日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

?數(shù)字取證是以各類電子設備為調(diào)查對象，通過收集和分析設備數(shù)據(jù)來獲取電子證據(jù)，從而協(xié)助企業(yè)、司法機關(guān)解決調(diào)查案件的一門學科。據(jù)歐盟2019年的公文顯示，大約85%的刑事調(diào)查案件中都涉及電子證據(jù)，因此，如何科學、有效地進行數(shù)字取證對現(xiàn)代法律體系地建設與完善起著至關(guān)重要的作用。然而，互聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展給當前數(shù)字取證領(lǐng)域帶來了新的挑戰(zhàn)：一方面，隨著云計算、物聯(lián)網(wǎng)、區(qū)塊鏈等新興數(shù)字技術(shù)的出現(xiàn)，處理多樣化的電子數(shù)據(jù)來源的能力變得尤為重要；另一方面，反取證技術(shù)不斷對抗發(fā)展，大幅增加了證據(jù)提取和分析的難度。

黑山網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、APP開發(fā)、自適應網(wǎng)站建設等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司于2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設就選創(chuàng)新互聯(lián)公司。

數(shù)字取證是取證科學的一個分支，專注于對電子數(shù)據(jù)的處理和分析，是發(fā)現(xiàn)、獲取、分析和報告可疑電子證據(jù)的過程。數(shù)字取證通常遵循以下基本流程（如圖1所示）：首先，取證調(diào)查人員搜尋、扣押可能涉及犯罪案件的電子設備；隨后，通過對存儲在設備中的電子數(shù)據(jù)進行收集、檢查和分析，取證調(diào)查人員可以獲得相關(guān)的電子證據(jù)，并以此重新構(gòu)建犯罪案件的整個過程；最后，取證調(diào)查人員將調(diào)查過程和可疑電子證據(jù)整理為一份完整的報告并提交給檢察人員。

圖1 電子數(shù)據(jù)取證流程

電子證據(jù)是數(shù)字取證的基礎，與取證流程密切相關(guān)。電子證據(jù)是指在計算機、智能手機等數(shù)字設備種形成的，能夠反映設備運行狀態(tài)、活動等事實的各類電子數(shù)據(jù)，如系統(tǒng)日志、網(wǎng)絡流量、音視頻文件、電子郵件等。電子證據(jù)的來源豐富多樣，早期電子證據(jù)主要是從計算機、智能手機等設備中收集，然而隨著新型犯罪事件的頻繁發(fā)生，數(shù)字取證領(lǐng)域增加了大量新的數(shù)據(jù)來源，如云計算、物聯(lián)網(wǎng)、軟件定義網(wǎng)絡等，給數(shù)字取證領(lǐng)域提出了新的挑戰(zhàn)。

除電子證據(jù)新來源外，新型犯罪事件中的電子設備種類繁多，各類技術(shù)手段日新月異，增加了證據(jù)提取和分析的難度。在證據(jù)提取階段，易失性數(shù)據(jù)的存在常導致有效證據(jù)的丟失，設備物理損壞和全盤加密技術(shù)的使用使得證據(jù)提取的流程更加繁瑣。在證據(jù)分析階段，多樣的數(shù)據(jù)來源和不斷發(fā)展的反取證技術(shù)，如數(shù)據(jù)偽造、數(shù)據(jù)隱寫、全盤加密等，向取證人員提出了新的技術(shù)考驗。

本文將聚焦數(shù)字取證領(lǐng)域面臨的新挑戰(zhàn)：第1部分主要介紹多種電子數(shù)據(jù)新來源；第2部分分析當前數(shù)字取證領(lǐng)域獲取電子證據(jù)的困難；第3部分介紹取證人員在證據(jù)分析階段面臨的難題；第4部分介紹其他非技術(shù)難題。

1.  電子證據(jù)新來源

在新型犯罪事件中，犯罪者對使用新興技術(shù)的各類產(chǎn)品發(fā)起攻擊，并留下多種數(shù)據(jù)痕跡。本節(jié)將介紹云計算、物聯(lián)網(wǎng)、軟件定義網(wǎng)絡等新型技術(shù)常面臨的威脅，以及數(shù)字取證在此類犯罪事件中關(guān)注的電子證據(jù)類型。

