>> 您的位置:首页 > 环球安防 > 国际资讯 > 正文
国外计算机网络犯罪侦查技术概述
2016/3/24 15:02:00      来源:《中国安防》    作者:李翠翠 赵志巍
    计算机网络犯罪侦查技术是指公安机关在侦破各种犯罪案件中,为了查明案件事实,依据国家赋予的特殊侦查权力,运用计算机网络相关技术,进行秘密侦查控制,收集侦查线索和犯罪证据的新兴技术侦查手段。

  国外计算机网络犯罪侦查技术概述

  文/赵志巍 北京市公安局网络安全保卫总队

  文/李翠翠 公安部第一研究所

  计算机网络犯罪侦查技术是指公安机关在侦破各种犯罪案件中,为了查明案件事实,依据国家赋予的特殊侦查权力,运用计算机网络相关技术,进行秘密侦查控制,收集侦查线索和犯罪证据的新兴技术侦查手段。计算机网络犯罪侦查包括计算机犯罪侦查和网络犯罪侦查,前者是指监控某些特定计算机的行为及其硬盘上的数据,后者是指捕获网络上传输的数据并进行分析。本文介绍了计算机网络犯罪侦查技术及其在国外执法机构的部分应用情况。

  一、计算机犯罪侦查

  (一)利用监控软件进行计算机犯罪侦查

  利用监控软件进行计算机犯罪侦查是指通过在某些特定计算机上安装监控软件,查找计算机上的可疑数据,监控计算机的使用情况,收集用户密码,并通过互联网将这些内容实时地传输给软件安装者,从而实现对计算机行为及其硬盘数据的监控的过程。在犯罪侦查过程中,监控软件主要以恶意软件的形式出现,恶意软件泛指一切不怀好意的程序,按特点分主要有6种类型,分别是病毒、蠕虫、特洛伊木马、僵尸、后门程序和间谍软件,其中病毒和蠕虫主要是对计算机系统实施破坏行为,而特洛伊木马、后门程序和间谍软件则可以收集使用者的计算机操作行为或个人信息(如账号、密码和习惯访问的网站),以及计算机硬盘上的数据。

  恶意软件的安装方法有多种,最常用的是通过病毒或木马创建的后门远程安装,其潜在优点是可以监控多台计算机。病毒通常会感染数百万台计算机,然后留下后门,入侵者利用这些后门远程安装恶意软件或执行命令。有些木马和病毒是由政府机构研发的,如美国联邦调查局的CIPAV和Magic Lantern,更多的病毒是由计算机黑客研发的。另一种安装监控软件的方法是通过硬性密码破译由互联网进入计算机,进入计算机后,攻击者再远程安装恶意软件,具有永久宽带链接的服务器和计算机最易受到此类攻击。人们也可以直接在计算机上安装监控软件,实施此种办法的前提是能够实体接触到该计算机。

  表1 主要的6种恶意软件及其主要特点

  名称主要特点

  病毒

  (Virus)指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它具有破坏性,复制性和传染性。病毒会通过修改其他程序进而感染这些程序,而且还会自我繁衍,所以感染其他程序和自我繁衍是病毒的重要特征。病毒通常具备潜伏、繁殖、触发、执行等特性,而当病毒进入执行阶段,往往也就开始窃取或破坏使用者资料,甚至损毁系统而造成无法开机。

  蠕虫

  (Worm)是一种能够利用系统漏洞通过网络进行自我复制的恶意程序。它不需要附着在其他程序上,而是独立存在的,就像一条通过网络爬行并传染其他计算机的虫,当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。蠕虫的行为和病毒非常类似,但是病毒会感染并依附着“宿主”程序,而蠕虫不需要宿主,是个可以独立执行的程序。

