宋愈珍，陳穎

（上饒職業(yè)技術(shù)學(xué)院，江西上饒334000）

?

計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)研究

宋愈珍，陳穎

（上饒職業(yè)技術(shù)學(xué)院，江西上饒334000）

結(jié)合法律中明確規(guī)定電子證據(jù)的合法性，不斷研究計(jì)算機(jī)技術(shù)以完善電子證據(jù)采集與保存技術(shù)。

計(jì)算機(jī)；主機(jī)隱秘；取證技術(shù)

引言

計(jì)算機(jī)在信息儲(chǔ)存、信息交流和信息處理方面有著得天獨(dú)厚的巨大優(yōu)勢，使得計(jì)算機(jī)技術(shù)在我國迅速普及，并在相當(dāng)短的時(shí)間內(nèi)成為了工作生活的重要組成部分，甚至成為國民經(jīng)濟(jì)快速發(fā)展的推動(dòng)力。然而，計(jì)算機(jī)的普及也催生了一種新的犯罪方式——互聯(lián)網(wǎng)犯罪。互聯(lián)網(wǎng)犯罪通常由兩部分組成，第一項(xiàng)就是利用計(jì)算機(jī)作為存儲(chǔ)犯罪信息的平臺(tái)；第二項(xiàng)直接將計(jì)算機(jī)作為了犯罪工具。這兩者雖然有著本質(zhì)的差別，但是在犯罪證據(jù)采集的過程中，卻是沒有太大的差距。

中國正處在法制建設(shè)關(guān)鍵期，相關(guān)法律法規(guī)的出臺(tái)速度難以趕上迅速發(fā)展的計(jì)算機(jī)技術(shù)，使得相關(guān)的法律在一定的程度上落后于計(jì)算機(jī)的發(fā)展，在面對(duì)計(jì)算機(jī)犯罪時(shí)，難以進(jìn)行有效地制裁。近年來，隨著相關(guān)法律的出臺(tái)，電子證據(jù)已得到了法庭和人民群眾認(rèn)可。這直接使計(jì)算機(jī)取證技術(shù)站在了一個(gè)相當(dāng)高的位置上。不論什么樣的取證方式都無法跳出時(shí)間、地點(diǎn)、事情經(jīng)過等等證據(jù)鏈要素的制約，計(jì)算機(jī)取證技術(shù)也是圍繞這幾點(diǎn)進(jìn)行探索和發(fā)展的。

1計(jì)算機(jī)系統(tǒng)取證基本原則

1.1依法取證的原則

在進(jìn)行犯罪取證工作時(shí)，具體的取證過程在中國的相關(guān)法律中已經(jīng)有了相當(dāng)明確的法律規(guī)定。具體來說，一定要包含犯罪主體、犯罪對(duì)象、犯罪實(shí)施的方法以及犯罪過程這四個(gè)要素才能構(gòu)成一條完整的證據(jù)鏈條，才具有合法性。同時(shí)，取證人員也必須是有資質(zhì)的專業(yè)人員，不是任何人都可以參加到取證工作中來。在實(shí)際的取證工作中，工作人員還要明確取證的范圍界定，對(duì)于那些在犯罪調(diào)查外圍的人員不能夠利用權(quán)力私自調(diào)查，要保證其它不相關(guān)人員的隱私以及合法權(quán)益。

1.2備份取證原則和無損原則

這兩個(gè)取證的原則其實(shí)就如同它們的字面意思一樣。在目前，備份原則往往是通過拍照來實(shí)現(xiàn)。在取證的過程中，要用照相機(jī)等設(shè)備對(duì)證物進(jìn)行備份。這種做法可以保證原始證據(jù)的完整和證據(jù)的隨取隨用。而無損原則就是在取證的過程中一定要謹(jǐn)慎而為，盡量做到不破壞現(xiàn)場，不破壞證據(jù)。在一些有涉案設(shè)備的現(xiàn)場，還要注重對(duì)儀器的保護(hù)，使涉案儀器處在犯罪發(fā)生時(shí)的狀態(tài)，有利于案件的后續(xù)調(diào)查。