1.1. 云計算（Cloud）

云計算作為當前蓬勃發(fā)展的新興技術(shù)之一，正逐步取代傳統(tǒng)的本機計算方式，以更快速、靈活的方式為用戶提供計算機資源交付服務。隨著云服務需求的不斷增加，云已經(jīng)發(fā)展為一個巨大的數(shù)據(jù)倉庫，攻擊者通過挖掘云中的信息獲得云用戶的私人信息并發(fā)起勒索。除此之外，攻擊者也利用云計算的能力，發(fā)起諸如分布式拒絕服務之類的攻擊，并且借助云來隱藏行為。在云取證中，取證人員通常是提取虛擬機快照、網(wǎng)絡日志、客戶端數(shù)據(jù)等電子證據(jù)進行分析，以便將犯罪者繩之以法。

1.2. 物聯(lián)網(wǎng)(Internet of Things, IoT)

智能家居、醫(yī)療物聯(lián)網(wǎng)器械、無人機、車聯(lián)網(wǎng)等物聯(lián)網(wǎng)設備空前普及，為個人、企業(yè)和政府提供了諸多便利，同時也成為了攻擊者的目標。攻擊者借助物聯(lián)網(wǎng)設備發(fā)動病毒攻擊、大規(guī)模監(jiān)視、拒絕服務攻擊和物聯(lián)網(wǎng)網(wǎng)絡中斷等攻擊。為了調(diào)查這些攻擊事件，物聯(lián)網(wǎng)取證應運而生并不斷發(fā)展。在物聯(lián)網(wǎng)取證中，與安全事件相關(guān)的電子證據(jù)來源十分廣泛，其主要來源是存儲在家用電器、傳感器、汽車、無人機等物聯(lián)網(wǎng)設備中的數(shù)據(jù)，如系統(tǒng)日志、臨時緩存等。除此之外，取證調(diào)查人員也可以通過收集和分析源自路由器、交換機等網(wǎng)絡設備的數(shù)據(jù)或者物聯(lián)網(wǎng)設備所使用的云服務中的數(shù)據(jù)，來發(fā)現(xiàn)相關(guān)電子證據(jù)，重現(xiàn)網(wǎng)絡攻擊的過程。

1.3. 軟件定義網(wǎng)絡 (Software?Defined?Network, SDN)

SDN是一種新的網(wǎng)絡架構(gòu)，它將數(shù)據(jù)和控制層分離，使網(wǎng)絡控制變得開放可編程。SDN網(wǎng)絡包含基礎設施層、控制層和應用層3層架構(gòu)，攻擊者通常使用拒絕服務攻擊對基礎設施層進行攻擊，或是偽造數(shù)據(jù)包使控制層內(nèi)存過載，或者利用北向接口的漏洞創(chuàng)建惡意SDN策略來控制整個網(wǎng)絡。在SDN的攻擊事件中，取證調(diào)查人員需要分析大量的數(shù)據(jù)，如應用程序日志、接口通信記錄、主機配置文件、可疑鏈路、惡意數(shù)據(jù)包、網(wǎng)絡流量表等。

1.4. 圖形處理單元（Graphics Processing Unit, GPU）

GPU被廣泛應用于圖形處理和大規(guī)模計算工作，顯著提高了許多應用程序的運行速度，如比特幣挖礦、金融和科學計算、密碼破解等。然而，近年來有研究發(fā)現(xiàn)，一些惡意軟件可以利用GPU執(zhí)行惡意操作，如竊取本機敏感信息、解包并執(zhí)行惡意代碼等，并且可以有效規(guī)避惡意軟件檢測和分析工具。雖然通過分析系統(tǒng)內(nèi)存中的信息通常可以檢測到惡意軟件正在借助GPU執(zhí)行操作，但是，在某些條件下惡意軟件的執(zhí)行不會在系統(tǒng)內(nèi)存中留下痕跡，因此取證調(diào)查人員仍需要單獨獲取和分析GPU內(nèi)部的數(shù)據(jù)。

圖2 電子數(shù)據(jù)取證的數(shù)據(jù)來源

1.5. 智慧城市（Smart City）

近年來，智慧城市技術(shù)被廣泛利用來應對不斷發(fā)展的現(xiàn)代城市所面臨的難以處理的問題。例如，MK Smart是一項在英國開展的智慧城市項目，該項目中有一個名為MK Data Hub的中心基礎設施。MK Data Hub數(shù)據(jù)中心包含來自不同來源的801個數(shù)據(jù)集，包括能源消耗數(shù)據(jù)、交通數(shù)據(jù)、衛(wèi)星數(shù)據(jù)、社會和經(jīng)濟數(shù)據(jù)以及社交媒體或應用程序的眾包數(shù)據(jù)。這些數(shù)據(jù)是智慧城市項目的核心，自然地引起了攻擊者的關(guān)注，長期以來該數(shù)據(jù)中心的物理安全和網(wǎng)絡安全一直都面臨著巨大的威脅。在智能城市項目的取證中，取證調(diào)查人員需要分析的是城市內(nèi)全部數(shù)據(jù)，這些數(shù)據(jù)來源廣泛且多樣，因此數(shù)據(jù)的復雜性極高，嚴重阻礙了電子數(shù)字取證的實施。