  特洛伊木马

  (Trojan Horse)一般会依附在正常的程序中,或者被设计成看起来是有用的程序,当使用者执行附着特洛伊木马的正常程序时,特洛伊木马就会悄悄地执行被赋予的任务,例如私下监控用户的行为,或者记录用户输入的帐号和密码,再通过网络传回。特洛伊木马也称为特洛伊或称为木马,它与病毒的差别是特洛伊木马并不会感染其他程序,也不会自我复制。木马可以通过软件下载、与其他软件绑定、打开电子邮件附件、打开包含可执行插件的网页、利用系统或软件漏洞等方式植入计算机。

  僵尸

  (Zombie)是一种会偷偷通过网络来控制其他计算机的程序,而攻击者将僵尸植入其他计算机的目的通常是不用自己的计算机,而是遥控被控制的计算机来发动攻击。

  后门程序

  (Backdoor)一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。后门程序就像个秘密通道,如果计算机系统被放置了后门程序,等于是开了秘密通道给攻击者,只要计算机开机就能让攻击者进入,因此容易被黑客当成漏洞进行攻击。

  间谍软件

  (Spyware)是出现较晚的一种恶意软件,是指在未经使用者同意的情况之下,通过网络对使用者进行广告,或者会收集使用者的计算机操作行为或个人信息,甚至进而修改计算机设定的程序。这类软件有很强的隐藏性,不易被计算机用户发现。通常秘密地将间谍软件安装于用户的个人计算机上,然而,有时候软件也会被安装于公共计算机上,以秘密监视其他人,如键盘记录器。

  间谍软件不像病毒那样直接通过被感染的计算机传播给其他计算机,而是通过欺骗用户或某些软件的漏洞进入系统。大多数的间谍软件都是在用户不知情的情况下安装的,间谍软件或是与一些软件绑定安装于系统中,或是像木马那样欺骗用户进行安装,甚至有软件会伪装成杀毒软件。有些间谍软件则是通过网页浏览器或其它软件的安全漏洞植入系统的。当用户浏览间谍软件设计者控制的网页时,该网页包含攻击用户浏览器的代码,迫使用户下载并安装间谍软件。这类植入方式通常涉及到IE浏览器,由于其安装的普遍性和安全问题使之成为最多的攻击目标。

  (二)利用电磁辐射泄漏检测进行计算机犯罪侦查

  电磁辐射泄漏检测也是计算机犯罪侦查的途径之一。研究表明,使用商业设备就可以在一定距离外检测到计算机CRT显示器发出的辐射,通过其他设备即可还原该信号,这种计算机监视被称为TEMPEST(TEMPEST并不是一个首字母缩写词,而是一个研发代码),其可在几百米外检测到有效信号。此外,据以色列密码破译研究人员称,CPU发出的携带信息的高频辐射同样可以加以利用进行计算机监控。

  IBM公司研究人员同时发现,大多数计算机键盘按键被按下时发出的辐射噪声是不同的,可以进行识别。这就是说在不安装键盘记录器软件的情况下,就可以对键盘敲击进行记录。美国加利福尼亚大学伯克利分校的研究人员在IBM的研究成果上提升了这种“声学窃听”技术,可更有效、准确地窃取击键信息。据称,IBM的研究人员能利用敲击键盘声的录音推算出80%的录入字符,但前提是同一个人在同一台计算机的键盘上打字。相比之下,加州大学的研究人员克服了这些限制,他们使用的计算机运算法则适用于不同的打字人员和不同的击键模式,并克服了音乐、手机铃声等背景噪音,此外也不需要特殊的录音装置。他们可以把敲击计算机键盘的声音录下来,把录音输入计算机,通过运算法则推算出96%的录入字符。

