淺析計算機取證技術(shù)

摘 要：計算機取證是對計算機犯罪證據的識別、獲取、傳輸、保存、分析和提交認證過(guò)程，實(shí)質(zhì)是一個(gè)詳細掃描計算機系統以及重建入侵事件的過(guò)程。本文主要介紹了計算機取證的概念、特點(diǎn)，計算機取證的過(guò)程，然后探討了計算機取證的發(fā)展趨勢和局限性。

計算機技術(shù)的迅速發(fā)展和廣泛普及改變了人們傳統的生產(chǎn)、生活和管理方式。同時(shí)也為違法犯罪分子提供了新的犯罪手段和空間。以計算機信息系統為犯罪對象和工具的新型犯罪活動(dòng)越來(lái)越多，造成的危害也越來(lái)越大。大量的計算機犯罪—如商業(yè)機密信息的竊取和破壞，計算機詐騙，攻擊政府、軍事部門(mén)網(wǎng)站，色情信息、網(wǎng)站的泛濫等等。偵破這些案件必須要用到計算機取證技術(shù)，搜尋確認罪犯及其犯罪證據，并據此提起訴訟。案件的取證工作需要提取存在于計算機系統中的數據，甚至需要從已被刪除、加密或破壞的文件中重獲信息。電子證據本身和取證過(guò)程有許多不同于傳統物證和取證的特點(diǎn)，給司法工作和計算機科學(xué)領(lǐng)域都提出了新的挑戰。

一、計算機取證的概念和特點(diǎn)

關(guān)于計算機取證概念的說(shuō)法，國內外學(xué)者專(zhuān)家眾說(shuō)紛紜。取證專(zhuān)家Reith Clint Mark認為：計算機取證（Compenter Forensics）可以認為是“從計算機中收集和發(fā)現證據的技術(shù)和工具”。Lee Garber在IEEE Security發(fā)表的文章中認為：計算機取證是分析硬盤(pán)驅動(dòng)器、光盤(pán)、軟盤(pán)、Zip和Jazz磁盤(pán)、內存緩沖以及其他形式的儲存介質(zhì)以發(fā)現證據的過(guò)程。計算機取證資深專(zhuān)家Judd Robbins對此給出了如下定義：計算機取證是將計算機調查和分析技術(shù)應用于對潛在的、有法律效力的證據的確定與獲取。其中，較為廣泛的認識是：計算機取證是指能夠為法庭接受的、足夠可靠和有說(shuō)服力的、存在于計算機和相關(guān)外設中的電子證據（Electronic Evidence）的確定、收集、保護、分析、歸檔以及法庭出示的過(guò)程。

電子證據也稱(chēng)為計算機證據，是指在計算機或計算機系統運行過(guò)程中產(chǎn)生的，以其記錄的內容來(lái)證明案件事實(shí)的電磁記錄物。電子證據的表現形式是多樣的，尤其是多媒體技術(shù)的出現，更使電子證據綜合了文本、圖形、圖像、動(dòng)畫(huà)、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計算機證據幾乎涵蓋了所有傳統證據類(lèi)型。

證據在司法證明的中的作用是無(wú)庸質(zhì)疑的，它是法官判定罪與非罪、此罪與彼罪的標準。與傳統證據一樣，電子證據必須是：可信的、準確的、完整的、符合法律法規的，即可為法庭所接受的。同時(shí)我們不難發(fā)現，電子證據還具有與傳統證據有別的其它特點(diǎn)：①磁介質(zhì)數據的脆弱性：電子證據非常容易被修改，并且不易留痕跡；②電子證據的無(wú)形性：計算機數據必須借助于其他一些輸出設備才能看到結果；③高科技性：證據的產(chǎn)生、傳輸、保存都要借助高科技含量的技術(shù)與設備；④人機交互性：計算機證據的形成，在不同的環(huán)節上有不同的計算機操作人員的參與，它們在不同程度上都可能影響計算機系統的運轉；⑤電子證據是由計算機和電信技術(shù)引起的，由于其它技術(shù)的不斷發(fā)展，所以取證步驟和程序必須不斷調整以適應技術(shù)的進(jìn)步。

