仇學敏

摘要：由于計算機犯罪手段的變化和其他技術的引入，使取證的工作已不在局限于普通的層面上，計算機的取證已變得越來越重要。該文就此闡述了計算機取證的主要原則和一般步驟作，并對計算機取證的相關技術及存在問題作初步研究。

關鍵詞： 計算機犯罪；計算機證據；計算機取證

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）32-7547-02

目前，打擊計算機犯罪的關鍵是如何將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪者繩之以法。此過程涉及的技術便是目前人們研究與關注的計算機取證（Computer Forensics）技術，它是計算機領域和法學領域的一門交叉科學，它被用來解決大量的計算機 犯罪和事故，包括網絡入侵、盜用知識產權和E-mail欺騙等。隨著信息技術與網絡技術的飛速發(fā)展，越來越多的計算機聯(lián)成網絡，提供信息共享服務，給人們帶來了工作的高效率和生活的高質量。與此同時，社會生活中的計算機犯罪行為不斷出現(xiàn)，一種新的證據形式——電子證據，逐漸成為新的證據之一。與一般的犯罪不同，計算機犯罪行為是一種新興的高技術犯罪，其很多犯罪證據都以數字形式通過計算機或網絡進行存儲和傳輸，包括一切記錄、文件、源代碼、程序等，即所謂的電子證據。由于電子證據與海量的正常數據混雜，難以提取，且易于篡改、銷毀，故其獲取、存儲、傳輸和分析都需要特殊的技術手段和嚴格的程序，否則，難以保證證據的客觀性、關聯(lián)性和合法性。因此單獨依靠信息技術進行安全防御已被證明是遠遠不足的，我們需要更多的主動性手段來打擊和威懾計算機犯罪。

1 計算機取證

我們知道計算機證據是指在計算機系統(tǒng)運行過程中，產生用以證明案件事實的內容的一種電磁記錄物。那簡單理解“計算機取證”就是取出計算機證據的過程，它先由International Associationof Computer Specialists（IACIS）在1991年舉行的第一次年會中正式提出。計算機緊急事件響應和取證咨詢公司New Technologies進一步拓展了該定義：計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取、歸檔[1]。同時計算機在相關的犯罪案例中可以扮演黑客入侵的目標、作案的工具和犯罪信息的存儲器這幾種角色 證據進行獲取、保存、分析和出示，它實質上是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。 計算機取證包括物理證據獲取和信息發(fā)現(xiàn)兩個階段。物理證據獲取是指調查人員來到計算機犯罪或入侵的現(xiàn)場，尋找并扣留相關的計算機硬件；信息發(fā)現(xiàn)是指從原始數據（包括文件，日志等）中尋找可以用來證明或者反駁什么的證據，無論作為哪種角色，計算機（連同它的外設）中都會留下大量與犯罪有關的數據。

因此，計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的、存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。

2 計算機取證的原則和步驟

2.1 計算機取證的原則

電子證據是指在計算機取證后產生的、以其記錄的內容來證明案件事實的電磁記錄物。電子證據必須是可信的、準確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。但與傳統(tǒng)刑事證據相比，電子證據具有技術性、復合性、無形性、脆弱性等特點，在收集、審查、鑒定證據及分析、傳輸和存儲的過程中很容易被篡改和刪除，極大的影響了計算機證據的證明力，因此，計算機取證時必須遵循以下原則：

1） 及時性原則。這一原則對證據的收集提出了時效要求。

2） 合法性原則。證據從最初的獲取到被正式提交給法庭，必須具有可采用性。

3） 全面性原則。既收集存在于計算機軟硬件上和電子證據，也收集其他相關外圍設備中的電子證據。

4） 嚴格管理過程的原則。計算機證據必須妥善保管。必須保證證據的真實性和完整性，且整個檢查取證過程必須受到監(jiān)督。

2.2 計算機取證的步驟

計算機取證過程和技術比較復雜，在打擊計算機犯罪時，執(zhí)法部門還沒有形成統(tǒng)一標準的程序來進行計算機取證工作。目前，計算機取證工作一般按照下面步驟進行： [2]

1） 現(xiàn)場保護。首先應該對現(xiàn)場進行保護，停止對計算機的操作，禁用與涉案計算機有關的外圍設備，切斷涉案計算機與外界的聯(lián)系。

2） 提取證據。計算機證據的提取應由外入內，首先應該進行外圍證據的收集：注意收集各種文件。如系統(tǒng)手冊、計算機運行記錄等；注意收集可能儲存有犯罪信息的各種物證，從眾多的未知和不確定性中找到確定性的東西。這一步使用的工具一般是具有磁盤鏡像、數據恢復、解密、網絡數據捕獲等功能的取證工具。

3） 證據分析。這是計算機取證的核心和關鍵。分析計算機的類型、采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有隱藏的分區(qū)；有無可疑外設；有無遠程控制、木馬程序。分析在磁盤特殊區(qū)域中發(fā)現(xiàn)的所有相關數據。利用磁盤存儲空閑空間數據分析技術進行數據恢復，獲得文件被增、刪、改、復制前的痕跡。通過將收集的程序、數據和備份與當前運行的程序數據進行對比，從中發(fā)現(xiàn)篡改痕跡?？赏ㄟ^該計算機的所有者，或電子簽名、密碼、交易記錄、回郵信箱、郵件發(fā)送服務器的日志、上網IP等計算機特有信息識別體，結合全案其它證據進行綜合審查。注意該計算機證據要同其它證據相互印證、相互聯(lián)系起來綜合分析。同時，要注意計算機證據能否為偵破該案提供其它線索或確定可能的作案時間和罪犯。

