計(jì)算機(jī)取證及其規(guī)范論述

于麗

（新疆警察學(xué)院信息安全工程系，新疆 烏魯木齊 830011）

計(jì)算機(jī)取證及其規(guī)范論述

于麗

（新疆警察學(xué)院信息安全工程系，新疆 烏魯木齊 830011）

從上世紀(jì)八十年代開始，人們就在研究將計(jì)算機(jī)應(yīng)用于取證，發(fā)展至今，在計(jì)算機(jī)取證的思想、理論和方法等方面都已經(jīng)取得了重大的突破。本文在該背景之下對(duì)計(jì)算機(jī)取證及其規(guī)范進(jìn)行了論述。在對(duì)計(jì)算機(jī)取證的概念進(jìn)行詳細(xì)介紹的基礎(chǔ)上，提出目前計(jì)算機(jī)取證所面臨的問題以及相應(yīng)的解決措施，對(duì)我國(guó)在應(yīng)用計(jì)算機(jī)取證方面的規(guī)范加以完善。

計(jì)算機(jī)取證；規(guī)范；技術(shù)

1 引言

近些年來(lái)，計(jì)算機(jī)在我國(guó)得到了廣泛的應(yīng)用，而隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，許多違法犯罪活動(dòng)也開始涉及到計(jì)算機(jī)和網(wǎng)絡(luò)，而這些與計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)的違法犯罪活動(dòng)，其證據(jù)往往也都是電子證據(jù)。所以我國(guó)已經(jīng)深刻地認(rèn)識(shí)到了計(jì)算機(jī)取證的重要性，利用計(jì)算機(jī)進(jìn)行取證不僅僅可以幫助調(diào)查與計(jì)算機(jī)和網(wǎng)絡(luò)有關(guān)的違法犯罪活動(dòng)，還可以有效地進(jìn)行其它方面的取證。但是就我國(guó)目前的情況而言，計(jì)算機(jī)取證在規(guī)范和制度方面仍然存在一定的問題，要想更好地利用計(jì)算機(jī)來(lái)進(jìn)行取證，必須要對(duì)相應(yīng)的制度和法律法規(guī)進(jìn)行完善。再加之計(jì)算機(jī)取證往往涉及到許多不同專業(yè)的知識(shí)，所以利用計(jì)算機(jī)進(jìn)行取證也必須要同時(shí)考慮多個(gè)方面因素的影響。

2 計(jì)算機(jī)取證概述

2.1 電子證據(jù)的概念

所謂的電子證據(jù)，指的是在電子技術(shù)出現(xiàn)之后才產(chǎn)生的一種新型的證據(jù)類型，這種證據(jù)不同于傳統(tǒng)的證據(jù)，它往往有著特定的載體，那就是計(jì)算機(jī)。在電子技術(shù)出現(xiàn)之前，是不存在電子證據(jù)這一說(shuō)法的，而電子技術(shù)發(fā)展至今也不過(guò)數(shù)百年的歷史，所以電子證據(jù)的發(fā)展時(shí)間并不是很長(zhǎng)。自無(wú)線電技術(shù)被發(fā)明之后，人類開始了信息革命，所以許多的案件中也開始涉及到電子證據(jù)，因此要想更好地偵破這些案件，必須要充分地利用電子證據(jù)，而要取得電子證據(jù)，就需要依賴于計(jì)算機(jī)取證。當(dāng)前關(guān)于電子證據(jù)有著許許多多的說(shuō)法，但是總結(jié)起來(lái)，電子證據(jù)一般都具有以下幾個(gè)方面的特征：首先，電子證據(jù)是伴隨著計(jì)算機(jī)技術(shù)發(fā)展而產(chǎn)生的；其次，電子證據(jù)是經(jīng)過(guò)了現(xiàn)代化的計(jì)算工具和信息處理設(shè)備的處理的；最后，電子證據(jù)是可以作為訴訟的依據(jù)的。

