計算機取證技術(shù)應(yīng)用淺析

摘 要：本文介紹了計算機取證技術(shù)概念、計算機取證人員在取證過程中應(yīng)遵循的原則及操作規(guī)范，分析了當前計算機取證應(yīng)用的主要技術(shù)，討論了計算機取證的發(fā)展趨勢。

關(guān)鍵詞：計算機取證；取證技術(shù)；電子證據(jù)

中圖分類號：TP39

隨著計算機技術(shù)的發(fā)展，計算機的應(yīng)用已經(jīng)成為人們工作和生活中不可或缺的一部分。計算機及信息技術(shù)給我們帶來便利的同時，也為犯罪分子提供了新型的犯罪手段，與計算機相關(guān)的違法犯罪行為也相應(yīng)隨之增加。在實際案件中，涉及需要計算機取證的案件也日益增加，特別是在2012年3月14日，第十一屆全國人民代表大會第五次會議審議通過了《關(guān)于修改（中華人民共和國刑事訴訟法）的決定》，將“電子數(shù)據(jù)”作為一種獨立的證據(jù)種類加以規(guī)定，第一次以基本法律的形式確認了電子證據(jù)在刑事訴訟中的法律地位。由于電子證據(jù)的易丟失、易被篡改、偽造、破壞、毀滅等特性，為了避免破壞證據(jù)和原始數(shù)據(jù)，取證人員在對計算機進行取證工作過程中，必須嚴格按照規(guī)范程序操作，并遵守一定的原則。

1 計算機取證的定義

當前對計算機取證還沒有較為全面統(tǒng)一和標準化的定義，許多專家學(xué)者和機構(gòu)站在不同的角度給計算機取證下的定義都有所不同。當前相對較為全面且被大部分人認可的定義是：計算機取證是指對相關(guān)電子證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示的過程，這里的相關(guān)電子證據(jù)是指存儲在計算機及相關(guān)外部設(shè)備中能夠為法庭接受的、足夠可靠和有說服力的電子證據(jù)。

2 計算機取證規(guī)范

由于電子證據(jù)具有易破壞性等特點，取證人員在進行計算機取證時應(yīng)有嚴格的規(guī)范程序要求，取證過程應(yīng)當遵守一定的基本原則：首先是證據(jù)的取得必須合法。其次取證人員的計算機取證工作必須有嚴格操作規(guī)范。最后，取證工作應(yīng)當在監(jiān)督下執(zhí)行，并且有相應(yīng)的操作記錄，必要時應(yīng)當有第三方介入。

3 取證技術(shù)的應(yīng)用

電子證據(jù)主要來源有三個方面：一是來自主機系統(tǒng)設(shè)備及其附件方面的證據(jù)；二是來自網(wǎng)絡(luò)系統(tǒng)方面的證據(jù)；三是來自其他各種類型的數(shù)字電子設(shè)備的證據(jù)。

根據(jù)計算機取證所處的階段不同，可以采用不同的取證技術(shù)；當前計算機取證應(yīng)用的主要技術(shù)可以分為以下幾個方面：

3.1 磁盤復(fù)制技術(shù)

取證過程不允許在原始磁盤設(shè)備上面進行直接操作。因為在原始磁盤設(shè)備上面直接提取數(shù)據(jù)可能會損壞磁盤上的原始數(shù)據(jù)，造成不可逆的數(shù)據(jù)破壞或數(shù)據(jù)永久性丟失。通過鏡像方式做磁盤整盤復(fù)制或制作磁盤鏡像文件對原始數(shù)據(jù)進行位對位的精確復(fù)制，復(fù)制時可以對數(shù)據(jù)或者設(shè)備進行校驗（如MD5或者SHA2）確認所獲取的數(shù)據(jù)文件與原始磁盤介質(zhì)中的文件數(shù)據(jù)完全一致，并且未被修改過。通過磁盤鏡像復(fù)制的數(shù)據(jù)不同于一般的復(fù)制粘貼，鏡像方式復(fù)制的數(shù)據(jù)包括磁盤的臨時文件 ，交換文件，磁盤未分配區(qū)，及文件松弛區(qū)等信息，這信息對于某些特定案件的取證是必須的。

3.2 信息搜索與過濾技術(shù)

信息搜索與過濾技術(shù)就是從大量的信息數(shù)據(jù)中獲取與案件直接或者間接相關(guān)的犯罪證據(jù)，如文本、圖像、音視頻等文件信息。當前應(yīng)用較多的技術(shù)有：數(shù)據(jù)過濾技術(shù)、數(shù)據(jù)挖掘技術(shù)等。

