計(jì)算機(jī)犯罪取證中應(yīng)注意的細(xì)節(jié)與問(wèn)題

王 帥

（華東政法大學(xué)信息科學(xué)與技術(shù)系 上海201620）

1 前言

當(dāng)今計(jì)算機(jī)科學(xué)技術(shù)的迅猛發(fā)展、網(wǎng)絡(luò)系統(tǒng)的深入應(yīng)用以及信息網(wǎng)絡(luò)的社會(huì)化與國(guó)際化，使得人類(lèi)社會(huì)的生活方式發(fā)生了天翻地覆的變化。網(wǎng)絡(luò)化、數(shù)字化的應(yīng)用領(lǐng)域也越發(fā)廣泛，我們對(duì)它的依賴(lài)性也越發(fā)強(qiáng)烈，然而“網(wǎng)絡(luò)社會(huì)”越是發(fā)達(dá)，它遭受攻擊的可能性與危險(xiǎn)性也就越大，計(jì)算機(jī)犯罪就是網(wǎng)絡(luò)信息安全的嚴(yán)重威脅之一。計(jì)算機(jī)犯罪取證（computer forensics）技術(shù)便是對(duì)計(jì)算機(jī)犯罪進(jìn)行有力打擊以及震懾計(jì)算機(jī)罪犯的有效科學(xué)技術(shù)之一，同時(shí)也對(duì)網(wǎng)絡(luò)信息的安全提供了一定的保障。掌握了這項(xiàng)技術(shù)，就如同經(jīng)驗(yàn)豐富的外科手術(shù)醫(yī)生得到了一把鋒利應(yīng)手的手術(shù)刀一般，對(duì)其清理“毒瘤”如虎添翼。

2 計(jì)算機(jī)犯罪取證及其相關(guān)技術(shù)

2.1 計(jì)算機(jī)犯罪案例

我國(guó)第一例計(jì)算機(jī)犯罪出現(xiàn)在1986年7月22日，港商李某前往深圳市人民銀行和平路支行取款，計(jì)算機(jī)顯示其存款少了2萬(wàn)元人民幣。兩個(gè)月后，迎春路支行也發(fā)生了類(lèi)似情況，某駐深圳辦事處的趙某存入銀行的3萬(wàn)元港幣不翼而飛，通過(guò)偵查發(fā)現(xiàn)上述兩筆存款均被同一犯罪分子利用計(jì)算機(jī)技術(shù)偽造存折和隱形印鑒詐騙而去。從此之后，原來(lái)在報(bào)道中看到的在國(guó)外才有可能出現(xiàn)的計(jì)算機(jī)犯罪現(xiàn)象在國(guó)內(nèi)也頻頻發(fā)生。截至1990年年底，我國(guó)有案可查的計(jì)算機(jī)犯罪案件就有130多起。

我國(guó)的第一例計(jì)算機(jī)病毒出現(xiàn)在1989年3月。當(dāng)時(shí)我國(guó)西南某鋁廠計(jì)算中心的7臺(tái)計(jì)算機(jī)發(fā)現(xiàn)被感染小球計(jì)算機(jī)病毒。接著，《計(jì)算機(jī)世界報(bào)》對(duì)此作了詳盡的報(bào)道。至此之后，計(jì)算機(jī)病毒便在全國(guó)迅速蔓延。現(xiàn)今，絕大多數(shù)的計(jì)算機(jī)用戶，特別是互聯(lián)網(wǎng)用戶都經(jīng)受過(guò)計(jì)算機(jī)病毒的侵襲。1989年，我國(guó)出現(xiàn)了由國(guó)內(nèi)計(jì)算機(jī)人員自己制造的病毒在計(jì)算機(jī)應(yīng)用中蔓延，但直到1996年，我國(guó)才破獲第一例計(jì)算機(jī)病毒制造案件。由此可見(jiàn)，絕大多數(shù)計(jì)算機(jī)病毒案件仍然未被破獲。

上述兩個(gè)案例中，從各個(gè)角度反映出計(jì)算機(jī)犯罪的高智商性、作案動(dòng)機(jī)簡(jiǎn)單化、實(shí)施犯罪容易、較強(qiáng)的隱蔽性以及巨大的危害性等不同于普通犯罪的特性，所以我們必須針對(duì)這些特性給計(jì)算機(jī)犯罪下一個(gè)較為完整的定義。那么，計(jì)算機(jī)犯罪又是怎樣被定義的呢？而我們又將怎樣應(yīng)對(duì)越來(lái)越嚴(yán)峻的計(jì)算機(jī)犯罪形式呢？接下來(lái)，我們簡(jiǎn)單探討一下。

