葉碧蝦

（漳州職業(yè)技術學院 計算機工程系，福建 漳州 363000）

計算機犯罪取證局限性的研究

葉碧蝦

（漳州職業(yè)技術學院 計算機工程系，福建 漳州 363000）

隨著科技的進步，計算機的應用日趨廣泛，但同時計算機犯罪也越來越嚴重。計算機犯罪屬于時代的產(chǎn)物，是伴隨著網(wǎng)絡技術、信息技術的發(fā)展而滋生的，這是一種具有較高技術性的犯罪行為，為公安機關的取證工作增加了難度。分析當前計算機犯罪取證的相關含義與技術，對其局限性進行了研究。

計算機；犯罪取證；技術；局限性

計算機技術的應用，為人們的工作與生活提供了諸多便利條件，成為人們工作、娛樂、信息傳遞、數(shù)據(jù)存儲的重要工具；但同時也為一些不法分子提供了高科技犯罪的途徑與方法。為了破獲這種高科技犯罪案件，公安機關必須向人民法院提供嫌疑人有力的犯罪證據(jù)，所以針對計算機犯罪，公安機關的取證工作成為破案的關鍵。但是，在實際取證過程中存在著一定的局限性，對此本文將進行深入的探討。

1 計算機犯罪取證分析

現(xiàn)階段對于計算機犯罪取證的問題尚未進行嚴格的定義，其實類似于普通案件，就是一個犯罪證據(jù)的獲取、保存、分析與出示的法律規(guī)范，不過是因為通過計算機犯罪，從而增加了公安機關取證的難度。目前計算機取證主要有以下幾個環(huán)節(jié)：

1.1 案件受理

這個環(huán)節(jié)非常重要，公安機關在接到報警后要對案情有深入的了解，并對相關的證據(jù)進行采集獲取。這個環(huán)節(jié)是破獲案件的重要基礎，在調(diào)查、記錄過程中要認真、仔細，深入發(fā)掘潛在的違法犯罪的電子證據(jù)。

1.2 做好現(xiàn)場保護

對犯罪現(xiàn)場的計算機實施管控，以免受到破壞，維護計算機系統(tǒng)的原有狀態(tài)，做好相關設備、系統(tǒng)的保護工作，在現(xiàn)場的作案工具中查找線索痕跡，操作的時候不要對現(xiàn)場的系統(tǒng)、設備、數(shù)據(jù)等進行更改，防止病毒感染以及證據(jù)被破壞的現(xiàn)象發(fā)生。

1.3 證據(jù)的采集

電子證據(jù)是對違法犯罪行為進行制裁的重要依據(jù)，但是電子證據(jù)又具有高技術性與無形性的特點，容易被篡改和毀壞。電子證據(jù)主要包含使用人的賬號信息、IP地址、使用時間，還有用于犯罪的合同、協(xié)議、交易信息、軟件程序、屏幕截圖等等，內(nèi)容非常廣泛。為了保證電子證據(jù)的真實有效，通常需要將整個存儲工具進行封存，并由專業(yè)部門對數(shù)據(jù)做技術上的還原處理。

1.4 電子證據(jù)的固定

所謂的固定就是為了保證電子證據(jù)的完好與真實。要對原始的數(shù)據(jù)資料進行備份，要選擇安全的存儲工具，防止數(shù)據(jù)信息被損壞或消失。電子證據(jù)經(jīng)備份后要做好相應的保管工作，切勿靠近磁場、易受干擾的地方，以免出現(xiàn)消磁或是無法使用的狀況。還要具備良好的環(huán)境，防止受潮、損壞。非專業(yè)人員或是相關人員不得隨意動用。

1.5 電子證據(jù)分析

在做好電子證據(jù)的備份后才可以進行數(shù)據(jù)的分析，確保數(shù)據(jù)的完好，必要的時候要重新進行備份。對電子證據(jù)進行分析是通過備份進行的，通過非破壞性分析，將被刪除的、篡改的、隱藏的數(shù)據(jù)信息盡最大可能恢復，利用這些恢復好的數(shù)據(jù)搜尋犯罪的證據(jù)。

1.6 電子證據(jù)的存檔

為了方便在法庭審理的時候提交證據(jù)，需要對電子證據(jù)及分析結(jié)果做分類歸檔處理，主要涉及到對電子證據(jù)的檢查內(nèi)容，比如犯罪時間、存儲工具分析、電腦系統(tǒng)等，證據(jù)搜集過程中信息與系統(tǒng)完好程度、犯罪證據(jù)的整理分析結(jié)果，以及評估分析報告之類的。

