?數字取證是以各類電子設備為調查對象，通過收集和分析設備數據來獲取電子證據，從而協助企業、司法機關解決調查案件的一門學科。據歐盟2019年的公文顯示，大約85%的刑事調查案件中都涉及電子證據，因此，如何科學、有效地進行數字取證對現代法律體系地建設與完善起著至關重要的作用。然而，互聯網行業的蓬勃發展給當前數字取證領域帶來了新的挑戰：一方面，隨著云計算、物聯網、區塊鏈等新興數字技術的出現，處理多樣化的電子數據來源的能力變得尤為重要；另一方面，反取證技術不斷對抗發展，大幅增加了證據提取和分析的難度。

數字取證是取證科學的一個分支，專注于對電子數據的處理和分析，是發現、獲取、分析和報告可疑電子證據的過程。數字取證通常遵循以下基本流程（如圖1所示）：首先，取證調查人員搜尋、扣押可能涉及犯罪案件的電子設備；隨后，通過對存儲在設備中的電子數據進行收集、檢查和分析，取證調查人員可以獲得相關的電子證據，并以此重新構建犯罪案件的整個過程；最后，取證調查人員將調查過程和可疑電子證據整理為一份完整的報告并提交給檢察人員。

圖1 電子數據取證流程

電子證據是數字取證的基礎，與取證流程密切相關。電子證據是指在計算機、智能手機等數字設備種形成的，能夠反映設備運行狀態、活動等事實的各類電子數據，如系統日志、網絡流量、音視頻文件、電子郵件等。電子證據的來源豐富多樣，早期電子證據主要是從計算機、智能手機等設備中收集，然而隨著新型犯罪事件的頻繁發生，數字取證領域增加了大量新的數據來源，如云計算、物聯網、軟件定義網絡等，給數字取證領域提出了新的挑戰。

除電子證據新來源外，新型犯罪事件中的電子設備種類繁多，各類技術手段日新月異，增加了證據提取和分析的難度。在證據提取階段，易失性數據的存在常導致有效證據的丟失，設備物理損壞和全盤加密技術的使用使得證據提取的流程更加繁瑣。在證據分析階段，多樣的數據來源和不斷發展的反取證技術，如數據偽造、數據隱寫、全盤加密等，向取證人員提出了新的技術考驗。

本文將聚焦數字取證領域面臨的新挑戰：第1部分主要介紹多種電子數據新來源；第2部分分析當前數字取證領域獲取電子證據的困難；第3部分介紹取證人員在證據分析階段面臨的難題；第4部分介紹其他非技術難題。

1.  電子證據新來源

在新型犯罪事件中，犯罪者對使用新興技術的各類產品發起攻擊，并留下多種數據痕跡。本節將介紹云計算、物聯網、軟件定義網絡等新型技術常面臨的威脅，以及數字取證在此類犯罪事件中關注的電子證據類型。

1.1. 云計算（Cloud）

云計算作為當前蓬勃發展的新興技術之一，正逐步取代傳統的本機計算方式，以更快速、靈活的方式為用戶提供計算機資源交付服務。隨著云服務需求的不斷增加，云已經發展為一個巨大的數據倉庫，攻擊者通過挖掘云中的信息獲得云用戶的私人信息并發起勒索。除此之外，攻擊者也利用云計算的能力，發起諸如分布式拒絕服務之類的攻擊，并且借助云來隱藏行為。在云取證中，取證人員通常是提取虛擬機快照、網絡日志、客戶端數據等電子證據進行分析，以便將犯罪者繩之以法。

1.2. 物聯網(Internet of Things, IoT)

智能家居、醫療物聯網器械、無人機、車聯網等物聯網設備空前普及，為個人、企業和政府提供了諸多便利，同時也成為了攻擊者的目標。攻擊者借助物聯網設備發動病毒攻擊、大規模監視、拒絕服務攻擊和物聯網網絡中斷等攻擊。為了調查這些攻擊事件，物聯網取證應運而生并不斷發展。在物聯網取證中，與安全事件相關的電子證據來源十分廣泛，其主要來源是存儲在家用電器、傳感器、汽車、無人機等物聯網設備中的數據，如系統日志、臨時緩存等。除此之外，取證調查人員也可以通過收集和分析源自路由器、交換機等網絡設備的數據或者物聯網設備所使用的云服務中的數據，來發現相關電子證據，重現網絡攻擊的過程。

