摘 要：電子數(shù)據(jù)是一種特殊的證據(jù)類型，由于其具有的特殊性要對(duì)證據(jù)取證進(jìn)行特殊的取證方法。作者首先闡述了電子數(shù)據(jù)取證的概念和規(guī)范程序，然后羅列了電子數(shù)據(jù)取證中常用的電子數(shù)據(jù)取證技術(shù)：數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)以及密碼破解技術(shù)。最后簡(jiǎn)單闡述了電子數(shù)據(jù)取證在多方面的應(yīng)用，以供參考。

關(guān)鍵詞：電子數(shù)據(jù)；電子取證；取證方法

前言

電子數(shù)據(jù)雖然已經(jīng)是證據(jù)的一員，但是電子數(shù)據(jù)有其自己的獨(dú)特性，不能與傳統(tǒng)的證據(jù)類型一概而論。由于電子數(shù)據(jù)不僅具有高速流轉(zhuǎn)的特性，同時(shí)還具有虛擬性、可修改性以及不穩(wěn)定性等特性，所以要對(duì)電子數(shù)據(jù)在取證程序合法并且證據(jù)形式合法的情況下進(jìn)行及時(shí)并合法的取證。又由于電子數(shù)據(jù)具有隱蔽性、專業(yè)性以及存在形式多樣化等特點(diǎn)，要使用專門的技術(shù)工具對(duì)電子數(shù)據(jù)進(jìn)行專業(yè)并且全面的取證。

1 電子數(shù)據(jù)取證的概念

刑訴法將“電子數(shù)據(jù)”納入到證據(jù)的范疇，對(duì)證據(jù)的種類進(jìn)行更加科學(xué)和規(guī)范的劃分，為偵查工作提供了很大的便利條件。電子數(shù)據(jù)證據(jù)作為證據(jù)類型的一種，在取證時(shí)要與其他類型的證據(jù)一樣要進(jìn)行證據(jù)收集、審查、判斷，但電子數(shù)據(jù)有較其他傳統(tǒng)證據(jù)類型更加容易被修改、毀損，并且電子數(shù)據(jù)取證具有很強(qiáng)的專業(yè)性，這又使得對(duì)電子數(shù)據(jù)的取證有其自己不同于其他數(shù)據(jù)類型的取證程序。

2 電子數(shù)據(jù)取證的規(guī)范程序

由于電子數(shù)據(jù)本身的特殊性，任何人為或者非人為的因素都可能使電子數(shù)據(jù)遭到破壞，所以取證人員要掌握計(jì)算機(jī)知識(shí)，并且按照規(guī)范的程序?qū)﹄娮訑?shù)據(jù)進(jìn)行取證。

電子數(shù)據(jù)取證的第一步是保護(hù)證據(jù)現(xiàn)場(chǎng)，這是電子數(shù)據(jù)取證的前提條件，若沒有對(duì)證據(jù)現(xiàn)場(chǎng)的保護(hù)，后面的取證工作也將難以進(jìn)行。在保護(hù)證據(jù)現(xiàn)場(chǎng)的前提下，要對(duì)電子數(shù)據(jù)進(jìn)行提取和固定，只有這樣才能使得電子數(shù)據(jù)能夠得到運(yùn)用，這也是保證電子數(shù)據(jù)有效的重要措施。最后一個(gè)程序是電子數(shù)據(jù)取證的核心和關(guān)鍵所在，就是運(yùn)用相關(guān)的計(jì)算機(jī)技術(shù)對(duì)電子數(shù)據(jù)進(jìn)行數(shù)據(jù)分析。

3 常用的電子數(shù)據(jù)取證的技術(shù)方法

3.1 數(shù)據(jù)挖掘技術(shù)

隨著信息與計(jì)算機(jī)技術(shù)的發(fā)展，各種信息數(shù)據(jù)猛增，能夠從大量的數(shù)據(jù)中提取出有用的信息在電子數(shù)據(jù)取證中至關(guān)重要。數(shù)據(jù)挖掘技術(shù)就是從大量的、模糊的、隨機(jī)的海量數(shù)據(jù)中提取出可能對(duì)案件直接或間接的偵破有利的數(shù)據(jù)后，并對(duì)其進(jìn)行相關(guān)分析，運(yùn)用關(guān)聯(lián)規(guī)則提取犯罪信息的關(guān)聯(lián)特征，從中挖掘出真正與案件相關(guān)的信息。