  意大利Inverse Path安全公司计算机专家也发现,一些屏蔽不良的与键盘连接的电缆可能导致黑客识别出在键盘上敲入的每一个字符。他们说,通过某种与台式计算机键盘相连的电缆所传送的信息被泄露到电源电路上。研究人员通过实验证明,这种窃听方式在距计算机15米以内的地方都能奏效。研究人员重点研究的与台式计算机键盘相连的电缆被称为PS/2。他们发现PS/2电缆内的6条电线排列很紧密,且屏蔽不良。这意味着通过数据线传送的信息在击键时泄露到同一电缆的地线中。地线通过计算机的供电装置,最终与电源插座的插头相连,信息就从电源插座泄露出去进入房间的供电电路。由于用PS/2电缆传输数据一次是一个比特,这样就会更容易地得到每次击键的电压变化。研究人员用数字示波器收集有关电源线上的电压变化,用过滤器消除键盘以外的任何其他东西引起的电压变化。PS/2方波信号被优质地保留下来而且能够被解码,还原为原始的击键信息。

  据美国《C4ISR杂志》披露,美军目前正致力于研究一项新型电磁辐射窃听技术,可通过电磁辐射手段来进入封闭网络,对计算机植入代码,从而实现窃听。早在几年前,瑞士研究人员就曾发现,即使在另一个房间,人们也可以通过监控计算机的电磁辐射识别出隔壁房间人员敲击键盘的情况。而美国一些公司也相应地研究和开发了一些基于电磁原理的电磁设备技术反制产品,如通过对已经进行物理隔绝的计算机架设一道空气间隙来防止计算机被敌方攻击,防止电子设备因电磁辐射而遭受窃听。目前,美军研究人员正在尝试着反其道而行之——通过使用电磁辐射手段来对计算机植入代码。一名匿名专家暗示《C4ISR杂志》,这种技术的物理原理并不难,即在一个封闭网络环境中的电子设备会发射电磁信号,尽管这种信号只是微弱或间断的,只要能捕捉到这些信号,那么就有可能实现窃听。当前的技术瓶颈主要是电磁辐射植入的工作距离比较近,且数据传输的速率比较低。研究人员拒绝提供具体数据传输速率的参数以及利用无线电频率植入数据的范围,因为这涉及到技术能力界定和国家安全问题。如果这种技术研发成功,那么在将来的窃听世界中,窃听人员无需通过物理方式或网络信道来侵入目标计算机进行黑客攻击,只需把车辆开到被窃听网络附近并作短暂停留,或者只需举起一把电子手枪隔着窗户玻璃瞄准目标计算机发射,这样就可将木马病毒植入,从而成功实施窃听。

  二、网络犯罪侦查

  随着计算机网络的发展,网络犯罪呈现出多样化的态势,网络本身及储存在网络中的信息也由于具有特定的价值而成为了犯罪行为所指向的目标。犯罪分子出于各种动机,利用多项在网络平台上发展起来的技术,对互联网计算机中的信息系统和信息进行非法操作,其中包括非法的窃取、篡改、删除以及使用等形式。从而对个人、机关、企事业组织直至国家的安全造成了威胁。网络犯罪侦查是采用技术手段,对犯罪事实进行调查和对犯罪证据进行收集的过程。网络犯罪侦查的方式有数据包嗅探、无线局域网监听、电子邮件监听和社交网络监视等。

  (一)数据包嗅探

  数据包嗅探(Packet Sniffing)是网络侦查的重要方式,包嗅探程序能利用计算机网络接口截获目的地为其他计算机的数据包,将其还原成通信信息,然后由执法机构进一步检查其信息内容。一个包嗅探器实际上就是一个信息收集工具,而不是信息分析工具,也就是它并不知道收集到信息的含义。这时需要其他程序对信息进行分析,过滤出有用的信息。美国《通信协助执法法》要求所有的美国通信运营商提供包嗅探技术接口,以允许美国联邦执法机构和情报机构截获所有的电话通信和宽带互联网数据,包括电子邮件、网页流量、即时短信等内容。美国国家安全局、美国联邦调查局每年研发、购买、实施和运行这些系统的费用高达数十亿美元。美国司法部下属的国家司法研究所出资开发了两款数据包嗅探监听系统:捕食者与猎物预警系统(PAPA)和卧底多用途反欺骗工具(UnMask),前者用于打击网络骚扰,后者用于打击电子邮件欺诈。

