姚靖

?

計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)

姚靖

內(nèi)蒙古包頭市衛(wèi)生學(xué)校，內(nèi)蒙古 包頭 014030

近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，很多計(jì)算機(jī)網(wǎng)絡(luò)犯罪事件層出不窮，這使網(wǎng)絡(luò)用戶遭受了巨大經(jīng)濟(jì)損失。但是因?yàn)榫W(wǎng)絡(luò)的虛擬性、不穩(wěn)定性，很多計(jì)算機(jī)犯罪事件都找不到確鑿、充分、有說服力的證據(jù)。需要制定出健全的網(wǎng)絡(luò)法制法規(guī)，合理的利用技術(shù)控制手段以解決日益惡化的計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題。對(duì)計(jì)算機(jī)取證技術(shù)的發(fā)展進(jìn)行深入研究。

計(jì)算機(jī)取證；發(fā)展趨勢(shì)

1 計(jì)算機(jī)取證的定義及我國(guó)的發(fā)展現(xiàn)狀

計(jì)算機(jī)取證國(guó)外將其定義為“從計(jì)算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具”。我國(guó)計(jì)算機(jī)技術(shù)的發(fā)展較晚，但近些年來計(jì)算機(jī)發(fā)展迅速，計(jì)算機(jī)的普及變得明確起來。我國(guó)計(jì)算機(jī)取證的定義是指，將計(jì)算機(jī)調(diào)查與分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取。通常情況下，計(jì)算機(jī)取證可分為下面步驟：①調(diào)查現(xiàn)場(chǎng)，對(duì)現(xiàn)場(chǎng)進(jìn)行搜索，保護(hù)尋找物力證據(jù)等，其具體實(shí)施需要達(dá)到現(xiàn)場(chǎng)，觀察證據(jù)是否能夠取走，不能取走的證據(jù)則需要作好記錄，分析原因，檢查計(jì)算機(jī)是否安全；②識(shí)別計(jì)算機(jī)所獲得的證據(jù)，將證據(jù)進(jìn)行分類分析；③數(shù)據(jù)傳輸。將獲取的信息完整的保存至取證分析儀中；④數(shù)據(jù)存儲(chǔ)。將原數(shù)據(jù)原封不動(dòng)存儲(chǔ)，確保其完整性；⑤計(jì)算機(jī)取證運(yùn)用可顯示方法進(jìn)行分析，保證分析結(jié)果的準(zhǔn)確性；⑥對(duì)相關(guān)部門依照法律程序進(jìn)行證據(jù)提交。

計(jì)算機(jī)取證幾乎是涵蓋了所有的傳統(tǒng)證據(jù)類型，主要包括文本、圖形、動(dòng)畫、圖像、音頻與視頻等各種各樣的信息格式。目前為止，我國(guó)的計(jì)算機(jī)取證技術(shù)的發(fā)展較為簡(jiǎn)陋，只有少部分法律條文涉及到了一些簡(jiǎn)單的計(jì)算機(jī)證據(jù)取證方面的問題，而且還存在法律界對(duì)電子證據(jù)作為訴公證據(jù)的爭(zhēng)議問題。但隨著我國(guó)現(xiàn)行法律體系不斷完善，我國(guó)的計(jì)算機(jī)取證的證據(jù)變得更具法律效力與可執(zhí)行性，能更好地促進(jìn)我國(guó)的計(jì)算機(jī)事業(yè)的發(fā)展。

2 計(jì)算機(jī)取證技術(shù)的發(fā)展趨勢(shì)

因我國(guó)計(jì)算機(jī)技術(shù)發(fā)展較晚，在前期的計(jì)算機(jī)發(fā)展過程遇到一些問題，因此我國(guó)計(jì)算機(jī)發(fā)展還有很大的空間，而計(jì)算機(jī)取證技術(shù)伴隨著計(jì)算機(jī)事業(yè)的迅速發(fā)展，今后也會(huì)有較大的發(fā)展。我國(guó)計(jì)算機(jī)取證技術(shù)的發(fā)展方向主要體現(xiàn)在以下幾個(gè)方面。

2.1 取證技術(shù)應(yīng)用工具的自動(dòng)化和專業(yè)化發(fā)展

當(dāng)今科技的迅猛發(fā)展，計(jì)算機(jī)犯罪已經(jīng)到了無孔不入的地步，除了傳統(tǒng)臺(tái)式計(jì)算機(jī)、筆記本電腦、平板電腦、智能手機(jī)等都逐漸成為了計(jì)算機(jī)犯罪的新設(shè)備。因此加強(qiáng)計(jì)算機(jī)的取證技術(shù)就是當(dāng)前亟待解決的任務(wù)，充分發(fā)展計(jì)算機(jī)的取證學(xué)科，將其作為一項(xiàng)綜合性技術(shù)和重點(diǎn)學(xué)科來發(fā)展[1]。

2.2 多理論融合技術(shù)

多種理論結(jié)合的計(jì)算機(jī)取證技術(shù)有助于更好地打擊計(jì)算機(jī)犯罪，并且有效地克服了計(jì)算機(jī)取證技術(shù)應(yīng)用的局限性，其主要內(nèi)容有：（1）磁盤數(shù)據(jù)恢復(fù)技術(shù)，傳統(tǒng)的計(jì)算機(jī)磁盤數(shù)據(jù)恢復(fù)技術(shù)的恢復(fù)效果很差，恢復(fù)過程中很容易出現(xiàn)文件丟失、損壞現(xiàn)象；新形勢(shì)下的磁盤恢復(fù)數(shù)據(jù)能夠?qū)⒏鞣N數(shù)據(jù)有效地結(jié)合起來，在進(jìn)行有效地分析，妥善保存。（2）反向工程，當(dāng)計(jì)算機(jī)犯罪侵入主機(jī)時(shí)，可以應(yīng)用Unix系統(tǒng)對(duì)其侵入程序進(jìn)行數(shù)據(jù)分析，但是這種系統(tǒng)程序無法應(yīng)用于反向工程，執(zhí)行程序的加密和壓縮使計(jì)算機(jī)取證技術(shù)無法更好地應(yīng)用在反向工程中。

