王 帥
(華東政法大學(xué)信息科學(xué)與技術(shù)系 上海201620)
當(dāng)今計(jì)算機(jī)科學(xué)技術(shù)的迅猛發(fā)展、網(wǎng)絡(luò)系統(tǒng)的深入應(yīng)用以及信息網(wǎng)絡(luò)的社會(huì)化與國(guó)際化,使得人類(lèi)社會(huì)的生活方式發(fā)生了天翻地覆的變化。網(wǎng)絡(luò)化、數(shù)字化的應(yīng)用領(lǐng)域也越發(fā)廣泛,我們對(duì)它的依賴(lài)性也越發(fā)強(qiáng)烈,然而“網(wǎng)絡(luò)社會(huì)”越是發(fā)達(dá),它遭受攻擊的可能性與危險(xiǎn)性也就越大,計(jì)算機(jī)犯罪就是網(wǎng)絡(luò)信息安全的嚴(yán)重威脅之一。計(jì)算機(jī)犯罪取證(computer forensics)技術(shù)便是對(duì)計(jì)算機(jī)犯罪進(jìn)行有力打擊以及震懾計(jì)算機(jī)罪犯的有效科學(xué)技術(shù)之一,同時(shí)也對(duì)網(wǎng)絡(luò)信息的安全提供了一定的保障。掌握了這項(xiàng)技術(shù),就如同經(jīng)驗(yàn)豐富的外科手術(shù)醫(yī)生得到了一把鋒利應(yīng)手的手術(shù)刀一般,對(duì)其清理“毒瘤”如虎添翼。
我國(guó)第一例計(jì)算機(jī)犯罪出現(xiàn)在1986年7月22日,港商李某前往深圳市人民銀行和平路支行取款,計(jì)算機(jī)顯示其存款少了2萬(wàn)元人民幣。兩個(gè)月后,迎春路支行也發(fā)生了類(lèi)似情況,某駐深圳辦事處的趙某存入銀行的3萬(wàn)元港幣不翼而飛,通過(guò)偵查發(fā)現(xiàn)上述兩筆存款均被同一犯罪分子利用計(jì)算機(jī)技術(shù)偽造存折和隱形印鑒詐騙而去。從此之后,原來(lái)在報(bào)道中看到的在國(guó)外才有可能出現(xiàn)的計(jì)算機(jī)犯罪現(xiàn)象在國(guó)內(nèi)也頻頻發(fā)生。截至1990年年底,我國(guó)有案可查的計(jì)算機(jī)犯罪案件就有130多起。
我國(guó)的第一例計(jì)算機(jī)病毒出現(xiàn)在1989年3月。當(dāng)時(shí)我國(guó)西南某鋁廠計(jì)算中心的7臺(tái)計(jì)算機(jī)發(fā)現(xiàn)被感染小球計(jì)算機(jī)病毒。接著,《計(jì)算機(jī)世界報(bào)》對(duì)此作了詳盡的報(bào)道。至此之后,計(jì)算機(jī)病毒便在全國(guó)迅速蔓延。現(xiàn)今,絕大多數(shù)的計(jì)算機(jī)用戶,特別是互聯(lián)網(wǎng)用戶都經(jīng)受過(guò)計(jì)算機(jī)病毒的侵襲。1989年,我國(guó)出現(xiàn)了由國(guó)內(nèi)計(jì)算機(jī)人員自己制造的病毒在計(jì)算機(jī)應(yīng)用中蔓延,但直到1996年,我國(guó)才破獲第一例計(jì)算機(jī)病毒制造案件。由此可見(jiàn),絕大多數(shù)計(jì)算機(jī)病毒案件仍然未被破獲。
上述兩個(gè)案例中,從各個(gè)角度反映出計(jì)算機(jī)犯罪的高智商性、作案動(dòng)機(jī)簡(jiǎn)單化、實(shí)施犯罪容易、較強(qiáng)的隱蔽性以及巨大的危害性等不同于普通犯罪的特性,所以我們必須針對(duì)這些特性給計(jì)算機(jī)犯罪下一個(gè)較為完整的定義。那么,計(jì)算機(jī)犯罪又是怎樣被定義的呢?而我們又將怎樣應(yīng)對(duì)越來(lái)越嚴(yán)峻的計(jì)算機(jī)犯罪形式呢?接下來(lái),我們簡(jiǎn)單探討一下。