  PAPA是一个打击网络骚扰的工具。该系统设计宗旨是帮助网络受害者,在允许执法人员为受害者提供网上远程“庇护”和指导的前提下,秘密捕捉记录相关的网络数据跟踪活动,固定证据以支持调查,同时不影响到受害人计算机系统的安全。PAPA系统的设计界面友好,几乎不需要培训就可以进行部署和使用,设计思想是:允许执法者远程“庇护”受害者,并在需要的时候进行指导和咨询;捕获和记录相关的网络跟踪骚扰活动,使执法机关的分析师随后可以进行调查,进一步确定网络跟踪骚扰者的身份;获取并固定证据,以便成功起诉犯罪嫌疑人。系统在设计上,支持观察、采集、索引,以及完整保存收集到的证据,并为后期数据采集分析工作提供完整的套件。

  UnMask的目标是使执法者调查基于电子邮件的欺诈、威胁或攻击的工作流程自动化,例如“钓鱼”、对生命或财产的邮件威胁、敲诈勒索、或邮箱炸弹。判断UnMask系统成功与否只需要简单证明它比人工的方法生成的报告快。既然只是执法工作流程的自动化,因此该工具的合法性是不容置疑的。电子邮件信息在被提交给执法者之前已经传递到目的地,因而它不违反反恐法案,也不算窃听。分析电子邮件时所收集的信息是在公共域,因此也没有触犯公民的隐私权。

  (二)无线局域网监听

  无线局域网监听是指以局域网内的一台主机为侦查目标,在不影响侦查目标与其他主机正常无线通讯的前提下,截获该主机与局域网内其他主机通讯的数据包。无线局域网监听是对无线局域网进行监控和对利用无线局域网实施网络犯罪活动进行侦察和取证的基础。Wi-Fi是一种可以将个人计算机、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。目前,Wi-Fi网络已经广泛地应用于世界各地,而其中大部分未经加密,对于未经授权的用户也是普遍开放的,因此Wi-Fi网络很容易遭受攻击与窃听。侦查人员可以使用WarDriving技术(驾驶攻击,也称为接入点映射,是一种在驾车围绕某一区域时扫描无线网络的活动)来获取Wi-Fi网络中传输的数据包。而应对这一攻击方法的有效措施一般是加密。然而,一旦加密方法被破解,Wi-Fi网络仍然会遭受攻击。此外,即使Wi-Fi网络加密方法不能被破解,仍有一些对有线网络不能奏效的攻击会对Wi-Fi网络造成危害,如中间人攻击(MITMA)。

  (三)电子邮件监听

  电子邮件监听是网络犯罪侦查的重要组成部分,它只负责侦查电子邮件协议。电子邮件侦查系统在功能上包括拦截电子邮件数据、将数据包还原到应用层、对电子邮件内容分析,并能够对所拦截的电子邮件实现相关信息管理,系统底层的网络侦查程序实际上是一个网络嗅探器,相当于邮件监听器,专门监听电子邮件。美国联邦调查局开发了一套名为Carnivore(“食肉动物”,现已经更名为DCS 1000)的电子邮件侦查系统,自“9·11”事件发生后,DCS 1000已经在各大互联网服务提供商网络中大量安装。公开资料显示,此系统的软件功能包括监视可疑的电子邮件(头文件或者全部内容);列举被服务器怀疑的访问行为;全面“嗅探”可疑IP地址;发现正在上网的可疑地址。国际上商用的电子邮件侦查与过滤系统主要是基于防火墙和四层交换机而设计,大多数只做到数据包一级,即基于通信的源地址和目的地址的包过滤,极少数能做到对数据包内容进行解析,可以过滤特定的URL。基于数据包的网络过滤有一定难度,而监视电子邮件内容还需要将数据包还原成信息流,并在还原出的信息流里针对不同编码的电子邮件内容,搜索指定的关键字以决定是否实施过滤,这在一个高速的网络环境下具有极大的技术挑战性。

