吳惠庶

摘要：互聯(lián)網(wǎng)的快速發(fā)展促進(jìn)了電子信息時(shí)代的到來(lái)，這是一個(gè)全球信息網(wǎng)絡(luò)共享及肆意傳播的互聯(lián)網(wǎng)系統(tǒng)上的時(shí)代，如此開放性、包容性、廣泛性極強(qiáng)的網(wǎng)絡(luò)系統(tǒng)必然會(huì)隱藏著巨大的威脅——信息安全問(wèn)題，將會(huì)給國(guó)家、社會(huì)乃至大量的網(wǎng)友帶來(lái)不可估量的損失。因此，建立健全保障信息安全的法律法規(guī)勢(shì)在必行，保障信息安全、網(wǎng)絡(luò)取證或者是電子證據(jù)獲取的技術(shù)也應(yīng)運(yùn)而生，電子證據(jù)獲取的技術(shù)發(fā)展將直接影響計(jì)算機(jī)技術(shù)的發(fā)展以及引發(fā)高端科技犯罪行為。文章基于網(wǎng)絡(luò)協(xié)議的分析進(jìn)行了電子證據(jù)獲取的研究。

關(guān)鍵詞：網(wǎng)絡(luò)協(xié)議；電子證據(jù)獲??；入侵檢測(cè)

1 電子證據(jù)概述以及獲取的難度

1.1電子證據(jù)概述

電子汪據(jù)由于其表面的多樣性以及內(nèi)在的無(wú)形的特點(diǎn)，加之當(dāng)今電子信息技術(shù)的快速發(fā)展，以致于一度無(wú)電子證據(jù)的一個(gè)準(zhǔn)確定義。我國(guó)對(duì)電子證據(jù)的定義也不統(tǒng)一，大致分為廣義和狹義兩種，廣義上的電子證據(jù)認(rèn)為其功能主要是作為證據(jù)使用的一切電子形式的材料或者文本，而狹義上認(rèn)為電子證據(jù)不過(guò)是高端科技犯罪分子在計(jì)算機(jī)亦或是網(wǎng)絡(luò)中留下的犯罪記錄。電子證據(jù)具有以下幾個(gè)特點(diǎn)：（l）易破壞性，因?yàn)槠湓谔摂M的互聯(lián)網(wǎng)系統(tǒng)中非常容易由于修改、丟失、設(shè)備故障、病毒等破壞形式而導(dǎo)致電子證據(jù)的毀滅。（2）無(wú)形性，仍然是處于虛擬的互聯(lián)網(wǎng)體系中，人們不能很直觀地直視電子證據(jù)，并且一些高端科技犯罪，其電子證據(jù)都不是以某一種形式存在，必須通過(guò)一定的技術(shù)才可以進(jìn)行獲取。（3）高科技性，互聯(lián)網(wǎng)技術(shù)相關(guān)的人才永遠(yuǎn)都是最匱乏的，黑客預(yù)防永遠(yuǎn)處于警惕狀態(tài)等，無(wú)不反映出其高科技性質(zhì)。正基于此3個(gè)特點(diǎn)，筆者認(rèn)為，電子證據(jù)就是在互聯(lián)網(wǎng)領(lǐng)域犯罪分子留下的一切能夠證明其犯罪的一切電子形式的材料[1]。

1.2電子證據(jù)獲取的幾點(diǎn)難度

1.2.1網(wǎng)絡(luò)犯罪難以發(fā)現(xiàn)并證據(jù)難以找到

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，犯罪分子的技術(shù)水平直接決定了電子證據(jù)獲取的難度，高科技的網(wǎng)絡(luò)犯罪可以通過(guò)互聯(lián)網(wǎng)相對(duì)隱蔽的方式進(jìn)行或者只是在網(wǎng)絡(luò)內(nèi)部進(jìn)行盜取、竊聽信息等，此類的犯罪行為十分惡劣，但卻不會(huì)對(duì)本身的網(wǎng)絡(luò)系統(tǒng)或者是硬件造成影響，因而很難被發(fā)現(xiàn)，即使發(fā)現(xiàn)后犯罪分子也可以及時(shí)銷毀證據(jù)。

