第9章 网络取证技术第9章 网络取证技术9.1 网络取证概述网络取证概述9.2 网络实时取证与分析网络实时取证与分析9.3 网络非实时取证与分析网络非实时取证与分析第9章 网络取证技术9.1 网络取证概述网络取证概述网络取证对于电子数据取证来说，其重要性毋庸置疑。在现阶段的涉网违法犯罪打击过程中，涉网电子证据的比例在逐年增加，尤其是网络新技术和新应用的不断涌现，对涉网电子数据的提取固定提出了更高的要求。从涉网电子数据取证的技术来说，主要分实时性网络取证和非实时性网络取证两种，实时性网络取证主要是对正在传输过程中的电子数据进行提取分析，非实时性网络取证主要是对网络行为的相关痕迹进行提取和固定。第9章 网络取证技术9.1.1 网络取证的特殊性网络取证的特殊性相对于传统的电子数据取证，网络取证是一个新兴的取证领域。随着互联网技术的不断发展，网络取证的需求量在不断加大，其重要性不言而喻。同时，由于网络技术不断推陈出新，网络犯罪的表现形式也在不断变化，因此给取证人员带来了较大难度。第9章 网络取证技术1. 网络取证的概念网络取证的概念计算机取证是指对存在于计算机及相关外部设备中的计算机犯罪证据进行确定、获取、分析和提取，以及在法庭出示的过程。计算机取证涵盖法学、计算机科学和刑事侦查学等诸多学科，在取证过程中还需要根据取证的标准和方法进行相关的流程控制，这些在前面章节中均已详细阐述。网络取证是计算机取证的一个重要分支，有别于计算机单机取证，网络取证是指借助于已构建好的网络环境，对存在于本地计算机或网络存储介质中的计算机犯罪证据进行确定、获取、分析和提取的过程。第9章 网络取证技术网络取证的内容主要涉及两个方面：一是来源取证，指取证目的主要是确定犯罪嫌疑人及其所在位置，取证内容主要包括IP地址、MAC地址、电子邮件信箱、软件账号等；二是事实取证，指取证目的不是查明犯罪嫌疑人是谁，而是要确定犯罪实施的过程和具体内容，取证内容主要包括文件内容调查、使用痕迹调查、日志文件分析、网络状态和数据包分析等。第9章 网络取证技术2. 网络电子证据的特点网络电子证据的特点网络电子证据是通过网络进行传输的网络数据，其存在形式是电磁或电子脉冲。与传统证据一样，网络电子证据必须是可信的、准确的、完整的、符合法律法规的证据。但由于网络电子证据的存在形式依赖于网络传输协议，缺乏可见的实体，采用不同的传输协议，其格式及传输方式就会不同。因此，网络电子证据必须通过专门工具和技术来进行正确的提取和分析，使之具备证明案件事实的能力。第9章 网络取证技术网络电子证据具有以下特点：(1) 表现形式的多样性。(2) 存储介质的电子性。(3) 准确性。(4) 脆弱性。(5) 海量性。(6) 广域性。第9章 网络取证技术3. 网络取证的难点网络取证的难点随着计算机网络技术的发展，犯罪嫌疑人采用的技术越来越高明，要侦破此类案件，需要依赖特定的技术装备并要求侦查人员具备较高的计算机水平。目前，我国大部分地区还未配备受过专业训练并掌握相关侦破技术的侦查人员，现有办案人员缺乏计算机网络知识。这些因素导致计算机网络取证工作在侦查和取证方面都存在着一定的困难。第9章 网络取证技术计算机网络犯罪主体多种多样，犯罪手段花样翻新，犯罪行为隐蔽性强，而且作案时间短、传播速度快、不易被人发现。由于犯罪现场留下的痕迹是数字化痕迹，计算机网络犯罪现场也不像传统犯罪现场那么明确，这些无疑会加大侦查计算机网络犯罪案件的难度。以本书作者曾参与的多起侵害公私财产为目的的计算机网络犯罪案件来看，犯罪嫌疑人在虚拟的网络空间中，可以利用计算机网络技术在不同的时间和地点进行犯罪活动，或采用DDoS(Distributed Denial of Service，分布式拒绝服务)技术对类似网吧这样的公共上网场所实施攻击以致其网络瘫痪；第9章 网络取证技术或采用网页挂马技术，在捕获大量“肉机”(受人非法控制的具有最高管理权限的远程计算机)的同时，窃取大量个人网银账号、公司账务等敏感隐私信息。