計算機犯罪現場勘查取證技術研究

陽雁 蔣邵衡

摘 要：面對日新月異的計算機犯罪問題，通過提升執法機關的取證能力可達到有力制約該型犯罪的目的，研究和運用先進的計算機犯罪現場勘查取證技術成為一項有效的措施。計算機取證技術理論新、背景知識多，需結合計算機技術的運用、跟蹤技術領域的新發展，才能很好的發現和分析問題。

關鍵詞：計算機犯罪;物證技術;電子證據

中圖分類號：D918 文獻標識碼：A 文章編號：1671-2064（2019）22-0032-02

目前我國大部分地區都已經組建了網絡安全執法隊伍，網絡警察總數近千人。然而基于多種原因，偵查部門與網監部門的管轄分工還不夠明確，計算機犯罪或涉及計算機犯罪案件的偵查目前仍然是偵查機關、特別是普通的偵查員比較棘手的問題，本文力求在計算機犯罪現場勘查取證技術中做些研究，以起拋磚引玉的作用。

1 妥善保護易失數據

只要在計算機犯罪現場有處于開啟狀態的機器，就需要啟動現場響應工作（live response）。

1.1 易失數據的常見位置

易失數據反映計算機的實時狀態，它存在于需要在通電狀態下才能存儲的部件中，比如內存（RAM），cache高速緩存，顯卡（顯存），網絡接口卡（NIC）等，如果出現斷電或者電壓不穩的情況，上面的數據就會丟失，在計算機犯罪現場勘驗時，應當首先處置這類既脆弱但又有助于了解該計算機運行狀態的證據。

1.2 易失數據的收集要點

根據洛卡德的交換原理，收集搶救易失數據的過程必然會改變計算機系統原本的運行狀態。為減小偵查活動的“二次污染”，偵查人員在啟動現場響應的時候可借鑒如下經驗：

（1）應當準確記錄偵查人員實施的操作以及對目標系統可能造成的影響，并由見證人對操作記錄簽字確認。（2）如果抵達犯罪現場的時候涉案計算機是打開的，或者計算機未曾重新啟動過，這時候可以獲得的信息就比較多。如果抵達現場期間，涉案計算機系統已經停機或者曾重新啟動過，則意味著大部分易失數據已經丟失。（3）不得將提取的易失數據存儲在其原本所在的計算機里。（4）不得在目標系統中安裝新的應用程序，同時避免使用目標系統上的程序。偵查技術人員應事先準備好附帶各種工具的響應光盤，用光盤驅動器運行程序，從而最大程度的避免調動目標計算機硬盤里的數據。（5）該階段不要選用消耗大量資源的軟件，鑒于提取易失數據的緊急性、實時性，盡可能使用簡潔的命令行工具，相比具有圖形界面（GUI）的工具軟件，命令行占用較小的內存、較少依賴動態鏈接庫，從而對整個計算機系統的影響相對少一些，所提取的信息更加真實、完整。

2 固定存儲媒介和電子證據

研究涉案存儲介質和電子證據的固定、封存技術的目的在于保護電子證據的完整性、真實性和原始性。

2.1 固定與封存電子證據的方式

電子證據的載體包括電子設備和存儲媒介，它是以物證的形式扣押的。電子設備和存儲媒介封存以后將不能夠被操作和使用，除非解封。

固定存儲媒介和電子數據的方式主要有三種：完整性校驗方式、備份方式、封存方式。其中最后一種只有在無法計算存儲媒介完整性校驗值或者無法制作備份的情形下才允許使用。

2.2 利用硬盤鏡像固定電子證據

硬盤鏡像不僅完整復制硬盤里的所有的文件，它還準確的保留了硬盤內部存儲的原始結構和數據的相對位置，這意味著原始硬盤的每一個物理扇區都將被復制。硬盤鏡像雖然為犯罪取證提供了有力的技術保障，但并不是所有的情況都需要進行全盤鏡像復制，出于經濟和效率的考慮，有時候我們只對計算機系統中存儲的部分內容開展工作。比如對在役商用服務器的勘查取證時，管理方往往不愿意關機，同時這些服務器存儲的數據非常龐大，在不影響偵查工作的前提下，我們沒必要獲取所有內容，只需要對計算機的各種狀態信息做一個“快照”（Snapshot）。在UNIX主機下，我們可以使用The Coroner's Toolkit（TCT）工具實現“快照”取證。