二、計算機取證的過(guò)程

計算機取證包括物理證據獲取和信息發(fā)現兩個(gè)階段。物理證據獲取是指調查人員到計算機（或網(wǎng)絡(luò )終端）犯罪或入侵的現場(chǎng)，尋找并扣留相關(guān)的硬件設備；信息發(fā)現是指從原始數據(包括文件，日志等)中尋找可以用來(lái)證明或者反駁的證據，即電子證據。

1．物理證據的獲取

物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始數據不受任何破壞。無(wú)論在任何情況下，調查者都應牢記：①不要改變原始記錄；②不要在作為證據的計算機上執行無(wú)關(guān)的操作；③不要給犯罪者銷(xiāo)毀證據的機會(huì )；④詳細記錄所有的取證活動(dòng)；⑤妥善保存得到的物證。

由于犯罪的證據可能存在于系統日志、數據文件、寄存器、交換區、隱藏文件、空閑的磁盤(pán)空間、打印機緩存、網(wǎng)絡(luò )數據區和計數器、用戶(hù)進(jìn)程存儲器、文件緩存區等不同的位置。要收集到所有的資料是非常困難的。關(guān)鍵的時(shí)候要有所取舍。所以在物理證據獲取時(shí)，面對調查隊伍自身的素質(zhì)問(wèn)題和設備時(shí)，還要注意以下兩個(gè)問(wèn)題 ：①目前硬盤(pán)的容量越來(lái)越大，固定過(guò)程相應變得越來(lái)越長(cháng)，因此取證設備要具有高速磁盤(pán)復制能力；②技術(shù)復雜度高是取證中另一十分突出的問(wèn)題。動(dòng)態(tài)證據的固定由于沒(méi)有專(zhuān)門(mén)的設備，對調查人員的計算機專(zhuān)業(yè)素質(zhì)要求很高。

2．信息發(fā)現

在任何犯罪案件中，犯罪分子或多或少都會(huì )留下蛛絲馬跡，前面所說(shuō)的電子證據就是這些高科技犯罪分子留下的蛛絲馬跡。這些電子證據的物理存在構成了我們取證的物質(zhì)基礎，但是如果不把它提煉出來(lái)，它只是一堆無(wú)意義的數據。我們研究計算機犯罪取證就是將這些看似無(wú)意義的數據變成與犯罪分子斗爭的利器，將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪者繩之以法。不同的案件對信息發(fā)現的要求是不一樣的。有些情況下要找到關(guān)鍵的文件、郵件或圖片，而有些時(shí)候則可能要求計算機重現過(guò)去的工作細節(比如入侵取證)。

為了保護原始數據，除非與特殊的需要，所有的信息發(fā)現工作都是對原始證據的物理拷貝進(jìn)行的。由于包含著(zhù)犯罪證據的文件可能已經(jīng)被刪除了，所以要通過(guò)數據恢復找回關(guān)鍵的文件、通信記錄和其它的線(xiàn)索。

數據恢復以后，取證專(zhuān)家還要進(jìn)行關(guān)鍵字的查詢(xún)、分析文件屬性和數字摘要、搜尋系統日志、解密文件等工作。最后取證專(zhuān)家據此給出完整的報告。將成為打擊犯罪的主要依據，這與偵查普通犯罪時(shí)法醫的角色沒(méi)有區別。

三、計算機取證的發(fā)展

計算機取證是伴隨著(zhù)計算機犯罪事件的出現而發(fā)展起來(lái)的，在我國計算機證據出現在法庭上只是近10年的事情，在信息技術(shù)較發(fā)達的美國已有了30年左右的歷史。最初的電子證據是從計算機中獲得的正式輸出，法庭不認為它與普通的傳統物證有什么不同。但隨著(zhù)計算機技術(shù)的發(fā)展，以及隨著(zhù)與計算機相關(guān)的法庭案例的復雜性的增加，電子證據與傳統證據之間的類(lèi)似性逐漸減弱。于是90年代中后期，對計算機取證的技術(shù)研究、專(zhuān)門(mén)的工具軟件的開(kāi)發(fā)以及相關(guān)商業(yè)服務(wù)陸續出現并發(fā)展起來(lái)。

現在美國至少有70%的法律部門(mén)擁有自己的計算機取證實(shí)驗室，取證專(zhuān)家在實(shí)驗室內分析從犯罪現場(chǎng)獲取的計算機（和外設），并試圖找出入侵行為。不過(guò)我們國家有關(guān)計算機取證的研究與實(shí)踐尚在起步階段。