探秘区块链技术在计算机取证过程中的机制与应用
随着互联网技术以及各类信息技术的广泛应用,尤其是“互联网+”时代的兴盛,互联网金融、电子商务、工业互联网等新型产业正在逐渐取代传统产业的发展,人们在享受新时代给我们带来的高效率工作和高质量生活时,计算机犯罪行为也在不断涌现。
计算机犯罪作为一种高科技犯罪,对犯罪人本身来说需要具有极高的计算机专业知识和强大的反侦查能力,所以对于计算机犯罪的取证一直是一个技术性的难题。
一、 计算机取证与区块链技术
计算机犯罪的证据是以电子数据的形式存储在电脑硬盘里,经常会与计算机中的其他重要文件例如程序代码,存储计算机操作记录的日志等数据混淆,所以提取计算机证据的难度非常大。
区块链是不依赖特定中心的结极,使用分布式节点共识机制完成对数据的校验和存储,动态调整精确查找留存的数据证据,解决了检务工作中对电子证据保存的现实问题。通过区块链的可信时间戳、Merkle 事叉树、POW共识机制、哈希加密等技术实现了对证据的可靠保存、可回溯操作、不可逆篡改、高效搜索,保证了取得的数据证据能很好的运用到司法实践中。
二、计算机取证概述
计算机取证不但是法律问题,也是技术性问题,必须将计算机取证的特殊性和一般性相结合,研究计算机现场勘查、获取、保全、运用、审查和确认的各环节,以保证计算机取证的客观性、合法性和关联性。
美国著名的计算机取证专家Judd Robbins定义计算机取证是 “计算机取证与司法鉴定是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。毛球科技技术研究院则认为计算机取证是指针对诸如计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件相关技术,按照符合法律规范的方式,对能够被法庭所接受的、可靠、有说服力的、存在于计算机及相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。
(一)计算机取证的流程
计算机取证过程和技术比较复杂,目前还没有形成统一标准的程序来规范计算机取证工作。毛球科技技术研究院参照司法部门的研究与工作经验,初步得出计算机取证的流程。
(图1 计算机取证流程)
数字证据的脆弱性,使得数字证据的真实性和安全性存在疑问。所以,在整个取证调查中,必须遵循一定的操作规程和技术,以确保所提出来的证据是经过正确分析的,并保证原始证据自始至终没有被篡改过。具体流程如下:
1、 检测和判定:这一阶段主要是通过IDS技术与网络诱骗技术的结合,发现网络上对于证据的攻击行为,并对攻击行为进行鉴别,判定行为是否为非法攻击,从而采取对应措施。
2、 法律授权:虽然这一过程不涉及任何技术性问题,但是因为计算机取证获得证据将是运用到法律上,必须得讲究获得证据的合法性,没有法律授权的过程,收集的证据则有可能被判定为无效。例如用手机偷录的视频或者录音,根据刑法五十七条,则有可能被判定为无效。
3、 查封和保护:这个阶段主要是防止犯罪主体发现犯罪行为被发现后破坏或者篡改数字证据, 在区块链技术出来之前,数字证据的篡改是非常隐蔽而不易被发觉的,也许一个标点符号的修改可能就导致数字证据的失效。所以在区块链技术应用于计算机取证流程之前,查封和保护存放数据证据的设备是重中之重。
4、 数据备份:为避免原始数据被破坏,取证时不用原始介质,而是采用原始介质进的镜像、字节流备份等方法。比如使用Linux或UNIX系统的DD命令进行磁盘备份。
5、 收集与分析数据:数字证据的来源主要有系统、网络,以及其他数字设备。从系统中提取的证据主要包括现存正常文件;隐藏文件、受密码保护的文件和加密文件;系统日志文件;聊天室日志;Email;备份介质等。这些收集的数据并不是完全符合当前证据需要,通过对比法、关键词分析等技术发现同一事件的关联性,提取有用的数据。
6、 事件关联与重现:根据在步骤(5) 中收集并初次分析的数据,通过系统时间和标准书剑的间隔,建立时间线,以确定事件之间的相关性。