1.3及時(shí)性和準(zhǔn)確性

在計(jì)算機(jī)取證的過程中一定要把握這兩個(gè)特性。第一點(diǎn)，由于計(jì)算機(jī)存儲(chǔ)的數(shù)據(jù)分為兩個(gè)部分，其中緩存在電腦斷電重啟之后會(huì)丟失，使數(shù)據(jù)發(fā)生改變，所以取證人員在對(duì)計(jì)算機(jī)取證時(shí)一定要把握好時(shí)機(jī)，在計(jì)算機(jī)數(shù)據(jù)沒有發(fā)生改變的時(shí)候就取得第一手證據(jù)；第二點(diǎn)就是取證的準(zhǔn)確性，計(jì)算機(jī)是一種人工智能的設(shè)備，是由一定的邏輯組件構(gòu)成的。所以取證人員在取證的過程中還要按照規(guī)定的步驟準(zhǔn)確地執(zhí)行；而不是任意而為，使拿到手的證據(jù)喪失意義。

1.4過程監(jiān)督和管理原則

電子數(shù)據(jù)在作為證據(jù)時(shí)會(huì)顯得十分容易丟失和遭到破壞。所以在計(jì)算機(jī)取證的具體過程中，一定要要有專家在旁邊進(jìn)行全程實(shí)時(shí)監(jiān)控和指導(dǎo)。而在取得相關(guān)的證據(jù)之后，證據(jù)的保存、復(fù)制也要做好記錄工作，通過嚴(yán)密的防護(hù)保證這些重要數(shù)據(jù)免受破壞而丟失。

2　計(jì)算機(jī)信息隱秘取證存在的問題

由于計(jì)算機(jī)取證技術(shù)在中國的起步比較晚，其具體的操作過程往往還會(huì)存在以下幾點(diǎn)問題：1）由于計(jì)算機(jī)取證技術(shù)在中國的發(fā)展較晚，具體的取證過程中，沒有經(jīng)過長久驗(yàn)證的措施來進(jìn)行合法取證。一般的情況是取證人員會(huì)利用相對(duì)陳舊的取證方式來進(jìn)行取證的操作過程，這些方法往往會(huì)無法保證取證的科學(xué)性和可依賴性。隨著近年來相關(guān)制度的完善，計(jì)算機(jī)的取證工作可以有相關(guān)的規(guī)定作為依據(jù)。但是由于實(shí)踐經(jīng)驗(yàn)的缺乏，制定出來的規(guī)定往往太過于模糊，沒有用十分準(zhǔn)確的專業(yè)術(shù)語進(jìn)行規(guī)定。在實(shí)際的操作過程中，難以起到其應(yīng)有的作用。這也使得電子證據(jù)在法庭上很難作為有力的證據(jù)對(duì)犯罪者進(jìn)行指控。2）電子證據(jù)相對(duì)于傳統(tǒng)的證據(jù)，具有信息量巨大的特點(diǎn)。而這特點(diǎn)表現(xiàn)在具體的取證過程中就是很難發(fā)現(xiàn)有用的信息，而有些信息甚至還是經(jīng)過加密的，只有進(jìn)行破譯才可以讀出，這往往會(huì)使案件陷入僵局。3）計(jì)算機(jī)內(nèi)的信息通常情況下是人工無法識(shí)別的匯編語言，只有經(jīng)過特殊軟件的編譯才可以人為讀出這些信息。但是由于技術(shù)的限制，我們國內(nèi)生產(chǎn)的取證軟件可靠性不高，難以滿足取證的要求。而引進(jìn)的國外的先進(jìn)系統(tǒng)不僅會(huì)花費(fèi)大量的外匯，還無法很好適應(yīng)國內(nèi)的工作需要。所以目前在國內(nèi)的計(jì)算機(jī)取證過程中往往是使用臨時(shí)編寫的程序，這使得取證結(jié)果難以令人信服，限制了計(jì)算機(jī)取證技術(shù)的發(fā)展［1］。

