史偉奇　何　平

摘要本文簡述了計(jì)算機(jī)取證的概念，分析了計(jì)算機(jī)取證的相關(guān)技術(shù)及取證工具軟件，提出了計(jì)算機(jī)取證專業(yè)的課程體系建設(shè)框架。

關(guān)鍵詞計(jì)算機(jī)取證計(jì)算機(jī)取證專業(yè)課程建設(shè)

1 引言

隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展和Internet規(guī)模的不斷增大，以網(wǎng)絡(luò)系統(tǒng)作為犯罪對象和以計(jì)算機(jī)作為犯罪工具的各類計(jì)算機(jī)犯罪活動(dòng)越來越多，為了打擊這類犯罪，需要對存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備（包括網(wǎng)絡(luò)介質(zhì)）中的電子證據(jù)(Electronic Evidence)進(jìn)行取證，計(jì)算機(jī)取證學(xué)作為計(jì)算機(jī)科學(xué)和法學(xué)的交叉學(xué)科應(yīng)運(yùn)而生。

計(jì)算機(jī)取證是對計(jì)算機(jī)犯罪的證據(jù)進(jìn)行獲取、保存、分析和出示，它實(shí)質(zhì)上是一個(gè)詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過程。

國外十分重視計(jì)算機(jī)取證（Computer Forensics）研究，美國至少有70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室。我國雖然還沒有專門的取證機(jī)構(gòu)，但已在公安部門設(shè)置了專門的網(wǎng)絡(luò)監(jiān)察機(jī)構(gòu)，該機(jī)構(gòu)的一部分職責(zé)是負(fù)責(zé)計(jì)算機(jī)取證工作。

目前，雖然國內(nèi)學(xué)界已在計(jì)算機(jī)取證技術(shù)研究方面作出了積極反應(yīng)，開發(fā)出了一些系統(tǒng)和工具，并且運(yùn)用這些技術(shù)偵破了一些實(shí)際犯罪案例，但由于計(jì)算機(jī)取證工作專業(yè)性要求較高，計(jì)算機(jī)取證專業(yè)人才十分匱乏。據(jù)了解，國內(nèi)各高校都尚未開設(shè)計(jì)算機(jī)取證學(xué)專業(yè)或建立計(jì)算機(jī)取證學(xué)專業(yè)方向。因此，對計(jì)算機(jī)取證專業(yè)（方向）課程設(shè)置的研究，對取證專業(yè)人才的培養(yǎng)已成當(dāng)務(wù)之急，它將在我國高等院校尤其是公安高校的專業(yè)課程設(shè)置中占有重要的地位。

2 計(jì)算機(jī)取證概念

2.1計(jì)算機(jī)取證概述

計(jì)算機(jī)取證專業(yè)資深人士Judd Robins認(rèn)為：計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上。2004年6月，我國公安部11局許建卓博士在西安召開的“第十九次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)”上提出了數(shù)字化證據(jù)學(xué)的概念，闡明了數(shù)字證據(jù)的發(fā)現(xiàn)、固定、提取、分析和表達(dá)等五個(gè)層次的框架學(xué)說。因此，我們可以將計(jì)算機(jī)取證技術(shù)分為證據(jù)發(fā)現(xiàn)技術(shù)（獲取證據(jù)）、證據(jù)固定技術(shù)、證據(jù)提取技術(shù)、證據(jù)分析技術(shù)和證據(jù)表達(dá)技術(shù)五個(gè)方面。

2.2計(jì)算機(jī)取證技術(shù)

證據(jù)的發(fā)現(xiàn)技術(shù)實(shí)際上屬于偵查技術(shù)。根據(jù)計(jì)算機(jī)證據(jù)的來源不同，可以分為網(wǎng)絡(luò)證據(jù)、單機(jī)證據(jù)和相關(guān)設(shè)備證據(jù)的發(fā)現(xiàn)。網(wǎng)絡(luò)證據(jù)的發(fā)現(xiàn)涉及到入侵檢測、網(wǎng)絡(luò)監(jiān)控、蜜罐(網(wǎng))、防火墻、網(wǎng)絡(luò)線索自動(dòng)挖掘技術(shù)等；單機(jī)證據(jù)的發(fā)現(xiàn)主要涉及溯源技術(shù)、數(shù)據(jù)過濾、磁盤鏡像技術(shù)等。

