計(jì)算機(jī)取證技術(shù)范文

本站小編為你精心準(zhǔn)備了計(jì)算機(jī)取證技術(shù)參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

一、計(jì)算機(jī)取證的概念和特點(diǎn)

關(guān)于計(jì)算機(jī)取證概念的說(shuō)法，國(guó)內(nèi)外學(xué)者專家眾說(shuō)紛紜。取證專家ReithClintMark認(rèn)為：計(jì)算機(jī)取證（CompenterForensics）可以認(rèn)為是“從計(jì)算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具”。LeeGarber在IEEESecurity發(fā)表的文章中認(rèn)為：計(jì)算機(jī)取證是分析硬盤驅(qū)動(dòng)器、光盤、軟盤、Zip和Jazz磁盤、內(nèi)存緩沖以及其他形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)證據(jù)的過(guò)程。計(jì)算機(jī)取證資深專家JuddRobbins對(duì)此給出了如下定義：計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取。其中，較為廣泛的認(rèn)識(shí)是：計(jì)算機(jī)取證是指能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f(shuō)服力的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)（ElectronicEvidence）的確定、收集、保護(hù)、分析、歸檔以及法庭出示的過(guò)程。

電子證據(jù)也稱為計(jì)算機(jī)證據(jù)，是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的，以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。電子證據(jù)的表現(xiàn)形式是多樣的，尤其是多媒體技術(shù)的出現(xiàn)，更使電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計(jì)算機(jī)證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。

證據(jù)在司法證明的中的作用是無(wú)庸質(zhì)疑的，它是法官判定罪與非罪、此罪與彼罪的標(biāo)準(zhǔn)。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。同時(shí)我們不難發(fā)現(xiàn)，電子證據(jù)還具有與傳統(tǒng)證據(jù)有別的其它特點(diǎn)：①磁介質(zhì)數(shù)據(jù)的脆弱性：電子證據(jù)非常容易被修改，并且不易留痕跡；②電子證據(jù)的無(wú)形性：計(jì)算機(jī)數(shù)據(jù)必須借助于其他一些輸出設(shè)備才能看到結(jié)果；③高科技性：證據(jù)的產(chǎn)生、傳輸、保存都要借助高科技含量的技術(shù)與設(shè)備；④人機(jī)交互性：計(jì)算機(jī)證據(jù)的形成，在不同的環(huán)節(jié)上有不同的計(jì)算機(jī)操作人員的參與，它們?cè)诓煌潭壬隙伎赡苡绊懹?jì)算機(jī)系統(tǒng)的運(yùn)轉(zhuǎn)；⑤電子證據(jù)是由計(jì)算機(jī)和電信技術(shù)引起的，由于其它技術(shù)的不斷發(fā)展，所以取證步驟和程序必須不斷調(diào)整以適應(yīng)技術(shù)的進(jìn)步。

二、計(jì)算機(jī)取證的過(guò)程

計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)（或網(wǎng)絡(luò)終端）犯罪或入侵的現(xiàn)場(chǎng)，尋找并扣留相關(guān)的硬件設(shè)備；信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件，日志等)中尋找可以用來(lái)證明或者反駁的證據(jù)，即電子證據(jù)。

1．物理證據(jù)的獲取

物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作，保證原始數(shù)據(jù)不受任何破壞。無(wú)論在任何情況下，調(diào)查者都應(yīng)牢記：①不要改變?cè)加涗洠虎诓灰谧鳛樽C據(jù)的計(jì)算機(jī)上執(zhí)行無(wú)關(guān)的操作；③不要給犯罪者銷毀證據(jù)的機(jī)會(huì)；④詳細(xì)記錄所有的取證活動(dòng)；⑤妥善保存得到的物證。

由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計(jì)數(shù)器、用戶進(jìn)程存儲(chǔ)器、文件緩存區(qū)等不同的位置。要收集到所有的資料是非常困難的。關(guān)鍵的時(shí)候要有所取舍。所以在物理證據(jù)獲取時(shí)，面對(duì)調(diào)查隊(duì)伍自身的素質(zhì)問題和設(shè)備時(shí)，還要注意以下兩個(gè)問題：①目前硬盤的容量越來(lái)越大，固定過(guò)程相應(yīng)變得越來(lái)越長(zhǎng)，因此取證設(shè)備要具有高速磁盤復(fù)制能力；②技術(shù)復(fù)雜度高是取證中另一十分突出的問題。動(dòng)態(tài)證據(jù)的固定由于沒有專門的設(shè)備，對(duì)調(diào)查人員的計(jì)算機(jī)專業(yè)素質(zhì)要求很高。

2．信息發(fā)現(xiàn)

