在上篇文章《》中葉子給大家講了一些計算機應急響應的工作內容。其中講到應急處理人員在恢復工作時要保存各種證據，以備于涉及法律問題時，可以作為司法證據進行提交和分析。那么在應急響應過程中，我們應該如何進行計算機取證的工作呢？本篇葉子將帶你初步了解一下計算機取證工作的流程。

在1981年，IBM首次發布PC作為主流業務后，美國聯邦執行人員就發現“白領”通過PC工具進行犯罪，從而開始計算機取證工作的研究和分析。到今天，計算機取證已經作為一門學科，包含多種科目，如計算機、通訊、法律實施、安全、網絡、電子、犯罪法律制裁系統等。

在國內，計算機發展比較晚，相對于計算機取證的發展就更晚一些。但刑法中關于計算機犯罪的規定，一定程度上影響著計算機取證的發展。刑法規定如下：

◆第二百八十五條(非法侵入計算機信息系統罪)違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。
◆第二百八十六條(破壞計算機信息系統罪)違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。
違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。
故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，依照第一款的規定處罰。
◆第二百八十七條(利用計算機實施的各類犯罪)利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。

這些規定都涉及到計算機犯罪行為，而對于計算機犯罪的調查，必然需要涉及計算機取證調查工作。

計算機取證調查過程從總體上很重要的，每一步的調查都會影響到最終的結果，所以我們需要對調查流程非常熟悉。對于調查的流程大致如下圖：

圖1

核實

調查過程的第一階段是核實任務：在這個階段的取證調查人員需要仔細檢查系統的注冊用戶信息、反病毒應用軟件和網絡設備（防火墻、IDS、路由器）的日志信息來確定事故是否發生。在核實階段，事故響應小組成員會遇到兩種典型的情況：

拔出電源，已關閉的計算機系統和磁盤介質。
開機的系統并運行中（進程運行、訪問磁盤、網絡連接）

取證分析的必須非常仔細，避免易失去的信息被破壞，比如進程信息、內存信息、網絡連接狀態等。在這個階段，調查人員需要利用一些簡單、可信的工具來檢查異常的網絡連接、rootkits、新建的目錄、最近安裝的二進制文件等信息。

信息記錄

核實任務成功完成后，事故響應小組已確定某些安全事故正在發生。取證調查人員必須詳細記錄系統相關的信息。從硬件、軟件系統特征信息情況、磁盤的形狀（在后面的磁盤分析中使用）。記錄電腦正在使用的用戶列表，以及其它很多有用的信息。

把數據從受影響系統中拷出，并使用相關軟件工具分析：調查者不能再信懶被攻擊的系統中的工具，可能已感染了木馬。另外這些倒出的數據也被一系列的扣留，可根據官方法律實施條例進行沒收。

證據收集

這個階段是取證分析處理的關鍵階段：所有獲得到的計算機信息必須傳移到外部設備或者為了下一步的分析任務專用的取證工作站上。這些操作是關鍵的，因為調查者必須確保只有原始的數據被傳移和被考慮到。所有收集到系統數據（內存、進程、網絡連接、磁盤分區）都必須使用MD5 hash技術加密的算法標簽來確保數據的完整性。MD5 hash算法是32位長字符串計算數據的數學算法。這些算法操作是不可逆轉的，使用hash值后不可能恢復到原始文件狀態。

相關一部分的數據必須使用自動工具來獲取，避免執行任務時出現錯誤。收集數據使用正確的順序對于易變的數據進行收集，并通過hash簽名保護數據的完整性。在開始任務之前，取證調查人必須對系統的完整性進行驗證分析。這些是強制性的，避免易變的數據丟失，以及安裝日志數據從磁盤中消失而騙過下一階段的分析。

時間分析

上面證據收集過程的完成，所有的系統數據將被分析并存儲在取證工作站。本階段首先的任務是文件時間創建的分析。完整的二進制文件，inodes 和MAC時間信息，對于了解系統運行狀況是非常有用的。系統文件的時間信息顯示最近執行運行文件的時間，目錄被創建、刪除的最后時間，還有腳本運行的最后時間等。

這個階段主要執行任務是分析因為一些的命令運行導致最后產生的訪問文件時間。時間分析方法考慮兩部分：一部分是從二進制文件中分析出所有信息（數據和元數據）的中間文件，另一部分直接按時間順序排列。

操作系統分析

從時間分析中，取證調查人能從受影響的系統中搜索出一些線索。并進一步對數據進行分析，可依靠以下幾種工具進行分析：

取證工作站的軟件平臺
在系統分析目標上的軟件平臺
如果分析必須在存活的系統上執行
網絡配置

在這個階段，取證分析必須檢查完整的磁盤介質信息（物理、數據、元數據、文件系統和文件名字）。搜索可疑證據的二進制安裝、文件、增加的目錄、刪除，打開文件等等。從取證調查者的觀點看，Linux是比較靈活的操作系統，支持更多使用文件系統，比Windows系統有一些完整的工具。因此Linux下的一些取證工具比Windows平臺上更加容易使用。

數據恢復

在操作系統分析階段之后，取證調查人能完全在分析磁盤中的數據，并使用空的磁盤空間來恢復被刪除的文件。在Windows環境中，搜索空閑的空間，查看未分配的數據空間，并分析一些文件碎片，重組成刪除的目錄、文件，以及發現刪除時間等一些要的信息和攻擊者活動相關的信息。

字符串搜索

在海量的分析數據中，進行搜索特定的字符串數據。在包含的一些文件中，搜索相關的信息，比如IP、手機號碼、銀行賬號、郵件地址追蹤攻擊者，以及一些專用術語（例如，黑客、rootkit、郵件、受害者和其它一些相關的詞）。字符串搜索能在受影響的系統中快速地找出有用的信息。

報告

所有階段的信息都需要使用簡單明了的語言進行詳細報告，使得非技術人員比較容易明白工作的過程。取證分析還必須確保解釋證據被非常清楚地發現，而且所有的技術、使用的方法都要考慮到。另外一些工具特性報告功能對于保留蹤跡在取證分析階段是非常有用的。

以上只是簡單地介紹取證調查的處理流程。但在實際處理過程中，還會出現各種各樣的分析情況。如果你在分析過程中遇到什么樣的問題，歡迎來信一起進行分析。