下面谈谈数字取证技术发展面临的一些新问题。根据欧盟2019年的官方文件,大约85%的刑侦案件涉及电子证据。因此,如何科学有效地进行数字取证,对于现代法律体系的建设和完善具有至关重要的作用。然而,互联网行业的蓬勃发展给当前的数字取证领域带来了新的挑战:一方面,随着云计算、物联网、区块链等新兴数字技术的出现,处理能力多样化的电子数据源发生了变化。另一方面,反取证技术的不断发展,大大增加了证据提取和分析的难度。数字取证是取证科学的一个分支,主要研究电子数据的处理和分析,是发现、获取、分析和报告可疑电子证据的过程。数字取证通常遵循以下基本流程(如图1所示):首先,取证调查人员搜索并扣押可能涉及刑事案件的电子设备;侦查人员可以获取相关电子证据,并以此重构刑事案件的全过程;最后,取证调查人员将调查过程和可疑的电子证据整理成一份完整的报告,提交给检察官。图1电子数据取证流程电子证据是数字取证的基础,与取证流程密切相关。电子证据是指在计算机、智能手机等数字设备上形成的能够反映设备运行状态和活动情况的各种电子数据,如系统日志、网络流量、音视频文件、电子邮件等。电子证据来源丰富多样。早期的电子证据主要是从电脑、智能手机等设备上收集的。然而,随着新型犯罪的频繁发生,大量新的数据源加入到数字取证领域,如云计算、物联网、软件定义网络等,给数字取证带来了新的挑战。数字取证领域。除了新的电子证据来源,新的犯罪活动中电子设备种类繁多,各种技术手段日新月异,增加了取证分析的难度。在取证阶段,易失性数据的存在往往会导致有效证据的丢失,设备的物理损坏以及全盘加密技术的使用使得取证过程更加繁琐。在证据分析阶段,数据来源多样,数据伪造、数据隐写、全盘加密等反取证技术不断发展,对取证人员提出了新的技术挑战。本文将重点关注数字取证领域的新挑战:第1部分主要介绍各种新的电子数据来源;第二部分分析了当前数字取证领域电子证据获取的难点;第三部分介绍了取证人员在证据分析阶段面临的困难;第4部分介绍了其他非技术问题。1、电子证据的新来源在新型犯罪中,犯罪分子利用新兴技术攻击各种产品,留下各种数据痕迹。本节将介绍云计算、物联网、软件定义网络等新技术经常面临的威胁,以及数字取证在此类犯罪事件中重点关注的电子证据类型。1.1.云计算(Cloud)作为当前蓬勃发展的新兴技术之一,云计算正在逐步取代传统的本地计算方式,以更快捷、更灵活的方式为用户提供计算机资源交付服务。随着对云服务的需求不断增加,云已经发展成为一个巨大的数据仓库。攻击者通过在云端挖掘信息获取云端用户的隐私信息,并发起勒索。此外,攻击者还利用云计算的能力发起分布式拒绝服务等攻击,利用云来隐藏自己的行为。在云取证中,取证人员通常会提取虚拟机快照、网络日志、客户端数据等电子证据进行分析,以将不法分子绳之以法。1.2.物联网(IoT)智能家居、医疗物联网设备、无人机和车联网等物联网设备空前流行,为个人、企业和政府提供了许多便利,同时也成为攻击者的目标。目标。攻击者利用物联网设备发起病毒攻击、大规模监控、拒绝服务攻击、物联网网络中断等攻击。为了调查这些攻击,物联网取证应运而生并不断发展。在物联网取证中,与安全事件相关的电子证据来源广泛,其中主要来源是家电、传感器、汽车、无人机等物联网设备中存储的系统日志、临时缓存等数据。此外,取证调查人员还可以收集和分析来自路由器和交换机等网络设备的数据或来自物联网设备使用的云服务的数据,以发现相关电子证据并再现网络攻击的过程。1.3.软件定义网络(Software?Defined?Network,SDN)SDN是一种新的网络架构,将数据层和控制层分离,使网络控制开放和可编程。SDN网络包括基础设施层、控制层和应用层的三层架构。攻击者通常使用拒绝服务攻击来攻击基础设施层,或者伪造数据包使控制层内存过载,或者利用北向接口漏洞创建恶意SDN。控制整个网络的策略。在一次SDN攻击事件中,取证调查人员需要分析大量数据,如应用日志、接口通信记录、主机配置文件、可疑链接、恶意数据包、网络流表等。1.4.GraphicsProcessingUnit(GPU)GPU广泛应用于图形处理和大规模计算工作,显着提高了很多应用程序的运行速度,例如比特币挖矿、金融和科学计算、密码破解等。但是,近年来,研究发现,部分恶意软件可以利用GPU进行恶意操作,如窃取本地敏感信息、解包执行恶意代码等,可以有效规避恶意软件检测分析工具。虽然通常可以通过分析系统内存中的信息来检测使用GPU执行的恶意软件,但在某些情况下,恶意软件的执行不会在系统内存中留下痕迹,因此取证调查人员仍然需要获取和分析GPU内部的数据。图2电子数据取证数据来源1.5.智慧城市近年来,智慧城市技术被广泛应用,以应对日益发展的现代城市所面临的棘手问题。例如,MKSmart是英国的一个智能城市项目,它有一个名为MKDataHub的中央基础设施。