在任何犯罪案件中，犯罪分子或多或少都會(huì)留下蛛絲馬跡，前面所說(shuō)的電子證據(jù)就是這些高科技犯罪分子留下的蛛絲馬跡。這些電子證據(jù)的物理存在構(gòu)成了我們?nèi)∽C的物質(zhì)基礎(chǔ)，但是如果不把它提煉出來(lái)，它只是一堆無(wú)意義的數(shù)據(jù)。我們研究計(jì)算機(jī)犯罪取證就是將這些看似無(wú)意義的數(shù)據(jù)變成與犯罪分子斗爭(zhēng)的利器，將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪者繩之以法。不同的案件對(duì)信息發(fā)現(xiàn)的要求是不一樣的。有些情況下要找到關(guān)鍵的文件、郵件或圖片，而有些時(shí)候則可能要求計(jì)算機(jī)重現(xiàn)過(guò)去的工作細(xì)節(jié)(比如入侵取證)。

為了保護(hù)原始數(shù)據(jù)，除非與特殊的需要，所有的信息發(fā)現(xiàn)工作都是對(duì)原始證據(jù)的物理拷貝進(jìn)行的。由于包含著犯罪證據(jù)的文件可能已經(jīng)被刪除了，所以要通過(guò)數(shù)據(jù)恢復(fù)找回關(guān)鍵的文件、通信記錄和其它的線索。

數(shù)據(jù)恢復(fù)以后，取證專家還要進(jìn)行關(guān)鍵字的查詢、分析文件屬性和數(shù)字摘要、搜尋系統(tǒng)日志、解密文件等工作。最后取證專家據(jù)此給出完整的報(bào)告。將成為打擊犯罪的主要依據(jù)，這與偵查普通犯罪時(shí)法醫(yī)的角色沒有區(qū)別。

三、計(jì)算機(jī)取證的發(fā)展

計(jì)算機(jī)取證是伴隨著計(jì)算機(jī)犯罪事件的出現(xiàn)而發(fā)展起來(lái)的，在我國(guó)計(jì)算機(jī)證據(jù)出現(xiàn)在法庭上只是近10年的事情，在信息技術(shù)較發(fā)達(dá)的美國(guó)已有了30年左右的歷史。最初的電子證據(jù)是從計(jì)算機(jī)中獲得的正式輸出，法庭不認(rèn)為它與普通的傳統(tǒng)物證有什么不同。但隨著計(jì)算機(jī)技術(shù)的發(fā)展，以及隨著與計(jì)算機(jī)相關(guān)的法庭案例的復(fù)雜性的增加，電子證據(jù)與傳統(tǒng)證據(jù)之間的類似性逐漸減弱。于是90年代中后期，對(duì)計(jì)算機(jī)取證的技術(shù)研究、專門的工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)陸續(xù)出現(xiàn)并發(fā)展起來(lái)。

現(xiàn)在美國(guó)至少有70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室，取證專家在實(shí)驗(yàn)室內(nèi)分析從犯罪現(xiàn)場(chǎng)獲取的計(jì)算機(jī)（和外設(shè)），并試圖找出入侵行為。不過(guò)我們國(guó)家有關(guān)計(jì)算機(jī)取證的研究與實(shí)踐尚在起步階段。

計(jì)算機(jī)取證技術(shù)隨著黑客技術(shù)提高而不斷發(fā)展，為確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來(lái)黑客技術(shù)的發(fā)展趨勢(shì)，以及計(jì)算機(jī)取證研究工作的不斷深入和改善，計(jì)算機(jī)取證將向以下幾個(gè)方向發(fā)展：①取證工具向智能化、專業(yè)化和自動(dòng)化方向發(fā)展。計(jì)算機(jī)取證科學(xué)涉及到多方面知識(shí)，現(xiàn)在許多工作依賴于人工實(shí)現(xiàn)，大大降低取證速度和取證結(jié)果的可靠性。②取證工具和過(guò)程標(biāo)準(zhǔn)化，因?yàn)闆]有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，軟件的使用者都很難對(duì)工具的有效性和可靠性進(jìn)行比較。另外，到現(xiàn)在為止，還沒有任何機(jī)構(gòu)對(duì)計(jì)算機(jī)取證機(jī)構(gòu)和工作人員的資質(zhì)進(jìn)行認(rèn)證，使得認(rèn)證結(jié)果的權(quán)威性受到質(zhì)疑；利用無(wú)線局域網(wǎng)和手機(jī)、PDA、便攜式計(jì)算機(jī)進(jìn)行犯罪的案件逐年上升，這些犯罪的證據(jù)會(huì)以不同形式分布在計(jì)算機(jī)、路由器、入侵檢測(cè)系統(tǒng)等不同設(shè)備上，要找到這些工具就需要針對(duì)不同的硬件和信息格式做出相應(yīng)的專門的取證工具。③取證技術(shù)的相關(guān)法律不斷趨于完善。我國(guó)有關(guān)計(jì)算機(jī)取證的研究與實(shí)踐尚在起步階段，只有一些法律法規(guī)涉及到了部分計(jì)算機(jī)證據(jù)，目前在法律界對(duì)電子證據(jù)作為訴公證據(jù)也存在一定的爭(zhēng)議。聯(lián)合國(guó)貿(mào)法會(huì)于1996年通過(guò)的《電子商務(wù)示范法》第5條也規(guī)定：不得僅僅以某項(xiàng)信息采用數(shù)據(jù)電文形式為理由而否定其法律效力、有效性和可執(zhí)行性。由此可見，國(guó)外已確認(rèn)了電子證據(jù)的合法性。

