陽雁 蔣邵衡

摘 要：面對(duì)日新月異的計(jì)算機(jī)犯罪問題，通過提升執(zhí)法機(jī)關(guān)的取證能力可達(dá)到有力制約該型犯罪的目的，研究和運(yùn)用先進(jìn)的計(jì)算機(jī)犯罪現(xiàn)場勘查取證技術(shù)成為一項(xiàng)有效的措施。計(jì)算機(jī)取證技術(shù)理論新、背景知識(shí)多，需結(jié)合計(jì)算機(jī)技術(shù)的運(yùn)用、跟蹤技術(shù)領(lǐng)域的新發(fā)展，才能很好的發(fā)現(xiàn)和分析問題。

關(guān)鍵詞：計(jì)算機(jī)犯罪;物證技術(shù);電子證據(jù)

中圖分類號(hào)：D918 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）22-0032-02

目前我國大部分地區(qū)都已經(jīng)組建了網(wǎng)絡(luò)安全執(zhí)法隊(duì)伍，網(wǎng)絡(luò)警察總數(shù)近千人。然而基于多種原因，偵查部門與網(wǎng)監(jiān)部門的管轄分工還不夠明確，計(jì)算機(jī)犯罪或涉及計(jì)算機(jī)犯罪案件的偵查目前仍然是偵查機(jī)關(guān)、特別是普通的偵查員比較棘手的問題，本文力求在計(jì)算機(jī)犯罪現(xiàn)場勘查取證技術(shù)中做些研究，以起拋磚引玉的作用。

1 妥善保護(hù)易失數(shù)據(jù)

只要在計(jì)算機(jī)犯罪現(xiàn)場有處于開啟狀態(tài)的機(jī)器，就需要啟動(dòng)現(xiàn)場響應(yīng)工作（live response）。

1.1 易失數(shù)據(jù)的常見位置

易失數(shù)據(jù)反映計(jì)算機(jī)的實(shí)時(shí)狀態(tài)，它存在于需要在通電狀態(tài)下才能存儲(chǔ)的部件中，比如內(nèi)存（RAM），cache高速緩存，顯卡（顯存），網(wǎng)絡(luò)接口卡（NIC）等，如果出現(xiàn)斷電或者電壓不穩(wěn)的情況，上面的數(shù)據(jù)就會(huì)丟失，在計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)時(shí)，應(yīng)當(dāng)首先處置這類既脆弱但又有助于了解該計(jì)算機(jī)運(yùn)行狀態(tài)的證據(jù)。

1.2 易失數(shù)據(jù)的收集要點(diǎn)

根據(jù)洛卡德的交換原理，收集搶救易失數(shù)據(jù)的過程必然會(huì)改變計(jì)算機(jī)系統(tǒng)原本的運(yùn)行狀態(tài)。為減小偵查活動(dòng)的“二次污染”，偵查人員在啟動(dòng)現(xiàn)場響應(yīng)的時(shí)候可借鑒如下經(jīng)驗(yàn)：

（1）應(yīng)當(dāng)準(zhǔn)確記錄偵查人員實(shí)施的操作以及對(duì)目標(biāo)系統(tǒng)可能造成的影響，并由見證人對(duì)操作記錄簽字確認(rèn)。（2）如果抵達(dá)犯罪現(xiàn)場的時(shí)候涉案計(jì)算機(jī)是打開的，或者計(jì)算機(jī)未曾重新啟動(dòng)過，這時(shí)候可以獲得的信息就比較多。如果抵達(dá)現(xiàn)場期間，涉案計(jì)算機(jī)系統(tǒng)已經(jīng)停機(jī)或者曾重新啟動(dòng)過，則意味著大部分易失數(shù)據(jù)已經(jīng)丟失。（3）不得將提取的易失數(shù)據(jù)存儲(chǔ)在其原本所在的計(jì)算機(jī)里。（4）不得在目標(biāo)系統(tǒng)中安裝新的應(yīng)用程序，同時(shí)避免使用目標(biāo)系統(tǒng)上的程序。偵查技術(shù)人員應(yīng)事先準(zhǔn)備好附帶各種工具的響應(yīng)光盤，用光盤驅(qū)動(dòng)器運(yùn)行程序，從而最大程度的避免調(diào)動(dòng)目標(biāo)計(jì)算機(jī)硬盤里的數(shù)據(jù)。（5）該階段不要選用消耗大量資源的軟件，鑒于提取易失數(shù)據(jù)的緊急性、實(shí)時(shí)性，盡可能使用簡潔的命令行工具，相比具有圖形界面（GUI）的工具軟件，命令行占用較小的內(nèi)存、較少依賴動(dòng)態(tài)鏈接庫，從而對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)的影響相對(duì)少一些，所提取的信息更加真實(shí)、完整。