3.2 數(shù)據(jù)復(fù)制技術(shù)

在電子數(shù)據(jù)取證時(shí)，如果直接在被調(diào)查的電子設(shè)備中進(jìn)行相關(guān)的取證操作，可能會(huì)導(dǎo)致原始數(shù)據(jù)損壞，這會(huì)嚴(yán)重影響后續(xù)的取證工作。數(shù)據(jù)復(fù)制技術(shù)就是將這些數(shù)據(jù)備份到另一個(gè)或者多個(gè)計(jì)算機(jī)中存儲(chǔ)，保證備份數(shù)據(jù)的一致性。

3.3 數(shù)據(jù)恢復(fù)技術(shù)

在犯罪實(shí)施過程中或者在案件發(fā)生后，犯罪嫌疑人可能會(huì)對(duì)與犯罪相關(guān)的的數(shù)據(jù)進(jìn)行刪除或者破壞，使電子數(shù)據(jù)遭到人為的破壞。而數(shù)據(jù)恢復(fù)技術(shù)就是將被破壞的或者由于各種原因不可用的數(shù)據(jù)還原成可見的正常數(shù)據(jù)的技術(shù)，大多通過一些數(shù)據(jù)恢復(fù)工具來進(jìn)行數(shù)據(jù)的恢復(fù)。

3.4 密碼破解技術(shù)

在某些情況下，文件或者文件夾可能會(huì)被設(shè)置密碼，這時(shí)就會(huì)用到密碼破解技術(shù)，從而分析出被破解的文件或者文件夾是否與案件相關(guān)聯(lián)，推進(jìn)電子數(shù)據(jù)取證的進(jìn)度。

4 電子數(shù)據(jù)取證在多方面的應(yīng)用

4.1 WinRAR壓縮文件的電子數(shù)據(jù)取證

WinRAR軟件是Windows環(huán)境下的一種壓縮包管理器，能夠解壓或者生成壓縮文件。WinRAR軟件不僅允許用戶設(shè)置壓縮方式、壓縮格式、分卷大小等參數(shù)，同時(shí)還可以對(duì)文件內(nèi)容或者文件設(shè)置密碼，并且在NTFS文件系統(tǒng)下運(yùn)行“保存文件流數(shù)據(jù)”。這些功能雖然為用戶提供了很大的便利，但也為不法分子提供了隱藏或者惡意傳輸數(shù)據(jù)的方式。針對(duì)WinRAR壓縮文件的電子數(shù)據(jù)取證方法主要有WinRAR常規(guī)取證、WinRAR臨時(shí)文件（或臨時(shí)文件）的取證以及WinRAR壓縮文件中ADS的取證。

4.2 云環(huán)境下的電子數(shù)據(jù)取證

云服務(wù)具有大規(guī)模的數(shù)據(jù)接入與處理、IP的動(dòng)態(tài)分配與管理、多租戶共享資源的服務(wù)方式、強(qiáng)認(rèn)證的非強(qiáng)制部署等特點(diǎn)。云計(jì)算技術(shù)的發(fā)展給取證人員帶來了挑戰(zhàn)，由于云環(huán)境的特殊性，使對(duì)網(wǎng)絡(luò)電子犯罪活動(dòng)的管控越來越困難。在云環(huán)境的現(xiàn)場(chǎng)取證中首先要確定云服務(wù)的類型，確定其到底是云設(shè)備、云軟件還是云平臺(tái)。在確定了云服務(wù)類型后，要確定數(shù)據(jù)是從云計(jì)算開發(fā)方、客戶端以及云服務(wù)供應(yīng)商三方的哪一方的來源。在最后要通過特定手段對(duì)數(shù)據(jù)進(jìn)行收集與獲取。

4.3 信息收集型木馬的電子數(shù)據(jù)取證

信息收集型木馬，顧名思義，就是在被信息收集型木馬入侵電腦后，電腦中的賬戶名稱、賬戶密碼、系統(tǒng)操作與鍵盤按鍵信息等重要信息都會(huì)被信息收集型木馬紀(jì)錄或者收集并送給此木馬的傳播者，使傳播者非法獲利。針對(duì)信息收集型木馬的電子取證主要從網(wǎng)絡(luò)信息傳輸、系統(tǒng)文件變化與惡意程序邏輯等三個(gè)方面入手，分析其惡意行為，最終從中找出相關(guān)的證據(jù)。