1.3. 軟件定義網絡 (Software?Defined?Network, SDN)

SDN是一種新的網絡架構，它將數據和控制層分離，使網絡控制變得開放可編程。SDN網絡包含基礎設施層、控制層和應用層3層架構，攻擊者通常使用拒絕服務攻擊對基礎設施層進行攻擊，或是偽造數據包使控制層內存過載，或者利用北向接口的漏洞創建惡意SDN策略來控制整個網絡。在SDN的攻擊事件中，取證調查人員需要分析大量的數據，如應用程序日志、接口通信記錄、主機配置文件、可疑鏈路、惡意數據包、網絡流量表等。

1.4. 圖形處理單元（Graphics Processing Unit, GPU）

GPU被廣泛應用于圖形處理和大規模計算工作，顯著提高了許多應用程序的運行速度，如比特幣挖礦、金融和科學計算、密碼破解等。然而，近年來有研究發現，一些惡意軟件可以利用GPU執行惡意操作，如竊取本機敏感信息、解包并執行惡意代碼等，并且可以有效規避惡意軟件檢測和分析工具。雖然通過分析系統內存中的信息通常可以檢測到惡意軟件正在借助GPU執行操作，但是，在某些條件下惡意軟件的執行不會在系統內存中留下痕跡，因此取證調查人員仍需要單獨獲取和分析GPU內部的數據。

圖2 電子數據取證的數據來源

1.5. 智慧城市（Smart City）

近年來，智慧城市技術被廣泛利用來應對不斷發展的現代城市所面臨的難以處理的問題。例如，MK Smart是一項在英國開展的智慧城市項目，該項目中有一個名為MK Data Hub的中心基礎設施。MK Data Hub數據中心包含來自不同來源的801個數據集，包括能源消耗數據、交通數據、衛星數據、社會和經濟數據以及社交媒體或應用程序的眾包數據。這些數據是智慧城市項目的核心，自然地引起了攻擊者的關注，長期以來該數據中心的物理安全和網絡安全一直都面臨著巨大的威脅。在智能城市項目的取證中，取證調查人員需要分析的是城市內全部數據，這些數據來源廣泛且多樣，因此數據的復雜性極高，嚴重阻礙了電子數字取證的實施。

1.6. 工業控制系統(Industrial Control System, ICS)

工業控制系統是一個廣泛的術語，用以指代任何用于控制關鍵基礎設施（如電網、核設施和天然氣管道）的物理設備，主要包括監控和數據采集（Supervisory Control and Data Acquisition, SCADA）、分布式控制系統（Distributed Control System, DCS）、可編程邏輯控制器（Programmable Logic Controller, PLC）、遠程終端單元（Remote Terminal Unit, RTU）等。除信息竊取和勒索攻擊等網絡犯罪相關問題外，ICS還極易受到一些物理攻擊事件，如化工廠火災或電網系統爆炸等。傳統的數字取證方法主要是對ICS中的計算機進行取證，但是對于SCADA、PLC、RTU等系統的復雜網絡數據、日志文件、設備運行數據、活動日志等還需要更深入的研究。

1.7. 區塊鏈（Blockchain）

近些年，有多項研究將區塊鏈應用到其他領域的電子數據取證中，提出了區塊鏈輔助的取證方法，保證電子證據鏈的安全性和可追溯性。但是，區塊鏈領域本身的取證尚未得到廣泛的研究。研究人員對區塊鏈技術中可能發生的攻擊方法進行了研究，提出了將比特幣和其他加密貨幣錢包地址映射到用戶信息的方法，并且驗證了針對分布式P2P存儲網絡的攻擊方式。當前，區塊鏈領域的電子數據取證主要是從內存中提取比特幣密鑰、擴展公鑰、錢包地址、網絡協議和交易歷史等數據，并對這些數據進行調查和分析。

2. 證據提取新難題

在數字取證流程中，取證調查人員首先需要提取設備中的電子證據，然而，證據提取的過程并不總是一帆風順的。數據易失性、設備物理損壞和設備全加密等情況和技術給電子證據的提取帶來了巨大的挑戰。

