计算机取证技术及其发展趋势

姚靖



计算机取证技术及其发展趋势

姚靖

内蒙古包头市卫生学校，内蒙古 包头 014030

近年来，随着计算机网络技术的发展，很多计算机网络犯罪事件层出不穷，这使网络用户遭受了巨大经济损失。但是因为网络的虚拟性、不稳定性，很多计算机犯罪事件都找不到确凿、充分、有说服力的证据。需要制定出健全的网络法制法规，合理的利用技术控制手段以解决日益恶化的计算机网络信息安全问题。对计算机取证技术的发展进行深入研究。

计算机取证；发展趋势

1 计算机取证的定义及我国的发展现状

计算机取证国外将其定义为“从计算机中收集和发现证据的技术和工具”。我国计算机技术的发展较晚，但近些年来计算机发展迅速，计算机的普及变得明确起来。我国计算机取证的定义是指，将计算机调查与分析技术应用于对潜在的、有法律效力的证据的确定与获取。通常情况下，计算机取证可分为下面步骤：①调查现场，对现场进行搜索，保护寻找物力证据等，其具体实施需要达到现场，观察证据是否能够取走，不能取走的证据则需要作好记录，分析原因，检查计算机是否安全；②识别计算机所获得的证据，将证据进行分类分析；③数据传输。将获取的信息完整的保存至取证分析仪中；④数据存储。将原数据原封不动存储，确保其完整性；⑤计算机取证运用可显示方法进行分析，保证分析结果的准确性；⑥对相关部门依照法律程序进行证据提交。

计算机取证几乎是涵盖了所有的传统证据类型，主要包括文本、图形、动画、图像、音频与视频等各种各样的信息格式。目前为止，我国的计算机取证技术的发展较为简陋，只有少部分法律条文涉及到了一些简单的计算机证据取证方面的问题，而且还存在法律界对电子证据作为诉公证据的争议问题。但随着我国现行法律体系不断完善，我国的计算机取证的证据变得更具法律效力与可执行性，能更好地促进我国的计算机事业的发展。

2 计算机取证技术的发展趋势

因我国计算机技术发展较晚，在前期的计算机发展过程遇到一些问题，因此我国计算机发展还有很大的空间，而计算机取证技术伴随着计算机事业的迅速发展，今后也会有较大的发展。我国计算机取证技术的发展方向主要体现在以下几个方面。

2.1 取证技术应用工具的自动化和专业化发展

当今科技的迅猛发展，计算机犯罪已经到了无孔不入的地步，除了传统台式计算机、笔记本电脑、平板电脑、智能手机等都逐渐成为了计算机犯罪的新设备。因此加强计算机的取证技术就是当前亟待解决的任务，充分发展计算机的取证学科，将其作为一项综合性技术和重点学科来发展[1]。

2.2 多理论融合技术

多种理论结合的计算机取证技术有助于更好地打击计算机犯罪，并且有效地克服了计算机取证技术应用的局限性，其主要内容有：（1）磁盘数据恢复技术，传统的计算机磁盘数据恢复技术的恢复效果很差，恢复过程中很容易出现文件丢失、损坏现象；新形势下的磁盘恢复数据能够将各种数据有效地结合起来，在进行有效地分析，妥善保存。（2）反向工程，当计算机犯罪侵入主机时，可以应用Unix系统对其侵入程序进行数据分析，但是这种系统程序无法应用于反向工程，执行程序的加密和压缩使计算机取证技术无法更好地应用在反向工程中。

3 计算机取证过程

计算机取证的本质为对计算机软件或硬件系统进行检测借此还原入侵控制系统事件过程。他是对计算机的入侵、窃取、诈骗、控制、破坏等等一系列行为，按照正规法律程序的流程，使用计算机硬件或者软件上的技术，对法庭认可的、有说服力的、储存在计算机或者相关网络中电子信息数据进行证据提取、传输、存储、认证与提交的一系列过程。

3.1 取证的程序

要想获得有效的证据就要先将证据固定。证据固定了在后面的剖析、陈述的过程中才不会改变。电子证据比较容易修改，具有不固定性，因此一旦决定需要电子证据，首先应该做的是进行固定证据程序，避免有效证据的丢失。证据剖析对于剖析案件具有重要性。电子证据具有信息量是很大，杂乱的特点，所有证据都要进行整理以后才可以利用。要求在取证时对证据进行全面有效地剖析，进行数据的挖掘和整合，使它能够很清晰的展示出案情相关的信息。这个阶段要求我们能够证明电子证据获取的途径的有效性，并明确分析的过程，并且能够合理地引用电子证据分析的结果对案情进行全面仔细的陈述。

3.2 证据的获取

首先需要对所需要的数据进行收集；其次，分析所有收集的数据；收集的数据是有风险性的，它会有遗失线索，损害证据，从而选择的人比较少，所以对收集到的数据进行分析。收集时需要注意：在搜集电子证据时，应该把注意力集中在要收集的内容上而不是硬件上。对于加锁解密技术，计算机取证时需要将加密数据解密。现阶段使用的密码技术主要有防火墙、安全路由器、口令提取、黑客入侵检测等，主要手段是进行口令提取，从电子文档中搜索口令，进行口令提取，然后恢复口令。很多电脑系统口令是在相应的规定区域或注册表，在相关区域获得口令，再用密码钥匙恢复机制在高级管理员处得到口令。

3.3 恢复删除的数据

一般情况下文件系统是用来存放和保存数据的，是供计算机系统进行访问。文件系统大多以元数据归纳每一个文件的信息。基本上元数据都位于目录入口，但是也有一些元数据不同，它位于特定的文件或是其他位置。当某个文件是目录被删除时，与之有关系的元数据就会被系统隐藏，处于没有激活的状态。但其实它并没有删除，通过系统的查找还是能查到的。但不是全部文件的内容都可以访问到。这主要是依靠元数据的结构和原始格式。大多情况下能够识别出应用的文档特征，在所有的硬盘中搜索符合相同特征的数据，从而达到恢复数据的目的[2]。

3 结语

计算机取证技术是一个逐渐成熟的研究领域，在打击计算机犯罪中会发挥着至关重要的作用。但在发展过程中，其研究方向更注重于相应的入侵防范技术，不是很重视网络犯罪。因此，发挥整个社会的道德的引导与加强相关法律的完善对制约网络犯罪来说非常重要。

[1]王玲，钱华林.计算机取证技术及其发展趋势[J].软件学报，2003，14（9）：1635-1644.

[2]曾学军.计算机取证技术的发展困境与前景[J].商业时代，2009（28）：107-108.

TP399-C2；D918

A

1009-6434（2016）02-0066-01