英语原文共 10 页,剩余内容已隐藏,支付完成后下载完整资料
法医发现数字证据的容器审计
摘要
目前的数字取证方法捕获、保存和分析的通用电子数字证据(通常情况下,普通文件)没有专门的支持来帮助展示证据已经妥善处理。一个数字调查审计,并通过复制和调查证据扣押证明是本质上的,临时性的,记录在单独的日志文件里,或在一个调查员的笔记本。审计执行以这种方式必然是不完整的,因为不同的工具提供了广泛的不同数量的审计信息-包括所有–都有足够的空间为人类的
最近,出现了一个严重的社会努力开发专门的数字证据容器的开放标准。DEC区别于普通容器在于,除了实际证据,它捆绑任意元数据与它有关,如日志和笔记,并且提供了基本的装置,以检测证据篡改证据通过数字签名。目前的方法包括定义一个容器格式,并提供了可用于操纵它的专门库。而在朝着正确的方向迈出了一大步,这一做法具有一定的不平凡的缺点 - 它需要现有的取证软件的重新装备,并由此限制了可用于调查工具的数量。更重要的,它并没有提供完整的解决方案,因为它仅记录了DEC的状态的快照,而不能提供有关证据实际执行的所有数据的操作的一个值得信赖的日志。如果没有一个值得信赖的日志的工具是否工作完全一样标榜不能肯定,这将打开大门,挑战(既合法又轻浮)的结果来回答的问题。
在本文中,我们提出了一个补充机制,称为法医发现审计模块(FDAM),旨在发现过程中关闭这个漏洞。 FDAM可以被认为是作为数字证据,其中,从容器中证据被置于受控操纵一个“洁净室”的环境。它充当一个操作系统组件,可监控并记录所有访问的证据和强制执行政策的限制。这允许即时,安全,可验证和使用任何工具的认为必要的考官。另外,该模块可为多个DEC格式提供透明支持体,从而大大简化了采用开放式标准。
关键词:数字取证,内部操作系统,文件系统,数字证据容器审计
1简介
信息被发现往往是被询问使之成为有用证据仅仅是当它在经过严格测试之后,其中之一的争论是可采性的关键方面是说明该信息已被获得和处理不当,因此,所获得的结果可被信任。在传统的取证,其中物理文物进行检查和解释,密封袋的证据都在做这样的说法了一个简单但不可或缺的工具。除了防窃启设计,这种袋子经常提供用于识别的信息,例如在调查人员的名字,情况标识符,犯罪嫌疑人的名字时,该项目的描述,以及日期和时间的名称写空间,当袋密封。包包上的连续性部分允许跟踪袋子的移动,并指出托管链关于谁承担的袋的保管。
数字鉴证人员一般都遵循了类似的做法,有一个显着的例外,迄今为止他们缺乏防揭袋的数字信息的等价物。目前,先进的数字取证工具,国家在标准操作系统的组件操作和使用纯文本文件作为容器持有的文物。其中一个问题是,在法医过程中所用的通用工具可能潜在地改变工件。虽然这可以通过写拦截阻止,该工具进行哪些操作的问题仍然没有答案。例如,如果使用一个工具来搜索恶意软件,是整个磁盘搜索,或者只是选择了“典型”的地方呢?为了应对(部分)这个问题,最佳做法,规定所有工作中对证据的副本进行,执行的所有操作记录在审计日志中。对于本文的目的,我们指的是保持一个日志中的所有操作对证据的审核过程。
按照目前的方法,这完全是调查人的调查负担,审计注定是不完整的,因为不同的工具提供的审计信息是各种不同形式的,其中大部分都必须手工记录不同级别。在调查过程中,一张数字证据可以由许多不同的工具提供,其中一些产生自己的行为(例如,DD或Sleuthkit的命令行工具)没有审计线索以及一些生成自己的审计日志(例如,FTK)。最后,研究者留给审计跟踪这些为拼凑创造的调查期间所发生的全面看法。使用应用程序生成的日志的另一个潜在的问题是,应用程序被装入警务本身,这使得应用程序及其记录有故障的可能比如果它们被单独开发的可能性更大。最后,作为一个实际的问题,未能手动记录审计信息,例如通过的md5sum对于大型磁盘映像生成MD5散列,可能造成巨大的损失对于时间量来说,如果操作必须被重复。如果一代审核的详细信息,如国这些是自动化的,那就更好了。
有证据表明,许多人试图规避上述问题只使用结果由供应商准备大力捍卫自己的产品的商业工具产生的耦合放疗(自费)。这种方法至少有2个主要问题。第一个是,调查人员只限于所选择的工具的能力。总的来说,几乎没有什么特殊功能,在大多数法医工具套件中,几乎所有这些都是基于现有的通用工具的功能(例如,数据传输,文本搜索,文件类型识别性,等),随着时间的推移,取证工具简单地积累更多的人在一个方便的包装。尽管如此,仍然需要使用其他工具来发现和解释证据。
