呂　濤

摘要：隨著信息技術(shù)的發(fā)展，計算機與網(wǎng)絡(luò)已經(jīng)成為了社會、政治、經(jīng)濟、文化生活的重要組成部分，而與此相關(guān)的各種爭議和計算機犯罪現(xiàn)象同樣也日益突出。

計算機取證技術(shù)已經(jīng)成為了解決爭議和打擊計算機犯罪的重要手段。

關(guān)鍵字： 計算機 取證技術(shù) 犯罪

一、基本概述

我們首先了解一些什么是計算機取證，計算機取證(Computer Forensics)是一種綜合性技術(shù)，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟件、硬件技術(shù)，按照符合法律規(guī)范的方式，對能夠為法庭接受的、足夠可靠的和有說服性的存在于計算機、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識別、獲取、傳輸、保存、分析和提交認證的過程。它是計算機科學、法學和刑事偵查學的交叉學科。取證的目的是找出入侵者(或入侵的機器)，并解釋入侵的過程。取證的實質(zhì)是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。

伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，計算機犯罪成為21世紀一種主要的犯罪形態(tài)。世界主要工業(yè)國家中每年因計算機犯罪所造成的經(jīng)濟損失，遠遠超過了普通經(jīng)濟犯罪的經(jīng)濟損失。由于計算機犯罪中的絕大部分為網(wǎng)絡(luò)犯罪，所以網(wǎng)絡(luò)偵查技術(shù)在偵查工作中越來越顯示出重要的作用，網(wǎng)絡(luò)偵查技術(shù)與刑事技術(shù)和行動技術(shù)成為現(xiàn)階段偵查破案的三大支柱。

網(wǎng)絡(luò)偵查技術(shù)與刑事技術(shù)和行動技術(shù)一樣可以為偵查提供線索，為破案提供依據(jù)。廣大刑偵人員了解或掌握一定的網(wǎng)偵技術(shù)能夠為偵查破案帶來新的思路，或是打下良好的多部門、多警種協(xié)同作戰(zhàn)的思想基礎(chǔ)，進而能夠在案件偵辦過程中及時調(diào)整工作思路，充分利用并創(chuàng)造性地利用好三大支柱形成的合力破案。

二、國內(nèi)基本情況

我國的網(wǎng)絡(luò)犯罪立法從初期的以計算機為中心建立安全保護制度，安全管理和技術(shù)防護為主體的安全保護制度發(fā)展到現(xiàn)階段的強調(diào)重視計算機信息網(wǎng)絡(luò)安全的保護和建立網(wǎng)絡(luò)行為規(guī)范層面。未來，各國網(wǎng)絡(luò)犯罪立法將會向程序法和實體法協(xié)調(diào)一致，共同構(gòu)建打擊網(wǎng)絡(luò)犯罪國際司法合作體系方向發(fā)展。值得注意的是，我國至今還未加入任何打擊網(wǎng)絡(luò)犯罪的國際公約。

目前我國只有少數(shù)法律涉及電子證據(jù)問題，規(guī)定電子證據(jù)收集、保全、認證等方面內(nèi)容的主要是有關(guān)地方法規(guī)、部門規(guī)章和司法解釋，法律效力較弱，且規(guī)定的內(nèi)容零散不成體系，沒有建立完備、系統(tǒng)、可操作性強、具有較強法律效力的電子證據(jù)法律制度。在我國的法律體系中，電子證據(jù)立法多表現(xiàn)為取證規(guī)則，電子證據(jù)認證規(guī)則規(guī)定的較少。電子證據(jù)取證規(guī)則的內(nèi)容，主體是有關(guān)電子證據(jù)的特別調(diào)查措施，其中，最重要的是電子證據(jù)的快速保護、命令提交、搜查扣押和實時收集。

三、國外狀況

國際上在計算機取證方而已有比較深入的研究，并且有相當數(shù)量的少公司推出了相關(guān)的應(yīng)用產(chǎn)品。美國已建成和計劃建設(shè)的計算機取證實驗室共開對外，用來做恐怖活動追蹤和計算機犯罪調(diào)查。美國計算機犯罪取證先驅(qū)Dan Farmer和Wietse Venema編寫了能夠有助于取證檢查的一些工具，還有一些進行數(shù)據(jù)恢復的軟件能輔助進行取證檢查。

四、現(xiàn)在狀況及相關(guān)工具介紹

我國近兩年才涉足計算機取證方而的研究，已開發(fā)了多種計算機取證專用產(chǎn)品和有助于取證的入侵審計系統(tǒng)和數(shù)據(jù)恢復工具，但對計算機上的所有數(shù)據(jù)進行總體分析的工具還小多，尤其是缺乏反跟蹤能力。

國外已經(jīng)開發(fā)出的取證工具很多，最著名的是TCT和Encase .TCT可以對運行著的主機的活動進行分析，并捕獲目前的狀態(tài)信息。Encase是得到美國政府承認的計算機取證產(chǎn)品，是一個完全集成的基于Windows界面的取證應(yīng)用程序，其功能包括:數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、建立案例、建立證據(jù)文件探存案例等。

現(xiàn)有的取證工具中硬件產(chǎn)品主要集中在硬盤數(shù)據(jù)克隆、硬盤數(shù)據(jù)擦除、取證接口和網(wǎng)絡(luò)監(jiān)控器方面，軟件產(chǎn)品主要是文件內(nèi)容瀏覽(文本、圖片等)、反刪除、文本搜索(關(guān)鍵字)、驅(qū)動器影像(按位復制全部存儲空間)等工具。

目前網(wǎng)絡(luò)犯罪研究的取證工具沒有統(tǒng)一的標準和規(guī)范，軟件的使用者很難對這些工具的有效性和可靠性進行比較。BrianCarrier提出使用開放源碼的方式來保證取證工具可靠性。通過眾多研究人員對源碼的檢驗，取證工具的可靠性可以得到相當程度的保證。但是取證工具的開發(fā)者的所有權(quán)和收益權(quán)如何體現(xiàn)又成為了問題。

五、未來發(fā)展趨勢

在未來幾年中，中國將超越美國成為世界上上網(wǎng)人口數(shù)量最多的國家，網(wǎng)絡(luò)犯罪無論從數(shù)量上還是危害程度上都會有突飛猛進的變化。鑒于當前我國網(wǎng)絡(luò)犯罪多發(fā)這種形勢，以及未來網(wǎng)絡(luò)犯罪數(shù)量爆炸式增長這種趨勢，在教學過程中融入網(wǎng)偵技術(shù)和網(wǎng)絡(luò)犯罪電子取證的相關(guān)內(nèi)容是非常必要的，也是符合打擊犯罪的現(xiàn)實需要的。

犯罪現(xiàn)場勘查學作為我院本科生的平臺課程，作為培養(yǎng)本科生最基本的證據(jù)意識的一門專業(yè)基礎(chǔ)課程，在教學和訓練過程中把網(wǎng)偵技術(shù)和網(wǎng)絡(luò)犯罪電子取證的相關(guān)內(nèi)容融入進來，可以完善本科生偵查取證方面的有關(guān)知識，全面提升其證據(jù)意識，前瞻性地為他們的未來工作打下一個良好的基礎(chǔ)，可有效地拓寬他們在偵查工作中的思路，更好的為公安工作服務(wù)。