趙亞杰，陳 龍

（重慶郵電大學(xué)計(jì)算機(jī)取證與調(diào)查研究所 重慶 400065）

1 引言

計(jì)算機(jī)取證在現(xiàn)有的司法實(shí)踐中發(fā)揮著越來(lái)越重要的作用，隨著證據(jù)理論的不斷發(fā)展，鑒定結(jié)論逐漸成為一些犯罪案件的主要定案證據(jù)[1，2]。如2007年“熊貓燒香”病毒案，就是以針對(duì)犯罪分子主機(jī)的司法鑒定構(gòu)成定案的主要證據(jù)，從而將犯罪分子繩之以法[2]。當(dāng)前，隨著案件的復(fù)雜化以及多樣化，使得不僅是刑事犯罪需要用到計(jì)算機(jī)司法鑒定，民事案件的調(diào)查取證同樣也要用到它。一般而言，用戶的行為都會(huì)或多或少地在計(jì)算機(jī)或相關(guān)系統(tǒng)中留下一些行為痕跡。目前的司法實(shí)踐中已出現(xiàn)多種需要對(duì)用戶是否實(shí)施了某種特定行為進(jìn)行專門性鑒別的需求，用戶行為鑒定可作為電子數(shù)據(jù)司法鑒定的一個(gè)獨(dú)立種類，但業(yè)內(nèi)尚未對(duì)該類鑒定進(jìn)行歸納總結(jié)，規(guī)范該類計(jì)算機(jī)司法鑒定活動(dòng)對(duì)電子數(shù)據(jù)司法鑒定的開展有指導(dǎo)意義。用戶行為整體上可分為兩類：一是用戶本地行為，二是用戶網(wǎng)絡(luò)行為。限于篇幅，本文先討論用戶本地行為鑒定，主要討論Windows平臺(tái)，并且假設(shè)在鑒定分析之前已經(jīng)進(jìn)行了鏡像等必要的準(zhǔn)備工作。

2 用戶本地行為鑒定事項(xiàng)

從宏觀上看，用戶行為鑒定主要從幾個(gè)方面確認(rèn)相關(guān)行為：分析用戶行為的時(shí)間屬性，查找分析用戶行為實(shí)施過(guò)程留下的痕跡，分析與該目標(biāo)行為有關(guān)聯(lián)的行為，分析該行為的前提條件與實(shí)施結(jié)果。根據(jù)實(shí)際鑒定需求和操作行為的目的，我們將其分為以下幾種鑒定事項(xiàng) 。

·持有電子數(shù)據(jù)。分析、判斷用戶是否在相關(guān)存儲(chǔ)介質(zhì)上存儲(chǔ)有如已知的病毒程序、惡意軟件、公司的機(jī)密資料等違法、違規(guī)的電子數(shù)據(jù)文件。根據(jù)具體的鑒定要求，可以涉及文檔、表格、圖片、視頻等，其內(nèi)容可以由人的經(jīng)驗(yàn)性知識(shí)判斷或由普通的工具進(jìn)行比較來(lái)判定。

·軟件安裝及使用。分析、判斷用戶是否在計(jì)算機(jī)上安裝、使用過(guò)某些軟件。

·本地系統(tǒng)資源使用。分析、判斷用戶是否訪問(wèn)、使用了計(jì)算機(jī)系統(tǒng)資源，例如，某時(shí)間段內(nèi)用戶是否開機(jī)，創(chuàng)建、修改、刪除某些數(shù)據(jù)文檔等。

·可移動(dòng)設(shè)備接入。分析、判斷用戶是否接入過(guò)某些可移動(dòng)設(shè)備。典型的實(shí)例是使用U盤、可讀寫光盤及其他存儲(chǔ)介質(zhì)或設(shè)備。

3 用戶本地行為鑒定方法

用戶行為的司法鑒定即針對(duì)不同的用戶行為，進(jìn)行具體分析、檢查、測(cè)定，最后提出結(jié)論性意見。針對(duì)上述鑒定事項(xiàng)，分別討論如下。

3.1 持有電子數(shù)據(jù)

根據(jù)鑒定需求，對(duì)某類信息進(jìn)行查找分析，必要時(shí)先進(jìn)行數(shù)據(jù)恢復(fù)。依據(jù)實(shí)際需要采用關(guān)鍵字查找、縮略圖瀏覽、基于內(nèi)容的分類查找、Hash查找等方法，導(dǎo)出目標(biāo)數(shù)據(jù)，生成相關(guān)數(shù)字摘要。

3.2 軟件安裝及使用

注冊(cè)表信息、殘存的目錄、該軟件關(guān)聯(lián)文件的創(chuàng)建、訪問(wèn)等方面均可提供相關(guān)證據(jù)信息。如注冊(cè)表鍵HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall 給出了安裝的程序列表，有些已卸載的程序還會(huì)在這里留下殘跡[5]。如系統(tǒng)中某軟件還存在，可查看最近打開文檔并分析文件訪問(wèn)情況，管理控制面板中程序的添加和刪除信息。另外，某些軟件只是卸載并未刪除徹底，可以通過(guò)查看它殘留的有關(guān)目錄或文件來(lái)獲取相關(guān)信息。

