計算機主機隱秘信息取證技術研究

宋愈珍，陳穎

（上饒職業(yè)技術學院，江西上饒334000）

?

計算機主機隱秘信息取證技術研究

宋愈珍，陳穎

（上饒職業(yè)技術學院，江西上饒334000）

結合法律中明確規(guī)定電子證據(jù)的合法性，不斷研究計算機技術以完善電子證據(jù)采集與保存技術。

計算機；主機隱秘；取證技術

引言

計算機在信息儲存、信息交流和信息處理方面有著得天獨厚的巨大優(yōu)勢，使得計算機技術在我國迅速普及，并在相當短的時間內(nèi)成為了工作生活的重要組成部分，甚至成為國民經(jīng)濟快速發(fā)展的推動力。然而，計算機的普及也催生了一種新的犯罪方式——互聯(lián)網(wǎng)犯罪?；ヂ?lián)網(wǎng)犯罪通常由兩部分組成，第一項就是利用計算機作為存儲犯罪信息的平臺；第二項直接將計算機作為了犯罪工具。這兩者雖然有著本質的差別，但是在犯罪證據(jù)采集的過程中，卻是沒有太大的差距。

中國正處在法制建設關鍵期，相關法律法規(guī)的出臺速度難以趕上迅速發(fā)展的計算機技術，使得相關的法律在一定的程度上落后于計算機的發(fā)展，在面對計算機犯罪時，難以進行有效地制裁。近年來，隨著相關法律的出臺，電子證據(jù)已得到了法庭和人民群眾認可。這直接使計算機取證技術站在了一個相當高的位置上。不論什么樣的取證方式都無法跳出時間、地點、事情經(jīng)過等等證據(jù)鏈要素的制約，計算機取證技術也是圍繞這幾點進行探索和發(fā)展的。

1計算機系統(tǒng)取證基本原則

1.1依法取證的原則

在進行犯罪取證工作時，具體的取證過程在中國的相關法律中已經(jīng)有了相當明確的法律規(guī)定。具體來說，一定要包含犯罪主體、犯罪對象、犯罪實施的方法以及犯罪過程這四個要素才能構成一條完整的證據(jù)鏈條，才具有合法性。同時，取證人員也必須是有資質的專業(yè)人員，不是任何人都可以參加到取證工作中來。在實際的取證工作中，工作人員還要明確取證的范圍界定，對于那些在犯罪調查外圍的人員不能夠利用權力私自調查，要保證其它不相關人員的隱私以及合法權益。

1.2備份取證原則和無損原則

這兩個取證的原則其實就如同它們的字面意思一樣。在目前，備份原則往往是通過拍照來實現(xiàn)。在取證的過程中，要用照相機等設備對證物進行備份。這種做法可以保證原始證據(jù)的完整和證據(jù)的隨取隨用。而無損原則就是在取證的過程中一定要謹慎而為，盡量做到不破壞現(xiàn)場，不破壞證據(jù)。在一些有涉案設備的現(xiàn)場，還要注重對儀器的保護，使涉案儀器處在犯罪發(fā)生時的狀態(tài)，有利于案件的后續(xù)調查。

1.3及時性和準確性

在計算機取證的過程中一定要把握這兩個特性。第一點，由于計算機存儲的數(shù)據(jù)分為兩個部分，其中緩存在電腦斷電重啟之后會丟失，使數(shù)據(jù)發(fā)生改變，所以取證人員在對計算機取證時一定要把握好時機，在計算機數(shù)據(jù)沒有發(fā)生改變的時候就取得第一手證據(jù)；第二點就是取證的準確性，計算機是一種人工智能的設備，是由一定的邏輯組件構成的。所以取證人員在取證的過程中還要按照規(guī)定的步驟準確地執(zhí)行；而不是任意而為，使拿到手的證據(jù)喪失意義。

1.4過程監(jiān)督和管理原則

電子數(shù)據(jù)在作為證據(jù)時會顯得十分容易丟失和遭到破壞。所以在計算機取證的具體過程中，一定要要有專家在旁邊進行全程實時監(jiān)控和指導。而在取得相關的證據(jù)之后，證據(jù)的保存、復制也要做好記錄工作，通過嚴密的防護保證這些重要數(shù)據(jù)免受破壞而丟失。

