計(jì)算機(jī)取證技術(shù)分析

關(guān)鍵詞 計(jì)算機(jī)取證 網(wǎng)絡(luò)犯罪 理論研究 實(shí)踐應(yīng)用

作者簡(jiǎn)介：王睿，上海市公安局閔行分局刑事科學(xué)技術(shù)研究所。

中圖分類號(hào)：D925 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.05.169

在現(xiàn)如今的信息時(shí)代發(fā)展中信息技術(shù)為各行各界領(lǐng)域帶來(lái)了極大的便利，完全改變了人們的日常生活。但正所謂道高一尺魔高一丈，網(wǎng)絡(luò)犯罪案件在其中也得到了顯著滋生。由于網(wǎng)絡(luò)犯罪的低成本、隱蔽性等諸多特點(diǎn)，網(wǎng)絡(luò)犯罪案件取證過(guò)程顯得異常艱難。除此以外，電子商務(wù)也在現(xiàn)如今影響各行各業(yè)，同時(shí)也帶來(lái)了許多電子商務(wù)糾紛，與網(wǎng)絡(luò)犯罪同理，在考察取證上的難度十分大[1]。在這些案件及糾紛過(guò)程中電子信息證據(jù)的取證與搜集質(zhì)量尤為關(guān)鍵，對(duì)案件走向與衡量罪行有非常重要的作用。計(jì)算機(jī)取證技術(shù)的誕生與應(yīng)用不僅能提高電子信息取證效率，更能為減少網(wǎng)絡(luò)犯罪以及電子商務(wù)糾紛等案件中發(fā)揮重要的作用。因此，我們可以認(rèn)為所謂的計(jì)算機(jī)取證其實(shí)就是為了幫助這些案件從計(jì)算機(jī)以及相關(guān)硬件工具上取得完善的電子證據(jù)，使其成為有力的裁決證據(jù)，維護(hù)法律公正的重要過(guò)程。由于我國(guó)計(jì)算機(jī)取證技術(shù)的發(fā)展相較于西方發(fā)達(dá)國(guó)家來(lái)說(shuō)比較晚，因此研究計(jì)算機(jī)取證技術(shù)便日益顯得十分關(guān)鍵。

一、計(jì)算機(jī)取證的基本要求及流程分析

（一）常規(guī)要求

一般來(lái)說(shuō)，很多電子證據(jù)可以直接人為銷毀、破壞，犯罪分子可以在計(jì)算上偽造一些電子證據(jù)，為取證人員帶來(lái)假象表面，對(duì)實(shí)際的案件偵破帶來(lái)了巨大的難度。因此，在采集電子證據(jù)中電子證據(jù)的完整性與真實(shí)性尤為關(guān)鍵。為了保障計(jì)算機(jī)取證在這兩方面的要求必須從如下幾點(diǎn)進(jìn)行重點(diǎn)關(guān)注。

1.針對(duì)可疑數(shù)據(jù)盡量不要直接對(duì)其進(jìn)行剖析與檢查，避免在檢查中造成數(shù)據(jù)破壞的作用。很多電子證據(jù)往往十分特殊，取證人員在采集電子證據(jù)過(guò)程中一般先拷貝一份，再針對(duì)拷貝份進(jìn)行詳細(xì)檢查與剖析。這樣一來(lái)可以避免破壞原始數(shù)據(jù)，造成取證困難的尷尬局面。

2.電子數(shù)據(jù)的分析離不開各類信息網(wǎng)絡(luò)系統(tǒng)以及輔助軟件設(shè)備等，為了避免這些系統(tǒng)與軟件設(shè)備對(duì)電子數(shù)據(jù)帶來(lái)一定的負(fù)面影響，在分析前相關(guān)取證人員必須保證這些系統(tǒng)與軟件設(shè)備的安全性和可靠性才能確保分析中的數(shù)據(jù)真實(shí)性與準(zhǔn)確性[2]。

3.為了避免取證計(jì)算機(jī)系統(tǒng)在取證過(guò)程中出現(xiàn)異常狀況，甚至相關(guān)取證人員發(fā)生異樣行為，取證過(guò)程中的每一步操作、結(jié)果、分析流程等需要進(jìn)行詳細(xì)說(shuō)明。相關(guān)人員必須對(duì)這些說(shuō)明進(jìn)行署名，記錄好時(shí)間與地點(diǎn)等，確保整個(gè)計(jì)算機(jī)取證過(guò)程的秩序性與紀(jì)律嚴(yán)明，避免被相關(guān)人員或異常狀況影響。

（二）基本流程

計(jì)算機(jī)取證在刑事案件偵破當(dāng)中十分常見，尤其是現(xiàn)如今的信息犯罪，計(jì)算機(jī)取證技術(shù)的規(guī)范性尤為關(guān)鍵。刑偵人員在計(jì)算機(jī)取證中需要遵循以下流程：

