用户本地行为司法鉴定*
2010-04-04赵亚杰
赵亚杰,陈 龙
(重庆邮电大学计算机取证与调查研究所 重庆 400065)
1 引言
计算机取证在现有的司法实践中发挥着越来越重要的作用,随着证据理论的不断发展,鉴定结论逐渐成为一些犯罪案件的主要定案证据[1,2]。如2007年“熊猫烧香”病毒案,就是以针对犯罪分子主机的司法鉴定构成定案的主要证据,从而将犯罪分子绳之以法[2]。当前,随着案件的复杂化以及多样化,使得不仅是刑事犯罪需要用到计算机司法鉴定,民事案件的调查取证同样也要用到它。一般而言,用户的行为都会或多或少地在计算机或相关系统中留下一些行为痕迹。目前的司法实践中已出现多种需要对用户是否实施了某种特定行为进行专门性鉴别的需求,用户行为鉴定可作为电子数据司法鉴定的一个独立种类,但业内尚未对该类鉴定进行归纳总结,规范该类计算机司法鉴定活动对电子数据司法鉴定的开展有指导意义。用户行为整体上可分为两类:一是用户本地行为,二是用户网络行为。限于篇幅,本文先讨论用户本地行为鉴定,主要讨论Windows平台,并且假设在鉴定分析之前已经进行了镜像等必要的准备工作。
2 用户本地行为鉴定事项
从宏观上看,用户行为鉴定主要从几个方面确认相关行为:分析用户行为的时间属性,查找分析用户行为实施过程留下的痕迹,分析与该目标行为有关联的行为,分析该行为的前提条件与实施结果。根据实际鉴定需求和操作行为的目的,我们将其分为以下几种鉴定事项 。
·持有电子数据。分析、判断用户是否在相关存储介质上存储有如已知的病毒程序、恶意软件、公司的机密资料等违法、违规的电子数据文件。根据具体的鉴定要求,可以涉及文档、表格、图片、视频等,其内容可以由人的经验性知识判断或由普通的工具进行比较来判定。
·软件安装及使用。分析、判断用户是否在计算机上安装、使用过某些软件。
·本地系统资源使用。分析、判断用户是否访问、使用了计算机系统资源,例如,某时间段内用户是否开机,创建、修改、删除某些数据文档等。
·可移动设备接入。分析、判断用户是否接入过某些可移动设备。典型的实例是使用U盘、可读写光盘及其他存储介质或设备。
3 用户本地行为鉴定方法
用户行为的司法鉴定即针对不同的用户行为,进行具体分析、检查、测定,最后提出结论性意见。针对上述鉴定事项,分别讨论如下。
3.1 持有电子数据
根据鉴定需求,对某类信息进行查找分析,必要时先进行数据恢复。依据实际需要采用关键字查找、缩略图浏览、基于内容的分类查找、Hash查找等方法,导出目标数据,生成相关数字摘要。
3.2 软件安装及使用
注册表信息、残存的目录、该软件关联文件的创建、访问等方面均可提供相关证据信息。如注册表键HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall 给出了安装的程序列表,有些已卸载的程序还会在这里留下残迹[5]。如系统中某软件还存在,可查看最近打开文档并分析文件访问情况,管理控制面板中程序的添加和删除信息。另外,某些软件只是卸载并未删除彻底,可以通过查看它残留的有关目录或文件来获取相关信息。
3.3 本地系统资源使用
(1)用户登录
系统开、关机将对相关系统文件进行访问,注册表和有关日志也可能会留下相关信息,关注用户名、用户类别、用户权限等,需要特别关注最后登录用户的有关信息。例如,注册表键 SAMSAMDomainsAccountusers{RID}的键值中存有大量的用户登录信息,包括用户名、用户登录次数、账户建立日期、账户的最后登录日期、最后重设口令的日期及最后一次登录失败的日期等[3]。
(2)文件访问
在文件系统中,有一个重要的文件属性是时间属性,以常用的Windows下的文件系统NTFS为例,该文件系统中的时间属性有4项:文件的创建时间、最后修改时间、最后访问时间以及MFT修改时间。最后访问时间是文件操作行为中最敏感的证据特征。文件操作行为反映在文件的删除、创建和修改[4]。例如,对文件修改的行为进行鉴定,我们可以首先对目标文件的时间属性进行分析,确定最后访问时间。然后对比文件修改行为的特定查看是否有修改的痕迹。最后根据时间和行为得出结论:在哪一时间是否对文件进行了修改操作。
(3)打印文件
在Windows中打印文件时,先将其以一个文件或一组文件的形式放到打印队列目录中排队等待打印。通常有两类打印文件:一类是有关打印任务信息的SHD文件,另一类是包括实际打印任务本身及其相关头信息的SPL文件。它们能提供证据信息,证明打印了什么、谁打印的、什么时候打印的、打印了多少份,甚至打印任务的内容。
3.4 可移动设备接入鉴定
可移动设备接入一般会在最近使用文档以及注册表中留下相关信息,对该行为的鉴定可以通过分析注册表,得到相关可移动设备接入记录,关注设备名称、接入时间,设备加载等信息。同时,打开最近使用文档可以查看到最近可移动存储设备的接入情况,是否有可移动设备接入。但一般不显示具体设备名称,只显示本地系统分配的设备名称。例如,对U盘的接入进行鉴定。可以通过查看计注册表键HKLMSYSTEMCurrentControlsetEnumUSBSTOR,该键显示了所有的USB存储设备以及相关接入信息,如接入时间,设备显示名称等[6]。通过这些信息,可以证明相关设备的接入行为。
而对于接入后的复制(U盘)及刻录(CD)行为,目标文件的时间属性、设备的接入时间以及与刻录行为关联的软件可提供相关证据信息。如可以通过比较文件创建时间与接入时间来证明是否有复制行为。也可以查看注册表中是否有相关刻录软件,同时搜索该软件的编译文件,来证明是否本机中有刻录行为。
4 结束语
本文把用户行为鉴定作为电子数据司法鉴定的独立鉴定种类,分析了用户本地计算机操作行为的相关要素,讨论了本地行为的鉴定方法,逐步推动司法鉴定活动的规范化。其他用户行为鉴定和执业规范等方面的内容还需要进一步的分析和研究。
1 陈龙,麦永浩,黄传河等.计算机取证技术.武汉:武汉大学出版社,2007
2 麦永浩,孙国梓等.计算机取证与司法鉴定.北京:清华大学出版社,2009
3 Harlan Carvey著.王智慧,崔孝晨等译.Windows取证分析.北京:科学出版社,2009
4 Huang Bugen.Analysis of traces on storage media by file operation for NTFS file system.Computer Engineering,2007,33(23):281~283
5 Youngsoo Kim,Dowon Hong.Windows registry and hiding suspects'secret in registry.In:International Conference on Information Security and Assurance,Busan:IEEE Press,2008
6 Kisik Change,Gibum Kim,Kwonyoup Kim,et al.Initial case analysis using windows registry in computer forensics.Future Generation Communication and Networking(FGCN 2007),2008