准确度是衡量基于字符串搜索技术定位数字证据好坏的关键因素之一。准确度高低除了与使用的算法有关外,还与字符串条件组合的情况有关。通常情况下,使用基于字符串搜索技术常搜索出大量的与案件无关的数据信息,使得进一步定位与案件相关的数字证据变得比较困难。
2.基于特征值的搜索技术
基于特征码的搜索技术也是一种常用的搜索技术,与基于字符串搜索不同的是,该方法中特征码信息来源于文件内容,且匹配条件简单,一般进行相同或相似的匹配,通常速度快、准确性高,常用来搜索破坏性代码证据,例如,在计算机病毒检测中,当出现新病毒时,将从病毒程序中寻找并提取一部分能够代表该病毒的唯一的二进制代码,作为该病毒的特征值,并将该病毒特征值添加到病毒特征码数据库中。如果需要检测病毒,只需要与病毒特征码数据库中特征码逐一比较,用以判断某程序是否属于已知病毒。使用特征码检测破坏性代码(注:一般只能检测计算机病毒、蠕虫和木马,不能检测其他破坏性代码),只能检测已知的破坏性代码,不能检测未知的破坏性代码。而且对于某些擅于伪装的代码难以发现或检测。
基于特征码的搜索技术效率高、准确率高,但应用范围受到较大限制,一般只用来检测已知的破坏性程序代码,对于其它数字证据无法进行识别和定位。
3.基于文件指纹的搜索技术
前述两种搜索技术所使用的预测信息直接与文件(或数据)的属性或内容有关,由于预测信息与文件内容无一一对应的关系,检索出的数据信息中常常包含无用的信息。使用文件指纹能够较好地改善这种情形。基于文件指纹的检索技术使用能够代表文件内容的指纹直接通过指纹的比较来判断所获取的文件是否为所需要搜索的内容。表示文件指纹的方法非常多,但大多使用二进制字符串来表示,大体可分为两种不同的形式:一般指纹和模糊指纹。
一般指纹所包含的二进制字符串与文件内容无任何关联,二进制字符串中少量字符的差异并不表明文件内容只存在少量差异。而模糊指纹所包含的二进制字符串内容与文件内容具有一定的相关性,模糊指纹相似的文件内容,在内容上也存在相似的特点。
(1)利用一般指纹搜索
一般指纹通常使用单向加密技术实现。单向加密与双向加密不同,它只对数据进行加密,不能通过一定的算法或工具将其还原成明文。单向加密算法可用于不需要对信息进行解密或者读取的场合。当用来比较数据传输或处理前后的两消息内容是否完全一致,不需要或不宜知道信息内容时,非常实用。一种常见的单向加密方法是采用Hash函数加密。常见的单向Hash函数有MD2、MD4、MD5、SHA-1、SHA256。在数字证据搜索中,常采用MD5、SHA-1、SHA256。它们既可用于证据检索,也可以用于保护证据的完整性。基于一般数字指纹搜索技术经常用来检测恶意代码或者己知内容的嫌疑文件。由于数字指纹匹配是基于文件内容的,一些通过更改文件名,修改文件扩展名等反侦查措施行为也无法逃过它的检测。在检测恶意代码时,数字指纹匹配适合检测以文件形式存在的内容完整的破坏性代码,在采用此方法进行检验时,需要先将已知的破坏性文件指纹存入到破坏性程序(或文件)数据库中,同时将已知的安全文件的指纹存入到安全程序和文件数据库中。通过比较可以判定存储介质中的特定文件是否包含破坏性代码。其主要工作原理如图1所示: 在有些犯罪案件调查中,数据量极其巨大,当采用基于字符串的搜索技术检索数字证据时,检索出的信息非常多,而与案件相关的证据信息非常少,这样会大大增加人工分析的工作量。而采用基于一般数字指纹搜索数字证据时,数据内容非常少的变化结果也是不同的,很多与案件相关的信息不能检索出来。因此,需要采用更加智能的方法来检索数据。在案件调查中,常见的相关证据可能因为犯罪嫌疑人的刻意混淆或者破坏、计算机系统的处理异常、数据的覆盖等各种复杂因素影响,只有部分的证据信息被保留。此时,新的证据信息与原始证据信息依然是同源的。因此,需要采用更加智能的方法进行检索。智能检索的方法是计算机取证的前沿课题,存在很多方法和技术。在计算机取证中常采用基于模糊指纹的检测方法。
