反取证技术与应对策略

最新推荐文章于 2025-10-28 09:12:36 发布

原创最新推荐文章于 2025-10-28 09:12:36 发布 · 339 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#反取证 # 加密 # 文件签名 # 时间戳 # 虚拟机

第7章反取证

引言

罪犯非常清楚，如果他们的通信被发现，他们的计划就会暴露，并且他们将面临因言辞或书面内容而被逮捕的风险。然而，他们也意识到，未来的犯罪活动需要与同谋者进行通信以策划犯罪活动，即使存在被发现的风险。

我们已经讨论了使用加密技术来隐藏通信内容，以及在互联网上通过隐藏IP地址来保持在线匿名的方法。本章将探讨对已被扣押用于分析的电子存储介质进行分析，这些介质可能已受到反取证（也称为对抗取证）技术的篡改。

正如取证分析师永远无法确知自己有多少次忽略了通过隐写术方法隐藏的证据一样，他们也很可能无法知晓证据有多少次被反取证方法所混淆。

本章未涉及的反取证的一个方面是入侵者在网络中掩盖其行踪的问题。原因在于，入侵者掩盖其踪迹的目的与犯罪分子或恐怖分子在保护彼此通信时的目的并不相同。另一个未涵盖的方面是用于隐藏证据的所有反取证方法。本文的重点是针对用于通信（如电子邮件和互联网使用）的反取证手段，而不是专门用于隐藏儿童色情等证据文件的方法，尽管许多方法在这两方面都有所应用。

数字取证不再被公众视为一种神秘的艺术，能够神奇地使已删除的电子文件起死回生。电影和电视节目通常都会涉及甚至完全聚焦于取证分析师的技术能力。尽管好莱坞版本可能夸大了取证分析的某些方面，但其中许多内容仍基于真实的取证技术能力。利用技术进行通信的犯罪分子非常清楚，如果他们的

示意图0

设备被查扣后，他们的通信面临在电影中常见的暴露风险。他们明白聊天记录、电子邮件和网络邮件可以从电子存储设备（包括移动设备）中恢复。本章讨论的对抗反取证的方法，是绝大多数调查人员无需依赖绝密软件和超级计算机即可采用的方法，毕竟绝大多数调查人员也无法获得这些资源。

简单而非常有效的方法

有时候最简单的方法就是最好的方法，而有时最简单的方法也是最有效的。

根据罪犯所拥有的时间、机会和决心，可以采用一些反取证方法，从而挫败任何取证尝试。其中一些方法非常有效，只需简要说明即可。

隐藏证据

如果证据不存在，那么取证分析也就无从谈起。简单地处理掉电子证据即可防止设备内容被披露。犯罪分子若想阻止电子证据被恢复，只需足够的时间和机会来销毁证据即可。在电子设备的情况下，证据通常由电子存储设备构成，因为实际信息就存储在这里。人们普遍担心的是，一旦电子存储设备落入调查人员手中，聊天/视频日志、电子邮件往来以及其他通信内容将被恢复。

最快的反取证方法是将证据丢弃在极不可能被发现的地方。无论是扔进湖底、河底、悬崖下，还是埋藏在偏远地区，只要让设备完全不被发现，实际上就等于没有可供检验的证据。设备越小，就越容易快速处理，例如在高速公路上从汽车车窗直接扔出去。

全设备加密

加密是一种反取证方法，既被合法使用，也被非法使用。当计算设备丢失或被盗时，如果所有者在设备上使用了加密，罪犯通常无法访问数据。这对企业和个人而言是合法的。犯罪分子使用加密通常是为了阻止执法部门在调查中获取电子证据。如前所述，正确使用时，加密非常有效。许多移动设备默认处于加密状态，这几乎可以肯定将导致访问至多会遇到问题。

在遇到加密设备且目前没有已知方法可以绕过加密时，并不意味着数据将永远无法访问，而仅表示当前无法访问。例如，全盘加密会有效导致磁盘上的数据无法访问。是否能够在未来获得解密密钥/密码可能尚不清楚，但确实有可能通过传统手段发现密码，例如密码被记录下来，或在审讯过程中由嫌疑人透露。今天不可能的事，明天可能会成为可能，因此请妥善保存证据并持续尝试。

