朱殷晨，陳 適

（武漢理工大學信號傳輸與處理實驗室 武漢430070）

1 前言

盡管計算機網(wǎng)絡技術一直飛速發(fā)展，但是安全性仍然是一個挑戰(zhàn)性難題。計算機犯罪案例層出不窮，給社會經(jīng)濟造成極大損失。要將犯罪人員繩之以法，計算機取證技術應運而生。所謂計算機取證是指對存儲在計算機系統(tǒng)或網(wǎng)絡設備中潛在的電子證據(jù)識別、收集、保護、檢查和分析以及法庭出示的過程。計算機取證不單單是計算機或網(wǎng)絡的技術問題，還涉及到法律、道德規(guī)范等問題，屬于計算機科學和法學領域的交叉學科，取證工作需要計算機專家、執(zhí)法官員和律師等多方面人員的共同協(xié)作，哪一環(huán)節(jié)出現(xiàn)差錯的話，都會導致取得的電子證據(jù)失去效力，影響最終裁判執(zhí)法公正。因此對于計算機取證人員、法官、律師和法律執(zhí)法機構都需要采取相應的培訓，制定完整的課程，確保計算機取證技術的發(fā)展。

2 計算機取證破案舉例

2003年11月14日，甘肅省破獲首例利用郵政儲蓄專用網(wǎng)絡進行遠程金融盜竊的案件。10月5日13時12分，一名黑客將目光瞄準了郵政儲蓄，利用網(wǎng)絡竊取了83萬余元。省公安廳成立專案組兵分兩路，一方面在省、市郵政局業(yè)務領導和計算機專家的協(xié)助下，從技術的角度分析黑客作案的手段以及入侵的路徑；另一方面，使用傳統(tǒng)的刑偵方法，大范圍調查取證。經(jīng)過大量網(wǎng)絡數(shù)據(jù)資料的分析，發(fā)現(xiàn)作案人身份登錄線索，又暗查發(fā)現(xiàn)，其辦公桌上有一條電纜線連接在了不遠處的郵政儲蓄專用網(wǎng)絡上。專案組確認了這起金融盜竊案的主謀，最終，將其繩之以法。

世界上第一例有案可查的涉計算機犯罪案例于1958年發(fā)生于美國的硅谷，但是直到1966年才被發(fā)現(xiàn)。中國第一例涉及計算機的犯罪（利用計算機貪污）發(fā)生于1986年，而被破獲的第一例純粹的計算機犯罪（該案為制造計算機病毒案）則是發(fā)生在1996年11月2日。

從首例計算機犯罪被發(fā)現(xiàn)至今，涉及計算機的犯罪無論從犯罪類型還是發(fā)案率來看都在逐年大幅度上升，方法和類型成倍增加，逐漸開始由以計算機為犯罪工具的犯罪向以計算機信息系統(tǒng)為犯罪對象的犯罪發(fā)展，并呈愈演愈烈之勢，而后者無論是在犯罪的社會危害性還是犯罪后果的嚴重性等方面都遠遠大于前者。正如國外有的犯罪學家所言，“未來信息化社會犯罪的形式將主要是計算機犯罪”，計算機犯罪“也將是未來國際恐怖活動的一種主要手段”。在網(wǎng)絡犯罪案件中，很大一部分是因為使用者安全意識淡薄造成的。在后期的計算機取證工作中，也有很大一部分由于取證不規(guī)范而導致電子證據(jù)的損壞或失效，可以說目前我國對計算機取證技術的研究和掌握情況均屬薄弱，因此，加大對計算機取證專業(yè)及相關課程建設及其重要。

3 專業(yè)和課程建設

我國開展計算機取證的研究時間不長，對于計算機取證的研究與實踐尚處于起步階段。著力開發(fā)管理信息系統(tǒng)安全課程與計算機取證課程是目前計算機取證領域教育工作的重中之重。

根據(jù)數(shù)字取證研究工作組(DFRWS)提出的框架，計算機取證技術的研究內容包括6大方面：證據(jù)識別技術、證據(jù)保全技術、證據(jù)收集技術、證據(jù)檢查技術、證據(jù)分析技術和證據(jù)呈堂技術。