2 固定存儲(chǔ)媒介和電子證據(jù)

研究涉案存儲(chǔ)介質(zhì)和電子證據(jù)的固定、封存技術(shù)的目的在于保護(hù)電子證據(jù)的完整性、真實(shí)性和原始性。

2.1 固定與封存電子證據(jù)的方式

電子證據(jù)的載體包括電子設(shè)備和存儲(chǔ)媒介，它是以物證的形式扣押的。電子設(shè)備和存儲(chǔ)媒介封存以后將不能夠被操作和使用，除非解封。

固定存儲(chǔ)媒介和電子數(shù)據(jù)的方式主要有三種：完整性校驗(yàn)方式、備份方式、封存方式。其中最后一種只有在無法計(jì)算存儲(chǔ)媒介完整性校驗(yàn)值或者無法制作備份的情形下才允許使用。

2.2 利用硬盤鏡像固定電子證據(jù)

硬盤鏡像不僅完整復(fù)制硬盤里的所有的文件，它還準(zhǔn)確的保留了硬盤內(nèi)部存儲(chǔ)的原始結(jié)構(gòu)和數(shù)據(jù)的相對(duì)位置，這意味著原始硬盤的每一個(gè)物理扇區(qū)都將被復(fù)制。硬盤鏡像雖然為犯罪取證提供了有力的技術(shù)保障，但并不是所有的情況都需要進(jìn)行全盤鏡像復(fù)制，出于經(jīng)濟(jì)和效率的考慮，有時(shí)候我們只對(duì)計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的部分內(nèi)容開展工作。比如對(duì)在役商用服務(wù)器的勘查取證時(shí)，管理方往往不愿意關(guān)機(jī)，同時(shí)這些服務(wù)器存儲(chǔ)的數(shù)據(jù)非常龐大，在不影響偵查工作的前提下，我們沒必要獲取所有內(nèi)容，只需要對(duì)計(jì)算機(jī)的各種狀態(tài)信息做一個(gè)“快照”（Snapshot）。在UNIX主機(jī)下，我們可以使用The Coroner's Toolkit（TCT）工具實(shí)現(xiàn)“快照”取證。

2.3 制作鏡像的一般步驟

現(xiàn)場勘驗(yàn)過程中為涉案計(jì)算機(jī)制作鏡像拷貝的一般步驟是：

2.3.1 關(guān)閉計(jì)算機(jī)

完成易失數(shù)據(jù)的提取和現(xiàn)場響應(yīng)之后，就應(yīng)當(dāng)關(guān)閉計(jì)算機(jī)系統(tǒng)的電源。特別需要注意的是，一般不采用常規(guī)的流程來關(guān)機(jī)，對(duì)于臺(tái)式計(jì)算機(jī)直接拔除電源插頭，對(duì)于筆記本采用強(qiáng)行關(guān)機(jī)，對(duì)于一些更為復(fù)雜的系統(tǒng)，如Unix主機(jī)，一般不得草率關(guān)機(jī)，須向有關(guān)技術(shù)人員咨詢后再確定關(guān)機(jī)方案。

2.3.2 記錄現(xiàn)場狀態(tài)