2　計算機信息隱秘取證存在的問題

由于計算機取證技術在中國的起步比較晚，其具體的操作過程往往還會存在以下幾點問題：1）由于計算機取證技術在中國的發(fā)展較晚，具體的取證過程中，沒有經(jīng)過長久驗證的措施來進行合法取證。一般的情況是取證人員會利用相對陳舊的取證方式來進行取證的操作過程，這些方法往往會無法保證取證的科學性和可依賴性。隨著近年來相關制度的完善，計算機的取證工作可以有相關的規(guī)定作為依據(jù)。但是由于實踐經(jīng)驗的缺乏，制定出來的規(guī)定往往太過于模糊，沒有用十分準確的專業(yè)術語進行規(guī)定。在實際的操作過程中，難以起到其應有的作用。這也使得電子證據(jù)在法庭上很難作為有力的證據(jù)對犯罪者進行指控。2）電子證據(jù)相對于傳統(tǒng)的證據(jù)，具有信息量巨大的特點。而這特點表現(xiàn)在具體的取證過程中就是很難發(fā)現(xiàn)有用的信息，而有些信息甚至還是經(jīng)過加密的，只有進行破譯才可以讀出，這往往會使案件陷入僵局。3）計算機內(nèi)的信息通常情況下是人工無法識別的匯編語言，只有經(jīng)過特殊軟件的編譯才可以人為讀出這些信息。但是由于技術的限制，我們國內(nèi)生產(chǎn)的取證軟件可靠性不高，難以滿足取證的要求。而引進的國外的先進系統(tǒng)不僅會花費大量的外匯，還無法很好適應國內(nèi)的工作需要。所以目前在國內(nèi)的計算機取證過程中往往是使用臨時編寫的程序，這使得取證結果難以令人信服，限制了計算機取證技術的發(fā)展［1］。

3　計算機主機隱秘信息取證系統(tǒng)分析

中國目前在計算機取證過程中應用的軟件，往往是由幾個相對固定的模塊組成。而其實現(xiàn)取證功能的過程也相對固定，通常會包括信息采集、信息分析、信息加工、信息傳輸?shù)葞讉€過程。而對計算機的主機取證則是整個取證過程的核心內(nèi)容。而對計算機主機的取證往往包括許多個獨立的模塊，而其中相對核心的一個模塊就是自動隱藏和加載模塊，這兩個模塊的工作好壞將會直接的影響到整個計算機隱秘系統(tǒng)的取證過程。同時，在取證的過程中要密切的注意軟件的具體行為，保證取證過程完整性［2］。

除以上模塊之外，還有一個叫做自動卸載的模塊。自動卸載的模塊在得到指令后，會通過一系列的動作來完成注入痕跡的清理任務。然后文件數(shù)據(jù)取證利用這個這個模塊得到計算機主機上所存儲的相關信息，再將得到的數(shù)據(jù)進行加密和壓縮，最終利用軟件的數(shù)據(jù)回傳功能將得到的數(shù)據(jù)傳輸?shù)酵饨纾瑥亩鴮崿F(xiàn)計算機取證的任務。

這些得到應用的取證系統(tǒng)實質上是計算機和其它存儲設備的數(shù)據(jù)傳輸軟件，數(shù)據(jù)的采集以及接下來的傳輸功能都是由一個系統(tǒng)來完成。它取證功能的實現(xiàn)就是利用軟件中的主機數(shù)據(jù)采集平臺和數(shù)據(jù)傳輸平臺來實現(xiàn)。其中主機取證是通過物理連接將自己的程序植入到主機中，得到指令后，便隱秘地將采集的數(shù)據(jù)回傳到外界的存儲平臺，最終完成整個計算機取證過程［3］。

［1］熊杰.計算機主機隱秘信息取證技術研究［J］.軟件導刊，2013（4）: 157-159.

［2］烏嵐.淺析計算機主機隱秘信息取證技術［J］.當代教育實踐與教學研究，2015（5）:168-169.

［3］文少勇，王箭，李劍.基于Windows平臺的動態(tài)取證系統(tǒng)［J］.計算機系統(tǒng)應用，2012（2）:13-17.

（編輯：王璐）

On Computer Host Secret Information Forensics Technology

Song Yuzhen，Chen Ying
（Shangrao Vocational and Technical College，Shangrao Jiangxi 3 3 4000）

Combined with the legality of electronic evidence clearly stated in law，this paper continuously studies computer technology to improve the electronic evidence collection and preservation techniques.

computer；host secret；forensics

TP393.08

A

2095-0748（2015）22-0090-02

10.16525/j.cnki.14-1362/n.2015.22.40

2015-10-22

宋愈珍（1983—），女，江西贛州人，碩士，講師，研究方向：主要從事計算機軟件應用、電子商務、平面設計、信息技術方向的教學與研究；陳穎（1982—），女，江西上饒人，碩士，講師，研究方向：主要從事計算機軟件應用、電子商務、平面設計、信息技術方向的教學與研究。