國內(nèi)外電子數(shù)據(jù)取證裝備發(fā)展現(xiàn)狀與趨勢
申明:本文作者為郭弘、徐志強(qiáng),出版于2016年3月《保密科學(xué)技術(shù)》第66期,引用或轉(zhuǎn)發(fā)本文內(nèi)容請注明出處。
? ?電子數(shù)據(jù)取證技術(shù)在國外已經(jīng)發(fā)展了三十多年,早期主要在歐美執(zhí)法部門和司法機(jī)關(guān)使用。大多數(shù)的商業(yè)化取證工具則是在2000年后研發(fā)并在實(shí)戰(zhàn)中投入使用。國際上比較知名的電子數(shù)據(jù)取證企業(yè)有Guidance Software、AccessData、MicroSystemation、Paraben、Logicube、ICS、X-Ways、Cellebrite、Oxygen等。隨著電子數(shù)據(jù)取證技術(shù)的日益成熟,以及越來越多的執(zhí)法人員加入企業(yè),從事合規(guī)調(diào)查、反欺詐調(diào)查、稽核監(jiān)察等內(nèi)部調(diào)查,該技術(shù)逐步被越來越多的國內(nèi)外知名企業(yè)所接受,并用于企業(yè)的內(nèi)部調(diào)查。
? ? 當(dāng)前,中國在電子數(shù)據(jù)取證領(lǐng)域的研發(fā)實(shí)力和技術(shù)積累已經(jīng)走在國際前列,擁有了包括電子數(shù)據(jù)取證的硬件(硬盤復(fù)制機(jī)、只讀鎖、取證工作站)以及取證軟件(計(jì)算機(jī)取證分析、手機(jī)取證分析)等全系列自主研發(fā)的取證產(chǎn)品,成為繼美國后第二個(gè)擁有電子數(shù)據(jù)取證軟硬件綜合研發(fā)能力的國家。中國的電子數(shù)據(jù)取證實(shí)驗(yàn)室預(yù)計(jì)已經(jīng)超過600家,并逐步通過資質(zhì)認(rèn)定和實(shí)驗(yàn)室認(rèn)可來進(jìn)行規(guī)范管理。
? ? 硬盤復(fù)制機(jī)、只讀鎖、取證工作站等裝備是電子數(shù)據(jù)取證過程中常用的設(shè)備,有些設(shè)備體積小,便攜性好,常用于現(xiàn)場勘查取證;有些則體積較大,適用于固定場所(如電子數(shù)據(jù)取證實(shí)驗(yàn)室)。當(dāng)前,硬盤復(fù)制機(jī)、只讀鎖及取證工作站等取證產(chǎn)品已經(jīng)相對成熟,接口也相對比較齊全、速度不斷大幅提升,但是在技術(shù)升級及應(yīng)用方面缺乏創(chuàng)新。隨著歐美電子數(shù)據(jù)取證市場的日益飽和,電子數(shù)據(jù)取證廠商的業(yè)務(wù)拓展舉步維艱,研發(fā)投入也大幅減少,這也是導(dǎo)致電子數(shù)據(jù)取證軟硬件裝備創(chuàng)新不足的主要原因。
? ? 硬盤復(fù)制機(jī),又稱為克隆機(jī),是電子數(shù)據(jù)取證中最常見的鏡像設(shè)備。它基于位對位(bit by bit)方式對硬盤進(jìn)行復(fù)制。硬盤復(fù)制機(jī)一般有源盤和目標(biāo)盤兩種接口分類,源盤接口通常啟用寫保護(hù)模式,目標(biāo)盤則是讀寫模式。早期硬盤復(fù)制受限于硬盤I/O性能,多數(shù)IDE及SATA硬盤復(fù)制速度在3~4GB/Min,如同時(shí)計(jì)算硬盤哈希值(MD5),則性能進(jìn)一步下降。隨著硬盤復(fù)制設(shè)備硬件的更新?lián)Q代,SATA/SAS接口的硬盤成為主流,硬盤I/O性能大幅提升,較新的硬盤復(fù)制機(jī)對機(jī)械硬盤進(jìn)行復(fù)制,性能可高達(dá)7GB/Min,支持同時(shí)計(jì)算MD5哈希值且不降低性能。如果對于源盤和目標(biāo)盤均采用固態(tài)硬盤進(jìn)行復(fù)制,速度則可高達(dá)26GB/Min以上。當(dāng)前主流的硬盤復(fù)制機(jī)多數(shù)支持了各種主流接口,包括IDE、SATA、SAS、USB,而SCSI接口硬盤采用轉(zhuǎn)換卡進(jìn)行轉(zhuǎn)化。