2.2 計(jì)算機(jī)取證的概念

在國(guó)外對(duì)于計(jì)算機(jī)取證這個(gè)概念的界定往往有著許多不同的說(shuō)法，但是每一種說(shuō)法都有著其自身的獨(dú)到之處，但同時(shí)也有著一定的片面性。我國(guó)對(duì)于計(jì)算機(jī)取證這一概念的界定也是借鑒于國(guó)外的定義，我國(guó)認(rèn)為計(jì)算機(jī)取證是一個(gè)廣義的概念，它包含著十分豐富的內(nèi)容，既有對(duì)計(jì)算機(jī)信息系統(tǒng)的取證，也有網(wǎng)絡(luò)取證，計(jì)算機(jī)取證實(shí)質(zhì)上與數(shù)字取證和電子證據(jù)取證沒有太大的差別，之所以使用計(jì)算機(jī)取證，主要是為了突出取證的對(duì)象，而且計(jì)算機(jī)也是電子證據(jù)的一個(gè)重要載體。

3 計(jì)算機(jī)取證分類

要對(duì)計(jì)算機(jī)取證進(jìn)行分類，必須首先要確定分類的標(biāo)準(zhǔn)，如果分類的依據(jù)不一樣，分類的結(jié)果也是不相同的。比如說(shuō)可以按照取證難易程度的不同來(lái)將計(jì)算機(jī)取證進(jìn)行分類，也可以按照取證范圍的不同來(lái)對(duì)計(jì)算機(jī)取證進(jìn)行分類，還可以按照取證時(shí)間的不同來(lái)對(duì)計(jì)算機(jī)取證進(jìn)行分類。如果按照取證難易程度的不同來(lái)對(duì)計(jì)算機(jī)取證進(jìn)行分類，則計(jì)算機(jī)取證可以分為一般取證和復(fù)雜取證兩類。一般取證主要包括了打印、拷貝、拍照攝像、制作司法文書、公證和查封扣押等程序；復(fù)雜取證相比于一般取證的難度有所增加，它主要包括了解密、恢復(fù)和測(cè)試等程序。如果按照取證范圍的不同來(lái)對(duì)計(jì)算機(jī)取證進(jìn)行分類，則可以將其分為內(nèi)部取證和外圍取證。所謂外圍取證，指的是從涉案計(jì)算機(jī)的外部對(duì)其進(jìn)行勘查和取證，外圍取證是不會(huì)使得計(jì)算機(jī)內(nèi)部的信息受到任何改變的，而內(nèi)部取證則重在對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)部信息的挖掘，這些信息往往通過(guò)外圍取證是不能夠獲取的。內(nèi)部取證和外圍取證所用到的技術(shù)手段也是不相同的。如果按照取證時(shí)間的不同來(lái)對(duì)計(jì)算機(jī)取證進(jìn)行分類，則可以將其分為事后取證和事中取證。事中取證指的是取證人員在案件發(fā)生的同時(shí)進(jìn)行取證，通過(guò)這種取證方式往往可以更加及時(shí)地對(duì)證據(jù)加以收集，更加有利于案件的及時(shí)偵破，而事后取證則是在案件發(fā)生之后再進(jìn)行取證，這種取證方式雖然效率不高，但是往往更加全面，因?yàn)樵诎讣l(fā)生之后，可以綜合考慮各個(gè)方面的因素來(lái)進(jìn)行取證，所以可以有效地提高證據(jù)的可靠度。

