計算機犯罪與計算機犯罪取證技術發展的研究

摘要：如今的計算機和計算機網絡充斥著各種犯罪活動，與現實生活中的犯罪活動不同的是，目前對網絡犯罪的監管力度遠遠低于現實生活中的犯罪活動，并且由于計算機罪犯往往可以不受限制的獲取進行犯罪所需的專業知識，實施犯案行為不受地域限制，并具有高隱蔽性的特征，所以增長十分迅速。計算機犯罪已經不是單靠防御就能解決問題，而是需要更多的主動性手段來打擊和威懾計算機犯罪。

關鍵詞：計算機犯罪；計算機取證

中圖分類號：D917 文獻標識碼：A文章編號：1009-3044(2008)34-1813-02

On Computer Crime and Computer-related Crime on the Development of Evidence

LI Shu-lin， TANG Jun

(HUnan Urban Construction College， Xiangtan 411101， China)

Abstract: Today's computers and computer network replete with various criminal activities， and the reality of life in the criminal activities of different is that the supervision and management of network crime far below the real life criminal activities， and because criminals can often not computer restricted access to the necessary expertise crime， the crime of not subject to geographical constraints and a high concealed its characteristics， so growing very rapidly. Computer crime is not to rely solely on defense will be able to solve the problem， but the initiative needs more tools to combat computer-related crime and deterrence.

Key words: computer crime; computer forensics

1 引言

我國第一例計算機犯罪出現在1986年7月22日，港商李某前往深圳市人民銀行和平路支行取款，計算機顯示其存款少了2萬元人民幣。兩個月后，迎春路支行也發生了類似情況，某駐深圳辦事處趙某存入銀行的3萬元港幣也不翼而飛。通過偵查發現上述兩筆存款均被同一犯罪分子利用計算機知識偽造存折和隱形印鑒詐騙而去。從此以后，原來只在報道中看到的在國外才有可能出現的計算機犯罪現象，之后在國內也頻頻發生。到1990年，我國有案可查的計算機犯罪案件全國共發生130多起。

2 計算機犯罪的特點

近年來，計算機犯罪呈現出了一些特點，主要表現在以下幾個方面：

1) 高智商性： 計算機是現代社會科學技術發展的產物，計算機犯罪則是一種高智商的犯罪，這種高智商體現在：①作案者多采用高科技犯罪手段。②犯罪分子犯罪前都經過了精心的策劃和預謀。③犯罪主體都具有相當高的計算機知識，或者是計算機領域的拔尖人才，有一些還是從事計算機工作多年的骨干人員。

2) 做案動機簡單化：計算機犯罪中，大多數犯罪主體精心研制計算機病毒，破壞計算機信息系統，特別是計算機黑客，他們犯罪的目的很多時候并不是為了金錢，也不是為了權利，而是為了顯示自己高超的計算機技術，他們認為這些病毒的傳播就是他們成果的體現，通過這種方式來認可自己研究成果，其目的之簡單有時令破案者都吃驚。

3) 實施犯罪容易：只需要一根網線，就能夠對整個世界實施犯罪。這反映了網絡犯罪特別容易實施，很多犯罪活動在網吧中就可以進行，如此方便的實施手段給計算機網絡犯罪創造了孳生的環境。從1996年以來，我國的計算機網絡犯罪數量呈直線上升。自動化的病毒生產機和木馬生成器大大降低了計算機犯罪的門檻，讓許多未成年人也能夠容易的實施計算機犯罪。

4) 教強的隱蔽性： 計算機犯罪分子作案大都比較隱蔽，這種隱蔽性不但體現在犯罪行為本身，還體現在犯罪結果上。計算機犯罪侵害的多是無形的目標，比如電子數據或信息，而這些東西一旦存入計算機，人的肉眼無法看到，況且這種犯罪一般很少留有痕跡，一般很難偵破。

5) 巨大的危害性： 計算機犯罪所造成的損失往往是巨大的，是其他犯罪所無法比擬的，2000年據美國“信息周研究社”發表的研究報告稱，全球今年因電腦病毒造成的損失將高達150000億美元。