? ? 只讀鎖,又稱為寫保護(hù)設(shè)備,對應(yīng)英文名稱是Write Blocker或Forensic Bridge。只讀鎖分為硬件只讀鎖和軟件只讀鎖。由于軟件只讀鎖是通過軟件來實(shí)現(xiàn)存儲(chǔ)介質(zhì)的保護(hù),系統(tǒng)環(huán)境不可靠可能造成無法安全保護(hù)數(shù)據(jù)。因此在司法取證領(lǐng)域,為了確??煽啃?,通常建議采用硬件只讀鎖。
? ? 早期的只讀鎖主要采用USB2.0及Firewire(火線)接口,隨著硬盤容量的增長,其傳輸速度跟不上實(shí)際的需求,逐步采用eSATA及USB3.0接口。雖然數(shù)據(jù)的讀取速度得到大幅提升,但是數(shù)據(jù)傳輸仍然存在帶寬限制。此外,由于之前的USB3.0芯片控制器技術(shù)不是很成熟,部分只讀鎖在使用一段時(shí)間后,會(huì)產(chǎn)生設(shè)備發(fā)熱、接口連接不牢固及其他外界因素導(dǎo)致設(shè)備可靠性較差的情況,導(dǎo)致硬盤鏡像時(shí),出現(xiàn)數(shù)據(jù)獲取不完整或哈希校驗(yàn)不一致等問題。
目前,市場上主流的只讀鎖設(shè)備分為兩類:單一接口只讀鎖和多功能綜合只讀鎖。常見的多功能綜合只讀鎖支持對IDE、SATA、SAS、SCSI、USB、Firewire等接口的存儲(chǔ)介質(zhì)進(jìn)行寫保護(hù)。此外,也有針對數(shù)碼設(shè)備存儲(chǔ)卡(SD卡、記憶棒等)進(jìn)行寫保護(hù)的存儲(chǔ)卡只讀讀卡器。
? ??早期,電子數(shù)據(jù)取證人員通常需要攜帶大量的取證設(shè)備前往涉及電子證據(jù)的案件現(xiàn)場,這些取證設(shè)備包括:硬盤復(fù)制機(jī)、只讀鎖、取證軟件及筆記本電腦,它們都是電子數(shù)據(jù)取證勘查箱中標(biāo)配的工具。由于這些取證設(shè)備或軟件相對獨(dú)立使用,因此,取證人員需在多個(gè)不同設(shè)備或軟件之間切換操作,流程繁瑣且效率低下。此外,硬件只讀鎖與筆記本電腦的連接還經(jīng)常存在接口連接不牢靠的現(xiàn)象,經(jīng)常出現(xiàn)意外狀況導(dǎo)致數(shù)據(jù)獲取或數(shù)據(jù)分析中斷,浪費(fèi)了大量時(shí)間。針對現(xiàn)場勘驗(yàn)的問題與現(xiàn)狀,國內(nèi)廠商將硬盤復(fù)制機(jī)、只讀鎖、取證軟件及筆記本電腦等軟硬件結(jié)合起來,于2010年研發(fā)并推出取證一體機(jī),將硬盤復(fù)制、計(jì)算機(jī)取證分析、動(dòng)態(tài)仿真取證三大功能結(jié)合,讓取證人員在現(xiàn)場通過一臺專業(yè)設(shè)備即可完成電子數(shù)據(jù)的證據(jù)固定、數(shù)據(jù)的快速分析、深度分析以及動(dòng)態(tài)仿真取證等工作。取證一體機(jī)從2011年開始廣泛被一線取證人員所接受,在國內(nèi)眾多執(zhí)法部門廣泛使用。
? ? 取證分析工作站一般是電子數(shù)據(jù)取證實(shí)驗(yàn)室中的重要組成部分。由于計(jì)算機(jī)取證分析離不開高性能的工作站,因此,國外的取證集成廠商(如Digital Intelligence)研發(fā)一系列取證分析工作站。這種工作站集成了電子數(shù)據(jù)取證常用的只讀接口及計(jì)算機(jī)取證分析軟件等,便于取證人員進(jìn)行各種鏡像及數(shù)據(jù)分析。在國外,電子數(shù)據(jù)取證的人員分工較為細(xì)致,現(xiàn)場勘驗(yàn)人員和數(shù)據(jù)分析人員一般由不同人來處理。因此國外取證分析工作站多數(shù)只配備一個(gè)多功能綜合只讀鎖,設(shè)備主要的目的是提供高性能處理能力,即使需要做硬盤鏡像,也只是逐個(gè)硬盤進(jìn)行制作,未采用并行制作方式。不管是使用硬盤復(fù)制機(jī)還是采用取證分析工作站,通常只能一次對1至2個(gè)硬盤進(jìn)行鏡像,效率較為低下。
