论文部分内容阅读
摘要:数字影像的真伪鉴辨是近几年出现的新课题,随着伪造数字影像的不断出现,如何有效地、科学地鉴辨数字影像已是全社会关注的问题,本文通过典型案例,分析了数字影像造假的可能性和实施的措施,介绍了数字影像鉴辨的依据和常用方法,探讨了数字影像鉴辨中可资利用的工具。以期应用于实际工作,解决数字影像真伪鉴辨的问题。
关键词:数字影像 真伪 鉴辨
无论是照片、底片还是幻灯片,是黑白的还是彩色的,无论旧与新,不管是退色了的还是色彩艳丽的。单独的还是成集的,影像所要传递的通常是些非常独特的信息。影像早就被认为是社会的镜子,是观察的窗户或是认知的大门,它以图画的形式让我们与过去面对面,使得我们可以查明真相,证明身份与特征,记录历史的瞬间。影像与其它类型的文档一样,可以为研究者解答疑问,并且提出新的思考。然而影像不仅仅是为了满足视觉的需要,它呈现出事实真相,是历史的凭证,反映了同时代的某些观点。许多影像体现和表露了我们社会的价值与渴望,表现了社会的方方面面以及社会的演变。
人们在利用影像档案时,有的人出于当时政治手段的需要,更多的则是由于人类自身的阴暗心理所致,利用各种手段伪造影像。伪造影像部分是为使自己的形象更加有魅力,有的则是想抹去照片的人或物。传统的影像更改技术需要人们花费大量的时间和精力。需要在照片或底片冲洗室经过一系列的操作、反复对比。筛选一幅自己满意的篡改照片。伪造的影像无论如何精心努力,修改后的照片经仔细观察总是会落出蛛丝马迹。现今,任何人只要有一台电脑,便可不费很大的精力,不用花费很多时间随心所欲地进行伪造,伪造技术非常高明,几乎可以不留下任何痕迹。在很多情况下,人们仅仅凭肉眼难以发现破绽,需要借助现代鉴辨技术进行数字影像的真伪鉴辨。
1、随时随处随心所欲改变的数字影像
数字影像的种类繁多,弄虚作假的手段也五花八门,因此,数字影像的鉴辨需要紧跟信息技术的发展,掌握一些工具,通过不同软件功能,鉴别影像的真伪。伪造数字影像的事例在我们的生活中时常发生。2004年,有人在互联网上发布了一幅伪造的剪报,刻意显示民主党总统候选人约翰·克里(JohnKerry、在20世纪70年代一次反越战活动中同美国著名女明星简·方达(Jane Fanda)站在同一台上;2003年,布里安·沃尔斯基(Brian Walski)被洛杉矶时报解雇,起因是他从伊拉克发回的一张登载于该报头版的照片露出了马脚。为了使照片更加生动,沃尔斯基将两张不同照片的内容拼接在一起,其他报社的一位员工,在照片上试图寻找是否有他住在伊拉克的朋友时,发现同一人出现在照片的不同部位,这一发现证明照片有明显拼接的痕迹。伪造影像的丑闻也曾令科学界大为震惊。2004年,韩国首尔国立大学的黄禹锡及其同事在《科学》杂志上发表论文,称该团队已经克隆出11个干细胞,但调查发现11个干细胞只有2个是真的,其他9个均系伪造。2007年年底,闹腾了快1年的“周老虎”照片终于由官方承认是假的,周正龙拍摄的“华南虎”照片是用老虎年画拍摄的,利用照片修改软件,将年画上的华南虎移植到特定的环境中,这种伪造技术不是很高明,破绽很多,但仍然使很多专家、学者、官员等上当受骗。假老虎照片事件,发生在陕西,却影响了全国乃至全世界。这些伪造照片与传统伪造照片最大的不同是不留下作案的痕迹,伪造效率很高,伪造程序简单,不需要很高的技术训练。真实程度越来越高。因此,当人们看见一张照片时,过去固有的“真实记录”的概念已经不再完全正确。现在我们更加有必要知道,什么时候,依据什么条件才能做到“眼见为实”。
2、寻找科学的方法
计算机制作的伪造数字影像,是利用计算机图像处理技术,对数字图像进行编辑制作后生成一幅新图像。每一张需要鉴辨的数字影像都有其技术处理方法,对于鉴辨者而言,就是一种不同于以往的新挑战,有时需要凭经验。有时需要借助一些设备、机器、软件。需要寻找一些科学的方法才能在所谓伪造“完美”的影像中找出蛛丝马迹。由于操作者水平、经验和细心程度的差异以及操作者占有图像资料的丰富与否,一般可以从以下方面考虑:
2.1光线角度的一致性
