計算機取證技術的運用分析

顧艷林

［摘要］ 本文基于工作經驗，分析了計算機取證技術在偵查網絡犯罪中運用的現狀，指出了計算機取證技術運用中存在的一些問題，并著重介紹了增強運用意識，普及理論知識，發展取證技術，培養專業人才，規范取證過程，健全相關法律等多種應對措施及其具體運用。希望給相關人員一些啟迪和思考，在這方面深入探索和研究，積極促進計算機取證技術的發展依靠新的技術手段來大力打擊網絡犯罪。只有通過全面有效的發揮計算機取證技術的作用才能促進網絡安全，為我國人民正常地運用網絡提供安全穩定和諧的環境。相信在計算機取證技術日益發展的過程中能夠有效地打擊各種犯罪行為，為我國創造一個良好的網絡環境。

［關鍵詞］ 計算機取證技術； 運用研究； 應對策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 04. 040

［中圖分類號］TP39；D918.2［文獻標識碼］A［文章編號］1673 - 0194（2012）04- 0065- 03

隨著信息時代的來臨和網絡技術的進步，網絡安全已經成為人們日益關注的話題。由于網絡安全體系的不完整、相關法律制度的不完善以及技術上的局限，很多犯罪分子憑借其高超的技術利用網絡中的缺陷來從事違法犯罪行為，給網絡安全帶來了非常大的隱患。在這種情況下大力發展計算機取證技術已經成為必然選擇。近年來，我國的計算機取證技術開始有所發展，但是與國外的一些國家相比仍然存在著相當大的差距，為此，有關部門應該要提高認識增強信心積極采取措施使計算機取證技術能夠盡快地、有效地運用到社會生活中。

１計算機取證技術運用的現狀

當前計算機取證技術在我國司法領域還沒有得到有效的運用，綜合相關信息主要是因為我國相關部門還沒有引起足夠的重視，特別是對計算機取證是否合乎法律能否成為法庭上的有力證據還存在著相當大的爭論。由于在對取證技術的認識上存在著一定的偏差且該項技術還沒有得到充分的發展，因此要積極關注計算機取證技術的現狀，尋找其中的問題，并積極采取措施進行解決。

１．１運用意識不強，理論知識缺乏

計算機取證技術作為一種新的取證手段，是處于計算機和法學之間的一種邊緣學科。這種技術雖然有所發展但還沒有被廣泛地運用到網絡犯罪的取證中去，這主要是因為有關人員的運用意識不強。運用意識不強的主要是那些受傳統取證思想束縛的網絡犯罪調查人員。由于計算機取證技術是對傳統取證規則的一種挑戰，因而對很多人的思維模式產生了一種沖擊。很多人都認為要使電子證據被人信服就必須要制定一種標準來判斷電子證據的真實性可靠性，而這種標準的制定是不統一的。除了運用意識不強外很多人對于計算機取證技術的知識也非常匱乏，電子證據具有無形性和脆弱性，因為電子證據不能為肉眼所見且非常容易被更改，這就使得人們對計算機取證技術的實用性存在著相當大的懷疑。取證必須及早進行，在進行的過程中要保證電子證據的連續性和完整性并要實現取證過程的全程監督，這是非常困難的。這也是相關人員對于計算機取證理論知識缺乏的一個重要表現。

１．２技術發展乏力，專業人才缺乏

計算機取證技術是獲取電子證據的直接手段，要充分發揮電子取證技術的作用需要不斷地發展計算機取證技術，但很多有用的技術都沒有取得突破性的發展。對于網絡犯罪調查人員來說，計算機取證技術按是否與網絡連接為分類標準，大體包括兩種取證技術，一種是基于單機的計算機取證技術，另一種就是基于網絡的計算機取證技術。前者中包含的比較常見的一種技術是數據恢復技術，通常情況下犯罪分子會將記錄在磁盤上的犯罪證據格式化以消除證據，其實這些數據仍然還保留在磁盤中只不過是被轉換了結構而已，只要這些證據存在過就可以被恢復，在這個過程中還可以依靠磁盤映像拷貝技術將證據逐字節地拷貝下來，但我們對這些技術卻沒有引起足夠的重視因為太容易被忽視了。在基于網絡的計算機取證技術中比較常用的是ＩＰ地址獲取技術，調查人員可以通過系統日志和與被調查者直接對話以獲得對方的ＩＰ地址，并利用全球ＩＰ地址分配表來定位該地址并采取適當的行動，可是這種技術也沒有被充分利用。當然，與相關技術配套的專業人才也沒有實現技術創新甚至很多相關技術領域的精英人才也非常少。

