1引言

隨著社會的發(fā)展和科技的創(chuàng)新，計算機(jī)網(wǎng)絡(luò)技術(shù)得到了廣泛的利用和發(fā)展，各種網(wǎng)絡(luò)攻擊附屬在許多網(wǎng)站，因此人們的網(wǎng)絡(luò)環(huán)境并不是十分的安全。這會使得不法分子利用已有的資源，輕松的繞過電腦的防御系統(tǒng)，對網(wǎng)站等進(jìn)行肆意的攻擊。通過計算機(jī)進(jìn)行網(wǎng)絡(luò)犯罪越來越普遍，其犯罪形式具有很強(qiáng)的隱蔽性，因此不同于傳統(tǒng)犯罪的形式，計算機(jī)網(wǎng)絡(luò)的犯罪偵破工作變得十分困難。當(dāng)前計算機(jī)網(wǎng)絡(luò)犯罪逐漸的趨于國際化，因此對于進(jìn)行計算機(jī)防御工作的成本逐漸增加，而對于網(wǎng)絡(luò)犯罪的成本逐漸降低。

計算機(jī)取證技術(shù)是通過搜集大量的計算機(jī)網(wǎng)絡(luò)證據(jù)和數(shù)據(jù)，通過有效的方法對數(shù)據(jù)進(jìn)行分析。我國計算機(jī)取證技術(shù)起步的較晚，現(xiàn)在還處于發(fā)展階段，相關(guān)的法律法規(guī)正在逐漸的完善。因此我國如今的計算機(jī)取證技術(shù)存在了一些列的問題。首先，為我國計算機(jī)取證技術(shù)剛開始起步，現(xiàn)在的工作大多止步于理論研究，而對于取證的方法與工具還沒有進(jìn)一步發(fā)展。其次，相關(guān)的法律法規(guī)不夠完善，對于網(wǎng)絡(luò)犯罪相應(yīng)的取證技術(shù)沒有一個共同的文案。同時網(wǎng)絡(luò)防御系統(tǒng)最終還是要提高人的網(wǎng)絡(luò)防護(hù)意識。

2取證系統(tǒng)的感念

2.1取證概述

所謂的計算機(jī)證據(jù)是指網(wǎng)絡(luò)犯罪分子通過運(yùn)行計算機(jī)網(wǎng)絡(luò)，而產(chǎn)生的一些電子信息以及數(shù)據(jù)。由于計算機(jī)網(wǎng)絡(luò)存在大量復(fù)雜繁瑣的數(shù)據(jù)，因此不能將所有的數(shù)據(jù)都認(rèn)為是電子犯罪證據(jù)，通常電子證據(jù)分為三類：（見表1）。

電子證據(jù)有很多特點(diǎn)，通過了解這些特點(diǎn)可以大大提高網(wǎng)絡(luò)犯罪的偵破效率。首先電子證據(jù)與傳統(tǒng)意義上的電子記錄信息不同，其存在了一定的易毀性，如常見的硬盤，如硬盤內(nèi)存被毀壞，這會使得電子證據(jù)不可修復(fù)的，因此這為電子犯罪偵破工作帶來困難。其次電子數(shù)據(jù)的種類繁多，除了其特有的電子數(shù)據(jù)形式，還包括了所有的傳統(tǒng)電子信息類型。

2.2電子證據(jù)的信息源

電子信息源通過依附在不同的載體，可以分為軟件信息源，硬件信息源。由于獲得電子信息源的方式的不同，就是的取證人員熟悉并掌握不同的取證方法，通過這些方法可以有效的取得電子證據(jù)，從而不會由于去證時破壞了電子信息而造成偵破工作的難度。表2介紹了三類電子證據(jù)的信息源。

3取證技術(shù)

3.1取證的靜態(tài)反應(yīng)

取證的其中一種方法是靜態(tài)取證，這種取證方法較為保守，是通過電子信息運(yùn)行完成后，對計算機(jī)進(jìn)行計算機(jī)犯罪信息的恢復(fù)，其基本可以概述為，通過法律的有效途徑對已經(jīng)被損壞的電子信息進(jìn)行有效的恢復(fù)的提取的工作。

其基本的取證方式為，在發(fā)現(xiàn)案情后，先確認(rèn)電腦是否處于開機(jī)狀態(tài)，若處于開機(jī)狀態(tài)則進(jìn)行有效的在線取證，同時要保護(hù)好現(xiàn)場。若電腦不處于開機(jī)狀態(tài)，則需要進(jìn)行離線取證，即進(jìn)行電腦克隆工作進(jìn)行取證。這種取證方法，優(yōu)點(diǎn)是理論和實(shí)踐經(jīng)驗(yàn)比較成熟。而缺點(diǎn)是取證途徑比較單一，由于如今電子犯罪途徑和手段不斷更新，這種取證方法可能會導(dǎo)致一部分電子信息的丟失。

3.2取證的動態(tài)反應(yīng)

取證的另一種方法是動態(tài)取證，這種取證方法較為多樣，這種方法可以有效的將取證技術(shù)與防御技術(shù)合理的結(jié)合，通過電子記錄傳輸?shù)男畔?，進(jìn)行智能識別，同時提出一些防御建議，使得網(wǎng)絡(luò)受到最大程度的保護(hù)。

動態(tài)取證有很好的實(shí)時控制，計算機(jī)網(wǎng)絡(luò)受到攻擊時，動態(tài)取證能及時的取得受攻擊的信息，以避免進(jìn)一步的損失，同時動態(tài)取證的防御系統(tǒng)可以進(jìn)行有效的防御措施。常見的動態(tài)取證技術(shù)為入侵檢測。這種方法主要以被動的形式進(jìn)行防御，對于舊的入侵方式可以通過數(shù)據(jù)庫的備案進(jìn)行有效的防御，但對于新的入侵方式，其抵御能力較低。