摘要：計算機犯罪屬于一類破壞性極大的犯罪，必須對其進行嚴厲查處和打擊，而進行計算機取證是對犯罪行為進行打擊的重要性技術(shù)，是對案件進行偵破的關(guān)鍵性環(huán)節(jié)，如：證據(jù)獲取、對犯罪嫌疑人進行確定等。目前，計算機取證技術(shù)還是一個比較前沿的新興領(lǐng)域，其主要的研究內(nèi)容主要是對數(shù)字證據(jù)進行獲取，并對相關(guān)的技術(shù)細節(jié)進行確定，從而為打擊計算機犯罪提供一套操作性強、應(yīng)用范圍廣的實踐取證標準，以獲得關(guān)聯(lián)性強、客觀、合法的電子數(shù)字證據(jù)。但由于受到某些方面的技術(shù)條件限制，計算機取證技術(shù)在運用和發(fā)展過程中還面臨著許多的困難，如：反取證技術(shù)使證據(jù)得到隱藏或刪除導(dǎo)致取證無效等。本文將結(jié)合筆者的實際經(jīng)驗，圍繞計算機取證技術(shù)展開探討，闡述了計算機取證技術(shù)的含義，分析了計算機取證技術(shù)的取證流程，并對計算機取證技術(shù)所面臨的困難及作案規(guī)律進行了總結(jié)，以對相關(guān)工作人員提供某些參考性意見。

關(guān)鍵詞：計算機犯罪；計算機取證；犯罪證據(jù)；技術(shù)困難；黑客入侵

中圖分類號：TP399—C1 文獻標識碼：A 文章編號：1007—9599 （2012） 14—0000—02

一、引言

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展及普及，計算機技術(shù)在給人們?nèi)粘Ｉ罴肮ぷ鲙矸奖愕耐瑫r，也潛伏著各種各樣的信息危機。近年來，計算機在各個領(lǐng)域得到了極為廣泛的運用，已經(jīng)成為了一種普通的應(yīng)用工具，而犯罪分子也將其作為了常用的犯罪工具，計算機犯罪案件也層出不窮，如：計算機詐騙、電子商務(wù)糾紛、網(wǎng)絡(luò)攻擊、資料信息的篡改及竊取等。這是一種極為高科技的犯罪形式，其基本的犯罪證據(jù)多以數(shù)字形式出現(xiàn)，并通過網(wǎng)絡(luò)及計算機進行傳輸及存儲，包括源代碼、文件、記錄等，形成電子證據(jù)。但在對電子證據(jù)進行獲取的過程中，由于正常數(shù)據(jù)同電子證據(jù)往往會混雜在一起，易銷毀、篡改，使得提取工作的開展比較的困難。因此，對其進行獲取、傳輸、分析及存儲就需要嚴格按照相關(guān)程序并采用獨特的技術(shù)手段，使證據(jù)的有效性、真實性及合法性得以保證。然而目前我國的計算機取證技術(shù)還存在著一定的技術(shù)缺陷，其發(fā)展也面臨著一定的困難，這些都迫切需要我們?nèi)パ芯咳ソ鉀Q，以對計算機高科技犯罪進行嚴厲的打擊。

二、計算機取證的概念性分析

（一）含義

在我國計算機取證（Computer Forensics）通常也稱作電子取證（Digital Forensics），同計算機技術(shù)科學(xué)及法學(xué)有著十分密切的聯(lián)系，屬于這兩種學(xué)科的交叉科學(xué)。其主要是對科學(xué)的技術(shù)方法加以運用，對計算機犯罪資料進行證明及提取，并將從電子數(shù)據(jù)源所獲取的電子證據(jù)加以收集 （Collection）、鑒定（Identification）、驗證（Validation）、解釋（Interpetation）、分析（Analysis）、保護（Preservation）、存檔（Documentation）及出示（Presentation）等，以對犯罪事件進行重構(gòu)，或?qū)δ承┩?dāng)前操作計劃無關(guān)的侵權(quán)性活動進行分析，以助于對犯罪行為進行有效地打擊，對人們的財產(chǎn)及信息安全加以保護[1]。

（二）來源

計算機取證的主要的信息來源通常包括以下幾個方面：計算機的主機系統(tǒng)、網(wǎng)絡(luò)及其他的電子設(shè)備。

1.主機系統(tǒng)

計算機主機系統(tǒng)方面的證據(jù)主要有：用戶的自建文檔及保護文檔，創(chuàng)建文件，以及在其他的數(shù)據(jù)區(qū)域內(nèi)的數(shù)據(jù)證據(jù)。

2.網(wǎng)絡(luò)方面

網(wǎng)絡(luò)方面的證據(jù)包括：網(wǎng)絡(luò)通信中的實時數(shù)據(jù)流；網(wǎng)絡(luò)安全設(shè)備，包括IDS的日志、防火墻等；網(wǎng)絡(luò)設(shè)備，包括在交換機或路由器上存在的記錄；各類的網(wǎng)絡(luò)接入系統(tǒng)；登錄日志及相關(guān)的網(wǎng)絡(luò)日志等。

