手机和其他手持设备需要不同的数据提取过程。对于电子发现来说,由于需要从联网系统中寻找证据,成像变得不切实际,使用复杂的软件对庞大的数据集进行索引和复制已成为常规做法。
现有技术的图像处理并未提供最好的保护措施来保全收集的证据。手机提取往往只捕捉逻辑数据,现在很少能恢复需要更深入分析的物理数据。电子取证对于许多组织来说,已经变得过于昂贵,涉及时间、专家和网络中断,且使用现有的数据恢复工具并不理想。
从平板电脑甚至某些桌面设备中提取数据正变得越来越困难,原因在于系统加密和设备启动时的困难。这些问题正成为常见的障碍,使得从这些设备中恢复数据变得困难,有时甚至是不可能的。我的研究同事们不断寻找克服这些障碍的方法,但遗憾的是,这个学科通常在新设备和系统的推出方面落后了一些。
我所提出的工具,包括 IXImager 和 ISeekDiscovery 套件,能够安全且便捷地保存证据。.ASB取证容器格式是唯一的取证图像类型,它被安全地存储在一个容器内,容器自认证且防篡改。这个过程给执法人员带来的安心感是,记录保管日志有来源:其真实性可以被验证。
同样,ISeekDiscovery .ISK 格式是一个安全的存储库,具有可移动性,不会在系统中留下数据痕迹,与传统的电子取证数据集相比相对较小。这些工具的处理过程不仅安全可靠,而且体积更小,采用压缩格式,在.ISK存储库的情况下,所需的存储空间大大减少。
通信媒介和云计算带来的挑战
显然,手机和其他手持设备是台式机和笔记本电脑的竞争对手,因为它们便携、相对实惠且易于使用。由于外部存储介质的紧凑性以及将更多个人和组织数据存储在远程服务器(如云端)的趋势,存储大小不再是使用这些小型设备的障碍。
这引发了若干场景。那些司法管辖区对存储或传输到这些设备的私密数据没有保护措施的国家,可以随意访问私人数据,主要问题是加密数据恢复的困难。其他司法管辖区更注重公民的隐私权,但仍面临从加密设备中恢复证据的问题。目前,这一学科可能正处于一个转折点,数据存储正转变为远程网络中心,这些中心的访问比过去更加不便,显然也无法进行图像处理!
移动电话本身给取证恢复带来了障碍,增加了执法人员的普遍沮丧感,因为他们无法访问隐藏在设备中的证据。
手机证据恢复
从 Apple iPhone 恢复数据尤其几乎不可能实现。Android 及其他操作系统也正朝着同样的方向发展。新的机型和版本使得除非输入密码或 PIN 码已被解码或由设备所有者提供,否则几乎不可能恢复这些手机的逻辑提取——这通常并不是一个可行的选择。对于 iPhone 和 Android 设备而言,恢复包含已删除数据的完整物理转储的时代已经一去不复返。
我一直在评估一些手机取证恢复工具,但似乎没有哪一款能接近解决这个问题。令人失望的是,供应商对取得这些设备访问权限的进展异常沉默。我的研究同事们正在努力寻找解决方案,以解密其中一些设备并恢复可以通过 ILookIX 和 ISeek 处理的物理转储。例如,ILookIX 已经能够从 iPhone 4 恢复约 60%的额外数据,而其他移动取证工具无法做到。希望这种恢复成功能够扩展到新版本的 iPhone。因此,亲爱的读者,请关注最新进展,特别是在 FBI 与 Apple 关于访问 iPhone 的争端之后。
云计算 - 对用户来说非常方便,但对从业者而言却是一个问题。
通过正常的访问协议,用户可以访问云资源以恢复数字证据,即便这些资源并不属于该用户。然而,识别数据从源存储设备到目标存储设备的路径并不是一件简单的事情,这条路径也可能不固定。此外,数据的所有者通常无法对存储数据的服务器进行物理控制,这使得所需的数据映像变得复杂,且数据可能存储在不同的司法管辖区,可能需要跨区域旅行和额外的资源。这也意味着,数据被非从业人员访问和恢复,而这些人可能对应该恢复哪些数据缺乏足够的理解,并且在保护证据的可采性方面可能不可靠。