對(duì)于計(jì)算機(jī)犯罪(computer crime),我國(guó)公安部計(jì)算機(jī)管理監(jiān)察司給出的定義是:所謂計(jì)算機(jī)犯罪,就是在信息活動(dòng)領(lǐng)域中,利用計(jì)算機(jī)信息系統(tǒng)或計(jì)算機(jī)信息知識(shí)作為手段,或者針對(duì)計(jì)算機(jī)信息系統(tǒng),對(duì)國(guó)家、團(tuán)體或個(gè)人造成危害,依據(jù)法律規(guī)定,應(yīng)當(dāng)予以刑罰處罰的行為。
北京大學(xué)的陳興良教授認(rèn)為:規(guī)范和事實(shí)是我們考察犯罪的雙重視角。從規(guī)范和事實(shí)兩個(gè)視角對(duì)“犯罪”進(jìn)行分析,他提出了一種二元的犯罪理論。陳教授認(rèn)為:犯罪屬于刑事法的基石范疇,而刑事法是圍繞著犯罪展開(kāi)的實(shí)體或者程序的規(guī)范體系。同時(shí),犯罪又是一種社會(huì)事實(shí),對(duì)于犯罪的考察,局限于規(guī)范是片面的,應(yīng)當(dāng)透過(guò)規(guī)范對(duì)犯罪進(jìn)行事實(shí)分析。
由此可知,對(duì)計(jì)算機(jī)犯罪的定義很重要,要不偏不倚,絕不放過(guò)一個(gè)罪犯,也絕不冤枉一個(gè)好人,在追求國(guó)際標(biāo)準(zhǔn)的同時(shí)也要顧及到我國(guó)的國(guó)情、法律法規(guī),綜合性地給計(jì)算機(jī)犯罪下定義;但是光有完善的定義,生成的完備的法律法規(guī)也只是紙上談兵,計(jì)算機(jī)犯罪取證技術(shù)才是更加直接地打擊計(jì)算機(jī)犯罪與罪犯的有效工具,才能做到人贓俱獲。其與完備的法律法規(guī)的結(jié)合,才可以給計(jì)算機(jī)罪犯以沉痛的打擊。
當(dāng)前利用計(jì)算機(jī)系統(tǒng)作為作案工具或者攻擊目標(biāo)的案件與日俱增,電子證據(jù)(electronic evidence)作為呈堂證供的重要性也越發(fā)明顯,而擺在公安部門(mén)與司法人員面前最嚴(yán)峻的難題就是計(jì)算機(jī)犯罪取證,如何取證,通過(guò)何種方法取證,怎樣得到最佳、最完整的電子證據(jù)等,都困擾著公安部門(mén)與司法部門(mén)人員,從另一個(gè)方面也體現(xiàn)出了培養(yǎng)相關(guān)技術(shù)人才刻不容緩的緊急性與必要性,以及我國(guó)與國(guó)外相關(guān)專(zhuān)業(yè)技術(shù)人才的培養(yǎng)和先進(jìn)取證設(shè)備的配備都相差甚遠(yuǎn),需要添補(bǔ)的空缺也非常之大,可以看出任務(wù)還很重,所要走的路還很漫長(zhǎng)。但是相信隨著我國(guó)對(duì)計(jì)算機(jī)犯罪取證的日益重視,我國(guó)也會(huì)培養(yǎng)出眾多的網(wǎng)絡(luò)信息安全與計(jì)算機(jī)犯罪取證人才,以應(yīng)對(duì)越發(fā)嚴(yán)峻的計(jì)算機(jī)犯罪形勢(shì)。
