在上篇文章《企业怎样做好计算机应急响应工作》中叶子给大家讲了一些计算机应急响应的工作内容。其中讲到应急处理人员在恢复工作时要保存各种证据，以备于涉及法律问题时，可以作为司法证据进行提交和分析。那么在应急响应过程中，我们应该如何进行计算机取证的工作呢？本篇叶子将带你初步了解一下计算机取证工作的流程。

　　在1981年，IBM首次发布PC作为主流业务后，美国联邦执行人员就发现“白领”通过PC工具进行犯罪，从而开始计算机取证工作的研究和分析。到今天，计算机取证已经作为一门学科，包含多种科目，如计算机、通讯、法律实施、安全、网络、电子、犯罪法律制裁系统等。

　　在国内，计算机发展比较晚，相对于计算机取证的发展就更晚一些。但刑法中关于计算机犯罪的规定，一定程度上影响着计算机取证的发展。刑法规定如下：

• 第二百八十五条(非法侵入计算机信息系统罪)违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
  
• 第二百八十六条(破坏计算机信息系统罪)违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

　　违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

　　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

• 第二百八十七条(利用计算机实施的各类犯罪)利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

　　这些规定都涉及到计算机犯罪行为，而对于计算机犯罪的调查，必然需要涉及计算机取证调查工作。

　　计算机取证调查过程从总体上很重要的，每一步的调查都会影响到最终的结果，所以我们需要对调查流程非常熟悉。对于调查的流程大致如下图：

　　核实

　　调查过程的第一阶段是核实任务：在这个阶段的取证调查人员需要仔细检查系统的注册用户信息、反病毒应用软件和网络设备（防火墙、IDS、路由器）的日志信息来确定事故是否发生。在核实阶段，事故响应小组成员会遇到两种典型的情况：

　　拔出电源，已关闭的计算机系统和磁盘介质。

　　开机的系统并运行中（进程运行、访问磁盘、网络连接）

　　取证分析的必须非常仔细，避免易失去的信息被破坏，比如进程信息、内存信息、网络连接状态等。在这个阶段，调查人员需要利用一些简单、可信的工具来检查异常的网络连接、rootkits、新建的目录、最近安装的二进制文件等信息。

　　信息记录

　　核实任务成功完成后，事故响应小组已确定某些安全事故正在发生。取证调查人员必须详细记录系统相关的信息。从硬件、软件系统特征信息情况、磁盘的形状（在后面的磁盘分析中使用）。记录电脑正在使用的用户列表，以及其它很多有用的信息。

　　把数据从受影响系统中拷出，并使用相关软件工具分析：调查者不能再信懒被攻击的系统中的工具，可能已感染了木马。另外这些倒出的数据也被一系列的扣留，可根据官方法律实施条例进行没收。

　　证据收集

　　这个阶段是取证分析处理的关键阶段：所有获得到的计算机信息必须传移到外部设备或者为了下一步的分析任务专用的取证工作站上。这些操作是关键的，因为调查者必须确保只有原始的数据被传移和被考虑到。所有收集到系统数据（内存、进程、网络连接、磁盘分区）都必须使用MD5 hash技术加密的算法标签来确保数据的完整性。MD5 hash算法是32位长字符串计算数据的数学算法。这些算法操作是不可逆转的，使用hash值后不可能恢复到原始文件状态。

　　相关一部分的数据必须使用自动工具来获取，避免执行任务时出现错误。收集数据使用正确的顺序对于易变的数据进行收集，并通过hash签名保护数据的完整性。在开始任务之前，取证调查人必须对系统的完整性进行验证分析。这些是强制性的，避免易变的数据丢失，以及安装日志数据从磁盘中消失而骗过下一阶段的分析。

　　时间分析

　　上面证据收集过程的完成，所有的系统数据将被分析并存储在取证工作站。本阶段首先的任务是文件时间创建的分析。完整的二进制文件，inodes 和MAC时间信息，对于了解系统运行状况是非常有用的。系统文件的时间信息显示最近执行运行文件的时间，目录被创建、删除的最后时间，还有脚本运行的最后时间等。

　　这个阶段主要执行任务是分析因为一些的命令运行导致最后产生的访问文件时间。时间分析方法考虑两部分：一部分是从二进制文件中分析出所有信息（数据和元数据）的中间文件，另一部分直接按时间顺序排列。

　　操作系统分析

　　从时间分析中，取证调查人能从受影响的系统中搜索出一些线索。并进一步对数据进行分析，可依靠以下几种工具进行分析：

　　取证工作站的软件平台
　　在系统分析目标上的软件平台
　　如果分析必须在存活的系统上执行
　　网络配置

　　在这个阶段，取证分析必须检查完整的磁盘介质信息（物理、数据、元数据、文件系统和文件名字）。搜索可疑证据的二进制安装、文件、增加的目录、删除，打开文件等等。从取证调查者的观点看，Linux是比较灵活的操作系统，支持更多使用文件系统，比Windows系统有一些完整的工具。因此Linux下的一些取证工具比Windows平台上更加容易使用。

　　数据恢复

　　在操作系统分析阶段之后，取证调查人能完全在分析磁盘中的数据，并使用空的磁盘空间来恢复被删除的文件。在Windows环境中，搜索空闲的空间，查看未分配的数据空间，并分析一些文件碎片，重组成删除的目录、文件，以及发现删除时间等一些要的信息和攻击者活动相关的信息。

　　字符串搜索

　　在海量的分析数据中，进行搜索特定的字符串数据。在包含的一些文件中，搜索相关的信息，比如IP、手机号码、银行账号、邮件地址追踪攻击者，以及一些专用术语（例如，黑客、rootkit、邮件、受害者和其它一些相关的词）。字符串搜索能在受影响的系统中快速地找出有用的信息。

　　报告

　　所有阶段的信息都需要使用简单明了的语言进行详细报告，使得非技术人员比较容易明白工作的过程。取证分析还必须确保解释证据被非常清楚地发现，而且所有的技术、使用的方法都要考虑到。另外一些工具特性报告功能对于保留踪迹在取证分析阶段是非常有用的。

　　以上只是简单地介绍取证调查的处理流程。但在实际处理过程中，还会出现各种各样的分析情况。如果你在分析过程中遇到什么样的问题，欢迎来信一起进行分析。