[笔记]多维计算机取证模型研究（

0多维计算机取证模型研究

丁丽萍1,2,3+,王永吉1

1 2 3



0

0(中国科学院软件研究所 互联网软件技术实验室)(北京人民警察学院 公安科技教研部)(中国科学院研究生院)

0

0

0

Study on Multi-Dimension Computer Forensics Model

DING Li-Ping

1

0

1,2,3+

, WANG Yong-Ji

1

0

(Laboratory for Internet Software Technologies, Institute of Software, Chinese Academy of Sciences, Beiing, 100080, China)

0

(Institute of Police Affairs, Beijing People’s Police College, Beijing 100029, China)(Graduate School of the Chinese Academy of Sciences, Beijing 100039, China)

023

0

Abstract: There are various computer forensics models now. But these models can not solve the problem of the computer evidence’s adoption. In this paper, based on the study and analysis of all the existing models, A new computer

forensics model named MDFM (Multi-Dimension Forensics Model) is presented. MDFM not only is compatible with all the other models but also adds time and monitor for the whole computer forensics process. This makes it possible that the computer forensics policies can change with time and the monitor data can be a part of the presentation in court.

0Key words: computer forensics; model; multi-dimension model; time restriction; the whole process monitor

0摘要：计算机取证的模型多种多样，但都没有从根本上解决计算机证据的可采用性问题。在对现有模型的深入研究和分析的基础上提出了一个多维计算机取证模型（Multi-Dimension Forensics Model, MDFM）,该模型既兼

容了现有的模型，又增加了时间约束和对取证过程的全程监督，使得取证策略可以随时间变化并可以把取证过程的监督数据作为证据的一部分呈堂。

关键词：计算机取证 模型 多维模型 时间约束 全程监督

00

1.引言

0

由于电子证据的特殊性，计算机取证既涉及到技术问题又受相关法律法规的约束。因此，计算机取证必须遵循严格的过程和程序，否则，就会导致所获取的证据缺乏可靠性和合法性，从而不被采用。自上个世纪90年代以来，人们相继提出了很多计算机取证的模型，目前，有些研究人员提出应该通过分析网络取证的详细需求，建立包含犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，还有的学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对这些模型的评价机制。但这些模型普遍存在的问题包括注重细节，缺乏通用性；注重法律或技术的一个方面而没有很好地把二者结合起来；注重静态的取证分析而没有考虑取证模型随时间的变化。因此，导致了计算机取证的模型不实用、不适用。按照这样的模型开发出来的取证产品和工具很难满足计算机取证工作的实际需求，从而难以收集到符合证据的可采用性标准的证据。本文提出了一个多维计算机取证模型（Multi-Dimension Forensics Model, MDFM）,该模型既兼容了现有的模型，又增加了时间约束和对取证过程的全程监督，使得取证策略可以随时间变化并可以把取证过程的监督数据作为证据的一部分呈堂。

0

文章其他部分的安排如下：第二部分是相关研究工作，介绍了一些典型的计算机取证模型；第三部分提出了一个多维计算机取证模型；第四部分是对提出的模型的形式化描述；第五部分是结论。

0

2.相关研究工作

0

计算机取证的早期模型包括基本过程模型（Basic Process Model）、事件响应过程模型（Incident Response

Process Model）、法律执行过程模型 （Law Enforcement Process Model）、过程抽象模型（An Abstract Process Model）。后来，在总结前面这些模型的基础上，形成了综合模型（The Integrated Digital Investigation Model）[3]

等。文献[venan enhancemodel]又在总结前边的几种模型的基础上提出了一种增强的计算机取证模型。基于需求的计算机取证模型和计算机取证的层次模型都是我国的学者提出的。

02.1早期的计算机取证模型

0

0 基本过程模型（Basic Process Model）

–

– – –

0这一模型的代表人物是Farmer 和 Venema，他们提出的基本的取证过程是：

现场安全保证及隔离（secure and isolate）

记录现场信息（record the scene） 系统地查找证据（conduct a systematic search for evidence）对证据进行提取和打包（collect and package evidence）

00

00

– 保护监督链（maintain chain of custody）

0

0基于此模型，Farmer 和 Venema开发出了基于unix的取证产品：TCT（The Coroner’s Toolkit）

 事件响应过程模型（Incident Response Process Model）

0

Chris Prosise 和 Kevin Mandia在其著作《应急响应——计算机犯罪调查》（Incident Response：Investigating

Computer Crime）中把计算机取证的事件响应过程模型分为如下阶段：– – – –

取证准备阶段（Pre-incident Preparation）事件侦测阶段（Detection of the Incident）初始响应阶段（Initial Response）