数据擦除

数据擦除，更准确地说是“用其他数据覆盖数据”，是一种有效的反取证方法，因为覆盖电子证据能有效使数据无法恢复。对犯罪分子而言，数据擦除的负面之处恰恰对调查人员有利。数据擦除所需时间随着存储设备的存储容量增加而增加，小型介质可在几分钟内完成擦除，而大型磁盘驱动器可能需要数小时才能完成。由于所需时间很长，犯罪分子定期擦除其所有存储设备的可能性并不大。

物理销毁

当设备处于活动状态，即在线时，数据会持续生成、复制和操作。然而，一旦设备离线并经过物理销毁，除非其他设备上存在副本，否则数据将不复存在。对设备进行物理销毁可以很简单，例如在硬盘驱动器上钻孔或用大锤砸碎，或同时采用两种方式。无论哪种方式，一旦设备被物理销毁，其中的数据也就被有效销毁了。若使用锤子等钝器进行物理销毁，还需考虑所需的时间因素。即使是使用钻头，也可能需要数分钟才能完全穿透硬盘外壳和盘片。

而硬盘粉碎机则能极其高效且迅速地将硬盘驱动器变成金属碎片。鉴于硬盘粉碎机的价格，普通罪犯或恐怖分子拥有这种大型、笨重且昂贵的机器的可能性极低。

销毁设备意味着必须获取新设备，配置并使用它们，随后再次销毁，从而又需要获取新设备。移动设备（如手机）虽然容易更换，但获取和配置新设备也需要时间。使用的设备越多，就越有可能遗漏某一台设备未被销毁，或者只是被随意扔进抽屉或留在柜子里。销毁是有效的，但不要假定所有东西总是被彻底销毁或埋藏在秘密地点。罪犯和恐怖分子也是人，人类会犯错误，并受到人性规律的影响，例如懒惰和松懈。罪犯所犯的错误往往为你的调查带来突破口。

最佳方法并非最常用的方法

最有效的反取证方法是将数据擦除、加密、物理销毁和远程处理结合应用于每台设备。当所有这些方法都用于任何设备时，该设备便不再对犯罪分子构成证据威胁。但如前所述，每次对每一台电子设备都进行这样的操作所需的时间、精力、努力和动机，使得这种最有效的方法因涉及的工作量和时间过长而难以成功。

此外，为了进行电子通信，包括使用手机和互联网，犯罪分子必须经常（如果不是持续不断地）使用他们的设备。处理掉这些设备需要不断获取新设备，陷入一个无休止的循环，在此过程中容易产生松懈和错误。关键在于，即使你的目标在丢弃设备，他们在任何特定时间也肯定会保留一些设备继续使用，重复使用某些设备，并且由于使用的设备数量庞大，他们可能会忽略那些被遗留在衣柜、咖啡馆或只是丢失后又可能在某个时候被发现作为证据的设备。

另一种简单方法

处理掉所有设备是一种方法；另一种简单的方法是尽可能多地收集设备，以压垮取证尝试。例如，收集数百张光盘、数字视频光盘、U盘、硬盘、手机和其他存储设备，将产生大量物品，导致调查人员在发生扣押时需要耗费大量时间才能检查每一件物品。

从潜在和现实角度来看，这些设备中的任何一个都可能包含实际证据，只是隐藏在数百个非证据存储设备之中；然而，要找到那个可能包含证据的设备就需要检查每一个项目，这需要时间。而设备上存储的数据进一步增加了所需时间。虽然有可能但可能性不大，嫌疑人可能会经常使用这些设备进行持续的数据生成，使得这些设备看似包含证据。但很可能的是，定期使用数百个存储设备来制造虚假证据将没有时间实施或策划犯罪。