證據(jù)的固定技術(shù)是解決證據(jù)的完整性驗(yàn)證，即通過數(shù)字簽名和見證人簽名等措施保證現(xiàn)場勘察和偵查獲得的數(shù)據(jù)的完整性和真實(shí)性。通常采用的技術(shù)有加密、時(shí)間戳、軟件水印和電子簽名技術(shù)等，它們都可以產(chǎn)生證據(jù)監(jiān)督鏈（Chain of custody）以證實(shí)電子證據(jù)的真實(shí)完整性。

證據(jù)的提取技術(shù)是從眾多未知和不確定的數(shù)據(jù)中找到確定性的東西，一般包括：恢復(fù)——找到被刪除的數(shù)據(jù)、被部分覆蓋以及以特殊方式存儲的殘缺數(shù)據(jù)；過濾——提取出需要分析的數(shù)據(jù)，如專題信息挖掘、軟件殘留痕跡自動(dòng)分析等；解碼——將數(shù)據(jù)表達(dá)成分析人員能夠理解的數(shù)據(jù)，包括解密、隱藏信息的提取、元數(shù)據(jù)解碼、普通編碼數(shù)據(jù)的解碼等。

證據(jù)的分析技術(shù)是通過關(guān)聯(lián)分析證實(shí)信息的存在、信息的來源以及信息傳播途徑，重構(gòu)犯罪行為、動(dòng)機(jī)以及嫌疑人特征。它包括分析計(jì)算機(jī)的類型、采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有無隱藏的分區(qū),有無可疑外設(shè),有無遠(yuǎn)程控制、木馬程序及當(dāng)前計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)環(huán)境；分析開機(jī)、關(guān)機(jī)過程，盡可能避免正在運(yùn)行的進(jìn)程數(shù)據(jù)丟失或存在的不可逆轉(zhuǎn)的刪除程序；分析在磁盤特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù),利用磁盤存儲空閑空間的數(shù)據(jù)分析技術(shù)進(jìn)行數(shù)據(jù)恢復(fù)，獲得文件被增、刪、改、復(fù)制前的痕跡；分析計(jì)算機(jī)的所有者，或電子簽名、密碼、交易記錄、回郵信箱、郵件發(fā)送服務(wù)器的日志、上網(wǎng)IP等計(jì)算機(jī)特有信息識別體，結(jié)合全案其他證據(jù)進(jìn)行綜合審查。

證據(jù)的表達(dá)技術(shù)把對目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析和追蹤結(jié)果進(jìn)行匯總，然后給出分析結(jié)論，標(biāo)明提取時(shí)間、地點(diǎn)、機(jī)器、提取人及見證人,然后以證據(jù)的形式按照合法程序提交給司法機(jī)關(guān)。

2.3計(jì)算機(jī)取證軟件

目前，國際上主要有以下幾種主流計(jì)算機(jī)取證軟件產(chǎn)品。Forensic Toolkit:它是一個(gè)一系列基于命令行的工具，可以幫助推斷Windows NT文件系統(tǒng)中的訪問行為；The Coroner's Toolkit(TCT):它主要用來調(diào)查被“黑”的Unix主機(jī)，并提供了強(qiáng)大的調(diào)查能力,其特點(diǎn)是可以對運(yùn)行著的主機(jī)的活動(dòng)進(jìn)行分析，并捕獲目前的狀態(tài)信息；EnCase:它是一個(gè)完全集成的基于Windows界面的取證應(yīng)用程序，其功能包括：數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、數(shù)據(jù)預(yù)覽、建立案例、建立證據(jù)文件、保存案例等；ForensicX:它是一個(gè)以收集數(shù)據(jù)及分析數(shù)據(jù)為主要目的基于Linux環(huán)境取證軟件，它與配套的硬件組成專門工作平臺，利用了Linux支持多種文件系統(tǒng)的特點(diǎn)，提供在不同的文件系統(tǒng)里自動(dòng)裝配映像等功能，能夠發(fā)現(xiàn)分散空間里的數(shù)據(jù)，可以分析Unix系統(tǒng)是否含有木馬程序。

3 計(jì)算機(jī)取證專業(yè)課程體系

從專業(yè)計(jì)劃構(gòu)建的角度看，課程體系主要由基礎(chǔ)課、專業(yè)基礎(chǔ)課、專業(yè)課以及選修課程四個(gè)部分組成。專業(yè)計(jì)劃是高等院校教學(xué)的基礎(chǔ)，它集中體現(xiàn)了學(xué)校人才培養(yǎng)和科學(xué)研究的中心任務(wù)，直接影響并決定著高等院校人才培養(yǎng)和科學(xué)研究的水平、質(zhì)量和層次。

