王 萌

（河北公安警察職業(yè)學院，河北 石家莊 050091）

淺談計算機取證課在公安院校的建設

王 萌

（河北公安警察職業(yè)學院，河北 石家莊 050091）

計算機犯罪是21世紀破壞性最大的一類犯罪，要打擊和遏制這種犯罪，計算機取證承擔著不可取代的作用，這是我國信息網(wǎng)絡安全亟須研究的重要問題，具有強烈的社會需求。隨著公安信息化的不斷深入，公安院校開展計算機取證教育也勢在必行。

計算機犯罪；計算機取證；公安教育

一、計算機取證的現(xiàn)狀

（一）計算機犯罪和計算機取證的概念

國內(nèi)外學者認為計算機犯罪主要分為廣義說、狹義說。廣義說認為所有涉及計算機的犯罪都是計算機犯罪。狹義說則認為只有以計算機為工具或以計算機系統(tǒng)（軟件或硬件）和計算機信息為攻擊對象（物理破壞除外）而實施的犯罪行為才是計算機犯罪。我國刑法還沒有專門的計算機犯罪這一概念，綜合近幾年的研究，從刑法學的角度給計算機犯罪所下的定義是：違反國家法律規(guī)定，利用計算機技術或技術特性，侵犯計算機信息系統(tǒng)安全或妨害計算機信息交流安全秩序，嚴重危害社會，依法應負刑事責任的行為。

計算機取證涵蓋的范圍較廣，包括對計算機、其他電子設備及借助信息技術形成的設備的取證。楊永川在《計算機取證》一書中定義的計算機取證是：為了揭示與計算機相關設備有關的犯罪或過失行為以及由其他原因?qū)е碌氖瓜到y(tǒng)發(fā)生故障的現(xiàn)象，利用一切科學、合法、合理的方法和工具，對以0/1二進制記錄的數(shù)據(jù)電文進行識別、保存、收集、檢查、分析和呈堂等活動過程。

（二）國內(nèi)外在計算機取證領域已經(jīng)取得的成果和進展

20世紀90年代，隨著Internet網(wǎng)絡技術的發(fā)展，以計算機犯罪為主的電子犯罪日益猖獗，國外的取證技術及取證工具由于強烈的需求飛速發(fā)展。在國內(nèi)，有關這方面的研究和實踐則落后很多，執(zhí)法機關對計算機取證工具的應用還多是利用國外一些常用的取證工具，取證操作規(guī)范的執(zhí)行也有所欠缺。

1.主機電子證據(jù)保全、恢復和分析技術

數(shù)據(jù)保全中的磁盤映像復制技術一直是基于主機取證技術的重要研究內(nèi)容，目前可進行硬盤數(shù)據(jù)復制的軟硬件產(chǎn)品很多，主要有專用硬盤取證工具SOLOⅢ、硬盤拷貝機Echo、取證分析軟件Encase、“網(wǎng)警”計算機犯罪取證勘察箱（廈門美亞）等。數(shù)據(jù)恢復技術中有普遍看好的取證軟件TCT和Encase等。現(xiàn)在七次覆蓋后進行恢復的技術還不是很成熟，國外的Ontrack公司等機構正在進行此項研究。分析目標主機上的可疑程序可以使用反向工程技術，從而取得證據(jù)，但目前這方面的研究還很少。

2.網(wǎng)絡數(shù)據(jù)捕獲與分析和網(wǎng)絡追蹤

現(xiàn)有的許多用于網(wǎng)絡信息數(shù)據(jù)流捕獲的工具，如NerXray、Lanexplore等，對各種信息協(xié)議的分析都相當透徹，如果將數(shù)據(jù)倉庫技術運用到大量的網(wǎng)絡數(shù)據(jù)分析中會更好。在取證的分析階段往往使用搜索技術進行相關數(shù)據(jù)信息的查找，這方面的研究技術主要是數(shù)據(jù)過濾技術、數(shù)據(jù)挖掘技術等。網(wǎng)絡追蹤是計算機取證的一個重要手段，突破網(wǎng)絡代理定位攻擊源是其中很重要的環(huán)節(jié)。