關(guān)機(jī)后，應(yīng)記錄下現(xiàn)場設(shè)備的靜態(tài)情況。包括計(jì)算機(jī)的型號(hào)、運(yùn)行了哪種操作系統(tǒng)、硬盤型號(hào)、硬盤接口類型、網(wǎng)絡(luò)連接類型等。應(yīng)當(dāng)對(duì)設(shè)備間的連接情況拍照并繪圖，要能全面反映設(shè)備的空間位置信息。拆卸時(shí)，應(yīng)當(dāng)記錄并編號(hào)，并保證以后可以恢復(fù)原狀。

2.3.3 制作鏡像

可以采用兩種方法獲得目標(biāo)計(jì)算機(jī)里的數(shù)據(jù)。一種是將勘查取證專用電腦通過網(wǎng)線或串行電纜與目標(biāo)計(jì)算機(jī)連接，然后再通過取證軟件對(duì)硬盤進(jìn)行鏡像復(fù)制。另一種辦法是將目標(biāo)計(jì)算機(jī)的硬盤拆下，然后連接到具有寫保護(hù)功能的勘查取證專用計(jì)算機(jī)上，從而讀取并復(fù)制硬盤上的證據(jù)。但需要注意裝載類型應(yīng)設(shè)置為“只讀”，只有這樣所查看的數(shù)據(jù)才不會(huì)因?yàn)椴僮魇д`而發(fā)生改變，并且能夠?qū)⑺械臄?shù)據(jù)保持在其最原始的狀態(tài)，保證證據(jù)檢驗(yàn)工作的真實(shí)性、客觀性和原始性。

2.3.4 完整性校驗(yàn)

利用專門工具計(jì)算機(jī)所復(fù)制的存儲(chǔ)媒介（硬盤）里電子數(shù)據(jù)的完整性校驗(yàn)值，原電子設(shè)備和存儲(chǔ)媒介應(yīng)當(dāng)封存，并且由偵查人員填寫、制作相應(yīng)的法律文書。

3 利用數(shù)據(jù)恢復(fù)技術(shù)挖掘證據(jù)

每一種操作系統(tǒng)都會(huì)提供把數(shù)據(jù)刪除出硬盤的功能，但與現(xiàn)實(shí)生活中的丟棄行為所不同的是，“刪除”指令被計(jì)算機(jī)執(zhí)行以后只是被做了一次登記，意味著下一次存儲(chǔ)數(shù)據(jù)的時(shí)候允許使用該空間，而實(shí)際上被“刪除”文件沒有被覆蓋以前依舊存在于硬盤中。即便嫌疑人在一定程度上刪除了數(shù)據(jù)，但在勘查過程中仍然有被恢復(fù)的可能性。常見的需要數(shù)據(jù)恢復(fù)技術(shù)的情形有以下幾類。

3.1 恢復(fù)硬盤分區(qū)

硬盤存放數(shù)據(jù)的基本單位是扇區(qū)，對(duì)硬盤分區(qū)的過程，就是在其第一個(gè)扇區(qū)上注明分區(qū)數(shù)量、單區(qū)大小，起始位置等信息，稱為分區(qū)信息表。當(dāng)主引導(dǎo)記錄因?yàn)楦鞣N原因（比如嫌疑人毀滅證據(jù)）損壞后，局部或全體分區(qū)就不可見，造成數(shù)據(jù)消失的情形。根據(jù)數(shù)據(jù)信息特征，經(jīng)驗(yàn)豐富的計(jì)算機(jī)專業(yè)人員可以推算分區(qū)大小及位置，將其手工標(biāo)注到分區(qū)信息表，從而恢復(fù)“消失”的分區(qū)。