2.2 計(jì)算機(jī)犯罪的定義

對(duì)于計(jì)算機(jī)犯罪（computer crime），我國(guó)公安部計(jì)算機(jī)管理監(jiān)察司給出的定義是：所謂計(jì)算機(jī)犯罪，就是在信息活動(dòng)領(lǐng)域中，利用計(jì)算機(jī)信息系統(tǒng)或計(jì)算機(jī)信息知識(shí)作為手段，或者針對(duì)計(jì)算機(jī)信息系統(tǒng)，對(duì)國(guó)家、團(tuán)體或個(gè)人造成危害，依據(jù)法律規(guī)定，應(yīng)當(dāng)予以刑罰處罰的行為。

北京大學(xué)的陳興良教授認(rèn)為：規(guī)范和事實(shí)是我們考察犯罪的雙重視角。從規(guī)范和事實(shí)兩個(gè)視角對(duì)“犯罪”進(jìn)行分析，他提出了一種二元的犯罪理論。陳教授認(rèn)為：犯罪屬于刑事法的基石范疇，而刑事法是圍繞著犯罪展開(kāi)的實(shí)體或者程序的規(guī)范體系。同時(shí)，犯罪又是一種社會(huì)事實(shí)，對(duì)于犯罪的考察，局限于規(guī)范是片面的，應(yīng)當(dāng)透過(guò)規(guī)范對(duì)犯罪進(jìn)行事實(shí)分析。

由此可知，對(duì)計(jì)算機(jī)犯罪的定義很重要，要不偏不倚，絕不放過(guò)一個(gè)罪犯，也絕不冤枉一個(gè)好人，在追求國(guó)際標(biāo)準(zhǔn)的同時(shí)也要顧及到我國(guó)的國(guó)情、法律法規(guī)，綜合性地給計(jì)算機(jī)犯罪下定義；但是光有完善的定義，生成的完備的法律法規(guī)也只是紙上談兵，計(jì)算機(jī)犯罪取證技術(shù)才是更加直接地打擊計(jì)算機(jī)犯罪與罪犯的有效工具，才能做到人贓俱獲。其與完備的法律法規(guī)的結(jié)合，才可以給計(jì)算機(jī)罪犯以沉痛的打擊。

2.3 計(jì)算機(jī)犯罪取證及相關(guān)技術(shù)

當(dāng)前利用計(jì)算機(jī)系統(tǒng)作為作案工具或者攻擊目標(biāo)的案件與日俱增，電子證據(jù)（electronic evidence）作為呈堂證供的重要性也越發(fā)明顯，而擺在公安部門(mén)與司法人員面前最嚴(yán)峻的難題就是計(jì)算機(jī)犯罪取證，如何取證，通過(guò)何種方法取證，怎樣得到最佳、最完整的電子證據(jù)等，都困擾著公安部門(mén)與司法部門(mén)人員，從另一個(gè)方面也體現(xiàn)出了培養(yǎng)相關(guān)技術(shù)人才刻不容緩的緊急性與必要性，以及我國(guó)與國(guó)外相關(guān)專(zhuān)業(yè)技術(shù)人才的培養(yǎng)和先進(jìn)取證設(shè)備的配備都相差甚遠(yuǎn)，需要添補(bǔ)的空缺也非常之大，可以看出任務(wù)還很重，所要走的路還很漫長(zhǎng)。但是相信隨著我國(guó)對(duì)計(jì)算機(jī)犯罪取證的日益重視，我國(guó)也會(huì)培養(yǎng)出眾多的網(wǎng)絡(luò)信息安全與計(jì)算機(jī)犯罪取證人才，以應(yīng)對(duì)越發(fā)嚴(yán)峻的計(jì)算機(jī)犯罪形勢(shì)。

