!""#年 $"月 $" 日 第 $"期 %&’(’)&(* )+,-./01 +% 2.(’(’3
华南金融电脑
+)/3 $",!""# ’+3 $"
!""
!""
计算机取证技术及其应用
! 云南大学 孔鸿滨
根据中国互联网络信息中心发布的统计报告,
截止 !""#年 #月 4"日,我国的互联网用户达到了
$3 !4亿人。在上网用户总数迅猛增长之时,社会各
行业对网络相关应用的需求量也逐年稳步上升,计
算机网络已经成为社会经济生活中不可或缺的部
分。与此同时,计算机这把“双刃剑”也在成为高科
技犯罪的工具,黑客入侵、网络钓鱼、间谍软件、病
毒发布、色情传播、源代码失窃等案件更是频频见
诸报端,它们的大量出现必然会给国家带来不可估
量的严重后果和巨大的经济损失,甚至威胁到国家
的安全。计算机犯罪具有犯罪主体专业化、犯罪行
为智能化、犯罪客体复杂化、犯罪对象多样化、危害
后果隐蔽等特点,这使得计算机犯罪明显有别于传
统的刑事犯罪。尽管如此,计算机犯罪通常都会在
计算机及其外设中留下大量与犯罪有关的数据,进
而让司法人员根据相关技术找到证明某个事实的
证据成为可能,因此计算机与法学的交叉学科%%
计算机取证也就应运而生,它对于起诉这类犯罪行
为变得至关重要。对计算机网络管理员而言,计算
机取证技术这种事后分析的办法也必然给追踪黑
客行为和提高系统防护能力提供了一种借鉴。
一、何谓计算机取证
计算机取证 ()56789:; %5;:<=>?=)也称计算机
法医学,它可以简单地定义为“将科学的、分析的技
术应用于计算机操作系统和文件结构来获取潜在
的法律证据的过程”。它本质上就是识别、保存、分
析和提交数字证据的过程。计算机取证还可以细分
为磁盘取证、网络取证、0 @ 6A>B取证、C:D取证、源
代码取证等。
计算机取证首先起源于 !"世纪 E"年代末期,
法律执行者最初使用它来通过检查独立的计算机
来查找犯罪的数字证据。由于计算机网络的高速发
展,计算机取证也演化成对被入侵或不良代码攻击
的事后分析。
二、计算机取证常用工具
计算机取证工具分为硬件工具和软件工具。硬
件工具常有硬盘拷贝机 、可移动媒体、磁盘镜像硬
件等,而这些工具在国内很难见到。用于计算机取
证的软件则非常多,一个好的取证软件能为取证者
带来事半功倍的效果。我们简单地介绍几个常用的
取证软件。
F8>GA<?: H5I9JA;:是计算机取证工具的主要开
发商,它开发的 0<?A=:软件在运行时能建立一个
独立的硬盘镜像,而 F8>GA<?: H5I9JA;:的 %A=9KB5?
&L0 软件工具则能从物理层阻止操作系统向硬盘
上写入数据。0<?A=:取证版解决方案是国际领先的
受法院认可的计算机调查取证工具,是一个完全集
成基于 C><G5J=界面的取证应用程序,其功能包括
数据浏览、搜索、磁盘浏览、建立案例、建立证据文
件、保存案例等。
HAI:KA?M 是世界上惟一的处理电子证据的工
业标准。它的主要用途是保护计算机硬盘驱动器上
的电子证据,也可以用来复制计算机硬盘驱动器上
的所有存储区域。它可以对硬盘驱动器上的分区创
建镜像备份,也可以对可能包含多个分区或操作系
统的整个物理硬盘创建镜像备份。HAI:KA?M可以保
护已备份或已拷贝的硬盘上的所有数据,包括未激
活或“已删除”的数据。
应 用 技 术
!""#年 $"月 $" 日 第 $"期%&’(’)&(* )+,-./01 +% 2.(’(’3
华南金融电脑
+)/3 $",!""# ’+3 $"
!"!
!"!