3.2 恢復(fù)被刪除的文件

向硬盤存放數(shù)據(jù)時(shí)，系統(tǒng)首先會(huì)在文件分配表上登記文件名稱、大小以及根據(jù)空閑空間分配起始位置，等上述工作完成以后再向數(shù)據(jù)區(qū)寫入數(shù)據(jù)的內(nèi)容。刪除文件的過程與之類似，但程序卻更為簡單，當(dāng)需要?jiǎng)h除文件時(shí)，系統(tǒng)會(huì)在文件分配表內(nèi)添加刪除標(biāo)簽，表明該文件已被刪除，所占用的空間已被“釋放”，未來允許被新的數(shù)據(jù)可以占用，然后刪除流程便結(jié)束了。在沒有新的文件寫入，所占用的空間沒有被新內(nèi)容覆蓋的前提下，利用專門的工具可更改文件分配表的信息，從而返回到原來的狀態(tài)，實(shí)現(xiàn)數(shù)據(jù)恢復(fù)?；谕瑯拥脑?，被格式化的文件也可以恢復(fù)。

3.3 恢復(fù)文件分配表

計(jì)算機(jī)系統(tǒng)為了管理文件存儲(chǔ)活動(dòng)，需要通過格式化程序?qū)⒎謪^(qū)劃分為目錄文件分配區(qū)和數(shù)據(jù)區(qū)。文件分配表內(nèi)記錄著每一個(gè)文件的屬性、大小、位置。文件分配表管理所有文件的操作，一旦遭到破壞，系統(tǒng)無法定位到文件，盡管文件的內(nèi)容還在物理上存在于數(shù)據(jù)區(qū)，系統(tǒng)仍然會(huì)識(shí)別為文件不存在。就好比書的目錄被撕掉一樣，這時(shí)候恢復(fù)起來的難度較大，但是通過推算可能存在的位置，還是有可能恢復(fù)出所要的數(shù)據(jù)。

3.4 常用的數(shù)據(jù)恢復(fù)工具

3.4.1 Winhex數(shù)據(jù)操作工具

“Winhex”以通用的16進(jìn)制編輯器為核心，是一款功能強(qiáng)大的文本二進(jìn)制數(shù)據(jù)查看、修改工具。我們可以很方便的用來處理計(jì)算機(jī)犯罪取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理、破損文件修復(fù)、硬盤修復(fù)等工作需求。

3.4.2 Easyrecovery數(shù)據(jù)恢復(fù)軟件

“Easyrecovery”是一款全球范圍內(nèi)著名的經(jīng)典數(shù)據(jù)恢復(fù)軟件。該軟件執(zhí)行高效、功能強(qiáng)大，不僅應(yīng)用在誤刪除、格式化、重新分區(qū)等常見的數(shù)據(jù)丟失的情形，而且它還可以執(zhí)行不依賴分區(qū)表的按簇硬盤掃描功能。但也需要慎用，因?yàn)椴煌ㄟ^分區(qū)表來進(jìn)行數(shù)據(jù)掃描，得到的數(shù)據(jù)有可能不完整。不過這種方法卻提供給我們一個(gè)新的思路：在計(jì)算機(jī)犯罪取證過程中，面對(duì)分區(qū)表被嚴(yán)重?fù)p壞的計(jì)算機(jī)，我們還是可以嘗試用按簇掃描的辦法進(jìn)行數(shù)據(jù)恢復(fù)，哪怕只成功恢復(fù)出一小部分?jǐn)?shù)據(jù)，對(duì)于犯罪偵查工作來說也可能是有幫助的。

3.4.3 R-Studio取證工具

“R-Studio”兼容包括Linux、UNIX、Win9X/ME/NT/2000/XP在內(nèi)的常用計(jì)算機(jī)操作系統(tǒng);可恢復(fù)加密文件或數(shù)據(jù)流文件;支持網(wǎng)絡(luò)在線數(shù)據(jù)恢復(fù)的功能;兼容多種格式的文件系統(tǒng)，如Ext2FS、FAT12/16/32、NTFS、NTFS5等;軟件附帶有鏡像制作工具;能夠恢復(fù)大容量存儲(chǔ)設(shè)備上的數(shù)據(jù)，可修復(fù)大型磁盤陣列（RAID）;軟件擁有領(lǐng)先的抗刪除技術(shù)，可以恢復(fù)主引導(dǎo)記錄受損的、被擦除處理的（data erase）或者被病毒破壞的數(shù)據(jù)文件。軟件帶有多種高級(jí)設(shè)置選擇，用戶可通過個(gè)性化設(shè)置達(dá)到最佳的工作效果。

