叢慶

【摘 要】對計算機犯罪證據(jù)的識別、獲取、傳輸、保存以及分析和提交認證的過程被稱作是計算機取證，這實質(zhì)上是對計算機系統(tǒng)進行詳細掃描，并且重新模擬入侵事件的過程。本文對計算機取證的概念與特點以及計算機取證人員在取證的過程中所應(yīng)當(dāng)遵循的原則和操作規(guī)范進行介紹，對其中的關(guān)鍵的地方進行分析，分析其中存在的問題，并且嘗試解決這些問題。

【關(guān)鍵詞】計算機取證；電子證據(jù)；取證技術(shù)；關(guān)鍵問題

因為信息化時代的到來，所以計算機技術(shù)在快速的發(fā)展，人們的工作和生活中對于計算機的應(yīng)用越來越廣泛和頻繁。計算機以及相關(guān)的信息技術(shù)的的確確為我們帶來了諸多的便利，但是與此同時也為犯罪分子提供了更多的犯罪方式，因此，計算機相關(guān)的犯罪違法的行為正在逐年的上漲。在實際案件中，需要進行計算機取證的案件數(shù)量在不斷地上升，因此在第十一屆全國人民代表大會第五次會議審議中，《關(guān)于修改（中華人民共和國刑事訴訟法）的決定》中把電子數(shù)據(jù)規(guī)定為一種獨立的證據(jù)種類。對于電子證據(jù)在刑事訴訟中的法律地位，這是第一次通過基本法律的形式對其進行確認。因為電子證據(jù)存在容易被丟失、被篡改、被偽造、破壞以及毀壞的情況，所以取證人員在對計算機開展取證工作的過程中，未必確保證據(jù)和原始數(shù)據(jù)不會被破壞，其操作程序需要嚴格按照要求進行，一定要遵循相關(guān)選擇。

1 計算機取證相關(guān)定義

就目前而言，尚沒有標準化和全面統(tǒng)一的內(nèi)容對計算機取證進行定義，因為專家學(xué)者和機構(gòu)對于計算機取證的定義所選擇的角度不盡相同。當(dāng)前相對而言較為全面并且能夠被絕大部分人認可的定義是：計算機取證是對指定的相關(guān)電子證據(jù)的相關(guān) 證據(jù)的收集、確定、保護、分析、歸檔以及法庭出示的過程，此處儲存在計算機以及相關(guān)外部設(shè)備中可以被法庭接受，并且有足夠說服力而且可靠地證據(jù)被叫做電子證據(jù)。

2 計算機取證的相關(guān)規(guī)定標準

因為電子證據(jù)自身的易被破壞的特點，所以計算機取證方面對取證人員有很多流程規(guī)范進行約束，取證人員在取證的過程中務(wù)必遵守基本原則，確保證據(jù)的取得過程合法，其次要在監(jiān)督環(huán)境下開展取證工作，并且相關(guān)的操作都需要進行記錄，有時需第三方介入?yún)⑴c。

3 計算機取證中存在的關(guān)鍵問題的處理

計算機取證中的電子證據(jù)來源有三個渠道，第一個渠道是主機系統(tǒng)和相關(guān)的附件方面證據(jù)；第二個是由網(wǎng)絡(luò)系統(tǒng)獲得的證據(jù)；第三個渠道是通過其他的各種數(shù)字電子設(shè)備獲得的證據(jù)。因為計算機取證的的設(shè)備與階段存在的不同，所以使用的取證技術(shù)不同，則其中存在的關(guān)鍵問題也不盡相同。

3.1 磁盤復(fù)制方面的問題

對于磁盤復(fù)制的處理，切不可直接對原始磁盤設(shè)備進行直接的取證操作。因為直接從原始磁盤提取數(shù)據(jù)，很可能會對其中的原始數(shù)據(jù)造成損壞，從而導(dǎo)致數(shù)據(jù)被破壞或永久的丟失，不可逆轉(zhuǎn)。一般是借助鏡像方式復(fù)制整個磁盤，或者是對原始磁盤中數(shù)據(jù)進行精確復(fù)制，在復(fù)制的過程中，可以通過SHA2或者是MD5對設(shè)備或者是數(shù)據(jù)進行校驗，確保原始磁盤介質(zhì)中的文件數(shù)據(jù)與所復(fù)制取得的數(shù)據(jù)文件是完全的一致、沒有被修改過的。與一般的復(fù)制黏貼不同，借助磁盤鏡像復(fù)制的數(shù)據(jù)涵蓋了磁盤的臨時文件、交換文件、磁盤未分配區(qū)以及文件松弛區(qū)等，在很多特定的案件中，這些操作都是必須的。

