于麗

（新疆警察學院信息安全工程系，新疆 烏魯木齊 830011）

計算機取證及其規(guī)范論述

于麗

（新疆警察學院信息安全工程系，新疆 烏魯木齊 830011）

從上世紀八十年代開始，人們就在研究將計算機應用于取證，發(fā)展至今，在計算機取證的思想、理論和方法等方面都已經(jīng)取得了重大的突破。本文在該背景之下對計算機取證及其規(guī)范進行了論述。在對計算機取證的概念進行詳細介紹的基礎上，提出目前計算機取證所面臨的問題以及相應的解決措施，對我國在應用計算機取證方面的規(guī)范加以完善。

計算機取證；規(guī)范；技術

1 引言

近些年來，計算機在我國得到了廣泛的應用，而隨著計算機技術的不斷發(fā)展，許多違法犯罪活動也開始涉及到計算機和網(wǎng)絡，而這些與計算機和網(wǎng)絡相關的違法犯罪活動，其證據(jù)往往也都是電子證據(jù)。所以我國已經(jīng)深刻地認識到了計算機取證的重要性，利用計算機進行取證不僅僅可以幫助調(diào)查與計算機和網(wǎng)絡有關的違法犯罪活動，還可以有效地進行其它方面的取證。但是就我國目前的情況而言，計算機取證在規(guī)范和制度方面仍然存在一定的問題，要想更好地利用計算機來進行取證，必須要對相應的制度和法律法規(guī)進行完善。再加之計算機取證往往涉及到許多不同專業(yè)的知識，所以利用計算機進行取證也必須要同時考慮多個方面因素的影響。

2 計算機取證概述

2.1 電子證據(jù)的概念

所謂的電子證據(jù)，指的是在電子技術出現(xiàn)之后才產(chǎn)生的一種新型的證據(jù)類型，這種證據(jù)不同于傳統(tǒng)的證據(jù)，它往往有著特定的載體，那就是計算機。在電子技術出現(xiàn)之前，是不存在電子證據(jù)這一說法的，而電子技術發(fā)展至今也不過數(shù)百年的歷史，所以電子證據(jù)的發(fā)展時間并不是很長。自無線電技術被發(fā)明之后，人類開始了信息革命，所以許多的案件中也開始涉及到電子證據(jù)，因此要想更好地偵破這些案件，必須要充分地利用電子證據(jù)，而要取得電子證據(jù)，就需要依賴于計算機取證。當前關于電子證據(jù)有著許許多多的說法，但是總結(jié)起來，電子證據(jù)一般都具有以下幾個方面的特征：首先，電子證據(jù)是伴隨著計算機技術發(fā)展而產(chǎn)生的；其次，電子證據(jù)是經(jīng)過了現(xiàn)代化的計算工具和信息處理設備的處理的；最后，電子證據(jù)是可以作為訴訟的依據(jù)的。

2.2 計算機取證的概念

在國外對于計算機取證這個概念的界定往往有著許多不同的說法，但是每一種說法都有著其自身的獨到之處，但同時也有著一定的片面性。我國對于計算機取證這一概念的界定也是借鑒于國外的定義，我國認為計算機取證是一個廣義的概念，它包含著十分豐富的內(nèi)容，既有對計算機信息系統(tǒng)的取證，也有網(wǎng)絡取證，計算機取證實質(zhì)上與數(shù)字取證和電子證據(jù)取證沒有太大的差別，之所以使用計算機取證，主要是為了突出取證的對象，而且計算機也是電子證據(jù)的一個重要載體。

3 計算機取證分類

要對計算機取證進行分類，必須首先要確定分類的標準，如果分類的依據(jù)不一樣，分類的結(jié)果也是不相同的。比如說可以按照取證難易程度的不同來將計算機取證進行分類，也可以按照取證范圍的不同來對計算機取證進行分類，還可以按照取證時間的不同來對計算機取證進行分類。如果按照取證難易程度的不同來對計算機取證進行分類，則計算機取證可以分為一般取證和復雜取證兩類。一般取證主要包括了打印、拷貝、拍照攝像、制作司法文書、公證和查封扣押等程序；復雜取證相比于一般取證的難度有所增加，它主要包括了解密、恢復和測試等程序。如果按照取證范圍的不同來對計算機取證進行分類，則可以將其分為內(nèi)部取證和外圍取證。所謂外圍取證，指的是從涉案計算機的外部對其進行勘查和取證，外圍取證是不會使得計算機內(nèi)部的信息受到任何改變的，而內(nèi)部取證則重在對計算機系統(tǒng)內(nèi)部信息的挖掘，這些信息往往通過外圍取證是不能夠獲取的。內(nèi)部取證和外圍取證所用到的技術手段也是不相同的。如果按照取證時間的不同來對計算機取證進行分類，則可以將其分為事后取證和事中取證。事中取證指的是取證人員在案件發(fā)生的同時進行取證，通過這種取證方式往往可以更加及時地對證據(jù)加以收集，更加有利于案件的及時偵破，而事后取證則是在案件發(fā)生之后再進行取證，這種取證方式雖然效率不高，但是往往更加全面，因為在案件發(fā)生之后，可以綜合考慮各個方面的因素來進行取證，所以可以有效地提高證據(jù)的可靠度。