2.1. 數據易失性

數據易失性指的是待取證設備中的數據可能由于某些原因而丟失。例如，計算機的內存可以包含與系統使用相關的證據，如運行中的進程列表、網絡連接或驅動程序的加密密鑰等等，但是這些數據不會永久地存儲在系統中，當系統關閉或拔掉電源時，這些數據會完全丟失。物聯網設備上的所有可用信息都可以在本地記錄，不過由于本地存儲通常有限，記錄的傳感器值/執行器狀態數一直保持在某個閾值下。一旦數據量超過閾值，數據便會被覆蓋，從而可能導致丟失重要證據。

2.2. 設備物理損壞

物理損壞是指由于事故、自然災害或者其他原因使得物體表面、結構受到破壞的現象，例如智能手機屏幕破碎、硬盤信道損壞、液體腐蝕等。取證調查人員在進行涉案設備收集時，經常會遇到設備損壞的情況。對于遭受物理損壞的設備，取證調查人員首先會盡快挽回損失，比如將浸水設備進行清洗、干燥后反組裝，查看設備是否可以恢復正常狀態。如果設備損壞嚴重、無法恢復原狀，取證調查人員會通過更換設備損壞部件或者提取損壞設備的有效部件的方式盡可能多地提取電子數據。

圖3 提取設備部件

2.3. 設備全加密

全盤加密 (Full Disk Encryption, FDE) 是一種使用對稱密鑰加密（通常是 Advanced Encryption Standard, AES）在塊級別對設備上的所有用戶數據進行加密的方式，常見的工具有BitLocker 和VeraCrypt。企業和用戶經常使用全盤加密的方式保護私人數據，卻也使得電子數字取證任務更具有挑戰性。在沒有加密密鑰的情況下，很難從完全加密的設備中恢復數據。即使目前取證人員可以利用磁盤加密工具中的恢復選項從磁盤中提取數據，但由于恢復技術還不夠成熟，數據提取也將十分耗時，且無法確保提取成功。

3. 證據分析新難題

在證據分析階段，取證人員需要處理大量來自不同數據來源的電子證據，再加上諸如數據偽造、隱寫和文件擦除等反取證技術的干擾，使得證據分析的過程異常困難。

圖4 證據分析

3.1. 多源分析和關聯

隨著提取的電子數據的數量和種類越來越多，取證調查人員需要關聯處理不同來源的電子數據來分析和還原案件的經過，例如計算機、服務器、路由器、防火墻或其他物聯網設備等，這些電子數據具有異構性和語義多樣性等特點。即使是同種來源的數據也有可能會有不同標準的數據格式，例如在云服務中不同的提供商都有各自的日志記錄標準。復雜的、有針對性的網絡攻擊將其行為隱藏在多源異構的數據中，只有將所有數據作為一個整體進行關聯分析，才可以還原一個完整的攻擊過程。

3.2.  數據偽造

數據偽造是攻擊者用于迷惑和誤導取證調查人員常用技術。攻擊者通過修改系統日志、各類記錄文件、用戶文件、圖像音視頻等多媒體文件來掩蓋犯罪事實。取證調查人員通過檢測和識別這些痕跡來發現攻擊者的偽造行為。而攻擊者面對多樣化的取證方法，不斷改進現有的數據偽造技術，或者提出新型數據偽造方法，以逃避取證。例如，在圖像偽造領域，研究人員已經提出了基于圖像篡改痕跡、基于統計特征和基于深度學習的檢測方法，但是攻擊者仍然可以使用中值濾波、指紋復制和基于對抗樣本的偽造技術逃避檢測。