而有些企业的网络技术人员和负责人在发现网络入侵事件后，担心损害企业在用户心目中的形象，对所受到的网络攻击隐瞒不报或自行重建系统排除故障了事，这样往往破坏了犯罪嫌疑人留下的犯罪证据，延误了侦查破案时机。第9章 网络取证技术计算机系统内各种数据资料形态各异，使人不易察觉到计算机系统内发生的变化。侦查人员在计算机网络犯罪现场对本地计算机硬盘或其他网络存储介质进行取证时，可能误入犯罪嫌疑人设计好的圈套，收集到被篡改的证据；另外，由于目前计算机网络取证技术尚未成熟，存在局限性，犯罪嫌疑人由此采用了一些反取证技术，如数据擦除、数据隐藏和数据加密，只需敲击几下键盘，在很短时间内就可以销毁犯罪记录，这些都大大增加了对计算机网络犯罪进行调查取证的难度。第9章 网络取证技术9.1.2 常见网络协议介绍常见网络协议介绍简单来说，协议就是计算机与计算机之间通过网络实现通信时达成的一种约定。就如两个人对话，双方都必须能听得懂对方的语言，或者两者之间有一种双方都会意的沟通方式，如果两者之间没有这样的约定，那么就会出现“鸡同鸭讲”的情况，双方无法沟通。计算机通信也是如此，为了能实现计算机之间的通信交互，两者必须有一种共同能理解的约定，这就是人们所称的协议。互联网协议中，比较有代表性的有IP协议、TCP协议、HTTP协议等。第9章 网络取证技术 OSI参考模型是学术和法律上的国际标准，是完整的权威的网络参考模型；而TCP/IP参考模型则是事实上的国际标准，即现实生活中被广泛使用的网络参考模型。在TCP/IP模型中，计算机信息系统按照应用程序、操作系统、设备驱动程序与网络接口3个层面进行划分，相关的计算机通信协议主要分布于TCP/IP模型的应用层、传输层和互联网层，与OSI参考模型的分层稍有不同，但是各种协议都能对应到OSI参考模型中，如图9-1所示。第9章 网络取证技术图9-1 TCP/IP模型与OSI参考模型的对应第9章 网络取证技术数据包在两个模型中都是以报文的形式存在的，数据包的结构可以分成两个部分：报头和内容。数据在发送方顶层至底层的传递过程中，到达相应层会添加一个报头，将原先带有上一层报头的数据包整体作为内容部分存入新的数据包，实现了层层加报头的特点；在接收方，则按照这样的模式自下而上层层解包，最终实现数据的传输。在TCP/IP分层模型中，数据包也与OSI参考模型一样，通过分层与分发的方式进行封装传输，如需要传输的数据在传输层中增加了一个TCP的报头，形成TCP中的数据包，传输至网络层；到达网络层后又增加了一个IP的报头，传输至数据链路层，形成以太网的数据包进行传输，如图9-2所示。第9章 网络取证技术图9-2 层层加报头第9章 网络取证技术 1. 数据链路层协议解析数据链路层协议解析众所周知，电缆中传输的都是0和1两种信号，只有区分0和1的各种不同的组合意义，才能将数据传输的语义进行表达，否则就是一片乱码。数据链路层就承担了这样的职能，在电缆传输的上方确定了0和1的分组方式。第9章 网络取证技术由于通信传输发展是一个渐变的过程，早期各通信公司在电信号的分组中均采用自己的公司标准，没有形成一个国际行业标准，导致不同厂商之间的通信设备无法通用。为了实现标准统一，以太网这种协议逐渐被各厂家接受，并迅速占据了主导地位。以太网规定，一组电信号构成一个数据包，称为帧(Frame)；每一帧分成两个部分：标头(Head)和数据(Data)。因此，数据链路层的数据包就称为以太网数据包，它由标头和数据两部分组成。其中，标头包含数据包的一些说明项，如发送者、接收者、数据类型等。第9章 网络取证技术为了标识标头中的发送者和接收者信息，以太网规定，接入网络的所有设备都必须具有网卡接口。数据包必须从一块网卡传送到另一块网卡，网卡地址就是数据包的发送地址和接收地址，也称MAC地址。每块网卡出厂时都有全世界独一无二的MAC地址，长度是48位的二进制数，通常用12个十六进制数表示。