响应策略确定（Response Strategy Formulation）

000

0

0

0– 备份（Duplication）

– 调查（Investigation）

00– 安全方案实施（Secure Measure Implementation）

– 网络监控（Network Monitoring）– 恢复（Recovery）

0

0

0– 报告（Reporting）

0– 补充（Follw—up）

0 法律执行过程模型 （Law Enforcement Process Model）

0

法律执行模型的典型模型代表是美国司法部“电子犯罪现场调查指南”中提出的模型。该过程模型的内容是： – – – – –

准备阶段（Preparation）

0

收集阶段（Collection）：主要是保护与评估现场、对现场记录归档（Document the Scene）、证据提取

（Evidence Collection）等。 检验（Examination）

00分析（Analysis）报告（Reproting）

0

00 过程抽象模型（An Abstract Process Model）

0这个模型是美国空军研究院、美国司法部、美国信息战督导防御局提出的。过程抽象模型的研究被认为在

数字取证基本理论和基本方法研究中具有里程碑的作用。AIRFORCE的过程抽象模型包括：

– 识别（identification）– 准备（preparation）

0

0

– 策略制定(approach strategy)

– 保存(preservation)– 收集(collection)– 检验(examination)– 分析(analysis)

00

0

00

– 提交(presentation)

– 返回证据(returning evidences)

002.2综合计算机取证模型（IDIP，The Integrated Digital Investigation Model）[4]

0这一模型在总结前几个模型的基础上把计算机取证过程组织成了5个步骤，如图所示：

0

准备阶段 （readiness phases） 物理犯罪现场调查阶段 (Physical Crime Scene Investigation Phases) 总结阶段 (Review Phase) 部署阶段 （deployment phases） 数字犯罪现场调查阶段 (Digital Crime Scene Investigation Phases) 0

 准备阶段

0

0这一阶段主要目的是保证取证所需的各种人力物力资源。主要任务有操作准备和设备准备。操作准备就是保证取证人员通过培训能够胜任取证工作；设备准备是指取证工具的准备是充分的。 部署阶段

0

这一阶段是为了提供侦查和确认机制，包括侦查和通报阶段、确认和授权阶段。前者对事件进行侦查和通告，后者是为了获得对事件的法律调查权。

0 物理犯罪现场调查阶段

0

这一阶段的目的是收集和分析物理证据并重构犯罪行为。包括保护现场、调查取证、记录归档、进一步搜索取证、重构和出示等六个阶段。

0 数字犯罪现场调查阶段

0

0这一阶段主要是收集和深入分析物理调查阶段获取的数字证据，它包括和物理调查阶段类似的步骤：保护现场、调查取证、记录归档、深入分析、重构犯罪事实和出示证据六个阶段。

 总结阶段

0

这一阶段要对取证的整个过程进行跟踪总结，发现问题并积极改进。

02.3增强的计算机取证模型（The Enhanced Digital Investigation Process Model，EIDIPM）

0

EIDIP模型是在对综合模型进行改进的基础上提出的，这一计算机取证模型应该包括五步：

0准备阶段 （Readiness Phases） 部署阶段 （Deployment Phases） 反馈阶段 （TraceBack Phases） 实施阶段 （Dynamite Phases） 总结阶段 （Review Phases） 0

 准备阶段

0

0如前所述就是人力物力和财力的准备。

 部署阶段

0

这一阶段是事件侦查和确认阶段，包括五个步骤：侦查和确认阶段、物理犯罪现场调查阶段、数字犯罪现场调查阶段、确认和授权阶段、提交证据阶段。  反馈阶段

前边的阶段已经获取了犯罪嫌疑人的物理犯罪证据，这一阶段要进行鉴定以完成法律程序。包括：数字犯罪现

00场的进一步调查分析和获得进一步调查的法律授权两步。

 实施阶段

00

这一阶段要调查主要的犯罪现场，获取和分析有关的证据并识别潜在的作案人。包括：进行物理现场调查发现潜在的电子证据、进行数字犯罪现场调查确定作案的时间、重构犯罪事实以支持可能性最大的犯罪臆断、证据的呈堂阶段等

0 总结阶段

发现取证过程中的问题并提出改进措施。

00

2.4基于需求的计算机取证过程模型

0

文献[3]提出了一种基于需求的计算机取证模型。该模型是一个基于软件工程思想和安全工程思想的模型，它把

过程需求的全集根据不同的侧重点，划分成了若干个大组，每个大组成为一个场景。每个场景可以再根据不同的需求目标划分成若干组件，如图所示：

0

需求 场景 场景 组件 组件 组件 ET或EP EP：环境轮廓定义 ET：环境对象定义 特定环境下的 计算机取证过程 0

2.5计算机取证的层次模型

0

该模型是第十九次计算机安全技术交流会上提出的。这一模型认为：计算机取证可以分为证据发现层、证据固定层、证据提取层、证据分析层和证据表达层五个层次。我们可以认为：这五个层次就构成了一个层次模型。