在同一幅数字影像中,主光源的方向和位置是确定的,被摄物凹凸部位的明暗变化和阴影的长短及方向应具有一致性,当影像中某景物出现无法解释的明暗变化或阴影时,可以判断其图像有变造的可能。
数字影像在一幅画面上明暗过渡是逐渐的,是自然的。从不同的照片上截取所需要的内容。合成一张新的照片时,不同照片上的人或物由于拍摄条件不同。光线选择肯定存在差异,拍摄在某个面上的光线的多少或强弱取决于该换画面某一点与光线的相对方向,因此。在拼接两幅画面时,衔接处的光很难有自然的过渡。就像是在拍摄一个球体时,面对光源的一面。被照得很亮。而被对光源的一面很暗,整个球面上的光线随着光线与球面夹角的改变由明到暗逐渐过渡。假虎照片一经公布。就收到了某些人的质疑。目测就能观察到。整个假虎照画面的光线不和谐,明显存在两次曝光,部分是头顶光,部分是顺光。在拍摄过程中,一次曝光可能会抓住老虎的瞬间神态,如果两次曝光一定会惊吓老虎。老虎姿势不会一成不变,几乎不可能两次曝光形成这幅画。
在人物照片中,每个人的眼睛都有一个白色的小光点,是眼睛反射环境光线时产生的,这种小光点称为“镜面高光”,在鉴辨时可以用肉眼观察镜面高光的形状、颜色和位置,获知大量有关光线的信息。为了准确判断光的位置需要考虑眼睛的形状以及眼睛、相机和光线之间的相对方向。
2.2虚实变化的合理性
数字影像中清晰程度与拍摄时调焦对准平面的位置及景深的大小有关,对于静止物体,当图像中景深范围以外的某一物的清晰程度超过景深范围内景物的清晰度时应属添加、替换或合成的变造图像。但应排除操作不当造成的虚实变化非合理性。当有运动物体时,图像中静止物体的清晰程度应高于运动物体的清晰程度。但如采用追随法拍摄,则运动物体的清晰程度可高于静止物体的清晰程度。
2.3主体与背景的真实性
主体与背景在大多情况下都有相关性,一旦这种关联性被打破,影像的本身的真实性也就不复存在。在排除原始景物的客观性之后,伪造影像就成为内容不真实的必然结果。
2.4透视关系的比例性
透视关系是三维立体空间的景物在二维平面中的形状和位置关系。当观察或拍摄的视点和视向确定之后,影像中的透视关系是固定不变的。因此,当影像中出现画面局部影像违反透视关系时。如远大近小或线条流向改变等,应考虑伪造影像的可能性。
2.5设备、软件的可利用性
相机指纹数字修改或润饰极少留下明显痕迹,由于修改、润饰手法多种多样,可以利用相机的共 性来鉴辨数字影像的真伪。数码相机的数字传感器具有矩形的像素网格,由于数字传感器网格上方装有彩色滤波阵列,因此,每个像素只能探测某种颜色附近一定波长范围的光强度。使用最广的色彩滤波阵列是拜尔阵列。它具有红、绿、蓝光滤光镜。因此,在形成标准数字影像的一个像素所需要的三种颜色通道中,原始数据的每一个像素只能选择其中一个,缺失的数据根据邻近像素进行内插运算填充。这就是所谓的“去马赛克”过程。不管采用哪种去马塞克算法,最终得到的数字影像的像素均与邻近的像素相关。如果一幅数字影像据称是用一种相机拍摄的,但却缺乏此相机应有的像素相关性。那么就可以判断它被修改过。
借助新的软件,数字影像造假比任何时候都更容易、更逼真,不过软件技术也为数字影像鉴辨提供了新武器。造假者在努力利用各种知识和手段伪造数字影像,其中花费较多时间和精力的是寻找能够瞒过各种算法的伎俩,并且把各种合法用途开发的先进软件作为伪造的手段,试图骗过某些取证鉴辨工具。如编写相关程序。恢复原始图像应有像素的相关性:利用标准图像编辑软件来校正数字影像上的光线不和谐、不自然等问题。
在数字影像真伪鉴辨的过程中一般先要弄清一幅图片有哪些统计特性和几何特性受到某种修改手段的干扰与破坏,然后编制一套算法来找出破绽,观察照片上是否有缩放操作而产生像素伪迹。
3、数字影像鉴辨中常用的工具
证据获取工具、证据归档工具和元数据是数字影像鉴辨中常用的工具。