  (四)社交网络监视

  随着社交媒体的不断盛行,社交网络监视也逐渐成为一种常用的网络侦查方式。通过掌握的社交网站、电话数据库或通过互联网收集到的数据绘制社交网络图,可以从中发现许多有用的信息,如被调查人的兴趣、朋友、信仰、想法和活动等。许多美国政府机构,如美国国防部高级研究计划局、美国国家安全局、美国国土安全部等都在进行社交网络的分析研究,他们认为对于美国的威胁来自于分散的、无领导的恐怖分子和极端分子,这些威胁都可以轻而易举地通过社交网络发现并消灭。

  三、各国政府加强计算机网络犯罪侦查

  (一)英国警察利用社交网络阻止骚乱分子袭击

  英国警察通过社交网络上获取的情报,成功阻止了骚乱分子攻击奥运场馆及伦敦牛津大街的企图。伦敦大都市警察厅助理厅长Lynne Owens向大都市警察官委员会报告时表示,他们通过Twitter和黑莓手机短信掌握了可能发生的麻烦。代理警察厅长Tim Godwin说,他曾考虑过要求管理当局关闭社交网络,因为从社交网络上出来的信息绝大部分都是明显不符合事实的,甚至是愚蠢的,如果从社交网络获取情报有可能误导警察。很多政客、媒体评论员和警察也都认为,Twitter和黑莓手机短信在此次伦敦骚乱中起到推波助澜的作用。不过,英国警察最终没有选择关闭社交网络,一方面是因为这种做法是否合法非常值得怀疑,另一方面是警察通过社交网络还是了解到一些很重要的情况,比如在社交网络上反映出来的骚乱分子准备攻击伦敦牛津大街这样的情报,警察根据这个信息提前安排了警力,从而成功地阻止了骚乱分子的破坏行动。黑莓手机短信系统在年轻人当中使用普遍,因为这种联络方式既能保护隐私,也很安全,用户之间通过使用唯一的个人识别号码(PIN)被邀请加入彼此的联系人名单。尽管这样,所发出的短信也可能一传十、十传百地散布至很大的人群。英国警察通过平息此次伦敦骚乱的警务行动认识到,如果能够很好地利用Twitter和黑莓手机短信系统的信息,将使其成为警方侦查破案的一种战略资源和手段。

  (二)美国国土安全部执行社交网络监控项目

  美国国土安全部发布了“隐私法执行评估”,称其在全国范围内的各指挥中心开始执行一项名为“社交网络/媒体能力”的项目,对网上公共论坛、博客和网站与留言板进行定期常规监控。报告还称,国土安全部的监控目标都是“对公众开放的”网站,相关信息可保留最多五年。实施监控的目的是搜集可用于“形势评估”及“共同行动”的信息,帮助国土安全部及联邦紧急事务管理局等下属机构就灾难救助、边境管控等领域的事态作出反应。相关官员曾向美国媒体表示,这种监控可使指挥中心与网络媒体保持联系,使国土安全部对其必须作出反应的“重大的、发展中的事件”心中有数。另据报道,这一网络监控项目拟定了一份长达5页的网站清单,包括Facebook、Twitter、Myspace等知名社交媒体,YouTube、HuLu、Flickr等知名的视频图片共享网站以及备受争议的“维基解密”。此外,清单中还有数量众多的热门博客,其中大量博客与反恐和国家安全相关。