當(dāng)然，有了想法，自然也要有相應(yīng)的做法，才能夠與時(shí)俱進(jìn)。我們的做法就是要了解計(jì)算機(jī)犯罪取證，那么計(jì)算機(jī)犯罪取證又是怎樣被定義的呢？簡(jiǎn)單地說(shuō)，計(jì)算機(jī)犯罪取證就是對(duì)各種計(jì)算機(jī)存儲(chǔ)介質(zhì)中的數(shù)據(jù)以及尋找回的數(shù)據(jù)進(jìn)行的一種科學(xué)的檢查和分析方法，而通過(guò)這種方法所得到的數(shù)據(jù)可以在法庭上成為呈堂證供，對(duì)計(jì)算機(jī)罪犯的犯罪行為依法進(jìn)行判決。其相關(guān)技術(shù)大概可以分為3類(lèi)：對(duì)計(jì)算機(jī)數(shù)據(jù)的安全獲取、通過(guò)對(duì)嫌疑犯的數(shù)據(jù)的檢測(cè)和分析來(lái)斷定數(shù)據(jù)的內(nèi)容及來(lái)源、在法庭上提供所需的計(jì)算機(jī)證據(jù)的展示。計(jì)算機(jī)犯罪取證還包括兩個(gè)階段：物理證據(jù)獲取和信息發(fā)現(xiàn)。前者是指取證人員在犯罪現(xiàn)場(chǎng)找尋并扣留相關(guān)的計(jì)算機(jī)硬件設(shè)備，后者是指從原始數(shù)據(jù)（例如：文件、日志、策略、記錄痕跡等）中找尋可以用來(lái)證明或者反駁的證據(jù)，也就是前文提到的電子證據(jù)。其中計(jì)算機(jī)罪犯的犯罪現(xiàn)場(chǎng)被學(xué)術(shù)界一致認(rèn)為是電腦，即計(jì)算機(jī)硬件設(shè)備及其軟件環(huán)境。如何在這個(gè)特殊的犯罪現(xiàn)場(chǎng)取得有利的證據(jù)把罪犯送上法庭呢？那么，首先要做好充分的準(zhǔn)備，接著便是運(yùn)用先進(jìn)科學(xué)的取證、再現(xiàn)、統(tǒng)計(jì)、分析技術(shù)對(duì)計(jì)算機(jī)犯罪行為進(jìn)行法醫(yī)式的剖析，從中搜尋并確認(rèn)有利于在法庭上指正犯罪嫌疑人罪行的犯罪證據(jù)，進(jìn)而對(duì)罪犯提起司法訴訟。

當(dāng)然，在取證前后及過(guò)程中需要注意很多細(xì)節(jié)與問(wèn)題。

3 計(jì)算機(jī)犯罪取證前后及過(guò)程中應(yīng)當(dāng)注意的細(xì)節(jié)與問(wèn)題

在取證之前的準(zhǔn)備工作做得越是充分，越是能讓取證工作進(jìn)行得相對(duì)順利，并且越是能比較圓滿地完成取證工作。而我們首先要從軟件和硬件方面的應(yīng)用工具考慮，這同軟件開(kāi)發(fā)一樣，在著手工作之前一定要做好 “需求分析”，所以取證人員應(yīng)隨身帶好若干空白的表格，以便作為信息問(wèn)詢的填寫(xiě)與工作流程的記錄，這也是一位取證人員所應(yīng)具備的專(zhuān)業(yè)素質(zhì)的一個(gè)良好體現(xiàn)。在取證工具的選取上則能夠體現(xiàn)出一個(gè)取證人員專(zhuān)業(yè)技能的高低以及工作的出色程度。下面我們便根據(jù)硬件和軟件分類(lèi)來(lái)探討一下取證前的準(zhǔn)備工作中需要注意的細(xì)節(jié)與問(wèn)題。