4） 證據歸檔。標明數據重建犯罪過程：入侵的時間、使用的IP地址、修改的文件、增加的文件（后門、木馬、病毒等）、刪除的文件、下載和上載的文件等；打印對目標計算機系統(tǒng)的全面分析結果，包括所有的相關文件列表和發(fā)現(xiàn)的文件數據，然后給出分析結論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結構，數據和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發(fā)現(xiàn)的其他相關信息。

3 計算機取證的技術和存在的問題

3.1 計算機取證的技術

計算機取證技術可分為靜態(tài)取證和動態(tài)取證，由于計算機系統(tǒng)應用的環(huán)境不同，有些受攻擊的計算機系統(tǒng)可以中止所有進程，交由取證人員進行取證，這種取證的叫靜態(tài)取證；為了偵查工作的需要，或者網絡系統(tǒng)實時性要求高等特殊需要，某些系統(tǒng)不允許中斷運行，則必須在發(fā)生攻擊的過程中，在不影響系統(tǒng)核心應用的情況下，跟蹤取證，這種取證的方法叫動態(tài)取證。常用技術有：

1） 數據恢復技術。對破壞和刪除的數據要進行有效恢復，才能從中發(fā)現(xiàn)蛛絲馬跡。一般來說，即使是將硬盤數據刪除并清空回收站，數據還仍然保留在硬盤上，只是硬盤表中相應文件的文件名被破壞，只要該位置沒有被重新寫入數據，原來的數據就可以恢復出來?？梢酝ㄟ^類似Recover NT這樣的程序，在所有驅動器軟盤、硬盤或網絡驅動器中查找、恢復數據。

2） 數據備份技術。使用磁盤映像拷貝等數據備份的辦法，將被攻擊機器的磁盤原樣復制一份，其中包括磁盤的臨時文件、交換文件以及磁盤未分配區(qū)等。然后對復制的磁盤進行操作。

3） 磁盤后備文件、鏡像文件、交換文件、臨時文件和記錄文件分析技術。軟件在運行過程中會產生一些臨時文件，可以用NORTON等軟件對系統(tǒng)區(qū)域的重要內容形成鏡像文件，以及BAK、交換文件、SWP等。要注意對這些文件結構的分析，并掌握其組成結構。

4） 磁盤特殊區(qū)域中的殘留數據分析技術。磁盤特殊區(qū)域，包括未分配的磁盤空間和SLACK空間。這些特殊區(qū)域中可能含有先前文件遺留下來的有用的證據信息。

3.2 取證存在的問題

計算機取證技術是相關法律法規(guī)賴以實施的基礎，是我國全面實現(xiàn)信息化的重要技術之一，但現(xiàn)在還存在以下問題：

1） 計算機取證涉及到磁盤分析、加密、數據隱藏、日志信息發(fā)掘、數據庫技術、介質的物理性質等多方面的知識，取證人員除了會使用取證工具外，還應具備綜合運用多方面知識的能力。

2） 在取證方案的選擇上應結合實時取證和事后取證兩種方案，以保證取證的效果，因此可以將計算機取證融合到入侵檢測等網絡安全工具中，進行動態(tài)取證。這樣，整個取證過程將更加系統(tǒng)并具有智能性。

3） 計算機取證只是一種取證手段，并不是萬能的，因此計算機取證需與常規(guī)案件的取證手段相結合，比如詢問當事人、保護現(xiàn)場等，從而有效打擊計算機犯罪。

4） 目前還沒有一套評價標準和取證工作的操作規(guī)范，使得取證結果的可信性受到質疑。

4 結束語

盡管計算機取證技術已經得到了一定的發(fā)展，然而隨著計算機技術及計算機犯罪的發(fā)展，現(xiàn)有的取證技術已經不能滿足打擊犯罪的要求；同時，計算機理論和技術的發(fā)展也影響著計算機取證技術的發(fā)展，使得目前計算機取證技術呈現(xiàn)出領域擴大化、學科融合化、標準化、智能化等發(fā)展趨勢。

參考文獻：

[1] 錢桂瓊.計算機取證的研究與設計[J].計算機工程，2002，23（6）：35-38.

[2] 許榕生.計算機取證概述[J].計算機工程與應用，2001，25（2）：56-59.

[3] 張斌.計算機取證有效打擊計算機犯罪[J].網絡安全技術與應用，2004，24（7）：22-25.

[4] 邢鈞.淺談計算機取證技術及存在的困難[J].中國人民公安大學學報，2003，25（6）：48-50.

[5] 丁麗萍.論計算機取證的原則和步驟[J].中國人民公安大學學報（自然科學版），2005（1）.

[6] 陳祖義，龔儉，徐曉琴.計算機取證的工具體系[J].計算機工程 ，2005（5）.

[7] 梁錦華，蔣建春，戴飛雁，卿斯?jié)h.計算機取證技術研究[J].計算機工程 ，2002（8）.