通过简单地将数千个电子文件复制到所有存储设备上，可以在设备上植入数据。设备上的文件越多，逐个筛选以确定是否存在证据所需的时间就越长。

当物品数量众多时，如果时间紧迫，对存储设备进行取证镜像可能并非最佳方法，这会延迟检查工作，直到对设备进行初步筛查以查找容易获取的证据。

即使如此

示意图1

最佳的初步筛查方法，可能会忽略证据，导致证据项目被暂时或永久地从证据容器中丢弃。

一种可显著缩短初步筛查时间的取证应用是批量提取器（http://digitalcorpora.org/）。批量提取器是一种多线程搜索工具，其扫描存储设备以查找特定类型字符串的速度远超大多数取证套件。例如，批量提取器能够扫描存储设备并提取电子邮件地址、电话号码、以太网媒体地址控制（MAC）地址、IP地址、互联网域名以及其他基于所需内容可能表明潜在证据的相关信息，其速度比取证应用套件快数倍。在扫描了太字节数据后，将这些可提取的特定类型数据聚焦到单独列表中，可能在几分钟内快速指出通信方式，而不是手动初步筛查所需的数小时或数天。

增加使取证检查员面对大量设备的方法之一是对许多非证据电子文件进行加密。例如，可以使用一个1太字节外置硬盘这样的存储设备，其中植入数十万份文件，所有或大部分文件均被加密。乍一看，该设备似乎必须包含证据，因为文件已被加密，但实际上，这些加密文件毫无意义，仅用于浪费调查人员尝试解密的时间和计算资源。

作为一种反取证方法，故意收集数百个设备并不可行或高效，因为检验人员可以通过初步筛查轻易地识破。此外，由于收集和传输大量设备上的数据需要耗费大量时间，犯罪分子也不太可能采用这种方法。这种反取证方法实际上只是一种拖延策略，因为调查人员只要有足够的时间，就可以逐一检查所有物品，直到找到真实证据。然而，无论是否隐藏，存储介质缓存都不应被忽视，其可能成为证据的潜在来源。

文件签名操纵

电子文件具有文件签名（文件头签名），操作系统和程序需要这些签名为选择适当的程序来打开或运行文件。例如，图像文件将在图像查看器中打开。

图像查看器程序识别文件头签名作为图像文件，并正确打开它。图7.1显示了一个典型的称为JPEG的图像文件的文件头，其中注明了JPEG的前4个字节。

使用文件签名操纵的反取证方法就是简单地将文件头更改为另一种文件类型。例如，使用图7.1中显示的JPEG图像文件，并将其文件签名更改为系统文件或任何其他文件类型不是图像文件类型。该文件将无法通过图像查看器打开，也不能作为更改后的文件类型使用，但可以包含短信等电子证据。图7.2显示了来自图7.1的同一文件，但使用十六进制编辑器将文件头从JPEG更改为DOCX。由于仅文件头发生了变化，文件内容保持不变。

尝试打开文件签名已被更改的文件会导致错误，如图7.3所示。图7.3显示了尝试打开该文件时的情况

示意图2

文件被篡改后，由于文件头已更改，Microsoft Word会被选中打开该文件，但由于该文件实际上是图像文件，因此会弹出错误对话框并显示损坏通知。

取证软件应用能够轻松应对这种反取证技术，但作为一种简单的数据交换方法，仅通过视觉检查很容易被忽视。

在实际使用中，一名嫌疑人可以创建一个包含犯罪计划详细信息的文件，修改其文件头，并通过电子邮件、点对点传输或复制到U盘等外部存储设备的方式将该文件交给另一名嫌疑人。接收者只需修复文件头即可打开并按预期读取消息。

一种在初步筛查中用于应对这种反取证技术的取证分析方法是检查最近使用过的程序及其打开的文件。例如，如果最近使用文本编辑器打开了一个JPEG文件，则这会显得可疑。通常情况下，文本编辑器用于处理文本文件，而非图像文件。因此，如果发现文本编辑器被用于处理JPEG文件，则有可能正在使用这种反取证方法将数据隐藏在文本文件中，但实际上已操纵该文本文件使其显示为图像文件。