4 我國(guó)計(jì)算機(jī)取證存在的問題

4.1 相應(yīng)的技術(shù)還不夠完善

電子證據(jù)有著一定的特殊性，所以在進(jìn)行計(jì)算機(jī)取證的時(shí)候，也必須要注意這一些問題，計(jì)算機(jī)取證有著自身特殊的要求。由于電子證據(jù)大都是一些信息，而這些信息是存儲(chǔ)在計(jì)算機(jī)之中的，所以使得這些電子證據(jù)往往十分容易被修改和刪除，因此在進(jìn)行電子取證的時(shí)候，首先要在技術(shù)方面達(dá)標(biāo)，但是就我國(guó)目前的情況而言，計(jì)算機(jī)取證的許多技術(shù)還不夠完善。首先，數(shù)據(jù)的原始性得不到很好的保障，如果數(shù)據(jù)的原始性不能夠得到有效的保障，那么很有可能將后續(xù)的技術(shù)分析引導(dǎo)向錯(cuò)誤的方向，嚴(yán)重時(shí)甚至還將造成數(shù)據(jù)的丟失和破壞，而原始數(shù)據(jù)一旦被破壞，就無(wú)法被找回，電子證據(jù)也就被銷毀了；其次，在對(duì)電子證據(jù)進(jìn)行分析的時(shí)候，所使用的信息網(wǎng)絡(luò)系統(tǒng)及其它的一些輔助設(shè)備也不夠安全可靠，電子證據(jù)的安全得不到有效的保障，如果網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或者硬件出現(xiàn)問題，就會(huì)使得電子證據(jù)遭到破壞[1]；最后，在對(duì)數(shù)據(jù)進(jìn)行分析之前，務(wù)必要進(jìn)行數(shù)字簽名，而當(dāng)前在進(jìn)行計(jì)算機(jī)取證的時(shí)候，許多取證人員往往是忽略了這一點(diǎn)的。

4.2 法律不夠完善

由于電子證據(jù)也是定罪和量刑的一個(gè)重要依據(jù)，所以在法律方面對(duì)計(jì)算機(jī)取證也有一定的要求。在法律方面，對(duì)取證的主體、取證的程序、取證的工具和取證過(guò)程中的相關(guān)權(quán)利都作出了具體的要求，但是就我國(guó)的實(shí)際情況而言，在法律方面還是不夠完善的。當(dāng)前的計(jì)算機(jī)取證主體往往沒有經(jīng)過(guò)嚴(yán)格的資質(zhì)認(rèn)定。在進(jìn)行計(jì)算機(jī)取證時(shí)，許多工作人員為了工作的便利，就忽略了一些程序，而且取證的工具也必也不能滿足相應(yīng)的要求。這些問題的出現(xiàn)都是因?yàn)槲覈?guó)在計(jì)算機(jī)取證方面的法律制度尚不完善，使得許多人鉆了法律的空子，進(jìn)而導(dǎo)致了問題的出現(xiàn)。

5 解決計(jì)算機(jī)取證過(guò)程中存在問題的措施

5.1 利用數(shù)據(jù)復(fù)制技術(shù)保護(hù)原始數(shù)據(jù)

在計(jì)算機(jī)取證的過(guò)程中，經(jīng)常會(huì)使用到數(shù)據(jù)復(fù)制技術(shù)。所謂的數(shù)據(jù)復(fù)制技術(shù)，是指將所要調(diào)查的設(shè)備上的數(shù)據(jù)進(jìn)行復(fù)制，復(fù)制之后再將其保存到另外一個(gè)專門的設(shè)備上，從而使得源數(shù)據(jù)與取證分析所用到的數(shù)據(jù)是一致的。而且通過(guò)數(shù)據(jù)復(fù)制技術(shù)，也可以有效地避免數(shù)據(jù)的改變或者丟失，因?yàn)榧词乖磾?shù)據(jù)被改變或者丟失了，也可以再利用復(fù)制數(shù)據(jù)來(lái)進(jìn)行分析[2]，這樣就能夠確保計(jì)算機(jī)取證的順利進(jìn)行。所以通過(guò)數(shù)據(jù)復(fù)制技術(shù)可以有效地保證原始數(shù)據(jù)不被破壞。

數(shù)據(jù)復(fù)制技術(shù)包含著非常豐富的內(nèi)容，它主要包括數(shù)據(jù)備份技術(shù)、數(shù)據(jù)鏡像技術(shù)和數(shù)據(jù)快照技術(shù)等。數(shù)據(jù)備份技術(shù)就是指利用工具把源數(shù)據(jù)進(jìn)行復(fù)制；數(shù)據(jù)鏡像技術(shù)是指把原始數(shù)據(jù)通過(guò)壓縮轉(zhuǎn)換成為無(wú)損的鏡像文件，從而完成數(shù)據(jù)的備份。在計(jì)算機(jī)取證的過(guò)程中，有些可能需要對(duì)原始數(shù)據(jù)進(jìn)行全部復(fù)制，有些則只需要進(jìn)行部分?jǐn)?shù)據(jù)的復(fù)制，所以可以根據(jù)實(shí)際的需要來(lái)選用不同的復(fù)制技術(shù)，從而實(shí)現(xiàn)高效的取證。