3.其他電子設(shè)備

其他電子設(shè)備方面的證據(jù)包括：在電子記事本、PDA等設(shè)備中存在的密碼、地址簿、電話號碼簿、計劃任務(wù)表及E—mail信息等。在視頻捕捉卡、微型攝像頭等設(shè)備中存在的視頻、影像、聲音信息及日期時間標記等。

三、計算機取證的基本流程

要對計算機犯罪的相關(guān)證據(jù)進行獲取，通常可以從以下環(huán)節(jié)做起：第一，做好取證準備。對取證的條件及環(huán)境進行客觀的分析；第二，進行現(xiàn)場勘查，對證據(jù)加以固定。保障獲取證據(jù)的合法性；第三，進行相關(guān)的數(shù)據(jù)分析，有效的對證據(jù)加以提取。對所獲取的重要數(shù)據(jù)信息進行詳細的分析及處理，將與案件有關(guān)的數(shù)據(jù)進行確定，對犯罪事實加以證明，確保案件同數(shù)據(jù)的關(guān)聯(lián)性。第四，呈遞有效證據(jù)。將所獲取的有效電子證據(jù)進行鑒定后，對犯罪定性加以保證[2]。在整個取證過程中，數(shù)據(jù)的分析及證據(jù)的固定是極為關(guān)鍵的環(huán)節(jié)，同時也是兩個技術(shù)性含量最高的環(huán)節(jié)。計算機取證的基本流程如圖1。

（一）證據(jù)固定

計算機取證在證據(jù)固定環(huán)節(jié)必須嚴格根據(jù)相關(guān)的操作規(guī)范有序的展開，在獲取過程中必須選擇專業(yè)的數(shù)據(jù)信息技術(shù)，對存儲介質(zhì)中所包含的每一個字節(jié)都要進行精確的復(fù)制，保存也要選擇連續(xù)的文件片段或單獨的文件來完成。同時，證據(jù)文件的基本格式還要同法庭所認定的相關(guān)要求相符。目前，Expert Witness證據(jù)文件格式及LinuxDD鏡像格式是在國際法庭得到普遍接受的電子證據(jù)格式。

（二）數(shù)據(jù)分析

計算機取證在數(shù)據(jù)分析環(huán)節(jié)必須保障輔助設(shè)備的可靠性及安全性，同時還必須保證在取證和進行數(shù)據(jù)分析的過程中信息網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，從信息網(wǎng)絡(luò)系統(tǒng)及設(shè)備中對原始數(shù)據(jù)進行獲取也要保證不受到其他信息的干擾，在對原始數(shù)據(jù)進行分析之前，需要完成對原始數(shù)據(jù)的相關(guān)數(shù)字簽名。有關(guān)取證人員對犯罪證據(jù)進行尋找其關(guān)鍵在于：第一，保障所找到的相關(guān)犯罪證據(jù)必須是沒有被篡改過的原始數(shù)據(jù)；第二，這些所找到的數(shù)據(jù)可以在取證軟件中準確的找到；第三，取證人員必須對這些文件有所了解，并能夠準確判斷此類文件同犯罪事實是否密切相關(guān)。

四、計算機取證技術(shù)所面臨的困難

近年來，計算機取證技術(shù)在計算機的安全領(lǐng)域中已取得了較為顯著的成果。但計算機取證技術(shù)還是存在著許多的局限性和不足，計算機取證技術(shù)的運用及發(fā)展還是面臨著許多方面的困難。通常情況下我們所講的計算機取證技術(shù)需要在相關(guān)電子犯罪證據(jù)還沒有被完全覆蓋的情況下進行，才能夠順利的找到和發(fā)現(xiàn)這些數(shù)據(jù)證據(jù)。但就目前而言，許多的犯罪團伙其犯罪技術(shù)日益高超，并運用反取證技術(shù)對相關(guān)取證人員的正常調(diào)查取證行為進行阻止，其所采用的手段包括：跳板及數(shù)據(jù)隱藏、擦除、加密等。某些還將這些手段進行聯(lián)合使用，給計算機取證工作的順利開展帶來了極大的困難。

（一）跳板

某些黑客為了使自身的非法入侵痕跡不被發(fā)現(xiàn)，其首先會選擇對某一臺網(wǎng)絡(luò)計算機（“肉雞”）進行入侵，然后再利用該臺計算機繼續(xù)后繼的入侵行為，后期即使被查獲了，也只會顯示“肉雞”的具體IP地址[3]。一些黑客也會采用代理跳板，使被入侵電腦上所留下的IP地址是代理計算機的。目前國內(nèi)為較為常見的跳板技術(shù)多為：黑客先選擇一臺國外計算機為跳板，然后再接入到國內(nèi)，例如其首先入侵到某國的計算機站點，然后再采用其他國家的計算機作為代理或“肉雞”，實行跨國度的網(wǎng)絡(luò)攻擊，使案件難以得到偵破。