  (三)美国联邦调查局公布社交网站监控计划

  美国联邦调查局公布了一项旨在监控Facebook、Twitter等社交网站的计划,意图寻找一套能够从社交网站上搜索和分析信息,并识别潜在威胁的系统,从而更好地应对甚至预测危机事件。这一消息出自联邦调查局在其网站上公布的寻求技术合作文件中。该文件介绍了联邦调查局对这种系统的需求,要求其能够从Facebook、Twitter等社交网站上“公开可见的”信息中自动搜索与恐怖主义、网络犯罪等有关的关键词。一旦发现“突发事件及正在显露的威胁”,联邦调查局特工可在地图上标注所捕获的信息以及其它信息,如美国使领馆和军事设施的位置、以往恐怖袭击的详细情况以及当地监控录像等,从而确定犯罪分子所在位置,分析其动向、动机、弱点及可能采取的犯罪行为。此外,该系统还应具有自动语言翻译功能,以监控境外的恐怖组织。有研究人员已经证明,理论上可以利用社交媒体来对一个人的诸多情况进行推断,但就目前的科技水平,开发这套系统还需要克服多个技术挑战,其中最重要的就是教会电脑如何去“准确理解”网站上的信息内容,如区分简单的玩笑和严肃的声明,另外,还要能确保所获信息的可靠性,才能挖掘出有价值的信息。

  (四)英国政府计划安装监听间谍设备

  英国政府发表报告称,快速获取通信数据是与恐怖主义和其他高级犯罪作斗争的关键,政府计划在电信数字网络安装一个未知型号的间谍设备,用以监控英国人使用Facebook、Twitter等社交网络的情况。据悉,该间谍设备在报告中被称为“探针”,旨在支持建立一个针对英国人所有网络行为的全国性监控制度。英国政府此前一直在竭力强调,他们并不是想毫无束缚地获取电子邮件内容或者对电话进行录音,而是想获知“信封”以外的信息,比如谁发出了一个信息,在哪里发送和如何发送的,以及谁接收了它。“探针”将使用“深度包检测技术”,而可能被“探针”攻击的服务并不会察觉到它的存在。目前,英国的此项监视计划仍处在草案阶段。

  (五)德国政府采用间谍软件进行网络监听

  德国政府安全部门采用了一款被指控含有非法窃听功能的间谍软件进行网络电话监听,引发民众对政府网络监控所带来的公共安全问题的深切担忧。德国黑客组织“喧嚣计算机俱乐部”指责这款名为“联邦特洛伊”的软件违背了德国联邦宪法规定,严重侵害了公民隐私。德国巴伐利亚州、下萨克森州等5个州已经承认使用了这一软件,但称其属于合法使用。据德国相关法律规定,警方在握有具体侦查线索的前提下,可以给犯罪嫌疑人的计算机发送“木马”间谍程序,监控犯罪嫌疑人的电邮往来,监听嫌疑人用网络电话通话的内容,阅读嫌疑人在网络聊天室的聊天记录。然而,“喧嚣计算机俱乐部”发现,由DigiTask公司开发的这款软件能够记录键盘打字内容,激活摄像头,监控网民活动,并向政府官员传送数据。F-Secure、卡巴斯基等公司在对该软件进行研究之后发现,该程序可以监控多个网络应用程序,如IE、火狐、ICQ、MSN、Skype等。

  (六)多国广泛利用FinFisher计算机间谍软件

  近年来,英国Gamma公司FinFisher计算机间谍软件被广泛使用。据报道,该软件能实施远程监控,访问所存信息,截获加密数据等,可以抓取计算机屏幕截图,记录Skype聊天,打开摄像头和麦克风并记录按键动作。此外,该间谍软件还能控制一系列移动设备,包括iOS、Android、RIM、Symbian和Windows Phone 7手机。FinFisher入侵程序登陆手机的方法很简单,手机用户先是收到一条带网站链接的短信,这条短信表面上看没什么问题,但只要手机使用者打开这个链接,恶意程序就会被下载到自己的手机上。这种软件的手机版本已经对所有主流手机平台进行过定制,而且它能出色地躲过卡巴斯基实验室、Symantec、F-Secure和其他反病毒软件的检测。此外,FinFisher还能向苹果iTunes等流行软件发送虚假软件更新程序,或使网站假装出现Adobe Flash之类软件的丢失,促使用户下载软件,并感染其正在下载的这些程序,其中,FinFly ISP视频文件还特别提到其能向执法机构提供向目标计算机发送虚假更新程序的能力。据悉,该软件已经被英国执法机构和埃及秘密警察所使用,并已经在全世界范围内安装在超过25万台计算机上。但没有任何国家的政府承认将该软件用于监控。

