計算機取證技術的研究與探討

呂　濤

摘要：隨著信息技術的發展，計算機與網絡已經成為了社會、政治、經濟、文化生活的重要組成部分，而與此相關的各種爭議和計算機犯罪現象同樣也日益突出。

計算機取證技術已經成為了解決爭議和打擊計算機犯罪的重要手段。

關鍵字： 計算機 取證技術 犯罪

一、基本概述

我們首先了解一些什么是計算機取證，計算機取證(Computer Forensics)是一種綜合性技術，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟件、硬件技術，按照符合法律規范的方式，對能夠為法庭接受的、足夠可靠的和有說服性的存在于計算機、相關外設和網絡中的電子證據的識別、獲取、傳輸、保存、分析和提交認證的過程。它是計算機科學、法學和刑事偵查學的交叉學科。取證的目的是找出入侵者(或入侵的機器)，并解釋入侵的過程。取證的實質是一個詳細掃描計算機系統以及重建入侵事件的過程。

伴隨著互聯網的飛速發展，計算機犯罪成為21世紀一種主要的犯罪形態。世界主要工業國家中每年因計算機犯罪所造成的經濟損失，遠遠超過了普通經濟犯罪的經濟損失。由于計算機犯罪中的絕大部分為網絡犯罪，所以網絡偵查技術在偵查工作中越來越顯示出重要的作用，網絡偵查技術與刑事技術和行動技術成為現階段偵查破案的三大支柱。

網絡偵查技術與刑事技術和行動技術一樣可以為偵查提供線索，為破案提供依據。廣大刑偵人員了解或掌握一定的網偵技術能夠為偵查破案帶來新的思路，或是打下良好的多部門、多警種協同作戰的思想基礎，進而能夠在案件偵辦過程中及時調整工作思路，充分利用并創造性地利用好三大支柱形成的合力破案。

二、國內基本情況

我國的網絡犯罪立法從初期的以計算機為中心建立安全保護制度，安全管理和技術防護為主體的安全保護制度發展到現階段的強調重視計算機信息網絡安全的保護和建立網絡行為規范層面。未來，各國網絡犯罪立法將會向程序法和實體法協調一致，共同構建打擊網絡犯罪國際司法合作體系方向發展。值得注意的是，我國至今還未加入任何打擊網絡犯罪的國際公約。

目前我國只有少數法律涉及電子證據問題，規定電子證據收集、保全、認證等方面內容的主要是有關地方法規、部門規章和司法解釋，法律效力較弱，且規定的內容零散不成體系，沒有建立完備、系統、可操作性強、具有較強法律效力的電子證據法律制度。在我國的法律體系中，電子證據立法多表現為取證規則，電子證據認證規則規定的較少。電子證據取證規則的內容，主體是有關電子證據的特別調查措施，其中，最重要的是電子證據的快速保護、命令提交、搜查扣押和實時收集。

三、國外狀況

國際上在計算機取證方而已有比較深入的研究，并且有相當數量的少公司推出了相關的應用產品。美國已建成和計劃建設的計算機取證實驗室共開對外，用來做恐怖活動追蹤和計算機犯罪調查。美國計算機犯罪取證先驅Dan Farmer和Wietse Venema編寫了能夠有助于取證檢查的一些工具，還有一些進行數據恢復的軟件能輔助進行取證檢查。

四、現在狀況及相關工具介紹

我國近兩年才涉足計算機取證方而的研究，已開發了多種計算機取證專用產品和有助于取證的入侵審計系統和數據恢復工具，但對計算機上的所有數據進行總體分析的工具還小多，尤其是缺乏反跟蹤能力。

國外已經開發出的取證工具很多，最著名的是TCT和Encase .TCT可以對運行著的主機的活動進行分析，并捕獲目前的狀態信息。Encase是得到美國政府承認的計算機取證產品，是一個完全集成的基于Windows界面的取證應用程序，其功能包括:數據瀏覽、搜索、磁盤瀏覽、建立案例、建立證據文件探存案例等。

現有的取證工具中硬件產品主要集中在硬盤數據克隆、硬盤數據擦除、取證接口和網絡監控器方面，軟件產品主要是文件內容瀏覽(文本、圖片等)、反刪除、文本搜索(關鍵字)、驅動器影像(按位復制全部存儲空間)等工具。

目前網絡犯罪研究的取證工具沒有統一的標準和規范，軟件的使用者很難對這些工具的有效性和可靠性進行比較。BrianCarrier提出使用開放源碼的方式來保證取證工具可靠性。通過眾多研究人員對源碼的檢驗，取證工具的可靠性可以得到相當程度的保證。但是取證工具的開發者的所有權和收益權如何體現又成為了問題。

五、未來發展趨勢

在未來幾年中，中國將超越美國成為世界上上網人口數量最多的國家，網絡犯罪無論從數量上還是危害程度上都會有突飛猛進的變化。鑒于當前我國網絡犯罪多發這種形勢，以及未來網絡犯罪數量爆炸式增長這種趨勢，在教學過程中融入網偵技術和網絡犯罪電子取證的相關內容是非常必要的，也是符合打擊犯罪的現實需要的。

犯罪現場勘查學作為我院本科生的平臺課程，作為培養本科生最基本的證據意識的一門專業基礎課程，在教學和訓練過程中把網偵技術和網絡犯罪電子取證的相關內容融入進來，可以完善本科生偵查取證方面的有關知識，全面提升其證據意識，前瞻性地為他們的未來工作打下一個良好的基礎，可有效地拓寬他們在偵查工作中的思路，更好的為公安工作服務。