電子數(shù)據(jù)取證技術(shù)發(fā)展趨勢淺析

張克成何素平

（1.酒泉市公安局7350002.長沙市公安局410005）

電子數(shù)據(jù)取證技術(shù)發(fā)展趨勢淺析

張克成1何素平2

（1.酒泉市公安局7350002.長沙市公安局410005）

近些年，計算機取證技術(shù)隨著計算機網(wǎng)絡(luò)技術(shù)的全面發(fā)展，得到了社會各方面的廣泛應(yīng)用，特別是在獲取犯罪證據(jù)這方面更能體現(xiàn)出計算機技術(shù)的作用。本文主要是就目前計算機取證技術(shù)的實質(zhì)性內(nèi)容以及其發(fā)展的趨勢進行了分析，希望計算機取證技術(shù)發(fā)揮其打擊犯罪方面的積極作用。

電子數(shù)據(jù)；取證技術(shù)；應(yīng)用

引言

計算機取證就是我們通常所說的電子數(shù)據(jù)的取證與鑒定，主要是由已經(jīng)獲得相關(guān)資格認定的專業(yè)計算機人員在計算機科學原理的基礎(chǔ)上，嚴格的按照相關(guān)的法律法規(guī)規(guī)定的程序，將存儲于電子設(shè)備中的電子數(shù)據(jù)通過檢驗、提取、分析等手段完整的展示出來，并從其中找出與案件之間存在的關(guān)系，在確定其具有證明能力的前提下提供相應(yīng)的鑒定意見。由于電子數(shù)據(jù)取證與鑒定所涉及的技術(shù)領(lǐng)域極為廣泛，因此必須利用多元化的技術(shù)知識才能及時的解決發(fā)現(xiàn)的問題。

1 電子數(shù)據(jù)取證基本概述

目前對電子證據(jù)這一技術(shù)還沒有進行準確統(tǒng)一的定義，通過對電子物證的本質(zhì)分析后可以看出，在進行電子數(shù)據(jù)取證時，技術(shù)程序和法律程序是其完成數(shù)據(jù)取證分析，最終形成證明案件內(nèi)容的電子記錄的主要依據(jù)，并以此為依據(jù)建立起可以對案件事實充分證明的具備法律效力的文件。數(shù)據(jù)技術(shù)和計算機技術(shù)是電子物證取證所包含的主要技術(shù)內(nèi)容。實際上電子數(shù)據(jù)本身所具備的意義也很多，在實際的計算機應(yīng)用、現(xiàn)代化的管理技術(shù)、通信技術(shù)等方面都會出現(xiàn)電子化形成的圖形、文字、字母以及數(shù)字等信息。簡單的說，通過路由器、網(wǎng)絡(luò)、計算機、U盤、PDA、手機等電子設(shè)備中存儲的數(shù)據(jù)信息都可以清晰的反映電子設(shè)備實際的運行狀況、思想內(nèi)容等相關(guān)的數(shù)據(jù)信息。

2 電子證據(jù)取證過程

2.1 證據(jù)獲取

在電子證據(jù)采集的過程中，必須對計算機內(nèi)容而不是硬件進行重點分析，這一過程主要包括所有數(shù)據(jù)的采集以及實際需要數(shù)據(jù)信息的采集兩種方式。實際需要的數(shù)據(jù)信息在采集的過程中很可能會出現(xiàn)證據(jù)損害或者線索遺失等問題，通常情況下在進行計算機硬盤數(shù)據(jù)采集時，應(yīng)該以以下兩種方式為獲取硬盤數(shù)據(jù)信息的依據(jù)。①硬盤克隆機獲取證據(jù)。對主板和硬盤的連接形式進行記錄是采集硬盤數(shù)據(jù)信息的最直接的方式，將計算機上的硬盤拆除之后，利用專業(yè)的技術(shù)對原硬盤進行克隆。從而達到復制硬盤數(shù)據(jù)的目的[1]。②數(shù)據(jù)獲取軟件獲取證據(jù)。這是另外一種不同的采集數(shù)據(jù)信息的方式。Linux和Windows內(nèi)都有相應(yīng)的數(shù)據(jù)獲取軟件。由于Windows本身具備了自動檢索硬盤數(shù)據(jù)的功能，因此在實際應(yīng)用的過程中需要與硬盤保護器相結(jié)合，而將硬盤保護器直接與計算機相連并進行信息數(shù)據(jù)的采集，就可以完成最終的計算機取證工作。

