導語：計算機取證技術研究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：計算機取證是對計算機犯罪證據(jù)的識別、獲取、傳輸、保存、分析和提交認證過程，實質(zhì)是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。本文主要介紹了計算機取證的概念、特點，計算機取證的過程，然后探討了計算機取證的發(fā)展趨勢和局限性。

關鍵詞：計算機取證電子證據(jù)計算機反取證

計算機技術的迅速發(fā)展和廣泛普及改變了人們傳統(tǒng)的生產(chǎn)、生活和管理方式。同時也為違法犯罪分子提供了新的犯罪手段和空間。以計算機信息系統(tǒng)為犯罪對象和工具的新型犯罪活動越來越多，造成的危害也越來越大。大量的計算機犯罪—如商業(yè)機密信息的竊取和破壞，計算機詐騙，攻擊政府、軍事部門網(wǎng)站，色情信息、網(wǎng)站的泛濫等等。偵破這些案件必須要用到計算機取證技術，搜尋確認罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。案件的取證工作需要提取存在于計算機系統(tǒng)中的數(shù)據(jù)，甚至需要從已被刪除、加密或破壞的文件中重獲信息。電子證據(jù)本身和取證過程有許多不同于傳統(tǒng)物證和取證的特點，給司法工作和計算機科學領域都提出了新的挑戰(zhàn)。

一、計算機取證的概念和特點

關于計算機取證概念的說法，國內(nèi)外學者專家眾說紛紜。取證專家ReithClintMark認為：計算機取證（CompenterForensics）可以認為是“從計算機中收集和發(fā)現(xiàn)證據(jù)的技術和工具”。LeeGarber在IEEESecurity發(fā)表的文章中認為：計算機取證是分析硬盤驅(qū)動器、光盤、軟盤、Zip和Jazz磁盤、內(nèi)存緩沖以及其他形式的儲存介質(zhì)以發(fā)現(xiàn)證據(jù)的過程。計算機取證資深專家JuddRobbins對此給出了如下定義：計算機取證是將計算機調(diào)查和分析技術應用于對潛在的、有法律效力的證據(jù)的確定與獲取。其中，較為廣泛的認識是：計算機取證是指能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據(jù)（ElectronicEvidence）的確定、收集、保護、分析、歸檔以及法庭出示的過程。

電子證據(jù)也稱為計算機證據(jù)，是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄物。電子證據(jù)的表現(xiàn)形式是多樣的，尤其是多媒體技術的出現(xiàn)，更使電子證據(jù)綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計算機證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。

證據(jù)在司法證明的中的作用是無庸質(zhì)疑的，它是法官判定罪與非罪、此罪與彼罪的標準。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。同時我們不難發(fā)現(xiàn)，電子證據(jù)還具有與傳統(tǒng)證據(jù)有別的其它特點：①磁介質(zhì)數(shù)據(jù)的脆弱性：電子證據(jù)非常容易被修改，并且不易留痕跡；②電子證據(jù)的無形性：計算機數(shù)據(jù)必須借助于其他一些輸出設備才能看到結果；③高科技性：證據(jù)的產(chǎn)生、傳輸、保存都要借助高科技含量的技術與設備；④人機交互性：計算機證據(jù)的形成，在不同的環(huán)節(jié)上有不同的計算機操作人員的參與，它們在不同程度上都可能影響計算機系統(tǒng)的運轉(zhuǎn)；⑤電子證據(jù)是由計算機和電信技術引起的，由于其它技術的不斷發(fā)展，所以取證步驟和程序必須不斷調(diào)整以適應技術的進步。

二、計算機取證的過程

計算機取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調(diào)查人員到計算機（或網(wǎng)絡終端）犯罪或入侵的現(xiàn)場，尋找并扣留相關的硬件設備；信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件，日志等)中尋找可以用來證明或者反駁的證據(jù)，即電子證據(jù)。

1．物理證據(jù)的獲取

物理證據(jù)的獲取是全部取證工作的基礎。獲取物理證據(jù)是最重要的工作，保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下，調(diào)查者都應牢記：①不要改變原始記錄；②不要在作為證據(jù)的計算機上執(zhí)行無關的操作；③不要給犯罪者銷毀證據(jù)的機會；④詳細記錄所有的取證活動；⑤妥善保存得到的物證。

