王 萌

（河北公安警察職業(yè)學(xué)院，河北 石家莊 050091）

淺談計算機取證課在公安院校的建設(shè)

王 萌

（河北公安警察職業(yè)學(xué)院，河北 石家莊 050091）

計算機犯罪是21世紀破壞性最大的一類犯罪，要打擊和遏制這種犯罪，計算機取證承擔(dān)著不可取代的作用，這是我國信息網(wǎng)絡(luò)安全亟須研究的重要問題，具有強烈的社會需求。隨著公安信息化的不斷深入，公安院校開展計算機取證教育也勢在必行。

計算機犯罪；計算機取證；公安教育

一、計算機取證的現(xiàn)狀

（一）計算機犯罪和計算機取證的概念

國內(nèi)外學(xué)者認為計算機犯罪主要分為廣義說、狹義說。廣義說認為所有涉及計算機的犯罪都是計算機犯罪。狹義說則認為只有以計算機為工具或以計算機系統(tǒng)（軟件或硬件）和計算機信息為攻擊對象（物理破壞除外）而實施的犯罪行為才是計算機犯罪。我國刑法還沒有專門的計算機犯罪這一概念，綜合近幾年的研究，從刑法學(xué)的角度給計算機犯罪所下的定義是：違反國家法律規(guī)定，利用計算機技術(shù)或技術(shù)特性，侵犯計算機信息系統(tǒng)安全或妨害計算機信息交流安全秩序，嚴重危害社會，依法應(yīng)負刑事責(zé)任的行為。

計算機取證涵蓋的范圍較廣，包括對計算機、其他電子設(shè)備及借助信息技術(shù)形成的設(shè)備的取證。楊永川在《計算機取證》一書中定義的計算機取證是：為了揭示與計算機相關(guān)設(shè)備有關(guān)的犯罪或過失行為以及由其他原因?qū)е碌氖瓜到y(tǒng)發(fā)生故障的現(xiàn)象，利用一切科學(xué)、合法、合理的方法和工具，對以0/1二進制記錄的數(shù)據(jù)電文進行識別、保存、收集、檢查、分析和呈堂等活動過程。

（二）國內(nèi)外在計算機取證領(lǐng)域已經(jīng)取得的成果和進展

20世紀90年代，隨著Internet網(wǎng)絡(luò)技術(shù)的發(fā)展，以計算機犯罪為主的電子犯罪日益猖獗，國外的取證技術(shù)及取證工具由于強烈的需求飛速發(fā)展。在國內(nèi)，有關(guān)這方面的研究和實踐則落后很多，執(zhí)法機關(guān)對計算機取證工具的應(yīng)用還多是利用國外一些常用的取證工具，取證操作規(guī)范的執(zhí)行也有所欠缺。

1.主機電子證據(jù)保全、恢復(fù)和分析技術(shù)

數(shù)據(jù)保全中的磁盤映像復(fù)制技術(shù)一直是基于主機取證技術(shù)的重要研究內(nèi)容，目前可進行硬盤數(shù)據(jù)復(fù)制的軟硬件產(chǎn)品很多，主要有專用硬盤取證工具SOLOⅢ、硬盤拷貝機Echo、取證分析軟件Encase、“網(wǎng)警”計算機犯罪取證勘察箱（廈門美亞）等。數(shù)據(jù)恢復(fù)技術(shù)中有普遍看好的取證軟件TCT和Encase等?，F(xiàn)在七次覆蓋后進行恢復(fù)的技術(shù)還不是很成熟，國外的Ontrack公司等機構(gòu)正在進行此項研究。分析目標(biāo)主機上的可疑程序可以使用反向工程技術(shù)，從而取得證據(jù)，但目前這方面的研究還很少。

2.網(wǎng)絡(luò)數(shù)據(jù)捕獲與分析和網(wǎng)絡(luò)追蹤

現(xiàn)有的許多用于網(wǎng)絡(luò)信息數(shù)據(jù)流捕獲的工具，如NerXray、Lanexplore等，對各種信息協(xié)議的分析都相當(dāng)透徹，如果將數(shù)據(jù)倉庫技術(shù)運用到大量的網(wǎng)絡(luò)數(shù)據(jù)分析中會更好。在取證的分析階段往往使用搜索技術(shù)進行相關(guān)數(shù)據(jù)信息的查找，這方面的研究技術(shù)主要是數(shù)據(jù)過濾技術(shù)、數(shù)據(jù)挖掘技術(shù)等。網(wǎng)絡(luò)追蹤是計算機取證的一個重要手段，突破網(wǎng)絡(luò)代理定位攻擊源是其中很重要的環(huán)節(jié)。

