反计算机取证技术的应用研究

林翔

【摘要】 文章对反计算机取证技术的应用进行研究和探讨，主要包含数据加密、数据隐藏和数据销毁技术。反计算机取证技术的应用为电子证据取证技术的“三性”问题提供依据，也有助于优化和完善现有的取证工具，在对个人隐私和网络敏感数据的保护也具有重要应用价值。

【关键词】 反计算机取证 数据加密 数据隐藏 数据销毁

一、引言

近年来，计算机取证理论和软件是计算机安全领域内取得的重大成果，然而，在实际取证应用中，还存在着很多局限性，大量取证工具也并没有统一的标准和规范，软件使用者很难对这些取证工具的有效性和可靠性进行比较。正是由于取证技术上的局限性以及计算机技术的普及，以及在计算机犯罪手段与数据安全防御技术之间的对抗不断升级，反计算机取证技术（Anti-Computer Forensic）日益受到关注。

二、反计算机取证技术应用现状

反计算机取证技术（Anti-Computer Forensic）的定义最早在2005年由美国普度大学的Marc Rogers博士提出。当时，反计算机取证技术被定义为“删除或破坏电子证据，使得取证方法无效”。随着计算机取证的程序化及其技术的完善，反计算机取证基本方法发展为策略上的考虑和技术上的方法。在技术层面上，反计算机取证技术主要是针对证据的收集和分析，罪犯利用取证调查开始时影响判断的素来干扰、阻挠取证，导致调查偏离犯罪活动场所，这些因素包括数据集的信息异常、失效或不产生指定的结果。证据收集阶段的反计算机取证技术主要有摧毁、隐藏、假造信息以及防止证据的创建等。这些技术相互结合使用，使得电子取证工作变得更加困难。

国外关于反计算机取证技术公开的报道不多，但当前最有效的反计算机取证技术是数据销毁，它可以清除所有可能的证据（包括索引节点、目录文件和数据块中的原始数据等），原始数据不存在了，取证工作自然无法进行。虽然摧毁所有潜在的证据很有效，但罪犯可能想保存一些有用的数据，为了使这些数据不被取证人员所理解，罪犯通常会使用加密技术。现代加密技术的发展使得这种方法很容易被犯罪分子所利用。数据隐藏（Data Hiding）也是一种有效的对付取证收集的技术，包括隐秘术（Steganography）和数字水印2个主要研究方向。国内的反计算机取证技术还处于起步阶段，整体滞后于国外的发展。随着计算机取证技术的发展，以及计算机犯罪的日益猖獗，反计算机取证技术的研究已成为我国信息安全与取证技术研究的重要方向，越来越多的安全技术与理论，尤其是为保护个人稳私所采取的加密、隐藏、数据擦除等技术，被应用于反计算机取证研究。

三、反计算机取证技术的应用意义

3.1增强犯罪打击力度，促进取证技术发展

目前，电子数据取证主要采用“人+工具”的取证模式，取证过程中，一个业务熟练、经验丰富的取证人员通常对取证现场具备较强的驾驭能力，能够准确地做出判断，减少失误。同时，取证工具有自身的局限性，世上没有完美的工具，取证工具的一个小缺陷有可能造成取证过程中关键数据的丢失或遗漏，这对于取证工作是很不利的。因此，通过研究反计算机取证技术，可挖掘并发现犯罪分子潜在手段，有助于对现有取证技术的缺点和不足进行优化和改进，开发出更加实用的取证软件。

3.2保护敏感数据和个人隐私

随着互联网的飞速发展和普及，美国棱镜计划的揭露，个人隐私和银行账号等敏感信息的泄露和窃取问题日益受到关注。同时，许多行业或部门会再利用被淘汰的计算机设备，特别对于我国某些非常重要的部门更新换代的计算机，循环利用转手他人的过程中，不可避免地存在数据安全的问题。通过反计算机取证技术，比如数据隐藏、数据加密和数据销毁技术的研究，可以为个人或集体正当法律权利不受侵犯提供有力的技术支持，这对个人隐私和企业敏感数据的保护具有重要价值。

