淺析計(jì)算機(jī)取證技術(shù)應(yīng)用及其局限性

摘 要：本文通過隊(duì)計(jì)算機(jī)取證技術(shù)特點(diǎn)以及在現(xiàn)在社會當(dāng)中的普及與應(yīng)用做了簡要評析，并根據(jù)目前現(xiàn)階形式分析了現(xiàn)有取證技術(shù)可能碰到的問題和局限性做出個人預(yù)判，希望能為取證技術(shù)的成熟與完善提供一定程度的參考。

關(guān)鍵詞：計(jì)算機(jī)取證；網(wǎng)絡(luò)犯罪；動態(tài)取證；反取證技術(shù)

中圖分類號：TP399

1 什么是計(jì)算機(jī)取證

計(jì)算機(jī)取證（Computer Forensics）是指以計(jì)算機(jī)技術(shù)為基礎(chǔ)，對計(jì)算機(jī)違法犯罪行為進(jìn)行收集、分析、取樣，并根據(jù)已確認(rèn)的事實(shí)依據(jù)對犯罪嫌疑人進(jìn)行訴訟量刑的過程。簡而言之就是對計(jì)算機(jī)犯罪嫌疑人犯罪行為證據(jù)的收集技術(shù)。從計(jì)算機(jī)技術(shù)角度來說，計(jì)算機(jī)取證技術(shù)包含了對計(jì)算機(jī)系統(tǒng)的掃描、破解、數(shù)據(jù)還原、深度分析、加密解密、暴力破解等技術(shù)手段。整個過程我們可以看作是對計(jì)算機(jī)犯罪行為的還原。這就要求取證的數(shù)據(jù)必須成為證據(jù)必須是真實(shí)可信的。因此，是計(jì)算機(jī)取證技術(shù)在打擊計(jì)算機(jī)犯罪和計(jì)算機(jī)網(wǎng)絡(luò)犯罪作用中十分關(guān)鍵。這種種要求決定了計(jì)算機(jī)取證技術(shù)是一門計(jì)算機(jī)、刑偵、國家法律法規(guī)相關(guān)一系列學(xué)科的綜合性學(xué)科，這門學(xué)科將被用于計(jì)算機(jī)犯罪的認(rèn)定，責(zé)任認(rèn)定，違法犯罪認(rèn)定等問題的關(guān)鍵。

2 計(jì)算機(jī)取證技術(shù)的主要特點(diǎn)

計(jì)算機(jī)取證技術(shù)是基于電子計(jì)算機(jī)的，因?yàn)橐部梢钥醋魇菙?shù)字取證和電子取證。從技術(shù)特征來看，計(jì)算機(jī)存儲設(shè)備（包含硬盤、光盤、移動存儲設(shè)備等）是犯罪的最終現(xiàn)場，也是收集證據(jù)的核心區(qū)域。取證過程中所需的數(shù)據(jù)、編碼、審核記錄都需要進(jìn)行現(xiàn)場保護(hù)、數(shù)據(jù)確認(rèn)、信息收集、證據(jù)提取、已經(jīng)整理歸檔過程。但由于電子數(shù)據(jù)的特殊性、多樣性，也給收集取證帶來了一系列問題。

電子數(shù)據(jù)形式多樣，現(xiàn)階段電子數(shù)據(jù)往往以多媒體形式出現(xiàn)，包含了文本、圖形、圖像、動畫、音頻、視頻等多樣的表現(xiàn)形式。與傳統(tǒng)證據(jù)相比，電子證據(jù)同樣需要可信、準(zhǔn)確、完整、合理、不可抵賴、符合法律規(guī)定的。但與此同時，電子證據(jù)由于其特性，又有如下特點(diǎn)：