2.2 證據(jù)分析

①恢復刪除數(shù)據(jù)?；謴臀募?shù)據(jù)和文件系統(tǒng)數(shù)據(jù)時恢復刪除數(shù)據(jù)所包含的主要內(nèi)容。文件系統(tǒng)數(shù)據(jù)的恢復通常指的是將存儲在樹狀結(jié)構(gòu)中的文件形式和文件目錄進行恢復。而系統(tǒng)文件就是以元數(shù)據(jù)為主要方式對文件信息進行相應(yīng)的描述。一般情況下元數(shù)據(jù)信息都在目錄的入口，但是也有很多元數(shù)據(jù)會處在特定的位置或者特定的文件中。通常都是采用在最小的范圍內(nèi)進行文件活動控制的方法，提高操作文件的效率以便及時的完成數(shù)據(jù)信息的采集。②解密加密文檔。提取證據(jù)通常會因為文件加密而增加取證的難度。比如，Office本身就是一種具備加密功能的文檔?？梢圆扇》植际狡平夂兔荑€搜索的技術(shù)對加密程序進行相應(yīng)的處理，以Excel/Word為例，加密時如果采用的是RC4算法的話，一旦被保護文件被使用，通?？梢圆捎幂^為簡單的暴力式或者字典方式進行密碼的破解。

3 新型計算機取證技術(shù)的發(fā)展趨勢研究

3.1 計算機靜態(tài)取證技術(shù)的創(chuàng)新

全新的網(wǎng)絡(luò)環(huán)境的取證是傳統(tǒng)的靜態(tài)計算機取證技術(shù)無法實現(xiàn)的，在不改變計算機取證原理和理論的前提下，必須對現(xiàn)有的計算機取證理念和方法進行創(chuàng)新和改進，將系統(tǒng)工程的建設(shè)與計算機取證技術(shù)的研究相結(jié)合，同時，對現(xiàn)有的計算機取證技術(shù)進行全面的整合，從而創(chuàng)新出新的計算機取證技術(shù)[2]。比如，在進行計算機和網(wǎng)絡(luò)項目規(guī)劃部署的初期，因為電子證據(jù)的穩(wěn)定性不足，以及犯罪者所采用反取證措施等，都對計算機取證工作的順利進行造成了影響。所以，必須對現(xiàn)有的計算機取證模塊進行創(chuàng)新，采取積極有效的防御性取證措施，并且將計算機取證模塊作為設(shè)計系統(tǒng)安全管理措施的重點內(nèi)容，才能從根本上保證證據(jù)量的最大化。

3.2 新型計算機動態(tài)取證技術(shù)的創(chuàng)新

近些年，計算機取證技術(shù)已經(jīng)由原來較為落后的靜態(tài)取證技術(shù)逐步的向動態(tài)取證技術(shù)這一新型的技術(shù)方向發(fā)展，其最主要的特點就是實現(xiàn)了對目標計算機證捕捉和獲取的實時性，不僅彌補了靜態(tài)取證技術(shù)的存在的缺點，同時也促進了計算機取證技術(shù)工作效率的提高。而且，如果動態(tài)取證技術(shù)是帶有黑客技術(shù)背景的主動攻擊動態(tài)取證技術(shù)的話，就可以充分的利用黑客技術(shù)，及時準確的獲取相關(guān)的證據(jù)。比如，黑客比較常用的網(wǎng)絡(luò)通話和視頻數(shù)據(jù)監(jiān)控軟件，都可以成為監(jiān)控犯罪者最有效的方法，而這些都是傳統(tǒng)的計算機取證技術(shù)無法完成的。

3.3 無線環(huán)境下計算機取證技術(shù)的發(fā)展

近些年，像平板電腦和智能手機等消費類數(shù)碼電子迅速的興起，而利用這類無線終端進行的犯罪案件也在迅速的上升，而加強在無線環(huán)境下進行的計算機取證工作的開展，已經(jīng)成為了取證過程中必須要重點考慮的問題。目前，大多數(shù)計算機取證工作主要是依靠人來完成，而這也在一定程度上降低了取證工作的工作效率，同時也無法確保計算機取證結(jié)果的科學性。因此，在計算機取證的過程中必須依靠強大的處理技術(shù)，才能使計算機取證技術(shù)更好的穩(wěn)步發(fā)展。

4 結(jié)束語

總體而言，通過利用更新計算機思維與計算機研究方法的方式，達到改變原有的計算機方法的研究模式，從而實現(xiàn)相關(guān)問題自主分析研究的目的，而且可以有效的提升計算機思維與計算機方法實際應(yīng)用的能力，同時也有效的促進了計算機學應(yīng)用水平的提升。

[1]郭弘，徐志強.國內(nèi)外電子數(shù)據(jù)取證裝備及軟件發(fā)展現(xiàn)狀與趨勢[J].保密科學技術(shù)，2016，03：28～34.

[2]徐利.電子數(shù)據(jù)取證中的個人信息保護相關(guān)問題研究[D].華東政法大學，2016.

TP309

A

1004-7344（2016）30-0272-01

2016-10-12