金日浩　宋浩　張智聰

【摘要】易失性內(nèi)存取證是計算機取證研究的熱點，現(xiàn)有的Windows易失性內(nèi)存取證方法和技術只能分析單個內(nèi)存鏡像文件，不具備分析的智能性，難以形成推理關系的證據(jù)鏈，因此本文針對內(nèi)存數(shù)據(jù)的特點，設計了實用的取證模型，充分發(fā)揮了Windows易失性內(nèi)存電子證據(jù)的法律效力，嚴厲打擊計算機犯罪。

【關鍵詞】計算機取證：易失性：內(nèi)存取證；關聯(lián)性分析：

【中圖分類號】TP333 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0026-01

1.引言

打擊犯罪的關鍵在于獲得充分、可靠和強有力的證據(jù)，取證涉及到法律和技術兩個方面。一般犯罪證據(jù)的提取目前已經(jīng)有很多較為成熟的技術，例如，指紋提取和識別、法醫(yī)鑒定、DNA鑒定等等。隨著計算機技術的發(fā)展和網(wǎng)絡的普及，利用或以計算機為目標的犯罪事件頻繁發(fā)生。由于計算機證據(jù)具有與一般犯罪證據(jù)不同的特點，所以對其獲取和可靠性的保證一直是計算機犯罪案件和其他與計算機有關的犯罪案件偵破工作的難點。因此，計算機取證（computer forensics）技術的研究變得越來越迫切。計算機取證作為計算機科學和法學的交叉學科應運而生。

2.計算機取證綜述

計算機取證，可以定義為對依靠計算機實施的犯罪行為利用計算機軟硬件技術，按照符合法律規(guī)范的方式進行證據(jù)獲取、保存、分析和出示的過程。亦即是將存于計算機及相關外圍設備中的電子數(shù)據(jù)轉(zhuǎn)化固定為實質(zhì)的證據(jù)，以及鑒定這些電子證據(jù)屬性的過程。從計算機取證的概念可以看出，電子證據(jù)是計算機取證的核心。電子證據(jù)，是指以數(shù)字形式保存于計算機主存儲器或外部存儲介質(zhì)中，能夠證明案件真實情況的數(shù)據(jù)和信息。從廣義上講，電子證據(jù)泛指一切用以證明案件事實的電子化信息資料和數(shù)據(jù)；從狹義上講，電子證據(jù)僅指以數(shù)字形式存在于計算機系統(tǒng)中的能夠證明案件事實的數(shù)據(jù)，包括計算機產(chǎn)生、傳輸、儲存、記錄以及打印的證據(jù)。其表現(xiàn)形式可能為文檔、圖形、圖像、聲音等形式。

當前計算機取證研究的一個比較活躍的領域是獲取操作系統(tǒng)的易失性數(shù)據(jù)。易失性數(shù)據(jù)可以定義為當計算機系統(tǒng)失去電源以后不再存在的數(shù)據(jù)，而這些易失性信息通常保存在內(nèi)存或硬盤的臨時文件中。RFC3227文檔給出了各種類型的信息按照易失性的程度的排序，依次為：

①寄存器，高速緩存

②路由表，ARP高速緩存，進程表，內(nèi)核統(tǒng)計和內(nèi)存

③臨時文件系統(tǒng)

④硬盤

⑤遠程登錄和監(jiān)控數(shù)據(jù)

⑥物理配置和網(wǎng)絡拓撲

⑦歸檔媒體

其中內(nèi)存取證研究處于易失性數(shù)據(jù)取證領域的前沿，是當前的研究熱點。內(nèi)存取證是指獲取和分析正在運行的主機的物理內(nèi)存的內(nèi)容。

3.windows易失性內(nèi)存取證技術

當前獲取Windows操作系統(tǒng)易失性內(nèi)存數(shù)據(jù)的技術主要包括兩類：基于軟件的和基于硬件的?？梢酝ㄟ^操作的基本原理進行區(qū)分：軟件技術依賴于Windows操作系統(tǒng)獲取內(nèi)存的鏡像，而硬件技術則獨立于具體的操作系統(tǒng)，直接訪問計算機系統(tǒng)的內(nèi)存?；谟布募夹g主要包括基于DMA（DMA：Direct MemoryAccess）的PCI卡、Firewire設備和虛擬機（如VMWare）等，這些方法雖然具有一定的研究價值，但大都存在固有的缺陷：如受限于實際的應用場景；又比如受內(nèi)存映射IO（MMIO：Memory Mapped Io）特性的影響，導致獲取的內(nèi)存鏡像與實際不符，因此還沒有得到廣泛應用。

