計算機犯罪及取征技術(shù)的研究

要：計算機技術(shù)的迅速發(fā)展改變了人們的生活方式、生產(chǎn)方式與管理方式。同時(shí)，也為違法犯罪分子提供了新的犯罪空間和手段。以計算機信息系統為犯罪對象和工具的各類(lèi)新型犯罪活動(dòng)越來(lái)越多，造成的危害也越來(lái)越大。如何獲取與計算機犯罪相關(guān)的電子證據，將犯罪分子繩之以法。已成為司法和計算機科學(xué)領(lǐng)域中亟待解決的新課題。作為計算機領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交叉科學(xué)——計算機取證學(xué)成為人們研究與關(guān)注的焦點(diǎn)。

關(guān)鍵詞：計算機犯罪計算機取證電子證據

Abstract:Therapiddevelopmentofcomputertechnologyhaschangedthewayofliving,productionandmanagement.Italsopresentsnewguiltywaysforthecriminals.Thenewtypesofcrimesbytakingthecomputerinformationsystemastheobjectandtoolsareincreasing.It’sgettingmoreharmful.Howtogettheevidenceofcomputercriminalsisanewtaskforthelawandcomputersciencearea.Proofbycomputer,asascienceofcomputerandlawarea.becomesafocusofattention.

KeyWords:CrimeonComputer,ComputerEvidence,ElectronicEvidence

計算機犯罪是伴隨計算機的發(fā)明和廣泛應用而產(chǎn)生的新的犯罪類(lèi)型。隨著(zhù)計算機技術(shù)的飛速發(fā)展。計算機在社會(huì )中的應用領(lǐng)域急劇擴大。計算機犯罪的類(lèi)型和領(lǐng)域不斷增加和擴展。使“計算機犯罪”這一術(shù)語(yǔ)隨著(zhù)時(shí)間的推移不斷獲得新的涵義。

1　什么是計算機犯罪

在學(xué)術(shù)研究上．關(guān)于計算機犯罪迄今為止尚無(wú)統一的定義(大致說(shuō)來(lái)，計算機犯罪概念可歸為五種：相關(guān)說(shuō)、濫用說(shuō)、工具說(shuō)、工具對象說(shuō)和信息對象說(shuō))。根據刑法條文的有關(guān)規定和我國計算機犯罪的實(shí)際情況，計算機犯罪是指行為人違反國家規定．故意侵入國家事務(wù)、國防建設、尖端科學(xué)技術(shù)等計算機信息系統，或者利用各種技術(shù)手段對計算機信息系統的功能及有關(guān)數據、應用程序等進(jìn)行破壞。制作、傳播計算機病毒。影響計算機系統正常運行且造成嚴重后果的行為。

利用計算機進(jìn)行犯罪活動(dòng)，無(wú)外乎以下兩種方式：一是利用計算機存儲有關(guān)犯罪活動(dòng)的信息；二是直接利用計算機作為犯罪工具進(jìn)行犯罪活動(dòng)。計算機犯罪具有犯罪主體的專(zhuān)業(yè)化、犯罪行為的智能化、犯罪客體的復雜化、犯罪對象的多樣化、危害后果的隱蔽性等特點(diǎn)。使計算機犯罪明顯有別于傳統一般刑事犯罪。近年來(lái)，計算機犯罪案例呈逐年上升趨勢。給國家帶來(lái)不可估量的嚴重后果和巨大的經(jīng)濟損失，甚至威脅到國家的安全，破壞了良好的社會(huì )秩序。所以，打擊利用計算機進(jìn)行的犯罪，確保信息安全對于國家的經(jīng)濟發(fā)展和社會(huì )穩定具有重大現實(shí)意義。為有效地打擊計算機犯罪，計算機取證是一個(gè)重要步驟。存在于計算機及相關(guān)外圍設備(包括網(wǎng)絡(luò )介質(zhì))中的電子證據已經(jīng)成為新的訴訟證據之一。

2　什么是計算機取證

計算機取證又稱(chēng)為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術(shù)，按照符合法律規范的方式進(jìn)行證據獲取、保存、分析和出示的過(guò)程。從技術(shù)上，計算機取證是一個(gè)對受侵計算機系統進(jìn)行掃描和破解，以對入侵事件進(jìn)行重建的過(guò)程。

計算機取證包括物理證據獲取和信息發(fā)現兩個(gè)階段。物理證據獲取是指調查人員到計算機犯罪或入侵的現場(chǎng)，尋找并扣留相關(guān)的計算機硬件；信息發(fā)現是指從原始數據(包括文件，日志等)中尋找可以用來(lái)證明或者反駁的證據，即電子證據。與傳統的證據一樣，電子證據必須是真實(shí)、可靠、完整和符合法律規定的。

2．1物理證據的獲取

物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始數據不受任何破壞。無(wú)論在任何情況下，調查者都應牢記：

(1)不要改變原始記錄；

(2)不要在作為證據的計算機上執行無(wú)關(guān)的操作；

(3)不要給犯罪者銷(xiāo)毀證據的機會(huì )；

(4)詳細記錄所有的取證活動(dòng)；

(5)妥善保存得到的物證。

若現場(chǎng)的計算機處于工作狀態(tài)。取證人員應該設法保存盡可能多的犯罪信息。由于犯罪的證據可能存在于系統日志、數據文件、寄存器、交換區、隱藏文件、空閑的磁盤(pán)空間、打印機緩存、網(wǎng)絡(luò )數據區和計數器、用戶(hù)進(jìn)程存儲器、文件緩存區等不同的位置。要收集到所有的資料是非常困難的。關(guān)鍵的時(shí)候要有所取舍。如果現場(chǎng)的計算機是黑客正在入侵的目標。為了防止犯罪分子銷(xiāo)毀證據文件，最佳選擇也許是馬上關(guān)掉電源；而如果計算機是作案的工具或相關(guān)信息的存儲器。應盡量保存緩存中的數據。

