姚靖

?

計算機(jī)取證技術(shù)及其發(fā)展趨勢

姚靖

內(nèi)蒙古包頭市衛(wèi)生學(xué)校，內(nèi)蒙古 包頭 014030

近年來，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，很多計算機(jī)網(wǎng)絡(luò)犯罪事件層出不窮，這使網(wǎng)絡(luò)用戶遭受了巨大經(jīng)濟(jì)損失。但是因為網(wǎng)絡(luò)的虛擬性、不穩(wěn)定性，很多計算機(jī)犯罪事件都找不到確鑿、充分、有說服力的證據(jù)。需要制定出健全的網(wǎng)絡(luò)法制法規(guī)，合理的利用技術(shù)控制手段以解決日益惡化的計算機(jī)網(wǎng)絡(luò)信息安全問題。對計算機(jī)取證技術(shù)的發(fā)展進(jìn)行深入研究。

計算機(jī)取證；發(fā)展趨勢

1 計算機(jī)取證的定義及我國的發(fā)展現(xiàn)狀

計算機(jī)取證國外將其定義為“從計算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具”。我國計算機(jī)技術(shù)的發(fā)展較晚，但近些年來計算機(jī)發(fā)展迅速，計算機(jī)的普及變得明確起來。我國計算機(jī)取證的定義是指，將計算機(jī)調(diào)查與分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取。通常情況下，計算機(jī)取證可分為下面步驟：①調(diào)查現(xiàn)場，對現(xiàn)場進(jìn)行搜索，保護(hù)尋找物力證據(jù)等，其具體實施需要達(dá)到現(xiàn)場，觀察證據(jù)是否能夠取走，不能取走的證據(jù)則需要作好記錄，分析原因，檢查計算機(jī)是否安全；②識別計算機(jī)所獲得的證據(jù)，將證據(jù)進(jìn)行分類分析；③數(shù)據(jù)傳輸。將獲取的信息完整的保存至取證分析儀中；④數(shù)據(jù)存儲。將原數(shù)據(jù)原封不動存儲，確保其完整性；⑤計算機(jī)取證運(yùn)用可顯示方法進(jìn)行分析，保證分析結(jié)果的準(zhǔn)確性；⑥對相關(guān)部門依照法律程序進(jìn)行證據(jù)提交。

計算機(jī)取證幾乎是涵蓋了所有的傳統(tǒng)證據(jù)類型，主要包括文本、圖形、動畫、圖像、音頻與視頻等各種各樣的信息格式。目前為止，我國的計算機(jī)取證技術(shù)的發(fā)展較為簡陋，只有少部分法律條文涉及到了一些簡單的計算機(jī)證據(jù)取證方面的問題，而且還存在法律界對電子證據(jù)作為訴公證據(jù)的爭議問題。但隨著我國現(xiàn)行法律體系不斷完善，我國的計算機(jī)取證的證據(jù)變得更具法律效力與可執(zhí)行性，能更好地促進(jìn)我國的計算機(jī)事業(yè)的發(fā)展。

2 計算機(jī)取證技術(shù)的發(fā)展趨勢

因我國計算機(jī)技術(shù)發(fā)展較晚，在前期的計算機(jī)發(fā)展過程遇到一些問題，因此我國計算機(jī)發(fā)展還有很大的空間，而計算機(jī)取證技術(shù)伴隨著計算機(jī)事業(yè)的迅速發(fā)展，今后也會有較大的發(fā)展。我國計算機(jī)取證技術(shù)的發(fā)展方向主要體現(xiàn)在以下幾個方面。

2.1 取證技術(shù)應(yīng)用工具的自動化和專業(yè)化發(fā)展

當(dāng)今科技的迅猛發(fā)展，計算機(jī)犯罪已經(jīng)到了無孔不入的地步，除了傳統(tǒng)臺式計算機(jī)、筆記本電腦、平板電腦、智能手機(jī)等都逐漸成為了計算機(jī)犯罪的新設(shè)備。因此加強(qiáng)計算機(jī)的取證技術(shù)就是當(dāng)前亟待解決的任務(wù)，充分發(fā)展計算機(jī)的取證學(xué)科，將其作為一項綜合性技術(shù)和重點學(xué)科來發(fā)展[1]。

2.2 多理論融合技術(shù)

多種理論結(jié)合的計算機(jī)取證技術(shù)有助于更好地打擊計算機(jī)犯罪，并且有效地克服了計算機(jī)取證技術(shù)應(yīng)用的局限性，其主要內(nèi)容有：（1）磁盤數(shù)據(jù)恢復(fù)技術(shù)，傳統(tǒng)的計算機(jī)磁盤數(shù)據(jù)恢復(fù)技術(shù)的恢復(fù)效果很差，恢復(fù)過程中很容易出現(xiàn)文件丟失、損壞現(xiàn)象；新形勢下的磁盤恢復(fù)數(shù)據(jù)能夠?qū)⒏鞣N數(shù)據(jù)有效地結(jié)合起來，在進(jìn)行有效地分析，妥善保存。（2）反向工程，當(dāng)計算機(jī)犯罪侵入主機(jī)時，可以應(yīng)用Unix系統(tǒng)對其侵入程序進(jìn)行數(shù)據(jù)分析，但是這種系統(tǒng)程序無法應(yīng)用于反向工程，執(zhí)行程序的加密和壓縮使計算機(jī)取證技術(shù)無法更好地應(yīng)用在反向工程中。