2 電子證據(jù)的取證技術

上述分析了電子證據(jù)的主要來源及形式，那么如何將這些犯罪證據(jù)從計算機系統(tǒng)中查找出來，是需要通過專業(yè)的技術手段來完成的。通常所用的提取證據(jù)的技術可分為兩類：靜態(tài)取證和動態(tài)取證。

2.1 靜態(tài)取證

一般計算機犯罪都是通過計算機、作案工具、數(shù)據(jù)儲存設備來完成，在作案過程中會留下很多犯罪證據(jù)，因此可以把計算機當作作案現(xiàn)場，例如平時我們所使用的路由器、安全防火墻等設備都會自動記錄一些信息，通過先進的技術將這些信息數(shù)據(jù)提取出來。在這個過程中所用到的技術有復原計算機技術、加鎖解密技術等。

2.2 動態(tài)取證

動態(tài)取證是將取證技術與防火墻技術融合起來，利用網(wǎng)絡防御技術和侵入檢測系統(tǒng)漏洞，對犯罪人員的犯罪過程進行監(jiān)控，并及時截獲信息并進行分析，了解犯罪人員的意圖，然后及時制定應對措施與抓捕方案。對獲取的各種犯罪證據(jù)進行保存、鑒定、存檔，以方便為法庭審判提供必要證據(jù)。動態(tài)取證主要是利用網(wǎng)絡信號來完成，所用到的技術主要有IP獲取、MAC硬件地址獲取、跟蹤和識別技術、身份證鑒定技術，還有網(wǎng)絡監(jiān)聽、漏洞掃描等。

3 計算機犯罪取證的局限性

3.1 缺少軟件技術支持

在搜集犯罪證據(jù)的時候需要用到很多專業(yè)的軟件與設備，比如對數(shù)據(jù)信息的恢復，就需要相當專業(yè)的技術力量才能實現(xiàn)，不過就目前現(xiàn)在來看，我國在這方面的投入還很欠缺，研發(fā)力量也不夠，多數(shù)軟件都是引進外國的。雖然在技術上比較先進，但是國內(nèi)尚無法律認可的軟件，并且軟件的源代碼都是經(jīng)過技術處理的，不能讓我們獲取。所以，在軟件方面我們亟待加強。隨著網(wǎng)絡技術的不斷完善，針對計算機犯罪，執(zhí)法部門應該不斷提高技術水平，制定相應的措施，加強電子證據(jù)取證軟件的研究，為辦案人員取證提供各種有利條件。

3.2 犯罪人員利用科技手段阻礙取證

針對犯罪證據(jù)的搜集方法有很多，技術也比較先進，但是犯罪人員也同樣會利用高科技手段擾亂執(zhí)法人員取證工作。他們會利用科技方法對數(shù)據(jù)進行清除、隱藏、加密、消除痕跡等等。

首先是清除，比如在2006年的“熊貓燒香”病毒和2007年“灰鴿子”木馬程序，犯罪人員不光是清除了數(shù)據(jù)信息，并將計算機CPU寄存器、硬盤以及內(nèi)存中的數(shù)據(jù)給全部清除了，給辦案人員取證造成極大困擾。

其次是犯罪人員還會通過隱藏的方法將重要的無法刪除的數(shù)據(jù)信息給隱藏起來，像更改文件后綴的方法，比如將.doc改成.jpg，更改了文件的格式，當辦案人員搜集證據(jù)的時候會誤認為是一些圖片，其實是沒有圖像的Word文檔，在隱藏數(shù)據(jù)的時候還經(jīng)常使用隱寫術技術，比如通過DOS中的Copy命令把兩篇文檔組成一個圖片文件，同樣實現(xiàn)了隱藏的目的，然后再將隱藏的文件進行加密處理，更大大增加了搜集犯罪證據(jù)的難度。

對數(shù)據(jù)進行加密處理也是犯罪人員經(jīng)常用到的一種方法，是通過加密軟件將一些重要的數(shù)據(jù)信息加密后儲存起來。當辦案人員打開這些經(jīng)過加密處理的文件的時候會發(fā)現(xiàn)很多亂碼，遇到這種情況只能先進行解碼，然后再恢復數(shù)據(jù)。

還有些犯罪人員利用木馬程序來獲取計算機的超級用戶權限，然后將系統(tǒng)中的日志信息刪除，并清除痕跡。還有些高科技犯罪人員利用LiveCD、U盤啟動盤等工具進行作案，這些工具在斷電后會自動消失，不會留下痕跡，更加增大了取證的難度。

