吳惠庶

摘要：互聯(lián)網(wǎng)的快速發(fā)展促進了電子信息時代的到來，這是一個全球信息網(wǎng)絡共享及肆意傳播的互聯(lián)網(wǎng)系統(tǒng)上的時代，如此開放性、包容性、廣泛性極強的網(wǎng)絡系統(tǒng)必然會隱藏著巨大的威脅——信息安全問題，將會給國家、社會乃至大量的網(wǎng)友帶來不可估量的損失。因此，建立健全保障信息安全的法律法規(guī)勢在必行，保障信息安全、網(wǎng)絡取證或者是電子證據(jù)獲取的技術也應運而生，電子證據(jù)獲取的技術發(fā)展將直接影響計算機技術的發(fā)展以及引發(fā)高端科技犯罪行為。文章基于網(wǎng)絡協(xié)議的分析進行了電子證據(jù)獲取的研究。

關鍵詞：網(wǎng)絡協(xié)議；電子證據(jù)獲取；入侵檢測

1 電子證據(jù)概述以及獲取的難度

1.1電子證據(jù)概述

電子汪據(jù)由于其表面的多樣性以及內(nèi)在的無形的特點，加之當今電子信息技術的快速發(fā)展，以致于一度無電子證據(jù)的一個準確定義。我國對電子證據(jù)的定義也不統(tǒng)一，大致分為廣義和狹義兩種，廣義上的電子證據(jù)認為其功能主要是作為證據(jù)使用的一切電子形式的材料或者文本，而狹義上認為電子證據(jù)不過是高端科技犯罪分子在計算機亦或是網(wǎng)絡中留下的犯罪記錄。電子證據(jù)具有以下幾個特點：（l）易破壞性，因為其在虛擬的互聯(lián)網(wǎng)系統(tǒng)中非常容易由于修改、丟失、設備故障、病毒等破壞形式而導致電子證據(jù)的毀滅。（2）無形性，仍然是處于虛擬的互聯(lián)網(wǎng)體系中，人們不能很直觀地直視電子證據(jù)，并且一些高端科技犯罪，其電子證據(jù)都不是以某一種形式存在，必須通過一定的技術才可以進行獲取。（3）高科技性，互聯(lián)網(wǎng)技術相關的人才永遠都是最匱乏的，黑客預防永遠處于警惕狀態(tài)等，無不反映出其高科技性質(zhì)。正基于此3個特點，筆者認為，電子證據(jù)就是在互聯(lián)網(wǎng)領域犯罪分子留下的一切能夠證明其犯罪的一切電子形式的材料[1]。

1.2電子證據(jù)獲取的幾點難度

1.2.1網(wǎng)絡犯罪難以發(fā)現(xiàn)并證據(jù)難以找到

隨著計算機技術的快速發(fā)展，犯罪分子的技術水平直接決定了電子證據(jù)獲取的難度，高科技的網(wǎng)絡犯罪可以通過互聯(lián)網(wǎng)相對隱蔽的方式進行或者只是在網(wǎng)絡內(nèi)部進行盜取、竊聽信息等，此類的犯罪行為十分惡劣，但卻不會對本身的網(wǎng)絡系統(tǒng)或者是硬件造成影響，因而很難被發(fā)現(xiàn)，即使發(fā)現(xiàn)后犯罪分子也可以及時銷毀證據(jù)。

1.2.2電子證據(jù)與犯罪場地直接聯(lián)系

即使解決了犯罪分子的犯罪事實，很多時候卻無法進行犯罪分子的及時抓捕，因為他們的犯罪只是在網(wǎng)上，這與其本身所處的位置沒有任何關系，他只需要一臺電腦和互聯(lián)網(wǎng)就可以操作一切，這也是高科技犯罪的特點之一，就算是通過一些高端科學技術定位到犯罪分子所處位置，但由于地理環(huán)境及各種條件的限制，實施抓捕的時間有限，等找到作案地點時候，犯罪分子早己逃之天天。

