国外电子数据取证工具的评估方法-凯发娱乐
国外研究多关注于数字取证实现方法的可行性,较少关注取证工具的使用。由于取证调查者较少有可用的资源去评价他们的取证工具,故对数字取证工具的评估和有效性的研究也不是很多。目前存在的电子数据取证工具评估有carrer's的抽象层次模型方法、nist的取证工具评估标准方法、黑盒测试法。[23]
(一)carrer's的抽象层次模型方法
carrer最早提出了取证的识别和分析阶段的数字取证工具评估模型和方法,该模型中提出了抽象层误差和软件实现中bugs产生的误差,如图7-1所示。
图7-1 carrer's的抽象层次模型
该模型和方法,对于软件测试者而言,测试者需要拥有取证工具内部的专门取证知识,尤其是面对开源代码,缺少文档的取证工具的评估,测试者很难进行取证工具的评估,而且评估程序耗时且复杂,测试者需要比取证调查者更多的技能知识,该方法不适于大规模的软件测评。(https://www.daowen.com)
(二)nist的取证工具评估标准方法
美国国家标准和技术研究所(national institute of standards and technology,nist)实施的电子数据鉴定工具检测计划(computer forensic tool testing,cftt),其目标就是通过开发的工具规范(specification)、检测过程、检测标准、检测硬件和检测软件,以建立用于检测电子数据取证软件的方法。cftt的评测结果主要用于:取证工具研发厂商对取证工具功能做改进,便于取证用户选取合适的取证工具,便于相关部门了解工具性能。美国司法实践中对于经过了cftt检测的取证工具一般就可以认定其取证工具是可靠的,其取证工具所获得的电子数据是有效的。
(三)黑盒测试法
黑盒检测法由wilsdom提出,黑盒法不需要访问源代码,具备软件开发实现的知识。黑盒测试法分为6个步骤:取证工具软件获取、取证工具软件功能识别、测试案例和参考集选取、可接受结果范围、执行测试和评估测试结果、测试结果发布。该方法使得任何人都可以成为电子数据取证工具的测试者,对被测取证工具的功能执行做实际检测,同时测试能适应不同的环境,并且测试结果接近真实。黑盒法理论上可行,但实践上从未实行过。
(四)其他评估方法
bechett依据iso/iec17025:2005(cnas-cl01)《检测和校准实验室能力认可准则》对认可的定义说明,提出评估取证软件应该提供工具的可靠性信息,并提出了一种参考集的数字取证工具的认可和验证模型方法。[24]佛罗里达大学国家法庭科学中心和工程技术系的j.philip craiger在其“law enforcement and digital evidence”一文中提出了源代码查看法(code walkthrough)、比较确认法(compare validation)。源代码查看法要求工具厂商提供其产品的源代码,由源代码测试确定其所能实现的预定功能。比较确认法是在缺乏已经经过验证的参考数据的情况下,将类似功能或类型的工具进行比较检验的方法。[25]