  (七)印度政府成立先进手机取证中心

  印度政府资助成立的高级计算机开发中心位于印度南部港口城市特里凡得琅,是印度手机取证研究的先锋。目前该中心正在开发一套手机取证工具,以帮助执法机构打击使用手机进行的非法活动。据可靠消息称,高级计算机开发中心将开发手机取证的硬件设备和软件,其最大的挑战是开发与先进的手机技术同步的手机取证工具。高级计算机开发中心计划开发与最新3G技术相容的手机取证工具。目前市场上虽然有一些私人公司开发的手机取证工具,但是非常昂贵。此外,随着技术的飞速发展,这些工具也需要不断更新。高级计算机开发中心是一个政府机构,能够以合理价格提供此类工具。目前,喀拉拉邦警察总局成立了经过充分训练的高科技犯罪调查组,调查与手机和网络有关的高科技犯罪。该邦警察局早前在网络犯罪领域与高级计算机开发中心建立了合作关系。高级计算机开发中心此前已经开发了若干网络取证工具,其中包括TRUEBACK和 CYBERCHECK,帮助调查人员调查网络犯罪,分析犯罪现场的数字证据。

  (八)新西兰警方与企业合作推广虚拟化证据技术

  新西兰警方与英国Wynyard Group公司签订了一项协议,计划将其开发的虚拟化证据环境技术推向全球的执法和情报市场。虚拟化证据环境系统启动于2007年,由新西兰警方“国家打击电子犯罪小组”研发。该技术能够使执法人员对查获的电子产品,如手机、个人计算机和其他存储设备等进行迅速虚拟拷贝,然后从其台式计算机中搜索和查看所拷贝的数据。总部位于英国伦敦的Wynyard Group公司是专业情报与调查软件提供商,在全球6个国家设有办事处。Wynyard Group首席执行官称,虚拟化证据环境技术在数字取证方面具有世界领先水平,能高效、快速地从移动存储设备中处理和搜索数字证据,有助于执法机构解决目前越来越突出的计算机犯罪问题。新西兰警察局行动处认为,通过与Wynyard Group的合作,虚拟化证据环境技术将会成为世界领先的打击犯罪的工具。

  四、知名企业计算机网络犯罪侦查产品

  (一)俄罗斯Elcomsoft公司iOS取证工具包

  图1 Elcomsoft iOS取证工具包

  图2 Mobile Spy iPhone间谍软件

  iOS取证工具包(见图1)能够对运行任何版本的iOS且存储在某些iPhone、iPad、iPod设备中加密的用户数据进行取证分析,支持物理和逻辑获取,它能够使执法人员快速且不留痕迹地获取数据(一般对32GB模式来说是20到40分钟),获得完整的精确到位的设备映像,恢复设备密钥和密钥链项(在20到40分钟恢复简单的4位iOS和iOS4 5.0密码)并解密文件系统转储。iOS取证工具包对大多数信息的解密是实时进行的。

  (二)美国Retina-X公司Mobile Spy iPhone间谍软件

  Mobile Spy iPhone间谍软件(见图2)能提供iPhone手机实时监控服务,其独特的系统能记录使用iPhone手机的所有信息。一旦在手机上安装了这个程序,在每次手机启动的时候它都会在后台自动运行。该软件能记录短信、通话信息,并把这些数据秘密地通过互联网上传,另外该软件还可以在信号允许的情况下,每30秒记录一次手机的GPS方位。