3 我國懲治計算機犯罪的刑事立法

我國相關部門在防治和打擊計算機犯罪做了大量的工作，要打擊犯罪，必須先立法，健全的法律是打擊計算機犯罪的前提條件。我國的相關立法如下：

1983年，國務院批準在公安部組建計算機管理和監察司，負責全國計算機安全工作，制定計算機安全法律、法規、以及進行犯罪偵破和懲治。

1988年，公安部完成《中華人民共和國計算機信息系統安全保護條例》（草案），到1994年2月18日才開始實施

1996年8月，公安部修改刑法領導小組辦公室通過了《危害計算機信息系統安全罪方案》（草稿），建議在刑法分則侵犯財產罪和妨礙社會管理持續罪中，設置危害計算機系統安全罪的條文。

《全國人民代表大會常務委員會關于維護互聯網安全的決定》在九屆全國人大常委會第19次會議表決通過。

4 計算機犯罪取證

光有法律并不能完全解決問題，計算機犯罪隱蔽性極強，可以足不出戶而對千里之外的目標實施犯罪活動，甚至進行跨過犯罪。并且一般在實施犯罪活動前會先通過某個國家預先被“黑”掉的主機為跳板進行犯罪活動，這樣更加增大破獲犯罪活動的難度。因此破獲計算機犯罪活動也是高智商的活動，其獲取犯罪證據的方法也與普通證據收集的方法有所不同。

“計算機犯罪取證”(Cybercrime Computer Forensics)又稱“數字取證”或“電子取證”，是指利用計算機軟硬件技術，以符合法律規范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看，計算機犯罪取證是一個對受侵計算機系統進行掃描和破解，對入侵事件進行重建的過程。它融合了計算機和刑偵兩個專業領域的知識和經驗。具體而言，是指把計算機看作犯罪現場，運用先進的辨析技術，對計算機犯罪行為進行解剖，搜尋罪犯及其犯罪證據。

5 計算機犯罪取證的流程

計算機犯罪取證將計算機系統視為犯罪現場，運用先進的技術工具，按照規程全面檢查計算機系統，提取、保護并分析與計算機犯罪相關的證據，以期據此發起訴訟。計算機犯罪取證工作主要圍繞以下兩個方面進行：證據的獲取和證據的分析。本文著重介紹證據采集方面的技術方法、流程和原則。

1) 準備工作：無論如何，準備的越充分，就越有可能順利的完成調查工作，也越有可能保證證據被完整的采集。在這里主要介紹需要準備的軟件和硬件方面的工具，當然，如果事先總是在背包里放一些記錄工作流程、問詢信息的空白表格，工作肯定會更加有條不紊而且更具專業素質。通常來說調查人員并不擁有超級技能，所以使用的工具從很大程度上決定了工作能有多出色。

首先，我們應該制作各種操作系統的基本工具集。這樣做主要是因為攻擊者通常會替換受害機器的二進制命令，如果利用被調查機器中的程序進行工作，產生的結果可能與期望中的全然不同。

在采集證據的過程中最主要的工作就是對各種介質進行鏡像。Class UNIX環境下，dd是能夠完成這項工作的通用命令，盡量在你的工具包里包含各種類型、各種版本Class UNIX系統的dd命令吧，通過它可以很容易地為被調查機器的整個驅動器制作一個鏡像。Windows平臺上也有很多類似的軟件，通常選擇Ghost來完成這項工作。

用于存放證據的存儲介質一定要事先進行處理，使用公認可靠的數據擦除軟件進行擦除，以避免介質中的殘余數據對證據的分析和取信造成影響。

在存儲證據時，最常用的硬件設備是移動硬盤，除了應該具備盡量大的容量之外，硬盤盒的接口也應該盡量豐富，至少應該同時擁有IDE、SCSI、PCMCIA等常用接口的移動存儲設備。除了這些，現在市場上還可以購買到很多專用的調查設備，比如以Forensic MD5為代表的手持式取證設備，以及Forensic Computer出品的便攜式取證箱等等，這些產品在復制數據的時候速度很快，具備豐富的讓你不敢相信的接口，可以應付各種取證要求，而且便于攜帶，是計算機犯罪取證人員真正的百寶箱。

