計算機取證方法關鍵問題的思考

叢慶

【摘 要】對計算機犯罪證據(jù)的識別、獲取、傳輸、保存以及分析和提交認證的過程被稱作是計算機取證，這實質上是對計算機系統(tǒng)進行詳細掃描，并且重新模擬入侵事件的過程。本文對計算機取證的概念與特點以及計算機取證人員在取證的過程中所應當遵循的原則和操作規(guī)范進行介紹，對其中的關鍵的地方進行分析，分析其中存在的問題，并且嘗試解決這些問題。

【關鍵詞】計算機取證；電子證據(jù)；取證技術；關鍵問題

因為信息化時代的到來，所以計算機技術在快速的發(fā)展，人們的工作和生活中對于計算機的應用越來越廣泛和頻繁。計算機以及相關的信息技術的的確確為我們帶來了諸多的便利，但是與此同時也為犯罪分子提供了更多的犯罪方式，因此，計算機相關的犯罪違法的行為正在逐年的上漲。在實際案件中，需要進行計算機取證的案件數(shù)量在不斷地上升，因此在第十一屆全國人民代表大會第五次會議審議中，《關于修改（中華人民共和國刑事訴訟法）的決定》中把電子數(shù)據(jù)規(guī)定為一種獨立的證據(jù)種類。對于電子證據(jù)在刑事訴訟中的法律地位，這是第一次通過基本法律的形式對其進行確認。因為電子證據(jù)存在容易被丟失、被篡改、被偽造、破壞以及毀壞的情況，所以取證人員在對計算機開展取證工作的過程中，未必確保證據(jù)和原始數(shù)據(jù)不會被破壞，其操作程序需要嚴格按照要求進行，一定要遵循相關選擇。

1 計算機取證相關定義

就目前而言，尚沒有標準化和全面統(tǒng)一的內容對計算機取證進行定義，因為專家學者和機構對于計算機取證的定義所選擇的角度不盡相同。當前相對而言較為全面并且能夠被絕大部分人認可的定義是：計算機取證是對指定的相關電子證據(jù)的相關 證據(jù)的收集、確定、保護、分析、歸檔以及法庭出示的過程，此處儲存在計算機以及相關外部設備中可以被法庭接受，并且有足夠說服力而且可靠地證據(jù)被叫做電子證據(jù)。

2 計算機取證的相關規(guī)定標準

因為電子證據(jù)自身的易被破壞的特點，所以計算機取證方面對取證人員有很多流程規(guī)范進行約束，取證人員在取證的過程中務必遵守基本原則，確保證據(jù)的取得過程合法，其次要在監(jiān)督環(huán)境下開展取證工作，并且相關的操作都需要進行記錄，有時需第三方介入?yún)⑴c。

3 計算機取證中存在的關鍵問題的處理

計算機取證中的電子證據(jù)來源有三個渠道，第一個渠道是主機系統(tǒng)和相關的附件方面證據(jù)；第二個是由網絡系統(tǒng)獲得的證據(jù)；第三個渠道是通過其他的各種數(shù)字電子設備獲得的證據(jù)。因為計算機取證的的設備與階段存在的不同，所以使用的取證技術不同，則其中存在的關鍵問題也不盡相同。

3.1 磁盤復制方面的問題

對于磁盤復制的處理，切不可直接對原始磁盤設備進行直接的取證操作。因為直接從原始磁盤提取數(shù)據(jù)，很可能會對其中的原始數(shù)據(jù)造成損壞，從而導致數(shù)據(jù)被破壞或永久的丟失，不可逆轉。一般是借助鏡像方式復制整個磁盤，或者是對原始磁盤中數(shù)據(jù)進行精確復制，在復制的過程中，可以通過SHA2或者是MD5對設備或者是數(shù)據(jù)進行校驗，確保原始磁盤介質中的文件數(shù)據(jù)與所復制取得的數(shù)據(jù)文件是完全的一致、沒有被修改過的。與一般的復制黏貼不同，借助磁盤鏡像復制的數(shù)據(jù)涵蓋了磁盤的臨時文件、交換文件、磁盤未分配區(qū)以及文件松弛區(qū)等，在很多特定的案件中，這些操作都是必須的。