鉴定数字影像时不得使用原始软件或者数据,防止造成原始数据的损坏。需要对所有原始软件、查获的介质采取写保护措施、制作多个备份。常用的磁盘映像工具有Safe Back Version 3.0、SnapBack Data Arrest、Linux“dd” Version 7.0等等。在这种情况下如计算机系统的恶意入侵者入侵后,往往在事后将自己残留在系统中的“痕迹”擦除掉,鉴定人员必须把这些被删除的关键信息恢复出来。Unrm就是这样一套用于恢复已被删除UNIX文件的工具,它能系统地分析整个被创建的对象。判断其中是否有特殊的文件或二进制文件。HigherGround Sofware Inc的软件Hard Drive Mechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。随着入侵者的手段的不断改进。恢复信息的能力和水平会不断提高。
磁盘的特殊区域是指在通常情况下无法访问到的区域。通常包括未分配磁盘空间和文件的slack空间。未分配空间虽然目前没有被使用。但可能包含有先前的数据残留,文件的slack空间也可能包含先前文件遗留下来的信息。所以这些磁盘特殊区域很可能是证据的隐藏之地。Higher Ground Soft-ware Inc的软件Hard Drive Mechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree工具可以捕获磁盘未分配空间数据,该公司的工具GetSlack可自动搜集磁盘文件系统中的slack文件碎片并将其写入一个统一的文件中。
在调查取证中有一些比较容易忽视的特殊文件,它们对证据的发现很有帮助。可能隐藏有要寻找的证据,这些特殊文件一般包括Swap文件、缓存文件、临时文件和页面文件等。NTI公司的GetSwap工具可以用来获取静态的交换文件和页面文件的内容。Cain V2.5for NT/2000/XP可以读取缓存文件、临时文件,比如IE缓存和COOKIE等,从而可以破解屏保密码、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令等。
网络信息获取工具用来在网络信道监测、获取特定的可成为证据的信息。网络信息获取工具可以与IDS、Honeypot、Honeynet紧密结合,实时获取数据。常用的网络信息获取工具有windump、iris、tcpdump、ngrep,snort、sniffit,dsniff grave-rob-ber等。还有一些获取本地网络状态信息的工具,如netstat、route、arp等。
在对计算机进行取证时,需要采用保护证物的方法,以证明取证人员在取证调查过程中没有造成任何对原始证物的改变,所获得的证据和原有的数据是完全相同的。在数字影像证据取证过程中。为了保全证据通常使用数据签名和数字时间戳技术。证据分析是计算机取证的核心和关键,分析工作的第一步通常是分析可疑硬盘的分区表,NewTechnology司的Ptable工具可以用来分析硬盘驱动器的分区情况,这样可以对所分析的系统产生一个大致的了解。New Technology公司的FileList工具是一个磁盘目录工具,可以将系统里的文件按照上次使用的时间顺序进行排列,让分析人员建立用户在该系统上的行为时间表。
在取证调查过程中正确识别反常文件,格外留心一些细节特征是非常必要的。比如那些有着与他们真实数据类型不相符扩展名的文件。GuidanceSoftware公司的Encase取证工具包可提供文件特征识别及分析功能,将试图隐藏的数据文件以列表的形式列出来。EnCase中的分析工具包括关键字查找、hash值分析、文件数字摘要值分析等。EnCase是得到美国政府承认的计算机取证产品,是一个完全集成的基于Windows界面的取证应用程序,也是从数据发现到分析生成报表的全面解决方案。
TCT(The Coroner’s Toolkit)可以对运行着的主机的活动进行分析,并捕获目前的状态信息,主要用来调查被攻击的Unix主机,并捕获目前的状态信息。
常见的取证分析工具还有AccessData公司的FTK(Fomesk Toolkit)取证工具包)。FTK是一个商业软件,可以从Access-Data公司购买,但也可以从ccessData公司的网站下载试用版本。