根據(jù)計(jì)算機(jī)取證學(xué)形成的基本原理、基礎(chǔ)理論、技術(shù)及應(yīng)用范疇，按照專業(yè)課程體系構(gòu)建的基本框架要素，結(jié)合21世紀(jì)計(jì)算機(jī)取證技術(shù)的發(fā)展趨勢和研究熱點(diǎn)，筆者認(rèn)為，要全方位地建立起計(jì)算機(jī)取證專業(yè)（方向），一方面要加強(qiáng)基礎(chǔ)理論體系的創(chuàng)建和完善，另一方面還應(yīng)當(dāng)強(qiáng)調(diào)專業(yè)理論知識的深入，重視貼近實(shí)戰(zhàn)的應(yīng)用型科技技術(shù)。本文初步提出計(jì)算機(jī)取證專業(yè)課程建設(shè)的覆蓋范圍。

3.1基礎(chǔ)課體系

公共基礎(chǔ)體系涵蓋了大學(xué)生的人文修養(yǎng)基礎(chǔ)課與學(xué)科能力基礎(chǔ)課，是培養(yǎng)健全人格與學(xué)科學(xué)習(xí)基礎(chǔ)的必修課。開設(shè)的課程包括：人文選修課類(包括多門學(xué)科，由學(xué)校根據(jù)需要開設(shè))、英語、高等數(shù)學(xué)、計(jì)算機(jī)取證學(xué)導(dǎo)論、法學(xué)基礎(chǔ)、信息安全法規(guī)與標(biāo)準(zhǔn)等。

3.2專業(yè)基礎(chǔ)課體系

專業(yè)基礎(chǔ)理論是專業(yè)核心課程開展的前提，是培養(yǎng)學(xué)生扎實(shí)理論和基本專業(yè)技能的重要環(huán)節(jié)。開設(shè)的課程包括：離散數(shù)學(xué)、計(jì)算機(jī)原理、數(shù)據(jù)結(jié)構(gòu)、程序設(shè)計(jì)基礎(chǔ)、面向?qū)ο缶幊獭⒂?jì)算機(jī)取證工具軟件、數(shù)據(jù)庫系統(tǒng)原理、操作系統(tǒng)、人工智能導(dǎo)論、密碼學(xué)及應(yīng)用、專業(yè)英語、證據(jù)學(xué)、現(xiàn)場勘察等。

3.3專業(yè)課體系

專業(yè)核心課程包括：計(jì)算機(jī)網(wǎng)絡(luò)、匯編語言程序設(shè)計(jì)、網(wǎng)絡(luò)與信息安全概論、計(jì)算機(jī)取證學(xué)、UNIX操作系統(tǒng)、Windows操作系統(tǒng)、網(wǎng)絡(luò)編程與計(jì)算技術(shù)、取證協(xié)議研究、入侵檢測技術(shù)、蜜罐與蜜網(wǎng)實(shí)現(xiàn)、計(jì)算機(jī)病毒原理、惡意代碼識別研究、常用取證軟件應(yīng)用等。

3.4選修課體系

選修課程包括：計(jì)算機(jī)安全、網(wǎng)絡(luò)安全、刑法、民法、經(jīng)濟(jì)法、合同法、取證相關(guān)法律匯編、計(jì)算機(jī)取證法律研究、計(jì)算機(jī)取證法定程序研究、互聯(lián)網(wǎng)法律匯編及其立法研究等。

3.5實(shí)踐課程

計(jì)算機(jī)取證專業(yè)是一門實(shí)踐性很強(qiáng)的專業(yè)，所以，在培養(yǎng)過程中必須重視專業(yè)實(shí)踐，即必須組織學(xué)生到計(jì)算機(jī)取證的第一線進(jìn)行綜合實(shí)踐訓(xùn)練，只有這樣才能達(dá)到培養(yǎng)目標(biāo)。本課程設(shè)置中未單獨(dú)設(shè)立實(shí)踐課，是因?yàn)槌俗詈蟮木C合實(shí)踐外，實(shí)踐應(yīng)該貫穿于整個(gè)學(xué)習(xí)過程，如專業(yè)課大多包括技能訓(xùn)練實(shí)踐，具體安排教學(xué)計(jì)劃時(shí)應(yīng)將其重點(diǎn)列入，特別是綜合訓(xùn)練應(yīng)該成為學(xué)生畢業(yè)的必修課。

