信息犯罪与电子取证:云取证工具
发布日期:2021-11-10
来源:计算机与网络安全
1. 云存储及应用取证工具
随着国内外云存储及云应用的日益普及,越来越多的案件涉及对百度云、腾讯微云、金山快盘、360云盘、iCloud Drive、OneDrive、Dropbox等云存储进行取证,然而现阶段缺乏相应的取证工具。
在众多云盘中,部分云盘(如360云盘及金山快盘)采用了一些加密手段,要对加密的云盘应用进行取证,还需进行相应的逆向分析。目前,取证大师已经支持国内及国际主流云存储的痕迹取证,包括腾讯微云、金山快盘、360云盘、iCloud Drive等。例如,百度云管家痕迹取证结果如图1所示。
图1 百度云管家痕迹取证结果窗口
2. 互联网云应用及公开数据取证工具
目前,国内已经涌现多家第三方存证平台,为社会提供服务。取证人员、公证人员及律师等均可以通过此类平台及时有效地对互联网上的网站、微博、微信朋友圈、百度文库等网络空间存在的侵权内容或页面进行证据获取并固定。
网站动态取证系统(Site Analyzer)是一款多任务多线程的网站动态跟踪分析工具,并结合第三方电子数据“存证云”服务,对接司法鉴定机构,为计算机取证提供法律效力保障。主要取证功能如下:实现目标网站的爬取、目标网站的目录重构;支持爬取过程中,对目标网站链接的过滤,只爬取用户想要的链接;实现目标网站的资源信息的获取,并在本地展现;支持Cookie获取;截屏功能;实现截取非法论坛图片到本地作为有力证据;实现截取非法论坛图片的配置,只截取所需要的内容。网站动态取证系统模型如图2所示。
图2 网站动态取证系统模型
“存证云”是一个第三方电子数据证据服务平台,最大的特点是将第三方证据与司法鉴定无缝对接,通过网站、PC客户端及手机客户端,为用户提供电子数据前期规范取证、中期安全存证以及后期便捷出证的一站式综合服务,有效解决了目前计算机取证过程中遇到的取证手段有限、证据效力不高以及传统司法鉴定服务不够便捷的问题。
3. 云主机取证
云计算经过几年的发展,国内外涌现不少提供云主机服务的提供商。例如,Amazon、阿里云等均提供了云主机。然而云主机具有以下特点:超大规模,存储位置难以定位;动态扩展,负载均衡,位置迁移;同构互换,容错备份,位置变化;持续写入,存储数据瞬间消失。因此给云主机取证带来了诸多挑战。
云主机取证的常见步骤有:明确目标所属云服务类型(SaaS、PaaS或 IaaS);确认云主机所在位置、获得管理权限;获得云服务提供商的支持(如提供云主机系统的硬盘完整数据、数据文件、日志文件及相关特定数据文件)。目前,云主机采用的软件平台主要有Vmware、Windows Azure、Amazon等。至今对云主机取证没有专门的工具,一般需要根据实际情况开展相应的数据获取与数据分析。云主机取证中的云服务类型如图3所示。
图3 云主机取证中的云服务类型