更改文件的文件扩展名（例如将.jpg更改为.sys）确实会改变文件名在Windows资源管理器中的显示外观，并掩盖了文件的真实类型。然而，该文件仍然可以使用预期的程序正常打开，因此如果知道使用哪个程序，任何人都可以读取其内容。但是，更改文件头会导致文件完全无法打开，即使使用创建该文件的原始程序也无法打开。

时间戳修改

修改、访问、创建和条目文件时间（MACE）是电子文件上的时间戳，无论是系统/程序文件还是用户创建的文件。基本上，当文件在存储介质上创建时，它们会被“标记”上

创建日期和时间。当文件被修改时，会打上修改日期和时间的标记；当文件被访问时，会打上访问日期和时间的标记；当主文件表被更新时，会打上条目日期和时间的标记。某些操作系统默认可能不会更新访问时间，用户可以修改默认设置。

作为一种反取证方法，修改MACE时间仅影响文件的日期和时间，而不影响文件的内容。在揭露通信（如电子邮件、隐藏消息等）的背景下，实际的日期和时间可能不如文件内容重要。然而，如果一个文本文件的文件签名已被更改为模仿系统文件，并且该文件的MACE时间被提前数月，则此方法有助于隐藏可能被忽略的数据。需要注意的是，并非所有时间戳篡改程序都会修改条目时间戳。

有多种软件应用程序可用于修改单个文件或整个存储设备上的任意或全部MACE时间/日期戳。在分析过程中，使用取证软件并按文件日期排序时，必须牢记这一事实。如果某条聊天记录或包含通信内容的文件发生在特定关注时间段内，而MACE时间戳已被修改，则按日期排序文件可能会遗漏相关证据。对抗此方法需要查找是否存在时间戳修改软件应用程序的证据。审查日志文件会有所帮助，因为日志文件具有顺序性，出现顺序异常的日志则表明MACE时间戳被篡改过。

用于修改MACE时间戳的一些工具见于表7.1。使用专为操作设计的软件来篡改文件时间戳非常容易，无需过多解释。图7.4显示了Timestomp图形用户界面的对话框，只需选择一个文件或文件夹，并选择要更改的日期/时间即可。

Timestomp目前未由开发者维护，但已在多个网站上存档供下载。

确定是否使用了MACE时间戳工具应该是大多数基于主机的取证检查的一部分。

应分析Windows痕迹（注册表、预取、lnk文件等），以确定是否有任何表7.1

软件名称	下载链接
Timestomp	http://www.bishopfox.com/resources/tools/other‐free‐tools/mafia/
Timestomp图形用户界面	http://sourceforge.net/projects/timestomp‐gui/
BulkFileChanger	http://www.nirsoft.net/utils/bulk_file_changer.html
Funduc软件触摸工具	http://www.funduc.com/fstouch.htm
属性魔术	http://www.attributemagic.com/attributemagic‐free.html

已使用互联网浏览器查找、安装或搜索了应用程序或类似程序。如果在设备上发现了任何类似的应用程序，则该设备上的所有日期和时间都值得怀疑。

兰德尔·卡尔斯特特关于Windows操作系统上的时间戳检测提供了较为出色的演示文稿，其中讨论了时间戳篡改问题（http://www.slideshare.net/ctin/time-stamp-analysis-of-windows-systems）。

诱饵存储设备

可启动操作系统，无论是从光盘、数字视频光盘还是优盘启动，都是避免产生本地电子证据的有效方法。通过从包含操作系统的外部介质启动任何计算机，可以不触及宿主机硬盘，从而防止在主机硬盘上产生任何证据。表7.2列出了几种专门设计用于在线隐私和通信的可启动操作系统，这些系统内置了可隐藏IP地址和MAC地址的应用程序，同时还提供安全加密。