（1）電子證據(jù)易修改：電子數(shù)據(jù)本身修改是很容易的，而且被修改很難被察覺。

（2）電子證據(jù)的虛擬性：電子證據(jù)本身是電子數(shù)據(jù)，都是由計(jì)算機(jī)系統(tǒng)虛擬出來的，本身取證區(qū)別于真實(shí)環(huán)境取證，有一定難度。

（3）電子證據(jù)對于硬件的依賴：電子數(shù)據(jù)都是基于相關(guān)硬件平臺才能夠生存的，硬件平臺的狀態(tài)直接影響電子證據(jù)的可靠與完整。

（4）電子證據(jù)容易受人影響：人貫穿于電子數(shù)據(jù)操作的始終，人的操作對于數(shù)據(jù)有直接影響。人的影響往往會影響電子證據(jù)最終的結(jié)果與效力。

電子證據(jù)來源主要有數(shù)據(jù)存儲、系統(tǒng)日志、審核記錄、防火墻日志、入侵檢測記錄、網(wǎng)絡(luò)監(jiān)控記錄數(shù)據(jù)庫訪問記錄、數(shù)據(jù)庫操作記錄、電子郵件記錄、賬號歷史訪問記錄、會話記錄、瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄。電子證據(jù)的提取主要包含了電子數(shù)據(jù)鑒定、電子數(shù)據(jù)檢查、信息數(shù)據(jù)對比、數(shù)據(jù)存儲與保護(hù)、數(shù)據(jù)分析和電子證據(jù)提取。這些方式或貫穿于整個計(jì)算機(jī)取證過程的始終。

3 動態(tài)取證技術(shù)

動態(tài)取證技術(shù)因?yàn)殪o態(tài)取證技術(shù)涉及到基礎(chǔ)研究，我們傳統(tǒng)的對計(jì)算機(jī)現(xiàn)有數(shù)據(jù)進(jìn)行取證的常規(guī)技術(shù)手段都可以稱為靜態(tài)取證。靜態(tài)取證所設(shè)計(jì)的技術(shù)手段大多適用于動態(tài)取證。但動態(tài)取證在原有基礎(chǔ)上海增加了網(wǎng)絡(luò)追蹤識別取證、入侵檢測事件取證、信息收集過濾取證、網(wǎng)絡(luò)蜜罐陷阱設(shè)置取證、動態(tài)獲取內(nèi)存信息取證、人工智能與數(shù)據(jù)挖掘取證等新的技術(shù)手段。但是針對于動態(tài)取證方式，反取證技術(shù)也進(jìn)行了升級和發(fā)展。反取證技術(shù)除包含了以上所提的相關(guān)技術(shù)外，還增加了數(shù)據(jù)轉(zhuǎn)移修改、數(shù)據(jù)混淆技術(shù)、防止數(shù)據(jù)收集創(chuàng)建、以及各類黑客攻擊技術(shù)等，這些技術(shù)可以單獨(dú)使用也可以混合使用，這些技術(shù)的使用在一定程度上給取證人員帶來了一定的困難。

4 計(jì)算機(jī)取證技術(shù)的局限性

基于取證技術(shù)是近年來得利于計(jì)算機(jī)技術(shù)發(fā)展而取得了巨大進(jìn)步。但是在現(xiàn)階段實(shí)際計(jì)算機(jī)取證過程中還存在著一些缺陷和短板。之前討論的技術(shù)都在理論實(shí)驗(yàn)環(huán)境中進(jìn)行。在現(xiàn)實(shí)取證過程中一次成功的取證必須具備幾個條件：

（1）有關(guān)的犯罪證據(jù)電子證據(jù)沒有被覆蓋修改。

（2）取證軟件能清楚完整的讀出并能夠獲取相關(guān)證據(jù)。那么在實(shí)施過程中，這些效果也會有不盡如人意的地方。反取證技術(shù)會針對取證技術(shù)的特點(diǎn)來采取相應(yīng)的對策來給取證增加重重困難。反取證其根本目的是破環(huán)現(xiàn)場、消除證據(jù)、隱藏犯罪過程。反取證在技術(shù)上基本要實(shí)現(xiàn)：電子證據(jù)清除、行蹤隱藏、數(shù)據(jù)加密解密等。那么這些手段是從根本上是阻止電子證據(jù)的獲取，顛覆各種線索，最大限度地隱藏自身。本身取證技術(shù)的發(fā)展也會促進(jìn)反取證技術(shù)的快速發(fā)展。