1.2.2電子證據(jù)與犯罪場(chǎng)地直接聯(lián)系

即使解決了犯罪分子的犯罪事實(shí)，很多時(shí)候卻無(wú)法進(jìn)行犯罪分子的及時(shí)抓捕，因?yàn)樗麄兊姆缸镏皇窃诰W(wǎng)上，這與其本身所處的位置沒(méi)有任何關(guān)系，他只需要一臺(tái)電腦和互聯(lián)網(wǎng)就可以操作一切，這也是高科技犯罪的特點(diǎn)之一，就算是通過(guò)一些高端科學(xué)技術(shù)定位到犯罪分子所處位置，但由于地理環(huán)境及各種條件的限制，實(shí)施抓捕的時(shí)間有限，等找到作案地點(diǎn)時(shí)候，犯罪分子早己逃之天天。

1.2.3技術(shù)障礙與相關(guān)經(jīng)驗(yàn)不足

公安警官是人民的守衛(wèi)者，但大多數(shù)不可能十分熟悉電子證據(jù)獲取的高端技術(shù)，這也給公安警官造成了很大麻煩，有了豐富的經(jīng)驗(yàn)卻沒(méi)有技術(shù)，而有技術(shù)的人員卻很少有過(guò)抓捕網(wǎng)絡(luò)犯罪分子的經(jīng)驗(yàn)，網(wǎng)絡(luò)公安警察隊(duì)伍的建設(shè)難度大、過(guò)程慢與當(dāng)前的公安警官差別很大，電子證據(jù)獲取技術(shù)是建立在計(jì)算機(jī)網(wǎng)技術(shù)的基礎(chǔ)之上的。因此，電子證據(jù)獲取技術(shù)永遠(yuǎn)都是落后于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，這也就間接導(dǎo)致了電子證據(jù)獲取技術(shù)很難有大的突破。

2 電子證據(jù)獲取技術(shù)

電子證據(jù)的獲取技術(shù)主要是指對(duì)犯罪分子在互聯(lián)網(wǎng)領(lǐng)域犯罪時(shí)留下的一切電子形式的證據(jù)的獲取，一般分為兩種：計(jì)算機(jī)取證和手機(jī)取證。計(jì)算機(jī)取證主要包含移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)獲取、電子郵件存儲(chǔ)數(shù)據(jù)獲取、在線數(shù)據(jù)的獲取和計(jì)算機(jī)硬盤數(shù)據(jù)獲?。欢謾C(jī)取證主要包括當(dāng)前流行的普通手機(jī)取證和智能機(jī)取證。電子證據(jù)的獲取技術(shù)方法主要有數(shù)據(jù)獲取技術(shù)（即對(duì)數(shù)據(jù)的篡改、修復(fù)和提?。┖头慈∽C技術(shù)（即對(duì)電子證據(jù)進(jìn)行刪除、毀滅的方式使得取證工作失去意義）[2]。

2.1數(shù)據(jù)獲取技術(shù)

