計算機(jī)取證技術(shù)與存在的困難探究

俞李楊+任飛

摘要：隨著信息化時代的發(fā)展，計算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛運用給我們的生活帶來了很多的便利，但是一些不法分子卻利用計算機(jī)網(wǎng)絡(luò)技術(shù)來進(jìn)行犯罪，同時我國在計算機(jī)取證技術(shù)上還存在著很多的局限之處，為了打擊計算機(jī)犯罪，本文將對計算機(jī)取證的含義進(jìn)行闡述，同時對計算機(jī)取證面臨的困難進(jìn)行分析總結(jié)，希望能夠為打擊計算機(jī)犯罪提供一些思路。

關(guān)鍵詞：計算機(jī)取證；網(wǎng)絡(luò)犯罪；犯罪證據(jù)；技術(shù)困難；數(shù)據(jù)隱藏

中圖分類號：TP399-C1文獻(xiàn)標(biāo)識碼：A文章編號：2095-4379-（2018）02-0143-01

作者簡介：俞李楊，漢族，江蘇張家港人，任職于江蘇省蘇州市張家港市公安局網(wǎng)絡(luò)警察大隊；任飛，漢族，江蘇蘇州人，任職于江蘇省蘇州市吳江區(qū)公安局網(wǎng)絡(luò)警察大隊。

在信息化時代的背景下，計算機(jī)網(wǎng)絡(luò)技術(shù)給我們的生活方式帶來了很大改變，在帶來無限便利的同時也隱藏著許多的危機(jī)，計算機(jī)的廣泛運用使得犯罪分子也有機(jī)可乘，近些年來各種網(wǎng)絡(luò)犯罪案件層出不窮，而我國目前的計算機(jī)取證技術(shù)還有待提高，犯罪分子利用各種反取證技術(shù)來隱藏犯罪行為，逃脫追捕。為了凈化網(wǎng)絡(luò)環(huán)境，打擊違法犯罪的行為，就需要了解常用的反取證技術(shù)，攻克計算機(jī)取證技術(shù)的難題，保障網(wǎng)絡(luò)安全。

一、計算機(jī)取證的流程

（一）數(shù)據(jù)分析

作為取證環(huán)節(jié)中的關(guān)鍵一環(huán)，數(shù)據(jù)分析環(huán)節(jié)需要一定的技術(shù)含量，因為在獲取證據(jù)的同時必須保證信息網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，在獲取原始信息時不會受到不相干信息的干擾，而且取證人員也要保證獲取到的信息是原始信息，也就是沒有被篡改過的信息。此外，取證人員要對獲取到的信息有一定的了解，因為取證人員需要依據(jù)這些信息來判斷是否與犯罪事實有聯(lián)系。

（二）證據(jù)固定

根據(jù)相關(guān)要求，必須嚴(yán)格規(guī)范的開展證據(jù)固定環(huán)節(jié)，也就是說在獲取證據(jù)的過程必須規(guī)范，采用專業(yè)的數(shù)據(jù)信息技術(shù)，精確地復(fù)制數(shù)據(jù)，甚至精確到每一個字節(jié)。同時文件的保存也有要求，必須用連續(xù)的文件片段或者單獨的文件來保存數(shù)據(jù)，還有就是證據(jù)文件的基本格式不能是任意的，也有相關(guān)要求，目前在國際法庭中比較常用的電子證據(jù)格式是Linux DD鏡像格式和Expert Witness證據(jù)文件格式。

二、計算機(jī)取證技術(shù)的現(xiàn)狀

這些年來，犯罪分子的反取證技術(shù)也取得了很大的進(jìn)步，他們利用這些反取證技術(shù)來逃脫調(diào)查，其中比較常用的反取證技術(shù)包括數(shù)據(jù)的擦除和隱藏、加密等，又或者是將多種反取證技術(shù)聯(lián)合起來，給取證人員的調(diào)查取證工作帶來了很大的困難。下面將對幾種比較常見的反取證技術(shù)進(jìn)行分析。

（一）跳板技術(shù)