Forensic Toolkit。由美国Access Data公司研发。能提供全面、彻底的计算机数据取证、分析和发现能力,其主要特点是具有超强的图像和互联网信息搜索功能,可查看、检索、打印、导出电子邮件信息和附件,可恢复删除部分邮件信息。该软件能自动从PKZIP、WinZip、WinRAR、GZIP和TAR格式压缩文件中释放数据,被公认为世界上对电子邮件分析的首选软件。
在计算机取证的最后阶段,要对涉及计算机造假的时间、地点、直接证据信息、系统环境信息、取证过程,以及取证专家对电子证据的分析结果和评估报告等进行归档处理,以使保障证据的可信度。证据归档工具比较典型的是NTI公司的软件NTI-DOC,它可用于自动记录电子数据产生的时间、日期及文件属性。还有Guidance Software公司的Encase工具等等。
元数据完整记录电子文件的形成过程、技术措施(如各种加密手段)和管理过程,以及文件和系统两个层次的情形,根据这些记录确认电子文件的真实性和完整性。
元数据在鉴辨中的功能主要体现在两个方面:一是元数据具有静态映射功能,能够映射出电子文件的内容、背景技术等信息,反映电子文件的原始状态和系统生成环境,能准确表达电子文件内部以及电子文件之间各种各样的复杂联系:二是元数据具有动态跟踪功能,记录备案了电子影像创建、形成、使用以及载体和设备的更替、销毁全过程,能在动态中反映电子影像的真实运转过程。元数据能够全程反映电子影像的整个生命运动周期的所有情况,帮助档案工作者有效地分析和审查电子影像数据,是解决电子影像真伪鉴辨问题不可或缺的关键因素之一。元数据一旦形成。就被封装起来与影像同时保存,只能写入或读取,不能改动和删除。因此。元数据可作为判定电子影像真实性的有效依据和凭证。
数字影像或数字图像取证分析仍然是一个新的领域,但在诸如法律、新闻出版、电子商务等许多领域经常会遇到数字图像真伪的鉴辨,随着今后的发展,数字图像的取证问题会越来越普遍,就像现在实物取证分析技术一样,在这个引人入胜而又令人迷惘的数字时代,给我们带来方便的同时,也带来了挑战。
关键词:数字影像 真伪 鉴辨
无论是照片、底片还是幻灯片,是黑白的还是彩色的,无论旧与新,不管是退色了的还是色彩艳丽的。单独的还是成集的,影像所要传递的通常是些非常独特的信息。影像早就被认为是社会的镜子,是观察的窗户或是认知的大门,它以图画的形式让我们与过去面对面,使得我们可以查明真相,证明身份与特征,记录历史的瞬间。影像与其它类型的文档一样,可以为研究者解答疑问,并且提出新的思考。然而影像不仅仅是为了满足视觉的需要,它呈现出事实真相,是历史的凭证,反映了同时代的某些观点。许多影像体现和表露了我们社会的价值与渴望,表现了社会的方方面面以及社会的演变。
人们在利用影像档案时,有的人出于当时政治手段的需要,更多的则是由于人类自身的阴暗心理所致,利用各种手段伪造影像。伪造影像部分是为使自己的形象更加有魅力,有的则是想抹去照片的人或物。传统的影像更改技术需要人们花费大量的时间和精力。需要在照片或底片冲洗室经过一系列的操作、反复对比。筛选一幅自己满意的篡改照片。伪造的影像无论如何精心努力,修改后的照片经仔细观察总是会落出蛛丝马迹。现今,任何人只要有一台电脑,便可不费很大的精力,不用花费很多时间随心所欲地进行伪造,伪造技术非常高明,几乎可以不留下任何痕迹。在很多情况下,人们仅仅凭肉眼难以发现破绽,需要借助现代鉴辨技术进行数字影像的真伪鉴辨。
1、随时随处随心所欲改变的数字影像