3.主動取證

目前國內(nèi)外很多研究機構和公司主要致力于蜜罐技術的研究，較大型的研究項目有研究蜜網(wǎng)技術的Honeynet Project、致力于部署分布式蜜罐的Distributed Honeypot Project等。

4.密碼分析

在各類信息系統(tǒng)中獲取的機密信息很大部分都是經(jīng)過加密處理的，因而密碼分析與破解成為網(wǎng)絡信息獲取中的一個必須面對的問題。結合實際的密碼應用，通過對密碼分析的研究將會大大提高電子取證工作的成效。密碼破解技術將成為一個重要研究熱點，應用前景非?？捎^。

5.計算機取證法學研究

計算機取證涉及計算機科學和法學中的行為證據(jù)分析以及法律領域，這是一個新興領域、交叉領域和前沿領域。

二、公安院校開設計算機取證課程的必要性及可行性

（一）必要性

近年來，我國涉計算機犯罪案例呈逐年上升趨勢，給國家和人民帶來巨大的經(jīng)濟損失，甚至威脅國家的安全，破壞社會秩序。計算機的犯罪五花八門，犯罪的焦點已經(jīng)超越了簡單的計算機入侵，色情和猥褻的散布、侵犯人權、著作權（版權）和電子知識產(chǎn)權的竊取、網(wǎng)絡欺詐和偽造、網(wǎng)絡賭博等新型犯罪層出不窮。為有效打擊計算機犯罪，計算機取證是一個重要手段。在我國，公安信息化建設正如火如荼地展開，警察的信息化水平在不斷提高，這為我們講授計算機取證課提供了非常好的環(huán)境。因為計算機取證的執(zhí)法者主要是警察（包括警察授權下的專業(yè)技術人員），因此對相應專業(yè)的試點班學員進行計算機取證培訓為公安工作提供了強有力的警力基礎支撐，實現(xiàn)了公安工作的可持續(xù)發(fā)展。

（二）可行性

目前公安院校招錄培養(yǎng)體制發(fā)生了變化，教學對象的改變要求公安院校教學也要跟著改變。公安部根據(jù)公安工作實際需求提出了“教、學、練、戰(zhàn)”一體化和教學中突出實驗實訓，這是做好招錄體制改革試點專業(yè)教學的重點。我們認為公安院校計算機取證建設首先把滿足教學需求放在第一位，培養(yǎng)學生動手能力，使學生通過實驗掌握計算機取證技術的基本技能和技巧，熟練使用常用的計算機取證軟、硬件工具，對嫌疑計算機（包括各種電子設備）中的數(shù)據(jù)進行備份、恢復、分析、檢查、打印，并對所分析數(shù)據(jù)作出報告。同時考慮到功能的拓展，還要滿足服務和培訓的需要，即適應新形勢下信息網(wǎng)絡安全監(jiān)察部門和其他各警種業(yè)務部門犯罪案件偵破的需要，可以為科研和公安一線案件的偵破提供技術支持。

1.計算機取證課程的硬件建設環(huán)境

由于計算機犯罪形式的多樣性，該門課的硬件建設需要模擬各種計算機犯罪形式和信息數(shù)據(jù)，使學生在各種模擬的犯罪現(xiàn)場，能夠進行證據(jù)的取證調(diào)查工作?？紤]到公安院校該門課程經(jīng)費和師資嚴重不足的現(xiàn)狀，為了模擬各種犯罪現(xiàn)場，該門課實驗室的最低配置應該有幾十臺計算機、一定數(shù)量的路由器、交換機、服務器、集線器、防火墻等通用計算機網(wǎng)絡設備，同時還需要將計算機組成局域網(wǎng)、安裝防火墻、進行有關的安全設置并能夠登錄Internet。為了完成取證分析電子證據(jù)，還需要簡單的現(xiàn)場取證設備，包括計算機犯罪案件現(xiàn)場勘查箱（內(nèi)含筆記本電腦、現(xiàn)場取證常用工具、常用軟件）、高速硬盤復制機、現(xiàn)場特定數(shù)據(jù)獲取設備以及各種類型硬盤只讀鎖和轉換接口等；更精深的證據(jù)分析設備包括電子數(shù)據(jù)證據(jù)分析服務器、電子數(shù)據(jù)證據(jù)分析軟件、磁盤陣列、電子數(shù)據(jù)取證分析工作站；網(wǎng)絡密碼破解系統(tǒng)包括密碼破解服務器、密碼破解軟件、密碼破解工作站等。