3.3 本地系統(tǒng)資源使用

（1）用戶登錄

系統(tǒng)開、關(guān)機(jī)將對(duì)相關(guān)系統(tǒng)文件進(jìn)行訪問(wèn)，注冊(cè)表和有關(guān)日志也可能會(huì)留下相關(guān)信息，關(guān)注用戶名、用戶類別、用戶權(quán)限等，需要特別關(guān)注最后登錄用戶的有關(guān)信息。例如，注冊(cè)表鍵 SAMSAMDomainsAccountusers{RID}的鍵值中存有大量的用戶登錄信息，包括用戶名、用戶登錄次數(shù)、賬戶建立日期、賬戶的最后登錄日期、最后重設(shè)口令的日期及最后一次登錄失敗的日期等[3]。

（2）文件訪問(wèn)

在文件系統(tǒng)中，有一個(gè)重要的文件屬性是時(shí)間屬性，以常用的Windows下的文件系統(tǒng)NTFS為例，該文件系統(tǒng)中的時(shí)間屬性有4項(xiàng)：文件的創(chuàng)建時(shí)間、最后修改時(shí)間、最后訪問(wèn)時(shí)間以及MFT修改時(shí)間。最后訪問(wèn)時(shí)間是文件操作行為中最敏感的證據(jù)特征。文件操作行為反映在文件的刪除、創(chuàng)建和修改[4]。例如，對(duì)文件修改的行為進(jìn)行鑒定，我們可以首先對(duì)目標(biāo)文件的時(shí)間屬性進(jìn)行分析，確定最后訪問(wèn)時(shí)間。然后對(duì)比文件修改行為的特定查看是否有修改的痕跡。最后根據(jù)時(shí)間和行為得出結(jié)論：在哪一時(shí)間是否對(duì)文件進(jìn)行了修改操作。

（3）打印文件

在Windows中打印文件時(shí)，先將其以一個(gè)文件或一組文件的形式放到打印隊(duì)列目錄中排隊(duì)等待打印。通常有兩類打印文件：一類是有關(guān)打印任務(wù)信息的SHD文件，另一類是包括實(shí)際打印任務(wù)本身及其相關(guān)頭信息的SPL文件。它們能提供證據(jù)信息，證明打印了什么、誰(shuí)打印的、什么時(shí)候打印的、打印了多少份，甚至打印任務(wù)的內(nèi)容。

3.4 可移動(dòng)設(shè)備接入鑒定

可移動(dòng)設(shè)備接入一般會(huì)在最近使用文檔以及注冊(cè)表中留下相關(guān)信息，對(duì)該行為的鑒定可以通過(guò)分析注冊(cè)表，得到相關(guān)可移動(dòng)設(shè)備接入記錄，關(guān)注設(shè)備名稱、接入時(shí)間，設(shè)備加載等信息。同時(shí)，打開最近使用文檔可以查看到最近可移動(dòng)存儲(chǔ)設(shè)備的接入情況，是否有可移動(dòng)設(shè)備接入。但一般不顯示具體設(shè)備名稱，只顯示本地系統(tǒng)分配的設(shè)備名稱。例如，對(duì)U盤的接入進(jìn)行鑒定?？梢酝ㄟ^(guò)查看計(jì)注冊(cè)表鍵HKLMSYSTEMCurrentControlsetEnumUSBSTOR，該鍵顯示了所有的USB存儲(chǔ)設(shè)備以及相關(guān)接入信息，如接入時(shí)間，設(shè)備顯示名稱等[6]。通過(guò)這些信息，可以證明相關(guān)設(shè)備的接入行為。

而對(duì)于接入后的復(fù)制（U盤）及刻錄（CD）行為，目標(biāo)文件的時(shí)間屬性、設(shè)備的接入時(shí)間以及與刻錄行為關(guān)聯(lián)的軟件可提供相關(guān)證據(jù)信息。如可以通過(guò)比較文件創(chuàng)建時(shí)間與接入時(shí)間來(lái)證明是否有復(fù)制行為。也可以查看注冊(cè)表中是否有相關(guān)刻錄軟件，同時(shí)搜索該軟件的編譯文件，來(lái)證明是否本機(jī)中有刻錄行為。

4 結(jié)束語(yǔ)

本文把用戶行為鑒定作為電子數(shù)據(jù)司法鑒定的獨(dú)立鑒定種類，分析了用戶本地計(jì)算機(jī)操作行為的相關(guān)要素，討論了本地行為的鑒定方法，逐步推動(dòng)司法鑒定活動(dòng)的規(guī)范化。其他用戶行為鑒定和執(zhí)業(yè)規(guī)范等方面的內(nèi)容還需要進(jìn)一步的分析和研究。

1 陳龍，麥永浩，黃傳河等.計(jì)算機(jī)取證技術(shù).武漢：武漢大學(xué)出版社，2007

2 麥永浩，孫國(guó)梓等.計(jì)算機(jī)取證與司法鑒定.北京：清華大學(xué)出版社，2009

3 Harlan Carvey著.王智慧，崔孝晨等譯.Windows取證分析.北京：科學(xué)出版社，2009

4 Huang Bugen.Analysis of traces on storage media by file operation for NTFS file system.Computer Engineering,2007,33(23):281～283

5 Youngsoo Kim,Dowon Hong.Windows registry and hiding suspects'secret in registry.In:International Conference on Information Security and Assurance,Busan：IEEE Press，2008

6 Kisik Change,Gibum Kim,Kwonyoup Kim,et al.Initial case analysis using windows registry in computer forensics.Future Generation Communication and Networking(FGCN 2007),2008