4 培養(yǎng)目標(biāo)

目前，計(jì)算機(jī)取證人員的角色主要是執(zhí)法者如警察，當(dāng)然也包括警察授權(quán)下的專業(yè)技術(shù)人員。由于社會(huì)的發(fā)展，今后中立的取證機(jī)構(gòu)工作人員或者是代表當(dāng)事人利益的法律維護(hù)者（如律師）也會(huì)越來越多，但無論何種身份，他都必須達(dá)到如下目標(biāo)：熟悉并遵守相關(guān)法律，具有良好的法律素養(yǎng)與職業(yè)道德；掌握牢固的計(jì)算機(jī)技術(shù)、信息技術(shù)、通信技術(shù)等基礎(chǔ)理論；熟練掌握計(jì)算機(jī)取證理論及證據(jù)獲取、固定、提取、分析技術(shù)，具有使用常用計(jì)算機(jī)取證軟件進(jìn)行綜合取證分析的能力。

總之，本課程設(shè)置培養(yǎng)的人才是較精通計(jì)算機(jī)取證技術(shù)，有一定法律知識、職業(yè)道德高尚、有一定實(shí)踐能力和研究能力的工學(xué)與法學(xué)復(fù)合型人才。課程體系的設(shè)置適用于大學(xué)?？?、大學(xué)本科教學(xué)，若僅為大學(xué)?？?，根據(jù)應(yīng)用型人才培養(yǎng)目標(biāo)的要求可做適當(dāng)壓縮，并側(cè)重加強(qiáng)實(shí)踐性環(huán)節(jié)教學(xué)。

5 結(jié)論

按照上述課程設(shè)計(jì)框架，可以開設(shè)計(jì)算機(jī)取證專業(yè)（方向），但構(gòu)建一個(gè)完善的計(jì)算機(jī)取證專業(yè)體系，還需要做大量的工作。首先是在相關(guān)學(xué)科理論的指導(dǎo)下，結(jié)合取證工作的特點(diǎn)，及時(shí)吸收先進(jìn)的取證技術(shù)和理論，充實(shí)到計(jì)算機(jī)取證學(xué)中來；其次是要加強(qiáng)學(xué)科隊(duì)伍建設(shè)，建立起計(jì)算機(jī)取證學(xué)專門的學(xué)會(huì)、學(xué)術(shù)刊物和學(xué)術(shù)機(jī)構(gòu)，爭取學(xué)科獨(dú)立，多方位、多層次地開展學(xué)術(shù)交流和學(xué)術(shù)爭論，不斷完善學(xué)科體系；第三，加強(qiáng)配套教材建設(shè)和專門實(shí)驗(yàn)室建設(shè)。

總之，計(jì)算機(jī)取證學(xué)是一個(gè)新的學(xué)科，也是一種交叉學(xué)科，計(jì)算機(jī)取證特殊人才的需求需要特定的專業(yè)培養(yǎng)。不斷歸納、總結(jié)和完善取證專業(yè)理論、技術(shù)和課程體系，是建立計(jì)算機(jī)取證學(xué)科體系的長期任務(wù)。

（本文獲得“2005年全國青年教師計(jì)算機(jī)教育優(yōu)秀論文評比”職業(yè)教育與培訓(xùn)三等獎(jiǎng)）

參考文獻(xiàn)

1王玲，錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢.軟件學(xué)報(bào),2003,14(9):1635～1644

2 Judd Robbins.An Explanation Of Computer Forensics[OL].

http//www.computerforensics. net/forensics.htm

3丁麗萍，王永吉.計(jì)算機(jī)取證的相關(guān)法律技術(shù)問題研究.軟件學(xué)報(bào),2005,16(2):260～274

4錢桂瓊，楊澤明.許榕生.計(jì)算機(jī)取證的研究與設(shè)計(jì).計(jì)算機(jī)工程,2002,28(6):56～58

5趙小敏，陳慶章.計(jì)算機(jī)取證的研究現(xiàn)狀和展望.計(jì)算機(jī)安全,2003,10:23～25

6劉欣，計(jì)算機(jī)取證技術(shù)教案.http://infosec.pku.edu.cn/~hjbin/course/security/courseware/／securityl5.ppt

7張斌，李輝.計(jì)算機(jī)取證有效打擊計(jì)算機(jī)犯罪.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004,7:59～61