浅析计算机取证技术
摘 要: 计算 机取证是对计算机犯罪证据的识别、获取、传输、保存、 分析 和提交认
证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。本文主要介绍了计算
机取证的概念、特点,计算机取证的过程,然后探讨了计算机取证的 发展 趋势和局限
性。关键词:计算机取证 电子 证据 计算机反取证计算机技术的迅速发展和广泛普及改
变了人们传统的生产、生活和管理方式。同时也为违法犯罪分子提供了新的犯罪手段和空
间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越
大。大量的计算机犯罪—如商业机密信息的窃取和破坏,计算机诈骗,攻击政府、军事部
门网站,色情信息、网站的泛滥等等。侦破这些案件必须要用到计算机取证技术,搜寻确
认罪犯及其犯罪证据,并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的
数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有
许多不同于传统物证和取证的特点,给司法工作和计算机 科学 领域都提出了新的挑战。
一、计算机取证的概念和特点关于计算机取证概念的说法,国内外学者专家众说纷纭。取
证专家 REith Clint Mark认为:计算机取证(Compenter Forensics)可以认为是“从计
算机中收集和发现证据的技术和工具”。Lee Garber在 IEEE Security发表的文章中认
为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和 Jazz磁盘、内存缓冲以及其他形
式的储存介质以发现证据的过程。计算机取证资深专家 Judd Robbins对此给出了如下定
义:计算机取证是将计算机调查和分析技术 应用 于对潜在的、有 法律 效力的证据的确
定与获取。其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有
说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收
集、保护、分析、归档以及法庭出示的过程。电子证据也称为计算机证据,是指在计算机
或计算机系统运行过程中产生的,以其记录的 内容 来证明案件事实的电磁记录物。电子
证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、
图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖
了所有传统证据类型。证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非
罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、
符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据
有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;
②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高 科
技 性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计
算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都
可能 影响 计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术
的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。二、计算机取证的过
程计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算
机(或 网络 终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原
始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。1.物理
证据的获取物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证
原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:①不要改变原始记录;②
不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记
录所有的取证活动;⑤妥善保存得到的物证。由于犯罪的证据可能存在于系统日志、数据
文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数
器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关
键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质 问题 和设备
时,还要注意以下两个问题 :① 目前 硬盘的容量越来越大,固定过程相应变得越来越
长,因此取证设备要具有高速磁盘复制能力;②技术复杂度高是取证中另一十分突出的问
题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。
2.信息发现在任何犯罪案件中,犯罪分子或多或少都会留下蛛丝马迹,前面所说的 电子
证据就是这些高 科技 犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取
证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们 研究 计算
机犯罪取证就是将这些看似无意义的数据变成与犯罪分子斗争的利器,将犯罪者留在计算
机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。不同的案件对
信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则
可能要求计算机重现过去的工作细节(比如入侵取证)。为了保护原始数据,除非与特殊的
需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文
件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其它的线索。数
据恢复以后,取证专家还要进行关键字的查询、 分析 文件属性和数字摘要、搜寻系统日
志、解密文件等工作。最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,
这与侦查普通犯罪时法医的角色没有区别。三、计算机取证的 发展 计算机取证是伴随着
计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近 10年的事
情,在信息技术较发达的美国已有了 30年左右的 历史 。最初的电子证据是从计算机中
获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发
展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似
性逐渐减弱。于是 90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以
及相关商业服务陆续出现并发展起来。现在美国至少有 70%的 法律 部门拥有自己的计算
机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找
出入侵行为。不过我们国家有关计算机取证的研究与实践尚在起步阶段。计算机取证技术
随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据 目前 网络 入侵
和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,
计算机取证将向以下几个方向发展:①取证工具向智能化、专业化和自动化方向发展。计
算机取证 科学 涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和
取证结果的可靠性。②取证工具和过程标准化,因为没有统一的标准和规范,软件的使用
者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算
机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域
网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式
分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的
硬件和信息格式做出相应的专门的取证工具。③取证技术的相关法律不断趋于完善。我国
有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证
据,目前在法律界对电子证据作为诉公证据也存在一定的争议。联合国贸法会于 1996年
通过的《电子商务示范法》第 5条也规定:不得仅仅以某项信息采用数据电文形式为理由
而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。
四、计算机取证技术的局限性计算机取证技术的发展是近年来计算机安全领域内取得的重
大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的
技术都是在理想条件下实施的:①有关犯罪的电子证据必须没有被覆盖;②取证软件必须
能够找到这些数据。并能知道它代表的 内容 。但从当前阶段的实施效果来看,不甚理
想。俗话说“道高一尺魔高一丈”,因此在取证技术迅速发展的同时.一种叫做反取证的
技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术
主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变
得很困难。数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的 方法 ,一般情
况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,
使取证调查人员无法获取有用的信息。数据隐藏是指入侵者将暂时还不能被删除的文件伪
装成其他类型或者将它们隐藏在图形或 音乐 文件中,也有人将数据文件隐藏在磁盘上的
Slack空间、交换空间或者未分配空间中,这类技术统称为数据隐藏。加密文件的作用是
我们所熟知的。数据加密是用一定的加密算法对数据进行加密,使明文变为密文。但这种
方法不是十分有效,因为有经验的调查取证人员往往能够感觉到数据已被加密,并能对加
密的数据进行有效的解密。 五、结束语计算机取证技术已经得到了一定的发展,但目前
的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机 理论
和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化
等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形
势。因此需要发挥 社会 道德的引导作用、完善法律的约束力量去对付形形色色的计算机
犯罪。 参考 文献 [1] 王玲,钱华林.计算机取证技术及其发展趋势.软件学
报,2003,14(9):1635 1644.[2] 赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安
全.2003年.第 10期[3] 苏成.计算机安全.2006年.第 01期[4] 钟秀玉.计算机取证 问题
分析与对策.电脑开发与 应用 .2005年.第 03期[5] 赵小敏, 陈庆章. 打击计算机犯罪新
课题──计算机取证技术. 信息网络安全,2002,9[6] 蒋平.计算机犯罪问题研究.2000年
版