3.1 取證前的準(zhǔn)備工作在軟件方面應(yīng)該注意的細(xì)節(jié)與問(wèn)題

在軟件方面，操作系統(tǒng)因?yàn)槠浞N類(lèi)繁多，因此能夠跨越平臺(tái)進(jìn)行取證的工具軟件就顯得尤為重要，盡量多地了解各種類(lèi)別的操作系統(tǒng)，也會(huì)對(duì)取證工作的進(jìn)展起到推波助瀾的作用。盡管GUI類(lèi)型的程序是具有豐富功能的頂級(jí)軟件，但是若用在取證環(huán)節(jié)則可能會(huì)破壞證據(jù)的原始性，非但不能取得最佳的證據(jù)，反而會(huì)給案件的偵破帶來(lái)新的麻煩與阻礙。在取證工作結(jié)束進(jìn)行的對(duì)所獲取的罪證的分析工作中，GUI類(lèi)型的程序軟件可以發(fā)揮其豐富的功能，使得分析工作進(jìn)行得更加順利。同時(shí)，制作各類(lèi)操作系統(tǒng)的基本工具集合也是我們必要的準(zhǔn)備工作之一。因?yàn)獒槍?duì)不同的計(jì)算機(jī)罪犯要有不同的對(duì)策，例如，罪犯通常會(huì)替換“肉雞（也稱(chēng)為傀儡機(jī)，即計(jì)算機(jī)罪犯通過(guò)非法手段遠(yuǎn)程登錄的網(wǎng)絡(luò)中的一臺(tái)或者多臺(tái)主機(jī)，用于隱藏身份）”或者受害機(jī)的二進(jìn)制命令，倘若直接調(diào)用被取證機(jī)的程序命令進(jìn)行取證工作，那么取證結(jié)果可能會(huì)與預(yù)期的效果截然不同而導(dǎo)致取證失敗。為了盡量避免此類(lèi)事件在取證過(guò)程中發(fā)生，最好選取安全合法的機(jī)器制作工具集，并制作出所有工具程序的MD5校驗(yàn)列表，因?yàn)槲覀冊(cè)谌∽C過(guò)程中所作的一切都有可能成為有力的呈堂證供。隨著取證工作經(jīng)驗(yàn)的不斷豐富，對(duì)取證工具進(jìn)行不斷地更新，以便更加快速有效地進(jìn)行取證工作。例如，在不同的操作系統(tǒng)下進(jìn)行取證工作的過(guò)程中制作鏡像是最為重要的，若是在Class UNIX系統(tǒng)環(huán)境下，dd則是完成此項(xiàng)工作的通用命令，因此在工具集里面盡量多地準(zhǔn)備各類(lèi)型、各版本的Class UNIX系統(tǒng)的dd命令則顯得分外重要；而Ghost則是在Windows平臺(tái)進(jìn)行此類(lèi)工作的所最為常用的，其他類(lèi)型的軟件在此不一一介紹。

3.2 取證前的準(zhǔn)備工作在硬件方面應(yīng)該注意的細(xì)節(jié)與問(wèn)題

在硬件方面，作為電子證據(jù)的存儲(chǔ)介質(zhì)在進(jìn)行存儲(chǔ)之前一定要進(jìn)行處理，即對(duì)其進(jìn)行有效地擦除，前提是使用業(yè)內(nèi)公認(rèn)可靠的擦除軟件對(duì)該存儲(chǔ)介質(zhì)進(jìn)行擦除，以免介質(zhì)中的殘余證據(jù)對(duì)新近存入的證據(jù)產(chǎn)生影響，不利于對(duì)證據(jù)的分析和取信。存儲(chǔ)介質(zhì)的選取也相當(dāng)重要，移動(dòng)硬盤(pán)最為常見(jiàn)，除了其容量盡可能地大之外，硬盤(pán)盒的接口也要盡量地涵蓋當(dāng)前盡可能多的硬件接口類(lèi)型，例如：IDE、SATA、SCSI、PCMCIA等常見(jiàn)接口。在無(wú)法預(yù)知被取證設(shè)備的外設(shè)的情況下，除了移動(dòng)硬盤(pán)之外，還要準(zhǔn)備好軟盤(pán)、Zip軟盤(pán)、MO、CD-R、CD-RW等，各種設(shè)備之間的連接數(shù)據(jù)線纜及轉(zhuǎn)接頭也要盡量地準(zhǔn)備齊全。除此之外，以Forensic MD5為代表的手持式取證設(shè)備也是必不可少的，還有Forensic Computer出品的便攜式取證箱等都會(huì)給取證人員的取證工作帶來(lái)極大的便利，因?yàn)樗鼈儚?fù)制數(shù)據(jù)的速度極快以及接口極其豐富，而它們也逐漸成為了取證人員出行必備的百寶箱。

可是，單單從硬件和軟件方面進(jìn)行取證前的準(zhǔn)備工作還是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)該根據(jù)當(dāng)前計(jì)算機(jī)科學(xué)與技術(shù)的發(fā)展程度，對(duì)犯罪分子可能會(huì)使用的一些犯罪手段進(jìn)行預(yù)測(cè)，以便于使取證工作進(jìn)行得相對(duì)順利。