确定嫌疑人是否使用了可启动操作系统而非主机操作系统的一种方法是直接查看计算机的使用情况。如果主机驱动器上没有使用记录，或使用极少，或长时间没有使用

示意图3

一段时间内，使用可启动操作系统是可行的。一种有效的反取证方法是：在日常计算机使用中使用主机操作系统，而在进行在线通信时使用可启动操作系统。

可启动操作系统使用的另一个迹象是通过发送时间来比对电子邮件等电子证据。

如果嫌疑人的计算机在电子邮件发送的时间段内没有使用痕迹，则可能是该计算机并未被使用，或者可能使用了可启动操作系统。如果主机驱动器上没有任何活动记录，另一种方法是将计算机的MAC地址与证据电子邮件中的MAC地址进行核对。MAC地址是通信设备（如网络适配器）的唯一标识符。由于MAC地址与硬件唯一对应，并且是电子邮件头的一部分，因此如果计算机从外部存储介质启动，邮件中记录的MAC地址仍会是所用计算机的MAC地址。

不过，MAC地址可以被伪造（修改），而某些可启动操作系统（例如Tails）使得伪造MAC地址变得相当容易。

另一种用于隐藏计算机MAC地址的反取证方法是使用外部网络设备，例如图7.5中所示的USB WiFi设备。通过插入一个

可启动操作系统	官方链接
Tails：健忘隐匿实时系统	https://tails.boum.org/
Ubuntu隐私Remix	https://www.privacy‐cd.org/en
Jondonym	https://anonymous‐proxy‐servers.net/index.html
IprediaOS	https://geti2p.net/en/
Privatix	http://www.mandalka.name/privatix/index.html.en
自由Linux	http://dee.su/liberte

外置WiFi适配器并通过该适配器连接互联网时，MAC地址将是适配器的地址，而不是所使用设备的地址。计算机证据扣押还应包括如图7.5中所示的外置适配器，以解决案件中的MAC地址冲突问题。如果没有获取所有具有MAC地址的网络设备，则与不同MAC地址的通信可能看似来自不同的设备，而实际上可能只是同一台设备使用了不同的网络适配器。

嫌疑人的路由器日志文件可能包含所使用设备的信息，特别是当嫌疑人为家庭网络中的MAC过滤输入了所有设备的MAC地址时。

便携应用

便携应用程序是指无需安装即可运行的程序。便携应用可以从外部存储设备（如U盘）运行，对所使用的计算机留下的痕迹极少。作为一种反取证方法，便携应用在将大部分证据保留在外部设备而非宿主系统方面是有效的，但这仍会使外部设备成为证据来源。

最受欢迎的便携应用网站之一是http://www.portableapps.com。数十种便携应用程序以免费软件的形式提供，几乎涵盖了计算机使用所需的各种软件。

从文字处理到互联网视频聊天，整套应用程序都可以存储在一个U盘上。其中一款可免费使用的便携应用是Pidgin Portable。Pidgin Portable是一款支持美国在线、雅虎、MSN、ICQ和Jabber网络的即时通讯客户端。最引人注目的是，Pidgin Portable可以使用私密通信（OTR）消息服务，这是一种加密消息服务，提供加密和身份验证以及可否认的身份验证。换句话说，OTR会对用户之间的聊天记录进行加密，并在不使用公钥的情况下对用户进行身份验证。由于聊天消息经过加密，只有用户才能读取消息，因为即使服务提供商也无法绕过该加密。

在便携设备上使用OTR通信可避免严重的取证难题，因为聊天记录经过加密（从而无法被拦截），且数据不会存储在设备上（因此无法恢复）。在这种情况下，除了获得法律授权以使用键盘记录器、屏幕捕获程序或摄像头来记录嫌疑人在计算机上的操作外，几乎没有其他解决方案。带有便携应用程序的便携设备价格低廉、易于隐藏且易于销毁。图7.6展示了一张带USB适配器的16GB MicroSD卡示例。该MicroSD卡不仅可以存储诸如Pidgin Portable之类的便携应用程序工具套件，还可能包含

示意图4
整个操作系统，例如Tails。其微型尺寸使其易于销毁，甚至可以通过吞咽或藏在口中实现。

大小并不重要！

小包装可以容纳大东西

存储介质的容量并不一定与介质的物理尺寸相关。一张32 GB MicroSD卡可以容纳整个操作系统和数十万份文件，却小到足以隐藏在书架上一本书的页面之间。在搜索电子证据时，不要忽视微小的事物。你的整个检验工作可能就依赖于一个比邮票还小的存储设备！