一种更可行的替代方案是使用 ISeekDiscovery 自动化工具远程恢复数据,该工具不具侵入性,可以远程启动,安全性高,并能分离数据以确保遵守法院命令和搜查令,与传统的恢复过程相比,后者通常需要将服务器停机长时间,并且可能具有侵入性,甚至可能污染证据和其他数据。
有效证据处理和验证的需求
本书介绍了一系列数字取证工具,并介绍了一些用于恢复、保存和分析潜在证据的低层次流程。第九章《验证证据》提出了一种验证数字证据的候选模型,这可以视为帮助从业者在映射分析过程、导航数字证据数据集和图像时开发模型的基础。证据的测试和检查至关重要,但有时只是在口头上得到了重视。
Adams(2012 年)的研究为刑事和民事环境中的数字数据取证提供了一个正式且及时的通用模型,特别是在不断发展的事件响应领域。由于该学科所有领域缺乏统一的标准模型,这一问题令人困扰,而先进数据获取模型(ADAM)为从业者提供了诸多值得推崇的优点。
ADAM 包含以下关于证据获取的严格要求:
-
从业者的活动不得改变原始数据。
-
必须保留与原始数据和任何原始数据副本的恢复和处理相关的所有活动记录,包括遵守适当的证据规则、保持链条记录,并进行如哈希验证等过程。
-
从业者不得从事超出自己能力或知识范围的活动。
-
从业者在进行工作时必须考虑个人安全的各个方面。
ADAM 模型包括三个数字数据获取阶段:初步规划阶段、现场调查阶段和数字数据获取阶段。该模型旨在为法律听证会中的获取过程提供清晰的展示。关于这一创新模型的更多信息可以在这里找到:
researchrepository.murdoch.edu.au/14422/2/02Whole.pdf。
应急规划
战略商业管理识别处于风险中的资产并预测威胁。审慎的组织预测风险,并提前建立应对流程以减轻威胁,或在安全漏洞发生后更好地管理后果。一个组织的 IT 团队通常负责对电子信息进行威胁分析,并实施威胁最小化和管理流程。他们的主要角色是恢复电子资源和网络在安全漏洞后的功能,包括物理和人员安全。
管理人员和 IT 人员在调查安全漏洞、犯罪事件和人员不当行为方面的参与度日益增加,如第九章中所呈现的案例研究《验证证据》中所述,验证证据,然而他们通常缺乏保存和恢复证据的经验和能力。
商业经理和非法医从业者面临困难,他们往往是数字证据的无意保管人,后者在法庭上被依赖。组织通常不了解数字证据的复杂性以及如何在不改变其完整性的情况下定位和恢复它。如果没有为最终需要保存数字证据的事件做好准备,组织就很难在最佳利益下处理证据。
亲眼目睹了组织在处理涉及数字证据恢复的事件时缺乏准备,并且这种情况经常发生,我在此指出,那些拥有法医应急预案的组织在事件发生后恢复得更快,并且更有可能追究违法者的责任。对于大大小小的组织来说,除了安全事件应急预案外,制定某种形式的法医响应预案真的是一种明智的策略。虽然现有的风险评估标准可能有用,但它们通常不包括数字法医响应。
在民事电子数据发现案件中,缺乏应对发现要求的准备可能会导致高昂的成本,并且破坏组织的信息管理常规。有一些软件程序可以预见到发现的可能性,这有助于简化发现搜索过程并在一定程度上降低成本。
这类程序对于小型企业来说并不总是负担得起,或被认为是必要的。在电子邮件搜索的发现过程中,双方都需要付出高昂的费用,在莫妮卡·莱温斯基案件中,搜索相关电子邮件文件的费用超过了 1700 万美元。毫无疑问,如果调查人员能使用 ISeekDiscovery 自动化工具,这个费用将会大大减少!
