1、淺析計算機取證技術摘要：計算機収證是対計算機犯罪證據的識別、獲取、傳輸、保存、分析和提交認證過程, 實質是一個詳細掃描計算機系統以及重建入侵事件的過程。本文主要介紹了計算機取證的概 念、特點，計算機取證的過程，然后探討了計算機取證的發展趨勢和局限性。關鍵詞:計算機取證電子證據計算機反取證計算機技術的迅速發展和廣泛普及改變了人們傳統的生產、生活和管理方式。同時也為違法 犯罪分了提供了新的犯罪手段和空間。以計算機信息系統為犯罪對象和工具的新型犯罪活動 越來越多，造成的危害也越來越大。大量的計算機犯罪一如商業機密信息的竊取利破壞，il- 算機詐騙，攻擊政府、軍事部門網站，色情信息、網站的泛濫等等。偵

2、破這些案件必須要用 到計算機取證技術，搜尋確認罪犯及具犯罪證據，并據此提起訴訟。案件的取證工作需耍捉 取存在于計算機系統屮的數據，其至需要從已被刪除、加密或破壞的文件屮重獲信息。電了 證據本身和取證過程冇許多不同于傳統物證和取證的特點，給司法工作和計算機科學領域都 提出了新的挑戰。一、計算機取證的概念和特點關于計算機取證概念的說法，國內外學者專家眾說紛紜。取證專家reith clint mark認為: 計算機取證(compenter forensics)可以認為是“從計算機中收集和發現證據的技術和工具”。 lee garber在ieee security發表的文章中認為：計算機収證是分析硬盤驅

3、動器、光盤、軟盤、 zip和jazz磁盤、內存緩沖以及其他形式的儲存介質以發現證據的過程。計算機取證資深專 家judd robbins對此給出了如下定義：計算機取證是將計算機調杏和分析技術應用于對潛在 的、冇法律效力的證據的確定與獲取。其中，較為廣泛的認識是：計算機取證是指能夠為法 庭接受的、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據(electronic evidence)的確定、收集、保護、分析、歸檔以及法庭出示的過程。電了證據也稱為計算機證據，是指在計算機或計算機系統運行過程屮產生的，以其記錄的內 容來證明案件事實的電磁記錄物。電子證據的表現形式是多樣的,尤其是多媒體技術的

4、出現, 更使電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，這種以多媒體 形式存在的計算機證據幾乎涵蓋了所有傳統證據類型。證據在司法證明的中的作用是無庸質疑的，它是法官判定罪與非罪、此罪與彼罪的標準。與 傳統證據一樣，電了證據必須是：可信的、準確的、完整的、符合法律法規的，即可為法庭 所接受的。同時我們不難發現，電子證據還具有與傳統證據有別的其它特點：磁介質數據 的脆弱性：電子證據非常容易被修改，并且不易留痕跡；電子證據的無形性：計算機數據 必須借助于其他一些輸出設備才能看到結果；高科技性：證據的產牛、傳輸、保存都要借 助高科技含量的技術與設備；人機交互性：計算機證據的形成，在

5、不同的環節上有不同的 計算機操作人員的參與，它們在不同程度上都可能影響計算機系統的運轉；電了證據是由 計算機和電信技術引起的，由于其它技術的不斷發展，所以取證步驟和程序必須不斷調整以 適應技術的進步。二、計算機取證的過程 計算機収證包括物理證據獲取和倍息發現兩個階段。物理證據獲収是指調查人員到計算機 （或網絡終端）犯罪或入侵的現場，尋找并扌ii留相關的硬件設備；信息發現是指從原始數據 （包括文件，日志等）屮尋找可以用來證明或者反駁的證據，即電了證據。1. 物理證據的獲取物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始數據不受 任何破壞。無論在任何情況下，調查者都應牢記：

6、不要改變原始記錄；不要在作為證據 的計算機上執行無關的操作;不要給犯罪者銷毀證據的機會;詳細記錄所冇的取證活動; 妥善保存得到的物證。由于犯罪的證據可能存在于系統h志、數據文件、寄存器、交換區、隱藏文件、空閑的磁盤 空間、打印機緩存、網絡數據區和計數器、用八進程存儲器、文件緩存區等不同的位置。要 收集到所冇的資料是非常困難的。關鍵的時候要冇所取舍。所以在物理證據獲取時，面對調 杳隊伍白身的素質問題和設備時，還要注意以下兩個問題:1=1前硬盤的容最越來越人， 固定過程相應變得越來越長，因此収證設備要具有高速磁盤復制能力；技術復雜度高是収 證中另一十分突出的問題。動態證據的固定由于沒有專門的設備，