3.主動取證

目前國內(nèi)外很多研究機構(gòu)和公司主要致力于蜜罐技術(shù)的研究，較大型的研究項目有研究蜜網(wǎng)技術(shù)的Honeynet Project、致力于部署分布式蜜罐的Distributed Honeypot Project等。

4.密碼分析

在各類信息系統(tǒng)中獲取的機密信息很大部分都是經(jīng)過加密處理的，因而密碼分析與破解成為網(wǎng)絡(luò)信息獲取中的一個必須面對的問題。結(jié)合實際的密碼應(yīng)用，通過對密碼分析的研究將會大大提高電子取證工作的成效。密碼破解技術(shù)將成為一個重要研究熱點，應(yīng)用前景非?？捎^。

5.計算機取證法學(xué)研究

計算機取證涉及計算機科學(xué)和法學(xué)中的行為證據(jù)分析以及法律領(lǐng)域，這是一個新興領(lǐng)域、交叉領(lǐng)域和前沿領(lǐng)域。

二、公安院校開設(shè)計算機取證課程的必要性及可行性

（一）必要性

近年來，我國涉計算機犯罪案例呈逐年上升趨勢，給國家和人民帶來巨大的經(jīng)濟損失，甚至威脅國家的安全，破壞社會秩序。計算機的犯罪五花八門，犯罪的焦點已經(jīng)超越了簡單的計算機入侵，色情和猥褻的散布、侵犯人權(quán)、著作權(quán)（版權(quán)）和電子知識產(chǎn)權(quán)的竊取、網(wǎng)絡(luò)欺詐和偽造、網(wǎng)絡(luò)賭博等新型犯罪層出不窮。為有效打擊計算機犯罪，計算機取證是一個重要手段。在我國，公安信息化建設(shè)正如火如荼地展開，警察的信息化水平在不斷提高，這為我們講授計算機取證課提供了非常好的環(huán)境。因為計算機取證的執(zhí)法者主要是警察（包括警察授權(quán)下的專業(yè)技術(shù)人員），因此對相應(yīng)專業(yè)的試點班學(xué)員進行計算機取證培訓(xùn)為公安工作提供了強有力的警力基礎(chǔ)支撐，實現(xiàn)了公安工作的可持續(xù)發(fā)展。

（二）可行性

目前公安院校招錄培養(yǎng)體制發(fā)生了變化，教學(xué)對象的改變要求公安院校教學(xué)也要跟著改變。公安部根據(jù)公安工作實際需求提出了“教、學(xué)、練、戰(zhàn)”一體化和教學(xué)中突出實驗實訓(xùn)，這是做好招錄體制改革試點專業(yè)教學(xué)的重點。我們認為公安院校計算機取證建設(shè)首先把滿足教學(xué)需求放在第一位，培養(yǎng)學(xué)生動手能力，使學(xué)生通過實驗掌握計算機取證技術(shù)的基本技能和技巧，熟練使用常用的計算機取證軟、硬件工具，對嫌疑計算機（包括各種電子設(shè)備）中的數(shù)據(jù)進行備份、恢復(fù)、分析、檢查、打印，并對所分析數(shù)據(jù)作出報告。同時考慮到功能的拓展，還要滿足服務(wù)和培訓(xùn)的需要，即適應(yīng)新形勢下信息網(wǎng)絡(luò)安全監(jiān)察部門和其他各警種業(yè)務(wù)部門犯罪案件偵破的需要，可以為科研和公安一線案件的偵破提供技術(shù)支持。

1.計算機取證課程的硬件建設(shè)環(huán)境

由于計算機犯罪形式的多樣性，該門課的硬件建設(shè)需要模擬各種計算機犯罪形式和信息數(shù)據(jù)，使學(xué)生在各種模擬的犯罪現(xiàn)場，能夠進行證據(jù)的取證調(diào)查工作?？紤]到公安院校該門課程經(jīng)費和師資嚴重不足的現(xiàn)狀，為了模擬各種犯罪現(xiàn)場，該門課實驗室的最低配置應(yīng)該有幾十臺計算機、一定數(shù)量的路由器、交換機、服務(wù)器、集線器、防火墻等通用計算機網(wǎng)絡(luò)設(shè)備，同時還需要將計算機組成局域網(wǎng)、安裝防火墻、進行有關(guān)的安全設(shè)置并能夠登錄Internet。為了完成取證分析電子證據(jù)，還需要簡單的現(xiàn)場取證設(shè)備，包括計算機犯罪案件現(xiàn)場勘查箱（內(nèi)含筆記本電腦、現(xiàn)場取證常用工具、常用軟件）、高速硬盤復(fù)制機、現(xiàn)場特定數(shù)據(jù)獲取設(shè)備以及各種類型硬盤只讀鎖和轉(zhuǎn)換接口等；更精深的證據(jù)分析設(shè)備包括電子數(shù)據(jù)證據(jù)分析服務(wù)器、電子數(shù)據(jù)證據(jù)分析軟件、磁盤陣列、電子數(shù)據(jù)取證分析工作站；網(wǎng)絡(luò)密碼破解系統(tǒng)包括密碼破解服務(wù)器、密碼破解軟件、密碼破解工作站等。