數(shù)據(jù)獲取技術(shù)主要是指通過(guò)應(yīng)用并行技術(shù)對(duì)犯罪分子的證據(jù)數(shù)據(jù)以及被毀滅亦或是被篡改的證據(jù)進(jìn)行高效而準(zhǔn)確地獲取。并行技術(shù)主要是采用串行工作方式提高計(jì)算機(jī)硬盤的讀寫效率以及計(jì)算機(jī)的靜態(tài)數(shù)據(jù)分析，而電子取證難度較大一方面很重要的原因就是隨著計(jì)算機(jī)內(nèi)存逐漸變大，取證的過(guò)程、效率變得越來(lái)越慢，只有在靜態(tài)數(shù)據(jù)分析完成以后才可以進(jìn)行計(jì)算機(jī)的動(dòng)態(tài)取汪過(guò)程，而且取證過(guò)程非常復(fù)雜而繁瑣，人為干擾的因素太多。同時(shí)，數(shù)據(jù)獲取技術(shù)分為兩路方向即解決硬盤數(shù)量多、內(nèi)存大、復(fù)制慢等諸多硬件問(wèn)題的分析與多路硬盤復(fù)制并行技術(shù)，以及可以降低分析時(shí)間的關(guān)鍵字搜索與復(fù)制并行技術(shù)，多路硬盤復(fù)制并行技術(shù)主要是通過(guò)結(jié)合軟硬件，實(shí)現(xiàn)多路硬盤復(fù)制同步進(jìn)行并且多路硬盤相互不關(guān)聯(lián)、不干擾，總是處于高速運(yùn)行的狀態(tài)下，解決了復(fù)制工作慢的問(wèn)題。而取證過(guò)程慢還有一個(gè)原因就是在硬盤中或者是網(wǎng)絡(luò)系統(tǒng)中搜索關(guān)鍵字的速度慢，關(guān)鍵字在硬盤的搜索并不是有規(guī)律而是按部就班地全盤搜索，這樣會(huì)浪費(fèi)大量的時(shí)間在搜索一些沒(méi)有用的信息上面，而關(guān)鍵字搜索與復(fù)制并行技術(shù)恰好就可以解決這一問(wèn)題，關(guān)鍵字搜索與復(fù)制并行技術(shù)是可以在硬盤進(jìn)行多路復(fù)制的同時(shí)也進(jìn)行關(guān)鍵字的搜索，節(jié)約了大量的時(shí)間，提高了電子取證的效率。

2.2反取證技術(shù)

反取證技術(shù)主要是指犯罪分子針對(duì)公安部門對(duì)其進(jìn)行的電子取證的反抗，應(yīng)該說(shuō)反取證技術(shù)是伴隨著取證技術(shù)發(fā)展的，或者說(shuō)它們是相互依存的，因?yàn)樗鼈兛偸翘幱谙嗷タ酥?、不斷進(jìn)步的系統(tǒng)中，其實(shí)現(xiàn)的反取證的方式也很常見，就是通過(guò)刪除、篡改以及隱藏他們的犯罪證據(jù)，使得公安機(jī)關(guān)無(wú)法或者是短時(shí)間不能進(jìn)行電子證據(jù)的獲取。因此，研究反取證技術(shù)也非常重要，通過(guò)反取證技術(shù)可以進(jìn)一步了解犯罪分子進(jìn)行毀滅證據(jù)的方式，也就進(jìn)一步對(duì)取證技術(shù)進(jìn)行改革與發(fā)展，反取證技術(shù)涉及的領(lǐng)域比較大，因而技術(shù)含量也相當(dāng)高，但卻不得不對(duì)反取證技術(shù)進(jìn)行研究，因?yàn)槠涫请娮幼C據(jù)獲取、打擊犯罪分子有力的技術(shù)方法。

3 基于網(wǎng)絡(luò)協(xié)議的電子證據(jù)獲取

網(wǎng)絡(luò)協(xié)議分析是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的一種非常重要的技術(shù)，網(wǎng)絡(luò)協(xié)議的物理地址以及IP地址是非常規(guī)則的，若想在操作中進(jìn)行數(shù)據(jù)的盜取或者篡改，就必然會(huì)盜用他人的IP地址或者物理地址，而這個(gè)過(guò)程是可以通過(guò)計(jì)算機(jī)看到網(wǎng)絡(luò)的物理地址以及IP地址被盜取的時(shí)間，這樣也可以進(jìn)一步對(duì)網(wǎng)絡(luò)盜用者進(jìn)行判斷，而這些都可以通過(guò)網(wǎng)絡(luò)協(xié)議分析得到。網(wǎng)絡(luò)協(xié)議分析入侵檢測(cè)系統(tǒng)主要有兩種技術(shù)，即模式匹配技術(shù)和基于協(xié)議分析的檢測(cè)技術(shù)，模式匹配技術(shù)主要用于入侵的檢測(cè)，通過(guò)從網(wǎng)絡(luò)中讀取數(shù)據(jù)包而獲得字節(jié)，同時(shí)在特征庫(kù)中獲取字節(jié)相對(duì)比，對(duì)比的字節(jié)相同，則代表入侵檢測(cè)到了；若不相同，則還要繼續(xù)進(jìn)行字節(jié)的提取。而基于協(xié)議分析的檢測(cè)技術(shù)具有一定的層次性，因而可以對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行層層檢測(cè)與分析，相對(duì)于模式匹配技術(shù)來(lái)說(shuō)，大大降低了計(jì)算機(jī)計(jì)算量，從而提高了效率。

