摘要：就目前看，計算機應用的普遍使用已經(jīng)給人類帶來非常大的方便，但使用同時為會為罪犯利用計算機犯罪提供了方便。本文研究了計算機取證的概念、原則、及計算機取證的相關技術等?，F(xiàn)在，運用計算機進行數(shù)據(jù)取證一直還沒有形成全面的成熟的系統(tǒng)，應用技術還在漸漸發(fā)展，其中的一些關鍵問題和關鍵技術也在不斷地探討，一些新出現(xiàn)的技術依然需要研究。但可喜的是，計算機取證逐漸成為對網(wǎng)絡防御安全并且能夠打擊網(wǎng)絡犯罪的非常實用的方法，對網(wǎng)絡的安全和抵御的意義是十分深遠的。

關鍵詞：計算機犯罪；電子證據(jù)；取證技術

中圖分類號：TP399 文獻標識碼：A 文章編號：1007-9599 (2012) 09-0000-02

計算機隨著信息技術的發(fā)展，應用在我們的生活和工作中也越來越多。計算機涉及的違法犯罪普遍多起來也，發(fā)生的案件在公安部門中，涉及計算機經(jīng)常遇到存儲介質(zhì)相關數(shù)字的情況。計算機取證技術作為刑事偵查、計算機和法學領域一門嶄新的科學，慢慢引起人們的關注，并且逐漸成為研究的重點。在案件中如果有取證工作需要進行提取，那么存在計算機系統(tǒng)中的一些數(shù)據(jù)，大量的案例的存在涉及計算機犯罪，重新獲得信息很多需要從已被加密、刪除或破壞的文件中。由于易丟失性電子證據(jù)，所以進行取證時我們必須在計算機現(xiàn)場，為了避免損壞證據(jù)，一定要非常嚴格的按照科學規(guī)律進行。

一、計算機取證的概念

具體分析計算機取證的含義，就是利用計算機的軟硬件技術，所有的程序都必須嚴格按照法律方式進行獲得證據(jù)、分析、保存和出示的過程。還稱為電子取證和數(shù)字取證計算機取證，就是指對計算機破壞、入侵、攻擊、欺詐等行為犯罪或涉及案件的電腦，在技術上，是全盤掃描對涉案計算機分析，進行內(nèi)容重新建立的過程。根據(jù)發(fā)展來看，計算機取證的核心工作分別從兩個方面進行：其一就是獲取介質(zhì)目標內(nèi)容。就是說復制到偵查人員把目標介質(zhì)的內(nèi)容從取證計算機中，保證這一過程的是對介質(zhì)原始不能有一點改變，并且拷貝的內(nèi)容和最初的數(shù)據(jù)一定要完全一致。其二就是獲取了最初的介質(zhì)并且獲取數(shù)據(jù)成功后，必須要有針對計算機取證。最后總結(jié)出：使用計算機軟件和一些必要的工具，利用計算機取證，按照預先設定的一些定義，全面程序進行有效地檢查，以保護和提取相關犯罪的證據(jù)。所以，計算機取證是指法庭能夠接受的利用計算機的，非常有建設的，對應的設備存在于計算機中，能夠確認電子證據(jù)的歸檔、保護、提取的過程。

對編碼信息以磁介質(zhì)方式存儲的相關很多內(nèi)容應用于計算機的取證技術，計算機及證據(jù)數(shù)字存儲介質(zhì)的提取、保護、確認和歸檔。并且還要運用多種不同工具進行分析，并且要進行數(shù)據(jù)解析，以便獲得相關證據(jù)和線索。

二、運用計算機取證的關鍵原則

利用計算機取證的電子證據(jù)，必須嚴格按照程序，以擴大對證據(jù)的收集和使用的相關證據(jù)的特殊性。從原則的總體來看，犯罪案例利用計算機搜集證據(jù)的采集必須遵循以下原則：

（一）客觀性

首先要有認真科學的態(tài)度，對于收集證據(jù)的人員。而且能夠嫻熟運用資訊科技，負責取證過程中，得到的數(shù)據(jù)要真實客觀，以確保證據(jù)不被破壞，不出差錯，而且要刪除干擾信息和偽造數(shù)據(jù)。不僅要收集證明犯罪嫌疑人的有罪證據(jù)，也必須保存可以證明犯罪嫌疑人沒有最的證據(jù)證明。

