cf team 中國計算機取證技術研究組
htcia高科技犯罪調查協會亞太區分會
國外在電子證據方面的發展狀況究竟如何呢?我們可以通過國外民間機構在計算機法證方面的研究了解到一些情況。
目前,對於電子資料的研究,主要有幾個不同術語:e-discovery和computer forensics、digital forensics、cyber forensics,這些不同的術語,可以看出電子資料主要涉及重要資料的發現、分析、證明和揭示幾個環節。
在國際各國,電子證據的主要應用單位是軍隊、警察、海關、反貪、金融、稅務、律師、保險等部門。這些部門雖然是最主要的應用部門,但是由於各個行業涉及到計算機、區域網、網際網路的高科技犯罪、商業欺詐、白領犯罪等行為越來越多,因此越來越多的諮詢顧問公司、商業調查機構、會計師行、私人調查公司開始從事電子證據服務。下面,從幾個方面來看國外計算機法證和電子證據研究的狀況。
1.與電子證據相關的硬體產品發展速度減慢
美國、英國,是開展電子證據研究最早的國家,國際目前廣泛應用的計算機法證硬體產品約有80%產自美國、英國。近3-5年間,是國際電子證據研究硬體產品發展最為鼎盛的時期,從各種硬碟複製機速度從1.8gb到3gb不斷攀公升,寫保護介面從單一的ide硬碟介面,到scsi、sata、usb、火線種類層出不窮,pc、mac、linux平台下的取證裝置越來越多。取證分析計算機各式各樣,出現了皮箱型、工控型,伺服器型等。這些產品的大量出現,對國際計算機法證技術的發展起到了極大的推動作用。但自2023年開始,國際各國計算機法證相關硬體產品發展速度漸緩,除簡單的公升級換代之外,沒有什麼更有創意的新產品出現。
2.法證分析軟體層出不窮
與硬體發展緩慢相對應,國際電子證據分析軟體產品卻如雨後春筍一般,湧現了很多優秀的產品。老牌法證工具的代表是encase和ftk,這兩個軟體已經發展了若干年,基本成了計算機法證的代名詞。美國guidance公司的encase軟體這兩年發展勁頭不錯,從4.0、5.0到6.0版,差不多每年推出乙個版本。相比之下,美國accessdata公司的ftk的進展可就相對慢了許多。1年前就聞聽要推出ftk 2.0版,各國使用者苦苦等了快2年,還沒有見到ftk 2.0版的問世,很是好奇他們苦心2年究竟能推出乙個什麼全功能的產品。
最近1年來,國際上最有發展潛質的要算得上是德國x-ways公司的x-ways forensics和澳大利亞nuix公司的fbi forensic desktop了。從歐洲、美國、澳大利亞這些計算機法證技術的一流國家來說,這兩個軟體的出現可以說明顯推動了冷清的市場。國內使用者可能很多人都知道winhex這個資料恢復和十六進製制編輯器。由於電子證據研究離不開二進位制、十六進製制,也離不開資料恢復,因此winhex的作者stefan將這個產品進一步開發成計算機法證工具。由於其強大的資料恢復功能、靈活的資料編輯能力,快速的公升級服務,x-ways forensics立刻在世界各地受到熱烈歡迎。
而fbi forensic desktop更是乙個不可多得的資料分析工具,它將關注點放在各行業最為重要、最為複雜的電子郵件及辦公文件的分析處理上,不僅能夠直接搜尋、察看電子郵件和附件內容,更可以通過圖形方式展示不同使用者之間的信件聯絡關係,加上其出色的多語言支援能力,fbi已經成為名副其實法證工具。雖然國際上還有**art、ilook、paraben等出色的分析工具,但它們終究無法抵擋這四大分析軟體四分天下的局面。
3.計算機法證領域逐步拓寬