四、計(jì)算機(jī)取證技術(shù)的局限性

計(jì)算機(jī)取證技術(shù)的發(fā)展是近年來(lái)計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成果。然而，在實(shí)際取證過(guò)程中計(jì)算機(jī)取證技術(shù)還存在著很大的局限性。我們所討論的技術(shù)都是在理想條件下實(shí)施的：①有關(guān)犯罪的電子證據(jù)必須沒有被覆蓋；②取證軟件必須能夠找到這些數(shù)據(jù)。并能知道它代表的內(nèi)容。但從當(dāng)前階段的實(shí)施效果來(lái)看，不甚理想。

俗話說(shuō)“道高一尺魔高一丈”，因此在取證技術(shù)迅速發(fā)展的同時(shí)．一種叫做反取證的技術(shù)也悄悄出現(xiàn)了。反取證技術(shù)就是刪除或隱藏證據(jù)，使取證調(diào)查無(wú)效。現(xiàn)在反取證技術(shù)主要分為三類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏、數(shù)據(jù)加密。這些技術(shù)還可結(jié)合使用，使取證工作變得很困難。

數(shù)據(jù)擦除是阻止取證調(diào)查人員獲取、分析犯罪證據(jù)的最有效的方法，一般情況下是用一些毫無(wú)意義的、隨機(jī)產(chǎn)生的“0”、“1”字符串序列來(lái)覆蓋介質(zhì)上面的數(shù)據(jù)，使取證調(diào)查人員無(wú)法獲取有用的信息。

數(shù)據(jù)隱藏是指入侵者將暫時(shí)還不能被刪除的文件偽裝成其他類型或者將它們隱藏在圖形或音樂文件中，也有人將數(shù)據(jù)文件隱藏在磁盤上的Slack空間、交換空間或者未分配空間中，這類技術(shù)統(tǒng)稱為數(shù)據(jù)隱藏。

加密文件的作用是我們所熟知的。數(shù)據(jù)加密是用一定的加密算法對(duì)數(shù)據(jù)進(jìn)行加密，使明文變?yōu)槊芪摹５@種方法不是十分有效，因?yàn)橛薪?jīng)驗(yàn)的調(diào)查取證人員往往能夠感覺到數(shù)據(jù)已被加密，并能對(duì)加密的數(shù)據(jù)進(jìn)行有效的解密。

五、結(jié)束語(yǔ)

計(jì)算機(jī)取證技術(shù)已經(jīng)得到了一定的發(fā)展，但目前的研究多著眼于入侵防范，對(duì)于入侵后的取證技術(shù)的研究相對(duì)滯后；同時(shí)，計(jì)算機(jī)理論和技術(shù)的發(fā)展使得目前計(jì)算機(jī)取證技術(shù)呈現(xiàn)出領(lǐng)域擴(kuò)大化、學(xué)科融合化、標(biāo)準(zhǔn)化、智能化等發(fā)展趨勢(shì)。因此僅僅通過(guò)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪已經(jīng)不能夠適應(yīng)當(dāng)前的形勢(shì)。因此需要發(fā)揮社會(huì)道德的引導(dǎo)作用、完善法律的約束力量去對(duì)付形形色色的計(jì)算機(jī)犯罪。

摘要：計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)犯罪證據(jù)的識(shí)別、獲取、傳輸、保存、分析和提交認(rèn)證過(guò)程，實(shí)質(zhì)是一個(gè)詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過(guò)程。本文主要介紹了計(jì)算機(jī)取證的概念、特點(diǎn)，計(jì)算機(jī)取證的過(guò)程，然后探討了計(jì)算機(jī)取證的發(fā)展趨勢(shì)和局限性。

關(guān)鍵詞：計(jì)算機(jī)取證電子證據(jù)計(jì)算機(jī)反取證

計(jì)算機(jī)技術(shù)的迅速發(fā)展和廣泛普及改變了人們傳統(tǒng)的生產(chǎn)、生活和管理方式。同時(shí)也為違法犯罪分子提供了新的犯罪手段和空間。以計(jì)算機(jī)信息系統(tǒng)為犯罪對(duì)象和工具的新型犯罪活動(dòng)越來(lái)越多，造成的危害也越來(lái)越大。大量的計(jì)算機(jī)犯罪—如商業(yè)機(jī)密信息的竊取和破壞，計(jì)算機(jī)詐騙，攻擊政府、軍事部門網(wǎng)站，色情信息、網(wǎng)站的泛濫等等。偵破這些案件必須要用到計(jì)算機(jī)取證技術(shù)，搜尋確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。案件的取證工作需要提取存在于計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)，甚至需要從已被刪除、加密或破壞的文件中重獲信息。電子證據(jù)本身和取證過(guò)程有許多不同于傳統(tǒng)物證和取證的特點(diǎn)，給司法工作和計(jì)算機(jī)科學(xué)領(lǐng)域都提出了新的挑戰(zhàn)。