3.3 取證前的準(zhǔn)備工作還應(yīng)該了解的一些細(xì)節(jié)

除此之外，還應(yīng)該了解罪犯通常會(huì)做些什么來(lái)擾亂我們的視線，來(lái)清除自己的痕跡，而使取證人員的取證工作如何進(jìn)行得不順利等。

例如：有些掌握高超技術(shù)的罪犯有時(shí)編寫(xiě)一個(gè)摧毀硬盤(pán)的程序，當(dāng)罪犯得到他們所需要的東西之后便運(yùn)行該程序，在運(yùn)行該程序時(shí)對(duì)磁頭進(jìn)行讀寫(xiě)使得硬盤(pán)盤(pán)片高速旋轉(zhuǎn)，而當(dāng)CPU處于大量計(jì)算之時(shí)，突然停止對(duì)磁頭的讀寫(xiě)，使得馬達(dá)暴斃，導(dǎo)致硬盤(pán)無(wú)法被識(shí)別與讀取。罪犯的主要思路是源自對(duì)軟驅(qū)的讀寫(xiě)控制，其靈感來(lái)自Kill motor這個(gè)命令?，F(xiàn)今軟驅(qū)已經(jīng)很少見(jiàn)，但是依舊可以通過(guò)對(duì)光驅(qū)進(jìn)行讀寫(xiě)控制以達(dá)到對(duì)硬盤(pán)的致命摧毀。所以按任意鍵進(jìn)入硬盤(pán)自毀程序，對(duì)于罪犯中的高手來(lái)說(shuō)絕非難事。而電影中將光盤(pán)或者硬盤(pán)放入微波爐中摧毀，完全是為了賺取觀眾的眼球，那樣做是非常危險(xiǎn)的事情，很可能會(huì)傷及罪犯本身，因?yàn)槲⒉t內(nèi)的高溫可能會(huì)導(dǎo)致硬盤(pán)內(nèi)的真空環(huán)境突然改變致使內(nèi)外壓力產(chǎn)生巨大變化而瞬間使微波爐發(fā)生爆炸，即便罪犯有著敏捷的身手，逃離現(xiàn)場(chǎng)也會(huì)因?yàn)榫薮蟮谋暥┞蹲约旱奈恢茫瑢?duì)其逃離現(xiàn)場(chǎng)造成巨大的阻力。

言歸正傳，罪犯隨身攜帶的存儲(chǔ)介質(zhì)也絕非一個(gè)或者幾個(gè)，在其得手之后也不會(huì)隨身攜帶，而多是藏匿在常人無(wú)法想象的位置，在確認(rèn)已經(jīng)絕對(duì)安全的情況下再前去將存有珍貴數(shù)據(jù)的存儲(chǔ)設(shè)備取走。每個(gè)人的思路不同，做法也各自迥異，這就要求取證人員也要具備有豐富想象力及敏銳的洞察力。罪犯還有可能將數(shù)據(jù)存儲(chǔ)在二手的PDA手機(jī)里面，并對(duì)SIM卡進(jìn)行擦寫(xiě)而使得我們即使通過(guò)發(fā)射基站定位也無(wú)法獲取他們的藏匿位置。同時(shí)他們還喜歡把所有經(jīng)過(guò)跳轉(zhuǎn)的路由節(jié)點(diǎn)統(tǒng)統(tǒng)干掉，把自己的犯罪信息清除得一干二凈，讓取證人員無(wú)從下手。不僅如此，罪犯還會(huì)通過(guò)注冊(cè)表來(lái)克隆賬戶，并用其訪問(wèn)某些核心信息，還通過(guò)DOS修改文件時(shí)間等手段來(lái)制造假象而迷惑他人。絕大多數(shù)的木馬程序都駐留在system32中，極少引起用戶的注意，罪犯也會(huì)通過(guò)三層甚至以上代理訪問(wèn)“肉雞”，并開(kāi)啟VPN服務(wù)，即便是被發(fā)現(xiàn)或是追蹤，也是代理主機(jī)，而它僅僅是眾多“肉雞”中的一臺(tái)，而且走的多是“國(guó)際路線（即犯罪分子利用境外代理服務(wù)器進(jìn)行犯罪活動(dòng)）”，這也給取證工作增加了相當(dāng)?shù)碾y度。