数字影像的种类繁多,弄虚作假的手段也五花八门,因此,数字影像的鉴辨需要紧跟信息技术的发展,掌握一些工具,通过不同软件功能,鉴别影像的真伪。伪造数字影像的事例在我们的生活中时常发生。2004年,有人在互联网上发布了一幅伪造的剪报,刻意显示民主党总统候选人约翰·克里(JohnKerry、在20世纪70年代一次反越战活动中同美国著名女明星简·方达(Jane Fanda)站在同一台上;2003年,布里安·沃尔斯基(Brian Walski)被洛杉矶时报解雇,起因是他从伊拉克发回的一张登载于该报头版的照片露出了马脚。为了使照片更加生动,沃尔斯基将两张不同照片的内容拼接在一起,其他报社的一位员工,在照片上试图寻找是否有他住在伊拉克的朋友时,发现同一人出现在照片的不同部位,这一发现证明照片有明显拼接的痕迹。伪造影像的丑闻也曾令科学界大为震惊。2004年,韩国首尔国立大学的黄禹锡及其同事在《科学》杂志上发表论文,称该团队已经克隆出11个干细胞,但调查发现11个干细胞只有2个是真的,其他9个均系伪造。2007年年底,闹腾了快1年的“周老虎”照片终于由官方承认是假的,周正龙拍摄的“华南虎”照片是用老虎年画拍摄的,利用照片修改软件,将年画上的华南虎移植到特定的环境中,这种伪造技术不是很高明,破绽很多,但仍然使很多专家、学者、官员等上当受骗。假老虎照片事件,发生在陕西,却影响了全国乃至全世界。这些伪造照片与传统伪造照片最大的不同是不留下作案的痕迹,伪造效率很高,伪造程序简单,不需要很高的技术训练。真实程度越来越高。因此,当人们看见一张照片时,过去固有的“真实记录”的概念已经不再完全正确。现在我们更加有必要知道,什么时候,依据什么条件才能做到“眼见为实”。
2、寻找科学的方法
计算机制作的伪造数字影像,是利用计算机图像处理技术,对数字图像进行编辑制作后生成一幅新图像。每一张需要鉴辨的数字影像都有其技术处理方法,对于鉴辨者而言,就是一种不同于以往的新挑战,有时需要凭经验。有时需要借助一些设备、机器、软件。需要寻找一些科学的方法才能在所谓伪造“完美”的影像中找出蛛丝马迹。由于操作者水平、经验和细心程度的差异以及操作者占有图像资料的丰富与否,一般可以从以下方面考虑:
2.1光线角度的一致性
在同一幅数字影像中,主光源的方向和位置是确定的,被摄物凹凸部位的明暗变化和阴影的长短及方向应具有一致性,当影像中某景物出现无法解释的明暗变化或阴影时,可以判断其图像有变造的可能。
数字影像在一幅画面上明暗过渡是逐渐的,是自然的。从不同的照片上截取所需要的内容。合成一张新的照片时,不同照片上的人或物由于拍摄条件不同。光线选择肯定存在差异,拍摄在某个面上的光线的多少或强弱取决于该换画面某一点与光线的相对方向,因此。在拼接两幅画面时,衔接处的光很难有自然的过渡。就像是在拍摄一个球体时,面对光源的一面。被照得很亮。而被对光源的一面很暗,整个球面上的光线随着光线与球面夹角的改变由明到暗逐渐过渡。假虎照片一经公布。就收到了某些人的质疑。目测就能观察到。整个假虎照画面的光线不和谐,明显存在两次曝光,部分是头顶光,部分是顺光。在拍摄过程中,一次曝光可能会抓住老虎的瞬间神态,如果两次曝光一定会惊吓老虎。老虎姿势不会一成不变,几乎不可能两次曝光形成这幅画。
在人物照片中,每个人的眼睛都有一个白色的小光点,是眼睛反射环境光线时产生的,这种小光点称为“镜面高光”,在鉴辨时可以用肉眼观察镜面高光的形状、颜色和位置,获知大量有关光线的信息。为了准确判断光的位置需要考虑眼睛的形状以及眼睛、相机和光线之间的相对方向。
2.2虚实变化的合理性
数字影像中清晰程度与拍摄时调焦对准平面的位置及景深的大小有关,对于静止物体,当图像中景深范围以外的某一物的清晰程度超过景深范围内景物的清晰度时应属添加、替换或合成的变造图像。但应排除操作不当造成的虚实变化非合理性。当有运动物体时,图像中静止物体的清晰程度应高于运动物体的清晰程度。但如采用追随法拍摄,则运动物体的清晰程度可高于静止物体的清晰程度。
2.3主体与背景的真实性
主体与背景在大多情况下都有相关性,一旦这种关联性被打破,影像的本身的真实性也就不复存在。在排除原始景物的客观性之后,伪造影像就成为内容不真实的必然结果。
2.4透视关系的比例性
透视关系是三维立体空间的景物在二维平面中的形状和位置关系。当观察或拍摄的视点和视向确定之后,影像中的透视关系是固定不变的。因此,当影像中出现画面局部影像违反透视关系时。如远大近小或线条流向改变等,应考虑伪造影像的可能性。