4 我國計算機取證存在的問題

4.1 相應的技術還不夠完善

電子證據(jù)有著一定的特殊性，所以在進行計算機取證的時候，也必須要注意這一些問題，計算機取證有著自身特殊的要求。由于電子證據(jù)大都是一些信息，而這些信息是存儲在計算機之中的，所以使得這些電子證據(jù)往往十分容易被修改和刪除，因此在進行電子取證的時候，首先要在技術方面達標，但是就我國目前的情況而言，計算機取證的許多技術還不夠完善。首先，數(shù)據(jù)的原始性得不到很好的保障，如果數(shù)據(jù)的原始性不能夠得到有效的保障，那么很有可能將后續(xù)的技術分析引導向錯誤的方向，嚴重時甚至還將造成數(shù)據(jù)的丟失和破壞，而原始數(shù)據(jù)一旦被破壞，就無法被找回，電子證據(jù)也就被銷毀了；其次，在對電子證據(jù)進行分析的時候，所使用的信息網(wǎng)絡系統(tǒng)及其它的一些輔助設備也不夠安全可靠，電子證據(jù)的安全得不到有效的保障，如果網(wǎng)絡系統(tǒng)出現(xiàn)問題或者硬件出現(xiàn)問題，就會使得電子證據(jù)遭到破壞[1]；最后，在對數(shù)據(jù)進行分析之前，務必要進行數(shù)字簽名，而當前在進行計算機取證的時候，許多取證人員往往是忽略了這一點的。

4.2 法律不夠完善

由于電子證據(jù)也是定罪和量刑的一個重要依據(jù)，所以在法律方面對計算機取證也有一定的要求。在法律方面，對取證的主體、取證的程序、取證的工具和取證過程中的相關權利都作出了具體的要求，但是就我國的實際情況而言，在法律方面還是不夠完善的。當前的計算機取證主體往往沒有經(jīng)過嚴格的資質(zhì)認定。在進行計算機取證時，許多工作人員為了工作的便利，就忽略了一些程序，而且取證的工具也必也不能滿足相應的要求。這些問題的出現(xiàn)都是因為我國在計算機取證方面的法律制度尚不完善，使得許多人鉆了法律的空子，進而導致了問題的出現(xiàn)。

5 解決計算機取證過程中存在問題的措施

5.1 利用數(shù)據(jù)復制技術保護原始數(shù)據(jù)

在計算機取證的過程中，經(jīng)常會使用到數(shù)據(jù)復制技術。所謂的數(shù)據(jù)復制技術，是指將所要調(diào)查的設備上的數(shù)據(jù)進行復制，復制之后再將其保存到另外一個專門的設備上，從而使得源數(shù)據(jù)與取證分析所用到的數(shù)據(jù)是一致的。而且通過數(shù)據(jù)復制技術，也可以有效地避免數(shù)據(jù)的改變或者丟失，因為即使源數(shù)據(jù)被改變或者丟失了，也可以再利用復制數(shù)據(jù)來進行分析[2]，這樣就能夠確保計算機取證的順利進行。所以通過數(shù)據(jù)復制技術可以有效地保證原始數(shù)據(jù)不被破壞。

數(shù)據(jù)復制技術包含著非常豐富的內(nèi)容，它主要包括數(shù)據(jù)備份技術、數(shù)據(jù)鏡像技術和數(shù)據(jù)快照技術等。數(shù)據(jù)備份技術就是指利用工具把源數(shù)據(jù)進行復制；數(shù)據(jù)鏡像技術是指把原始數(shù)據(jù)通過壓縮轉(zhuǎn)換成為無損的鏡像文件，從而完成數(shù)據(jù)的備份。在計算機取證的過程中，有些可能需要對原始數(shù)據(jù)進行全部復制，有些則只需要進行部分數(shù)據(jù)的復制，所以可以根據(jù)實際的需要來選用不同的復制技術，從而實現(xiàn)高效的取證。

5.2 利用數(shù)據(jù)修復技術修復原始數(shù)據(jù)

由于許多電子證據(jù)都是以數(shù)據(jù)的形式存儲于計算機之中的，而這些數(shù)據(jù)往往會由于硬件或者軟件的原因而遭到破壞，一旦原始數(shù)據(jù)被破壞或者修改，對于計算機取證是極為不利的。而在此時如果想要使得原始數(shù)據(jù)得到恢復，就需要利用到數(shù)據(jù)修復技術。由于計算機磁盤的分區(qū)中是有數(shù)據(jù)記錄的，所以如果數(shù)據(jù)由于某些原因被破壞了，則可以利用一些特定的工具來對其進行復原，從而使得原始數(shù)據(jù)能夠得到恢復。在計算機取證過程中，經(jīng)常會遇到電子文件被刪除或者損壞、磁盤遭到格式化或者硬盤被加密、磁盤的故障和周圍數(shù)據(jù)遭到破壞等問題，而這些問題都可以通過數(shù)據(jù)修復技術來進行修復[3]，修復之后，相應的數(shù)據(jù)能夠得到一定程度的復原，從而使得計算機取證能夠得以順利進行。還有一種情況就是在分析和處理數(shù)據(jù)的時候造成了數(shù)據(jù)的丟失或者損壞，這時也可以利用數(shù)據(jù)修復技術來對數(shù)據(jù)進行復原。