MKDataHub数据中心包含来自不同来源的801个数据集,包括能源消耗数据、交通数据、卫星数据、社会和经济数据以及来自社交媒体或应用程序的众包数据。这些数据是智慧城市项目的核心,自然引起了攻击者的注意,他们长期以来一直面临数据中心物理和网络安全的威胁。在智慧城市项目的取证中,取证调查人员需要分析城市中的所有数据。这些数据来源广泛多样,因此数据的复杂性极高,严重阻碍了电子数字取证的实施。1.6.工业控制系统(IndustrialControlSystem,ICS)工业控制系统是一个广义术语,泛指用于控制关键基础设施(如电网、核设施和天然气管道)的任何物理设备,主要包括监控和数据采集(数据采集??与监控系统(SCADA)、集散控制系统(DistributedControlSystem,DCS)、可编程逻辑控制器(ProgrammableLogicController,PLC)、远程终端单元(RemoteTerminalUnit,RTU)等。此外还有相关问题信息盗窃和勒索软件攻击等网络犯罪,ICS也极易受到化工厂火灾或电网系统爆炸等物理攻击。传统的数字取证方法主要是对ICS中的计算机进行取证,但对于SCADA、PLC、RTU等系统的复杂网络数据、日志文件、设备运行数据、活动日志等还需要更深入的研究。1.7.区块链(Blockchain)近年来,多项研究将区块链应用于其他领域的电子数据取证,并提出了区块链辅助取证方法,以确保电子证据链的安全性和可追溯性。然而,区块链空间本身的取证尚未得到广泛研究。研究人员研究了区块链技术中可能的攻击方式,提出了将比特币等加密货币钱包地址映射到用户信息的方法,并验证了针对分布式P2P存储网络的攻击方式。目前区块链领域的电子数据取证主要是从内存中提取比特币密钥、扩展公钥、钱包地址、网络协议、交易历史等数据,并对这些数据进行调查分析。2.取证新难点在数字取证过程中,取证人员首先需要从设备中提取电子证据。然而,证据提取的过程并不总是一帆风顺。数据易失性、设备物理损坏、设备全加密等环境和技术给电子证据的提取带来了巨大挑战。2.1.数据易失性数据易失性是指待取证设备中的数据可能由于某些原因丢失。例如,计算机的内存可以包含与系统使用情况相关的证据,例如正在运行的进程列表、网络连接的加密密钥或驱动程序等。当电源关闭时,这些数据将完全丢失。物联网设备上的所有可用信息都可以在本地记录,尽管由于本地存储通常是有限的,因此记录的传感器值/执行器状态的数量始终保持在特定阈值以下。一旦数据量超过阈值,数据将被覆盖,可能导致重要证据丢失。2.2.设备物理损坏物理损坏是指由于事故、自然灾害或其他原因造成的物体表面和结构的损坏,例如智能手机屏幕破裂、硬盘通道损坏、液体腐蚀等。当取证调查人员收集涉及犯罪的设备时,他们经常会遇到损坏的设备。对于遭受物理损坏的设备,取证调查人员首先会尽快恢复损失,比如将被水浸过的设备清洗、擦干并拆开,看设备能否恢复正常。如果设备损坏无法修复,取证调查人员会通过更换设备的损坏部件或提取损坏设备的有效部件来提取尽可能多的电子数据。图3提取设备零件2.3.DeviceFullEncryptionFullDiskEncryption(FDE)是一种使用对称密钥加密(通常是高级加密标准,AES)对设备上的所有用户数据进行块级加密的方法,常用工具有B??itLocker和VeraCrypt。企业和用户经常使用全盘加密来保护隐私数据,但这也使得电子数字取证的任务更具挑战性。没有加密密钥,很难从完全加密的设备中恢复数据。即使取证人员可以使用磁盘加密工具中的恢复选项从磁盘中提取数据,但由于恢复技术还不够成熟,提取数据会比较费时,并且无法保证提取成功。3、证据分析新难点在证据分析阶段,取证人员需要处理来自不同数据源的大量电子证据,加之数据伪造、隐写、文件擦除等反取证技术的干扰,使得证据分析过程异常困难。图4证据分析3.1.多源分析与关联随着提取的电子数据数量和类型不断增加,取证调查人员需要关联和处理来自不同来源的电子数据,以分析和还原案件的过程,例如计算机、服务器、路由器、防火墙或其他物联网设备等。这些电子数据具有异构性和语义多样性的特点。即使来自同一来源的数据也可能具有不同的标准数据格式。例如,在云服务中,不同的提供商有自己的日志记录标准。复杂且有针对性的网络攻击将其行为隐藏在多源异构数据中。只有将所有数据作为一个整体进行关联分析,才能还原出一个完整的攻击过程。3.2.数据伪造数据伪造是攻击者用来迷惑和误导取证调查人员的常用技术。攻击者通过修改系统日志、各种记录文件、用户文件、图片、音视频等多媒体文件来掩盖犯罪事实。取证调查人员检测并识别这些痕迹,以揭露攻击者的伪造行为。