信息鉴识

科技工作者之家 2020-11-17

信息鉴识(Information Forensics)是一种网络行为,利用所有已知的或未知的信息渠道来辩证一段网络信息的真伪,不论这个渠道是实体的还是虚拟的。互联网是一个自由的信息载体(Information Container),任何人都可以在网络上创建信息。问题是在这样一个自由的地方,当一个信息的出现令人对其真确性产生疑惑时,便不能以“多数人相信的便是真相”来决定它的真伪。网络上大部分的转载体(Quoting Unit)转述的内容,都可能来自同一个 / 数个指定的信息源(Information Source)。假如这个信息源内的信息已经被污染(Polluted),多数论便可能埋没真相。

简介信息鉴识便是设法查找跟该信息相关的各潜在信息源,借此了解该信息的生产者与信息的基本接收对象(Who)、信息产生的动机(Why)、信息产生的时间(When)、该信息最初的信息源(Initial Information Source)(Where)、传递的方式(How)与及对接收者以至现实社会 / 虚拟社区之间产生什么影响(What / Which)。

信息鉴识便是这样的一门科学。而在同一件事物在网络上出现两个或者更多个不同的所谓“真相”时,也可透过信息鉴识来搜集其他相关的数据和信息。

很多人会把信息鉴识与“计算机鉴识”混为一谈,其实是两种不同的东西。电脑鉴识的概念源自电脑 / 网络保安与及刑事侦查,主要是用作调查电脑犯罪时,查找相关证据或是用来证明损害的证据。由于信息技术发达,虚拟世界里的电子纪录很容易便可遭修改。电脑鉴识也用来创建证物保护方式,确保鉴识前后的电子证据没有遭窜改,令经鉴识分析后的证据更可信及具有法律地位。

信息载体与信息源信息载体

信息本身不是实体,只是消息、情报、指令、数据和信号中所包含的内容,必须依靠某种媒介进行传递。信息载体的演变,推动着人类信息活动的发展。从某种意义上说,信号革命就是信息载体的革命。

信息载体(Information carrier)是在信息传播中携带信息的媒介,是信息赖以附载的物质基础,即用于记录、传输、积累和保存信息的实体。信息载体包括以能源和介质为特征,运用声波、光波、电波传递信息的无形载体和以实物形态记录为特征,运用纸张、胶卷、胶片、磁带、磁盘传递和贮存信息的有形载体。

信息源

产生信息或信息序列的源,信息源有四大特征:①范围广大,物质世界中任何运动着的事物都是信息源;②信息源既有连续信息源,也有离散信息源,而且,物质世界中各个信息源彼此之间没有直接联系,相互之间不能组成一个信息源;③自然界物质运动是一种无意识的自发的运动过程,运动过程中产生的信息是主动发送,不管有无接收者,总是自发地、盲目地发送;④自然信息源发送的信息相对紊乱一些,有序程度比较低。以上指在没有接受者或没有人参与的情况下的特征。如果一旦有人参与,则信息源就会因接受者的不同需要,而各具特征1。

计算机鉴识计算机鉴识简单来说,系指利用科技与严谨的检查程序,自电脑系统或其它类似的存储媒体中,查找罪行相关物证或间接物证。对于电脑鉴识专家来说,必需要能够了解嫌疑犯世故的程度,懂得对方在信息专业方面的认知多寡,如果我们不清楚嫌疑犯的程度时,先将对方视为专家,并假设对方已经为有电脑鉴识之可能,做好事前准备。

待鉴识的已引导设备是否要关机以方便运送,或是保持引导状态以避免变更原始数据,如同一把两面刃的刀一样,各有优劣。没有关机的电脑,是不方便运送的,此外还有嫌疑犯启动程序以销毁重要数据的问题;但另一方面,关闭电脑后,诸如存储器内部可能存有的重要密码等易消失的数据,随着关机便灰飞烟灭,其中的取决是一门临场判断的学问。电脑鉴识与传统鉴识间,存在有许多差异点。巨观来看,传统鉴识着眼于鉴定与个化。两者的鉴识过程中,均在于将犯罪现场的各个项目与物质,分析后再予以分类,甚至鉴识出其原由(如红色的汁液,可能被分类为血或果汁等,甚至找出所有人。)。相对于传统鉴识,电脑鉴识会着重于找出物证,并予以分析,这样的过程相较于传统鉴识来说类似犯罪现场调查。

以太网中是基于广播方式发送数据的,也就是说,所有的实体信号都要经过我的机器,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。这实际上就是我们 Sniffer 工作的基本原理让网卡接收一切他所能接收的数据。

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学

科技工作者之家

科技工作者之家APP是专注科技人才,知识分享与人才交流的服务平台。