3　計(jì)算機(jī)主機(jī)隱秘信息取證系統(tǒng)分析

中國目前在計(jì)算機(jī)取證過程中應(yīng)用的軟件，往往是由幾個(gè)相對(duì)固定的模塊組成。而其實(shí)現(xiàn)取證功能的過程也相對(duì)固定，通常會(huì)包括信息采集、信息分析、信息加工、信息傳輸?shù)葞讉€(gè)過程。而對(duì)計(jì)算機(jī)的主機(jī)取證則是整個(gè)取證過程的核心內(nèi)容。而對(duì)計(jì)算機(jī)主機(jī)的取證往往包括許多個(gè)獨(dú)立的模塊，而其中相對(duì)核心的一個(gè)模塊就是自動(dòng)隱藏和加載模塊，這兩個(gè)模塊的工作好壞將會(huì)直接的影響到整個(gè)計(jì)算機(jī)隱秘系統(tǒng)的取證過程。同時(shí)，在取證的過程中要密切的注意軟件的具體行為，保證取證過程完整性［2］。

除以上模塊之外，還有一個(gè)叫做自動(dòng)卸載的模塊。自動(dòng)卸載的模塊在得到指令后，會(huì)通過一系列的動(dòng)作來完成注入痕跡的清理任務(wù)。然后文件數(shù)據(jù)取證利用這個(gè)這個(gè)模塊得到計(jì)算機(jī)主機(jī)上所存儲(chǔ)的相關(guān)信息，再將得到的數(shù)據(jù)進(jìn)行加密和壓縮，最終利用軟件的數(shù)據(jù)回傳功能將得到的數(shù)據(jù)傳輸?shù)酵饨纾瑥亩鴮?shí)現(xiàn)計(jì)算機(jī)取證的任務(wù)。

這些得到應(yīng)用的取證系統(tǒng)實(shí)質(zhì)上是計(jì)算機(jī)和其它存儲(chǔ)設(shè)備的數(shù)據(jù)傳輸軟件，數(shù)據(jù)的采集以及接下來的傳輸功能都是由一個(gè)系統(tǒng)來完成。它取證功能的實(shí)現(xiàn)就是利用軟件中的主機(jī)數(shù)據(jù)采集平臺(tái)和數(shù)據(jù)傳輸平臺(tái)來實(shí)現(xiàn)。其中主機(jī)取證是通過物理連接將自己的程序植入到主機(jī)中，得到指令后，便隱秘地將采集的數(shù)據(jù)回傳到外界的存儲(chǔ)平臺(tái)，最終完成整個(gè)計(jì)算機(jī)取證過程［3］。

［1］熊杰.計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)研究［J］.軟件導(dǎo)刊，2013（4）: 157-159.

［2］烏嵐.淺析計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)［J］.當(dāng)代教育實(shí)踐與教學(xué)研究，2015（5）:168-169.

［3］文少勇，王箭，李劍.基于Windows平臺(tái)的動(dòng)態(tài)取證系統(tǒng)［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2012（2）:13-17.

（編輯：王璐）

On Computer Host Secret Information Forensics Technology

Song Yuzhen，Chen Ying
（Shangrao Vocational and Technical College，Shangrao Jiangxi 3 3 4000）

Combined with the legality of electronic evidence clearly stated in law，this paper continuously studies computer technology to improve the electronic evidence collection and preservation techniques.

computer；host secret；forensics

TP393.08

A

2095-0748（2015）22-0090-02

10.16525/j.cnki.14-1362/n.2015.22.40

2015-10-22

宋愈珍（1983—），女，江西贛州人，碩士，講師，研究方向：主要從事計(jì)算機(jī)軟件應(yīng)用、電子商務(wù)、平面設(shè)計(jì)、信息技術(shù)方向的教學(xué)與研究；陳穎（1982—），女，江西上饒人，碩士，講師，研究方向：主要從事計(jì)算機(jī)軟件應(yīng)用、電子商務(wù)、平面設(shè)計(jì)、信息技術(shù)方向的教學(xué)與研究。