5.2 利用數(shù)據(jù)修復(fù)技術(shù)修復(fù)原始數(shù)據(jù)

由于許多電子證據(jù)都是以數(shù)據(jù)的形式存儲(chǔ)于計(jì)算機(jī)之中的，而這些數(shù)據(jù)往往會(huì)由于硬件或者軟件的原因而遭到破壞，一旦原始數(shù)據(jù)被破壞或者修改，對(duì)于計(jì)算機(jī)取證是極為不利的。而在此時(shí)如果想要使得原始數(shù)據(jù)得到恢復(fù)，就需要利用到數(shù)據(jù)修復(fù)技術(shù)。由于計(jì)算機(jī)磁盤的分區(qū)中是有數(shù)據(jù)記錄的，所以如果數(shù)據(jù)由于某些原因被破壞了，則可以利用一些特定的工具來(lái)對(duì)其進(jìn)行復(fù)原，從而使得原始數(shù)據(jù)能夠得到恢復(fù)。在計(jì)算機(jī)取證過(guò)程中，經(jīng)常會(huì)遇到電子文件被刪除或者損壞、磁盤遭到格式化或者硬盤被加密、磁盤的故障和周圍數(shù)據(jù)遭到破壞等問題，而這些問題都可以通過(guò)數(shù)據(jù)修復(fù)技術(shù)來(lái)進(jìn)行修復(fù)[3]，修復(fù)之后，相應(yīng)的數(shù)據(jù)能夠得到一定程度的復(fù)原，從而使得計(jì)算機(jī)取證能夠得以順利進(jìn)行。還有一種情況就是在分析和處理數(shù)據(jù)的時(shí)候造成了數(shù)據(jù)的丟失或者損壞，這時(shí)也可以利用數(shù)據(jù)修復(fù)技術(shù)來(lái)對(duì)數(shù)據(jù)進(jìn)行復(fù)原。

5.3 利用數(shù)據(jù)解密技術(shù)破解加密數(shù)據(jù)

由于當(dāng)前網(wǎng)絡(luò)環(huán)境較為復(fù)雜和不安全，所以許多人在存儲(chǔ)數(shù)據(jù)時(shí)，都會(huì)將其進(jìn)行加密，這樣可以有效地保護(hù)數(shù)據(jù)的安全。但是一些不法分子在進(jìn)行違法犯罪活動(dòng)時(shí)，往往也會(huì)利用加密技術(shù)來(lái)對(duì)一些重要信息進(jìn)行加密，而在進(jìn)行計(jì)算機(jī)取證時(shí)，就需要將這些數(shù)據(jù)解密，這樣才能夠使得取證順利開展。此時(shí)就需要利用到數(shù)據(jù)解密技術(shù)。數(shù)據(jù)解密技術(shù)實(shí)質(zhì)上是數(shù)據(jù)加密技術(shù)的逆過(guò)程，當(dāng)前破解加密數(shù)據(jù)的技術(shù)主要有密碼分析學(xué)技術(shù)、密碼猜測(cè)技術(shù)和密碼搜索技術(shù)等，通過(guò)這些技術(shù)都可以對(duì)加密數(shù)據(jù)進(jìn)行破解。

6 計(jì)算機(jī)反取證技術(shù)

計(jì)算機(jī)反取證技術(shù)是針對(duì)取證技術(shù)提出來(lái)的，所謂的反取證技術(shù)就是指通過(guò)計(jì)算機(jī)技術(shù)消除電子證據(jù)，抹除作案痕跡的技術(shù)。計(jì)算機(jī)反取證技術(shù)的出現(xiàn)影響了計(jì)算機(jī)取證，使得一些不法分子逍遙法外。