（1）證據(jù)識別技術

是指從被調查計算機的內部和外部設備及網(wǎng)絡中的海量數(shù)據(jù)信息中找出與被調查案件相關數(shù)據(jù)的過程。進行證據(jù)識別的數(shù)據(jù)主要來源于計算機主機系統(tǒng)、計算機外部設備和網(wǎng)絡方面。證據(jù)識別中可能用到的具體技術包括：數(shù)據(jù)復制技術、數(shù)據(jù)恢(修)復技術、數(shù)據(jù)解密技術、端口及漏洞掃描技術、對比搜索技術、數(shù)據(jù)挖掘技術、日至分析技術等。

媒體宣傳是把雙刃劍,尤其是隨著互聯(lián)網(wǎng)技術的迅速發(fā)展,各類新媒體宣傳層出不窮。為避免一些不良媒體為博關注惡意激化醫(yī)患關系,政府應該加強日常衛(wèi)生工作宣傳,主動發(fā)布權威的衛(wèi)生健康政策解讀,科普國民健康政策、健康生活方式和優(yōu)生優(yōu)育知識。對于醫(yī)改方面的新政策進行有效的宣傳,對醫(yī)事服務費、藥費等內容向群眾重點宣傳,引導群眾調整心理預期,提高群眾獲得感和滿意度,避免群眾將情緒發(fā)泄在醫(yī)護人員身上,同時也加強群眾對醫(yī)護人員的尊重,和諧醫(yī)患關系,營造愛醫(yī)敬醫(yī)的社會氛圍。

（2）證據(jù)收集技術

是指取證人員通過合法的途徑，采用技術手段捕獲和搜集與計算機犯罪或與被調查事件有關的數(shù)據(jù)信息的過程。該過程中可能用到的技術包括：數(shù)據(jù)復制技術、掃描技術、數(shù)據(jù)恢(修)復技術、數(shù)據(jù)截取技術、“陷阱”取證技術等。

（3）證據(jù)保全技術

證據(jù)保全是指采取有效措施保護恒子證據(jù)的完整性、原始性及真實性，可以劃分為3個階段：證據(jù)分析前保全、證據(jù)分析過程中的保全和分析后對證據(jù)。證據(jù)保全中可能使用到的具體技術包括：數(shù)據(jù)復制技術、數(shù)據(jù)加密技術、數(shù)據(jù)隱藏技術、數(shù)字摘要技術、數(shù)字簽名和數(shù)字時間戳技術、數(shù)字審計技術等的保全。

（4）證據(jù)檢查技術

證據(jù)檢查是對收集來的數(shù)據(jù)進行檢查并從中識別和提取可以作為證據(jù)的數(shù)據(jù)的過程。另外，在取證過程結束時，取證人員通過回顧檢查的方式檢查取證過程可能存在的漏洞時往往涉及到證據(jù)檢查技術的運用。證據(jù)檢查中可能用到的具體技術有數(shù)據(jù)挖掘技術、對比搜索技術、掃描技術、數(shù)據(jù)解密技術等。

（5）證據(jù)分析技術

利用證據(jù)收集技術所獲取的涉案數(shù)據(jù)還是最原始的形式，為揭示這些數(shù)據(jù)與案件的聯(lián)系就必須對這些數(shù)據(jù)進行檢查和分析，證明這些數(shù)據(jù)就是攻擊或者犯罪的證據(jù)，從而為證明案件真相提供證據(jù)支持。證據(jù)分析類技術包含檢查類技術和分析技術。用于證據(jù)分析的技術包括：對比分析技術、日志分析技術、數(shù)據(jù)挖掘技術、數(shù)據(jù)解密技術、攻擊源追蹤技術等。

（6）證據(jù)呈堂技術

數(shù)據(jù)呈堂的主要任務是：計算機犯罪的相關情況記錄的歸檔處理；取證工作整個過程中證據(jù)的完整性情況證明；病毒評估分析報告、文件種類、取證工具許可證書、專家對電子證據(jù)的分析結果的歸檔處理和呈交；其他需要說明和解釋事項的處理等。

與計算機取證研究相比，對反取證技術的研究相對較少。對于計算機取證人員來說，研究反取證技術意義非常重大，一方面可以了解入侵者有哪些常用手段用來掩蓋甚至擦除入侵痕跡：另一方面可以在了解這些手段的基礎上，開發(fā)出更加有效、實用的計算機取證工具，從而加大對計算機犯罪的打擊力度，保證信息系統(tǒng)的安全性。