3.4.4 數(shù)據(jù)恢復(fù)軟件

數(shù)據(jù)恢復(fù)軟件不僅能夠有效地恢復(fù)硬盤、移動(dòng)硬盤、U盤，還添加了對(duì)新型數(shù)碼存儲(chǔ)設(shè)備的恢復(fù)能力，如SD卡、CF卡、TF卡、記憶棒等數(shù)據(jù)。此類軟件運(yùn)用多線程引擎技術(shù)，能夠高速地掃描硬盤底層數(shù)據(jù)。同時(shí)，采用多種高級(jí)分析算法，得以有效重建丟失的文件目錄和數(shù)據(jù)，恢復(fù)效果顯著。另外，該類型軟件所有的操作均在內(nèi)存中完成，不會(huì)向硬盤內(nèi)寫入數(shù)據(jù)，避免對(duì)數(shù)據(jù)的“二次破壞”，適合作為在線電子證據(jù)分析的工具。

3.4.5 硬盤數(shù)據(jù)恢復(fù)軟件

硬盤數(shù)據(jù)恢復(fù)軟件是一款全面的文件恢復(fù)軟件，使用此類軟件可以恢復(fù)出回收站刪除掉的文件、被Shift+Delete鍵直接刪除的文件和目錄、快速格式化/完全格式化的分區(qū)、分區(qū)表損壞、盤符無法正常打開的RAW分區(qū)數(shù)據(jù)、在硬盤管理中刪除掉的分區(qū)、被重新分區(qū)過的硬盤數(shù)據(jù)、一鍵Ghost對(duì)硬盤進(jìn)行分區(qū)、被第三方軟件做分區(qū)轉(zhuǎn)換時(shí)丟失的文件、把整個(gè)硬盤誤Ghost成一個(gè)盤等。該類型的軟件大多使用只讀的方式來掃描文件數(shù)據(jù)信息，在內(nèi)存中組建出原來的目錄文件名結(jié)構(gòu)，因此并不會(huì)破壞源盤內(nèi)容，比較適合在線取證工作時(shí)使用。

4 結(jié)語

目前，雖然我國在計(jì)算機(jī)犯罪取證技術(shù)的研究和應(yīng)用方面已取得了一些經(jīng)驗(yàn)，但全面、系統(tǒng)、深入地研究計(jì)算機(jī)犯罪行為及其取證技術(shù)卻仍是理論界和實(shí)踐部門的重要任務(wù)。面對(duì)計(jì)算機(jī)犯罪，我們應(yīng)當(dāng)采用穩(wěn)定且有效的推出技術(shù)和方法進(jìn)行取證，做到高效、精準(zhǔn)地收集計(jì)算機(jī)犯罪證據(jù)。另外，隨著法制的健全和刑事執(zhí)法能力的提高，計(jì)算機(jī)犯罪終將得到有效的治理。

參考文獻(xiàn)

[1] 麥永浩，許榕生.計(jì)算機(jī)取證與司法鑒定[M].清華大學(xué)出版社，2009.

[2] 徐愛冬，廖根為.網(wǎng)絡(luò)犯罪偵查實(shí)驗(yàn)基礎(chǔ)[M].北京大學(xué)出版社，2011.

[3] 徐愛冬.現(xiàn)場勘查[M].北京大學(xué)出版社，2011.

[4] 楊宗輝.偵查學(xué)方法論[M].中國檢察出版社，2004.

[5] 楊永川.計(jì)算機(jī)犯罪偵查[M].清華大學(xué)出版社，2006.