? ? 在中國情況則有些不同,執(zhí)法人員在案件調(diào)查過程中經(jīng)常遇到大量的硬盤需要進(jìn)行證據(jù)固定及取證分析的情況,某些案件可能一次性就要處理幾十甚至上百個(gè)硬盤。因此,取證人員需要能一次性并行對多個(gè)硬盤進(jìn)行鏡像以及并行高效分析的取證工作站。
? ? 在計(jì)算機(jī)取證分析軟件方面,除了美國Guidance Software公司的EnCase、美國AccessData公司的FTK,還有德國X-Ways的X-Ways Forensics,這三款軟件是目前國際上比較主流的計(jì)算機(jī)取證分析工具,功能上也不斷豐富和完善。EnCase在全球擁有最多的用戶群,并擁有一定數(shù)量的EnScript腳本編程愛好者,深受歐美專家級調(diào)查人員喜愛,其條件表達(dá)式(Conditions)可自定義程度高,使用起來非常靈活。而FTK則操作簡單,過濾器也相當(dāng)靈活,能滿足調(diào)查員各種過濾要求,此外取證結(jié)果集中匯總進(jìn)行查看,相當(dāng)直觀,無需過多的培訓(xùn)即可實(shí)現(xiàn)主要的數(shù)據(jù)分析目的。X-Ways Forensics則是一款輕量級計(jì)算機(jī)取證工具,軟件無需安裝,功能也十分強(qiáng)大,具備EnCase、FTK的大部分功能,其在數(shù)據(jù)恢復(fù)、圖片模糊搜索及膚色檢測、視頻抽幀等方面有自己的特色。
? ? 此外,俄羅斯Belkasoft也研發(fā)了Belkasoft Evidence Center計(jì)算機(jī)取證分析工具,其特點(diǎn)是支持眾多國內(nèi)外即時(shí)通訊軟件、瀏覽器、電子郵件客戶端工具的數(shù)據(jù)解析。一直專注于電子郵件取證分析的澳大利亞Nuix公司也開始嘗試將其產(chǎn)品Nuix轉(zhuǎn)變?yōu)榫C合取證分析軟件,推出Nuix Investigator產(chǎn)品,功能也十分強(qiáng)大,具備EnCase、FTK等常見取證功能,支持上網(wǎng)記錄分析、系統(tǒng)痕跡分析、注冊表分析、視頻抽幀等功能。
? ? 在中國,上海盤石SafeAnalyzer是國內(nèi)最早的計(jì)算機(jī)取證分析產(chǎn)品,早期吸收借鑒了國外取證軟件EnCase和FTK的優(yōu)點(diǎn),是一款功能齊全、操作簡單的計(jì)算機(jī)取證分析軟件。 美亞柏科 “取證大師”將靜態(tài)取證、自動(dòng)取證、動(dòng)態(tài)取證等功能集成于一體,已成為國內(nèi)電子數(shù)據(jù)取證分析人員必備的分析系統(tǒng)。
? ? 國產(chǎn)計(jì)算機(jī)取證分析軟件與國外取證軟件(EnCase、FTK、X-Ways Forensics)相比,實(shí)用性較強(qiáng),能支持本地應(yīng)用軟件的取證分析。主要體現(xiàn)在除了支持國外主流的各類應(yīng)用軟件解析,還支持國內(nèi)本地化的各種軟件的數(shù)據(jù)提取與分析,能快速解析國內(nèi)各種瀏覽器(IE、Firefox、Chrome、360瀏覽器、獵豹瀏覽器、世界之窗等)的上網(wǎng)記錄信息,快速提取各種網(wǎng)絡(luò)下載工具的下載記錄信息,免密碼提取多種即時(shí)通訊軟件(Skype、MSN、汪汪等)聊天記錄信息,有效分析多種客戶端(Outlook Express、Office Outlook、Foxmail、網(wǎng)易郵等)的郵件內(nèi)容。