１．３具體實踐困難，法律漏洞較多

計算機取證技術與傳統的取證技術相比有非常大的優勢，然而在使用的過程中卻存在著相當大的困難。具體的表現在以下幾個方面：首先，電子證據的產生、傳輸、保存都需要高技術和先進設備的支持；其次，電子證據的形成需要處理好計算機網絡運轉過程中的各個環節，非常容易影響到計算機系統的運行；第三，取證的過程需要多方監督，獲取的電子證據也要經過嚴格的鑒定，這就對各個環節的緊密性和技術性要求非常高，因而加大了計算機取證技術運用的實際難度。除此之外，法律的漏洞也使得計算機取證的真實性和可靠性難以獲得認可。我國關于計算機取證技術的相關立法還不多且沒有形成一個完整的系統因而給不法分子很多漏洞可鉆。關于計算機取證的原則和過程沒有得到法律上的確切的承認，對于電子證據的鑒定標準也存在著一定的歧義，所以盡快彌補相關的法律漏洞也是非常必要的。

２如何提高計算機取證技術的運用水平

計算機取證技術的運用受到很多方面的制約。特別是取證手段和電子證據要得到法律承認，專門的電子證據鑒定部門也要科學地制定電子證據認定合格的標準。在這種情況下一方面要妥善處理好立法方面的工作，另一方面要堅定地發展新的計算機取證技術以確保在調查犯罪中能夠發揮出計算機取證技術的重要作用。針對計算機取證技術中存在的相關部門必須要及時地采取有力的解決措施。

２．１增強運用意識，普及理論知識

為了使計算機取證技術能夠得到更廣泛的運用，有關部門應該增強計算機取證技術的運用意識。一方面要認識到新的犯罪形式的產生直接造成的證據的多樣性，即電子證據同樣可以反映犯罪分子的犯罪事實；另一方面也要認識到計算機取證在新的情況下擁有更大的優勢。除了要增強運用意識外還應普及理論知識，這些理論知識主要包括具體的取證技術和其運用的具體環境。計算機取證技術網絡入侵追蹤技術就是一種非常實用的取證技術，通過獲取ＩＰ地址來實現對攻擊源的追蹤。要使相關調查人員獲得這些技術方面的知識就需要對這些知識進行系統的總結和普及，相關部門在普及計算機取證技術理論知識的過程中應該從以下幾個方面來采取應對措施：首先，司法部門和取證技術監督部門要盡快制定一套符合我國法律標準并合乎取證實際的規章制度，將各種取證技術進行系統的歸類總結，在相關司法體系和調查隊伍中進行普遍宣傳；其次，可以讓一批具有專業知識且經驗豐富的辦案人員對廣大學員進行面對面的交流，通過案例剖析和經驗傳授來達到理論知識傳授的目的，這對于廣大辦案人員了解取證過程協助辦案具有非常重要的作用，既不會在無意中破壞取證現場也可以確保取證的順利進行；最后，各級辦案人員要增強自身的法律意識特別是要提高對于網絡犯罪和電子證據的認識，在此基礎上加深對計算機取證技術的認識，從而對辦案手段有一個更加清晰的了解，這對于提高辦案水平加大對犯罪分子的打擊力度具有非常重要的作用。相信在有關部門的共同努力之下一定能夠在這方面取得巨大的進步并使計算機取證技術能夠真正在實際調查和最終審判中發揮應有的作用。

２．２發展取證技術，培養專業人才

針對計算機取證技術發展乏力的現狀，應該主要從以下幾個方面采取措施積極發展取證技術：首先，要集合相關方面的專業人才對需要深入發展的技術進行收集匯總并有步驟地進行系統的發展；其次，要設立專門的取證技術研究部門，只有設立專業的研究機構才能使取證技術發揮較強的作用；最后，發展取證技術要以取證的實際需要為出發點，只有這樣才能實現技術的更新換代并為打擊犯罪分子提供必要的技術保障。取證技術中的動態取證技術和電子證據相關性分析技術在為調查人員提供電子證據并驗證證據的可靠性方面起到非常重要的作用，其主要的立足點是網絡安全工具，需要專家對協議層的網絡數據進行系統的分析。發展電子證據相關性技術需要有關人員尋求科學的算法對各證據源數據進行科學的分析以判斷其相關性，這樣才能實現將犯罪事實完全反映出來的目的。在人們積極強調發展計算機取證技術的同時，有些不法分子也在相對應地發展反取證的技術，這是一場犯罪分子和調查人員之間的競賽，毫無疑問，只有調查人員時刻抓住時代發展的脈搏積極尋求新技術的突破才能實現持久有效地打擊犯罪的愿望。除了發展取證技術外還應該積極培養專業人才，因為只有培養出一大批相關的技術人才才能將這些技術恰到好處地運用到實際的調查過程中。為此，應該從以下幾個方面積極采取必要的措施：

