計(jì)算機(jī)取證專業(yè)及相關(guān)課程建設(shè)

朱殷晨，陳 適

（武漢理工大學(xué)信號(hào)傳輸與處理實(shí)驗(yàn)室 武漢430070）

1 前言

盡管計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)一直飛速發(fā)展，但是安全性仍然是一個(gè)挑戰(zhàn)性難題。計(jì)算機(jī)犯罪案例層出不窮，給社會(huì)經(jīng)濟(jì)造成極大損失。要將犯罪人員繩之以法，計(jì)算機(jī)取證技術(shù)應(yīng)運(yùn)而生。所謂計(jì)算機(jī)取證是指對(duì)存儲(chǔ)在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備中潛在的電子證據(jù)識(shí)別、收集、保護(hù)、檢查和分析以及法庭出示的過程。計(jì)算機(jī)取證不單單是計(jì)算機(jī)或網(wǎng)絡(luò)的技術(shù)問題，還涉及到法律、道德規(guī)范等問題，屬于計(jì)算機(jī)科學(xué)和法學(xué)領(lǐng)域的交叉學(xué)科，取證工作需要計(jì)算機(jī)專家、執(zhí)法官員和律師等多方面人員的共同協(xié)作，哪一環(huán)節(jié)出現(xiàn)差錯(cuò)的話，都會(huì)導(dǎo)致取得的電子證據(jù)失去效力，影響最終裁判執(zhí)法公正。因此對(duì)于計(jì)算機(jī)取證人員、法官、律師和法律執(zhí)法機(jī)構(gòu)都需要采取相應(yīng)的培訓(xùn)，制定完整的課程，確保計(jì)算機(jī)取證技術(shù)的發(fā)展。

2 計(jì)算機(jī)取證破案舉例

2003年11月14日，甘肅省破獲首例利用郵政儲(chǔ)蓄專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程金融盜竊的案件。10月5日13時(shí)12分，一名黑客將目光瞄準(zhǔn)了郵政儲(chǔ)蓄，利用網(wǎng)絡(luò)竊取了83萬(wàn)余元。省公安廳成立專案組兵分兩路，一方面在省、市郵政局業(yè)務(wù)領(lǐng)導(dǎo)和計(jì)算機(jī)專家的協(xié)助下，從技術(shù)的角度分析黑客作案的手段以及入侵的路徑；另一方面，使用傳統(tǒng)的刑偵方法，大范圍調(diào)查取證。經(jīng)過大量網(wǎng)絡(luò)數(shù)據(jù)資料的分析，發(fā)現(xiàn)作案人身份登錄線索，又暗查發(fā)現(xiàn)，其辦公桌上有一條電纜線連接在了不遠(yuǎn)處的郵政儲(chǔ)蓄專用網(wǎng)絡(luò)上。專案組確認(rèn)了這起金融盜竊案的主謀，最終，將其繩之以法。

世界上第一例有案可查的涉計(jì)算機(jī)犯罪案例于1958年發(fā)生于美國(guó)的硅谷，但是直到1966年才被發(fā)現(xiàn)。中國(guó)第一例涉及計(jì)算機(jī)的犯罪（利用計(jì)算機(jī)貪污）發(fā)生于1986年，而被破獲的第一例純粹的計(jì)算機(jī)犯罪（該案為制造計(jì)算機(jī)病毒案）則是發(fā)生在1996年11月2日。

從首例計(jì)算機(jī)犯罪被發(fā)現(xiàn)至今，涉及計(jì)算機(jī)的犯罪無論從犯罪類型還是發(fā)案率來看都在逐年大幅度上升，方法和類型成倍增加，逐漸開始由以計(jì)算機(jī)為犯罪工具的犯罪向以計(jì)算機(jī)信息系統(tǒng)為犯罪對(duì)象的犯罪發(fā)展，并呈愈演愈烈之勢(shì)，而后者無論是在犯罪的社會(huì)危害性還是犯罪后果的嚴(yán)重性等方面都遠(yuǎn)遠(yuǎn)大于前者。正如國(guó)外有的犯罪學(xué)家所言，“未來信息化社會(huì)犯罪的形式將主要是計(jì)算機(jī)犯罪”，計(jì)算機(jī)犯罪“也將是未來國(guó)際恐怖活動(dòng)的一種主要手段”。在網(wǎng)絡(luò)犯罪案件中，很大一部分是因?yàn)槭褂谜甙踩庾R(shí)淡薄造成的。在后期的計(jì)算機(jī)取證工作中，也有很大一部分由于取證不規(guī)范而導(dǎo)致電子證據(jù)的損壞或失效，可以說目前我國(guó)對(duì)計(jì)算機(jī)取證技術(shù)的研究和掌握情況均屬薄弱，因此，加大對(duì)計(jì)算機(jī)取證專業(yè)及相關(guān)課程建設(shè)及其重要。