（二）相關性

所有證據(jù)形成證據(jù)鏈。只有與案件有關的信息和數(shù)據(jù)，才能在收集證據(jù)的范圍之內(nèi)，必須確保證據(jù)的連續(xù)性，就是在證據(jù)被正式提交到法院，必須證明證據(jù)是從最初的原始狀態(tài)。所有的整個檢查、收集證據(jù)的一切過程中，必須要嚴格實施標準化，以確保所有證據(jù)向法院提交不能夠發(fā)生改變，并一定要制定非常嚴格的保管轉(zhuǎn)移，檢驗系統(tǒng)。

（三）合法性

必須建立法律，法規(guī)的意識，計算機犯罪證據(jù)收集的主體，一定要通過合法的手段和合法措施，提取證據(jù)的收集，整個取證過程中，必須依法受到適當監(jiān)督和依照法定程序。收集證據(jù)使用的證據(jù)的基礎和前提，研究者唯一合法的必經(jīng)途徑，分析出來就是所有的證據(jù)的必須確任、可靠、充分，還要能夠確定案件的性質(zhì)，只有這樣，才能做到正確而且有針對性地打擊違法犯罪行為，而且依法保護公民的合法權(quán)利和利益。

三、計算機取證技術

分析了計算機系統(tǒng)得出：電子證據(jù)取證的內(nèi)容和技術主要來自兩個方面，一個是關于計算機自身系統(tǒng)的，第二就是關于其他網(wǎng)絡。其中有些內(nèi)容是關于計算機系統(tǒng)的：系統(tǒng)日志文件、交換文件、入侵者殘留物、臨時文件、備份介質(zhì)、硬盤未分配的空間、系統(tǒng)的緩沖區(qū)、打印機和其他設備的內(nèi)存。還有一些是關于網(wǎng)絡：網(wǎng)絡防火墻日志、入侵檢測系統(tǒng)日志、記錄和其他網(wǎng)絡工具生成的日志。根據(jù)這些證據(jù)的所有來源，就把計算機取證技術分為兩類：獨立的取證和網(wǎng)絡取證。

（一）基于單機的電子取證技術

基于單機的計算機取證技術，是一種可以在一臺不在線的任意計算機獲取證據(jù)的技術。

1.數(shù)據(jù)恢復技術

能夠數(shù)據(jù)恢復技術可以把兩種被刪除的數(shù)據(jù)恢復出來，一是直接刪除，二是格式化刪除。直接把文件刪除的計算機操作結(jié)果，是不能一次到位把文件完全刪除，一系列的過程其實，也只是把能夠構(gòu)成相關文件的數(shù)據(jù)，重新放回到系統(tǒng)當中，普通的計算機操作是一定不能夠看到這些簇的。但是所有這些計算機應用簇卻可以在計算機空閑塊列表中讀取出來，在目錄項目中是看不到的。如果計算機格式化之前的硬盤上有一些應用數(shù)據(jù)存在，那么計算機格式化磁盤就是對所有計算機訪問系統(tǒng)的各種表進行所有重新的構(gòu)建，則計算機格式化之后那么，原有的數(shù)據(jù)就在磁盤上還沒有刪除消失。計算機數(shù)據(jù)恢復技術正，就是運用專業(yè)技術進行數(shù)據(jù)恢復，這些覺得通常不可能遇見的數(shù)據(jù)。

2.加密解密技術和口令獲取

從被攻擊的計算機中獲取證據(jù)還要對已經(jīng)加密的數(shù)據(jù)進行解密。這種解密加密的方法和工具有很多。而在計算機取證過程中一般用到的是：密碼破解技術、網(wǎng)絡竊聽、口令搜索、口令提取和密碼分析技術。

3.拷貝磁盤技術

取證操作是不允許在原始計算機上操作的，因為在被攻擊過的磁盤上直接獲取數(shù)據(jù)會損壞磁盤上的原始數(shù)據(jù)，造成永久性的丟失。磁盤鏡像復制的辦法，可以將被攻擊的磁盤原樣復制一份，其中包括磁盤的臨時文件、交換文件以及磁盤未分配區(qū)等，然后對復制的磁盤進行取證分析。