2.3 制作鏡像的一般步驟

現場勘驗過程中為涉案計算機制作鏡像拷貝的一般步驟是：

2.3.1 關閉計算機

完成易失數據的提取和現場響應之后，就應當關閉計算機系統的電源。特別需要注意的是，一般不采用常規的流程來關機，對于臺式計算機直接拔除電源插頭，對于筆記本采用強行關機，對于一些更為復雜的系統，如Unix主機，一般不得草率關機，須向有關技術人員咨詢后再確定關機方案。

2.3.2 記錄現場狀態

關機后，應記錄下現場設備的靜態情況。包括計算機的型號、運行了哪種操作系統、硬盤型號、硬盤接口類型、網絡連接類型等。應當對設備間的連接情況拍照并繪圖，要能全面反映設備的空間位置信息。拆卸時，應當記錄并編號，并保證以后可以恢復原狀。

2.3.3 制作鏡像

可以采用兩種方法獲得目標計算機里的數據。一種是將勘查取證專用電腦通過網線或串行電纜與目標計算機連接，然后再通過取證軟件對硬盤進行鏡像復制。另一種辦法是將目標計算機的硬盤拆下，然后連接到具有寫保護功能的勘查取證專用計算機上，從而讀取并復制硬盤上的證據。但需要注意裝載類型應設置為“只讀”，只有這樣所查看的數據才不會因為操作失誤而發生改變，并且能夠將所有的數據保持在其最原始的狀態，保證證據檢驗工作的真實性、客觀性和原始性。

2.3.4 完整性校驗

利用專門工具計算機所復制的存儲媒介（硬盤）里電子數據的完整性校驗值，原電子設備和存儲媒介應當封存，并且由偵查人員填寫、制作相應的法律文書。

3 利用數據恢復技術挖掘證據

每一種操作系統都會提供把數據刪除出硬盤的功能，但與現實生活中的丟棄行為所不同的是，“刪除”指令被計算機執行以后只是被做了一次登記，意味著下一次存儲數據的時候允許使用該空間，而實際上被“刪除”文件沒有被覆蓋以前依舊存在于硬盤中。即便嫌疑人在一定程度上刪除了數據，但在勘查過程中仍然有被恢復的可能性。常見的需要數據恢復技術的情形有以下幾類。

3.1 恢復硬盤分區

硬盤存放數據的基本單位是扇區，對硬盤分區的過程，就是在其第一個扇區上注明分區數量、單區大小，起始位置等信息，稱為分區信息表。當主引導記錄因為各種原因（比如嫌疑人毀滅證據）損壞后，局部或全體分區就不可見，造成數據消失的情形。根據數據信息特征，經驗豐富的計算機專業人員可以推算分區大小及位置，將其手工標注到分區信息表，從而恢復“消失”的分區。

3.2 恢復被刪除的文件

向硬盤存放數據時，系統首先會在文件分配表上登記文件名稱、大小以及根據空閑空間分配起始位置，等上述工作完成以后再向數據區寫入數據的內容。刪除文件的過程與之類似，但程序卻更為簡單，當需要刪除文件時，系統會在文件分配表內添加刪除標簽，表明該文件已被刪除，所占用的空間已被“釋放”，未來允許被新的數據可以占用，然后刪除流程便結束了。在沒有新的文件寫入，所占用的空間沒有被新內容覆蓋的前提下，利用專門的工具可更改文件分配表的信息，從而返回到原來的狀態，實現數據恢復?；谕瑯拥脑?，被格式化的文件也可以恢復。

3.3 恢復文件分配表

計算機系統為了管理文件存儲活動，需要通過格式化程序將分區劃分為目錄文件分配區和數據區。文件分配表內記錄著每一個文件的屬性、大小、位置。文件分配表管理所有文件的操作，一旦遭到破壞，系統無法定位到文件，盡管文件的內容還在物理上存在于數據區，系統仍然會識別為文件不存在。就好比書的目錄被撕掉一樣，這時候恢復起來的難度較大，但是通過推算可能存在的位置，還是有可能恢復出所要的數據。