另一个问题是,就像任何其他的软件,取证工具总是包含执行错误(bug)或者是基于合理的假设。作为一个简单的例子,早期版本许多工具可以相信,一个文本文件是微软Windows以字符串“MZ文件执行”。这并不总是供应商的故障,在公共产品中创建的工件(例如,微软Windows中的许多格式)可以改变从没有版本到有版本的警告。而发现的错误和缺点往往是固定的,持续的介绍新的工具功能带来了新的潜在问题。例如,最近的趋势走向多线程带来图像的一个全新的类相关的潜在问题同步实施不存在于一个单一的线程实现中。
总之,无论是研究人员和他们使用的工具,都容易出现错误,这可能会导致错误(无论是合法和无聊)的结果。由于错误的可能性永远不会走开和本质上是难以量化的,唯一可行的办法,真正提高诚信的过程是有一个独立的审计机构,是:(一)自动化,以防范对人的失误(二)工具独立,独立确认,挑战使用任何工具的结果,包括那些没有明确标示“法医”。
我们应该强调的是,这样一个独立的审计机构不收取任何工具复制法医功能不过是一个公正的观察者的所有基本数据操作实际上每形成于证据。重要的结果是一致的,信任,和防篡改的审计线索,可以检查后确认/揭穿事实的挑战。
最近,特纳(2005)创造了相当的描述性术语数字证据袋(DEB)描述了他的方法来处理上述问题。更确切地说,他的工作可以被描述为创建专门容器的努力,一个开放的,通用的文件格式,用于存储数字证据。德克尔束数字证据,相关的元数据,以及审计日志到一个单一的结构,PR提供的操作袋中的数字证据以及完整性检查的审计跟踪。在下面的章节中,我们描述该数字证据的容器(或DECS)更详细。
所有现有的12月规格地址的审计问题,在一定程度上。但是,它们都依赖于一个单独的工具“自愿”参与,即法医学应用需要使用一个专门的原料药,从而有效地取代了文件系统。显然,重组所有现有的法医应用的具体目的是一个高阶的,有没有令人信服的激励机制。因此,我们的工作是针对操作系统的机制来支持/执行和开发使用。我们将证明,这种方法可以实现自动化没有额外的开发工作为现有工具的独立和工具的独立性。总体而言,我们的方法还可以提供更强大的审计保证。我们认为这是一个互补的机制,发展和标准化的DEC格式,这有助于证据的处理程序,并提供多种数字证据的容器格式的透明支持。
2 相关工作
在本节中,我们提供了一种快速的概述和一些有代表性的工作而不试图提供一个全面的调查。我们还简要回顾了一些经典的安全审计日志的工作。
2.1数字证据袋
数字证据袋的基本结构(DEBS)是由 特纳概述(2005) 和 特纳进一步发展(2006)。作为例子,图1显示 ensp; Deb,一个由一个对象的分层集合(文件)包含数字的证据,以及调查过程中积累的相关信息,包括审计信息。
在层次结构的根标签区域,它由一组名称/值包含与黛相关的元数据对。这包括对Deb的唯一标识符,创建日期和时间、名称和Deb的创造者的组织,和一系列证据的单位(EUS)存储在DEB。除了有证据的单元0,这是保留的情况说明和案例相关的元数据在DEB创造时,每个单元的内容可以有所不同,取决于需要。eU0包含目标信息(如类型、序列号、制造商)和成像工具用于创建DEB(名称、版本、完整性、配置文件,运行时选项,等)的附加文本,图像,等可以包含文件的获取过程。
图1–数字证据袋例(DEB)(特纳,2006)
每个欧盟提供了一个名为一个独特的BLOB(二进制数据块)的电子证据存储在包和斑点相关的索引文件。索引文件中详细描述了Blob的内容,如文件名、哈希表、时间戳,和物理布局信息。一个单元也可以完全由元数据,如清单文件的哈希值。最后,审计日志(称为标签连续块)跟踪打击DEB进行,包括日期、时间、受影响的块,和每个操作以及定期散列DEB内容应用签名。
DEB的设计力求简单,所有的元数据记录为文本记录在原始二进制格式的所有数据。有效的访问和表示不是一个主要的考虑因素,在这个时候,既不安全审计,虽然我们看到没有技术障碍,增加这些以后。
2.2 AFF和gfzip
Aff(加芬克尔,2006)是一个有效率的一个主要重点雄心勃勃的开源项目,都在时间和存储要求的条款的接入。此外,它还内置了强大的规定基于X.509证书的认证(V)3。AFF定义磁盘和数据存储层表示,其中前者定义段名用于存储与图像相关的所有数据(数据和元数据),而后者定义了图像如何被存储(在二进制或XML)。一般来说,一个aff文件包含头和多个命名元数据段,其次是数据段(图2,左)。每一段有其自己的头/尾部分与相关长度和其他信息(图2,权利)。每段受加密哈希或PKCS7签名。
图2–aff文件结构(左),AFF段结构(右)(加芬克尔,2006)
