計(jì)算機(jī)取證系統(tǒng)技術(shù)的探討與研究

1引言

隨著社會(huì)的發(fā)展和科技的創(chuàng)新，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了廣泛的利用和發(fā)展，各種網(wǎng)絡(luò)攻擊附屬在許多網(wǎng)站，因此人們的網(wǎng)絡(luò)環(huán)境并不是十分的安全。這會(huì)使得不法分子利用已有的資源，輕松的繞過電腦的防御系統(tǒng)，對(duì)網(wǎng)站等進(jìn)行肆意的攻擊。通過計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)犯罪越來越普遍，其犯罪形式具有很強(qiáng)的隱蔽性，因此不同于傳統(tǒng)犯罪的形式，計(jì)算機(jī)網(wǎng)絡(luò)的犯罪偵破工作變得十分困難。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)犯罪逐漸的趨于國(guó)際化，因此對(duì)于進(jìn)行計(jì)算機(jī)防御工作的成本逐漸增加，而對(duì)于網(wǎng)絡(luò)犯罪的成本逐漸降低。

計(jì)算機(jī)取證技術(shù)是通過搜集大量的計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)和數(shù)據(jù)，通過有效的方法對(duì)數(shù)據(jù)進(jìn)行分析。我國(guó)計(jì)算機(jī)取證技術(shù)起步的較晚，現(xiàn)在還處于發(fā)展階段，相關(guān)的法律法規(guī)正在逐漸的完善。因此我國(guó)如今的計(jì)算機(jī)取證技術(shù)存在了一些列的問題。首先，為我國(guó)計(jì)算機(jī)取證技術(shù)剛開始起步，現(xiàn)在的工作大多止步于理論研究，而對(duì)于取證的方法與工具還沒有進(jìn)一步發(fā)展。其次，相關(guān)的法律法規(guī)不夠完善，對(duì)于網(wǎng)絡(luò)犯罪相應(yīng)的取證技術(shù)沒有一個(gè)共同的文案。同時(shí)網(wǎng)絡(luò)防御系統(tǒng)最終還是要提高人的網(wǎng)絡(luò)防護(hù)意識(shí)。

2取證系統(tǒng)的感念

2.1取證概述

所謂的計(jì)算機(jī)證據(jù)是指網(wǎng)絡(luò)犯罪分子通過運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)，而產(chǎn)生的一些電子信息以及數(shù)據(jù)。由于計(jì)算機(jī)網(wǎng)絡(luò)存在大量復(fù)雜繁瑣的數(shù)據(jù)，因此不能將所有的數(shù)據(jù)都認(rèn)為是電子犯罪證據(jù)，通常電子證據(jù)分為三類：（見表1）。

電子證據(jù)有很多特點(diǎn)，通過了解這些特點(diǎn)可以大大提高網(wǎng)絡(luò)犯罪的偵破效率。首先電子證據(jù)與傳統(tǒng)意義上的電子記錄信息不同，其存在了一定的易毀性，如常見的硬盤，如硬盤內(nèi)存被毀壞，這會(huì)使得電子證據(jù)不可修復(fù)的，因此這為電子犯罪偵破工作帶來困難。其次電子數(shù)據(jù)的種類繁多，除了其特有的電子數(shù)據(jù)形式，還包括了所有的傳統(tǒng)電子信息類型。

2.2電子證據(jù)的信息源

電子信息源通過依附在不同的載體，可以分為軟件信息源，硬件信息源。由于獲得電子信息源的方式的不同，就是的取證人員熟悉并掌握不同的取證方法，通過這些方法可以有效的取得電子證據(jù)，從而不會(huì)由于去證時(shí)破壞了電子信息而造成偵破工作的難度。表2介紹了三類電子證據(jù)的信息源。

3取證技術(shù)

3.1取證的靜態(tài)反應(yīng)

取證的其中一種方法是靜態(tài)取證，這種取證方法較為保守，是通過電子信息運(yùn)行完成后，對(duì)計(jì)算機(jī)進(jìn)行計(jì)算機(jī)犯罪信息的恢復(fù)，其基本可以概述為，通過法律的有效途徑對(duì)已經(jīng)被損壞的電子信息進(jìn)行有效的恢復(fù)的提取的工作。

其基本的取證方式為，在發(fā)現(xiàn)案情后，先確認(rèn)電腦是否處于開機(jī)狀態(tài)，若處于開機(jī)狀態(tài)則進(jìn)行有效的在線取證，同時(shí)要保護(hù)好現(xiàn)場(chǎng)。若電腦不處于開機(jī)狀態(tài)，則需要進(jìn)行離線取證，即進(jìn)行電腦克隆工作進(jìn)行取證。這種取證方法，優(yōu)點(diǎn)是理論和實(shí)踐經(jīng)驗(yàn)比較成熟。而缺點(diǎn)是取證途徑比較單一，由于如今電子犯罪途徑和手段不斷更新，這種取證方法可能會(huì)導(dǎo)致一部分電子信息的丟失。

3.2取證的動(dòng)態(tài)反應(yīng)

取證的另一種方法是動(dòng)態(tài)取證，這種取證方法較為多樣，這種方法可以有效的將取證技術(shù)與防御技術(shù)合理的結(jié)合，通過電子記錄傳輸?shù)男畔?，進(jìn)行智能識(shí)別，同時(shí)提出一些防御建議，使得網(wǎng)絡(luò)受到最大程度的保護(hù)。

動(dòng)態(tài)取證有很好的實(shí)時(shí)控制，計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊時(shí)，動(dòng)態(tài)取證能及時(shí)的取得受攻擊的信息，以避免進(jìn)一步的損失，同時(shí)動(dòng)態(tài)取證的防御系統(tǒng)可以進(jìn)行有效的防御措施。常見的動(dòng)態(tài)取證技術(shù)為入侵檢測(cè)。這種方法主要以被動(dòng)的形式進(jìn)行防御，對(duì)于舊的入侵方式可以通過數(shù)據(jù)庫的備案進(jìn)行有效的防御，但對(duì)于新的入侵方式，其抵御能力較低。