然而，罪犯至此并沒(méi)有結(jié)束，而是逐個(gè)清除他所訪問(wèn)過(guò)的“肉雞”的系統(tǒng)訪問(wèn)日志，一般用戶都會(huì)從開(kāi)始菜單的最近的文檔里面查看Windows系統(tǒng)自動(dòng)記錄的最后15條訪問(wèn)記錄，其實(shí)此類(lèi)信息存放于C:Docunments and SettingsDefault UserRecent中，其中Default User是操作系統(tǒng)用戶登錄的賬號(hào)，而且它還包括文件鏈接及訪問(wèn)時(shí)間，因此檢查此文件夾便可知曉最近計(jì)算機(jī)的使用情況，但是若是把此文件夾中的文件統(tǒng)統(tǒng)清除，那么只能通過(guò)恢復(fù)工具將其逐一恢復(fù)之后才能知曉都有誰(shuí)在用該計(jì)算機(jī)做了些什么。通過(guò)下面的一些操作，我們也可以看到一些訪問(wèn)記錄。

如：在HKCUSoftwareMicrosoftDevStudio6.0Recent File List有開(kāi)發(fā)工具Visual Studio的最近使用的程序文件和工程文件；在HKCUSoftwareAdobeAcrobat Reader8.0Adobe Viewer有該軟件最近閱讀過(guò)的文件；在HKCUSoftwareMicrosoftOffice9.0ExcelRecent Files有Excel最近打開(kāi)的文檔；點(diǎn)擊開(kāi)始菜單可查看的最后15個(gè)文檔也存放在HKCUSoftwareMicrosoftWindowsCurrent VersionExplorerRecent Docs中，只不過(guò)文件名使用的是Unicode編碼。

在C:Documents and SettingsDefault UserLocal SettingsHistory中存有最近訪問(wèn)所留下的所有文件；IE訪問(wèn)歷史在C:Documents and SettingsDefault UserLocal SettingsTemporary Internet Files中，記錄了Internet地址、標(biāo)題和上次訪問(wèn)時(shí)間等；在HKCUsoftwareMicrosoftInternet Explorer Type2dURLS路徑下可以看到上網(wǎng)的網(wǎng)址；C:Documents and SettingsDefault UserFavorites是收藏夾，在作系統(tǒng)信息檢查時(shí)，應(yīng)當(dāng)在資源管理器中設(shè)置“顯示所有文件和文件夾”，若有需要還可以將“隱藏受保護(hù)的操作系統(tǒng)文件 （推薦）”這一選項(xiàng)前面的復(fù)選框中的對(duì)號(hào)去掉，因?yàn)樵谙到y(tǒng)默認(rèn)情況下，系統(tǒng)文件夾的屬性通常被系統(tǒng)默認(rèn)設(shè)置成“隱藏”。

而在國(guó)外，取證人員習(xí)慣使用Encase和Ftk這兩個(gè)工具軟件進(jìn)行取證工作，其主要工作原理是通過(guò)二進(jìn)制數(shù)據(jù)還原技術(shù)重現(xiàn)電腦設(shè)備的操作信息及軟件的安裝信息等；而在電子郵件取證方面，則使用E-mail TrackPro這個(gè)工具軟件來(lái)做電子郵件的定位，并且通過(guò)分析電子郵件往來(lái)信息而做出判定，在捕捉網(wǎng)絡(luò)蠕蟲(chóng)病毒和跟蹤源方面，此軟件也頗為有效；若是需要做信息比對(duì)，則會(huì)用Filemon等工具軟件找出木馬及黑客軟件的位置所在，并通過(guò)逆向分析進(jìn)行追蹤，進(jìn)而偵查罪犯的藏匿之所，并采取行動(dòng)，實(shí)施抓捕。

3.4 進(jìn)行取證工作過(guò)程中需要注意的細(xì)節(jié)與問(wèn)題

做好了較為充分的準(zhǔn)備，接著便是如何著手實(shí)施取證。無(wú)論何時(shí)何地，我們都要因地制宜，根據(jù)實(shí)際情況及安全類(lèi)別來(lái)做出相應(yīng)的判斷并實(shí)施取證工作。