3.4 常用的數據恢復工具

3.4.1 Winhex數據操作工具

“Winhex”以通用的16進制編輯器為核心，是一款功能強大的文本二進制數據查看、修改工具。我們可以很方便的用來處理計算機犯罪取證、數據恢復、低級數據處理、破損文件修復、硬盤修復等工作需求。

3.4.2 Easyrecovery數據恢復軟件

“Easyrecovery”是一款全球范圍內著名的經典數據恢復軟件。該軟件執行高效、功能強大，不僅應用在誤刪除、格式化、重新分區等常見的數據丟失的情形，而且它還可以執行不依賴分區表的按簇硬盤掃描功能。但也需要慎用，因為不通過分區表來進行數據掃描，得到的數據有可能不完整。不過這種方法卻提供給我們一個新的思路：在計算機犯罪取證過程中，面對分區表被嚴重損壞的計算機，我們還是可以嘗試用按簇掃描的辦法進行數據恢復，哪怕只成功恢復出一小部分數據，對于犯罪偵查工作來說也可能是有幫助的。

3.4.3 R-Studio取證工具

“R-Studio”兼容包括Linux、UNIX、Win9X/ME/NT/2000/XP在內的常用計算機操作系統;可恢復加密文件或數據流文件;支持網絡在線數據恢復的功能;兼容多種格式的文件系統，如Ext2FS、FAT12/16/32、NTFS、NTFS5等;軟件附帶有鏡像制作工具;能夠恢復大容量存儲設備上的數據，可修復大型磁盤陣列（RAID）;軟件擁有領先的抗刪除技術，可以恢復主引導記錄受損的、被擦除處理的（data erase）或者被病毒破壞的數據文件。軟件帶有多種高級設置選擇，用戶可通過個性化設置達到最佳的工作效果。

3.4.4 數據恢復軟件

數據恢復軟件不僅能夠有效地恢復硬盤、移動硬盤、U盤，還添加了對新型數碼存儲設備的恢復能力，如SD卡、CF卡、TF卡、記憶棒等數據。此類軟件運用多線程引擎技術，能夠高速地掃描硬盤底層數據。同時，采用多種高級分析算法，得以有效重建丟失的文件目錄和數據，恢復效果顯著。另外，該類型軟件所有的操作均在內存中完成，不會向硬盤內寫入數據，避免對數據的“二次破壞”，適合作為在線電子證據分析的工具。

3.4.5 硬盤數據恢復軟件

硬盤數據恢復軟件是一款全面的文件恢復軟件，使用此類軟件可以恢復出回收站刪除掉的文件、被Shift+Delete鍵直接刪除的文件和目錄、快速格式化/完全格式化的分區、分區表損壞、盤符無法正常打開的RAW分區數據、在硬盤管理中刪除掉的分區、被重新分區過的硬盤數據、一鍵Ghost對硬盤進行分區、被第三方軟件做分區轉換時丟失的文件、把整個硬盤誤Ghost成一個盤等。該類型的軟件大多使用只讀的方式來掃描文件數據信息，在內存中組建出原來的目錄文件名結構，因此并不會破壞源盤內容，比較適合在線取證工作時使用。

4 結語

目前，雖然我國在計算機犯罪取證技術的研究和應用方面已取得了一些經驗，但全面、系統、深入地研究計算機犯罪行為及其取證技術卻仍是理論界和實踐部門的重要任務。面對計算機犯罪，我們應當采用穩定且有效的推出技術和方法進行取證，做到高效、精準地收集計算機犯罪證據。另外，隨著法制的健全和刑事執法能力的提高，計算機犯罪終將得到有效的治理。

參考文獻

[1] 麥永浩，許榕生.計算機取證與司法鑒定[M].清華大學出版社，2009.

[2] 徐愛冬，廖根為.網絡犯罪偵查實驗基礎[M].北京大學出版社，2011.

[3] 徐愛冬.現場勘查[M].北京大學出版社，2011.

[4] 楊宗輝.偵查學方法論[M].中國檢察出版社，2004.

[5] 楊永川.計算機犯罪偵查[M].清華大學出版社，2006.