其中，前6个十六进制数是厂商编号，后6个十六进制数是该厂商的网卡流水号，如图9-3所示。有了MAC地址，就可以定位网卡和数据包的路径。第9章 网络取证技术图9-3 MAC地址第9章 网络取证技术 2. 网络层协议解析网络层协议解析根据以太网的协议，每发送一个数据包就广播一次，那么就会出现数据传输阻塞的问题。假设全世界所有的计算机都仅仅依靠MAC地址和广播方式进行数据包传输，每一台计算机发出的数据包都同步广播到全世界其他计算机，再一一比对判断，这样显然是低效、不现实的。为此，将广播设定在发送者所在的局域网内，相对于互联网来说就是一个子网，这样才能提高通信效率。所以，互联网是由一个个子网组成的更大的子网，一级一级组网，最终构成了互联网。第9章 网络取证技术既然是通过多层组网的方式，那么仅仅依靠MAC地址是无法实现不同子网间数据包的传输的。因此，在互联网中设计的传输模式是：先行判断那些MAC是否属于同一个子网，如果是则采用广播方式发送，如果不是则采用路由方式发送。因此，需要引用一个新的地址模式，使人们能够区分哪些计算机属于同一个子网，这种地址称为网络地址，即IP地址。在网络层，IP地址是基于IP协议来定义的。IP地址目前有IPv4(Internet Protocol version 4)和IPv6(Internet Protocol version 6)两版，又称互联网通信协议第四/六版。目前，主流的IP地址主要是IPv4，网络地址由32个二进制位组成。习惯上，一个IP地址用4段十进制数表示，范围为0.0.0.0255.255.255.255，如图9-4所示。第9章 网络取证技术图9-4 IP地址第9章 网络取证技术互联网上的每一台计算机都会被分配到一个IP地址，这个地址由两部分组成，前一部分代表网络，后一部分代表主机。例如，IP地址172.16.254.1是一个32位的地址，假定它的网络部分是前24位(172.16.254)，那么主机部分就是后8位(1)。处于同一个子网络的计算机，它们IP地址的网络部分必定是相同的，即172.16.254.2应该与172.16.254.1处于同一个子网络，而最后的2与1则是同一子网内两台不同计算机(主机)的编号。目前，IP地址主要分为5大类，根据不同的网络号进行区分，如表9-1所示。第9章 网络取证技术第9章 网络取证技术当然，仅仅根据一个IP地址还无法判断网络部分。例如，有10.1.5.110这样一个IP地址，网络部分是前24位还是前16位无法直接判断，需要有一个标识来区分是否在同一个子网中。因此，人们又引用了子网掩码的概念。子网掩码就是表示子网络特征的一个参数，它在形式上等同于IP地址，也是一个32位二进制数字，它的网络部分全部为1，主机部分全部为0。例如，IP地址10.1.5.110，如果已知网络部分是前24位，主机部分是后8位，那么子网络掩码就是11111111.11111111.11111111.00000000，写成十进制就是255.255.255.0，如图9-5所示。第9章 网络取证技术图9-5 子网掩码第9章 网络取证技术通常，人们把网络层使用的路由器称为网关。路由器上面有MAC地址和MAC地址对应的IP地址，而网关是网络层的概念，因此它只有IP地址。目前很多局域网采用路由器接入网络，因此现在习惯性认为网关就是路由器的IP地址。路由器是寻址在网络层的设备，虽然路由器上有MAC地址和IP地址，但并不能仅仅通过MAC地址寻址，必须通过IP地址寻址。第9章 网络取证技术相对于路由器，平时也常用网络交换机。网络交换机是一个扩大网络的器材，能为子网提供更多的连接端口，以便连接更多的计算机。交换机与路由器的区别主要有：一是工作层次不同，交换机主要工作在数据链路层(第二层)，路由器工作在网络层(第三层)。二是转发依据不同，交换机转发依据的对象是MAC地址，路由器转发依据的对象是IP地址。三是主要功能不同，交换机主要用于组建局域网，连接同属于一个(广播域)子网的所有设备，负责