3 專業(yè)和課程建設(shè)

我國(guó)開展計(jì)算機(jī)取證的研究時(shí)間不長(zhǎng)，對(duì)于計(jì)算機(jī)取證的研究與實(shí)踐尚處于起步階段。著力開發(fā)管理信息系統(tǒng)安全課程與計(jì)算機(jī)取證課程是目前計(jì)算機(jī)取證領(lǐng)域教育工作的重中之重。

根據(jù)數(shù)字取證研究工作組(DFRWS)提出的框架，計(jì)算機(jī)取證技術(shù)的研究?jī)?nèi)容包括6大方面：證據(jù)識(shí)別技術(shù)、證據(jù)保全技術(shù)、證據(jù)收集技術(shù)、證據(jù)檢查技術(shù)、證據(jù)分析技術(shù)和證據(jù)呈堂技術(shù)。

（1）證據(jù)識(shí)別技術(shù)

是指從被調(diào)查計(jì)算機(jī)的內(nèi)部和外部設(shè)備及網(wǎng)絡(luò)中的海量數(shù)據(jù)信息中找出與被調(diào)查案件相關(guān)數(shù)據(jù)的過程。進(jìn)行證據(jù)識(shí)別的數(shù)據(jù)主要來源于計(jì)算機(jī)主機(jī)系統(tǒng)、計(jì)算機(jī)外部設(shè)備和網(wǎng)絡(luò)方面。證據(jù)識(shí)別中可能用到的具體技術(shù)包括：數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)恢(修)復(fù)技術(shù)、數(shù)據(jù)解密技術(shù)、端口及漏洞掃描技術(shù)、對(duì)比搜索技術(shù)、數(shù)據(jù)挖掘技術(shù)、日至分析技術(shù)等。

媒體宣傳是把雙刃劍,尤其是隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,各類新媒體宣傳層出不窮。為避免一些不良媒體為博關(guān)注惡意激化醫(yī)患關(guān)系,政府應(yīng)該加強(qiáng)日常衛(wèi)生工作宣傳,主動(dòng)發(fā)布權(quán)威的衛(wèi)生健康政策解讀,科普國(guó)民健康政策、健康生活方式和優(yōu)生優(yōu)育知識(shí)。對(duì)于醫(yī)改方面的新政策進(jìn)行有效的宣傳,對(duì)醫(yī)事服務(wù)費(fèi)、藥費(fèi)等內(nèi)容向群眾重點(diǎn)宣傳,引導(dǎo)群眾調(diào)整心理預(yù)期,提高群眾獲得感和滿意度,避免群眾將情緒發(fā)泄在醫(yī)護(hù)人員身上,同時(shí)也加強(qiáng)群眾對(duì)醫(yī)護(hù)人員的尊重,和諧醫(yī)患關(guān)系,營(yíng)造愛醫(yī)敬醫(yī)的社會(huì)氛圍。

（2）證據(jù)收集技術(shù)

是指取證人員通過合法的途徑，采用技術(shù)手段捕獲和搜集與計(jì)算機(jī)犯罪或與被調(diào)查事件有關(guān)的數(shù)據(jù)信息的過程。該過程中可能用到的技術(shù)包括：數(shù)據(jù)復(fù)制技術(shù)、掃描技術(shù)、數(shù)據(jù)恢(修)復(fù)技術(shù)、數(shù)據(jù)截取技術(shù)、“陷阱”取證技術(shù)等。

（3）證據(jù)保全技術(shù)

證據(jù)保全是指采取有效措施保護(hù)恒子證據(jù)的完整性、原始性及真實(shí)性，可以劃分為3個(gè)階段：證據(jù)分析前保全、證據(jù)分析過程中的保全和分析后對(duì)證據(jù)。證據(jù)保全中可能使用到的具體技術(shù)包括：數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)隱藏技術(shù)、數(shù)字摘要技術(shù)、數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)、數(shù)字審計(jì)技術(shù)等的保全。

（4）證據(jù)檢查技術(shù)

