(2)利用模糊指纹搜索
基于模糊指纹的搜索技术是通过智能的方法发现和检测破坏性代码,或者其他程序或文件。这种方法通常利用智能的方法确定可能存在的破坏性代码或者破坏性代码的可能类型,并对可能的破坏性代码再通过人工分析方法进一步确定是否属于破坏性程序及属于哪一种类型的破坏性代码。前者分析通常可采用一种模糊检测的方法进行发现,例如使用“相似度”确定特定软件与已知的破坏性代码相似情况。很多破坏性代码在设计时便加入了一些防止病毒检测、改变自身内容等反侦查技术代码,难以通过数字指纹或者特征码等方法进行检测;而且,在案件调查中,获取的破坏性代码有时候并不完整,只有部分证据信息被保留。犯罪嫌疑人的刻意混淆或者破坏、计算机系统的处理异常、数据的覆盖等各种复杂因素均能影响破坏性代码数据的完整性。即使破坏性代码信息不完整,它与原始证据信息依然是同源的。通过模糊检测的方法可以计算待比较信息的相似度,根据相似度大小可以确定证据信息是否同源。因而,智能方法也是一种常见的发现和检测破坏性代码的方式。
基于一般数字指纹的搜索技术准确率高,能否搜索出相关数字证据主要依赖检测所用指纹库信息的全面性。但如果数字证据内容被部分破坏,则无法通过该技术搜索出数字证据;而基于模糊数字指纹的搜索技术则具有较好的适应性,但既要保证搜索的效率又要确保搜索的准确度是一项难题,也是目前研究的新热点问题。
4.基于痕迹信息的搜索技术
如果事先无法确定检索数字证据的任何预测信息,则首先必须使用人工的方法寻找数字证据的相关线索,否则难以在包含海量数据的现场中准确获取案件事实相关证据。在很多涉及虚拟现场的犯罪中,犯罪所涉及的一系列行为会在现场留下很多相关信息,即数字痕迹,有些数字痕迹信息可能会不能直接证明案件事实,但可以用作发现案件事实的线索。即数字证据可能与现场中其它数据(痕迹信息)存在某种联系。根据这些数据(痕迹信息)发现和定位数字证据的方法称为基于痕迹信息的搜索技术。
基于痕迹信息的搜索技术与上述几种搜索技术不同,它所使用的预测信息与数字证据内容或属性无关。使用该技术能够直接确定数字证据的位置,或者虽不能确定位置但能够发现与数字证据内容或属性有关的预测信息。
由于在犯罪现场中痕迹信息的类型和内容千差万别,设计功能良好的基于痕迹信息搜索的软件十分不易。根据取证人员提供的有限信息,软件应能够自动在计算机或网络中自动寻找痕迹信息,并根据痕迹信息内容,自动搜索或者定位数字证据。例如,在Windows操作系统中,软件应能够对注册表、临时文件、内存信息进行自动分析,并自动将这些异常痕迹信息所指向的内容进行固定向关数字证据。