隐藏操作系统

最有效的防范被查获定罪证据或可能的定罪证据的方法是合理否认。隐藏卷、隐藏操作系统和隐藏文件均可为持有此类证据的人提供合理否认的可能。其中，隐藏操作系统是一种极为有效的合理否认手段。我们已经讨论过可以从外部存储介质（如USB设备）运行的操作系统，但这类系统并不属于隐藏操作系统。

一个操作系统可以隐藏在拥有第二个（非隐藏）操作系统的主机计算机上。以这种方式配置的计算机不需要带有操作系统的外部存储设备，因为它可以使用主机驱动器同时存放隐藏操作系统和非隐藏操作系统。

一个例子是VeraCrypt（https://veracrypt.codeplex.com）。VeraCrypt允许用户使用全盘加密，正如所讨论的，这已经是一种使数据无法访问的有效方法。

然而，VeraCrypt还提供了在隐藏卷内安装另一个操作系统的功能。

示意图5

启动时，用户可以选择两组登录凭据之一来启动两个系统中的一个。其中一个系统（诱饵）不包含任何证据，也不用于涉及犯罪活动的任何通信。另一个系统（隐藏）则用于所有需要保密的通信，例如网络聊天、视频会议、电子邮件等。图7.7展示了硬盘驱动器上隐藏和诱饵操作系统的示意图。隐藏卷显示为随机数据，而不是操作系统，因此可免于取证分析。

对抗此类反取证行为在没有嫌疑人配合或无法获取隐藏操作系统凭据的情况下极为困难。遇到任何采用全盘加密的系统时，都应警惕可能存在隐藏操作系统，尤其是当所使用的方法支持隐藏操作系统时（例如VeraCrypt）。对可见操作系统进行取证分析可能无法获得证据，但该设备仍可能提供相关信息，例如计算机的物理MAC地址。至少通过MAC地址，有可能将从其他地方查获的电子邮件通信与此计算机关联起来。

虚拟机

虚拟机就是在主机操作系统上运行的客户机操作系统。客户机（或宿主机）可以是 Windows、Linux、DOS、Solaris、OpenSolaris 等。在客户机系统内发生的大多数活动都保留在客户机系统内部，而在客户机系统外部（宿主系统上）发生的大多数活动则保留在客户机系统之外。一台宿主系统上可以同时运行多个不同的虚拟机。

作为一种反取证方法，宿主系统用于运行虚拟（客户）系统。可以通过聊天、电子邮件或其他方式进行通信

示意图6 .)

虚拟系统不会将数据泄露到宿主机中。通过这种方式，当宿主机连接到互联网时，嫌疑人可以使用虚拟系统发送电子邮件，然后将虚拟系统恢复到初始干净状态，使活动不留任何痕迹。或者可以根据需要随时从宿主机上彻底清除整个虚拟机，并重新安装新的虚拟系统。

虚拟系统也可以存储在外部设备上，并可在多台计算机上使用，而不会在任何计算机上留下证据，除非连接和使用了虚拟机软件（例如 VirtualBox；http://www.virtualbox.org）。由于文件可以在宿主机和客户机操作系统之间相互复制，因此如果嫌疑人选择将数据保存在宿主系统上，则在虚拟机上创建的证据可能出现在宿主机上。相反，证据文件也可能先在宿主系统上创建，再复制到客户机系统中，通过客户机系统发送电子邮件，以试图避免通信记录留在宿主机上（尽管文件创建的痕迹仍会保留在宿主系统上）。

对抗虚拟机的使用存在多个问题。由于虚拟机是宿主机上的客户机，检验人员不仅需要访问宿主机，还需要访问客户机。由于任何文件夹或文件都可以被加密，因此在不使用时，虚拟机的文件或文件夹结构也可能被加密，这使得实际上无法访问该虚拟机进行检验。如果虚拟机位于外部存储介质上，则该介质也可能被加密，或者因存储设备被隐藏（例如MicroSD卡）而无法获取。