4.信息搜索與過濾技術

取證要從文本、圖片、音頻或視頻等信息中使用搜索技術進行相關數(shù)據(jù)信息的查找，進行分析從而找出相關信息。這方面的技術主要有：數(shù)據(jù)過濾技術、數(shù)據(jù)挖掘技術等。

（二）基于網(wǎng)絡的計算機取證技術

字面分析就是利用計算機在網(wǎng)上進行跟蹤犯罪分子，或計算機通過相關數(shù)據(jù)信息資料來進行獲取證據(jù)的技術。

1.針對電子郵件和新聞組的取證技術

對于電子郵件和新聞組進行取證，要從信息發(fā)送路徑上進行痕跡分析。新聞組和電子郵件都是通過應用計算機協(xié)議和簡單計算機的文本儲存來進行轉(zhuǎn)發(fā)，信息的計算機主體是由計算機的可以看見的字符構(gòu)成，能夠找到在這些信息中，發(fā)出信息的人和接收信息的人的所有路徑，這些計算機信息也是只能通過計算機中間系統(tǒng)傳遞。

2.網(wǎng)絡入侵追蹤技術

入侵追蹤技術能夠具體定位進行攻擊源的位置，判斷攻擊文報在計算機網(wǎng)絡中的所有的串行路線，并且還可以發(fā)現(xiàn)在計算機連接網(wǎng)絡鏈中“前一跳”的信息，利用這些數(shù)據(jù)找到攻擊者。計算機IP報文入侵追蹤技術包括連接檢測、日志記錄、ICMP追蹤法、標記信息技術與信息安全文法等，并且還可以追溯到發(fā)送帶有假冒源地址報文的所有攻擊者的真實位置，所有這些操作都是利用計算機路由器作為中間環(huán)節(jié)。在取證的實際所有的應用中，一般都是兩種技術結(jié)合使用，只有這樣才能找到最可靠的計算機證據(jù)。

3.日志分析技術

對日志進行分析，也可以得到被攻擊的痕跡。系統(tǒng)日志數(shù)據(jù)包括防火墻日志數(shù)據(jù)、系統(tǒng)審計數(shù)據(jù)、入侵檢測工具的數(shù)據(jù)或來自監(jiān)視器數(shù)據(jù)等。這些日志都包含被訪問的端口、改變權(quán)限的嘗試、執(zhí)行的任務名或命令名、訪問的時間等?？梢酝ㄟ^手工或使用日志分析工具如NetTracker、LogSurfer、Netlog和Analog等進行分析。

四、結(jié)束語

計算機經(jīng)過多年的發(fā)展，在理論和司法實踐中電子取證技術已取得了一些成績。但還必須要看到很多問題，因為目前為止我國運用計算機取證存在的問題還是比較多的：市場上的多個操作系統(tǒng)，不同的存儲方法和各種應用程序，檢驗方法和技術的不同致使電子設備可能會有所不同適用條件；信息不準確；不能有效地使用計算機數(shù)據(jù)挖掘；在司法程序中證據(jù)的定位不完全。研究和探索這些計算機的問題，并及時能夠在司法實踐經(jīng)驗中實際進行操作結(jié)果，并一步步完善。那么我國的計算機取證的法律和法規(guī)，加強標準化建設，使計算機取證活動逐步實用化，這將促進中國的信息安全人員培訓的發(fā)展和有效打擊和預防各種計算機犯罪，維護司法利益。

參考文獻：

[1]王玲，錢華林.計算機取證技術及其發(fā)展趨勢[J].軟件學報，2003，14(9):1635-1644

[2]魏士晴，張基溫.基于犯罪畫像的計算機取證技術分析方法研究[J].微計算機信息，2006，22(4):237-239

[3]米佳，劉浩陽.計算機取證技術[M].北京:群眾出版社，2007

[4]張斌，李輝.計算機取證有效打擊計算機犯罪[J].網(wǎng)絡安全技術與應用，2004，7

[5]尉永清，劉培德.計算機取證技術研究[J].信息技術與信息化，2005，4

[6]黃步根，陸志軍.涉計算機案件現(xiàn)場勘查[J].江蘇警官學院學報，2011，2

[7]王玲，錢華林.計算機取證技術及其發(fā)展趨勢[J].軟件學報，2011，4，9

[8]夏春和，吳震.入侵誘騙模型的研究與建立[J].計算機應用研究，2011，19，4