當(dāng)然,有了想法,自然也要有相應(yīng)的做法,才能夠與時(shí)俱進(jìn)。我們的做法就是要了解計(jì)算機(jī)犯罪取證,那么計(jì)算機(jī)犯罪取證又是怎樣被定義的呢?簡(jiǎn)單地說(shuō),計(jì)算機(jī)犯罪取證就是對(duì)各種計(jì)算機(jī)存儲(chǔ)介質(zhì)中的數(shù)據(jù)以及尋找回的數(shù)據(jù)進(jìn)行的一種科學(xué)的檢查和分析方法,而通過(guò)這種方法所得到的數(shù)據(jù)可以在法庭上成為呈堂證供,對(duì)計(jì)算機(jī)罪犯的犯罪行為依法進(jìn)行判決。其相關(guān)技術(shù)大概可以分為3類(lèi):對(duì)計(jì)算機(jī)數(shù)據(jù)的安全獲取、通過(guò)對(duì)嫌疑犯的數(shù)據(jù)的檢測(cè)和分析來(lái)斷定數(shù)據(jù)的內(nèi)容及來(lái)源、在法庭上提供所需的計(jì)算機(jī)證據(jù)的展示。計(jì)算機(jī)犯罪取證還包括兩個(gè)階段:物理證據(jù)獲取和信息發(fā)現(xiàn)。前者是指取證人員在犯罪現(xiàn)場(chǎng)找尋并扣留相關(guān)的計(jì)算機(jī)硬件設(shè)備,后者是指從原始數(shù)據(jù)(例如:文件、日志、策略、記錄痕跡等)中找尋可以用來(lái)證明或者反駁的證據(jù),也就是前文提到的電子證據(jù)。其中計(jì)算機(jī)罪犯的犯罪現(xiàn)場(chǎng)被學(xué)術(shù)界一致認(rèn)為是電腦,即計(jì)算機(jī)硬件設(shè)備及其軟件環(huán)境。如何在這個(gè)特殊的犯罪現(xiàn)場(chǎng)取得有利的證據(jù)把罪犯送上法庭呢?那么,首先要做好充分的準(zhǔn)備,接著便是運(yùn)用先進(jìn)科學(xué)的取證、再現(xiàn)、統(tǒng)計(jì)、分析技術(shù)對(duì)計(jì)算機(jī)犯罪行為進(jìn)行法醫(yī)式的剖析,從中搜尋并確認(rèn)有利于在法庭上指正犯罪嫌疑人罪行的犯罪證據(jù),進(jìn)而對(duì)罪犯提起司法訴訟。
當(dāng)然,在取證前后及過(guò)程中需要注意很多細(xì)節(jié)與問(wèn)題。
在取證之前的準(zhǔn)備工作做得越是充分,越是能讓取證工作進(jìn)行得相對(duì)順利,并且越是能比較圓滿地完成取證工作。而我們首先要從軟件和硬件方面的應(yīng)用工具考慮,這同軟件開(kāi)發(fā)一樣,在著手工作之前一定要做好 “需求分析”,所以取證人員應(yīng)隨身帶好若干空白的表格,以便作為信息問(wèn)詢的填寫(xiě)與工作流程的記錄,這也是一位取證人員所應(yīng)具備的專(zhuān)業(yè)素質(zhì)的一個(gè)良好體現(xiàn)。在取證工具的選取上則能夠體現(xiàn)出一個(gè)取證人員專(zhuān)業(yè)技能的高低以及工作的出色程度。下面我們便根據(jù)硬件和軟件分類(lèi)來(lái)探討一下取證前的準(zhǔn)備工作中需要注意的細(xì)節(jié)與問(wèn)題。
在軟件方面,操作系統(tǒng)因?yàn)槠浞N類(lèi)繁多,因此能夠跨越平臺(tái)進(jìn)行取證的工具軟件就顯得尤為重要,盡量多地了解各種類(lèi)別的操作系統(tǒng),也會(huì)對(duì)取證工作的進(jìn)展起到推波助瀾的作用。盡管GUI類(lèi)型的程序是具有豐富功能的頂級(jí)軟件,但是若用在取證環(huán)節(jié)則可能會(huì)破壞證據(jù)的原始性,非但不能取得最佳的證據(jù),反而會(huì)給案件的偵破帶來(lái)新的麻煩與阻礙。在取證工作結(jié)束進(jìn)行的對(duì)所獲取的罪證的分析工作中,GUI類(lèi)型的程序軟件可以發(fā)揮其豐富的功能,使得分析工作進(jìn)行得更加順利。同時(shí),制作各類(lèi)操作系統(tǒng)的基本工具集合也是我們必要的準(zhǔn)備工作之一。