所謂的跳板技術(shù)就是指黑客利用其它的網(wǎng)絡(luò)設(shè)備來掩飾自身的非法入侵行為，即使后期被查獲，在被入侵的電腦上也不會顯示黑客的相關(guān)信息，因為這些黑客是先入侵其它的網(wǎng)絡(luò)設(shè)備，再利用這被入侵的設(shè)備去繼續(xù)入侵其它設(shè)備。目前我國比較常見的跳板技術(shù)主要表現(xiàn)為：黑客先對其它國家的計算機(jī)站點來進(jìn)行入侵，接著用這個國家的計算機(jī)來作為跳板隱藏自己，再對其它的網(wǎng)絡(luò)設(shè)備發(fā)起入侵，值得一提的是，一個黑客為了達(dá)到隱藏自己的目的，可能會采用多個跳板，而對于反向破解跳板技術(shù)需要很高的技術(shù)要求，因此這些跳板技術(shù)無疑會給取證人員的調(diào)查取證帶來很大的困難。

（二）數(shù)據(jù)擦除技術(shù)

除了跳板技術(shù)以外，還有一種比較常見的反取證技術(shù)是數(shù)據(jù)擦除，通過將所有的犯罪證據(jù)進(jìn)行清除來達(dá)到逃脫調(diào)查的目的。一般來說，只是手工的刪除系統(tǒng)日志文件不能夠達(dá)到隱藏的效果，因為即使刪除了相關(guān)文件，在硬盤上的數(shù)據(jù)不會被覆蓋，可以通過一些技術(shù)還原這些文件，考慮到這點，黑客利用專用的工具和一些木馬、病毒等，來對數(shù)據(jù)進(jìn)行刪除，同時對這些數(shù)據(jù)加以覆蓋，為了更好地隱藏自己，他們還會對寄存器和緩存區(qū)等地方的數(shù)據(jù)進(jìn)行擦除，這樣就會讓取證人員無處下手，難以追蹤黑客。

（三）數(shù)據(jù)隱藏技術(shù)

1.隱寫術(shù)

隱寫術(shù)的原理就是將證據(jù)文件隱寫成為常規(guī)文件，通過這種方法來躲避取證人員的視野。就好比將word文件在jpeg文件中進(jìn)行隱藏，再選擇一些相關(guān)命令來將文件合并，使其成為jpeg文件，將數(shù)據(jù)信息隱藏到一副圖像之中，這樣就會導(dǎo)致取證過程非常困難，而且在實際操作中，更多的是將數(shù)據(jù)加密和隱寫術(shù)結(jié)合起來，這樣就會使取證過程難上加難。

2.更改文件的后綴名

一種最為簡單的數(shù)字隱藏技術(shù)就是更改文件的后綴名，就好比可以將word文件的后綴doc轉(zhuǎn)變成為音頻文件的mp3格式，這樣系統(tǒng)就是以打開音頻文件的方式來打開這個文件，那么將不會看到原本的信息文件，但同時由于這種方法過于簡單，因此還原方法也是比較簡單的，只需要把后綴名更改回來，那么還是可以還原這個數(shù)據(jù)文件。

（四）數(shù)據(jù)加密技術(shù)

除了以上提到的一些反取證技術(shù)外，黑客還有一種常用的反取證技術(shù)，就是數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密技術(shù)就是指將明文轉(zhuǎn)換成為無意義的密文，黑客一般會選用多種復(fù)雜的加密方式結(jié)合使用，因此取證人員要花費一定的時間才能夠破解密碼，調(diào)查取證人員要在破解密碼后才能恢復(fù)原始數(shù)據(jù)，所以數(shù)據(jù)加密技術(shù)也會給取證人員的取證工作帶來很大的困難。三、結(jié)語

在信息化時代的背景下，計算機(jī)取證技術(shù)在保障網(wǎng)絡(luò)安全方面起到了至關(guān)重要的作用，但是在目前還存在一些局限之處，因此必須針對反取證技術(shù)進(jìn)行研究，堅決打擊網(wǎng)絡(luò)犯罪。

[參考文獻(xiàn)]

[1]王淼.探討計算機(jī)取證技術(shù)面臨的困難[J].計算機(jī)光盤軟件與應(yīng)用，2012（14）.

[2]冷繼兵.計算機(jī)的取證技術(shù)與發(fā)展方向研究[J].煤炭技術(shù)，2013，32（7）.

[3]張寧.計算機(jī)取證技術(shù)及其發(fā)展趨勢[J].信息通信，2016（2）.endprint