（二）數(shù)據(jù)擦除

在反取證技術(shù)中，數(shù)據(jù)擦除的主要目的是將所有證據(jù)進行清除，使取證無法順利的得到開展。如“灰鴿子”木馬和“熊貓燒香”病毒，實現(xiàn)了對個人Web及PC站點的入侵，并可以在完成入侵后對日志文件進行清除。若只是選擇手工刪除是達不到應(yīng)有的效果的，主要是由于在系統(tǒng)中刪除文件后，其在硬盤上的相關(guān)數(shù)據(jù)不會遭到覆蓋，對數(shù)據(jù)恢復(fù)軟件加以運用便可以使被刪除的相關(guān)文件得以還原。因此，他們會選擇專門的工具對數(shù)據(jù)加以刪除，對硬盤中的數(shù)據(jù)加以覆蓋，同時，他們還會對CPU寄存器、內(nèi)存、緩沖區(qū)及硬盤中的有關(guān)數(shù)據(jù)信息進行擦除，導(dǎo)致相關(guān)取證人員在日志文件中無法對黑客進行追蹤。

（三）數(shù)據(jù)隱藏

對于數(shù)據(jù)隱藏而言，一般是指將某些特定的數(shù)字信息非法的嵌入到宿主數(shù)字化信息中，如數(shù)字化的文本、聲音、視頻信號、圖像等，以避開取證人員的視野。它通常是將某些暫時沒有刪除的數(shù)字文件進行隱藏，并偽裝成普通類型的文件，其目的就是增加取證的難度，讓取證人員無法找到該類信息。比較多見的數(shù)據(jù)隱藏技術(shù)包括：隱寫術(shù)、對文件的后綴名進行更改等。

1.隱寫術(shù)

將犯罪證據(jù)在常規(guī)文件下進行隱寫，如：數(shù)字化的文本、聲音、視頻、圖像等，以此來躲避取證人員進行的相關(guān)數(shù)據(jù)分析。例如將Word文件在jpg中進行隱藏，選擇DOS中的相關(guān)Copy命令把對文件進行合并，使之成為jpg文件，從而對文件加以隱藏[4]。目前較為多見的是將隱寫術(shù)同數(shù)據(jù)加密進行結(jié)合運用，主要是先對數(shù)據(jù)進行加密，然后再選擇隱寫術(shù)對文件進行隱藏，導(dǎo)致取證的難度不斷加大。

2.對文件的后綴名進行更改

進行數(shù)據(jù)隱藏最為快捷的措施就是對文件的后綴名進行修改，例如對于Word文檔而言，可以把doc變更為圖片jpg格式，如此系統(tǒng)便可以使打開本文件的相關(guān)默認程序得到了改變，當(dāng)將本文件打開時，也看不到其他任何有用的信息圖像。對信息進行還原，只需把jpg變更為doc。

（四）數(shù)據(jù)加密

在具體的取證過程中，取證人員在對某個密碼保護文件進行打開時，或是在對其進行加密后便轉(zhuǎn)化為亂碼文件，給取證工作帶來了極大的困難。此時，取證人員必須采取必要的措施對密碼進行破解，將數(shù)據(jù)的本來面目加以恢復(fù)[5]。但是，通常情況下黑客會選擇極為復(fù)雜的密碼或?qū)Χ喾N的加密方式聯(lián)合使用，在短時間內(nèi)取證人員無法對加密的數(shù)據(jù)進行獲取。

五、結(jié)束語

計算機取證技術(shù)是在保障網(wǎng)絡(luò)信息安全及打擊計算機犯罪等方面發(fā)揮著極為重要的作用，但在其發(fā)展和運用的過程中也遇到了許多困難，我們必須想辦法對其加以解決，加強對反取證技術(shù)方面的研究，對計算機犯罪進行嚴厲的打擊和堅決的遏制。

參考文獻：

[1]范一樂.主動防御網(wǎng)絡(luò)安全配置技術(shù)在計算機取證中的應(yīng)用探討[J].軟件導(dǎo)刊.2011（06）：424—427

[2]游春暉，劉乃琦，代立松.數(shù)據(jù)恢復(fù)技術(shù)在計算機取證系統(tǒng)中的應(yīng)用[J].成都大學(xué)學(xué)報（自然科學(xué)版），2008（02）：323—324

[3]金貴朝.基于手繪識別的智能電子白板系統(tǒng)研究與實現(xiàn)[J].杭州師范大學(xué)學(xué)報（自然科學(xué)版）.2011（06）：689—691

[4]周剛，麥永浩，曹強，張鵬.云計算應(yīng)用對計算機取證技術(shù)的挑戰(zhàn)和對策[J].警察技術(shù)，2011（02）：56—58

[5]喬通，錢振興，張新鵬，王文文.基于局部能量方差特性的數(shù)字圖像取證[J].模式識別與人工智能，2012（02）：256—257

[6]林建輝.基于日志技術(shù)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處置研究[J].湖北警官學(xué)院學(xué)報，2009（05）：1241—4242