0证据表达层 证据分析层 证据提取层 证据固定层 证据发现层

证据发现层：计算机证据的发现就是通过侦查和现场勘察搜集最原始的证据。

计算机证据的发现技术实际上属于侦查技术。可以把一般的侦查技术与计算机技术相结合进行研究。这方面的研究包括取证专用的入侵检测系统（Intrusion Detection System, IDS）、网络线索自动挖掘技术、溯源技术、数据过滤、磁盘镜像技术等等。根据计算机证据的来源的不同， 计算机证据的发现可以分为网络证据的发现、单机证据的发现和相关设备证据的发现。

0证据固定层：计算机证据的固定主要是解决证据的完整性验证，即通过数字签名和见证人签名等保证现场勘察和侦查获得的数据的完整性和真实性。

0证据提取层：证据的提取从本质上说就是从众多的未知和不确定性中找到确定性的东西，通过数据恢复、残缺数据提取、解码、解密、过滤等技术将原始数据表达成可以理解的抽象数据。

证据分析层：分析证据是计算机取证的核心和关键。即通过关联分析证实信息的存在、信息的来源以及信

0息传播途径，重构犯罪行为、动机以及嫌疑人特征。证据分析的内容包括：分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意分析过程的开机、关机过程，尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹。等等。

0证据表达层：证据的提取从本质上说就是从众多的未知和不确定性中找到确定性的东西，通过数据恢复、残缺数据提取、解码、解密、过滤等技术将原始数据表达成可以理解的抽象数据。

0取证人员面对的是各种互不相同的案件，有些甚至不是刑法上定义的计算机犯罪而是其他犯罪。所以计算机取证应该不仅仅是计算机犯罪证据的获取。因此，证据的获取很难说有固定的、一成不变的方法和模式，应该具体问题具体分析。

0

把对目标计算机系统的全面分析和追踪结果进行汇总，然后给出分析结论，这一结论的内容应包括：系统的整体情况，发现的文件结构、数据、作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息。标明提取时间、地点、机器、提取人及见证人。然后以证据的形式按照合法的程序

提交给司法机关。

02.6对这些模型的分析

0

这些模型都从取证的全过程出发，对于整个计算机取证的过程进行了概括。下表列出了对这些模型的比较：

0 模型名称 是否基于需求 是否有时间约束 无 是否有取证过程基于全程审是否受法模型计监督 律约束 专门取证无 不明确 该的的工该模型的其他特点 基本过程模型 事件响应过程模型 法律执行过程模型 过程抽象模型 综合模型 增强模型 否 具软件 TCT（基于UNIX） 缺乏取证准备阶段，粒度较粗。 否 否 否 无 无 无 不明确 是 无 无 增加了取证准备阶段，但不完整。分析所占的比重小。 是一个基于物理犯罪现场的取证模型。对于检验和分析关注较少。将硬盘作为证据收集的对象之一。 否 否 否 无 无 无 无 无 无 不明确 不明确 不明确 无 无 无 准备和识别的顺序不对。该模型实用性差。 不实用。没有区分受害者的现场和犯罪嫌疑人的现场 在综合模型的基础上改进而成。 基于需求的模型 层次模型 是 有，但不明确。 无 有 不明确 有原型系统 无 是一个迄今为止较为完善的取证模型框架。但取证的最小单位组件刻画得不够细致。 突出了与法律相关联的特征 否 无 是 3.多维计算机取证模型（Multi—Dimension Forensics Model, MDFM）

0

3.1 MDFM模型的框架结构

0

我们在对上述模型进行了深入的研究之后认为：一个通用的计算机取证模型应该是随时间变化的，应该随着犯罪分子犯罪手段的升级而改变，而且，更为重要的是：为了保证所获取的证据的可采用性必须对整个的取证过

程进行全程的审计监督。所以，我们提出的计算机取证模型是一个多维的取证模型。

监督记录 取证监督层 取证策略时间约束 证据获取层

以上这一模型分为三个层次：数据层、证据获取层和取证监督层。

选。知识库是按照法律法规和犯罪行为构成的规则库，主要用于证据的获取，该知识库应该可以随着时间的变化实时更新。这一层同时可以解决证据的相关性。物理证据的获取也要接受取证监督层的监督。