2) 根據情況做決定：在這里我們需要根據所發生的安全事件類型決定我們應該采取怎樣的工作步驟，在一臺Internet主機上發現非法的登錄和局域網服務器上被隱秘的存放了一些惡意程序明顯應該使用不同的方法進行調查。同時我們還需要征詢計算機設備擁有方的意見，他們可能想徹底的調查該事件并提出起訴，也可能只想大致評估一下目前的狀況可能造成的損失，值得注意的是，即使面對的是后一種情況，我們仍需要對證據進行符合手續的處理，也許幾個月后我們的委托人突然覺得，應該教訓一下冒犯他的家伙。

3) 生成鑒定副本：在進行實際取證工作的時候我們需要遵循一個重要的原則：“盡量避免在被調查的計算機上進行工作”。一方面是因為我們在犯罪環境中所做的操作越多，我們就越無法證明提取的“證據”還是原來的樣子，而對訴訟過程產生影響；更重要的是可能會對“犯罪現場”造成破壞，而永遠失去那些證據，也許一個“應該”無害的命令就可能引起侵入者的警覺，或觸發了事先設定好的處理機制，導致證據被銷毀。

在已經關機的設備上，我們首先要做的是利用準備的工具為所有的數據介質生成鑒定副本。再次提醒大家，除了盡量避免在被調查的機器上操作，我們也不能在該計算機上進行分析和檢查，我們制作鑒定副本的主要目的就是在盡量少接觸被調查機器的情況下進行證據分析，對原始介質的操作可能使其完全喪失做為證據的可信性。

有些情況下我們無法獲取完整的鑒定副本，例如被調查的機器不支持任何熱插拔設備，而內存中重要的罪證正在運行，我們就只有在開機狀態來獲取證據了。這種情況下需要特別的小心，以避免對證據的破壞。我們應該在整個取證過程中詳細的記錄操作的步驟、方式、方法和時間等。

4) 鑒定副本的管理：在獲取了所有證據之后，應該妥善封存被調查的機器和設備，連同生成的鑒定副本一同加入“證據保管鏈”，以待進行下一階段的分析工作。保管鏈的意義主要在于每次對被保管物的使用和變更都能夠被記錄和驗證。

在實際工作中會為每一項證據（甚至我們的工具包）粘貼保管標簽，在保管標簽上必須體現的內容包括證據的來源、生成的時間、證據當前的保存位置、證據轉手時的位置、證據轉手的原因以及保管人和接手人的簽字，必要時可以增加第三在場人進行簽字以做為證明。因為證據大部分情況下是以數字形式進行保存的，我們還可以利用數字簽名技術為證據生成電子指紋，這種方式對于證明原始證據沒有被變更是比較有說服力的。

6 總結

隨著計算機的不斷發展，計算機犯罪也在發展，犯罪的數量在大幅度的提高，破壞性越來越大，給國家和社會造成了很大的損失，目前國內已經形成了一條計算機犯罪的“黑色產業鏈”。對付計算機犯罪需要采取預防和打擊相結合的方式，一手加強信息系統的安全建設，另一方面公安機關要加強計算機犯罪的打擊力度。而計算機犯罪取證技術的發展能夠為計算機犯罪案件的偵破提供破案線索和證據。

參考文獻：

[1] 王一心.淺析計算機網絡犯罪及對策[J].中國電子教育，2007(4):31-32.

[2] 陳海燕.論我國計算機犯罪新的特點和對策[J].信息安全與通信保密，2007(11):42-43.

[3] 王彩玲.網絡犯罪的調查取證初探[J].中國科技信息，2005(23):88-89.

[4] 羅文華，胡欣，吳連鋒.計算機犯罪現場的認定[J].警察技術，2007(3):35-36.

[5] 吳小平.計算機系統遭到犯罪入侵后的電子證據取證[J].河北公安警察職業學院學報，2007(2):33-34.

[6] 張鑫.計算機病毒犯罪案件淺析[J].信息網絡安全，2007(9):23-24.