由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤空間、打印機緩存、網(wǎng)絡數(shù)據(jù)區(qū)和計數(shù)器、用戶進程存儲器、文件緩存區(qū)等不同的位置。要收集到所有的資料是非常困難的。關鍵的時候要有所取舍。所以在物理證據(jù)獲取時，面對調(diào)查隊伍自身的素質(zhì)問題和設備時，還要注意以下兩個問題：①目前硬盤的容量越來越大，固定過程相應變得越來越長，因此取證設備要具有高速磁盤復制能力；②技術復雜度高是取證中另一十分突出的問題。動態(tài)證據(jù)的固定由于沒有專門的設備，對調(diào)查人員的計算機專業(yè)素質(zhì)要求很高。

2．信息發(fā)現(xiàn)

在任何犯罪案件中，犯罪分子或多或少都會留下蛛絲馬跡，前面所說的電子證據(jù)就是這些高科技犯罪分子留下的蛛絲馬跡。這些電子證據(jù)的物理存在構成了我們?nèi)∽C的物質(zhì)基礎，但是如果不把它提煉出來，它只是一堆無意義的數(shù)據(jù)。我們研究計算機犯罪取證就是將這些看似無意義的數(shù)據(jù)變成與犯罪分子斗爭的利器，將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪者繩之以法。不同的案件對信息發(fā)現(xiàn)的要求是不一樣的。有些情況下要找到關鍵的文件、郵件或圖片，而有些時候則可能要求計算機重現(xiàn)過去的工作細節(jié)(比如入侵取證)。

為了保護原始數(shù)據(jù)，除非與特殊的需要，所有的信息發(fā)現(xiàn)工作都是對原始證據(jù)的物理拷貝進行的。由于包含著犯罪證據(jù)的文件可能已經(jīng)被刪除了，所以要通過數(shù)據(jù)恢復找回關鍵的文件、通信記錄和其它的線索。

數(shù)據(jù)恢復以后，取證專家還要進行關鍵字的查詢、分析文件屬性和數(shù)字摘要、搜尋系統(tǒng)日志、解密文件等工作。最后取證專家據(jù)此給出完整的報告。將成為打擊犯罪的主要依據(jù)，這與偵查普通犯罪時法醫(yī)的角色沒有區(qū)別。

三、計算機取證的發(fā)展

計算機取證是伴隨著計算機犯罪事件的出現(xiàn)而發(fā)展起來的，在我國計算機證據(jù)出現(xiàn)在法庭上只是近10年的事情，在信息技術較發(fā)達的美國已有了30年左右的歷史。最初的電子證據(jù)是從計算機中獲得的正式輸出，法庭不認為它與普通的傳統(tǒng)物證有什么不同。但隨著計算機技術的發(fā)展，以及隨著與計算機相關的法庭案例的復雜性的增加，電子證據(jù)與傳統(tǒng)證據(jù)之間的類似性逐漸減弱。于是90年代中后期，對計算機取證的技術研究、專門的工具軟件的開發(fā)以及相關商業(yè)服務陸續(xù)出現(xiàn)并發(fā)展起來。

現(xiàn)在美國至少有70%的法律部門擁有自己的計算機取證實驗室，取證專家在實驗室內(nèi)分析從犯罪現(xiàn)場獲取的計算機（和外設），并試圖找出入侵行為。不過我們國家有關計算機取證的研究與實踐尚在起步階段。

