仇學(xué)敏

摘要：由于計算機(jī)犯罪手段的變化和其他技術(shù)的引入，使取證的工作已不在局限于普通的層面上，計算機(jī)的取證已變得越來越重要。該文就此闡述了計算機(jī)取證的主要原則和一般步驟作，并對計算機(jī)取證的相關(guān)技術(shù)及存在問題作初步研究。

關(guān)鍵詞： 計算機(jī)犯罪；計算機(jī)證據(jù)；計算機(jī)取證

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）32-7547-02

目前，打擊計算機(jī)犯罪的關(guān)鍵是如何將犯罪者留在計算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪者繩之以法。此過程涉及的技術(shù)便是目前人們研究與關(guān)注的計算機(jī)取證（Computer Forensics）技術(shù)，它是計算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué)，它被用來解決大量的計算機(jī) 犯罪和事故，包括網(wǎng)絡(luò)入侵、盜用知識產(chǎn)權(quán)和E-mail欺騙等。隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的計算機(jī)聯(lián)成網(wǎng)絡(luò)，提供信息共享服務(wù)，給人們帶來了工作的高效率和生活的高質(zhì)量。與此同時，社會生活中的計算機(jī)犯罪行為不斷出現(xiàn)，一種新的證據(jù)形式——電子證據(jù)，逐漸成為新的證據(jù)之一。與一般的犯罪不同，計算機(jī)犯罪行為是一種新興的高技術(shù)犯罪，其很多犯罪證據(jù)都以數(shù)字形式通過計算機(jī)或網(wǎng)絡(luò)進(jìn)行存儲和傳輸，包括一切記錄、文件、源代碼、程序等，即所謂的電子證據(jù)。由于電子證據(jù)與海量的正常數(shù)據(jù)混雜，難以提取，且易于篡改、銷毀，故其獲取、存儲、傳輸和分析都需要特殊的技術(shù)手段和嚴(yán)格的程序，否則，難以保證證據(jù)的客觀性、關(guān)聯(lián)性和合法性。因此單獨依靠信息技術(shù)進(jìn)行安全防御已被證明是遠(yuǎn)遠(yuǎn)不足的，我們需要更多的主動性手段來打擊和威懾計算機(jī)犯罪。

1 計算機(jī)取證

我們知道計算機(jī)證據(jù)是指在計算機(jī)系統(tǒng)運行過程中，產(chǎn)生用以證明案件事實的內(nèi)容的一種電磁記錄物。那簡單理解“計算機(jī)取證”就是取出計算機(jī)證據(jù)的過程，它先由International Associationof Computer Specialists（IACIS）在1991年舉行的第一次年會中正式提出。計算機(jī)緊急事件響應(yīng)和取證咨詢公司New Technologies進(jìn)一步拓展了該定義：計算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取、歸檔[1]。同時計算機(jī)在相關(guān)的犯罪案例中可以扮演黑客入侵的目標(biāo)、作案的工具和犯罪信息的存儲器這幾種角色 證據(jù)進(jìn)行獲取、保存、分析和出示，它實質(zhì)上是一個詳細(xì)掃描計算機(jī)系統(tǒng)以及重建入侵事件的過程。 計算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調(diào)查人員來到計算機(jī)犯罪或入侵的現(xiàn)場，尋找并扣留相關(guān)的計算機(jī)硬件；信息發(fā)現(xiàn)是指從原始數(shù)據(jù)（包括文件，日志等）中尋找可以用來證明或者反駁什么的證據(jù)，無論作為哪種角色，計算機(jī)（連同它的外設(shè)）中都會留下大量與犯罪有關(guān)的數(shù)據(jù)。

因此，計算機(jī)取證是指對能夠為法庭接受的、足夠可靠和有說服性的、存在于計算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。

2 計算機(jī)取證的原則和步驟

2.1 計算機(jī)取證的原則

電子證據(jù)是指在計算機(jī)取證后產(chǎn)生的、以其記錄的內(nèi)容來證明案件事實的電磁記錄物。電子證據(jù)必須是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。但與傳統(tǒng)刑事證據(jù)相比，電子證據(jù)具有技術(shù)性、復(fù)合性、無形性、脆弱性等特點，在收集、審查、鑒定證據(jù)及分析、傳輸和存儲的過程中很容易被篡改和刪除，極大的影響了計算機(jī)證據(jù)的證明力，因此，計算機(jī)取證時必須遵循以下原則：

