李倩

摘要：計算機(jī)取證技術(shù)屬于計算機(jī)安全技術(shù)的一部分，能夠利用計算機(jī)針對信息進(jìn)行識別，實(shí)現(xiàn)對數(shù)據(jù)獲取、保存、傳輸、分析、認(rèn)證以及提交，保證最終呈現(xiàn)出的數(shù)據(jù)文件被法庭認(rèn)可。在此過程中需詳細(xì)對計算機(jī)當(dāng)中的數(shù)據(jù)進(jìn)行剖析，進(jìn)而通過計算機(jī)取證的實(shí)現(xiàn)推動各項(xiàng)工作的順利開展。

關(guān)鍵詞：計算機(jī)取證;發(fā)展趨勢;法庭認(rèn)可

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）20-0184-02

在計算機(jī)技術(shù)迅速發(fā)展背景下，信息傳播速度更快，網(wǎng)絡(luò)犯罪問題逐漸增加，網(wǎng)站受到攻擊的次數(shù)遞增趨勢明顯，計算機(jī)出現(xiàn)被入侵的數(shù)目較大，因此計算機(jī)網(wǎng)絡(luò)安全問題受到了越來越多人的關(guān)注。但是計算機(jī)網(wǎng)絡(luò)在使用時具有虛擬性與缺乏穩(wěn)定性特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)犯罪難以找到充分、確切，并且說服力較強(qiáng)的證據(jù)，在此情況下，便應(yīng)注重計算機(jī)取證相關(guān)技術(shù)的運(yùn)用[1]。

1 計算機(jī)取證概念與特點(diǎn)

計算機(jī)取證的另一個名稱為計算機(jī)法醫(yī)學(xué)，需通過計算機(jī)辨析方式收集和分析計算機(jī)當(dāng)中的電子數(shù)據(jù)，然后對其進(jìn)行轉(zhuǎn)化，使其使用時法庭能夠接受，保證其說服力[2]。計算機(jī)取證過程中使用工作應(yīng)獲得專業(yè)認(rèn)可，防止電子數(shù)據(jù)提取時出現(xiàn)被破壞或者是被修改的情況，進(jìn)而使數(shù)據(jù)客觀性得到充分保證。

與傳統(tǒng)證據(jù)相比，計算機(jī)取證的整個過程信賴程度較高，完整性更明顯，能夠促進(jìn)系統(tǒng)化處理以及運(yùn)維機(jī)制的建立和健全，確保相應(yīng)流程與法律實(shí)際要求相互符。計算機(jī)確證在特點(diǎn)上主要表現(xiàn)在這幾方面：首先，高科技性。在取證過程中，工作部門需掃描證據(jù)、系統(tǒng)取證，并進(jìn)行固定分析，整個過程需運(yùn)用技術(shù)含量高且專業(yè)性強(qiáng)的設(shè)備管控。進(jìn)而確保取證實(shí)效性以及鏈條完整性，進(jìn)而使計算機(jī)技術(shù)在使用時的優(yōu)勢充分發(fā)揮出來，保證信息收集過程的合理性。其次，無形性。計算機(jī)取證和人工取證之間相比，能夠充分運(yùn)用輸出設(shè)備，通過輸出設(shè)備處理數(shù)據(jù)，進(jìn)行對結(jié)果進(jìn)行有效判定，保證取證工作實(shí)施時效性[3]。再次，人機(jī)交互。在的取證時，為了使整個取證過程更加專業(yè)，就應(yīng)保證操作步驟、操作流程的合理性與科學(xué)性，并積極對相關(guān)管理工作進(jìn)行優(yōu)化。在運(yùn)維管理實(shí)施時，需由于專業(yè)人員操作計算機(jī)，使其運(yùn)行的系統(tǒng)受到人為因素過多影響。數(shù)據(jù)脆弱。由于電子數(shù)據(jù)常常會出現(xiàn)被修改問題，并不受時空約束，修改之后并不會有明顯痕跡留下，這在一定程度上會將數(shù)據(jù)丟失概率加大[4]。

2 取證技術(shù)步驟具體分析

首先，保護(hù)電腦和發(fā)現(xiàn)信息。在進(jìn)行計算機(jī)取證過程中，最先需要做的便是對可疑計算機(jī)當(dāng)中的數(shù)據(jù)進(jìn)一步確定，因此需做好對計算機(jī)的保護(hù)工作，防止計算機(jī)出現(xiàn)重新啟動或者是運(yùn)行應(yīng)用程序的情況。潛在數(shù)據(jù)可能在閑散空間以及交換文件中，在將計算機(jī)重啟或者是運(yùn)行系統(tǒng)情況下，會對使計算機(jī)將證據(jù)覆蓋或者是出現(xiàn)重寫問題，這主要是由于啟動時可能會將已經(jīng)存在或者是已經(jīng)創(chuàng)建的文件打開，導(dǎo)致原先數(shù)據(jù)被覆蓋或者是被擦掉。在獲得物理證據(jù)情況下，之后重要工作便是發(fā)現(xiàn)信息，案例不同情況下往往在發(fā)現(xiàn)信息時的要求會有所不同，部分情況下只需發(fā)現(xiàn)圖片、文件、郵件便可，多數(shù)情況下需將計算機(jī)之前工作中涉及的細(xì)節(jié)性問題進(jìn)行詳細(xì)呈現(xiàn)。為了使原始數(shù)據(jù)得到充分保護(hù)，在不存在特殊需要時，工作中發(fā)現(xiàn)的原始證據(jù)都需進(jìn)行物理拷貝。與犯罪證據(jù)相關(guān)文件有很大可能被刪除，因此往往需運(yùn)用數(shù)據(jù)恢復(fù)方式將文件找回，同時包通訊記錄或者是其他重要線索[5]。實(shí)際上當(dāng)前運(yùn)用的取證軟件能夠?qū)崿F(xiàn)對數(shù)據(jù)較好的恢復(fù)。并且包含一些文件屬性獲取以及檔案處理，獲取數(shù)據(jù)情況下，專業(yè)人員需對關(guān)鍵字、文件屬性、數(shù)字摘要等進(jìn)行詳細(xì)分析，并對日志進(jìn)行系統(tǒng)搜索，對文件進(jìn)行有效解密等等，但是就當(dāng)前社會發(fā)展現(xiàn)狀來講，并不具備綜合分析數(shù)據(jù)的工具，因此對于數(shù)據(jù)結(jié)果分析驗(yàn)證主要依賴于相關(guān)專業(yè)人員。工作人員在工作中應(yīng)對信息系統(tǒng)有充分認(rèn)識與了解，熟悉計算機(jī)操作、組成、數(shù)據(jù)庫、分布計算、協(xié)議等，在此基礎(chǔ)上才能保證工作實(shí)際效果。