2.計算機取證課程的教學安排

課程分為授課及實驗兩部分。授課的主要內(nèi)容為計算機工作的基本原理、計算機取證法律和規(guī)范及計算機取證程序。實驗則側重計算機取證技術和計算機取證工具的使用。

電子證據(jù)具有易失性、不易保存等特點，使得取證人員對電子證據(jù)要能熟練地收集、文檔化保存和恰當?shù)財?shù)字證據(jù)處理和解釋，否則就易毀掉整個調(diào)查工作，無法有效地打擊犯罪行為，浪費案件有價值的資源。要做到熟練就要進行大量的實驗。主要的實驗包括：

（1）數(shù)據(jù)恢復。就是用數(shù)據(jù)恢復軟件恢復被刪除的文件。通常需要了解數(shù)據(jù)恢復的原理和掌握幾種常見的數(shù)據(jù)恢復軟件，會用其中的一種軟件如EasyRecovery恢復已被破壞的文件。

（2）磁盤備份。即對磁盤數(shù)據(jù)作鏡像備份，并保全證據(jù)的完整性。如使用高速硬盤復制機或者用鏡像工具SafeBack創(chuàng)建備份的鏡像文件并寫到光盤上，運用MD5sum保全證據(jù)的完整性。

（3）易失性數(shù)據(jù)收集。主要內(nèi)容是創(chuàng)建應急工具箱，對突發(fā)事件做出適當?shù)捻憫?，在不破壞現(xiàn)場的前提下收集易失性數(shù)據(jù)，為偵查破案提供有力的證據(jù)。

（4）分析證據(jù)。用EnCase取證工具進行關鍵字查找、Hash值分析和E-mail文件分析，將隱藏的數(shù)據(jù)列出來，并將證據(jù)歸檔。

（5）獲取網(wǎng)絡證據(jù)。監(jiān)控、捕獲并分析數(shù)據(jù)包是獲取網(wǎng)絡證據(jù)的主要手段，如采用廈門美亞公司的網(wǎng)絡信息取證系統(tǒng)，它能夠記錄網(wǎng)絡上的全部底層報文，監(jiān)控流經(jīng)網(wǎng)絡的全部信息流，較好地解決了目前計算機犯罪案件中偵查、取證等難題。

（6）密碼破解取證。在很多情況下都面臨如何將加密的數(shù)據(jù)進行解密的問題，常常采用口令字典、重點猜測、窮舉破解等技術。

綜上所述，計算機取證教育是公安院校發(fā)展的重要一環(huán)，教育的重點是加強取證領域的實踐性培養(yǎng)。由于電子證據(jù)的多態(tài)性，使得案件具有差異性，要求采用不同的處理方式。當案件環(huán)境等發(fā)生變化時，應用能力顯得尤其重要，培養(yǎng)的取證人才要具有解決實際問題的能力。計算機取證是一門技術性很強的職業(yè)教育，取證技術更新也非常迅速，這就需要不斷將現(xiàn)代科學技術的最新成果以及公安實踐中創(chuàng)造的許多經(jīng)驗吸納到這門課中來，保證課程的鮮活與常新。

[1]孫維愈.計算機犯罪偵查問題研究[D].山西大學碩士學位論文，2007.

[2]楊永川,顧益軍,張培晶.計算機取證[M].北京:高等教育出版社，2008.

[3]麥永浩,孫國梓,許榕生,戴士劍.計算機取證與司法鑒定[M].北京:清華大學出版社，2009.

[4]李進.公安院校計算機取證實驗室建設研究[J].西南民族大學學報（自然科學版），2009,（5）.

D631.15

A

1672-6405（2010）02-0079-02

王萌，女，河北公安警察職業(yè)學院教師。

2010-05-10

張欽]