1.2.3技術障礙與相關經(jīng)驗不足

公安警官是人民的守衛(wèi)者，但大多數(shù)不可能十分熟悉電子證據(jù)獲取的高端技術，這也給公安警官造成了很大麻煩，有了豐富的經(jīng)驗卻沒有技術，而有技術的人員卻很少有過抓捕網(wǎng)絡犯罪分子的經(jīng)驗，網(wǎng)絡公安警察隊伍的建設難度大、過程慢與當前的公安警官差別很大，電子證據(jù)獲取技術是建立在計算機網(wǎng)技術的基礎之上的。因此，電子證據(jù)獲取技術永遠都是落后于計算機網(wǎng)絡技術的發(fā)展，這也就間接導致了電子證據(jù)獲取技術很難有大的突破。

2 電子證據(jù)獲取技術

電子證據(jù)的獲取技術主要是指對犯罪分子在互聯(lián)網(wǎng)領域犯罪時留下的一切電子形式的證據(jù)的獲取，一般分為兩種：計算機取證和手機取證。計算機取證主要包含移動存儲介質(zhì)的數(shù)據(jù)獲取、電子郵件存儲數(shù)據(jù)獲取、在線數(shù)據(jù)的獲取和計算機硬盤數(shù)據(jù)獲?。欢謾C取證主要包括當前流行的普通手機取證和智能機取證。電子證據(jù)的獲取技術方法主要有數(shù)據(jù)獲取技術（即對數(shù)據(jù)的篡改、修復和提取）和反取證技術（即對電子證據(jù)進行刪除、毀滅的方式使得取證工作失去意義）[2]。

2.1數(shù)據(jù)獲取技術

數(shù)據(jù)獲取技術主要是指通過應用并行技術對犯罪分子的證據(jù)數(shù)據(jù)以及被毀滅亦或是被篡改的證據(jù)進行高效而準確地獲取。并行技術主要是采用串行工作方式提高計算機硬盤的讀寫效率以及計算機的靜態(tài)數(shù)據(jù)分析，而電子取證難度較大一方面很重要的原因就是隨著計算機內(nèi)存逐漸變大，取證的過程、效率變得越來越慢，只有在靜態(tài)數(shù)據(jù)分析完成以后才可以進行計算機的動態(tài)取汪過程，而且取證過程非常復雜而繁瑣，人為干擾的因素太多。同時，數(shù)據(jù)獲取技術分為兩路方向即解決硬盤數(shù)量多、內(nèi)存大、復制慢等諸多硬件問題的分析與多路硬盤復制并行技術，以及可以降低分析時間的關鍵字搜索與復制并行技術，多路硬盤復制并行技術主要是通過結(jié)合軟硬件，實現(xiàn)多路硬盤復制同步進行并且多路硬盤相互不關聯(lián)、不干擾，總是處于高速運行的狀態(tài)下，解決了復制工作慢的問題。而取證過程慢還有一個原因就是在硬盤中或者是網(wǎng)絡系統(tǒng)中搜索關鍵字的速度慢，關鍵字在硬盤的搜索并不是有規(guī)律而是按部就班地全盤搜索，這樣會浪費大量的時間在搜索一些沒有用的信息上面，而關鍵字搜索與復制并行技術恰好就可以解決這一問題，關鍵字搜索與復制并行技術是可以在硬盤進行多路復制的同時也進行關鍵字的搜索，節(jié)約了大量的時間，提高了電子取證的效率。

2.2反取證技術

反取證技術主要是指犯罪分子針對公安部門對其進行的電子取證的反抗，應該說反取證技術是伴隨著取證技術發(fā)展的，或者說它們是相互依存的，因為它們總是處于相互克制、不斷進步的系統(tǒng)中，其實現(xiàn)的反取證的方式也很常見，就是通過刪除、篡改以及隱藏他們的犯罪證據(jù)，使得公安機關無法或者是短時間不能進行電子證據(jù)的獲取。因此，研究反取證技術也非常重要，通過反取證技術可以進一步了解犯罪分子進行毀滅證據(jù)的方式，也就進一步對取證技術進行改革與發(fā)展，反取證技術涉及的領域比較大，因而技術含量也相當高，但卻不得不對反取證技術進行研究，因為其是電子證據(jù)獲取、打擊犯罪分子有力的技術方法。