原始Windows內(nèi)存鏡像是純二進制比特信息，不能直接作為電子證據(jù)高級分析技術和工具的數(shù)據(jù)源，需要根據(jù)Windows內(nèi)存組織和運行方式提取其中有價值的結構化數(shù)據(jù)（如進程和線程信息），已經(jīng)有一些商用和研究的工具和技術支持物理內(nèi)存的取證分析。所有成果中Volatility Framework除了具備大多數(shù)內(nèi)存分析工具的功能以外，還具有以下特性：首先，它可以自動識別標準c語言的底層二進制數(shù)據(jù)流，并將它們映射到高層的標準c語言的數(shù)據(jù)結構類型，這樣就可以使取證分析工作人員在高級語言層面分析內(nèi)存中代碼結構；其次，VolatilityFramework還可以通過內(nèi)存鏡像的物理地址信息，構建出內(nèi)存的邏輯地址空間，使分析人員可以使用每個進程自己的虛擬地址空間分析問題，而不用考慮其真實的物理地址究竟映射在內(nèi)存的什么地方。而且對c語言的指針可以直接訪問到其指向的數(shù)據(jù)，不用過多考慮邏輯地址到物理地址空間映射的問題；另外，VolatilityFramework具有較好的可擴展性，支持通過編寫插件等進一步對分析功能進行擴展。

總之，現(xiàn)有的Windows易失性內(nèi)存取證方法和技術只能分析單個Windows內(nèi)存鏡像文件，并沒有利用計算機技術智能分析相同性質(zhì)案件所共有的典型特征，還不能自動地利用已經(jīng)積累的案例信息智能地輔助調(diào)查取證人員處理同一類的計算機犯罪案件。此外，當前面向證據(jù)的設計模式限制了取證工具的橫向功能擴展和縱向滿足更高層次的應用發(fā)展，單一的證據(jù)很難在邏輯上形成具有相互關系的證據(jù)鏈，還無法實現(xiàn)智能推理等擴展功能，不能為高級應用提供支持。因此，迫切需要開展面向證據(jù)鏈重構的Windows易失性內(nèi)存智能取證研究。

4.windows易失性內(nèi)存取證模型

計算機取證過程必須遵循嚴格的程序流程，否則將導致獲取證據(jù)的可信度降低或缺乏合法性，為此人們提出了許多種計算機取證模型，以規(guī)范取證過程、指導取證產(chǎn)品研發(fā)。然而，現(xiàn)有的取證模型也存在諸如過于注重細節(jié)，缺乏通用性；沒有很好地把法律和技術結合起來；注重靜態(tài)的取證分析而沒有考慮取證模型隨時間的變化等問題，特別是現(xiàn)有的取證模型還沒有考慮Windows內(nèi)存數(shù)據(jù)的易失性、瞬時性、階段穩(wěn)定性、實體信息多維性、實體相互關聯(lián)性以及階段內(nèi)實體狀態(tài)變化的可預見性等特點。

經(jīng)過嚴謹?shù)睦碚撗芯亢蛻脺y試，本文已經(jīng)設計出具有較好通用性與可擴展性的實用的Windows易失性內(nèi)存取證模型，共四層。第一層進行基本信息分析與提??；第二層進行實體信息的識別；第三層進行關聯(lián)性分析；第四層進行電子證據(jù)的歸檔；對已獲取的原始的Windows內(nèi)存數(shù)據(jù)從高層次視圖進行抽象。利用進程代數(shù)和規(guī)則制定輔助調(diào)查取證人員進行智能推理，并用軟件實現(xiàn)了將多個相關的可疑證據(jù)組成一個整體，形成具有推理關系的證據(jù)鏈，重構計算機犯罪行為、動機以及嫌疑人特征。

參考文獻

[1].許榕生，吳海燕等.計算機取證概述.計算機工程與應用，2001，37（21）：7 8，144.

[2].丁麗萍，王永吉.計算機取證的相關法律技術問題研究.軟件學報，2005，16（2）：260 275.

[3].王峰.基于Windows的易失性內(nèi)存數(shù)據(jù)取證分析方法研究吉林大學碩士畢業(yè)論文

[4].G.Simson，F(xiàn).Paul，R.Vassil，D.George.Bringingscience to digital forensics with standardized forensic corpora，2009.1：2 11.

[5].S.Peisert，M.Bishop，K.Marzullo.Computer forensics inforensic.ACM SIGOPS Operating Systems Review，2008，42（3）：112-122