3.3 數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)技術(shù)[3]是指通過技術(shù)手段，把保存在磁盤、存儲卡等電子設(shè)備上遭到破壞和丟失的數(shù)據(jù)還原為正常數(shù)據(jù)的技術(shù)。從操作層面上看，可以將數(shù)據(jù)恢復(fù)技術(shù)分為軟件恢復(fù)技術(shù)、硬件恢復(fù)技術(shù)。

3.4 隱形文件識別與提取技術(shù)

隨著技術(shù)的高速發(fā)展，犯罪嫌疑人的反偵查意識也在提高。嫌疑人經(jīng)常會對重要的數(shù)據(jù)文件采用偽裝、隱藏等技術(shù)手段使文件隱形，以逃避偵查。案件中常見的技術(shù)應(yīng)用有數(shù)據(jù)隱藏技術(shù)、水印提取技術(shù)、和文件的反編譯技術(shù)。

3.5 密碼分析與解密技術(shù)

密碼分析與解密技術(shù)是借助各種類型的軟件工具對已加密的數(shù)據(jù)進行解密。常見的技術(shù)有口令搜索、加密口令的暴力破解技術(shù)、網(wǎng)絡(luò)竊聽技術(shù)、密碼破解技術(shù)、密碼分析技術(shù)。其中密碼分析技術(shù)包括對明文密碼、密文密碼以及密碼文件的分析與破解。

3.6 網(wǎng)絡(luò)追蹤技術(shù)

網(wǎng)絡(luò)追蹤技術(shù)是根據(jù)IP報文信息轉(zhuǎn)發(fā)及路由信息來判斷信息源在網(wǎng)絡(luò)中的位置，有時還需要對所獲取的數(shù)據(jù)包進行技術(shù)分析才能追蹤到攻擊者的真實位置。常用的追蹤技術(shù)有連接檢測、日志記錄分析、ICMP追蹤、標記信息技術(shù)與信息安全文法等。

3.7 日志分析技術(shù)

日志文件由日志記錄組成，每條日志記錄描述了一次單獨的系統(tǒng)事件[4]。日志文件記錄著大量的用戶行為使用痕跡，在計算機取證過程中充分利用日志文件提取有用的證據(jù)數(shù)據(jù)，是進行日志分析的關(guān)鍵。

3.8 互聯(lián)網(wǎng)數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘[5]是一種數(shù)據(jù)分析方法，它可以對大量的業(yè)務(wù)數(shù)據(jù)進行搜索和分析并提取關(guān)鍵性數(shù)據(jù)，從而來揭示隱藏在其中的、未知的有效證據(jù)信息，或?qū)σ阎淖C據(jù)信息進行驗證。根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的特點可以分成靜態(tài)獲取和動態(tài)獲取。靜態(tài)獲取是從海量的網(wǎng)絡(luò)數(shù)據(jù)中獲取有關(guān)計算機犯罪的證據(jù)信息。動態(tài)獲取[6]是對網(wǎng)絡(luò)信息數(shù)據(jù)流的實時捕獲。

4 結(jié)束語

計算機取證技術(shù)是一個迅速發(fā)展的研究領(lǐng)域，有著良好的應(yīng)用前景。特別是在2012年3月，新的刑事訴訟法對“電子數(shù)據(jù)”的法律地位加以獨立規(guī)定，計算機取證技術(shù)的重要性顯得更為突出。當前，國內(nèi)在計算機取證技術(shù)上的研究力量也正在逐漸加強，相關(guān)取證技術(shù)及法律法規(guī)的研究也越來越多的受到重視，但在程序上還缺乏一套統(tǒng)一的計算機取證流程，對于取證人員的培養(yǎng)和取證機構(gòu)的建設(shè)還需要進一步加強。

參考文獻：

[1]麥永浩，孫國梓，許榕生，戴士劍.計算機取證與司法鑒定[M].清華大學(xué)出版社，2009（01）.

[2]殷聯(lián)甫.網(wǎng)絡(luò)與計算機安全叢書·計算機取證技術(shù)[M].北京：科學(xué)出版社，2008（02）.

[3]戴士劍，戴森，房金信.數(shù)據(jù)恢復(fù)與硬盤修理[M].電子工業(yè)出版社，2012：1-79.

[4]姜燕.計算機取證中日志分析技術(shù)綜述[J].電子設(shè)計工程，2013（06）.

[5]百度百科.數(shù)據(jù)挖掘[EB/OL].http：//baike.baidu.com/link？url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o，2013-11-22

[6]（美）Harlan Carvey著 卡羅王智慧，崔孝晨，陸道宏 譯.Windows取證分析：Windows forensic analysis[M].北京：科學(xué)出版社，2009.

作者簡介：鄭清安（1982.09-），男，泉州人，本科，學(xué)士，工程師，研究方向：電子取證。

作者單位：福建警察學(xué)院 計算機與信息安全管理系，福州 350007