1.6. 工業(yè)控制系統(tǒng)(Industrial Control System, ICS)

工業(yè)控制系統(tǒng)是一個廣泛的術(shù)語，用以指代任何用于控制關(guān)鍵基礎設施（如電網(wǎng)、核設施和天然氣管道）的物理設備，主要包括監(jiān)控和數(shù)據(jù)采集（Supervisory Control and Data Acquisition, SCADA）、分布式控制系統(tǒng)（Distributed Control System, DCS）、可編程邏輯控制器（Programmable Logic Controller, PLC）、遠程終端單元（Remote Terminal Unit, RTU）等。除信息竊取和勒索攻擊等網(wǎng)絡犯罪相關(guān)問題外，ICS還極易受到一些物理攻擊事件，如化工廠火災或電網(wǎng)系統(tǒng)爆炸等。傳統(tǒng)的數(shù)字取證方法主要是對ICS中的計算機進行取證，但是對于SCADA、PLC、RTU等系統(tǒng)的復雜網(wǎng)絡數(shù)據(jù)、日志文件、設備運行數(shù)據(jù)、活動日志等還需要更深入的研究。

1.7. 區(qū)塊鏈（Blockchain）

近些年，有多項研究將區(qū)塊鏈應用到其他領(lǐng)域的電子數(shù)據(jù)取證中，提出了區(qū)塊鏈輔助的取證方法，保證電子證據(jù)鏈的安全性和可追溯性。但是，區(qū)塊鏈領(lǐng)域本身的取證尚未得到廣泛的研究。研究人員對區(qū)塊鏈技術(shù)中可能發(fā)生的攻擊方法進行了研究，提出了將比特幣和其他加密貨幣錢包地址映射到用戶信息的方法，并且驗證了針對分布式P2P存儲網(wǎng)絡的攻擊方式。當前，區(qū)塊鏈領(lǐng)域的電子數(shù)據(jù)取證主要是從內(nèi)存中提取比特幣密鑰、擴展公鑰、錢包地址、網(wǎng)絡協(xié)議和交易歷史等數(shù)據(jù)，并對這些數(shù)據(jù)進行調(diào)查和分析。

2. 證據(jù)提取新難題

在數(shù)字取證流程中，取證調(diào)查人員首先需要提取設備中的電子證據(jù)，然而，證據(jù)提取的過程并不總是一帆風順的。數(shù)據(jù)易失性、設備物理損壞和設備全加密等情況和技術(shù)給電子證據(jù)的提取帶來了巨大的挑戰(zhàn)。

2.1. 數(shù)據(jù)易失性

數(shù)據(jù)易失性指的是待取證設備中的數(shù)據(jù)可能由于某些原因而丟失。例如，計算機的內(nèi)存可以包含與系統(tǒng)使用相關(guān)的證據(jù)，如運行中的進程列表、網(wǎng)絡連接或驅(qū)動程序的加密密鑰等等，但是這些數(shù)據(jù)不會永久地存儲在系統(tǒng)中，當系統(tǒng)關(guān)閉或拔掉電源時，這些數(shù)據(jù)會完全丟失。物聯(lián)網(wǎng)設備上的所有可用信息都可以在本地記錄，不過由于本地存儲通常有限，記錄的傳感器值/執(zhí)行器狀態(tài)數(shù)一直保持在某個閾值下。一旦數(shù)據(jù)量超過閾值，數(shù)據(jù)便會被覆蓋，從而可能導致丟失重要證據(jù)。

2.2. 設備物理損壞

物理損壞是指由于事故、自然災害或者其他原因使得物體表面、結(jié)構(gòu)受到破壞的現(xiàn)象，例如智能手機屏幕破碎、硬盤信道損壞、液體腐蝕等。取證調(diào)查人員在進行涉案設備收集時，經(jīng)常會遇到設備損壞的情況。對于遭受物理損壞的設備，取證調(diào)查人員首先會盡快挽回損失，比如將浸水設備進行清洗、干燥后反組裝，查看設備是否可以恢復正常狀態(tài)。如果設備損壞嚴重、無法恢復原狀，取證調(diào)查人員會通過更換設備損壞部件或者提取損壞設備的有效部件的方式盡可能多地提取電子數(shù)據(jù)。