證據(jù)檢查是對(duì)收集來的數(shù)據(jù)進(jìn)行檢查并從中識(shí)別和提取可以作為證據(jù)的數(shù)據(jù)的過程。另外，在取證過程結(jié)束時(shí)，取證人員通過回顧檢查的方式檢查取證過程可能存在的漏洞時(shí)往往涉及到證據(jù)檢查技術(shù)的運(yùn)用。證據(jù)檢查中可能用到的具體技術(shù)有數(shù)據(jù)挖掘技術(shù)、對(duì)比搜索技術(shù)、掃描技術(shù)、數(shù)據(jù)解密技術(shù)等。

（5）證據(jù)分析技術(shù)

利用證據(jù)收集技術(shù)所獲取的涉案數(shù)據(jù)還是最原始的形式，為揭示這些數(shù)據(jù)與案件的聯(lián)系就必須對(duì)這些數(shù)據(jù)進(jìn)行檢查和分析，證明這些數(shù)據(jù)就是攻擊或者犯罪的證據(jù)，從而為證明案件真相提供證據(jù)支持。證據(jù)分析類技術(shù)包含檢查類技術(shù)和分析技術(shù)。用于證據(jù)分析的技術(shù)包括：對(duì)比分析技術(shù)、日志分析技術(shù)、數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)解密技術(shù)、攻擊源追蹤技術(shù)等。

（6）證據(jù)呈堂技術(shù)

數(shù)據(jù)呈堂的主要任務(wù)是：計(jì)算機(jī)犯罪的相關(guān)情況記錄的歸檔處理；取證工作整個(gè)過程中證據(jù)的完整性情況證明；病毒評(píng)估分析報(bào)告、文件種類、取證工具許可證書、專家對(duì)電子證據(jù)的分析結(jié)果的歸檔處理和呈交；其他需要說明和解釋事項(xiàng)的處理等。

與計(jì)算機(jī)取證研究相比，對(duì)反取證技術(shù)的研究相對(duì)較少。對(duì)于計(jì)算機(jī)取證人員來說，研究反取證技術(shù)意義非常重大，一方面可以了解入侵者有哪些常用手段用來掩蓋甚至擦除入侵痕跡：另一方面可以在了解這些手段的基礎(chǔ)上，開發(fā)出更加有效、實(shí)用的計(jì)算機(jī)取證工具，從而加大對(duì)計(jì)算機(jī)犯罪的打擊力度，保證信息系統(tǒng)的安全性。

計(jì)算機(jī)反取證技術(shù)，簡(jiǎn)而言之是招采用數(shù)據(jù)加密、數(shù)據(jù)刪除、數(shù)據(jù)隱藏等計(jì)算機(jī)技術(shù)刪除、隱藏、加密或毀杯涉案電子證據(jù)，抹除作案痕跡的技術(shù)和方法的總稱。當(dāng)前已有許多反取證軟件如：數(shù)據(jù)刪除類的Powerful Cookies、ultrashredder、SystemShied、Wywz、Esast-Tec Eeaser、Wipelnfo等；數(shù)據(jù)加密隱藏類的加密金剛鎖、Hide in picture、Steganos Security Suite等都可以徹底刪除用戶所有的使用痕跡和系統(tǒng)的日志文件記錄，因而想要獲取此類證據(jù)變得愈來愈難。

常用的計(jì)算機(jī)反取證技術(shù)(以XP系統(tǒng)為例)有數(shù)據(jù)隱藏、數(shù)據(jù)刪除、數(shù)據(jù)加密以及隱寫術(shù)、改變系統(tǒng)環(huán)境等方法，需要開展課程進(jìn)行應(yīng)對(duì)策略的研究。

綜上，對(duì)以上過程中常用的計(jì)算機(jī)取證技術(shù)都需要開展相應(yīng)的課程進(jìn)行學(xué)習(xí)，學(xué)習(xí)過程可包括講課、國(guó)內(nèi)專家講座、閱讀案例、布置社會(huì)作業(yè)、問題解決會(huì)議和書面測(cè)試等多種形式。計(jì)算機(jī)取證相關(guān)的法律、道德、操作系統(tǒng)安全、安全協(xié)議和實(shí)踐、網(wǎng)絡(luò)建模取證工具、寫作專家證人報(bào)告格式、近年來的入侵檢測(cè)方法和反應(yīng)、認(rèn)證方法、訪問控制、風(fēng)險(xiǎn)評(píng)估等，都將是計(jì)算機(jī)取證專業(yè)研究的不同方向。