若是在一臺(tái)Internet主機(jī)上發(fā)現(xiàn)有非法登錄或者在局域網(wǎng)服務(wù)器上被種下了惡意程序，我們所采取的取證方法也應(yīng)該是分門(mén)別類(lèi)的，根據(jù)實(shí)際情況對(duì)癥下藥，同時(shí)也要征求受害者的意見(jiàn)以便制定出最佳的取證方案。有的會(huì)想徹底調(diào)查并對(duì)罪犯提起訴訟，而有的則可能僅僅是對(duì)目前的狀況造成的損失做一些大致的評(píng)估，但是無(wú)論是哪一類(lèi)受害者，取證人員都要對(duì)證據(jù)進(jìn)行縝密的處理并妥善保存，即便是后者，他們也可能會(huì)在被攻擊之后的若干時(shí)間內(nèi)改變初衷，決定對(duì)罪犯的犯罪行為提起司法訴訟。同時(shí)我們還應(yīng)當(dāng)注意的則是，為了保證證據(jù)的安全可信程度，計(jì)算機(jī)證據(jù)國(guó)際組織（international organization on computer evidence，IOCE）對(duì)電子證據(jù)的采集、保存、檢驗(yàn)及傳送都提出了特別的要求：“首先必須使用有效的軟硬件進(jìn)行數(shù)據(jù)的采集和檢驗(yàn)；其次對(duì)數(shù)據(jù)證據(jù)的采集、保存、檢驗(yàn)及傳送的全過(guò)程都必須有所記錄，因?yàn)槿魏斡袧撛诳赡軐?duì)原始數(shù)據(jù)造成改變、破壞或者毀壞的活動(dòng)必須由具有法律資質(zhì)的人員進(jìn)行?！睂?duì)現(xiàn)場(chǎng)的計(jì)算機(jī)設(shè)備的處理原則之一便是對(duì)運(yùn)行中的計(jì)算機(jī)不要進(jìn)行關(guān)機(jī)操作，對(duì)關(guān)閉的計(jì)算機(jī)不要進(jìn)行開(kāi)機(jī)操作。若現(xiàn)場(chǎng)的計(jì)算機(jī)處于運(yùn)行狀態(tài)，應(yīng)極力避免使屏幕保護(hù)程序被激活，并檢查屏幕上的活動(dòng)，如果發(fā)現(xiàn)系統(tǒng)正在進(jìn)行文件的刪除、格式化、上傳、系統(tǒng)自毀或者其他危險(xiǎn)活動(dòng)，應(yīng)立即切斷電源。

接著，在關(guān)閉的設(shè)備上，我們便要利用先前準(zhǔn)備的工具對(duì)所有的數(shù)據(jù)介質(zhì)進(jìn)行生成鑒定副本操作，但是除了不能在被調(diào)查機(jī)上操作之外，也不能對(duì)該機(jī)進(jìn)行分析與檢查，因?yàn)槲覀兊闹饕康木褪窃诒M可能少地接觸被調(diào)查機(jī)的情況下制作鑒定副本并進(jìn)行證據(jù)分析，而對(duì)原始介質(zhì)的輕微操作都可能使其完全喪失作為證據(jù)的可信程度。當(dāng)我們無(wú)法獲取完整鑒定副本的時(shí)候，我們便只能進(jìn)行一些接觸被調(diào)查設(shè)備的操作了，比如被調(diào)查設(shè)備不支持熱插拔設(shè)備，而內(nèi)存中正在運(yùn)行著重要罪證，我們也只能在開(kāi)機(jī)狀態(tài)進(jìn)行證據(jù)的獲取工作，為避免對(duì)證據(jù)造成破壞，我們的操作應(yīng)當(dāng)格外謹(jǐn)慎，并在整個(gè)取證過(guò)程中做好詳細(xì)的記錄（操作的步驟、方式、方法、時(shí)間等）。因此在開(kāi)機(jī)狀態(tài)下，對(duì)內(nèi)存的數(shù)據(jù)采集便成為我們的首要工作，為此我們可以查看系統(tǒng)進(jìn)程、復(fù)制出內(nèi)存中的數(shù)據(jù)、Windows的頁(yè)面文件、Linux的proc目錄都存儲(chǔ)著大量運(yùn)行數(shù)據(jù)，若將其成功獲取，便可以生成相對(duì)完整的調(diào)查介質(zhì)的MD5校驗(yàn)列表，來(lái)證明在調(diào)查現(xiàn)場(chǎng)我們沒(méi)有破壞證據(jù)的可靠性。