因?yàn)獒槍?duì)不同的計(jì)算機(jī)罪犯要有不同的對(duì)策,例如,罪犯通常會(huì)替換“肉雞(也稱(chēng)為傀儡機(jī),即計(jì)算機(jī)罪犯通過(guò)非法手段遠(yuǎn)程登錄的網(wǎng)絡(luò)中的一臺(tái)或者多臺(tái)主機(jī),用于隱藏身份)”或者受害機(jī)的二進(jìn)制命令,倘若直接調(diào)用被取證機(jī)的程序命令進(jìn)行取證工作,那么取證結(jié)果可能會(huì)與預(yù)期的效果截然不同而導(dǎo)致取證失敗。為了盡量避免此類(lèi)事件在取證過(guò)程中發(fā)生,最好選取安全合法的機(jī)器制作工具集,并制作出所有工具程序的MD5校驗(yàn)列表,因?yàn)槲覀冊(cè)谌∽C過(guò)程中所作的一切都有可能成為有力的呈堂證供。隨著取證工作經(jīng)驗(yàn)的不斷豐富,對(duì)取證工具進(jìn)行不斷地更新,以便更加快速有效地進(jìn)行取證工作。例如,在不同的操作系統(tǒng)下進(jìn)行取證工作的過(guò)程中制作鏡像是最為重要的,若是在Class UNIX系統(tǒng)環(huán)境下,dd則是完成此項(xiàng)工作的通用命令,因此在工具集里面盡量多地準(zhǔn)備各類(lèi)型、各版本的Class UNIX系統(tǒng)的dd命令則顯得分外重要;而Ghost則是在Windows平臺(tái)進(jìn)行此類(lèi)工作的所最為常用的,其他類(lèi)型的軟件在此不一一介紹。
在硬件方面,作為電子證據(jù)的存儲(chǔ)介質(zhì)在進(jìn)行存儲(chǔ)之前一定要進(jìn)行處理,即對(duì)其進(jìn)行有效地擦除,前提是使用業(yè)內(nèi)公認(rèn)可靠的擦除軟件對(duì)該存儲(chǔ)介質(zhì)進(jìn)行擦除,以免介質(zhì)中的殘余證據(jù)對(duì)新近存入的證據(jù)產(chǎn)生影響,不利于對(duì)證據(jù)的分析和取信。存儲(chǔ)介質(zhì)的選取也相當(dāng)重要,移動(dòng)硬盤(pán)最為常見(jiàn),除了其容量盡可能地大之外,硬盤(pán)盒的接口也要盡量地涵蓋當(dāng)前盡可能多的硬件接口類(lèi)型,例如:IDE、SATA、SCSI、PCMCIA等常見(jiàn)接口。在無(wú)法預(yù)知被取證設(shè)備的外設(shè)的情況下,除了移動(dòng)硬盤(pán)之外,還要準(zhǔn)備好軟盤(pán)、Zip軟盤(pán)、MO、CD-R、CD-RW等,各種設(shè)備之間的連接數(shù)據(jù)線纜及轉(zhuǎn)接頭也要盡量地準(zhǔn)備齊全。除此之外,以Forensic MD5為代表的手持式取證設(shè)備也是必不可少的,還有Forensic Computer出品的便攜式取證箱等都會(huì)給取證人員的取證工作帶來(lái)極大的便利,因?yàn)樗鼈儚?fù)制數(shù)據(jù)的速度極快以及接口極其豐富,而它們也逐漸成為了取證人員出行必備的百寶箱。
可是,單單從硬件和軟件方面進(jìn)行取證前的準(zhǔn)備工作還是遠(yuǎn)遠(yuǎn)不夠的,還應(yīng)該根據(jù)當(dāng)前計(jì)算機(jī)科學(xué)與技術(shù)的發(fā)展程度,對(duì)犯罪分子可能會(huì)使用的一些犯罪手段進(jìn)行預(yù)測(cè),以便于使取證工作進(jìn)行得相對(duì)順利。
除此之外,還應(yīng)該了解罪犯通常會(huì)做些什么來(lái)擾亂我們的視線,來(lái)清除自己的痕跡,而使取證人員的取證工作如何進(jìn)行得不順利等。