3.2 對于信息的搜索和過濾

對于信息的搜索與過濾，實質(zhì)上就是對海量的信息進行搜索處理，從這些數(shù)據(jù)中獲得那些與案件呈直接或者間接的關(guān)系的犯罪證據(jù)，諸如圖像、文本、音頻和視頻等文件信息都屬于此范圍，當(dāng)前數(shù)據(jù)挖掘技術(shù)以及數(shù)據(jù)過濾技術(shù)在此方面應(yīng)用較為廣泛和頻繁。

3.3 數(shù)據(jù)恢復(fù)方面的問題

因為案件發(fā)生的不確定性，所以很多情況下，能夠保存案件證據(jù)的各種介質(zhì)，諸如磁盤、儲存卡等電子設(shè)備，自身遭受損壞，或者原有的數(shù)據(jù)被抹除，針對此情況，通過數(shù)據(jù)恢復(fù)技術(shù)將其恢復(fù)為正常的數(shù)據(jù)的技術(shù)，一般從操作的角度對數(shù)據(jù)恢復(fù)技術(shù)進行區(qū)分，可以分為硬件恢復(fù)技術(shù)以及軟件恢復(fù)技術(shù)。

3.4 對于隱形文件的識別和提取方面的問題

因為信息化的普及，所以犯罪嫌疑人在反偵察方面的意識越來越高，因此借助快速發(fā)展的計算機技術(shù)，犯罪嫌疑人很可能會選擇對重要的數(shù)據(jù)文件采取隱藏、偽裝等方式，使得文件得以被隱形和藏匿，從而達到擺脫偵查的目的。對于這種情況一般在計算機取證方面采用數(shù)據(jù)隱藏技術(shù)、水印提取技術(shù)以及文件的反編譯等技術(shù)進行處理。

3.5 密碼的分析和解密方面問題

通過各種類型的軟件，對于已經(jīng)被加密的數(shù)據(jù)進行解密的技術(shù)被稱作是密碼分析和解密技術(shù)，一般口令搜索、加密口令等都屬于暴力破解技術(shù)范圍，此外密碼分析和解密技術(shù)還包括了網(wǎng)絡(luò)竊聽技術(shù)、密碼破解技術(shù)、密碼分析技術(shù)等多種技術(shù)，在密碼分析技術(shù)方面，涵蓋了明文密碼、密文密碼以及密碼文件的破解分析。

3.6 網(wǎng)絡(luò)追蹤方面問題

根據(jù)IP報文件信息轉(zhuǎn)發(fā)及路由信息對網(wǎng)絡(luò)中的信息源的位置進行確定，該技術(shù)被稱作是網(wǎng)絡(luò)追蹤技術(shù)，因為攻擊者從互聯(lián)網(wǎng)上違法犯罪，其位置較為虛擬，還需要對所獲取的數(shù)據(jù)包進行技術(shù)分析，從而才能夠精準定位攻擊者的真實位置。一般日志記錄分析、ICMP追蹤、標記信息技術(shù)、鏈接監(jiān)測以及信息安全文法等都是解決該問題常用的辦法。

3.7 日志文件方面問題

日志記錄中，每條信息都記錄了一次單獨的系統(tǒng)事件，日志記錄組成日志文件，所以日志文件中包含了大量的用戶行為和使用痕跡，所以在借助日志文件的基礎(chǔ)上，計算機取證能夠從中獲得大量的有用證據(jù)數(shù)據(jù)，這也是分析日志的重點所在。

3.8 互聯(lián)網(wǎng)數(shù)據(jù)方面問題

很多情況下，犯罪嫌疑人自身并未留下具體證據(jù)，但是在互聯(lián)網(wǎng)上，其存在著諸多的蛛絲馬跡。在借助數(shù)據(jù)挖局對互聯(lián)網(wǎng)數(shù)據(jù)進行挖掘分析的前提下，實現(xiàn)分析提取大量業(yè)務(wù)數(shù)據(jù)中的關(guān)鍵性部分，從而達到獲取其中的未知的、隱藏著的有效證據(jù)的面對。

4 總結(jié)

計算機取證發(fā)展迅速，并且在未來前景甚好。當(dāng)前我國的計算機取證技術(shù)的研究深度正在不斷增加，并且越來越重視對于法律法規(guī)以及相關(guān)技術(shù)的研究，但是就目前而言，依然未能構(gòu)建合理有效的規(guī)范化取證流程，此外相關(guān)人員的培養(yǎng)也需要再度加強。

【參考文獻】

[1]李巖.計算機取證中關(guān)鍵技術(shù)研究[J].上海交通大學(xué)，2010（01）.

[責(zé)任編輯：朱麗娜]