3.5 取證工作完成后需要注意的細(xì)節(jié)與問(wèn)題

當(dāng)確認(rèn)取證工作已經(jīng)完成之后，接下來(lái)便是對(duì)鑒定副本的管理工作。首先要妥善地將被調(diào)查設(shè)備封存，并連同之前生成的鑒定副本一并加入“證據(jù)保管鏈”，以便在進(jìn)一步的分析工作階段時(shí)使用。而保管鏈的主要意義在于每次對(duì)被保管物的使用及變更都能夠被詳細(xì)記錄與驗(yàn)證，這樣做就是為了證明我們的證據(jù)是可靠、可信的，任何對(duì)其有意與無(wú)意的篡改都是極其不易的，因此對(duì)所有操作信息的完整記錄尤為重要，而且越是完整、詳細(xì)越是能夠增加證據(jù)的可信度。我們無(wú)時(shí)不刻都要做好接受任何縝密檢驗(yàn)的心理準(zhǔn)備，并用嚴(yán)謹(jǐn)?shù)膽B(tài)度去完成每一個(gè)取證任務(wù)。

還應(yīng)該注意的一個(gè)細(xì)節(jié)問(wèn)題就是對(duì)每一項(xiàng)證據(jù)（包括我們的工具包）粘貼保管標(biāo)簽，并在標(biāo)簽上注明：“證據(jù)來(lái)源、生成時(shí)間、證據(jù)的當(dāng)前保存位置、證據(jù)轉(zhuǎn)移時(shí)的位置、證據(jù)轉(zhuǎn)移的原因、保管人以及接手人的親筆簽字，并且建議第三者在場(chǎng)共同簽字確認(rèn)其合法性?！睂?duì)于電子證據(jù)這一數(shù)字證據(jù)，我們可以利用數(shù)字簽名技術(shù)給證據(jù)生成電子指紋，這樣做能夠使得證明證據(jù)的原始性、完整性及可信性的大大提升，并具有一定的說(shuō)服力。在法庭上用取證得來(lái)的證據(jù)與刑法、憲法等相結(jié)合對(duì)罪犯提起訴訟，使其得到應(yīng)有的審判與懲罰，同時(shí)也會(huì)對(duì)計(jì)算機(jī)犯罪起到一定的打擊作用。

4 結(jié)束語(yǔ)

計(jì)算機(jī)即將跨入量子時(shí)代，而我們需要面對(duì)的網(wǎng)絡(luò)信息安全危機(jī)與計(jì)算機(jī)犯罪也會(huì)隨之進(jìn)入量子時(shí)代，在機(jī)遇與挑戰(zhàn)之間，我們要不斷地提高自己、豐富自己、完善自己，準(zhǔn)確地把握機(jī)遇，積極勇敢地迎接挑戰(zhàn)，用我們堅(jiān)毅的信念與高超的網(wǎng)絡(luò)信息安全技術(shù)和計(jì)算機(jī)犯罪取證技術(shù)來(lái)同計(jì)算機(jī)犯罪及計(jì)算機(jī)罪犯堅(jiān)決地斗爭(zhēng)到底，做到攻防兼?zhèn)?。?dāng)然。相關(guān)的刑法、憲法等法律法規(guī)也應(yīng)該隨著計(jì)算機(jī)量子時(shí)代的到來(lái)而不斷地更新、完善。

1 林柏鋼.網(wǎng)絡(luò)與信息安全教程.北京：機(jī)械工業(yè)出版社，2005（8）

2 趙秉志，于志剛.論計(jì)算機(jī)犯罪的定義.現(xiàn)代法學(xué)，1998（5）

3 胡衛(wèi)平.計(jì)算機(jī)犯罪初論.政法論叢，1997（5）

4 板倉(cāng)宏（日）.電腦與刑法.法學(xué)論壇，1982（7）

5 張彥.計(jì)算機(jī)犯罪及其犯罪控制.南京：南京大學(xué)出版社，2000

6 申一紋.電腦就是計(jì)算機(jī)罪犯的犯罪現(xiàn)場(chǎng)——淺談?dòng)?jì)算機(jī)取證與網(wǎng)絡(luò)安全防范技術(shù).人民公安報(bào)，2009.5

7 新世紀(jì)網(wǎng)安基地,http://www.520hack.com/Article/Text5/fhack/200911/16579.html