? ? 隨著大容量硬盤的日益普及,取證人員面向的數(shù)據(jù)成倍增長,計(jì)算機(jī)取證的方式將逐步從傳統(tǒng)的單兵作戰(zhàn)轉(zhuǎn)向協(xié)同作戰(zhàn)??梢灶A(yù)見,未來幾年,分布式取證與協(xié)同取證將成為取證的新模式。分布式取證涵蓋了計(jì)算機(jī)分布式取證、分布式密碼恢復(fù)取證。目前,分布式計(jì)算機(jī)取證系統(tǒng)主要有美國AccessData AD Lab產(chǎn)品和美亞柏科的“取證金剛”,而分布式密碼恢復(fù)系統(tǒng)主要有美國AccessData的DNA、俄羅斯Passware Kit Forensic、俄羅斯Elcomsoft Distributed Password Recovery、美亞柏科“極光”系統(tǒng),目前幾個(gè)廠商的產(chǎn)品均支持硬件(GPU、FPGA)加速,相比傳統(tǒng)的分布式密碼恢復(fù)要提高好幾個(gè)數(shù)量級。
? ? 分布式處理數(shù)據(jù)快速自動(dòng)找出所需的證據(jù)是分布式取證的一個(gè)發(fā)展方向。AccessData公司的AD Lab (早期名為FTK Lab)是一款基于FTK取證分析軟件研發(fā)的分布式取證系統(tǒng),采用MSSQL Server作為數(shù)據(jù)存儲(chǔ)服務(wù),具備利用多個(gè)計(jì)算機(jī)節(jié)點(diǎn)協(xié)同分析同一個(gè)證據(jù)文件或多個(gè)證據(jù)文件的能力,并提供了用戶權(quán)限管理、多用戶協(xié)同分析、Web審閱、電子郵件去重及增強(qiáng)OCR識別等功能。
? ? 大多數(shù)計(jì)算機(jī)取證軟件(如EnCase、FTK、X-Ways Forensic)支持Mac OSX文件系統(tǒng)解析,然而對系統(tǒng)中的應(yīng)用程序數(shù)據(jù)解析支持甚少,多數(shù)只會(huì)提取日志文件,也沒有提供分析所需的功能。正是因?yàn)橹髁魅∽C軟件對Mac OSX支持較弱,國外的SubrosaSoft、BlackBag、Sumuri等公司研發(fā)了針對蘋果取證的工具。此類工具基本分為兩種,一種是在線獲取數(shù)據(jù),如SubrosaSoft LockPickup、Recon for Mac OSX、BlackBag MacQuisition及Katana Lantern Imager,第二種是離線靜態(tài)數(shù)據(jù)分析,如MacForensicLab、BlackBag Black Light、Katana Lantern 5等工具。
? ? 近幾年,國內(nèi)的取證廠商也均研發(fā)了針對蘋果取證的產(chǎn)品,如盤石軟件SafeImager蘋果版,支持通過LiveCD啟動(dòng)Power PC和Intel架構(gòu)的蘋果計(jì)算機(jī),支持對硬盤的全盤鏡像及各類數(shù)據(jù)的獲取及解析。美亞柏科DC-8670多通道高速數(shù)據(jù)獲取設(shè)備支持通過ThunderBolt、USB3.0及火線等多個(gè)接口并用,快速對蘋果計(jì)算機(jī)進(jìn)行全盤鏡像制作,而蘋果系統(tǒng)Mac OSX的取證分析則使用計(jì)算機(jī)取證分析工具“取證大師”來進(jìn)行分析,支持對Mac OSX下的多種郵件客戶端、瀏覽器、聊天工具及系統(tǒng)信息進(jìn)行數(shù)據(jù)的解析。