虚拟机的另一个棘手问题在于，每个包含一个或多个虚拟机的设备所增加的容量。由于每个虚拟机都是一个完整的操作系统，因此每个系统可能都需要进行完整的取证分析，或者至少进行初步筛查，以确定是否存在证据。鉴于如今的计算机配备的是TB级硬盘，一台计算机硬盘上可能存有数十个虚拟机，其中任何一个或全部都可能被用于隐蔽手段。图7.8展示了四个包含Linux和 Windows操作系统的虚拟机示例。黛安·巴雷特撰写了一本专门针对虚拟取证的书籍（Virtual Forensics: A Digital Forensics Investigator’s Guide to Virtual Environments，第1版），该书在进行虚拟机分析之前应作为必读书目。

虚拟机数量不仅可能给分析时间带来问题，而且每个虚拟机还可能包含多个快照。虚拟机快照正是如此：在特定时间点的操作系统状态的快照。快照可以定期保存，并且计算机用户可以根据需要将虚拟机恢复到之前的快照状态。虚拟机的数量以及每个虚拟机的快照数量可能导致查找证据所需的时间超出可用时间。

示意图7

一个案例。图7.9 显示了一个虚拟机，其中保存了一个快照，其当前状态与该快照不同。可以在任何时间根据需要多次保存新快照，且可在操作系统的任意状态下进行。黛安·巴雷特和格雷格·基珀撰写了一本由Syngress出版社出版的书籍，名为虚拟化与取证：数字调查人员的虚拟环境指南，其中包含有关此主题的大量信息。

示意图8

监控网络流量是一种捕获虚拟机通信的方法，但在尝试恢复历史数据时，这不是一种典型的调查方法。与更复杂的反取证方法一样，针对将虚拟机用作反取证方法的对策可能需要法律授权，以采用键盘记录器等额外的数据捕获方法。

防范反取证的规划

调查高科技罪犯时，应假设其使用的设备上采用了反取证方法。在全盘加密广泛使用之前，调查人员通常通过直接拔掉计算机设备背后的电源来关闭计算机系统，并对内部硬盘驱动器创建取证镜像。如今，若对对手采用这种方法，很可能会成为最佳的反取证方法，因为关闭计算机会导致全盘加密将数据锁定，而这恰恰是由于调查人员断电所致。

从实际角度来看，全盘加密的安全性足以在没有解密密钥的情况下防止进行法证分析。此外，内存数据包含易失性证据，例如密码、聊天记录以及调查所需的重要信息，这些信息应在计算机关闭前及时获取。仅基于上述原因，最佳应对措施就是在设备开机且未受保护时对其进行保护，特别是当整个调查依赖于单一设备时。

嘿，看那边！

有时候，低技术胜过高技术

在针对“丝绸之路”创始人罗斯·乌布里希特的美利坚合众国诉罗斯·威廉·乌布里希特案，2014年卧底行动中，执法人员在公共图书馆内于乌布里希特身后制造了一场 distraction 以转移其对未加密笔记本电脑的注意力。一旦乌布里希特将视线从笔记本电脑移开去查看干扰情况时，一名便衣探员立即夺走了他的笔记本电脑，从而阻止了乌布里希特将其关机或锁定。一次简单的抢夺行动成功规避了全盘加密防护（Greenberg，2015）。

为了应对某些反取证方法，采用低技术手段可能是击败数据擦除和加密等高科技防护措施的最佳或唯一方式。优秀的审讯人员可以说服嫌疑人配合、认罪或承认犯罪行为，并交出密码。但更好的方法是不依赖嫌疑人的配合而获取证据，例如在乌尔布里希特案中，其配合无法保证且不可预知。获取未加密设备与获取加密设备之间的区别，等同于掌握全部证据与毫无证据之间的差别。