5.3 利用數(shù)據(jù)解密技術破解加密數(shù)據(jù)

由于當前網(wǎng)絡環(huán)境較為復雜和不安全，所以許多人在存儲數(shù)據(jù)時，都會將其進行加密，這樣可以有效地保護數(shù)據(jù)的安全。但是一些不法分子在進行違法犯罪活動時，往往也會利用加密技術來對一些重要信息進行加密，而在進行計算機取證時，就需要將這些數(shù)據(jù)解密，這樣才能夠使得取證順利開展。此時就需要利用到數(shù)據(jù)解密技術。數(shù)據(jù)解密技術實質(zhì)上是數(shù)據(jù)加密技術的逆過程，當前破解加密數(shù)據(jù)的技術主要有密碼分析學技術、密碼猜測技術和密碼搜索技術等，通過這些技術都可以對加密數(shù)據(jù)進行破解。

6 計算機反取證技術

計算機反取證技術是針對取證技術提出來的，所謂的反取證技術就是指通過計算機技術消除電子證據(jù)，抹除作案痕跡的技術。計算機反取證技術的出現(xiàn)影響了計算機取證，使得一些不法分子逍遙法外。

近年來，隨著計算機技術的不斷發(fā)展，反取證技術獲得了快速的發(fā)展，從而影響了計算機取證的效果。在取證過程中，很多關系到案情的關鍵證據(jù)都被抹除掉了，即使有一些電子證據(jù)沒有被完全消除掉，但由于計算機取證技術的局限性，也無法將這些電子證據(jù)恢復出來?，F(xiàn)在，市場上有很多計算機反取證軟件。下文將具體介紹幾種比較常見的反取證技術：第一，是數(shù)據(jù)隱藏。所謂的數(shù)據(jù)隱藏就是指嫌疑人先將電子證據(jù)進行偽裝，然后將其存儲在秘密的隱藏空間里，這樣就不會被人輕易發(fā)現(xiàn)。但數(shù)據(jù)隱藏技術只適用于短期數(shù)據(jù)存儲。常見的數(shù)據(jù)隱藏方式包括電子文件隱藏、回收站隱藏等；第二，是數(shù)據(jù)刪除。相比于數(shù)據(jù)隱藏來說，數(shù)據(jù)刪除更加有效。通過使用數(shù)據(jù)刪除技術，嫌疑人可以將與電子證據(jù)相關的所有信息全部刪除掉，根本就無法恢復。在刪除電子文件時可以采用徹底粉碎的方法，在刪除IE臨時文件時可以采用刪除歷史記錄的方法；第三，是數(shù)據(jù)加密。其實，數(shù)據(jù)加密并不屬于專業(yè)的計算機反取證技術，數(shù)據(jù)加密本來是用來保護數(shù)據(jù)安全的。但是嫌疑人卻將該種技術用于保護電子證據(jù)。常見的數(shù)據(jù)加密方法包括電子文件加密、軟件加密等。除了上述介紹的幾種反取證技術以外，還有隱寫術、改變系統(tǒng)環(huán)境等計算機反取證技術。加強對計算機反取證技術的研究，有利于促進計算機取證技術的發(fā)展。

7 結(jié)語

近些年來，計算機和網(wǎng)絡犯罪的案件層出不窮，而且由于人們對于計算機和網(wǎng)絡的依賴程度越來越高，所以也使得關于電子技術方面的糾紛越來越多，要想有效地解決這些問題，就需要依賴于計算機取證，利用計算機取證進行電子證據(jù)的收集，從而有助于案件和糾紛的順利解決。

[1]王驕．證據(jù)視角下的計算機取證過程分析[J]．中國司法鑒定，2012，(3)：113-116．

[2]楊靜．關于計算機取證鑒定標準體系的研究[J]．湖北警官學院學報，2014，27(10)：170-172．

[3]劉琴．國際領域計算機取證過程中的規(guī)制研究[J]．法制與社會，2013，(25)：182-184，194．

Discussion on the Computer Forensics and Its Specifications

Yu Li
(XinJiang Pollice College,Urumqi 830011,Xinjiang)

Since the 1980`s,people start the study on computer forensics.So far,the theories and methods of computer forensics acquire a major breakthrough.Under this background,this paper discusses on the computer forensics and its specification. Based on the introduction of the concept in detail,it proposes the current problems and the corresponding solutions,and improves the specification of computer forensics in our country.

computer forensics;specification;technology

TP39；D918.2

a

1008-6609(2016)03-0084-03

于麗，女，河北巨鹿人，碩士，講師，研究方向：計算機課程與教學，軟件工程。