3 計算機(jī)取證過程

計算機(jī)取證的本質(zhì)為對計算機(jī)軟件或硬件系統(tǒng)進(jìn)行檢測借此還原入侵控制系統(tǒng)事件過程。他是對計算機(jī)的入侵、竊取、詐騙、控制、破壞等等一系列行為，按照正規(guī)法律程序的流程，使用計算機(jī)硬件或者軟件上的技術(shù)，對法庭認(rèn)可的、有說服力的、儲存在計算機(jī)或者相關(guān)網(wǎng)絡(luò)中電子信息數(shù)據(jù)進(jìn)行證據(jù)提取、傳輸、存儲、認(rèn)證與提交的一系列過程。

3.1 取證的程序

要想獲得有效的證據(jù)就要先將證據(jù)固定。證據(jù)固定了在后面的剖析、陳述的過程中才不會改變。電子證據(jù)比較容易修改，具有不固定性，因此一旦決定需要電子證據(jù)，首先應(yīng)該做的是進(jìn)行固定證據(jù)程序，避免有效證據(jù)的丟失。證據(jù)剖析對于剖析案件具有重要性。電子證據(jù)具有信息量是很大，雜亂的特點，所有證據(jù)都要進(jìn)行整理以后才可以利用。要求在取證時對證據(jù)進(jìn)行全面有效地剖析，進(jìn)行數(shù)據(jù)的挖掘和整合，使它能夠很清晰的展示出案情相關(guān)的信息。這個階段要求我們能夠證明電子證據(jù)獲取的途徑的有效性，并明確分析的過程，并且能夠合理地引用電子證據(jù)分析的結(jié)果對案情進(jìn)行全面仔細(xì)的陳述。

3.2 證據(jù)的獲取

首先需要對所需要的數(shù)據(jù)進(jìn)行收集；其次，分析所有收集的數(shù)據(jù)；收集的數(shù)據(jù)是有風(fēng)險性的，它會有遺失線索，損害證據(jù)，從而選擇的人比較少，所以對收集到的數(shù)據(jù)進(jìn)行分析。收集時需要注意：在搜集電子證據(jù)時，應(yīng)該把注意力集中在要收集的內(nèi)容上而不是硬件上。對于加鎖解密技術(shù)，計算機(jī)取證時需要將加密數(shù)據(jù)解密?，F(xiàn)階段使用的密碼技術(shù)主要有防火墻、安全路由器、口令提取、黑客入侵檢測等，主要手段是進(jìn)行口令提取，從電子文檔中搜索口令，進(jìn)行口令提取，然后恢復(fù)口令。很多電腦系統(tǒng)口令是在相應(yīng)的規(guī)定區(qū)域或注冊表，在相關(guān)區(qū)域獲得口令，再用密碼鑰匙恢復(fù)機(jī)制在高級管理員處得到口令。

3.3 恢復(fù)刪除的數(shù)據(jù)

一般情況下文件系統(tǒng)是用來存放和保存數(shù)據(jù)的，是供計算機(jī)系統(tǒng)進(jìn)行訪問。文件系統(tǒng)大多以元數(shù)據(jù)歸納每一個文件的信息?；旧显獢?shù)據(jù)都位于目錄入口，但是也有一些元數(shù)據(jù)不同，它位于特定的文件或是其他位置。當(dāng)某個文件是目錄被刪除時，與之有關(guān)系的元數(shù)據(jù)就會被系統(tǒng)隱藏，處于沒有激活的狀態(tài)。但其實它并沒有刪除，通過系統(tǒng)的查找還是能查到的。但不是全部文件的內(nèi)容都可以訪問到。這主要是依靠元數(shù)據(jù)的結(jié)構(gòu)和原始格式。大多情況下能夠識別出應(yīng)用的文檔特征，在所有的硬盤中搜索符合相同特征的數(shù)據(jù)，從而達(dá)到恢復(fù)數(shù)據(jù)的目的[2]。

3 結(jié)語

計算機(jī)取證技術(shù)是一個逐漸成熟的研究領(lǐng)域，在打擊計算機(jī)犯罪中會發(fā)揮著至關(guān)重要的作用。但在發(fā)展過程中，其研究方向更注重于相應(yīng)的入侵防范技術(shù)，不是很重視網(wǎng)絡(luò)犯罪。因此，發(fā)揮整個社會的道德的引導(dǎo)與加強(qiáng)相關(guān)法律的完善對制約網(wǎng)絡(luò)犯罪來說非常重要。

[1]王玲，錢華林.計算機(jī)取證技術(shù)及其發(fā)展趨勢[J].軟件學(xué)報，2003，14（9）：1635-1644.

[2]曾學(xué)軍.計算機(jī)取證技術(shù)的發(fā)展困境與前景[J].商業(yè)時代，2009（28）：107-108.

TP399-C2；D918

A

1009-6434（2016）02-0066-01