3 計(jì)算機(jī)取證過程

計(jì)算機(jī)取證的本質(zhì)為對(duì)計(jì)算機(jī)軟件或硬件系統(tǒng)進(jìn)行檢測(cè)借此還原入侵控制系統(tǒng)事件過程。他是對(duì)計(jì)算機(jī)的入侵、竊取、詐騙、控制、破壞等等一系列行為，按照正規(guī)法律程序的流程，使用計(jì)算機(jī)硬件或者軟件上的技術(shù)，對(duì)法庭認(rèn)可的、有說服力的、儲(chǔ)存在計(jì)算機(jī)或者相關(guān)網(wǎng)絡(luò)中電子信息數(shù)據(jù)進(jìn)行證據(jù)提取、傳輸、存儲(chǔ)、認(rèn)證與提交的一系列過程。

3.1 取證的程序

要想獲得有效的證據(jù)就要先將證據(jù)固定。證據(jù)固定了在后面的剖析、陳述的過程中才不會(huì)改變。電子證據(jù)比較容易修改，具有不固定性，因此一旦決定需要電子證據(jù)，首先應(yīng)該做的是進(jìn)行固定證據(jù)程序，避免有效證據(jù)的丟失。證據(jù)剖析對(duì)于剖析案件具有重要性。電子證據(jù)具有信息量是很大，雜亂的特點(diǎn)，所有證據(jù)都要進(jìn)行整理以后才可以利用。要求在取證時(shí)對(duì)證據(jù)進(jìn)行全面有效地剖析，進(jìn)行數(shù)據(jù)的挖掘和整合，使它能夠很清晰的展示出案情相關(guān)的信息。這個(gè)階段要求我們能夠證明電子證據(jù)獲取的途徑的有效性，并明確分析的過程，并且能夠合理地引用電子證據(jù)分析的結(jié)果對(duì)案情進(jìn)行全面仔細(xì)的陳述。

3.2 證據(jù)的獲取

首先需要對(duì)所需要的數(shù)據(jù)進(jìn)行收集；其次，分析所有收集的數(shù)據(jù)；收集的數(shù)據(jù)是有風(fēng)險(xiǎn)性的，它會(huì)有遺失線索，損害證據(jù)，從而選擇的人比較少，所以對(duì)收集到的數(shù)據(jù)進(jìn)行分析。收集時(shí)需要注意：在搜集電子證據(jù)時(shí)，應(yīng)該把注意力集中在要收集的內(nèi)容上而不是硬件上。對(duì)于加鎖解密技術(shù)，計(jì)算機(jī)取證時(shí)需要將加密數(shù)據(jù)解密?，F(xiàn)階段使用的密碼技術(shù)主要有防火墻、安全路由器、口令提取、黑客入侵檢測(cè)等，主要手段是進(jìn)行口令提取，從電子文檔中搜索口令，進(jìn)行口令提取，然后恢復(fù)口令。很多電腦系統(tǒng)口令是在相應(yīng)的規(guī)定區(qū)域或注冊(cè)表，在相關(guān)區(qū)域獲得口令，再用密碼鑰匙恢復(fù)機(jī)制在高級(jí)管理員處得到口令。

3.3 恢復(fù)刪除的數(shù)據(jù)

一般情況下文件系統(tǒng)是用來存放和保存數(shù)據(jù)的，是供計(jì)算機(jī)系統(tǒng)進(jìn)行訪問。文件系統(tǒng)大多以元數(shù)據(jù)歸納每一個(gè)文件的信息?；旧显獢?shù)據(jù)都位于目錄入口，但是也有一些元數(shù)據(jù)不同，它位于特定的文件或是其他位置。當(dāng)某個(gè)文件是目錄被刪除時(shí)，與之有關(guān)系的元數(shù)據(jù)就會(huì)被系統(tǒng)隱藏，處于沒有激活的狀態(tài)。但其實(shí)它并沒有刪除，通過系統(tǒng)的查找還是能查到的。但不是全部文件的內(nèi)容都可以訪問到。這主要是依靠元數(shù)據(jù)的結(jié)構(gòu)和原始格式。大多情況下能夠識(shí)別出應(yīng)用的文檔特征，在所有的硬盤中搜索符合相同特征的數(shù)據(jù)，從而達(dá)到恢復(fù)數(shù)據(jù)的目的[2]。

3 結(jié)語

計(jì)算機(jī)取證技術(shù)是一個(gè)逐漸成熟的研究領(lǐng)域，在打擊計(jì)算機(jī)犯罪中會(huì)發(fā)揮著至關(guān)重要的作用。但在發(fā)展過程中，其研究方向更注重于相應(yīng)的入侵防范技術(shù)，不是很重視網(wǎng)絡(luò)犯罪。因此，發(fā)揮整個(gè)社會(huì)的道德的引導(dǎo)與加強(qiáng)相關(guān)法律的完善對(duì)制約網(wǎng)絡(luò)犯罪來說非常重要。

[1]王玲，錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003，14（9）：1635-1644.

[2]曾學(xué)軍.計(jì)算機(jī)取證技術(shù)的發(fā)展困境與前景[J].商業(yè)時(shí)代，2009（28）：107-108.

TP399-C2；D918

A

1009-6434（2016）02-0066-01