例如:有些掌握高超技術(shù)的罪犯有時(shí)編寫(xiě)一個(gè)摧毀硬盤(pán)的程序,當(dāng)罪犯得到他們所需要的東西之后便運(yùn)行該程序,在運(yùn)行該程序時(shí)對(duì)磁頭進(jìn)行讀寫(xiě)使得硬盤(pán)盤(pán)片高速旋轉(zhuǎn),而當(dāng)CPU處于大量計(jì)算之時(shí),突然停止對(duì)磁頭的讀寫(xiě),使得馬達(dá)暴斃,導(dǎo)致硬盤(pán)無(wú)法被識(shí)別與讀取。罪犯的主要思路是源自對(duì)軟驅(qū)的讀寫(xiě)控制,其靈感來(lái)自Kill motor這個(gè)命令?,F(xiàn)今軟驅(qū)已經(jīng)很少見(jiàn),但是依舊可以通過(guò)對(duì)光驅(qū)進(jìn)行讀寫(xiě)控制以達(dá)到對(duì)硬盤(pán)的致命摧毀。所以按任意鍵進(jìn)入硬盤(pán)自毀程序,對(duì)于罪犯中的高手來(lái)說(shuō)絕非難事。而電影中將光盤(pán)或者硬盤(pán)放入微波爐中摧毀,完全是為了賺取觀眾的眼球,那樣做是非常危險(xiǎn)的事情,很可能會(huì)傷及罪犯本身,因?yàn)槲⒉t內(nèi)的高溫可能會(huì)導(dǎo)致硬盤(pán)內(nèi)的真空環(huán)境突然改變致使內(nèi)外壓力產(chǎn)生巨大變化而瞬間使微波爐發(fā)生爆炸,即便罪犯有著敏捷的身手,逃離現(xiàn)場(chǎng)也會(huì)因?yàn)榫薮蟮谋暥┞蹲约旱奈恢茫瑢?duì)其逃離現(xiàn)場(chǎng)造成巨大的阻力。
言歸正傳,罪犯隨身攜帶的存儲(chǔ)介質(zhì)也絕非一個(gè)或者幾個(gè),在其得手之后也不會(huì)隨身攜帶,而多是藏匿在常人無(wú)法想象的位置,在確認(rèn)已經(jīng)絕對(duì)安全的情況下再前去將存有珍貴數(shù)據(jù)的存儲(chǔ)設(shè)備取走。每個(gè)人的思路不同,做法也各自迥異,這就要求取證人員也要具備有豐富想象力及敏銳的洞察力。罪犯還有可能將數(shù)據(jù)存儲(chǔ)在二手的PDA手機(jī)里面,并對(duì)SIM卡進(jìn)行擦寫(xiě)而使得我們即使通過(guò)發(fā)射基站定位也無(wú)法獲取他們的藏匿位置。同時(shí)他們還喜歡把所有經(jīng)過(guò)跳轉(zhuǎn)的路由節(jié)點(diǎn)統(tǒng)統(tǒng)干掉,把自己的犯罪信息清除得一干二凈,讓取證人員無(wú)從下手。不僅如此,罪犯還會(huì)通過(guò)注冊(cè)表來(lái)克隆賬戶,并用其訪問(wèn)某些核心信息,還通過(guò)DOS修改文件時(shí)間等手段來(lái)制造假象而迷惑他人。絕大多數(shù)的木馬程序都駐留在system32中,極少引起用戶的注意,罪犯也會(huì)通過(guò)三層甚至以上代理訪問(wèn)“肉雞”,并開(kāi)啟VPN服務(wù),即便是被發(fā)現(xiàn)或是追蹤,也是代理主機(jī),而它僅僅是眾多“肉雞”中的一臺(tái),而且走的多是“國(guó)際路線(即犯罪分子利用境外代理服務(wù)器進(jìn)行犯罪活動(dòng))”,這也給取證工作增加了相當(dāng)?shù)碾y度。
然而,罪犯至此并沒(méi)有結(jié)束,而是逐個(gè)清除他所訪問(wèn)過(guò)的“肉雞”的系統(tǒng)訪問(wèn)日志,一般用戶都會(huì)從開(kāi)始菜單的最近的文檔里面查看Windows系統(tǒng)自動(dòng)記錄的最后15條訪問(wèn)記錄,其實(shí)此類(lèi)信息存放于C:Docunments and SettingsDefault UserRecent中,其中Default User是操作系統(tǒng)用戶登錄的賬號(hào),而且它還包括文件鏈接及訪問(wèn)時(shí)間,因此檢查此文件夾便可知曉最近計(jì)算機(jī)的使用情況,但是若是把此文件夾中的文件統(tǒng)統(tǒng)清除,那么只能通過(guò)恢復(fù)工具將其逐一恢復(fù)之后才能知曉都有誰(shuí)在用該計(jì)算機(jī)做了些什么。通過(guò)下面的一些操作,我們也可以看到一些訪問(wèn)記錄。