面对各种各样的取证方法,攻击者不断改进现有的数据伪造技术,或者提出新的数据伪造方法来逃避取证。例如,在图像伪造领域,研究人员提出了基于图像篡改痕迹、统计特征和深度学习的检测方法,但攻击者仍然可以使用中值滤波、指纹复制和基于对抗样本的伪造技术来逃避检测。3.3.数据隐写术隐写术是一种常见的数据隐藏方式,它允许攻击者将任何数据(如网络罪犯嵌入病毒、垃圾邮件和恶意链接到数据中)插入到受信任的对象中。在当今的数字世界中,Internet上的任何东西都可以成为秘密信息的掩护,最常见的是硬盘可用空间和数字图像、音频、视频等多媒体文件。此外,攻击者还可以使用冗余其余的通信机制将数据隐藏到网络流量中,或利用在线游戏和虚拟世界等新的隐藏场所。由于设备的存储容量普遍较大,检查是否包含隐藏数据需要花费大量时间,因此取证人员通常不会直接提取隐藏数据,而是检查设备上是否安装和使用了已知的数据隐藏工具系统或程序。此外,提取隐藏数据仍然是一项具有挑战性的任务。据我们所知,目前还没有有效的工具来检测和提取隐藏在已删除或移动的工具、卸载的软件和网络流量中的电子数据。至于隐藏在虚拟世界中的数据,则更难追踪。3.4.文件擦除文件擦除是用随机数据填充文件以将其删除的过程。有许多公开可用的文件擦除工具可在所有平台上免费使用,以帮助用户清理计算机中的残留物或完全删除用户文件以保护他们的隐私。一旦文件擦除工具被攻击者用来销毁犯罪证据,将使电子数据的分析过程变得非常困难。取证调查人员只能根据设备中是否有数据擦除工具、文件系统是否有残留、注册表中是否有记录等证据信息来判断用户是否进行了擦除操作,但擦除工具通常会对数据区域产生很大的影响。使用不同的擦除策略多次擦除,使数据恢复软件和工具失效。四、其他非技术性新问题4.1.效率问题随着数字化的不断发展,电子数据量呈指数级增长。与过去案件中设备较少、数据量较小相比,如今案件中的设备数量和种类大幅增加,取证侦查人员需要处理和分析海量数据,是一项非常耗时的工作。以往采用单一工作站办案的取证方式限制了办案效率。因此,为缩短案件分析时间,部署多台计算机同时进行取证成为一种选择。但是,在多设备部署的取证系统中,取证设备是否需要人工操作,以及如何在设备间同步取证进度和相关电子证据,还有待进一步探索。4.2.隐私问题用户一般将个人信息存储在常用设备中,或通过在线社交网络或社交媒体网站将其带入网络空间,这也导致电子数据取证过程中存在数据收集和分析的可能性。用户隐私。此外,由于云平台的共享性,云取证采集的日志文件可能包含同一平台其他用户的信息,严重威胁与案件无关的用户隐私。为保障用户数据安全,增强用户信任,数字取证流程仍需进一步完善和优化。研究人员还应该考虑将更多的安全技术应用到电子数据取证领域。4.3.资源问题电子数据取证采集的证据大多属于系统底层,数据复杂度高,非技术人员难以理解和分析。理想情况下,取证调查人员需要具备良好的知识储备和较强的技术能力,了解各种设备软硬件、网络相关内容,熟悉并掌握多个领域的最新技术知识。但是,针对电子数据取证从业人员的专业培训课程和进修课程仍未得到广泛普及。参考文献[1]YaqoobI,HashemIAT,AhmedA,etal.物联网取证:最新进展、分类、要求和开放挑战[J]。下一代计算机系统,2019,92:265-275.[2]KhanS、GaniA、WahabAWA等人。软件定义网络取证:动机、潜在位置、要求和挑战[J]。IEEE网络,2016,30(6):6-13.[3]OkaiE,FengX,SantP.MKSmart项目的安全和取证挑战[C]//2019IEEESmartWorld,UbiquitousIntelligence&Computing,Advanced&TrustedComputing,ScalableComputing&Communications,Cloud&BigDataComputing,Internetof人与智慧城市创新(SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI)。IEEE,2019:1666-1670.[4]BalzarottiD、DiPietroR、VillaniA.GPU辅助恶意软件对内存取证的影响:案例研究[J]。数字调查,2015,14:S16-S24.[5]FukamiA,NishimuraK.水损坏的法医分析移动设备[J].数字调查,2019,29:S71-S79.[6]HoelzB,MauesM.反取证威胁建模[C]//IFIP数字取证国际会议。Springer,Cham,2017:169-183.[7]AlHarbiR,AlZahraniA,BhatWA.Windows上反取证文件擦除工具的取证分析[J]。法医学杂志,2022,67(2):562-587.