1.取證準(zhǔn)備工作。明確取證目的、取證條件以及取證環(huán)境，即拿到計(jì)算機(jī)設(shè)備之前，要想好本次取證的主要目的是什么，取證過(guò)程中是否擁有足夠的技術(shù)條件來(lái)達(dá)到取證的目的，對(duì)于取證環(huán)境（計(jì)算機(jī)設(shè)備）的完整性是否保存良好等。

2.拆機(jī)取出硬盤。拿到案發(fā)現(xiàn)場(chǎng)或犯罪嫌疑人的計(jì)算機(jī)設(shè)備之后，拆開機(jī)箱并小心取出硬盤，切記不可強(qiáng)拆，避免損壞硬盤，最好需要有經(jīng)驗(yàn)的偵破人員來(lái)拆機(jī)，確保計(jì)算機(jī)硬盤的完整性。

3.提取硬盤內(nèi)容開展分析工作。取出硬盤之后用安全可靠的計(jì)算機(jī)設(shè)備進(jìn)行連接，并提取硬盤內(nèi)所存有的資料信息，在取證技術(shù)的應(yīng)用下，先做好鏡像文件拷貝再對(duì)鏡像文件進(jìn)行提取，分析其中所有對(duì)案件有關(guān)的數(shù)據(jù)信息，并將數(shù)據(jù)信息拷貝至新硬盤中。

4.檢查硬盤狀況并放回原位。在拷貝結(jié)束后重點(diǎn)檢查硬盤是否存在其他有價(jià)值信息，不要疏漏任何隱藏文件或者隱蔽性文件等，確認(rèn)無(wú)其他可用信息之后將硬盤放回計(jì)算機(jī)設(shè)備原位，并連接好主板、安裝好機(jī)箱，待確認(rèn)計(jì)算機(jī)點(diǎn)亮后將設(shè)備放回原位，結(jié)束計(jì)算機(jī)取證。

二、刑偵領(lǐng)域計(jì)算機(jī)取證的常見技術(shù)

（一）數(shù)據(jù)拷貝技術(shù)

在計(jì)算機(jī)取證過(guò)程中數(shù)據(jù)拷貝技術(shù)的存在是為了方便刑偵取證人員與刑偵分析人員在分析電子證據(jù)過(guò)程中確保原始數(shù)據(jù)的完整性，將其拷貝數(shù)份，方便多個(gè)分析機(jī)構(gòu)進(jìn)行共同研究。此外，還能避免因?yàn)閷?duì)原始數(shù)據(jù)的分析而造成破壞、丟失等不良后果。電子數(shù)據(jù)的分析工作通常與數(shù)據(jù)采集設(shè)備工具相互分開，需要利用數(shù)據(jù)拷貝技術(shù)對(duì)數(shù)據(jù)采集設(shè)備工具上的原始電子數(shù)據(jù)進(jìn)行拷貝，方便后續(xù)的數(shù)據(jù)分析工作[3]?？偟膩?lái)說(shuō)，現(xiàn)階段的數(shù)據(jù)拷貝技術(shù)通常分為三種，一種是備份技術(shù)，一種是鏡像技術(shù)，而另外一種即快照技術(shù)。以備份技術(shù)為例，在操作中將電子數(shù)據(jù)進(jìn)行備份與保存，方便進(jìn)行調(diào)用、保管等;而鏡像技術(shù)一般指的是將電子數(shù)據(jù)進(jìn)行壓縮與轉(zhuǎn)化處理，常用的數(shù)據(jù)鏡像技術(shù)軟件有Acronis True Image、Winhex以及O&O DiskImage軟件，都可以對(duì)電子數(shù)據(jù)提供數(shù)據(jù)壓縮轉(zhuǎn)換功能;快照技術(shù)一般應(yīng)用原始數(shù)據(jù)的完整復(fù)制之用，方便隨時(shí)進(jìn)行數(shù)據(jù)回檔。先對(duì)原始數(shù)據(jù)進(jìn)行復(fù)制，在分析與改變這些數(shù)據(jù)前需要保存快照，再進(jìn)行復(fù)制，可以幫助后續(xù)的分析工作隨時(shí)回檔至某快照狀態(tài)。

（二）數(shù)據(jù)修復(fù)技術(shù)