圖3 提取設備部件

2.3. 設備全加密

全盤加密 (Full Disk Encryption, FDE) 是一種使用對稱密鑰加密（通常是 Advanced Encryption Standard, AES）在塊級別對設備上的所有用戶數(shù)據(jù)進行加密的方式，常見的工具有BitLocker 和VeraCrypt。企業(yè)和用戶經(jīng)常使用全盤加密的方式保護私人數(shù)據(jù)，卻也使得電子數(shù)字取證任務更具有挑戰(zhàn)性。在沒有加密密鑰的情況下，很難從完全加密的設備中恢復數(shù)據(jù)。即使目前取證人員可以利用磁盤加密工具中的恢復選項從磁盤中提取數(shù)據(jù)，但由于恢復技術(shù)還不夠成熟，數(shù)據(jù)提取也將十分耗時，且無法確保提取成功。

3. 證據(jù)分析新難題

在證據(jù)分析階段，取證人員需要處理大量來自不同數(shù)據(jù)來源的電子證據(jù)，再加上諸如數(shù)據(jù)偽造、隱寫和文件擦除等反取證技術(shù)的干擾，使得證據(jù)分析的過程異常困難。

圖4 證據(jù)分析

3.1. 多源分析和關(guān)聯(lián)

隨著提取的電子數(shù)據(jù)的數(shù)量和種類越來越多，取證調(diào)查人員需要關(guān)聯(lián)處理不同來源的電子數(shù)據(jù)來分析和還原案件的經(jīng)過，例如計算機、服務器、路由器、防火墻或其他物聯(lián)網(wǎng)設備等，這些電子數(shù)據(jù)具有異構(gòu)性和語義多樣性等特點。即使是同種來源的數(shù)據(jù)也有可能會有不同標準的數(shù)據(jù)格式，例如在云服務中不同的提供商都有各自的日志記錄標準。復雜的、有針對性的網(wǎng)絡攻擊將其行為隱藏在多源異構(gòu)的數(shù)據(jù)中，只有將所有數(shù)據(jù)作為一個整體進行關(guān)聯(lián)分析，才可以還原一個完整的攻擊過程。

3.2.  數(shù)據(jù)偽造

數(shù)據(jù)偽造是攻擊者用于迷惑和誤導取證調(diào)查人員常用技術(shù)。攻擊者通過修改系統(tǒng)日志、各類記錄文件、用戶文件、圖像音視頻等多媒體文件來掩蓋犯罪事實。取證調(diào)查人員通過檢測和識別這些痕跡來發(fā)現(xiàn)攻擊者的偽造行為。而攻擊者面對多樣化的取證方法，不斷改進現(xiàn)有的數(shù)據(jù)偽造技術(shù)，或者提出新型數(shù)據(jù)偽造方法，以逃避取證。例如，在圖像偽造領(lǐng)域，研究人員已經(jīng)提出了基于圖像篡改痕跡、基于統(tǒng)計特征和基于深度學習的檢測方法，但是攻擊者仍然可以使用中值濾波、指紋復制和基于對抗樣本的偽造技術(shù)逃避檢測。

3.3. 數(shù)據(jù)隱寫

隱寫是數(shù)據(jù)隱藏的常用方式，允許攻擊者將任何數(shù)據(jù)（如網(wǎng)絡罪犯將病毒、垃圾郵件和惡意鏈接嵌入數(shù)據(jù)）插入到可靠的對象中。在當今的數(shù)字世界，互聯(lián)網(wǎng)上的任何東西或一切都可能是秘密信息的掩護，最常見的是硬盤空閑空間和數(shù)字圖像、音頻、視頻等多媒體文件，除此之外，攻擊者也可以使用冗余通信機制將數(shù)據(jù)隱藏到網(wǎng)絡流量中，或者利用網(wǎng)絡游戲、虛擬世界等新的隱藏場所。由于設備的存儲容量普遍很大，檢查是否含有隱藏數(shù)據(jù)需要耗費大量的時間，所以取證調(diào)查人員通常情況下不會直接提取隱藏數(shù)據(jù)，而是檢查系統(tǒng)是否安裝和使用了任何已知的數(shù)據(jù)隱藏工具或程序。另外，提取隱藏數(shù)據(jù)仍然是一項具有挑戰(zhàn)性的任務，據(jù)了解，目前還沒有有效的工具可以檢測和提取隱藏在已刪除或移動的工具、已卸載的軟件、網(wǎng)絡流量中的電子數(shù)據(jù)，至于隱藏在虛擬世界中的數(shù)據(jù)則是更加難以追蹤。