强烈推荐某种形式的务实法医应急预案,可能包括以下内容:
-
应急预案和负责研究、维护和测试该预案的团队任命
-
使用计算机事件响应团队(CIRT)提供专业调查和响应,以调查安全事件并恢复和保存数字证据
-
提高标准和问题意识
-
维护紧密配置的网络安全以保护信息资产和潜在的数字证据
-
由数字法医从业者验证系统和数字证据的安全配置
参考文献
Adams, R. 2012. "高级数据采集模型(ADAM):数字法医实践的过程模型。" 默多克大学工程与信息技术学院,博士论文。
摘要
本章总结了书中提出的关键主题,并回顾了影响从业者和利益相关者的趋势。
实用数字取证 通过将数字取证学科介绍得如此清晰,部分解开了其技术上的神秘感,使你能够更清楚地理解该学科的基础知识。案例研究贯穿整本书,并通过分析示例突出关键的恢复和分析流程。
本书强烈支持在法律程序中管理数字信息时采取更务实的方式。它描述了通过更好的流程和取证工具,如何增强数字取证从业人员和其他相关方的能力。
出现的新取证工具,特别是 ILookIX 和 ISseekDiscovery 自动化工具,正在帮助从业人员更高效地进行取证检查,这些工具使得从业人员的工作更易管理、产出更具成效。
这是一次"原汁原味"的学科介绍,因为如果不提及从业者面临的一些重大挑战,那将是不公平的。这不是一项职业,它是一种使命,尽管存在挑战,但它也能带来丰厚的回报。我希望你们中的一些人能从本书中获得启发,并鼓励你们将数字取证视为自己的真正使命。对于有经验的从业者,我希望这些页面中的内容能够引起共鸣,并为你们提供新的工具和流程的视角。
我和我的同事们对一些从业者缺乏专业性表示失望。无论这是否归因于傲慢、无知、自满,或其他原因,他们显然没有作为法庭的服务者行事。正如在第九章《验证证据》中所暗示的那样,验证证据,谁出钱谁不应主导—从业者需要对比客户和雇主更高的权威负责。本书的目标是通过呈现增强从业者专业性的流程和工具,为数字取证领域的文献做出积极贡献。
然而,一个令人遗憾的事实是,数字取证学科的成熟度较低,其中包括对标准和问责制的自满——这一问题在政府和私人组织中尤为普遍。如果本书未提及这些缺陷,那么它无疑会过分美化该学科的现状,尽管大多数从业者的工作非常积极,且新兴的流程和工具也带来了许多好处。
为了强调这一点,最近有一个案件,我的一位同事在为辩方法律团队工作时,被指派验证一政府机构秘密录音的音频文件。这位同事是一位经验丰富的取证从业者,曾在多个政府取证团队接受过培训并工作过,他发现这些音频文件并非原始数据,而是由数据归档软件生成的副本。拥有原始数据对于检查音频是否在恢复后有任何可能的篡改至关重要。
在政府代理人拖延了数月之后,并且一再坚持提供的数据是原始数据时,他们最终承认这并不是原始数据,尽管之前曾保证与原始数据相关的哈希日志是有效的,实际上并非如此。此外,代理人无法提供任何关于哈希日志真实性的来源证明,这与第四章中描述的恢复与保存数字证据的.ASB取证容器文件所提供的取证图像容器保护不同。显然,代理人对复制的数据进行了哈希处理,而非原始数据,这让数据的完整性产生了疑问。看起来这些代理人要么不知道,要么不关心,或者因为某些不明原因撒谎关于数据保存和恢复过程。
一个验证测试,例如第九章中描述的验证证据,用于测试成像或保存过程的完整性,显然没有被应用。令这位从业者真正感到震惊的是,其中一位代理人的一句话,他显然对证据被如此挑战感到恼火,表示:“我们不是被雇佣来做取证分析师的——我们只是收集情报。”
本书突出了数字取证实践中的趋势,并呼吁更好的策略来管理日益庞大且复杂的数据集——考虑到上述代理人的爆发,这显然是必要的!
从事这一职业的人员以及考虑加入该领域的人不应过于沮丧于这些反复出现的不良实践示例,因为这是一项非常有回报的学科,尤其是在获得因出色工作而受到认可时。找到并分析那些来之不易的信息所带来的成就感,增加了从业者的经验,这也为他们打下了坚实的基础。这项学科需要新的血液,要求提问并质疑一切,而不是满足于现有的“足够好就行”这种观点。最重要的是,必须始终记住,像其他职业一样,从业者的学习永远没有完成的时候。
浙公网安备 33010602011771号