首先，要成立相關的計算機取證技術人才培養中心，特別是要建立計算機取證技術人才培養中心與相關司法部門之間的關系，特別是要利用科研機構和高校等比較健全的組織來完善人才培養體制以實現計算機取證技術的普及和推廣。

其次，要與其他國家計算機取證技術研究組織建立必要的聯系，可以選派一批優秀的人員去學習交流以實現技術上與國際對接的目的，當然在經驗交流上也可以取得非常重要的收獲。

最后，培養計算機取證人才還要增強人才的法律意識和責任意識，只有這樣才能確保人才能夠盡職盡責地做好本職工作。通過取證技術往往能夠為案情的偵破提供非常重要的證據。以電信行業和計算機行業中的欺詐案件為例，很多人在進行欺詐的過程中往往會在計算機中遺漏一些線索，辦案人員通過查詢系統日志或通訊記錄以及磁盤中的文件往往能夠找到相關的違法犯罪證據，辦案人員可以順藤摸瓜利用相關的電子證據對違法犯罪分子采取必要的措施并為最后的定罪做好各方面的準備。由此可見，計算機取證技術在偵查違法犯罪案件中具有非常重要的作用，通過采用計算機取證技術可以提高辦案人員的工作效率。

２．３規范取證過程，健全相關法律

由于計算機取證技術非常復雜，需要高技術和先進設備作為取證的工具，因而取證過程往往是一個非常艱難的過程。為了規范取證過程應該從以下幾個方面積極采取措施：首先，要將取證過程分為物理證據獲取和信息發現兩個部分，在物理證據獲取方面要注意保持計算機的原貌，不能進行與取證無關的操作，特別是不能讓犯罪分子有機會將證據進行銷毀，面對大量的證據要利用強大的高速磁盤復制功能以盡快地將電子證據儲存起來，在信息發現部分則要將犯罪嫌疑人在計算機上的工作過程進行還原以獲得有價值的信息，信息發現是建立在物理證據獲取基礎上的一種非常重要的信息分析功能；其次，規范取證過程還應立足于發展自動化、專業化、智能化的取證工具上，只有利用這些科學的取證工具才能確保取證過程的規范；最后，要確保取證過程中的信息保密防止信息外泄，獲取的電子證據應該連續且在相關部門的監督下完成，只有這樣才能實現取證過程的規范合理。當然，除了規范取證過程外還應該要健全相關法律，必須從法律角度規范計算機取證的合法性并保證取證結果是符合案件調查需要的。

加強法律保障應該從以下幾個方面著手：首先，要考慮傳統取證手段的正常程序，特別是應該借鑒在這方面已經取得一定成效的相關的法律；其次，要盡量考慮到取證立法不會損害公眾的利益，特別是要充分考慮取證過程中會引起的網絡系統運轉不協調的情況；最后，要總結經驗教訓特別是要根據新的形勢的需要進行一些符合實際的更改和變動。相信有了如此完備的法律做保障，并在技術和程序上進行完善，一定能實現取證的突破，為案件的調查和審判提供便利條件。計算機取證技術必須要在法律的范圍內按照程序來辦事，可以通過商業間諜犯罪案例來進行說明，隨著商業競爭的加劇，有些企業試圖通過不正當的手段來獲取商業機密以擊敗自己的競爭對手來贏得勝利，計算機無疑是最重要的獲取商業機密的工具，在網絡安全并沒有達到絕對安全的情況下往往可以輕易地實現這種目的。調查人員可以著眼于此利用計算機取證技術來獲得犯罪分子的犯罪證據，當然在程序上可以充分地得到相關法律的支持。可以說，利用計算機取證技術是實現辦案快捷的重要途徑。

３總結

總而言之，發展計算機取證技術是當前促進取證發展的一個非常重要的手段，也是在新時期適應證據多態性的一個必然選擇。在網絡技術迅猛發展的今天，充分發揮計算機取證技術在各種違法犯罪特別是網絡犯罪中的作用具有非常重要的意義。只有順應形勢促進計算機取證技術的發展才能推動辦案審判水平的提高，為確保人民生命財產安全提供必要的保障。雖然目前實現發揮計算機取證技術在整個行業中的作用還面臨著相當大的挑戰，但相信在有關人員的共同努力之下一定能夠取得突破。

主要參考文獻

［１］ 尉永青，劉培德． 計算機取證技術研究［Ｊ］． 信息技術與信息化，２００５（４）．

［２］ 錢桂瓊，楊澤明，許榕生． 計算機取證的研究與設計［Ｊ］． 計算機工程，２００２（６）．

［３］ 王玲，錢華林． 計算機取證技術及其發展趨勢［Ｊ］． 軟件學報，２００３（９）．