近年來(lái)，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，反取證技術(shù)獲得了快速的發(fā)展，從而影響了計(jì)算機(jī)取證的效果。在取證過(guò)程中，很多關(guān)系到案情的關(guān)鍵證據(jù)都被抹除掉了，即使有一些電子證據(jù)沒有被完全消除掉，但由于計(jì)算機(jī)取證技術(shù)的局限性，也無(wú)法將這些電子證據(jù)恢復(fù)出來(lái)?，F(xiàn)在，市場(chǎng)上有很多計(jì)算機(jī)反取證軟件。下文將具體介紹幾種比較常見的反取證技術(shù)：第一，是數(shù)據(jù)隱藏。所謂的數(shù)據(jù)隱藏就是指嫌疑人先將電子證據(jù)進(jìn)行偽裝，然后將其存儲(chǔ)在秘密的隱藏空間里，這樣就不會(huì)被人輕易發(fā)現(xiàn)。但數(shù)據(jù)隱藏技術(shù)只適用于短期數(shù)據(jù)存儲(chǔ)。常見的數(shù)據(jù)隱藏方式包括電子文件隱藏、回收站隱藏等；第二，是數(shù)據(jù)刪除。相比于數(shù)據(jù)隱藏來(lái)說(shuō)，數(shù)據(jù)刪除更加有效。通過(guò)使用數(shù)據(jù)刪除技術(shù)，嫌疑人可以將與電子證據(jù)相關(guān)的所有信息全部刪除掉，根本就無(wú)法恢復(fù)。在刪除電子文件時(shí)可以采用徹底粉碎的方法，在刪除IE臨時(shí)文件時(shí)可以采用刪除歷史記錄的方法；第三，是數(shù)據(jù)加密。其實(shí)，數(shù)據(jù)加密并不屬于專業(yè)的計(jì)算機(jī)反取證技術(shù)，數(shù)據(jù)加密本來(lái)是用來(lái)保護(hù)數(shù)據(jù)安全的。但是嫌疑人卻將該種技術(shù)用于保護(hù)電子證據(jù)。常見的數(shù)據(jù)加密方法包括電子文件加密、軟件加密等。除了上述介紹的幾種反取證技術(shù)以外，還有隱寫術(shù)、改變系統(tǒng)環(huán)境等計(jì)算機(jī)反取證技術(shù)。加強(qiáng)對(duì)計(jì)算機(jī)反取證技術(shù)的研究，有利于促進(jìn)計(jì)算機(jī)取證技術(shù)的發(fā)展。

7 結(jié)語(yǔ)

近些年來(lái)，計(jì)算機(jī)和網(wǎng)絡(luò)犯罪的案件層出不窮，而且由于人們對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)的依賴程度越來(lái)越高，所以也使得關(guān)于電子技術(shù)方面的糾紛越來(lái)越多，要想有效地解決這些問題，就需要依賴于計(jì)算機(jī)取證，利用計(jì)算機(jī)取證進(jìn)行電子證據(jù)的收集，從而有助于案件和糾紛的順利解決。

[1]王驕．證據(jù)視角下的計(jì)算機(jī)取證過(guò)程分析[J]．中國(guó)司法鑒定，2012，(3)：113-116．

[2]楊靜．關(guān)于計(jì)算機(jī)取證鑒定標(biāo)準(zhǔn)體系的研究[J]．湖北警官學(xué)院學(xué)報(bào)，2014，27(10)：170-172．

[3]劉琴．國(guó)際領(lǐng)域計(jì)算機(jī)取證過(guò)程中的規(guī)制研究[J]．法制與社會(huì)，2013，(25)：182-184，194．

Discussion on the Computer Forensics and Its Specifications

Yu Li
(XinJiang Pollice College,Urumqi 830011,Xinjiang)

Since the 1980`s,people start the study on computer forensics.So far,the theories and methods of computer forensics acquire a major breakthrough.Under this background,this paper discusses on the computer forensics and its specification. Based on the introduction of the concept in detail,it proposes the current problems and the corresponding solutions,and improves the specification of computer forensics in our country.

computer forensics;specification;technology

TP39；D918.2

a

1008-6609(2016)03-0084-03

于麗，女，河北巨鹿人，碩士，講師，研究方向：計(jì)算機(jī)課程與教學(xué)，軟件工程。