反取證技術(shù)與計(jì)算機(jī)取證研究相比，人們對反取證技術(shù)的研究相對較少。因此我們更難了解反取證技術(shù)的實(shí)施過程。例如：數(shù)據(jù)電子證據(jù)的清除。是指清除所有可能的證據(jù)（包括索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)等），包括索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)等。一般情況下是用一些毫無意義的、隨機(jī)產(chǎn)生的“0”、“1”字符串序列來覆蓋介質(zhì)上面的數(shù)據(jù)，使取證調(diào)查人員無法獲取有用的信息。目前最極端的數(shù)據(jù)擦除工具是Data Security Inc開發(fā)的基于硬件的degaussers工具，該工具可以徹底擦除計(jì)算機(jī)硬盤上的所有電磁信息。其它用軟件實(shí)現(xiàn)的數(shù)據(jù)擦除工具既有商業(yè)軟件包，也有開放源代碼的自由軟件，其中最有名的是基于UNIX系統(tǒng)的數(shù)據(jù)擦除工具The Defiler′s Toolkit，The Defiler′s Toolkit提供兩個工具來徹底清除UNIX類系統(tǒng)中的文件內(nèi)容。由于原始數(shù)據(jù)不存在了，取證自然就無法進(jìn)行。

5 結(jié)束語

由于計(jì)算機(jī)取證技術(shù)自身存在局限和缺陷，同時計(jì)算機(jī)犯罪技術(shù)先進(jìn)無孔不入，現(xiàn)階段的計(jì)算機(jī)取證技術(shù)總會在不久的將來會無法滿足相關(guān)的計(jì)算機(jī)取證的要求?，F(xiàn)階段取證過分依賴于磁盤分析技術(shù)，而具體工作實(shí)施有依賴于極為少數(shù)具備相當(dāng)取證經(jīng)驗(yàn)的專業(yè)技術(shù)人員。電子證據(jù)是從計(jì)算機(jī)中獲得的正式輸出，法庭不認(rèn)為它與普通的傳統(tǒng)物證有什么不同。

但隨著計(jì)算機(jī)技術(shù)的發(fā)展，以及隨著與計(jì)算機(jī)相關(guān)的法庭案例的復(fù)雜性的增加，電子證據(jù)與傳統(tǒng)證據(jù)之間的類似性逐漸減弱。伴隨著技術(shù)限制和人本身的錯誤感覺，難免會對取證的準(zhǔn)確性權(quán)威性有巨大影響。但畢竟計(jì)算機(jī)取證時一個新興的計(jì)算機(jī)技術(shù)學(xué)科，隨著計(jì)算機(jī)理論技術(shù)的不斷發(fā)展和進(jìn)步，取證技術(shù)也必將有更加快速良好的發(fā)展。目前計(jì)算機(jī)取證在我國起步較晚，但是在較短時間取得的成績就足以證明計(jì)算機(jī)取證技術(shù)的未來必將是美好的。因此我們有理由期待國家相關(guān)部門會給予它足夠重視，使專項(xiàng)計(jì)算機(jī)取證機(jī)構(gòu)引領(lǐng)取證的技術(shù)水平能夠健康穩(wěn)步的提升。

參考文獻(xiàn)：

[1]殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)[M].北京：科學(xué)出版社，2008.

[2]陳龍.計(jì)算機(jī)取證技術(shù)[M].武漢：武漢大學(xué)出版社，2007.

作者單位：武漢職業(yè)技術(shù)學(xué)院，武漢 430074