2．2信息發(fā)現

取得了物理證據后。下一個(gè)重要的工作就是信息發(fā)現。不同的案件對信息發(fā)現的要求是不一樣的。有些情況下要找到關(guān)鍵的文件、郵件或圖片，而有些時(shí)候則可能要求計算機重現過(guò)去的工作細節(比如入侵取證)。

值得注意的是。入侵者往往在入侵結束后將自己殘留在受害方系統中的“痕跡”擦除掉。猶如犯罪者銷(xiāo)毀犯罪證據一樣，盡量刪除或修改日志文件及其它有關(guān)記錄。殊不知一般的刪除文件操作，即使在清空了回收站后，若不將硬盤(pán)低級格式化或將硬盤(pán)空間裝滿(mǎn)，仍可將“刪除”的文件恢復過(guò)來(lái)。在Windows操作系統下的windowsswap(page)fde(一般用戶(hù)不曾意識到它的存在)大概有20-200M的容量，記錄著(zhù)字符處理、Email消息、Internet瀏覽行為、數據庫事務(wù)處理以及幾乎其它任何有關(guān)windows會(huì )話(huà)工作的信息。另外。在windows下還存在著(zhù)fdeslack，記錄著(zhù)大量Email碎片(Fragments)、字符處理碎片、目錄樹(shù)鏡像(snapshot)以及其它潛在的工作會(huì )話(huà)碎片。以上這些都可以利用計算機取證軟件來(lái)收集。事實(shí)上?，F在的取證軟件已經(jīng)具有了非常好的數據恢復能力，同時(shí)，還可以做一些基本的文件屬性獲得和檔案處理工作。

數據恢復以后。取證專(zhuān)家還要進(jìn)行關(guān)鍵字的查詢(xún)、分析文件屬性和數字摘要、搜尋系統日志、解密文件等工作。由于缺乏對計算機上的所有數據進(jìn)行綜合分析的工具，所以，信息發(fā)現的結果很大程度上依賴(lài)于取證專(zhuān)家的經(jīng)驗。這就要求一個(gè)合格的取證專(zhuān)家要對信息系統有深刻的了解。掌握計算機的組成結構、計算機網(wǎng)絡(luò )、操作系統、數據庫等多方面的相關(guān)知識。

最后取證專(zhuān)家據此給出完整的報告。將成為打擊犯罪的主要依據，這與偵查普通犯罪時(shí)法醫的角色沒(méi)有區別。

3一些取證工具的介紹

在計算機取證過(guò)程中。相應的取證工具必不可少，常見(jiàn)的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Networkmonitor，鏡像工具等。在國外計算機取證過(guò)程中比較流行的是鏡像工具和專(zhuān)業(yè)的取證軟件。下面以EnCase作為一個(gè)計算機取證技術(shù)的案例來(lái)分析。EnCase是目前使用最為廣泛的計算機取證工具，至少超過(guò)2000家的去律執行部門(mén)在使用它。EnCase是用C 編寫(xiě)的容量大約為1M的程序，它能調查Windows，Macintosh，Anux，Unix或DOS機器的硬盤(pán)，把硬盤(pán)中的文件鏡像或只讀的證據文件。這樣可以防止調查人員修改數居而使其成為無(wú)效的證據。為了確定鏡像數據與原的數據相同。EnCase會(huì )與計算機CRC校驗碼和MD5臺希值進(jìn)行比較。EnCase對硬盤(pán)驅動(dòng)鏡像后重新組織文件結構，采用WindowsGUI顯示文件的內容。允許調查員使用多個(gè)工具完成多個(gè)任務(wù)。：本文來(lái)自中國電子網(wǎng)歡迎轉載。

在檢查一個(gè)硬盤(pán)驅動(dòng)時(shí)，EnCase深入操作系統底層查看所有的數據——包括fileslack．未分配的空司和Windows交換分區（存有被刪除的文件和其它潛生的證據)的數據。在顯示文件方面，EnCase可以由多種標準，如時(shí)間戳或文件擴展名來(lái)排序。此外．EnCase可以比較已知擴展名的文件簽名。使得調查人員能確定用戶(hù)是否通過(guò)改變文件擴展名來(lái)隱藏證據。對調查結果可以采用html或文本方式顯示。并可打印出來(lái)。

在計算機取證的過(guò)程中還有一種常用的方法是在被入侵的系統上巧妙地設立HoneyPot，模擬先前被入侵的狀態(tài)來(lái)捕獲入侵者的信息，即采用誘敵深入的計策達到取證的目的。

HoneyPot和Honeynet都是專(zhuān)門(mén)設計來(lái)讓人“攻陷”的網(wǎng)絡(luò )。一旦被入侵者攻破，入侵者的一切信息、工具都將被用來(lái)分析學(xué)習。

通常情況下，HoneyPot會(huì )模擬常見(jiàn)的漏洞。而Honeynet是一個(gè)網(wǎng)絡(luò )系統，而非某臺單一主機。這一網(wǎng)絡(luò )系統隱藏在防火墻后面，所有進(jìn)出的數據都受到關(guān)注、捕獲及控制。這些捕獲的數據可被用來(lái)研究分析入侵者使用的工具、方法及動(dòng)機。

更多計算機與外設信息請關(guān)注：21ic計算機與外設頻道