44是标准的 .567 8 *6597应用工具,它也能为
用户提供硬盘的整盘拷贝。大家耳熟能详的 :;<=>
在其最新版本也提供了一个取证开关。其他取证软
件如 ?5@AB@CD、%/E、’F>,<56><G、/)/等都是不错的
计算机取证软件。事实上,一个好的取证工具对源
盘的拷贝应该是比特级的,而不应是文件级的,它
必须能拷贝被删除的文件和所有硬盘空闲区,它还
应提供强大的证据分析功能。
计算机取证应注意的事项是取证应确保证据
的真实性、可靠性、完整性和符合法律规定。
计算机取证人员从一开始就应把计算机当作
物证对待。物理证据获取是全部取证工作的基础,在
获取物理证据时最重要的工作是保证取到的原始证
据不受任何破坏,取证人员应该注意如下事项:
($)、不要改变原始记录,绝不能用原始证据硬
盘启动计算机;
(!)、不要在作为证据的计算机上执行无关的程
序,使用镜像存储介质来进行取证工作;
(H)、不要给犯罪者以销毁证据的机会;
(I)、详细记录所有的取证活动及相应原因;
(J)、标记并完好保存原始证据。
三、计算机取证的基本步骤
K一 L、准备阶段
在调查前,应准备好计算机取证所需的软硬件
设备和相关工具;确保得到执行相关调查和分析工
作的法律授权;对想要得到的结果做出明确的定
义;确保所使用的取证软件能够得到大多数计算机
取证专家的认可;判断并锁定与作案相关的计算机
系统及相应外设。
K二 L、证据保护
当识别出与犯罪相关的计算机设备时,必须采
取严格的保护措施加以保护,作为以后的证据。
必须要确保计算机证据的客观性和真实性,要
避免发生任何更改系统设置、硬件损坏、数据破坏
或病毒感染的情况。必须采用安全拷贝和存储镜像
等技术对整个存储设备做多个精确拷贝,将数字签
名技术与物理安全相结合必然能更好地保证证据
的完整性。使用目标存储介质的镜像作分析,决不
能动用原始的涉嫌存储介质,同时应采用硬盘锁软
件,防止向硬盘写入数据。
K三 L、证据收集与分析
任何取证科学的本质就是信息的获取。除了正
常的文件之外,日记文件、缓存、交换文件、删除的
文件、电子邮件、临时文件、回收站、信息文件碎片、
最近打开过的文件链接、缓冲池(打印)文件、&5>FGM
5F>上网记录、注册表、文件空闲区等都可能是证据
的藏身之所,取证者应收集这些相关信息。在网络
取证方面,应该能从网络中转设备中找出信息,如
路由器缓存、交换机、代理服务器、防火墙和其他网
络设备。证据收集是取证的前提,而证据分析则是
计算机取证的核心和关键,其内容包括分析计算机
的类型,采用的操作系统类型,是否有隐藏分区,有
无可疑外设,有无远程控制和木马程序及当前计算
机系统的网络环境等。由于原始的电子证据是存放
在磁盘等介质里,具有隐蔽性,取证分析需要借助
计算机的辅助程序来获取相应信息。通过对数字证
据的详尽分析,取证专家必然能查找出犯罪嫌疑人
的蛛丝马迹。
K四 L、证据呈现
证据就是在法庭上呈现的信息。数字证据极其
难以在法庭上呈现出来,其最大的挑战在于它并没
有自然的物理特性,数字证据本质上是抽象的。取
证者应该记录取证过程中的一切行为和结果,包括
执行相关操作的原因、场景,还可以用屏幕拷贝技
术和拷贝嫌疑文件等方式来呈现证据。
四、计算机取证技术的发展趋势
计算机取证与反取证是一对矛与盾的关系,计
算机反取证技术则从罪犯的角度出发对证据的存
在、数量和质量施加负面的影响,使得证据难于分
析或无法导出。目前的计算机反取证技术采用数据
隐藏、人工擦除、踪迹迷惑、对计算机取证过程或工
具进行攻击等方式与取证技术进行对抗,对计算机
取证提出了新的挑战。在这场没有硝烟的较量中,
计算机取证技术也在迅速成长,计算机取证技术与
入侵检测结合起来,同时将数据挖掘技术、智能代
理技术、人工智能、机器学习、神经网络等技术应用
于计算机取证之中,使得它具有动态性、实时性、有
效性、可适应性和可扩展性,使取证过程朝着智能
化、自动化方向发展。
K责任编辑N高碧波 L
应 用 技 术
