计算机犯罪发生后,要想快速地抓住罪犯,尽快恢复系统正常,第一步应该对犯罪现场进行仔细勘查及分析。
发现犯罪
基于计算机犯罪发生的原因,为预防计算机犯罪以及为侦查取证做准备,一般采用如下的判别方法来甄别是否有犯罪行为发生。
1.“国家事务”、“国防建设”和“尖端科学技术领域”的计算机信息系统机房有可疑人员闯入;
2.系统管理员、程序员以及操作人员超越本人职责范围的非授权使用计算机的行为;
3.利用计算机为工具的工作环节出现违法犯罪嫌疑;
4.计算机系统出现严重故障,不能正常运行;
5.计算机存储的数据非正常使用、丢失、更改等;
6.计算机系统的IDS发现恶意的扫描、入侵和日志文件发现相应的记录,以及计算机系统内发现了不正常的超级用户和管理员账号。
勘查现场
计算机犯罪侦查除了强调对计算机数据的获取、分析外,犯罪证据作为一个体系,传统的取证模式仍旧是强而有力的。
1.现场勘查
现场勘查是破案工作的第一步,这项工作做充分了,可为今后破案打下基础,否则可能造成不必要的周折。计算机数据是犯罪物证体系的关键部分,如果现场中的系统还在运行或者运行时间不长,调查员必须作多方面考虑,很可能一个常用的命令被改成意想不到的功能,如命令“dir”可能已被改成使计算机删除资料或再次格式化。这一阶段的工作,通常遵循以下的步骤:
①进行采集指纹、足迹、文件等传统的现场勘查工作。
②对现场中的计算机信息系统立即封存,切记不要随便开机和关机。在封存前应记录下正在运行的计算机信息系统的工作状态和相关参数,防止关机后无法恢复。
③收集、封存现场内磁介质、上机记录、工作日志以及程序备份、数据备份等。
④将各种打印结果、内部工作人员手中的工作日志、磁介质分别封存。
⑤对不能停运的系统,要在短时间备份系统现场数据,恢复系统运行。这种备份不是文件级的备份,而是将硬盘中所有数据按其物理存放格式进行备份。
⑥封存现场的各种外设,如:打印机、移动硬盘、软件安装盘等。
对某些特定案件,如ISP遭受黑客攻击,可在上述步骤中有选择的进行。这种案件往往需要现场计算机系统维持运行,但前提条件是,要做好重要数据的隔离保护工作,使用一些设备设置陷阱,捕获入侵者。
通常计算机信息系统数据很大,侦查人员不应进入现场后即陷入过细的技术分析工作之中,过早进入,往往会造成现场物证收集不完整或遭到破坏。
2.询问主要当事人
在现场勘查的同时,还要询问主要当事人,了解案件发生前后的情况,包括计算机信息系统的运行状态,有什么异常现象,做过哪些操作等。询问过程中要注意,不要泄露已掌握的情况。因为计算机犯罪的一个主要特点是,内部人员作案较多,询问的当事人很可能就是犯罪嫌疑人。所以,对当事人只询问他掌握、了解的情况等,可为以后调查分析提供信息。
3.分析、提取物证
完成前两个步骤后,就可脱离现场做全面技术分析和研究。如果必须在现场工作,涉案单位人员应该回避。进行初步分析判断后,即可确定侦查方向,进行后续工作。在分析研究过程中,可以采用以下技术手段:
①对比分析:将收集的数据、程序、备份等与当前运行的数据、程序进行对比,从中发现是否有篡改的痕迹。
②关键字查询:对所做的系统硬盘进行备份,用关键字查询的办法,从中发现问题。
③数据恢复:计算机犯罪发生后,案犯都会破坏现场,毁灭证据。因此,对破坏及删除的数据要做有效分析,从中发现蛛丝马迹。
④文件的指纹特征分析:利用磁盘数据按簇分配的特点,在每个文件尾部会保留一些当时生成这个文件时的内存数据,这些数据即成为此文件的指纹数据,根据此数据,可判断文件最后修改的时间。该技术可用于判定作案时间。
⑤残留数据分析:文件存盘后,由于文件实际长度小于或等于实际占用簇的大小,在分配给文件的存储空间中,大于文件长度的区域就会保留原来磁盘存储的数据,可利用这些数据来分析原磁盘中存储的数据内容。
⑥磁盘存储空闲空间的数据分析:磁盘在使用过程中,对文件要进行大量增、删、改、复制等操作。人们传统认识认为,进行这些操作时,只对磁盘中存放的原文件进行局部操作,而系统实际上是先把文件原来占用的那部分磁盘空间释放掉,使它成为空闲区域,经过上述操作的文件会重新向系统申请存储空间,再写进磁盘。这样经过一次操作的数据文件写进磁盘后,在磁盘中就会存在着两个文件,一个是操作后真实存在的文件,另一个就是修改前的文件,但其占用的空间已释放,随时能被新文件覆盖。这个特性可用于数据恢复,以追溯被删除、修改、复制的文件变化前的状态。
⑦磁盘后备文件、交换文件、镜像文件、临时文件分析:这些文件往往会记录一些软件运行状态和结果,以及硬盘的使用情况,这些都能对侦查分析工作提供有益的帮助。
⑧记录文件的分析:目前一些新的系统软件及应用软件中增加了对已操作过文件的记录。如Windows95中在“开始”菜单下的“文档”中记录了所有用过的文件名,IE中也有Bookmark记录了浏览过的站点地址,这些文件名及地址也可以提供一些线索和证据。
4.针对IP及MAC地址巧妙应对
每一台计算机至少有一个IP地址。在这台计算机实施非法访问或者入侵行为之后,在事件查看器、审计日志文件和一些网络安全软件都可以记录下它的IP地址,我们可以据此把这台计算机定位。现在有些比较狡猾的犯罪分子在犯罪之前进行严密的伪装,改变自己的IP地址。但是,这种方法只能在局域网内部有效,在局域网外部的可能性比较小。而IP和MAC地址存在一一映射的关系,尽管IP可以改变,但是MAC是不可改变的。使用局域网安全扫描工具仍旧可以显示犯罪源主机的Netbios信息,包括主机名、MAC地址、IP地址、所在的域,根据这些为这台计算机进行标识。