3.3 其他方面的局限性

除了上述局限性外，在搜集電子證據(jù)的時候還有些其他方面的因素影響到取證工作。比如我國公安部門的相關規(guī)定中明確了計算機犯罪現(xiàn)場獲取證據(jù)的基本原則，但是卻缺少相應的規(guī)范，這樣就造成在實際工作中取證人員出現(xiàn)不科學取證的問題，使得電子證據(jù)的可信度大打折扣，還影響到證據(jù)的有效性。計算機犯罪和其他的犯罪方式方法都有很大區(qū)別，其主要工具就是計算機與網(wǎng)絡，所產(chǎn)生的各種犯罪證據(jù)只有在特定的環(huán)境中還能被發(fā)現(xiàn)。作為辦案人員無法完全還原犯罪人員當時的環(huán)境，因此對于計算機犯罪這種高科技犯罪來說，必須嚴格的按照相應的辦案程序進行，對電子證據(jù)要及時進行保護，防止犯罪人員從中破壞，加大辦案的難度。

4 計算機取證技術的展望

計算機取證技術是由于計算機犯罪的出現(xiàn)而發(fā)展起來的?，F(xiàn)在計算機犯罪所采用的技術和手段越來越多樣化，這對我國的計算機取證技術提出了更高的要求與挑戰(zhàn)，今后我們要加入更多的先進技術，比如反向跟蹤、入侵鎖定和數(shù)據(jù)挖掘等。可以把取證技術融入到檢測系統(tǒng)或是防火墻中。當然，隨計算機犯罪目標的變化，計算機取證技術也應更趨向于專業(yè)化與智能化，最后建立更加標準化的取證體系，以此提高計算機取證的工作效率。

5 結(jié)語

計算機犯罪行為是隨著計算機技術、網(wǎng)絡技術的發(fā)展而出現(xiàn)的特定產(chǎn)物，電子證據(jù)的搜集、整理、分析、保護等工作也是一個比較新的領域，需要與時俱進，不斷提高技術水平，不給犯罪分子可乘之機。在電子證據(jù)搜集方面我國起步較晚，這更反應出對反取證技術研究的緊迫性。通過本文的分析我們了解到當前計算機犯罪取證的局限性，因此需要加大對相應的軟件與設備的研發(fā)，應用更加先進的技術，保證電子證據(jù)的有效性，為法庭審判提供更多的有利的證據(jù)。同時還要不斷完善取證工作管理制度，規(guī)范取證行為，提高電子證據(jù)的可信度與有效性。作為辦案人員也要不斷學習，在工作中總結(jié)經(jīng)驗，嚴格要求自己，這將是消除計算機犯罪證據(jù)局限性的重要方法。

［1］陳龍，麥永浩，黃傳河等.計算機取證技術［M］.武漢：武漢大學出版社，2007：1-5.

［2］陳克非，黃征.信息安全技術導論［M］.北京：電子工業(yè)出版社，2007：1-5.

［3］陳家林.外國刑法通論（第1版）［M］.北京：中國人民公安大學出版社，2009.

［4］劉品新.電子取證的法律規(guī)制［M］.北京：中國法制出版社，2010.

［5］王強.計算機犯罪相關問題的思考［J］.計算機與軟件，2013（5）：40-41.

［6］肖茜瑩.計算機犯罪探析［J］.吉林公安高等?？茖W校學報，2011（3）：82-84.

［7］陳丹.分析與防范計算機犯罪［J］.辦公自動化，2012（4）：37-38.

［8］趙騫羽.網(wǎng)絡時代計算機犯罪的概念和特征剖析［J］.咸寧學院學報，2012（7）：139-140.

（責任編輯：季 平）

Research on the limitation of computer crime forensics

YE Bi-xia
（Department of Computer Engineering，Zhangzhou Institute of Technology，Zhangzhou 363000，China）

With the development of science and technology，the application of computer is becoming more and more extensive，but at the same time，computer crime is becoming more and more serious.The computer crime belongs to the product of the times，which is a kind of crime with high technology，and it is a kind of criminal behavior that is highly technical，and it is difficult for the public security organs.This paper mainly analyzes the current computer crime forensics related to the meaning and technology，its limitations are summarized.

Computer；Crime forensics；Technology；Limitation

TP399

A

1673-1417（2015）03-0001-04

10.13908/j.cnki.issn1673-1417.2015.03.0001

2015—07—12

葉碧蝦（1980—），女，福建龍海人，講師，研究生，研究方向：計算機軟件技術。