? ? 隨著移動(dòng)終端的迅速發(fā)展,利用移動(dòng)終端進(jìn)行各類非法或犯罪行為呈上升趨勢,這使得電子數(shù)據(jù)取證的主要目標(biāo)從存儲(chǔ)介質(zhì)向移動(dòng)終端延伸。由于移動(dòng)終端更新?lián)Q代速度非常快,操作系統(tǒng)多樣,且移動(dòng)終端的運(yùn)行機(jī)制不同于傳統(tǒng)計(jì)算機(jī)設(shè)備,因此移動(dòng)終端取證設(shè)備的開發(fā)難度超過介質(zhì)取證設(shè)備。從近幾年的案件發(fā)展趨勢來看,未來一個(gè)時(shí)期將會(huì)是移動(dòng)終端取證快速發(fā)展的黃金期。
? ? 2014年5月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布了移動(dòng)終端取證的操作指南NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》,將移動(dòng)終端的取證分為5個(gè)層次:微讀、芯片分析、十六進(jìn)制鏡像/JTAG、邏輯分析以及人工分析。
? ? NIST發(fā)布的《移動(dòng)終端取證的操作指南》NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》還列出了一些移動(dòng)終端取證設(shè)備對應(yīng)支持的提取層級。表1列出了幾款主流移動(dòng)終端取證設(shè)備對應(yīng)支持的提取層級。
手機(jī)系統(tǒng)仿真是目前手機(jī)取證中的一種新興的技術(shù),手機(jī)仿真取證是指通過提取手機(jī)系統(tǒng)數(shù)據(jù),在專用取證設(shè)備上運(yùn)行手機(jī)仿真器,模擬手機(jī)運(yùn)行環(huán)境,運(yùn)行并登錄手機(jī)應(yīng)用程序,進(jìn)行數(shù)據(jù)瀏覽和分析。同時(shí),在仿真過程,可實(shí)時(shí)抓取應(yīng)用程序的通訊數(shù)據(jù),分析應(yīng)用程序的行為特征。整個(gè)仿真過程不破壞手機(jī)環(huán)境及用戶數(shù)據(jù),對案件手機(jī)數(shù)據(jù)起到有效的保護(hù)。
? ? 手機(jī)動(dòng)態(tài)仿真取證的應(yīng)用價(jià)值體現(xiàn)在以下四個(gè)方面:(1)手機(jī)在線仿真、截圖輔助證據(jù):提取手機(jī)應(yīng)用數(shù)據(jù)進(jìn)行在線仿真,通過仿真模擬器查看手機(jī)QQ、微信、新浪微博等數(shù)據(jù),進(jìn)行調(diào)查分析并截圖作為取證報(bào)告輔助證據(jù),且不破壞原有手機(jī)數(shù)據(jù)的完整性及有效性。(2)手機(jī)鏡像離線仿真、截圖輔助證據(jù):手機(jī)提取鏡像后,歸還嫌疑人后,通過手機(jī)仿真系統(tǒng),可以加載鏡像進(jìn)行離線仿真。通過仿真模擬器上查看手機(jī)QQ、微信、新浪微博等數(shù)據(jù),進(jìn)行調(diào)查分析并截圖取證。(3)查看微信紅包、公眾號文章等詳細(xì)信息:由于微信紅包數(shù)據(jù)只保存在服務(wù)器,本地為實(shí)時(shí)讀取,數(shù)據(jù)庫不保存,因此無法通過手機(jī)取證系統(tǒng)提取微信紅包詳細(xì)信息。此時(shí),可以通過手機(jī)仿真系統(tǒng)仿真后聯(lián)網(wǎng)查看,可以查看紅包的金額、個(gè)數(shù)等信息,廣泛應(yīng)用在近期打擊利用微信紅包進(jìn)行網(wǎng)絡(luò)賭博的違法行為中。其他如微信公眾號文章等信息,同樣可以通過手機(jī)仿真系統(tǒng)在線瀏覽和截圖取證。(4)手機(jī)木馬及惡意軟件分析:在聯(lián)網(wǎng)情況下,手機(jī)仿真系統(tǒng)可以實(shí)時(shí)通訊抓包,生成的抓包文件可以用第三方Wireshark軟件進(jìn)行數(shù)據(jù)包分析,可用于手機(jī)木馬、惡意軟件分析及安全調(diào)查。