7、 整理归档数据:对步骤(6)的数据进行整理归档,用于提交给法庭作为证据使用。
8、 总结:提出防止类似案件发生的对策,提高安全措施;从技术上进行总结,吸取经验。
以上就是毛球科技根据司法部门的研究与工作经验整理出来的计算机取证流程,从流程中我们可以得出,计算机取证的流程涉及步骤和程序复杂,稍有不慎就可能导致数据丢失或者损坏,失去作为证据的效力,如何防止数据不被篡改、不被丢失,成为现在必须考虑的问题。
(二)计算机取证的分类
根据电子证据的存储方式和存储地点不同,可以将计算机取证工作的对象分为三大类,即硬盘取证、互联网取证和手机取证。
1、 硬盘取证:硬盘取证主要是操作系统取证。操作系统取证指的是从系统文件内提取证据,包括:日志、文件和目录、注册表、进程列表、网络轨迹等等。
图2 硬盘取证
2、 互联网取证:互联网取证是在互联网的基础上,对存储计算机犯罪证据的相关网络存储介质或计算机进行搜查,以确定、提取和分析相关计算机证据的过程。来源取证和事实取证是计算机网络取证的两个主要内容。来源取证的主要目的是确定犯罪嫌疑人的地理位置,通过调查物理地址、IP地址、账户名、Emall等方式实现;事实取证主要确定整个犯罪,通过分析网络数据包、日志记录、文档等,有时还要使用到传统的物理取证。
图3 互联网犯罪
3、 手机取证:手机取证是从移动网络运营商、手机SD卡或手机SIM卡内收集、分析相关数据,并从中提取出与案件相关的、能够被法庭承认的证据的过程。
图4 手机犯罪
以上都属于计算机取证的不同类型取证,不过随着未来5G网络、大数据、物联网网络的发展,更多用于存储数据的方式会出现,区块链作为价值互联网,有着独特的特性与这些新技术交互融合,为计算机取证提供更安全、更完备的解决方案。
三、区块链技术概述
区块链是用分布式数据库识别、传播和记载信息的智能化对等网络,核心要点是分布式多副本和信息的不可篡改,它的优势在于去中心、分布式、共识别,能够保证数据的安全、高效、真实、可靠,同时,它以密码学的方式不可篡改伪造的去中心共享,通过运用加密算法、可信时间戳、数据结构、共识别的机制在分布式网络中实现点到点的交互,在网络中每个节点都是地位对等地参与到各项活动中。
(一)区块链的核心技术
区块链技术的基本架构如图5所示,底层的数据块按照时间顺序链接成区块链,然后保存在分布式节点中。
图5 区块链基本构架
在网络层使用点对点的协议通讯,在此过程中不可篡改伪造的区块链数据结构和分布式网络、共识别机制、可信时间戳等都是区块链代表性的特征。区块链具体的核心技术毛球科技技术研究院整理如下:
1、 可信时间戳:区块链技术要求数据区块必须有时间戳,这使得区块链上的区块能够按照时间顺序依次排列,依靠可信时间戳可以有效证明区块数据的可存在性,有助于形成不可篡改和伪造的区块链数据库,从而为解决电子证据中时间敏感性问题奠定基础,能够作为检察技术中对电子数据的可存在性依据。
2、 哈希加密:区块链技术通过对原始数据进行哈希函数运算的方式存储在区块链。
3、 P2P网络:P2P网络中的每个节点地位对等,每个节点都承担了验证、传播、存储等功能,其中按照节点所存储的数据量的不同可以分为全节点和轻型节点。全节点存储有区块链最完成的区块数据,可以实时的更新主链,不依赖于任何其他节点而独立实现查询、更新、验证等工作。
4、 数据区块:数据区块一般包括区块头和区块体两部分,其中区块头包含目标哈希值、共识机制、Merkle根、可信时间戳等有效信息。
5、 智能合约:智能合约是封装了各种规则、出发条件及对应行为的部署在区块链上的可信息共享的程序代码,其有去中心、自动化、可扩展性强等特点,一旦启动就会自动运行。智能合约的可扩展性为对接更多的应用服务提供了可能。
6、 Merkle树:Merkle树通过快速归纳和校验数据的完整性,使得不需要封装所有数据,仅靠对哈希值得递归形成Merkle根而极大提高了区块链的效率,也可以在不完全运行全网络节点的情况下完成数据验证。