00 证据获取层 证据获取层是模型的主要部分，在这一层，根据下边一层的原始数据和知识库和本层次的取证需求和时间约束，可以确定取证策略进行证据的获取，每一个取证策略的执行又都必须接受来自上一层的取证监督。

0 取证监督层

这一层主要完成取证过程的全程监督以保证所获取的证据的可靠性、合法性。

 MDFM模型的取证步骤

取证需求 数据层 原始数据 知识库 0

0数据层

数据层包括原始数据知识库。原始数据的获取应该包括取证的准备阶段、物理证据的获取和初步的数据筛

00

0

0

基于该模型的取证步骤如下：0 取证监督 证据呈堂 取证准备 物理取证 数字取证 总结 0

 取证准备阶段

取证的准备阶段除了完成取证人员的培训、取证工具和有关法律许可的准备之外，还要根据本国法律法规

0的规定建立相应的取证知识库。

0

 物理取证阶段

到达犯罪现场或识别可以事件，获取物理证据，包括存贮设备、网络数据流等。这一阶段应该按照计算机取证的基本原则获取可能包含犯罪证据的原始数据，这一阶段的行为要进行取证监督。

00 数字取证阶段

0

这一阶段包括：固定、分析、获取、提交这样的几个步骤。固定就是要通过原始证据和知识库的匹配获取可能包含所需证据的数据，通过加入时间约束和对取证需求的分析确定所采取的取证策略，采用合适的策略获取所需要的证据，最后按照规定的格式提交证据。

0

 取证的全程监督

0

0 取证的全程监督是对证据获取层和数据层的监督，通过监控获取的监督数据可以存入监督数据库中，该层

次应该可以实现取证全过程的回放，以保证证据的获取是合法的而且没有对原始数据进行篡改和伪造。

 证据的呈堂

0

证据的呈堂，就是要把获取的相关犯罪的证据按照法庭的要求以一定的格式提交给法庭，这里，我们要特别强调的是，除了把证据本身提交给法庭外，还必须有足够的证据证明证据的可采用性。也就是要把取证的全程监督数据和知识库的数据同时提交。

0 总结

0

0 总结取证的全过程，更新知识库，更新策略库。

3.3 MDFM模型的特点

0

我们提出的取证模型框架有以下特点：

0 与现有的取证模型兼容

该模型框架是在总结现有模型的基础上形成的，包括了取证的准备、物理取证、数字取证、取证的全程监督和证据的呈堂、总结等阶段。当多维模型中的时间和需求收缩为一个点的时候，就是传统的取证模型，因此，

0该模型的收缩性较好。

0

 增加了时间约束

0

0 由于犯罪手段不断更新和升级，即使同样的取证需求，在不同的时间也会导致采用完全不同的取证策略，因此，该模型增加了时间约束，提出了取证的策略应随时间变化的新观点。

 增加了审计过程的全程监督

0

该模型对取证的过程进行了全程监督并形成了完整的监督数据，可以在法庭出现质疑时，回放取证的过程以便证明取证过程的合法性和公允性。

0

 形成了取证的多维模型框架

0

该模型是一个多维的取证框架模型，让取证人员从多个角度去完成取证任务，从而可以避免取证过程中的一些失误和不足。

04. MDFM的形式化

0

用一个七元组表示：（R, K, P, T, A,M, PR）。其中，R（Requirement）表示一个具体的取证需求，K(Knowledge)表示取证知识库，P(Policy)表示取证策略库，T(Time)表示时间约束，A(Analysis)表示对获取的原始证据的分析，M(Monitor)表示取证的全程监督（即包括非篡改性的监督和取证过程合法性的监督），PR表示证据的表示或提交。

0

M K R A T evidences PR P

0

5.结论

0

本文在对现有的计算机取证模型进行深入研究的基础上提出了一个多维计算机取证模型，该模型增加了时间约束和对计算机取证过程的取证监督，较好地解决了取证策略随犯罪手段更新变化的问题和所提交的证据的可靠性、关联性和合法性的问题。

0

References:

0

[1]LUO Hi-bin, FAN Yu-shun, WU Cheng. The summary of workflow. Journal of Sofware, 2000, 11(7):899-907.

0[2]Wil van der Aalst and Kees van Hee. Workflow Management. Models,Methods,and Systems.The MIT Press Cambridge,Massachusetts London, England. [3]Sun Bo, Directed by Professor SUN Yu-fang. Research on Key Aspect of Computer Forensics Methods.

00

[venan enhancemodel]Venansius Baryamureeba, Florence Tushabe. The Enhanced Digital Investigation Process Model.

0[4]Brian Carrier, Eugene H Spafford. (2003)Getting Physical with the Investigative Process.International Journal of Digital Evidence. Fall 2003,Volume 2, Isssue 2.

0