從多年來主要關注的pc、網際網路、區域網,到今天的mac、數位相機、手機和ipod,電子證據的研究領域已經越來越廣泛。2023年開始,世界計算機法證界最熱的大概就是三個話題:手機和mac和vista。當今社會,計算機雖然已經非常普及,但也只能平均幾個人才能擁有一台,但手機的擁有量和更新換代速度卻令人嘆為觀止,乙個普通人的一生中可能會擁有10餘部甚至幾十部手機。如此大的擁有量、如此快的更新速度和其中可能發現的各種電子證據,讓世界各國個行業不得不必須全力應對。值得一提的是中國上海盤石公司、廈門美亞柏科、南韓finaldata分部,都針對亞洲地區手機型號開展研究,這些研究成果不在歐美國家之下。
windows vista作為世界軟體巨頭microsoft推出的換代作業系統,令世界矚目。雖然這種轟動不像當初從dos過渡到windows 3.0時那樣巨大,但由於vista系統可能會對電子證據產生的影響,使法證界專家不敢掉以輕心。目前各國專家都在對vista系統的取證分析開展研究。
mac作為另類時尚一直只是少數人的熱愛,但自推出雙核、雙系統概念之後,大量windows使用者也加入到mac的陣營。幾年前,各國計算機法證專家還在發愁如何有效分析mac資料,但今年,作為mac資料分析技術的領跑者,美國subrosasoft公司將具有資料恢復、獲取和分析工能的macforensicslab推到的國際舞台。與此同時,可以同時搭載mac、pc資料分析軟體的macbook和mac pro,更成為今年計算機法證領域創新和高效能的代表。
世界各國電子證據技術研究和發展,帶動了中國計算機法證技術的發展。中國電子證據法規和行業的發展,也吸引著世界各國的眼球。目前在亞太地區,中國香港、中國台灣、南韓、日本、新加坡等地區,計算機法證技術發展非常迅速。特別是在中國香港,htcia高科技犯罪調查協會亞太區分會、acfe國際反欺詐調查官協會香港分會、isfs資訊保安及鑑證公會香港分會等民間機構,有效推動了該地區的計算機法證技術的發展。而國內,作為唯一乙個計算機法證民間團隊,中國計算機法證技術研究組聯絡了香港地區各專業協會及國際計算機法證技術主要國家的知名公司、專家、學者,為推動計算機法證技術的國際交流起到了橋梁和紐帶作用。隨著「中國計算機取證機術峰會」的逐步成熟和「htcia國際高科技犯罪調查協會培訓年會」的引入,相信國內專業人士將能夠更全面地了解國際計算機法證技術的發展,從而有效提高執法部門、民間服務機構打擊高科技犯罪、白領犯罪、商業欺詐的能力。
電腦科學基礎 電子計算機抽象層次
電子計算機有著比較複雜的結構,而控制複雜性的關鍵做法之一正是抽象,即隱蔽不需要的細節。下圖是對電子計算機的分層抽象,這裡將計算機分為九層 應用程式層 作業系統層 體系結構層 微結構層 邏輯層 數位電路層 模擬電路層 器件層 物理層。下面自底向上地簡單介紹一下各層 物理層關注的是電子運動,由麥克斯韋方...
計算機進製及轉換
計算機使用二進位制,另外常用的還有八進位制 十進位制和十六進製制。1 二進位制 滿2進1,0 1表示,在jdk1.7之前程式中不容許定義二進位制數字,從jdk1.7開始可以定義。一般以0b 0b作為開頭 1 八進位制 滿8進1,0 7表示,一般以0作為開頭 1 十進位制 滿10進1,0 9表示,如果...
計算機及網路基礎
c client 客戶端軟體 s server 服務端軟體 python程式設計師是應用開發程式設計師,開發的軟體都是應用軟體,應用軟體必須執行於作業系統之上,作業系統則執行於硬體上,應用軟體不能接操作硬體,應用軟體對硬體的操作。必須呼叫作業系統介面,由作業系統操作硬體。1 客戶端軟體產生資料,存放...