国外电子数据取证工具评估方法

国外研究多关注于数字取证实现方法的可行性，较少关注取证工具的使用。由于取证调查者较少有可用的资源去评价他们的取证工具，故对数字取证工具的评估和有效性的研究也不是很多。目前存在的电子数据取证工具评估有Carrer's的抽象层次模型方法、NIST的取证工具评估标准方法、黑盒测试法。^[23]

(一)Carrer's的抽象层次模型方法

Carrer最早提出了取证的识别和分析阶段的数字取证工具评估模型和方法，该模型中提出了抽象层误差和软件实现中bugs产生的误差，如图7-1所示。

图7-1　Carrer's的抽象层次模型

该模型和方法，对于软件测试者而言，测试者需要拥有取证工具内部的专门取证知识，尤其是面对开源代码，缺少文档的取证工具的评估，测试者很难进行取证工具的评估，而且评估程序耗时且复杂，测试者需要比取证调查者更多的技能知识，该方法不适于大规模的软件测评。(www.xing528.com)

(二)NIST的取证工具评估标准方法

美国国家标准和技术研究所(National Institute of Standards and Technology，NIST)实施的电子数据鉴定工具检测计划(Computer Forensic Tool Testing，CFTT)，其目标就是通过开发通用的工具规范(Specification)、检测过程、检测标准、检测硬件和检测软件，以建立用于检测电子数据取证软件的方法。CFTT的评测结果主要用于:取证工具研发厂商对取证工具功能做改进，便于取证用户选取合适的取证工具，便于相关部门了解工具性能。美国司法实践中对于经过了CFTT检测的取证工具一般就可以认定其取证工具是可靠的，其取证工具所获得的电子数据是有效的。

(三)黑盒测试法

黑盒检测法由Wilsdom提出，黑盒法不需要访问源代码，具备软件开发实现的知识。黑盒测试法分为6个步骤:取证工具软件获取、取证工具软件功能识别、测试案例和参考集选取、可接受结果范围、执行测试和评估测试结果、测试结果发布。该方法使得任何人都可以成为电子数据取证工具的测试者，对被测取证工具的功能执行做实际检测，同时测试能适应不同的环境，并且测试结果接近真实。黑盒法理论上可行，但实践上从未实行过。

(四)其他评估方法

Bechett依据ISO/IEC17025:2005(CNAS-CL01)《检测和校准实验室能力认可准则》对认可的定义说明，提出评估取证软件应该提供工具的可靠性信息，并提出了一种参考集的数字取证工具的认可和验证模型方法。^[24]佛罗里达大学国家法庭科学中心和工程技术系的J.Philip Craiger在其“Law Enforcement and Digital Evidence”一文中提出了源代码查看法(Code Walkthrough)、比较确认法(Compare Validation)。源代码查看法要求工具厂商提供其产品的源代码，由源代码测试确定其所能实现的预定功能。比较确认法是在缺乏已经经过验证的参考数据的情况下，将类似功能或类型的工具进行比较检验的方法。^[25]