數(shù)據(jù)修復(fù)技術(shù)一般包括數(shù)據(jù)復(fù)原技術(shù)，其目的是為了避免部分?jǐn)?shù)據(jù)被破壞后無(wú)法恢復(fù)原狀的現(xiàn)象。在計(jì)算機(jī)系統(tǒng)中很多電子數(shù)據(jù)還會(huì)呈現(xiàn)不可見性的區(qū)域數(shù)據(jù)狀態(tài)，而數(shù)據(jù)復(fù)原技術(shù)可以將這些數(shù)據(jù)進(jìn)行完整復(fù)原。相關(guān)人員如果將數(shù)據(jù)放入回收站后進(jìn)行清空，假如相應(yīng)的磁盤分區(qū)表內(nèi)的數(shù)據(jù)沒(méi)有被占用或?qū)懭氡憧梢越柚鷶?shù)據(jù)復(fù)原技術(shù)從磁盤分區(qū)表中恢復(fù)被清空過(guò)的數(shù)據(jù)，具體修復(fù)或復(fù)原的過(guò)程可分為如下幾點(diǎn)情況[4]。

1.通常情況下電子文件在window中被刪除，此時(shí)文件本身并不是真的被清空，而是被系統(tǒng)將文件的首字節(jié)改變?yōu)镋5H，因此很多數(shù)據(jù)恢復(fù)軟件都是利用這個(gè)原理對(duì)被刪除的軟件進(jìn)行恢復(fù)與復(fù)原。比如常見的Easy Recoery、Disk Genius等專業(yè)軟件，可以幫助被損壞或被刪除的電子文件進(jìn)行復(fù)原與恢復(fù)。

2.還有一種情況，就是計(jì)算機(jī)的磁盤被人為格式化后需要進(jìn)行復(fù)原或恢復(fù)，此時(shí)與簡(jiǎn)單的數(shù)據(jù)刪除有較大的差異性。因?yàn)榇疟P的格式化分為高級(jí)格式化與低級(jí)格式化等形式，高級(jí)格式化普遍應(yīng)用于系統(tǒng)重做，很多數(shù)據(jù)在其中并沒(méi)有得到顯著的破壞作用，可以直接利用相關(guān)軟件進(jìn)行提取。但低級(jí)格式化并不同，低級(jí)格式化的原理在于磁盤的磁道被劃分為數(shù)個(gè)扇區(qū)，扇區(qū)又被劃分不同區(qū)域，此時(shí)再恢復(fù)往往十分困難。這種狀況下只能將磁盤移交至原廠商進(jìn)行處理。另外部分磁盤可能被加密，解密需要了解加密算法或者直接采用清除加密的方式進(jìn)行解密，確保磁盤恢復(fù)原本的狀況。

（三）數(shù)據(jù)解密技術(shù)

電子數(shù)據(jù)由于其隱私性的緣故，很多情況下對(duì)電子數(shù)據(jù)進(jìn)行加密成為許多人的共識(shí)。因此，采集加密后的電子數(shù)據(jù)需要運(yùn)用數(shù)據(jù)解密技術(shù)，破解加密算法解開加密內(nèi)容。常規(guī)的密碼一般就是數(shù)據(jù)加密的密鑰，數(shù)據(jù)解密過(guò)程中實(shí)際上相當(dāng)于對(duì)密鑰進(jìn)行破解的一種過(guò)程。在電子數(shù)據(jù)的數(shù)據(jù)解密技術(shù)中需要利用密碼分析學(xué)原理以及提取技術(shù)、猜測(cè)技術(shù)等。由于很多密碼往往比較長(zhǎng)，利用猜測(cè)技術(shù)花費(fèi)的時(shí)間也會(huì)相對(duì)比較長(zhǎng)。因此現(xiàn)階段數(shù)據(jù)解密技術(shù)需要將研究中心放置于提取技術(shù)上，可以直接對(duì)加密數(shù)據(jù)的密鑰進(jìn)行提取，達(dá)到解密的目的。市場(chǎng)上關(guān)于數(shù)據(jù)解密的軟件比較多，但這些軟件的解密效率與質(zhì)量并不高，對(duì)于單一的密鑰字符可以進(jìn)行破解，但對(duì)多種不同類型的密鑰字符破譯的難度將顯得十分雞肋。

對(duì)此，數(shù)據(jù)解密技術(shù)的應(yīng)用還需要更深入的研究密碼破解技術(shù)，從而才能更進(jìn)一步提升計(jì)算機(jī)取證質(zhì)量與取證效率。

（四）數(shù)據(jù)顯現(xiàn)技術(shù)