扣押计算机设备与扣押其他类型的证据物品不同。如果无法访问数据，那么加密的计算机作为证据实际上是无用的。例如在丝绸之路案件中，乌尔布里希特的笔记本电脑被扣押

当未加密时，执行搜查令的操作必须考虑相同类型的干扰以及在设备正在使用或未加密时扣押设备的方法。在公共场所执行此类操作肯定比在私人住宅中更容易。如果无法将计算机从嫌疑人身边移开，则可能需要将正在操作键盘的嫌疑人强行从计算机旁拉开。例如，在图书馆、酒店大堂或工作场所的台式计算机上就可能发生这种情况。即便如此，也必须努力确保该计算机当前处于未加密且已解锁状态，可以通过查看显示器，或监控嫌疑人在聊天论坛或其他可从其他位置在线查看的在线活动来确认。

在硬盘上查找通信记录

基本主机取证可以找到几乎所有可恢复和可查看的内容。无论是使用完整的取证套件，还是使用特定应用程序来针对特定类型的数据，只要数据存在，就可以部分或全部恢复。在被扣押的计算机系统中查找通信内容时，最流行的取证应用程序之一是磁力互联网证据查找器（IEF）。IEF 是一种自动化软件工具，旨在从存储设备（包括移动设备）中提取特定数据，并将其转换为可用于分析和报告的格式。图7.10 显示了 IEF 的截图，其中可以选择多种即时消息应用程序进行分析。作为一种分诊工具，IEF 能够快速且方便地针对多种类型的消息服务，表现出色。

示意图9

锁定的计算机

考虑到对高科技犯罪嫌疑人使用了全盘加密，且整个案件都依赖于在未加密状态下扣押计算机，因此成功在未加密状态下扣押系统的机会窗口非常小。

即使计算机正在被嫌疑人使用（例如在图书馆中），嫌疑人察觉到监控并采取加密或锁定屏幕等反取证手段的可能性也很大。计算机系统可以在不到一秒钟内通过一次或一系列按键操作被锁定，在这一秒之内，聊天记录、电子邮件及其他电子证据中的全部通信内容都可能被锁定、加密或清除。

正如调查人员通过预测嫌疑人的反应来评估自身行动一样，情况也反过来成立：嫌疑人会根据他们对调查人员行为的预判来规划自己的应对措施。一些常见的例子包括：事先设计好一系列按键操作以锁定或关闭计算机（甚至直接按下电源按钮），或者在使用DVD等介质运行操作系统（如Tails）时，当面临执法部门 confrontation 时弹出操作系统光盘。弹出CD/DVD上的操作系统通常会导致系统崩溃或自动关机，某些系统还能在关机过程中清除内存数据，以防止这些数据作为证据被获取。关键在于，无论嫌疑人是否承诺稍后提供密码，都绝不能让其触碰计算机或鼠标。

反取证方法用于加密或锁定计算机，但在扣押过程中也可能被调查人员无意中触发。一个例子是未安装电池的笔记本电脑。由于电池续航时间较长，用户通常会在不连接电源线的情况下使用笔记本电脑。然而，如果嫌疑人已移除笔记本电脑的电池，且在调查人员进行扣押时电源线也被断开，则无论有意还是无意，调查人员在拔掉电源时实际上已经触发了全盘加密。

另一种反取证方法或锁定计算机的方式是使用USB设备，该设备必须连接到计算机才能解锁计算机。其中一种设备是Predator（http://www.predator-usb.com/predator/en/ index.php）。Predator是一种 USB访问控制设备，一旦从计算机上拔出，就会导致计算机屏幕被锁定。类似的USB设备可以在被移除时自动关闭计算机或开始擦除硬盘驱动器。这种情况可能是嫌疑人故意触发的，也可能是调查人员无意中造成的。例如，将嫌疑人从计算机旁拉开以防止其进行按键操作时，可能会意外拔出连接在嫌疑人身上、通过绳子或电线固定的USB设备，而该设备正是嫌疑人用作安全措施的装置。在罗斯·乌布里希特的案件中，如果他在图书馆时使用了USB保护设备，那么执法人员 seizing 他的笔记本电脑时，可能无意中触发了反取证机制，前提是当时存在这样的USB设备并被拔出。