如:在HKCUSoftwareMicrosoftDevStudio6.0Recent File List有開(kāi)發(fā)工具Visual Studio的最近使用的程序文件和工程文件;在HKCUSoftwareAdobeAcrobat Reader8.0Adobe Viewer有該軟件最近閱讀過(guò)的文件;在HKCUSoftwareMicrosoftOffice9.0ExcelRecent Files有Excel最近打開(kāi)的文檔;點(diǎn)擊開(kāi)始菜單可查看的最后15個(gè)文檔也存放在HKCUSoftwareMicrosoftWindowsCurrent VersionExplorerRecent Docs中,只不過(guò)文件名使用的是Unicode編碼。
在C:Documents and SettingsDefault UserLocal SettingsHistory中存有最近訪問(wèn)所留下的所有文件;IE訪問(wèn)歷史在C:Documents and SettingsDefault UserLocal SettingsTemporary Internet Files中,記錄了Internet地址、標(biāo)題和上次訪問(wèn)時(shí)間等;在HKCUsoftwareMicrosoftInternet Explorer Type2dURLS路徑下可以看到上網(wǎng)的網(wǎng)址;C:Documents and SettingsDefault UserFavorites是收藏夾,在作系統(tǒng)信息檢查時(shí),應(yīng)當(dāng)在資源管理器中設(shè)置“顯示所有文件和文件夾”,若有需要還可以將“隱藏受保護(hù)的操作系統(tǒng)文件 (推薦)”這一選項(xiàng)前面的復(fù)選框中的對(duì)號(hào)去掉,因?yàn)樵谙到y(tǒng)默認(rèn)情況下,系統(tǒng)文件夾的屬性通常被系統(tǒng)默認(rèn)設(shè)置成“隱藏”。
而在國(guó)外,取證人員習(xí)慣使用Encase和Ftk這兩個(gè)工具軟件進(jìn)行取證工作,其主要工作原理是通過(guò)二進(jìn)制數(shù)據(jù)還原技術(shù)重現(xiàn)電腦設(shè)備的操作信息及軟件的安裝信息等;而在電子郵件取證方面,則使用E-mail TrackPro這個(gè)工具軟件來(lái)做電子郵件的定位,并且通過(guò)分析電子郵件往來(lái)信息而做出判定,在捕捉網(wǎng)絡(luò)蠕蟲(chóng)病毒和跟蹤源方面,此軟件也頗為有效;若是需要做信息比對(duì),則會(huì)用Filemon等工具軟件找出木馬及黑客軟件的位置所在,并通過(guò)逆向分析進(jìn)行追蹤,進(jìn)而偵查罪犯的藏匿之所,并采取行動(dòng),實(shí)施抓捕。
做好了較為充分的準(zhǔn)備,接著便是如何著手實(shí)施取證。無(wú)論何時(shí)何地,我們都要因地制宜,根據(jù)實(shí)際情況及安全類(lèi)別來(lái)做出相應(yīng)的判斷并實(shí)施取證工作。