在計(jì)算機(jī)系統(tǒng)中許多電子數(shù)據(jù)還可以通過(guò)隱藏的方式存儲(chǔ)于計(jì)算機(jī)中，此時(shí)如果取證人員沒(méi)有注意，在很多區(qū)域內(nèi)無(wú)法找到隱藏?cái)?shù)據(jù)，顯然為刑偵取證工作帶來(lái)一定的難度。而數(shù)據(jù)顯現(xiàn)技術(shù)的應(yīng)用此時(shí)顯得十分關(guān)鍵。很多時(shí)候電子數(shù)據(jù)的隱藏過(guò)程其實(shí)就是修改后綴以及注冊(cè)表、所在路徑等過(guò)程，這種數(shù)據(jù)隱藏方式往往比較簡(jiǎn)單，刑偵取證人員可以借助搜索工具找到隱藏?cái)?shù)據(jù)。但實(shí)際問(wèn)題在于很多網(wǎng)絡(luò)犯罪案件中的數(shù)據(jù)隱藏并非這么簡(jiǎn)單，很多人利用數(shù)據(jù)加密工具加密數(shù)據(jù)后再進(jìn)行隱藏，此時(shí)搜索數(shù)據(jù)顯然十分困難。在現(xiàn)有的技術(shù)條件下，針對(duì)這些加密數(shù)據(jù)隱藏的情況并沒(méi)有有效的方式或相關(guān)工具。因此，在研究中需要針對(duì)這些復(fù)雜情況進(jìn)行重點(diǎn)攻關(guān)[5]。

（五）對(duì)比搜索技術(shù)

其實(shí)計(jì)算機(jī)系統(tǒng)中存在的數(shù)據(jù)信息很多，并不是僅有可提供呈堂證據(jù)的電子數(shù)據(jù)。因此，對(duì)刑偵取證人員來(lái)講，了解這些數(shù)據(jù)信息中是否存在有價(jià)值的信息以及提取到這些信息而言同樣十分重要，可以決定整個(gè)計(jì)算機(jī)取證過(guò)程的效率。因此，對(duì)比搜索技術(shù)的應(yīng)用同樣顯得十分關(guān)鍵，在分析數(shù)據(jù)與數(shù)據(jù)之間的關(guān)聯(lián)性，確保提取正確、有價(jià)值的電子數(shù)據(jù)。舉個(gè)簡(jiǎn)單例子，相關(guān)電子數(shù)據(jù)在隱藏后文件名以及后綴格式雖然被修改，但有時(shí)部分關(guān)鍵詞并未修改，此時(shí)利用對(duì)比搜索技術(shù)搜索這些關(guān)鍵詞可以達(dá)到取證的目的。

（六）數(shù)據(jù)包截獲技術(shù)

很多時(shí)候的計(jì)算機(jī)取證過(guò)程并非靜態(tài)取證，還有動(dòng)態(tài)即時(shí)性取證的狀況。針對(duì)此時(shí)的數(shù)據(jù)取證，相關(guān)人員需要在未造成犯罪后果前借助數(shù)據(jù)包截獲技術(shù)截獲犯罪過(guò)程中產(chǎn)生的電子數(shù)據(jù)，并將其移交至法庭進(jìn)行審判，畢竟犯罪未遂也是一種罪行，數(shù)據(jù)包截獲技術(shù)在其中可以發(fā)揮十分關(guān)鍵的作用?，F(xiàn)階段關(guān)于數(shù)據(jù)包截獲技術(shù)的應(yīng)用軟件同樣有很多，比如Netxray、Tcp Dump等軟件。但要特別注意動(dòng)態(tài)即時(shí)性取證過(guò)程中仍然要保障數(shù)據(jù)截獲后的完整性[6]。

三、結(jié)語(yǔ)

總之，現(xiàn)階段計(jì)算機(jī)取證技術(shù)的發(fā)展進(jìn)度對(duì)信息社會(huì)的網(wǎng)絡(luò)秩序與減少網(wǎng)絡(luò)犯罪幾率而言具有至關(guān)重要的意義。計(jì)算機(jī)取證技術(shù)涉及到的種類還有很多，本文僅列舉幾種常見的取證技術(shù)。即便如此，我國(guó)現(xiàn)如今計(jì)算機(jī)取證技術(shù)的發(fā)展仍舊有更漫長(zhǎng)的路要走，但筆者相信在眾多學(xué)者與研究的不斷深入下計(jì)算機(jī)取證技術(shù)的發(fā)展將與信息技術(shù)一并進(jìn)入先進(jìn)化地步，對(duì)我國(guó)信息時(shí)代的發(fā)展提供重要的保駕護(hù)航作用。

參考文獻(xiàn)：

[1]金波，陶明明.計(jì)算機(jī)取證關(guān)鍵技術(shù)分析[C].全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)，2006.

[2]楊曦.計(jì)算機(jī)取證技術(shù)的應(yīng)用分析[J].科技資訊，2016（35）.

[3]黃步根.計(jì)算機(jī)取證中系統(tǒng)分析技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2011（03）：45-48.

[4]顧艷林.計(jì)算機(jī)取證技術(shù)的運(yùn)用分析[J].中國(guó)管理信息化，2012， 015（004）：65-67.

[5]任亞洲.計(jì)算機(jī)取證技術(shù)的研究[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2008（22）：598.

[6]丁麗萍.計(jì)算機(jī)取證的研究現(xiàn)狀分析[J].信息網(wǎng)絡(luò)安全，2010（11）：8-11.