其次，運(yùn)用物理取證方式。物理取證屬于取證工作在實(shí)施時的基礎(chǔ)。在獲取證據(jù)過程中重要工作便是保證原始證據(jù)不受到影響與破壞。就犯罪證據(jù)來講，很可能在數(shù)據(jù)文件、系統(tǒng)日志、交換區(qū)、寄存器中、打印機(jī)緩存、隱藏文件等位置，因此在對數(shù)據(jù)進(jìn)行搜集時，想要將所有數(shù)據(jù)搜集到比較困難，在關(guān)鍵時需做到有所取舍。在計算機(jī)受到黑客入侵情況下，為了避免證據(jù)被犯罪者銷毀，應(yīng)將電源馬上關(guān)掉。如果計算機(jī)屬于作案的工具，則應(yīng)該將已經(jīng)緩存的數(shù)據(jù)保存好。

再次，保存和傳輸證據(jù)。在取證過程中應(yīng)保證證據(jù)沒有受到損壞，避免在收集證據(jù)和分析證據(jù)時不被法庭接受，需確保數(shù)據(jù)證據(jù)與原始證據(jù)之間的一致性。在進(jìn)行數(shù)據(jù)證據(jù)傳輸時應(yīng)做到細(xì)致謹(jǐn)慎，這主要是由于傳輸過程中很容易出現(xiàn)損壞的問題[6]。在處理不夠恰當(dāng)情況下，很容易出現(xiàn)損壞情況，尤其是計算機(jī)硬盤，在硬盤證據(jù)受損影響下，將難以對數(shù)據(jù)進(jìn)行有效讀取，數(shù)據(jù)也進(jìn)不具有證物價值。因此在對數(shù)字證據(jù)進(jìn)行傳輸時，應(yīng)保證傳輸時的安全性。

最后，分析證據(jù)與提交證據(jù)。分析數(shù)據(jù)的主要目的在于從證據(jù)當(dāng)中獲得有效且合法的內(nèi)容，在此過程中需對主機(jī)當(dāng)中數(shù)據(jù)證據(jù)以及網(wǎng)絡(luò)中的數(shù)字證據(jù)進(jìn)行有效分析，就主機(jī)數(shù)據(jù)來講，應(yīng)盡可能將已經(jīng)刪除的文件恢復(fù)出來，并將操作系統(tǒng)的以及應(yīng)用程序當(dāng)中使用的臨時文件、隱藏文件最大限度顯示出出來。就網(wǎng)絡(luò)數(shù)據(jù)來講，需對網(wǎng)絡(luò)連接進(jìn)行重建，對入侵證據(jù)進(jìn)行分析，并對入侵證據(jù)進(jìn)行提取。提取證據(jù)之后需在法庭中對其進(jìn)行提交，在提交過程中應(yīng)嚴(yán)格遵循相關(guān)法律法規(guī)。在此過程中可以通過使用證據(jù)監(jiān)督鏈保證證物在收集、分析各個階段中涉及的詳細(xì)信息充分呈現(xiàn)，同時也能記錄證物使用、歸還時間等。

3 反取證技術(shù)在運(yùn)用過程中存在的不足

3.1 工作人員素質(zhì)有待提升

反取證技術(shù)當(dāng)前被廣泛運(yùn)用于各個地區(qū)中，很多地區(qū)在取證時都會使用計算機(jī)技術(shù)，實(shí)現(xiàn)對犯罪活動相關(guān)證據(jù)的有效獲取，但是相關(guān)工作人員在處理細(xì)節(jié)內(nèi)容時仍然有滯后性，在實(shí)際取證時，在發(fā)現(xiàn)罪犯十分依賴于計算機(jī)情況下，則往往能夠使取證工作在開展時更為便利。整個取證過程中對工作人員要求也比較高，需工作人員保證較強(qiáng)精細(xì)化程度，并且技術(shù)在實(shí)際應(yīng)用過程中，需面臨的挑戰(zhàn)也比較多。工作人員在取證中表現(xiàn)出的專業(yè)性會對取證結(jié)果產(chǎn)生直接影響。但是就當(dāng)前社會發(fā)展的現(xiàn)狀來講，針對計算機(jī)取證人員的培養(yǎng)仍然較為滯后，難以滿足社會實(shí)際發(fā)展需求。