若是在一臺(tái)Internet主機(jī)上發(fā)現(xiàn)有非法登錄或者在局域網(wǎng)服務(wù)器上被種下了惡意程序,我們所采取的取證方法也應(yīng)該是分門(mén)別類(lèi)的,根據(jù)實(shí)際情況對(duì)癥下藥,同時(shí)也要征求受害者的意見(jiàn)以便制定出最佳的取證方案。有的會(huì)想徹底調(diào)查并對(duì)罪犯提起訴訟,而有的則可能僅僅是對(duì)目前的狀況造成的損失做一些大致的評(píng)估,但是無(wú)論是哪一類(lèi)受害者,取證人員都要對(duì)證據(jù)進(jìn)行縝密的處理并妥善保存,即便是后者,他們也可能會(huì)在被攻擊之后的若干時(shí)間內(nèi)改變初衷,決定對(duì)罪犯的犯罪行為提起司法訴訟。同時(shí)我們還應(yīng)當(dāng)注意的則是,為了保證證據(jù)的安全可信程度,計(jì)算機(jī)證據(jù)國(guó)際組織(international organization on computer evidence,IOCE)對(duì)電子證據(jù)的采集、保存、檢驗(yàn)及傳送都提出了特別的要求:“首先必須使用有效的軟硬件進(jìn)行數(shù)據(jù)的采集和檢驗(yàn);其次對(duì)數(shù)據(jù)證據(jù)的采集、保存、檢驗(yàn)及傳送的全過(guò)程都必須有所記錄,因?yàn)槿魏斡袧撛诳赡軐?duì)原始數(shù)據(jù)造成改變、破壞或者毀壞的活動(dòng)必須由具有法律資質(zhì)的人員進(jìn)行?!睂?duì)現(xiàn)場(chǎng)的計(jì)算機(jī)設(shè)備的處理原則之一便是對(duì)運(yùn)行中的計(jì)算機(jī)不要進(jìn)行關(guān)機(jī)操作,對(duì)關(guān)閉的計(jì)算機(jī)不要進(jìn)行開(kāi)機(jī)操作。若現(xiàn)場(chǎng)的計(jì)算機(jī)處于運(yùn)行狀態(tài),應(yīng)極力避免使屏幕保護(hù)程序被激活,并檢查屏幕上的活動(dòng),如果發(fā)現(xiàn)系統(tǒng)正在進(jìn)行文件的刪除、格式化、上傳、系統(tǒng)自毀或者其他危險(xiǎn)活動(dòng),應(yīng)立即切斷電源。
接著,在關(guān)閉的設(shè)備上,我們便要利用先前準(zhǔn)備的工具對(duì)所有的數(shù)據(jù)介質(zhì)進(jìn)行生成鑒定副本操作,但是除了不能在被調(diào)查機(jī)上操作之外,也不能對(duì)該機(jī)進(jìn)行分析與檢查,因?yàn)槲覀兊闹饕康木褪窃诒M可能少地接觸被調(diào)查機(jī)的情況下制作鑒定副本并進(jìn)行證據(jù)分析,而對(duì)原始介質(zhì)的輕微操作都可能使其完全喪失作為證據(jù)的可信程度。當(dāng)我們無(wú)法獲取完整鑒定副本的時(shí)候,我們便只能進(jìn)行一些接觸被調(diào)查設(shè)備的操作了,比如被調(diào)查設(shè)備不支持熱插拔設(shè)備,而內(nèi)存中正在運(yùn)行著重要罪證,我們也只能在開(kāi)機(jī)狀態(tài)進(jìn)行證據(jù)的獲取工作,為避免對(duì)證據(jù)造成破壞,我們的操作應(yīng)當(dāng)格外謹(jǐn)慎,并在整個(gè)取證過(guò)程中做好詳細(xì)的記錄(操作的步驟、方式、方法、時(shí)間等)。因此在開(kāi)機(jī)狀態(tài)下,對(duì)內(nèi)存的數(shù)據(jù)采集便成為我們的首要工作,為此我們可以查看系統(tǒng)進(jìn)程、復(fù)制出內(nèi)存中的數(shù)據(jù)、Windows的頁(yè)面文件、Linux的proc目錄都存儲(chǔ)著大量運(yùn)行數(shù)據(jù),若將其成功獲取,便可以生成相對(duì)完整的調(diào)查介質(zhì)的MD5校驗(yàn)列表,來(lái)證明在調(diào)查現(xiàn)場(chǎng)我們沒(méi)有破壞證據(jù)的可靠性。