3 基于網(wǎng)絡協(xié)議的電子證據(jù)獲取

網(wǎng)絡協(xié)議分析是網(wǎng)絡入侵檢測系統(tǒng)中的一種非常重要的技術，網(wǎng)絡協(xié)議的物理地址以及IP地址是非常規(guī)則的，若想在操作中進行數(shù)據(jù)的盜取或者篡改，就必然會盜用他人的IP地址或者物理地址，而這個過程是可以通過計算機看到網(wǎng)絡的物理地址以及IP地址被盜取的時間，這樣也可以進一步對網(wǎng)絡盜用者進行判斷，而這些都可以通過網(wǎng)絡協(xié)議分析得到。網(wǎng)絡協(xié)議分析入侵檢測系統(tǒng)主要有兩種技術，即模式匹配技術和基于協(xié)議分析的檢測技術，模式匹配技術主要用于入侵的檢測，通過從網(wǎng)絡中讀取數(shù)據(jù)包而獲得字節(jié)，同時在特征庫中獲取字節(jié)相對比，對比的字節(jié)相同，則代表入侵檢測到了；若不相同，則還要繼續(xù)進行字節(jié)的提取。而基于協(xié)議分析的檢測技術具有一定的層次性，因而可以對網(wǎng)絡協(xié)議進行層層檢測與分析，相對于模式匹配技術來說，大大降低了計算機計算量，從而提高了效率。

本文在基于網(wǎng)絡協(xié)議的基礎上進行電子證據(jù)獲取，提出了一種新的研究方案，即根據(jù)網(wǎng)絡協(xié)議的高度嚴謹性和規(guī)則性，可以對網(wǎng)絡協(xié)議進行層層檢測與分析，從而獲得數(shù)據(jù)包中的大量的信息，如數(shù)據(jù)類型與流向、IP地址等，再將數(shù)據(jù)包的獲取結(jié)果與網(wǎng)絡數(shù)據(jù)結(jié)合實現(xiàn)對其進行分類，則可以實現(xiàn)對電子汪據(jù)的初步判斷，在分析和判斷結(jié)束后即可以對電子證據(jù)進行保存和獲取，最終實現(xiàn)電子證據(jù)獲取。電子證據(jù)獲取的過程大致分為網(wǎng)絡數(shù)據(jù)包捕獲模塊、協(xié)議分析模塊、竊取行為判別模塊、響應模塊（報警、阻斷、生成日志）等4個主要模塊。網(wǎng)絡數(shù)據(jù)包捕獲模塊主要是應用于捕捉目標機數(shù)據(jù)包并對其進行分析獲取相關信息，使得獲取的電子證據(jù)更加全面和準確；協(xié)議分析模塊即上文所介紹的網(wǎng)絡協(xié)議分析入侵檢測系統(tǒng)的機制，逐層進行數(shù)據(jù)包的分析和解析，使其獲得數(shù)據(jù)類型與流向、IP地址等，并且經(jīng)網(wǎng)絡協(xié)議分析后，能實現(xiàn)數(shù)據(jù)包重組，減少特征值匹配的計算量，還原整個網(wǎng)絡行為；竊取行為判別模塊主要是針對常見的網(wǎng)絡犯罪模式，是根據(jù)協(xié)議分析模塊分析出的數(shù)據(jù)進行進一步的分析和判斷；響應模塊主要是根據(jù)竊取行為判斷模塊的判斷結(jié)果及時作出響應，識別出是犯罪行為立即進行電子證據(jù)的取證，并且這一過程是實時進行的，只有這樣才能更加全面準確地實現(xiàn)電子證據(jù)的獲取。

本文提出了電子取證的研究方案，并針對其進行方案的設計，給出電子汪據(jù)取汪的工作流程，對于系統(tǒng)中各個模塊的功能進行簡介。

4結(jié)語

本文在研究了電子證據(jù)的國內(nèi)外發(fā)展現(xiàn)狀以及掌握相關知識的基礎上，探究了電子證據(jù)獲取的方法和技術，分析了其在電子證據(jù)獲取中應用的優(yōu)缺點，以及當代電子證據(jù)獲取所存在的困境及問題，隨后提出基于網(wǎng)絡協(xié)議分析的電子證據(jù)獲取方案，經(jīng)分析可以有效地實現(xiàn)快速檢測和獲取電子證據(jù)，當然本方案也有一定的不足，還會繼續(xù)深入研究。

[參考文獻]

[1]許康定電子證據(jù)基本問題分析[J]法學評論，2002 （3）：94-99.

[2]李學軍電子數(shù)據(jù)與證據(jù)[J]證據(jù)學論壇，2001（2）：433-463