計算機反取證技術，簡而言之是招采用數(shù)據(jù)加密、數(shù)據(jù)刪除、數(shù)據(jù)隱藏等計算機技術刪除、隱藏、加密或毀杯涉案電子證據(jù)，抹除作案痕跡的技術和方法的總稱。當前已有許多反取證軟件如：數(shù)據(jù)刪除類的Powerful Cookies、ultrashredder、SystemShied、Wywz、Esast-Tec Eeaser、Wipelnfo等；數(shù)據(jù)加密隱藏類的加密金剛鎖、Hide in picture、Steganos Security Suite等都可以徹底刪除用戶所有的使用痕跡和系統(tǒng)的日志文件記錄，因而想要獲取此類證據(jù)變得愈來愈難。

常用的計算機反取證技術(以XP系統(tǒng)為例)有數(shù)據(jù)隱藏、數(shù)據(jù)刪除、數(shù)據(jù)加密以及隱寫術、改變系統(tǒng)環(huán)境等方法，需要開展課程進行應對策略的研究。

綜上，對以上過程中常用的計算機取證技術都需要開展相應的課程進行學習，學習過程可包括講課、國內專家講座、閱讀案例、布置社會作業(yè)、問題解決會議和書面測試等多種形式。計算機取證相關的法律、道德、操作系統(tǒng)安全、安全協(xié)議和實踐、網(wǎng)絡建模取證工具、寫作專家證人報告格式、近年來的入侵檢測方法和反應、認證方法、訪問控制、風險評估等，都將是計算機取證專業(yè)研究的不同方向。

4 建議

對于學校開展計算機取證專業(yè)技術的學習外，結合實際情況，本文對學生的社會學習提出一些建議。

（1）課程材料開發(fā)與共享

隨著計算機取證研究工作的不斷深入和改善，計算機取證技術將向智能化、專業(yè)化和自動化。需要聯(lián)合計算機取證各個技術領域的研究工作在國內處于領先地位的相關院校和單位，對課程材料不斷進行開發(fā)與共享，補充國內外最前沿的理論和技術。

（2）實際和虛擬結合

研究現(xiàn)實生活中的犯罪案件，不僅能讓學生更好地理解信息安全,也將更有效幫助法律知識的傳播。參與的學生在這些現(xiàn)實生活的案例研究將會增加熱情，學習傳統(tǒng)取證的方法。同時結合計算機網(wǎng)絡世界中的案例或虛擬的案例課題，讓參與的學生試驗、分析，發(fā)現(xiàn)其他相似的數(shù)學模型、案例和應用方法，找到解決問題的方法。

（3）建立學校實驗室

需要建立計算機取證技術的專業(yè)實驗室，構建網(wǎng)絡環(huán)境，教會學生從網(wǎng)絡中數(shù)據(jù)包中識別入侵數(shù)據(jù)，利用網(wǎng)絡協(xié)議分析儀捕捉并分析，加大對學生的實踐培養(yǎng)。這些實驗室將幫助學生了解如何學習和運用計算機取證的方法。

（4）聯(lián)合法律機構

對于國內計算機取證領域來說，還有許多法律問題尚待解決。目前國內學術界在對計算機取證的研究上，法學專家和計算機專家還沒有形成很好的溝通協(xié)作，各自局限在本專業(yè)領域內進行研究。計算機取證需要各領域的專家合作，促進計算機取證理論的形成和完善。學生們需要機會與律師或法律執(zhí)行機構溝通和咨詢，在技術和法律相結合的一體化的知識汲取過程中，我們將會發(fā)現(xiàn)，計算機取證的深入研究還有更多更寬廣的課題。

（5）加大軟件的開發(fā)

目前國內還沒有經(jīng)過法庭和認證機構認證的電子證據(jù)取證工具，所利用的取證工具大多只是從網(wǎng)上下載的一些工具軟件。當然，這些問題都是暫時的，在我國加大信息技術前進的步伐下，計算機取證技術的研究必將取得豐碩成果。

5 結束語

計算機取證課程的重要性是毋庸置疑的，完善計算機取證專業(yè)和課程建設將使計算機取證技術在未來打擊計算機犯罪中發(fā)揮越來越重要的作用。

1 Phillips Nelson,Enfinger Steuart.Guide to computer forensics and investigations.Course Technology,2005

2 Paul Cretaro.Lab manual for security guide to network security fundamentals.Course Technology,2005

3 樊崇義.證據(jù)法學.北京：法律出版社，2001