3.4. 文件擦除

文件擦除是在文件中填充隨機數(shù)據(jù)以刪除文件的過程。目前存在許多公開的文件擦除工具可在所有平臺上免費使用，幫助用戶清理計算機殘留垃圾或徹底刪除用戶文件以保護其隱私。一旦文件擦除工具被攻擊者用來銷毀犯罪證據(jù)，將使電子數(shù)據(jù)的分析過程變得十分困難。取證調(diào)查人員只能通過設備中是否存在數(shù)據(jù)擦除工具、文件系統(tǒng)中是否存在殘留、注冊表中是否存在記錄等證據(jù)信息來判斷用戶是否執(zhí)行了擦除操作，但是擦除工具往往會對數(shù)據(jù)區(qū)域使用不同的擦除策略擦除多次，導致數(shù)據(jù)恢復軟件和工具失效。

4. 其他非技術(shù)新難題

4.1. 效率問題

隨著數(shù)字化的不斷發(fā)展，電子數(shù)據(jù)量呈指數(shù)型增長。與過去案件中較少的設備數(shù)和較小的數(shù)據(jù)量相比，如今的案件設備數(shù)量和種類大幅增多，取證調(diào)查人員需要處理并分析龐大的數(shù)據(jù)量，這是一項非常耗時的任務。以往使用單個工作站處理案件的取證方式限制了案件處理的效率，因此為了縮短案件分析的時間，同時部署多臺計算機同步進行取證成為一個可選之舉。但是，在多臺設備部署的取證系統(tǒng)中，取證設備是否需要人工操作以及設備間如何同步取證進度和關(guān)聯(lián)電子證據(jù)等問題仍然需要進一步探討。

4.2. 隱私問題

用戶普遍將個人信息存儲在常用設備中，或者通過在線社交網(wǎng)絡或社交媒體網(wǎng)站帶入網(wǎng)絡空間，這也導致了在電子數(shù)據(jù)取證的過程中，數(shù)據(jù)收集和分析都有可能會侵犯到用戶的隱私。此外，由于云平臺的共享性，云取證采集的日志文件中可能會包含同一平臺的其他使用者的信息，嚴重威脅著與案件無關(guān)的用戶的隱私。為了保證用戶數(shù)據(jù)安全、提升用戶信任，數(shù)字取證的流程仍然需要進一步完善和優(yōu)化，研究人員也應考慮將更多的安全技術(shù)應用到電子數(shù)據(jù)取證領(lǐng)域。

4.3. 資源問題

電子數(shù)據(jù)數(shù)據(jù)取證收集的證據(jù)大部分屬于系統(tǒng)最底層的數(shù)據(jù)，數(shù)據(jù)的復雜度較高，非技術(shù)人員很難理解和分析。理想情況下，取證調(diào)查人員需要擁有良好的知識儲備和較強的技術(shù)能力，了解各類設備硬件和軟件以及網(wǎng)絡的相關(guān)內(nèi)容，熟悉并掌握多領(lǐng)域的、最新的技術(shù)知識。然而目前對電子數(shù)據(jù)取證從業(yè)人員的專業(yè)培訓課程和進修學習課程仍未得到廣泛普及。

參考文獻

[1] Yaqoob I, Hashem I A T, Ahmed A, et al. Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges[J]. Future Generation Computer Systems, 2019, 92: 265-275.

[2] Khan S, Gani A, Wahab A W A, et al. Software-defined network forensics: Motivation, potential locations, requirements, and challenges[J]. IEEE Network, 2016, 30(6): 6-13.

[3] Okai E, Feng X, Sant P. Security and Forensics Challenges to The MK Smart Project[C]//2019 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation (SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI). IEEE, 2019: 1666-1670.

[4] Balzarotti D, Di Pietro R, Villani A. The impact of GPU-assisted malware on memory forensics: A case study[J]. Digital Investigation, 2015, 14: S16-S24.

[5] Fukami A, Nishimura K. Forensic analysis of water damaged mobile devices[J]. Digital Investigation, 2019, 29: S71-S79.

[6] Hoelz B, Maues M. Anti-Forensic Threat Modeling[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2017: 169-183.

[7] AlHarbi R, AlZahrani A, Bhat W A. Forensic analysis of anti‐forensic file‐wiping tools on Windows[J]. Journal of Forensic Sciences, 2022, 67(2): 562-587.?

新聞名稱：再談數(shù)字取證技術(shù)發(fā)展面臨的一些新問題
標題網(wǎng)址：http://www.dlmjj.cn/article/cddigcc.html