AFF是一个多格式规范。它还提供了一套集装箱操作工具和库的实现(afflib)与文件系统API,便于普通文件和过渡。尽管如此,它确实需要应用程序的重组,并没有提供一个完整的解决方案的审计问题,因为它不监视访问应用程序的运行时行为,但它确实提供了一种手段,通过数字签名来检测证据。
gfzip是另一个开源的努力,有许多共同的影响无论在目标和技术途径。事实上,两者之间存在着有限的兼容性,在以段为基础的布局。然而,不像AFF,gfzip试图维持允许原始数据被放置第一次与DD的RAW图像格式的兼容性。
2.3 包住
由商业供应商创建的12月格式,一般,较旧的和技术上不太复杂。目前最流行的格式是一个介绍包住(正式,专家证人)。虽然有些细节还不是很清楚,由于其专有的性质,它主要由标题部分,然后由一个序列的32 kb的压缩块,随着块CRC。最后,该文件的MD5哈希连接。此外,该文件包含支持快速查找操作的指针。
2.4 PyFlag
PyFlag定义了一个基于可搜索的版本称为sgzip gzip法医图像格式。sgzip的主要优点是它的图像分割成固定大小的块,将他们单独允许快速查找操作。没有将元数据附加到目标映像或日志访问证据的规定。一个重要的想法是使用库钩子来呈现一个文件多格式支持取证系统的观点,这是类似于我们自己的工作。然而,没有安全的日志记录和访问控制方法。
2.5 安全审计日志
要进一步加强审计能力和防篡改设备可引入DEC的内容,特别是审计日志。目标不是为了防止被篡改的审计日志或内容的12月,而是要解决一个稍微容易的问题,使篡改检测。在一般情况下,安全的审计设施需要一个值得信赖的组件。该组件可以是一个蠕虫(写一次读很多)驱动器,审计日志条目被附加,或一个安全的服务器,物理上无法访问攻击者。我们讨论了一些设计选择。
Schneier等人。(1999)讨论了方案的安全审计,包括来路不明的机器u(例如,用于数字调查机)和一个可信赖的机器secreta0.追加新记录DJ,你计算KJ =哈希(AJ),C = EK(DJ),YJ =哈希(YJminus;1;C),和ZJ = macaj(YJ)。YJ是一个哈希链的第j个条目,y1 = 0和Mac是一个HASH函数。然后[ C,YJ,ZJ ]写入日志。共享密钥,然后重新计算:AJ 1 =哈希(AJ)和AJ破坏。该方案是专门为禁止日志条目之前创建的被攻击者读取的时间。这个想法是,攻击者就删除整个日志(这将被注意到,当通信是建立在未来之间的美国和)或单独留下日志(因此不知道是否在日志条目让他未经授权的访问记)。如果在 UI不需要运行的应用程序访问以前的日志条目这个方案是有用的。注意, T 可以验证在 U 审计日志是正确的,因为它possessesa0 可以“重播”整个日志。
Snodgrass等人。(2004)提出了一种技术,该技术允许在防止广泛使用审计日志的时候访问日志。该方案利用一个可信的公证机构,这是一个ccepts数字文件,计算一个散列函数在文件和安全时间戳,然后存储并返回一个ID,这个ID是公证人公证并存储在日志条目。确定审核日志是一致的,一个值得信赖的人可以验证公证ID(和相关的时间戳)的公证服务与审计日志。遗漏,增加,和删除可以全部被注意到。这一基本方案的缺点是需要一个显着量的与公证处的沟通,但审计日志项可以结合起来,作为一个单一的文件提交给公证员为了减少沟通(在一个粗糙的日志验证的水平)。DEC的审计日志,Snodgrass方法是特别有吸引力的,因为只有有限数量的存储受信任的服务器要求。对于每一个审计日志条目,在日志条目的文本中计算了一个哈希值,这个哈希值被提交到公证处,然后返回的公证处是存储在12月的审计日志中。注意,12月的审计日志是可读的,这是有用的,用于创建报告,评估调查,或进行工具评估。
3 取证审计模块
3.1 设计目标
审计模块取证的终极目标(FDAM)可以放在几个类别:
可信日志记录。对冻干羊膜的主要目的是提供一个完整的、可信赖的所有数据操作的法医图像执行历史。日志记录应在文件系统层和在块设备层中进行,以充分记录所有操作。理想的情况下,它应该支持各种级别的详细信息(根据用户需要)和目前使用的最常用的格式。
灵活的12月支持。它应该能够从和导出到多个数字证据容器格式。这包括专业法医的容器,如Deb和AFF,和通用的普通文件和原装置的图片。
工具的独立性。该模块应工作在法医过程中使用的任何应用程序,包括“非法医”。
工具/代理识别。该模块应该明确地识别所使用的工具来执行每一个操作
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[150325],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