3.2 對于信息的搜索和過濾

對于信息的搜索與過濾，實質上就是對海量的信息進行搜索處理，從這些數(shù)據(jù)中獲得那些與案件呈直接或者間接的關系的犯罪證據(jù)，諸如圖像、文本、音頻和視頻等文件信息都屬于此范圍，當前數(shù)據(jù)挖掘技術以及數(shù)據(jù)過濾技術在此方面應用較為廣泛和頻繁。

3.3 數(shù)據(jù)恢復方面的問題

因為案件發(fā)生的不確定性，所以很多情況下，能夠保存案件證據(jù)的各種介質，諸如磁盤、儲存卡等電子設備，自身遭受損壞，或者原有的數(shù)據(jù)被抹除，針對此情況，通過數(shù)據(jù)恢復技術將其恢復為正常的數(shù)據(jù)的技術，一般從操作的角度對數(shù)據(jù)恢復技術進行區(qū)分，可以分為硬件恢復技術以及軟件恢復技術。

3.4 對于隱形文件的識別和提取方面的問題

因為信息化的普及，所以犯罪嫌疑人在反偵察方面的意識越來越高，因此借助快速發(fā)展的計算機技術，犯罪嫌疑人很可能會選擇對重要的數(shù)據(jù)文件采取隱藏、偽裝等方式，使得文件得以被隱形和藏匿，從而達到擺脫偵查的目的。對于這種情況一般在計算機取證方面采用數(shù)據(jù)隱藏技術、水印提取技術以及文件的反編譯等技術進行處理。

3.5 密碼的分析和解密方面問題

通過各種類型的軟件，對于已經被加密的數(shù)據(jù)進行解密的技術被稱作是密碼分析和解密技術，一般口令搜索、加密口令等都屬于暴力破解技術范圍，此外密碼分析和解密技術還包括了網絡竊聽技術、密碼破解技術、密碼分析技術等多種技術，在密碼分析技術方面，涵蓋了明文密碼、密文密碼以及密碼文件的破解分析。

3.6 網絡追蹤方面問題

根據(jù)IP報文件信息轉發(fā)及路由信息對網絡中的信息源的位置進行確定，該技術被稱作是網絡追蹤技術，因為攻擊者從互聯(lián)網上違法犯罪，其位置較為虛擬，還需要對所獲取的數(shù)據(jù)包進行技術分析，從而才能夠精準定位攻擊者的真實位置。一般日志記錄分析、ICMP追蹤、標記信息技術、鏈接監(jiān)測以及信息安全文法等都是解決該問題常用的辦法。

3.7 日志文件方面問題

日志記錄中，每條信息都記錄了一次單獨的系統(tǒng)事件，日志記錄組成日志文件，所以日志文件中包含了大量的用戶行為和使用痕跡，所以在借助日志文件的基礎上，計算機取證能夠從中獲得大量的有用證據(jù)數(shù)據(jù)，這也是分析日志的重點所在。

3.8 互聯(lián)網數(shù)據(jù)方面問題

很多情況下，犯罪嫌疑人自身并未留下具體證據(jù)，但是在互聯(lián)網上，其存在著諸多的蛛絲馬跡。在借助數(shù)據(jù)挖局對互聯(lián)網數(shù)據(jù)進行挖掘分析的前提下，實現(xiàn)分析提取大量業(yè)務數(shù)據(jù)中的關鍵性部分，從而達到獲取其中的未知的、隱藏著的有效證據(jù)的面對。

4 總結

計算機取證發(fā)展迅速，并且在未來前景甚好。當前我國的計算機取證技術的研究深度正在不斷增加，并且越來越重視對于法律法規(guī)以及相關技術的研究，但是就目前而言，依然未能構建合理有效的規(guī)范化取證流程，此外相關人員的培養(yǎng)也需要再度加強。

【參考文獻】

[1]李巖.計算機取證中關鍵技術研究[J].上海交通大學，2010（01）.

[責任編輯：朱麗娜]