計算機取證技術隨著黑客技術提高而不斷發(fā)展，為確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡入侵和攻擊手段以及未來黑客技術的發(fā)展趨勢，以及計算機取證研究工作的不斷深入和改善，計算機取證將向以下幾個方向發(fā)展：①取證工具向智能化、專業(yè)化和自動化方向發(fā)展。計算機取證科學涉及到多方面知識，現(xiàn)在許多工作依賴于人工實現(xiàn)，大大降低取證速度和取證結果的可靠性。②取證工具和過程標準化，因為沒有統(tǒng)一的標準和規(guī)范，軟件的使用者都很難對工具的有效性和可靠性進行比較。另外，到現(xiàn)在為止，還沒有任何機構對計算機取證機構和工作人員的資質(zhì)進行認證，使得認證結果的權威性受到質(zhì)疑；利用無線局域網(wǎng)和手機、PDA、便攜式計算機進行犯罪的案件逐年上升，這些犯罪的證據(jù)會以不同形式分布在計算機、路由器、入侵檢測系統(tǒng)等不同設備上，要找到這些工具就需要針對不同的硬件和信息格式做出相應的專門的取證工具。③取證技術的相關法律不斷趨于完善。我國有關計算機取證的研究與實踐尚在起步階段，只有一些法律法規(guī)涉及到了部分計算機證據(jù)，目前在法律界對電子證據(jù)作為訴公證據(jù)也存在一定的爭議。聯(lián)合國貿(mào)法會于1996年通過的《電子商務示范法》第5條也規(guī)定：不得僅僅以某項信息采用數(shù)據(jù)電文形式為理由而否定其法律效力、有效性和可執(zhí)行性。由此可見，國外已確認了電子證據(jù)的合法性。

四、計算機取證技術的局限性

計算機取證技術的發(fā)展是近年來計算機安全領域內(nèi)取得的重大成果。然而，在實際取證過程中計算機取證技術還存在著很大的局限性。我們所討論的技術都是在理想條件下實施的：①有關犯罪的電子證據(jù)必須沒有被覆蓋；②取證軟件必須能夠找到這些數(shù)據(jù)。并能知道它代表的內(nèi)容。但從當前階段的實施效果來看，不甚理想。

俗話說“道高一尺魔高一丈”，因此在取證技術迅速發(fā)展的同時．一種叫做反取證的技術也悄悄出現(xiàn)了。反取證技術就是刪除或隱藏證據(jù)，使取證調(diào)查無效?，F(xiàn)在反取證技術主要分為三類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏、數(shù)據(jù)加密。這些技術還可結合使用，使取證工作變得很困難。

數(shù)據(jù)擦除是阻止取證調(diào)查人員獲取、分析犯罪證據(jù)的最有效的方法，一般情況下是用一些毫無意義的、隨機產(chǎn)生的“0”、“1”字符串序列來覆蓋介質(zhì)上面的數(shù)據(jù)，使取證調(diào)查人員無法獲取有用的信息。

數(shù)據(jù)隱藏是指入侵者將暫時還不能被刪除的文件偽裝成其他類型或者將它們隱藏在圖形或音樂文件中，也有人將數(shù)據(jù)文件隱藏在磁盤上的Slack空間、交換空間或者未分配空間中，這類技術統(tǒng)稱為數(shù)據(jù)隱藏。

加密文件的作用是我們所熟知的。數(shù)據(jù)加密是用一定的加密算法對數(shù)據(jù)進行加密，使明文變?yōu)槊芪摹５@種方法不是十分有效，因為有經(jīng)驗的調(diào)查取證人員往往能夠感覺到數(shù)據(jù)已被加密，并能對加密的數(shù)據(jù)進行有效的解密。

五、結束語

計算機取證技術已經(jīng)得到了一定的發(fā)展，但目前的研究多著眼于入侵防范，對于入侵后的取證技術的研究相對滯后；同時，計算機理論和技術的發(fā)展使得目前計算機取證技術呈現(xiàn)出領域擴大化、學科融合化、標準化、智能化等發(fā)展趨勢。因此僅僅通過現(xiàn)有的網(wǎng)絡安全技術打擊計算機犯罪已經(jīng)不能夠適應當前的形勢。因此需要發(fā)揮社會道德的引導作用、完善法律的約束力量去對付形形色色的計算機犯罪。

參考文獻

[1]王玲，錢華林.計算機取證技術及其發(fā)展趨勢.軟件學報,2003,14(9):16351644.

[2]趙小敏，陳慶章.計算機取證的研究現(xiàn)狀和展望.計算機安全.2003年.第10期

[3]蘇成.計算機安全.2006年.第01期

[4]鐘秀玉.計算機取證問題分析與對策.電腦開發(fā)與應用.2005年.第03期

[5]趙小敏,陳慶章.打擊計算機犯罪新課題──計算機取證技術.信息網(wǎng)絡安全,2002,9

[6]蔣平.計算機犯罪問題研究.2000年版