2.5设备、软件的可利用性
相机指纹数字修改或润饰极少留下明显痕迹,由于修改、润饰手法多种多样,可以利用相机的共 性来鉴辨数字影像的真伪。数码相机的数字传感器具有矩形的像素网格,由于数字传感器网格上方装有彩色滤波阵列,因此,每个像素只能探测某种颜色附近一定波长范围的光强度。使用最广的色彩滤波阵列是拜尔阵列。它具有红、绿、蓝光滤光镜。因此,在形成标准数字影像的一个像素所需要的三种颜色通道中,原始数据的每一个像素只能选择其中一个,缺失的数据根据邻近像素进行内插运算填充。这就是所谓的“去马赛克”过程。不管采用哪种去马塞克算法,最终得到的数字影像的像素均与邻近的像素相关。如果一幅数字影像据称是用一种相机拍摄的,但却缺乏此相机应有的像素相关性。那么就可以判断它被修改过。
借助新的软件,数字影像造假比任何时候都更容易、更逼真,不过软件技术也为数字影像鉴辨提供了新武器。造假者在努力利用各种知识和手段伪造数字影像,其中花费较多时间和精力的是寻找能够瞒过各种算法的伎俩,并且把各种合法用途开发的先进软件作为伪造的手段,试图骗过某些取证鉴辨工具。如编写相关程序。恢复原始图像应有像素的相关性:利用标准图像编辑软件来校正数字影像上的光线不和谐、不自然等问题。
在数字影像真伪鉴辨的过程中一般先要弄清一幅图片有哪些统计特性和几何特性受到某种修改手段的干扰与破坏,然后编制一套算法来找出破绽,观察照片上是否有缩放操作而产生像素伪迹。
3、数字影像鉴辨中常用的工具
证据获取工具、证据归档工具和元数据是数字影像鉴辨中常用的工具。
鉴定数字影像时不得使用原始软件或者数据,防止造成原始数据的损坏。需要对所有原始软件、查获的介质采取写保护措施、制作多个备份。常用的磁盘映像工具有Safe Back Version 3.0、SnapBack Data Arrest、Linux“dd” Version 7.0等等。在这种情况下如计算机系统的恶意入侵者入侵后,往往在事后将自己残留在系统中的“痕迹”擦除掉,鉴定人员必须把这些被删除的关键信息恢复出来。Unrm就是这样一套用于恢复已被删除UNIX文件的工具,它能系统地分析整个被创建的对象。判断其中是否有特殊的文件或二进制文件。HigherGround Sofware Inc的软件Hard Drive Mechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。随着入侵者的手段的不断改进。恢复信息的能力和水平会不断提高。
磁盘的特殊区域是指在通常情况下无法访问到的区域。通常包括未分配磁盘空间和文件的slack空间。未分配空间虽然目前没有被使用。但可能包含有先前的数据残留,文件的slack空间也可能包含先前文件遗留下来的信息。所以这些磁盘特殊区域很可能是证据的隐藏之地。Higher Ground Soft-ware Inc的软件Hard Drive Mechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree工具可以捕获磁盘未分配空间数据,该公司的工具GetSlack可自动搜集磁盘文件系统中的slack文件碎片并将其写入一个统一的文件中。
在调查取证中有一些比较容易忽视的特殊文件,它们对证据的发现很有帮助。可能隐藏有要寻找的证据,这些特殊文件一般包括Swap文件、缓存文件、临时文件和页面文件等。NTI公司的GetSwap工具可以用来获取静态的交换文件和页面文件的内容。Cain V2.5for NT/2000/XP可以读取缓存文件、临时文件,比如IE缓存和COOKIE等,从而可以破解屏保密码、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令等。