1） 及時性原則。這一原則對證據(jù)的收集提出了時效要求。

2） 合法性原則。證據(jù)從最初的獲取到被正式提交給法庭，必須具有可采用性。

3） 全面性原則。既收集存在于計算機(jī)軟硬件上和電子證據(jù)，也收集其他相關(guān)外圍設(shè)備中的電子證據(jù)。

4） 嚴(yán)格管理過程的原則。計算機(jī)證據(jù)必須妥善保管。必須保證證據(jù)的真實性和完整性，且整個檢查取證過程必須受到監(jiān)督。

2.2 計算機(jī)取證的步驟

計算機(jī)取證過程和技術(shù)比較復(fù)雜，在打擊計算機(jī)犯罪時，執(zhí)法部門還沒有形成統(tǒng)一標(biāo)準(zhǔn)的程序來進(jìn)行計算機(jī)取證工作。目前，計算機(jī)取證工作一般按照下面步驟進(jìn)行： [2]

1） 現(xiàn)場保護(hù)。首先應(yīng)該對現(xiàn)場進(jìn)行保護(hù)，停止對計算機(jī)的操作，禁用與涉案計算機(jī)有關(guān)的外圍設(shè)備，切斷涉案計算機(jī)與外界的聯(lián)系。

2） 提取證據(jù)。計算機(jī)證據(jù)的提取應(yīng)由外入內(nèi)，首先應(yīng)該進(jìn)行外圍證據(jù)的收集：注意收集各種文件。如系統(tǒng)手冊、計算機(jī)運行記錄等；注意收集可能儲存有犯罪信息的各種物證，從眾多的未知和不確定性中找到確定性的東西。這一步使用的工具一般是具有磁盤鏡像、數(shù)據(jù)恢復(fù)、解密、網(wǎng)絡(luò)數(shù)據(jù)捕獲等功能的取證工具。

3） 證據(jù)分析。這是計算機(jī)取證的核心和關(guān)鍵。分析計算機(jī)的類型、采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有隱藏的分區(qū)；有無可疑外設(shè)；有無遠(yuǎn)程控制、木馬程序。分析在磁盤特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。利用磁盤存儲空閑空間數(shù)據(jù)分析技術(shù)進(jìn)行數(shù)據(jù)恢復(fù)，獲得文件被增、刪、改、復(fù)制前的痕跡。通過將收集的程序、數(shù)據(jù)和備份與當(dāng)前運行的程序數(shù)據(jù)進(jìn)行對比，從中發(fā)現(xiàn)篡改痕跡?？赏ㄟ^該計算機(jī)的所有者，或電子簽名、密碼、交易記錄、回郵信箱、郵件發(fā)送服務(wù)器的日志、上網(wǎng)IP等計算機(jī)特有信息識別體，結(jié)合全案其它證據(jù)進(jìn)行綜合審查。注意該計算機(jī)證據(jù)要同其它證據(jù)相互印證、相互聯(lián)系起來綜合分析。同時，要注意計算機(jī)證據(jù)能否為偵破該案提供其它線索或確定可能的作案時間和罪犯。

4） 證據(jù)歸檔。標(biāo)明數(shù)據(jù)重建犯罪過程：入侵的時間、使用的IP地址、修改的文件、增加的文件（后門、木馬、病毒等）、刪除的文件、下載和上載的文件等；打印對目標(biāo)計算機(jī)系統(tǒng)的全面分析結(jié)果，包括所有的相關(guān)文件列表和發(fā)現(xiàn)的文件數(shù)據(jù)，然后給出分析結(jié)論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)，數(shù)據(jù)和作者的信息，對信息的任何隱藏、刪除、保護(hù)、加密企圖，以及在調(diào)查中發(fā)現(xiàn)的其他相關(guān)信息。

3 計算機(jī)取證的技術(shù)和存在的問題

3.1 計算機(jī)取證的技術(shù)

計算機(jī)取證技術(shù)可分為靜態(tài)取證和動態(tài)取證，由于計算機(jī)系統(tǒng)應(yīng)用的環(huán)境不同，有些受攻擊的計算機(jī)系統(tǒng)可以中止所有進(jìn)程，交由取證人員進(jìn)行取證，這種取證的叫靜態(tài)取證；為了偵查工作的需要，或者網(wǎng)絡(luò)系統(tǒng)實時性要求高等特殊需要，某些系統(tǒng)不允許中斷運行，則必須在發(fā)生攻擊的過程中，在不影響系統(tǒng)核心應(yīng)用的情況下，跟蹤取證，這種取證的方法叫動態(tài)取證。常用技術(shù)有：