? ? 在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算以及物聯(lián)網(wǎng)為代表的新一代網(wǎng)絡(luò)快速發(fā)展的背景下,網(wǎng)絡(luò)社會(huì)與物理社會(huì)相互交織、融為一體,改變了傳統(tǒng)的互聯(lián)網(wǎng)計(jì)算模式和體系結(jié)構(gòu),也改變了傳統(tǒng)的取證方式。如何研制出在新型網(wǎng)絡(luò)環(huán)境下進(jìn)行電子數(shù)據(jù)取證的工具成為取證廠商亟待解決的一大難題。因此,加大電子數(shù)據(jù)取證工具的研究力度勢在必行。展望未來,電子數(shù)據(jù)取證工具將會(huì)向著以下幾個(gè)方向發(fā)展:
1.?高速化、自動(dòng)化、專業(yè)化與智能化發(fā)展
? ? 如今,電子證據(jù)以不同形式分布在計(jì)算機(jī)、路由器、入侵檢測系統(tǒng)和移動(dòng)存儲(chǔ)等不同設(shè)備上。此外,數(shù)字設(shè)備的存儲(chǔ)能力以超過莫爾定律的速度增長,經(jīng)常涉及海量數(shù)據(jù),如果依靠人工來實(shí)現(xiàn),取證的速度和可靠性將大大降低。所以,未來需要功能更強(qiáng)、速度更快、自動(dòng)化程度更高的取證工具,才能有效進(jìn)行電子數(shù)據(jù)取證。取證工具也將不斷利用數(shù)據(jù)挖掘、人工智能以及硬件加速技術(shù)(如多核技術(shù)等)增強(qiáng)其智能化,以應(yīng)對大數(shù)據(jù)量、復(fù)雜數(shù)據(jù)的取證分析能力。綜上,取證工具必須高速化、自動(dòng)化、專業(yè)化與智能化,才能提高和滿足不同領(lǐng)域電子數(shù)據(jù)取證調(diào)查需求。
2.新型移動(dòng)終端的數(shù)據(jù)恢復(fù)和解密
? ? 目前,取證工具對于手機(jī)取證領(lǐng)域的固有難點(diǎn),如刪除圖片恢復(fù)、密碼破解等,依然存在短板。因此,新型智能終端的數(shù)據(jù)刪除恢復(fù)也是取證工具研究的重要方向,主要包括基于鏡像的簽名恢復(fù)。另一方面是針對應(yīng)用數(shù)據(jù)的存儲(chǔ)容器如SQLite、ESE進(jìn)行記錄級的刪除數(shù)據(jù)恢復(fù),恢復(fù)已刪除的應(yīng)用APP數(shù)據(jù)等。隨著檢驗(yàn)技術(shù)的發(fā)展,可以預(yù)見在未來將會(huì)有一定程度的突破。
? ? 此外,智能手機(jī)上會(huì)有更多的數(shù)據(jù)加密以保護(hù)個(gè)人隱私和企業(yè)數(shù)據(jù),這將使取證更具挑戰(zhàn)性。Android5.0采取的全盤加密、國產(chǎn)手機(jī)的自主安全機(jī)制(聯(lián)想、華為、小米等),雖然都基于Android操作系統(tǒng),但卻為取證工作帶來不少困難。蘋果取證領(lǐng)域雖然近一段時(shí)間在數(shù)字密碼暴力破解方面有一定突破,一旦系統(tǒng)漏洞修復(fù),蘋果的取證將依然成為業(yè)內(nèi)難題。在未來幾年,能幫助找到避開密碼和設(shè)備鎖方法的手機(jī)取證工具以及先進(jìn)的加密技術(shù)將是發(fā)展趨勢。