4 建議

對(duì)于學(xué)校開展計(jì)算機(jī)取證專業(yè)技術(shù)的學(xué)習(xí)外，結(jié)合實(shí)際情況，本文對(duì)學(xué)生的社會(huì)學(xué)習(xí)提出一些建議。

（1）課程材料開發(fā)與共享

隨著計(jì)算機(jī)取證研究工作的不斷深入和改善，計(jì)算機(jī)取證技術(shù)將向智能化、專業(yè)化和自動(dòng)化。需要聯(lián)合計(jì)算機(jī)取證各個(gè)技術(shù)領(lǐng)域的研究工作在國(guó)內(nèi)處于領(lǐng)先地位的相關(guān)院校和單位，對(duì)課程材料不斷進(jìn)行開發(fā)與共享，補(bǔ)充國(guó)內(nèi)外最前沿的理論和技術(shù)。

（2）實(shí)際和虛擬結(jié)合

研究現(xiàn)實(shí)生活中的犯罪案件，不僅能讓學(xué)生更好地理解信息安全,也將更有效幫助法律知識(shí)的傳播。參與的學(xué)生在這些現(xiàn)實(shí)生活的案例研究將會(huì)增加熱情，學(xué)習(xí)傳統(tǒng)取證的方法。同時(shí)結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)世界中的案例或虛擬的案例課題，讓參與的學(xué)生試驗(yàn)、分析，發(fā)現(xiàn)其他相似的數(shù)學(xué)模型、案例和應(yīng)用方法，找到解決問題的方法。

（3）建立學(xué)校實(shí)驗(yàn)室

需要建立計(jì)算機(jī)取證技術(shù)的專業(yè)實(shí)驗(yàn)室，構(gòu)建網(wǎng)絡(luò)環(huán)境，教會(huì)學(xué)生從網(wǎng)絡(luò)中數(shù)據(jù)包中識(shí)別入侵?jǐn)?shù)據(jù)，利用網(wǎng)絡(luò)協(xié)議分析儀捕捉并分析，加大對(duì)學(xué)生的實(shí)踐培養(yǎng)。這些實(shí)驗(yàn)室將幫助學(xué)生了解如何學(xué)習(xí)和運(yùn)用計(jì)算機(jī)取證的方法。

（4）聯(lián)合法律機(jī)構(gòu)

對(duì)于國(guó)內(nèi)計(jì)算機(jī)取證領(lǐng)域來說，還有許多法律問題尚待解決。目前國(guó)內(nèi)學(xué)術(shù)界在對(duì)計(jì)算機(jī)取證的研究上，法學(xué)專家和計(jì)算機(jī)專家還沒有形成很好的溝通協(xié)作，各自局限在本專業(yè)領(lǐng)域內(nèi)進(jìn)行研究。計(jì)算機(jī)取證需要各領(lǐng)域的專家合作，促進(jìn)計(jì)算機(jī)取證理論的形成和完善。學(xué)生們需要機(jī)會(huì)與律師或法律執(zhí)行機(jī)構(gòu)溝通和咨詢，在技術(shù)和法律相結(jié)合的一體化的知識(shí)汲取過程中，我們將會(huì)發(fā)現(xiàn)，計(jì)算機(jī)取證的深入研究還有更多更寬廣的課題。

（5）加大軟件的開發(fā)

目前國(guó)內(nèi)還沒有經(jīng)過法庭和認(rèn)證機(jī)構(gòu)認(rèn)證的電子證據(jù)取證工具，所利用的取證工具大多只是從網(wǎng)上下載的一些工具軟件。當(dāng)然，這些問題都是暫時(shí)的，在我國(guó)加大信息技術(shù)前進(jìn)的步伐下，計(jì)算機(jī)取證技術(shù)的研究必將取得豐碩成果。

5 結(jié)束語(yǔ)

計(jì)算機(jī)取證課程的重要性是毋庸置疑的，完善計(jì)算機(jī)取證專業(yè)和課程建設(shè)將使計(jì)算機(jī)取證技術(shù)在未來打擊計(jì)算機(jī)犯罪中發(fā)揮越來越重要的作用。

1 Phillips Nelson,Enfinger Steuart.Guide to computer forensics and investigations.Course Technology,2005

2 Paul Cretaro.Lab manual for security guide to network security fundamentals.Course Technology,2005

3 樊崇義.證據(jù)法學(xué).北京：法律出版社，2001