2.計算機取證課程的教學(xué)安排

課程分為授課及實驗兩部分。授課的主要內(nèi)容為計算機工作的基本原理、計算機取證法律和規(guī)范及計算機取證程序。實驗則側(cè)重計算機取證技術(shù)和計算機取證工具的使用。

電子證據(jù)具有易失性、不易保存等特點，使得取證人員對電子證據(jù)要能熟練地收集、文檔化保存和恰當(dāng)?shù)財?shù)字證據(jù)處理和解釋，否則就易毀掉整個調(diào)查工作，無法有效地打擊犯罪行為，浪費案件有價值的資源。要做到熟練就要進行大量的實驗。主要的實驗包括：

（1）數(shù)據(jù)恢復(fù)。就是用數(shù)據(jù)恢復(fù)軟件恢復(fù)被刪除的文件。通常需要了解數(shù)據(jù)恢復(fù)的原理和掌握幾種常見的數(shù)據(jù)恢復(fù)軟件，會用其中的一種軟件如EasyRecovery恢復(fù)已被破壞的文件。

（2）磁盤備份。即對磁盤數(shù)據(jù)作鏡像備份，并保全證據(jù)的完整性。如使用高速硬盤復(fù)制機或者用鏡像工具SafeBack創(chuàng)建備份的鏡像文件并寫到光盤上，運用MD5sum保全證據(jù)的完整性。

（3）易失性數(shù)據(jù)收集。主要內(nèi)容是創(chuàng)建應(yīng)急工具箱，對突發(fā)事件做出適當(dāng)?shù)捻憫?yīng)，在不破壞現(xiàn)場的前提下收集易失性數(shù)據(jù)，為偵查破案提供有力的證據(jù)。

（4）分析證據(jù)。用EnCase取證工具進行關(guān)鍵字查找、Hash值分析和E-mail文件分析，將隱藏的數(shù)據(jù)列出來，并將證據(jù)歸檔。

（5）獲取網(wǎng)絡(luò)證據(jù)。監(jiān)控、捕獲并分析數(shù)據(jù)包是獲取網(wǎng)絡(luò)證據(jù)的主要手段，如采用廈門美亞公司的網(wǎng)絡(luò)信息取證系統(tǒng)，它能夠記錄網(wǎng)絡(luò)上的全部底層報文，監(jiān)控流經(jīng)網(wǎng)絡(luò)的全部信息流，較好地解決了目前計算機犯罪案件中偵查、取證等難題。

（6）密碼破解取證。在很多情況下都面臨如何將加密的數(shù)據(jù)進行解密的問題，常常采用口令字典、重點猜測、窮舉破解等技術(shù)。

綜上所述，計算機取證教育是公安院校發(fā)展的重要一環(huán)，教育的重點是加強取證領(lǐng)域的實踐性培養(yǎng)。由于電子證據(jù)的多態(tài)性，使得案件具有差異性，要求采用不同的處理方式。當(dāng)案件環(huán)境等發(fā)生變化時，應(yīng)用能力顯得尤其重要，培養(yǎng)的取證人才要具有解決實際問題的能力。計算機取證是一門技術(shù)性很強的職業(yè)教育，取證技術(shù)更新也非常迅速，這就需要不斷將現(xiàn)代科學(xué)技術(shù)的最新成果以及公安實踐中創(chuàng)造的許多經(jīng)驗吸納到這門課中來，保證課程的鮮活與常新。

[1]孫維愈.計算機犯罪偵查問題研究[D].山西大學(xué)碩士學(xué)位論文，2007.

[2]楊永川,顧益軍,張培晶.計算機取證[M].北京:高等教育出版社，2008.

[3]麥永浩,孫國梓,許榕生,戴士劍.計算機取證與司法鑒定[M].北京:清華大學(xué)出版社，2009.

[4]李進.公安院校計算機取證實驗室建設(shè)研究[J].西南民族大學(xué)學(xué)報（自然科學(xué)版），2009,（5）.

D631.15

A

1672-6405（2010）02-0079-02

王萌，女，河北公安警察職業(yè)學(xué)院教師。

2010-05-10

張欽]