区块链的核心技术不仅仅只有上面六条,本文只探讨区块链技术中对计算机取证有所帮助的核心技术,毛球科技这里不在一一例举。
(二)区块链技术应用案例
自从2015年开始,就已有一些国际出版商陆续与区块链技术公司合作,启动了区块链技术应用于场景的研究与开发,特别是在版权领域方面,国外像PeerReview Blockchain、 Artifacts.ai、 Scienceroot.com都有不错的技术开发成果。
1、 Peer Review Blockchain——提高同行评议的透明度
Peer Review Blockchain 通过将关于同行评议过程的关键数据存储和发布在一个共享平台上,从而提高同行评议过程的透明度、认可度和效率,同时又能保证隐私需求。
2、 Scienceroot——建立新的学术交流生态系统
Scienceroot 是一个基于区块链技术建立的更有效、更透明、更开放的科研生态系统,让全球科学界的任何人都能够通过这个系统募集资金、互动、讨论研究思路、合作,并最终发表他们的工作成果。
3、 中国人民银行——开发数字票据交易平台
2017年初,中国人民银行推动的基于区块链的数字票据交易平台测试成功,随后,央行旗下的数字货币研究生挂牌成立。央行区块链数据票据平台引入数字货币进行结算,实现数字票据交易的资金流和信息流同步,从而实现DVP票款对付结算。
4、 北京互联网法院——区块链电子存证现身第一案
10月30日,北京市互联网法院受理的第一案正式开庭,审理北京微播视界科技有限公司与百度在线网络技术(北京)有限公司等著作权权属、侵权纠纷一案。此案中是由今日头条(“抖音短视频”母公司)委托第三方电子平台进行取证工作,通过可信时间,包括区块链存证技术、第三方司法鉴定等一系列技术来保证取证的真实。
目前,虽然区块链技术在各行业都有应用的身影,但大多数还是停留在表面,还需要更多探索和研究,特别是在计算机取证领域的技术应用。
四、基于区块链的计算机取证实现机制
区块链技术存取的数据证据要保证证据真实可靠必须在数据采集前保证数据的完整性、真实性。数据的真实性很可能因为所处设备或者网络环境存证问题受到破坏,导致取证的证据不可信,这类破坏包括非真实的网络环境、定向虚假访问、时间来源不明等问题。因此必须确保电子数据的来源真实、可靠、完整才能使其作为存证的依据。
图6 区块机制
区块链的哈希加密和时间戳技术可以保证计算机取证过程中保证所取数据的真实性,未被人为篡改。区块链是有一个个区块组成,只要一个节点上的内容被修改,就会引起哈希值的改变,简单来说,计算机取证的数据证据使用区块链加密技术后,某一点的篡改都会引起整个区块的哈希变动,想要别人知道没有修改数据,那么需要修改所有的区块(某人查看一下都会生产哈希记录),这基本上是不可能办到的。
同时,区块链每个节点都可以通过哈希算法和Merkle树接收到数据并封装到可信时间戳的数据块中,并链接到主区块链上。在计算机区中过程中通过对电子平台的违法数据完整真实的获取将其作为原始数据封装到区块链中,可保证数据证据的真实有效和可追溯性的根据。
区块链是不依赖特定中心的结构,使用分布式节点共识机制完成对数据的校验和存储,动态调整精确查找留存的电子证据,解决了检务工作中对计算机取证保存的现实问题。通过区块链的可信时间戳、Merkle树、共识机制、哈希加密等技术实现了对数据证据的可靠保存、可回溯操作、不可逆篡改、高效搜索,保证了取得的数据证据能很好的运用到司法实践中。
五、结语
随着区块链技术日渐受到重视,其诸多特点已经成为各领域的研究重要技术之一。毛球技术研究院认为区块链去中心化和不可篡改特点,使其在计算机取证领域越来越受到关注。本文探讨了区块链技术应用于计算机取证实践中的机制与作用,通过对数据证据的区块链存储,可以解决了计算机取证中数据证据的真实、完整、安全、高效、可追溯的问题。
Scan QR code with WeChat