网络信息获取工具用来在网络信道监测、获取特定的可成为证据的信息。网络信息获取工具可以与IDS、Honeypot、Honeynet紧密结合,实时获取数据。常用的网络信息获取工具有windump、iris、tcpdump、ngrep,snort、sniffit,dsniff grave-rob-ber等。还有一些获取本地网络状态信息的工具,如netstat、route、arp等。
在对计算机进行取证时,需要采用保护证物的方法,以证明取证人员在取证调查过程中没有造成任何对原始证物的改变,所获得的证据和原有的数据是完全相同的。在数字影像证据取证过程中。为了保全证据通常使用数据签名和数字时间戳技术。证据分析是计算机取证的核心和关键,分析工作的第一步通常是分析可疑硬盘的分区表,NewTechnology司的Ptable工具可以用来分析硬盘驱动器的分区情况,这样可以对所分析的系统产生一个大致的了解。New Technology公司的FileList工具是一个磁盘目录工具,可以将系统里的文件按照上次使用的时间顺序进行排列,让分析人员建立用户在该系统上的行为时间表。
在取证调查过程中正确识别反常文件,格外留心一些细节特征是非常必要的。比如那些有着与他们真实数据类型不相符扩展名的文件。GuidanceSoftware公司的Encase取证工具包可提供文件特征识别及分析功能,将试图隐藏的数据文件以列表的形式列出来。EnCase中的分析工具包括关键字查找、hash值分析、文件数字摘要值分析等。EnCase是得到美国政府承认的计算机取证产品,是一个完全集成的基于Windows界面的取证应用程序,也是从数据发现到分析生成报表的全面解决方案。
TCT(The Coroner’s Toolkit)可以对运行着的主机的活动进行分析,并捕获目前的状态信息,主要用来调查被攻击的Unix主机,并捕获目前的状态信息。
常见的取证分析工具还有AccessData公司的FTK(Fomesk Toolkit)取证工具包)。FTK是一个商业软件,可以从Access-Data公司购买,但也可以从ccessData公司的网站下载试用版本。
Forensic Toolkit。由美国Access Data公司研发。能提供全面、彻底的计算机数据取证、分析和发现能力,其主要特点是具有超强的图像和互联网信息搜索功能,可查看、检索、打印、导出电子邮件信息和附件,可恢复删除部分邮件信息。该软件能自动从PKZIP、WinZip、WinRAR、GZIP和TAR格式压缩文件中释放数据,被公认为世界上对电子邮件分析的首选软件。
在计算机取证的最后阶段,要对涉及计算机造假的时间、地点、直接证据信息、系统环境信息、取证过程,以及取证专家对电子证据的分析结果和评估报告等进行归档处理,以使保障证据的可信度。证据归档工具比较典型的是NTI公司的软件NTI-DOC,它可用于自动记录电子数据产生的时间、日期及文件属性。还有Guidance Software公司的Encase工具等等。
元数据完整记录电子文件的形成过程、技术措施(如各种加密手段)和管理过程,以及文件和系统两个层次的情形,根据这些记录确认电子文件的真实性和完整性。
元数据在鉴辨中的功能主要体现在两个方面:一是元数据具有静态映射功能,能够映射出电子文件的内容、背景技术等信息,反映电子文件的原始状态和系统生成环境,能准确表达电子文件内部以及电子文件之间各种各样的复杂联系:二是元数据具有动态跟踪功能,记录备案了电子影像创建、形成、使用以及载体和设备的更替、销毁全过程,能在动态中反映电子影像的真实运转过程。元数据能够全程反映电子影像的整个生命运动周期的所有情况,帮助档案工作者有效地分析和审查电子影像数据,是解决电子影像真伪鉴辨问题不可或缺的关键因素之一。元数据一旦形成。就被封装起来与影像同时保存,只能写入或读取,不能改动和删除。因此。元数据可作为判定电子影像真实性的有效依据和凭证。
数字影像或数字图像取证分析仍然是一个新的领域,但在诸如法律、新闻出版、电子商务等许多领域经常会遇到数字图像真伪的鉴辨,随着今后的发展,数字图像的取证问题会越来越普遍,就像现在实物取证分析技术一样,在这个引人入胜而又令人迷惘的数字时代,给我们带来方便的同时,也带来了挑战。