? ? 移動(dòng)互聯(lián)網(wǎng)將全球計(jì)算機(jī)網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)等連接在一起,加上網(wǎng)絡(luò)訪問具有較強(qiáng)的隱藏性以及匿名性,使得遠(yuǎn)程跨域取證異常困難。當(dāng)前有很多基于IDS的取證系統(tǒng)以及網(wǎng)絡(luò)取證系統(tǒng),但是這些系統(tǒng)的取證范圍也常常是一些較小的單位網(wǎng)絡(luò),如政府、企業(yè)網(wǎng)等。對于跨域發(fā)生的安全事件來說,如何進(jìn)行取證、如何進(jìn)行遠(yuǎn)程跟蹤事件等目前缺乏有效的方法。因此,研究有效的遠(yuǎn)程跨域取證工具將成為電子數(shù)據(jù)取證中的一個(gè)研究方向。
4.面向移動(dòng)終端的現(xiàn)場取證工具
? ? 隨著移動(dòng)終端類檢材的主流趨勢,可以預(yù)見的是現(xiàn)場取證工具將不再局限于計(jì)算機(jī)類檢材的數(shù)據(jù)快速獲取和指定類型數(shù)據(jù)的恢復(fù)獲取。隨著手機(jī)與個(gè)人電腦概念的趨同,現(xiàn)場取證工具必定在原有基礎(chǔ)上,涵蓋手機(jī)、計(jì)算機(jī)、平板等數(shù)字產(chǎn)品的證據(jù)固定和快速獲取功能,這也必將是現(xiàn)場取證工具的發(fā)展方向?,F(xiàn)場取證工具也將進(jìn)一步結(jié)合后端平臺,實(shí)現(xiàn)高性能計(jì)算、高度智能化等功能,現(xiàn)場獲取的數(shù)據(jù)可直接進(jìn)入平臺,并實(shí)現(xiàn)綜合的案件線索情報(bào)查詢及關(guān)聯(lián)分析。
? ? 隨著科技的快速發(fā)展,已經(jīng)涌現(xiàn)了各種智能設(shè)備,如智能手表、智能手環(huán)、智能眼鏡、智能家電、智能汽車、智能自行車、無人機(jī)、增強(qiáng)現(xiàn)實(shí)(AR)和虛擬現(xiàn)實(shí)(VR)等智能設(shè)備。各類智能設(shè)備的硬件、軟件系統(tǒng)都將不斷升級,對于電子數(shù)據(jù)取證來說,如何獲取智能設(shè)備中的數(shù)據(jù)、解析其數(shù)據(jù)內(nèi)容,分析出使用者的行為、軌跡、發(fā)生的事件等均是未來研究的方向。
? ? 隨著移動(dòng)智能終端、可穿戴設(shè)備及非智能嵌入式終端等普及應(yīng)用,越來越多的案件調(diào)查涉及此類設(shè)備。設(shè)備若出現(xiàn)故障、無法通過正常的通訊接口獲取數(shù)據(jù)或遇到有安全保護(hù)措施(如密碼保護(hù)),往往需要通過將芯片拆卸并獲取其數(shù)據(jù)內(nèi)容。研究各類芯片取證技術(shù),包含芯片物理提取、數(shù)據(jù)獲取、數(shù)據(jù)解析、數(shù)據(jù)恢復(fù)和鏡像仿真技術(shù)是電子數(shù)據(jù)取證的未來研究方向。
? ? 電子數(shù)據(jù)取證技術(shù)是一門跨領(lǐng)域的綜合性學(xué)科,因此必將通過和其他數(shù)字技術(shù)進(jìn)行結(jié)合才能取得發(fā)展,要克服當(dāng)前的局限性就要吸收多學(xué)科的研究成果。隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)、云計(jì)算、大數(shù)據(jù)以及物聯(lián)網(wǎng)技術(shù)等各種新技術(shù)不斷涌現(xiàn),必將對電子數(shù)據(jù)取證技術(shù)的發(fā)展產(chǎn)生較大的影響。而在這種情況下,只有通過有效的結(jié)合手段才能推動(dòng)電子數(shù)據(jù)取證技術(shù)的發(fā)展。因此,電子數(shù)據(jù)取證工具也必須要結(jié)合人工智能、機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等技術(shù)進(jìn)行開發(fā),這也是取證工具今后的發(fā)展方向之一。