3.3为电子证据的“三性”提供依据

公安机关收集到的材料要想成为证据，必须具备“三性”，即客观性、关联性、合法性。电子证据要能呈堂，就需要对其实质证据的客观性、与案件的关联性、合法性进行证明。比如，取证工具的效能倾向于同时拥有收集和分析数据的功能，在使用分析机器之前，为了确保分析机器的驱动器中不包含残余数据，仅仅对分析工具磁盘进行格式化是肯定不行的。需要对工具磁盘进行深度的数据擦除，而这正好可以应用上反计算机取证技术中数据销毁技术。因此，对反计算机取证技术的研究，可以大大提高取证工具的可靠性、可信任性和可采信性，最终为电子证据在呈堂时的合法性、客观性和关联性提供有效的依据。

四、反计算机取证关键技术

4.1数据加密

目前加密方法很多，但是大部分加密技术需要人工进行加密解密过程，十分繁琐。使用时需要每次加密解密，然而近年来针对企业文件保密需求应运而生的一种文件加密技术—透明加密技术，以“强制”、“透明”“安全”等特点成为目前信息安全市场主流的加密技术。所谓透明，是指对使用者的使用来说是透明的，不显示加密过程，不会被察觉。相对于市面上的一些伪加密、隐藏加密、转移加密等加密技术，透明加密是作用在Windows系统核心层的，与Windows紧密结合。通过对原始数据信息改变算法进行加密处理，属于真正意义上的加密。

4.2数据销毁

数据销毁技术主要包含消磁销毁数据、物理破坏法、焚烧销毁法。存储设备利用磁性技术来进行保存数据，因此磁一旦被消除了，数据就会被销毁。而物理破坏，顾名思义就是捣毁磁盘存储介质，但是往往磁盘的碎片仍可以被意图不轨的人利用，因此专业的磁盘销毁机还是有用武之地的。事实上，最直接和安全的销毁方式就是将存储介质进行焚烧，将其化为灰烬，数据也就不复存在了。但对于需要循环使用存储介质的普通用户来说，软件销毁方法也是一种选择。软件销毁的核心思想是用垃圾数据来替代敏感数据。目前，随着大数据和云计算应用，销毁数据的机制集中在对敏感数据的自主感知和自动销毁的模型研究。

4.3数据隐藏

数据隐藏是指利用特殊的手段和软件，使受保护的文件不被窃取者看到的防护措施，对于普通用户而言，常用的Windows系统数据隐藏方法有： 1）通过修改注册表信息“HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼Curren tVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL”，使得用户无法在windows系统文件“查看”选项里设置显示“隐藏的文件和文件夹”，从而达到使隐藏文件“隐形”的目的。2）利用回收站隐藏文件。将需要隐藏的文件剪切到回收站的“Recycled”文件夹中，再设置“Recycled”文件夹“属性”为“只读”。此后，双击“回收站”将看不到里面有任何文件。即便其他用户执行了文件删除操作，同时又执行了“清空回收站”的操作，原先被隐藏在这里的文件仍不会被删除。3）创建保密文件夹。利用命令提示符创建带有“.”的文件夹，比如创建一个名为123..的保密文件夹，只需在在命令提示符中输入md 123..＼。而后，在资源管理器中打开该文件夹，将需要隐藏的文件或文件夹放入其中。当双击文件夹123..时，看到系统提示“该文件夹为空”，但事实上该文件夹非空。

五、总结

当前，计算机信息和网络安全存在许多需要解决的重要问题，特别是随着大数据时代物联网和云计算等新兴互联网技术的诞生和应用，计算机犯罪将成为破坏性最大的一类犯罪。可以预见，未来的计算机取证与反计算机取证的对抗必然越来越激烈，只有对反计算机取证技术深入了解，才能不断提高取证软件的可靠性、可信任性和可采信性。同时，研究反计算机取证技术也为个人隐私和公司企业敏感数据的保护提供了有效保证。

参 考 文 献

[1]李佟鸿，王宁，刘志军.计算机系统信息隐藏反取证技术[J].计算机系统应用.2013，22（5）.

[2]杨德明等.基于Word文档的数据隐藏方法[J].计算机应用与软件.2015-5，32（5）.

[3]龚健虎.云计算反取证的关键技术及其应用[J].网络安全技术与应用.2014-8，41（3）：37-40.