  (三)美国BrickHouse安全公司Spector Pro计算机监控软件

  图3 Spector Pro计算机监控软件

  图4 Stealth iBot计算机间谍工具

  Spector Pro计算机监控软件(见图3)主要用于网络监测与监控,它具有先进的监视屏幕快照记录器,能够记录被监测用户的聊天记录、实时信息、电子邮件、网站访问记录等,并审查和分析目标计算机上所进行的一切活动。其主要功能有网页快照记录功能、电子邮件记录功能、聊天/即时信息记录功能、击键记录功能等。

  (四)美国BrickHouse安全公司Stealth iBot计算机间谍工具

  Stealth iBot计算机间谍工具(见图4)具有理想的超小型便携式设计,旨在暗中记录所有计算机的活动,包括密码、击键、屏幕截图和访问过的网站。其隐蔽性设计能使它可以直接嵌入到操作系统,绕过大多数防病毒和反垃圾邮件。该装置一经插入USB接口,就能够捕获每一击键信息和所访问过的网站,安装时间不到5秒,不会留下任何硬件,并且不需要软件秘密地进行截屏。Stealth iBot可存储多达1万张截图和几乎无限的文本数据,并将数据存储在本地,即使用户设有密码,用本产品也能绕过任何密码进行监视。

  (五)美国NIKSUN公司NetDetectorLive网络取证工具

  图5 NetDetectorLive网络取证工具

  图6 appTapTM远程网络监控产品

  NetDetectorLive网络取证工具(见图5)能快速、准确地监测到网络流量中的全部内容,不仅可以使用户回顾和重放历史事件,还可以监视所有网络流量。无论在内、外部网络攻击,或在内部敏感信息泄露、新型蠕虫病毒爆发的情况下,NetDetectorLive都能确保任何网络事件被捕获、追踪,并提供相应的补救建议。

  (六)美国Net Optics公司appTapTM远程网络监控产品

  appTapTM是一款针对远程站点的网络监控产品(见图6),该产品主要能够提供针对网络流量、网络应用和网络会话三个层面的监控。在网络流量层面,它可以捕捉网络流量数据,无需从路由器或交换机中发送NetFlow,而直接生成并导出NetFlow记录以供第三方流量分析工具使用,这样可以较少占用计算机资源;在网络应用层面,它能够按照不同的应用进行分类监控;在网络会话层面,它能够实现完整的会话进程监控和整个网页浏览监控。

  (七)瑞典Netresec公司NetworkMiner网络取证工具

  图7 NetworkMiner网络取证工具

  NetworkMiner是一款在Windows平台下开放源代码的网络取证分析工具(见图7),同时也是一款性能良好的网络协议分析工具。它既可以作为被动网络嗅探器/数据包捕获工具,以探测操作系统、会话、主机名、开放端口等而不增加任何网络流量,同时也可以解析离线的pcap文件,并重新生成/组合来自pcap文件的传输内容和证书。NetworkMiner可通过直接嗅探网络流量或者解析pcap文件来提取经网络传送的文件,包括文本、音频、图像和视频及证书,支持FTP、TFTP、HTTP和SMB文件提取协议。此外,NetworkMiner还可以提取支持以上协议的用户信息(用户名和密码),如Gmail或Facebook的账号持有人,并藉此来锁定目标人物。另外一个非常有用的功能是NetworkMiner允许用户用任意的字节、字符串通过关键字查找功能来搜索感兴趣信息。

编辑:侯雨婷
注:本文版权归《中国安防》杂志社和《中国安防》杂志网所有,任何媒体或个人未经书面授权严禁部分或全文转载, 违者将严厉追究法律责任。更多详情请订阅《中国安防》杂志。