本站原创摘 要:计算机犯罪属于一类破坏性极大的犯罪,必须对其进行严厉查处和打击,而进行计算机取证是对犯罪行为进行打击的重要性技术,是对案件进行侦破的关键性环节,如:证据获取、对犯罪嫌疑人进行确定等.目前,计算机取证技术还是一个比较前沿的新兴领域,其主要的研究内容主要是对数字证据进行获取,并对相关的技术细节进行确定,从而为打击计算机犯罪提供一套操作性强、应用范围广的实践取证标准,以获得关联性强、客观、合法的电子数字证据.但由于受到某些方面的技术条件限制,计算机取证技术在运用和发展过程中还面临着许多的困难,如:反取证技术使证据得到隐藏或删除导致取证无效等.本文将结合笔者的实际经验,围绕计算机取证技术展开探讨,阐述了计算机取证技术的含义,分析了计算机取证技术的取证流程,并对计算机取证技术所面临的困难及作案规律进行了总结,以对相关工作人员提供某些参考性意见.
关 键 词:计算机犯罪;计算机取证;犯罪证据;技术困难;入侵
中图分类号:TP399—C1文献标识码:A文章编号:1007—9599(2012)14—0000—02
一、引言
随着网络信息技术的快速发展及普及,计算机技术在给人们日常生活及工作带来方便的同时,也潜伏着各种各样的信息危机.近年来,计算机在各个领域得到了极为广泛的运用,已经成为了一种普通的应用工具,而犯罪分子也将其作为了常用的犯罪工具,计算机犯罪案件也层出不穷,如:计算机诈骗、电子商务纠纷、网络攻击、资料信息的篡改及窃取等.这是一种极为高科技的犯罪形式,其基本的犯罪证据多以数字形式出现,并通过网络及计算机进行传输及存储,包括源代码、文件、记录等,形成电子证据.但在对电子证据进行获取的过程中,由于正常数据同电子证据往往会混杂在一起,易销毁、篡改,使得提取工作的开展比较的困难.因此,对其进行获取、传输、分析及存储就需要严格按照相关程序并采用独特的技术手段,使证据的有效性、真实性及合法性得以保证.然而目前我国的计算机取证技术还存在着一定的技术缺陷,其发展也面临着一定的困难,这些都迫切需要我们去研究去解决,以对计算机高科技犯罪进行严厉的打击.
二、计算机取证的概念性分析
(一)含义
在我国计算机取证(ComputerForensics)通常也称作电子取证(DigitalForensics),同计算机技术科学及法学有着十分密切的联系,属于这两种学科的交叉科学.其主要是对科学的技术方法加以运用,对计算机犯罪资料进行证明及提取,并将从电子数据源所获取的电子证据加以收集(Collection)、鉴定(Identification)、验证(Validation)、解释(Interpetation)、分析(Analysis)、保护(Preservation)、存档(Documentation)及出示(Presentation)等,以对犯罪事件进行重构,或对某些同当前操作计划无关的侵权性活动进行分析,以助于对犯罪行为进行有效地打击,对人们的财产及信息安全加以保护[1].
(二)来源
计算机取证的主要的信息来源通常包括以下几个方面:计算机的主机系统、网络及其他的电子设备.
1.主机系统
计算机主机系统方面的证据主要有:用户的自建文档及保护文档,创建文件,以及在其他的数据区域内的数据证据.
2.网络方面
网络方面的证据包括:网络通信中的实时数据流;网络安全设备,包括IDS的日志、防火墙等;网络设备,包括在交换机或路由器上存在的记录;各类的网络接入系统;登录日志及相关的网络日志等.
3.其他电子设备
其他电子设备方面的证据包括:在电子记事本、PDA等设备中存在的、地址簿、簿、计划任务表及E—mail信息等.在视频捕捉卡、头等设备中存在的视频、影像、声音信息及日期时间标记等.
三、计算机取证的基本流程
要对计算机犯罪的相关证据进行获取,通常可以从以下环节做起:第一,做好取证准备.对取证的条件及环境进行客观的分析;第二,进行现场勘查,对证据加以固定.保障获取证据的合法性;第三,进行相关的数据分析,有效的对证据加以提取.对所获取的重要数据信息进行详细的分析及处理,将与案件有关的数据进行确定,对犯罪事实加以证明,确保案件同数据的关联性.第四,呈递有效证据.将所获取的有效电子证据进行鉴定后,对犯罪定性加以保证[2].在整个取证过程中,数据的分析及证据的固定是极为关键的环节,同时也是两个技术性含量最高的环节.计算机取证的基本流程如图1.
证据固定计算机取证在证据固定环节必须严格根据相关的操作规范有序的展开,在获取过程中必须选择专业的数据信息技术,对存储介质中所包含的每一个字节都要进行精确的复制,保存也要选择连续的文件片段或单独的文件来完成.同时,证据文件的基本格式还要同法庭所认定的相关要求相符.目前,ExpertWitness证据文件格式及LinuxDD镜像格式是在国际法庭得到普遍接受的电子证据格式.
数据分析
计算机取证在数据分析环节必须保障辅助设备的可靠性及安全性,同时还必须保证在取证和进行数据分析的过程中信息网络系统的稳定性,从信息网络系统及设备中对原始数据进行获取也要保证不受到其他信息的干扰,在对原始数据进行分析之前,需要完成对原始数据的相关数字签名.有关取证人员对犯罪证据进行寻找其关键在于:第一,保障所找到的相关犯罪证据必须是没有被篡改过的原始数据;第二,这些所找到的数据可以在取证软件中准确的找到;第三,取证人员必须对这些文件有所了解,并能够准确判断此类文件同犯罪事实是否密切相关.
四、计算机取证技术所面临的困难
近年来,计算机取证技术在计算机的安全领域中已取得了较为显著的成果.但计算机取证技术还是存在着许多的局限性和不足,计算机取证技术的运用及发展还是面临着许多方面的困难.通常情况下我们所讲的计算机取证技术需要在相关电子犯罪证据还没有被完全覆盖的情况下进行,才能够顺利的找到和发现这些数据证据.但就目前而言,许多的犯罪团伙其犯罪技术日益高超,并运用反取证技术对相关取证人员的正常调查取证行为进行阻止,其所采用的手段包括:跳板及数据隐藏、擦除、加密等.某些还将这些手段进行联合使用,给计算机取证工作的顺利开展带来了极大的困难.