1） 數(shù)據(jù)恢復(fù)技術(shù)。對破壞和刪除的數(shù)據(jù)要進(jìn)行有效恢復(fù)，才能從中發(fā)現(xiàn)蛛絲馬跡。一般來說，即使是將硬盤數(shù)據(jù)刪除并清空回收站，數(shù)據(jù)還仍然保留在硬盤上，只是硬盤表中相應(yīng)文件的文件名被破壞，只要該位置沒有被重新寫入數(shù)據(jù)，原來的數(shù)據(jù)就可以恢復(fù)出來?？梢酝ㄟ^類似Recover NT這樣的程序，在所有驅(qū)動器軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動器中查找、恢復(fù)數(shù)據(jù)。

2） 數(shù)據(jù)備份技術(shù)。使用磁盤映像拷貝等數(shù)據(jù)備份的辦法，將被攻擊機(jī)器的磁盤原樣復(fù)制一份，其中包括磁盤的臨時文件、交換文件以及磁盤未分配區(qū)等。然后對復(fù)制的磁盤進(jìn)行操作。

3） 磁盤后備文件、鏡像文件、交換文件、臨時文件和記錄文件分析技術(shù)。軟件在運行過程中會產(chǎn)生一些臨時文件，可以用NORTON等軟件對系統(tǒng)區(qū)域的重要內(nèi)容形成鏡像文件，以及BAK、交換文件、SWP等。要注意對這些文件結(jié)構(gòu)的分析，并掌握其組成結(jié)構(gòu)。

4） 磁盤特殊區(qū)域中的殘留數(shù)據(jù)分析技術(shù)。磁盤特殊區(qū)域，包括未分配的磁盤空間和SLACK空間。這些特殊區(qū)域中可能含有先前文件遺留下來的有用的證據(jù)信息。

3.2 取證存在的問題

計算機(jī)取證技術(shù)是相關(guān)法律法規(guī)賴以實施的基礎(chǔ)，是我國全面實現(xiàn)信息化的重要技術(shù)之一，但現(xiàn)在還存在以下問題：

1） 計算機(jī)取證涉及到磁盤分析、加密、數(shù)據(jù)隱藏、日志信息發(fā)掘、數(shù)據(jù)庫技術(shù)、介質(zhì)的物理性質(zhì)等多方面的知識，取證人員除了會使用取證工具外，還應(yīng)具備綜合運用多方面知識的能力。

2） 在取證方案的選擇上應(yīng)結(jié)合實時取證和事后取證兩種方案，以保證取證的效果，因此可以將計算機(jī)取證融合到入侵檢測等網(wǎng)絡(luò)安全工具中，進(jìn)行動態(tài)取證。這樣，整個取證過程將更加系統(tǒng)并具有智能性。

3） 計算機(jī)取證只是一種取證手段，并不是萬能的，因此計算機(jī)取證需與常規(guī)案件的取證手段相結(jié)合，比如詢問當(dāng)事人、保護(hù)現(xiàn)場等，從而有效打擊計算機(jī)犯罪。

4） 目前還沒有一套評價標(biāo)準(zhǔn)和取證工作的操作規(guī)范，使得取證結(jié)果的可信性受到質(zhì)疑。

4 結(jié)束語

盡管計算機(jī)取證技術(shù)已經(jīng)得到了一定的發(fā)展，然而隨著計算機(jī)技術(shù)及計算機(jī)犯罪的發(fā)展，現(xiàn)有的取證技術(shù)已經(jīng)不能滿足打擊犯罪的要求；同時，計算機(jī)理論和技術(shù)的發(fā)展也影響著計算機(jī)取證技術(shù)的發(fā)展，使得目前計算機(jī)取證技術(shù)呈現(xiàn)出領(lǐng)域擴(kuò)大化、學(xué)科融合化、標(biāo)準(zhǔn)化、智能化等發(fā)展趨勢。

參考文獻(xiàn)：

[1] 錢桂瓊.計算機(jī)取證的研究與設(shè)計[J].計算機(jī)工程，2002，23（6）：35-38.

[2] 許榕生.計算機(jī)取證概述[J].計算機(jī)工程與應(yīng)用，2001，25（2）：56-59.

[3] 張斌.計算機(jī)取證有效打擊計算機(jī)犯罪[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004，24（7）：22-25.

[4] 邢鈞.淺談計算機(jī)取證技術(shù)及存在的困難[J].中國人民公安大學(xué)學(xué)報，2003，25（6）：48-50.

[5] 丁麗萍.論計算機(jī)取證的原則和步驟[J].中國人民公安大學(xué)學(xué)報（自然科學(xué)版），2005（1）.

[6] 陳祖義，龔儉，徐曉琴.計算機(jī)取證的工具體系[J].計算機(jī)工程 ，2005（5）.

[7] 梁錦華，蔣建春，戴飛雁，卿斯?jié)h.計算機(jī)取證技術(shù)研究[J].計算機(jī)工程 ，2002（8）.