7、對調查人員的計算機專業 素質要求很高。2. 信息發現在任何犯罪案件屮，犯罪分子或多或少都會留下蛛絲馬跡，前面所說的電子證據就是這些高 科技犯罪分了留下的蛛絲馬跡。這些電了證據的物理存在構成了我們取證的物質基礎，但是 如果不把它提煉出來，它只是一堆無意義的數據。我們研究計算機犯罪取證就是將這些看似 無意義的數據變成犯罪分子斗爭的利器，將犯罪者留在計算機中的“痕跡”作為有效的訴訟 證據提供給法庭，以便將犯罪者繩之以法。不同的案件対信息發現的要求是不一樣的。有些 情況卜-要找到關鍵的文件、郵件或圖片，而有些時候則可能要求計算機重現過去的工作細節 （比如入侵取證）。為了保護原始數據，除非打特殊的需要，

8、所有的信息發現工作都是對原始證據的物理拷貝進 行的。山于包含著犯罪證據的文件可能已經被刪除了，所以要通過數據恢復找回關鍵的文件、 通信記錄和具它的線索。數據恢復以后，取證專家還要進行關鍵字的查詢、分析文件屬性和數字摘要、搜尋系統li志、 解密文件等工作。最后取證專家據此給出完整的報告。將成為打擊犯罪的主要依據，這與偵 查普通犯罪時法醫的角色沒有區別。三、計算機取證的發展計算機取證是伴隨著計算機犯罪事件的出現而發展起來的，在我國計算機證據出現在法庭上 只是近10年的事情，在信息技術較發達的美國已有了 30年左右的歷史。最初的電子證據是 從計算機屮獲得的正式輸出，法庭不認為它與普通的傳統物證有什么

9、不同。但隨著計算機技 術的發展，以及隨著與計算機相關的法庭案例的復朵性的增加，電子證據與傳統證據z間的 類似性逐漸減弱。于是90年代中后期，對計算機取證的技術研究、專門的工具軟件的開發 以及相關商業服務陸續出現并發展起來。現在美國至少有70%的法律部門擁有自己的計算機取證實驗室，取證專家在實驗室內分析 從犯罪現場獲取的計算機（和外設），并試圖找出入侵行為。不過我們國家有關計算機取證 的研究與實踐尚在起步階段。計算機取證技術隨著黑客技術提高而不斷發展，為確保取證所需的有效法律證據，根據目前 網絡入侵和攻擊手段以及未來黑客技術的發展趨勢，以及計算機取證研究工作的不斷深入和 改善，計算機取證將向以下

10、兒個方向發展：取證工具向智能化、專業化和自動化方向發展。 計算機取證科學涉及到多方面知識，現在許多工作依賴丁人工實現，大大降低取證速度和取 證結果的可靠性。収證工具和過程標準化，因為沒有統一的標準和規范，軟件的使用者都 很難對工具的有效性和可靠性進行比較。另外，到現在為止，還沒有任何機構對計算機取證 機構和工作人員的資質進行認證,使得認證結果的權威性受到質疑;利用無線局域網和手機、 pda、便攜式計算機進行犯罪的案件逐年上升,這些犯罪的證據會以不同形式分布在計算機、 路由器、入侵檢測系統等不同設備上，耍找到這些工具就需耍針對不同的硬件和信息格式做 出和應的專門的収證工貝取證技術的相關法律不斷趨

11、于完善。我國有關計算機収證的研 究與實踐尚在起步階段，只有一些法律法規涉及到了部分計算機證據，口前在法律界對電子 證據作為訴公證據也存在一定的爭議。聯合國貿法會于1996年通過的電子商務示范法 第5條也規定：不得僅僅以某項信息采用數據電文形式為理由而否定其法律效力、冇效性和 可執行性。由此可見，國外己確認了電子證據的合法性。四、計算機取證技術的局限性計算機取證技術的發展是近年來計算機安全領域內取得的重大成果。然而，在實際取證過程 屮計算機取證技術還存在著很大的局限性。我們所討論的技術都是在理想條件下實施的： 有關犯菲的電子證據必須沒有被覆蓋；収證軟件必須能夠找到這些數據。并能知道它代表 的內容

12、。但從當前階段的實施效果來看，不甚理想。俗話說“道高一尺魔高一丈”，因此在取證技術迅速發展的同時.一種叫做反取證的技術也悄 悄出現了。反取證技術就是刪除或隱藏證據，使取證調查無效。現在反取證技術主耍分為三 類：數據擦除、數據隱藏、數據加密。這些技術還可結合使用，使取證工作變得很困難。數據擦除是阻止取證調查人員獲取、分析犯罪證據的最有效的方法，一般悄況卜是用一些毫 無意義的、隨機產生的“（t、“1”字符串序列來覆蓋介質上面的數據，使取證調查人員無法獲 取有用的信息。數據隱藏是指入侵者將暫時還不能被刪除的文件偽裝成其他類型或者將它們隱藏在圖形或 音樂文件中，也有人將數據文件隱藏在磁盤上的slack空間、交換空間或者未分配空間中， 這類技術統稱為數據隱藏。加密文件的作用是我們所熟知的。數據加密是用一定的加密算法対數據進行加密，使明文變 為密文。但這種方法不是十分冇效，因為冇經驗的調查取證人員往往能夠感覺到數據己被加 密，并能對加密的數據