當(dāng)確認(rèn)取證工作已經(jīng)完成之后,接下來(lái)便是對(duì)鑒定副本的管理工作。首先要妥善地將被調(diào)查設(shè)備封存,并連同之前生成的鑒定副本一并加入“證據(jù)保管鏈”,以便在進(jìn)一步的分析工作階段時(shí)使用。而保管鏈的主要意義在于每次對(duì)被保管物的使用及變更都能夠被詳細(xì)記錄與驗(yàn)證,這樣做就是為了證明我們的證據(jù)是可靠、可信的,任何對(duì)其有意與無(wú)意的篡改都是極其不易的,因此對(duì)所有操作信息的完整記錄尤為重要,而且越是完整、詳細(xì)越是能夠增加證據(jù)的可信度。我們無(wú)時(shí)不刻都要做好接受任何縝密檢驗(yàn)的心理準(zhǔn)備,并用嚴(yán)謹(jǐn)?shù)膽B(tài)度去完成每一個(gè)取證任務(wù)。
還應(yīng)該注意的一個(gè)細(xì)節(jié)問(wèn)題就是對(duì)每一項(xiàng)證據(jù)(包括我們的工具包)粘貼保管標(biāo)簽,并在標(biāo)簽上注明:“證據(jù)來(lái)源、生成時(shí)間、證據(jù)的當(dāng)前保存位置、證據(jù)轉(zhuǎn)移時(shí)的位置、證據(jù)轉(zhuǎn)移的原因、保管人以及接手人的親筆簽字,并且建議第三者在場(chǎng)共同簽字確認(rèn)其合法性?!睂?duì)于電子證據(jù)這一數(shù)字證據(jù),我們可以利用數(shù)字簽名技術(shù)給證據(jù)生成電子指紋,這樣做能夠使得證明證據(jù)的原始性、完整性及可信性的大大提升,并具有一定的說(shuō)服力。在法庭上用取證得來(lái)的證據(jù)與刑法、憲法等相結(jié)合對(duì)罪犯提起訴訟,使其得到應(yīng)有的審判與懲罰,同時(shí)也會(huì)對(duì)計(jì)算機(jī)犯罪起到一定的打擊作用。
計(jì)算機(jī)即將跨入量子時(shí)代,而我們需要面對(duì)的網(wǎng)絡(luò)信息安全危機(jī)與計(jì)算機(jī)犯罪也會(huì)隨之進(jìn)入量子時(shí)代,在機(jī)遇與挑戰(zhàn)之間,我們要不斷地提高自己、豐富自己、完善自己,準(zhǔn)確地把握機(jī)遇,積極勇敢地迎接挑戰(zhàn),用我們堅(jiān)毅的信念與高超的網(wǎng)絡(luò)信息安全技術(shù)和計(jì)算機(jī)犯罪取證技術(shù)來(lái)同計(jì)算機(jī)犯罪及計(jì)算機(jī)罪犯堅(jiān)決地斗爭(zhēng)到底,做到攻防兼?zhèn)?。?dāng)然。相關(guān)的刑法、憲法等法律法規(guī)也應(yīng)該隨著計(jì)算機(jī)量子時(shí)代的到來(lái)而不斷地更新、完善。
1 林柏鋼.網(wǎng)絡(luò)與信息安全教程.北京:機(jī)械工業(yè)出版社,2005(8)
2 趙秉志,于志剛.論計(jì)算機(jī)犯罪的定義.現(xiàn)代法學(xué),1998(5)
3 胡衛(wèi)平.計(jì)算機(jī)犯罪初論.政法論叢,1997(5)
4 板倉(cāng)宏(日).電腦與刑法.法學(xué)論壇,1982(7)
5 張彥.計(jì)算機(jī)犯罪及其犯罪控制.南京:南京大學(xué)出版社,2000
6 申一紋.電腦就是計(jì)算機(jī)罪犯的犯罪現(xiàn)場(chǎng)——淺談?dòng)?jì)算機(jī)取證與網(wǎng)絡(luò)安全防范技術(shù).人民公安報(bào),2009.5
7 新世紀(jì)網(wǎng)安基地,http://www.520hack.com/Article/Text5/fhack/200911/16579.html