本文在基于網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上進(jìn)行電子證據(jù)獲取，提出了一種新的研究方案，即根據(jù)網(wǎng)絡(luò)協(xié)議的高度嚴(yán)謹(jǐn)性和規(guī)則性，可以對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行層層檢測(cè)與分析，從而獲得數(shù)據(jù)包中的大量的信息，如數(shù)據(jù)類型與流向、IP地址等，再將數(shù)據(jù)包的獲取結(jié)果與網(wǎng)絡(luò)數(shù)據(jù)結(jié)合實(shí)現(xiàn)對(duì)其進(jìn)行分類，則可以實(shí)現(xiàn)對(duì)電子汪據(jù)的初步判斷，在分析和判斷結(jié)束后即可以對(duì)電子證據(jù)進(jìn)行保存和獲取，最終實(shí)現(xiàn)電子證據(jù)獲取。電子證據(jù)獲取的過(guò)程大致分為網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、協(xié)議分析模塊、竊取行為判別模塊、響應(yīng)模塊（報(bào)警、阻斷、生成日志）等4個(gè)主要模塊。網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊主要是應(yīng)用于捕捉目標(biāo)機(jī)數(shù)據(jù)包并對(duì)其進(jìn)行分析獲取相關(guān)信息，使得獲取的電子證據(jù)更加全面和準(zhǔn)確；協(xié)議分析模塊即上文所介紹的網(wǎng)絡(luò)協(xié)議分析入侵檢測(cè)系統(tǒng)的機(jī)制，逐層進(jìn)行數(shù)據(jù)包的分析和解析，使其獲得數(shù)據(jù)類型與流向、IP地址等，并且經(jīng)網(wǎng)絡(luò)協(xié)議分析后，能實(shí)現(xiàn)數(shù)據(jù)包重組，減少特征值匹配的計(jì)算量，還原整個(gè)網(wǎng)絡(luò)行為；竊取行為判別模塊主要是針對(duì)常見的網(wǎng)絡(luò)犯罪模式，是根據(jù)協(xié)議分析模塊分析出的數(shù)據(jù)進(jìn)行進(jìn)一步的分析和判斷；響應(yīng)模塊主要是根據(jù)竊取行為判斷模塊的判斷結(jié)果及時(shí)作出響應(yīng)，識(shí)別出是犯罪行為立即進(jìn)行電子證據(jù)的取證，并且這一過(guò)程是實(shí)時(shí)進(jìn)行的，只有這樣才能更加全面準(zhǔn)確地實(shí)現(xiàn)電子證據(jù)的獲取。

本文提出了電子取證的研究方案，并針對(duì)其進(jìn)行方案的設(shè)計(jì)，給出電子汪據(jù)取汪的工作流程，對(duì)于系統(tǒng)中各個(gè)模塊的功能進(jìn)行簡(jiǎn)介。

4結(jié)語(yǔ)

本文在研究了電子證據(jù)的國(guó)內(nèi)外發(fā)展現(xiàn)狀以及掌握相關(guān)知識(shí)的基礎(chǔ)上，探究了電子證據(jù)獲取的方法和技術(shù)，分析了其在電子證據(jù)獲取中應(yīng)用的優(yōu)缺點(diǎn)，以及當(dāng)代電子證據(jù)獲取所存在的困境及問(wèn)題，隨后提出基于網(wǎng)絡(luò)協(xié)議分析的電子證據(jù)獲取方案，經(jīng)分析可以有效地實(shí)現(xiàn)快速檢測(cè)和獲取電子證據(jù)，當(dāng)然本方案也有一定的不足，還會(huì)繼續(xù)深入研究。

[參考文獻(xiàn)]

[1]許康定電子證據(jù)基本問(wèn)題分析[J]法學(xué)評(píng)論，2002 （3）：94-99.

[2]李學(xué)軍電子數(shù)據(jù)與證據(jù)[J]證據(jù)學(xué)論壇，2001（2）：433-463