4.4 軟件代碼漏洞的電子數(shù)據(jù)取證

軟件漏洞不僅是信息安全風(fēng)險(xiǎn)的主要源頭之一，也是網(wǎng)絡(luò)攻防對(duì)抗中的重點(diǎn)。相關(guān)研究表明，漏洞的比例在逐年上升，信息安全受到威脅。軟件代碼漏洞的電子數(shù)據(jù)取證已經(jīng)是構(gòu)建安全體系的條件，并且對(duì)軟件代碼漏洞的電子數(shù)據(jù)取證不應(yīng)該僅僅停留在個(gè)人電腦和Web上，還應(yīng)該對(duì)Android和IOS等移動(dòng)平臺(tái)的軟件代碼漏洞給予一定的關(guān)注。軟件代碼漏洞的電子數(shù)據(jù)取證方法主要技術(shù)有非執(zhí)行棧技術(shù)、非執(zhí)行堆與數(shù)據(jù)技術(shù)、內(nèi)存映射技術(shù)、安全共享庫(kù)技術(shù)、沙箱技術(shù)、程序解釋技術(shù)、二進(jìn)制文件分析技術(shù)等多種技術(shù)方法。

4.5 Windows注冊(cè)表的電子數(shù)據(jù)取證

Windows注冊(cè)表中具有容易被取證人員忽略的豐富的證據(jù)信息，如果知道了注冊(cè)表中存在的信息類型和位置，可以讓取證人員獲得大量的信息，使其更加快速的獲得更多電子數(shù)據(jù)證據(jù)?，F(xiàn)在，例如EnCase、TFK等取證工具都有其強(qiáng)大的取證功能。為了弄清楚嫌疑人在計(jì)算機(jī)上的活動(dòng)，可以通過鍵值來進(jìn)行判斷。如，HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ComDlg32＼OpenSaveMRU可以查看最近在WEB瀏覽器上瀏覽過的網(wǎng)站或者最近打開過的文檔、Hkcu＼Software＼Micorssoft＼Windows＼CurrentVersion＼Explorer＼ComDlg32＼LastVisitedMRU中記錄著最近文檔被打開和使用的路徑并且實(shí)時(shí)更新、HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼RecentDocs中保存著通過Windows資源管理器打開或者運(yùn)行的文件、HKCU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼RunMRU中包含通過開始->運(yùn)行方式執(zhí)行的命令、HKLM＼SYSTEM＼CurrentControlSET＼Control＼Session Manager＼Memory Management中保存著Windows虛擬內(nèi)存（頁(yè)面文件）的設(shè)置信息。除此之外還有很多鍵值能夠幫助取證人員進(jìn)行電子數(shù)據(jù)取證，這里就不一一贅述了。

4.6 偽基站數(shù)據(jù)的電子數(shù)據(jù)取證

隨著科技的發(fā)展，網(wǎng)民上網(wǎng)的方式不僅僅只是局限在傳統(tǒng)電腦，還擴(kuò)大到了手機(jī)、平板電腦等移動(dòng)終端設(shè)備上，這為利用“偽基站”進(jìn)行犯罪活動(dòng)提供了更多可能性?！皞位尽奔醇倩?，其通過某種手段冒充公眾服務(wù)號(hào)碼，實(shí)施犯罪行為，為人民的生活造成了很大的干擾?！皞位尽痹O(shè)備的操作系統(tǒng)大多數(shù)都是基于Linux系統(tǒng)，這為取證人員的取證帶來了一定的不便。取證人員要在分析了偽基站的數(shù)據(jù)來源的情況下，對(duì)其進(jìn)行文檔數(shù)據(jù)、數(shù)據(jù)庫(kù)文件、bg日志文件數(shù)據(jù)的提取。

5 結(jié)束語(yǔ)

近年來網(wǎng)絡(luò)犯罪急劇增長(zhǎng)，也使得我們對(duì)網(wǎng)絡(luò)安全的重視程度在大幅度增加，各種取證軟件和在不同平臺(tái)上的取證方法在很大程度上為取證人員提供了電子數(shù)據(jù)取證的更多可能性。

參考文獻(xiàn)

[1]仇學(xué)敏.計(jì)算機(jī)取證技術(shù)初探[J].電腦知識(shí)與技術(shù)，2014（32）：56-57.

[2]尹春社.對(duì)電子數(shù)據(jù)現(xiàn)場(chǎng)獲取存在問題的分析與探討[J].刑事技術(shù)，2008（3）：26-28.