3.3. 數據隱寫

隱寫是數據隱藏的常用方式，允許攻擊者將任何數據（如網絡罪犯將病毒、垃圾郵件和惡意鏈接嵌入數據）插入到可靠的對象中。在當今的數字世界，互聯網上的任何東西或一切都可能是秘密信息的掩護，最常見的是硬盤空閑空間和數字圖像、音頻、視頻等多媒體文件，除此之外，攻擊者也可以使用冗余通信機制將數據隱藏到網絡流量中，或者利用網絡游戲、虛擬世界等新的隱藏場所。由于設備的存儲容量普遍很大，檢查是否含有隱藏數據需要耗費大量的時間，所以取證調查人員通常情況下不會直接提取隱藏數據，而是檢查系統是否安裝和使用了任何已知的數據隱藏工具或程序。另外，提取隱藏數據仍然是一項具有挑戰性的任務，據了解，目前還沒有有效的工具可以檢測和提取隱藏在已刪除或移動的工具、已卸載的軟件、網絡流量中的電子數據，至于隱藏在虛擬世界中的數據則是更加難以追蹤。

3.4. 文件擦除

文件擦除是在文件中填充隨機數據以刪除文件的過程。目前存在許多公開的文件擦除工具可在所有平臺上免費使用，幫助用戶清理計算機殘留垃圾或徹底刪除用戶文件以保護其隱私。一旦文件擦除工具被攻擊者用來銷毀犯罪證據，將使電子數據的分析過程變得十分困難。取證調查人員只能通過設備中是否存在數據擦除工具、文件系統中是否存在殘留、注冊表中是否存在記錄等證據信息來判斷用戶是否執行了擦除操作，但是擦除工具往往會對數據區域使用不同的擦除策略擦除多次，導致數據恢復軟件和工具失效。

4. 其他非技術新難題

4.1. 效率問題

隨著數字化的不斷發展，電子數據量呈指數型增長。與過去案件中較少的設備數和較小的數據量相比，如今的案件設備數量和種類大幅增多，取證調查人員需要處理并分析龐大的數據量，這是一項非常耗時的任務。以往使用單個工作站處理案件的取證方式限制了案件處理的效率，因此為了縮短案件分析的時間，同時部署多臺計算機同步進行取證成為一個可選之舉。但是，在多臺設備部署的取證系統中，取證設備是否需要人工操作以及設備間如何同步取證進度和關聯電子證據等問題仍然需要進一步探討。

4.2. 隱私問題

用戶普遍將個人信息存儲在常用設備中，或者通過在線社交網絡或社交媒體網站帶入網絡空間，這也導致了在電子數據取證的過程中，數據收集和分析都有可能會侵犯到用戶的隱私。此外，由于云平臺的共享性，云取證采集的日志文件中可能會包含同一平臺的其他使用者的信息，嚴重威脅著與案件無關的用戶的隱私。為了保證用戶數據安全、提升用戶信任，數字取證的流程仍然需要進一步完善和優化，研究人員也應考慮將更多的安全技術應用到電子數據取證領域。

4.3. 資源問題

電子數據數據取證收集的證據大部分屬于系統最底層的數據，數據的復雜度較高，非技術人員很難理解和分析。理想情況下，取證調查人員需要擁有良好的知識儲備和較強的技術能力，了解各類設備硬件和軟件以及網絡的相關內容，熟悉并掌握多領域的、最新的技術知識。然而目前對電子數據取證從業人員的專業培訓課程和進修學習課程仍未得到廣泛普及。

參考文獻

[1] Yaqoob I, Hashem I A T, Ahmed A, et al. Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges[J]. Future Generation Computer Systems, 2019, 92: 265-275.

[2] Khan S, Gani A, Wahab A W A, et al. Software-defined network forensics: Motivation, potential locations, requirements, and challenges[J]. IEEE Network, 2016, 30(6): 6-13.

[3] Okai E, Feng X, Sant P. Security and Forensics Challenges to The MK Smart Project[C]//2019 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation (SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI). IEEE, 2019: 1666-1670.

[4] Balzarotti D, Di Pietro R, Villani A. The impact of GPU-assisted malware on memory forensics: A case study[J]. Digital Investigation, 2015, 14: S16-S24.

[5] Fukami A, Nishimura K. Forensic analysis of water damaged mobile devices[J]. Digital Investigation, 2019, 29: S71-S79.

[6] Hoelz B, Maues M. Anti-Forensic Threat Modeling[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2017: 169-183.

[7] AlHarbi R, AlZahrani A, Bhat W A. Forensic analysis of anti‐forensic file‐wiping tools on Windows[J]. Journal of Forensic Sciences, 2022, 67(2): 562-587.?