計算機取證系統技術的探討與研究

1引言

隨著社會的發展和科技的創新，計算機網絡技術得到了廣泛的利用和發展，各種網絡攻擊附屬在許多網站，因此人們的網絡環境并不是十分的安全。這會使得不法分子利用已有的資源，輕松的繞過電腦的防御系統，對網站等進行肆意的攻擊。通過計算機進行網絡犯罪越來越普遍，其犯罪形式具有很強的隱蔽性，因此不同于傳統犯罪的形式，計算機網絡的犯罪偵破工作變得十分困難。當前計算機網絡犯罪逐漸的趨于國際化，因此對于進行計算機防御工作的成本逐漸增加，而對于網絡犯罪的成本逐漸降低。

計算機取證技術是通過搜集大量的計算機網絡證據和數據，通過有效的方法對數據進行分析。我國計算機取證技術起步的較晚，現在還處于發展階段，相關的法律法規正在逐漸的完善。因此我國如今的計算機取證技術存在了一些列的問題。首先，為我國計算機取證技術剛開始起步，現在的工作大多止步于理論研究，而對于取證的方法與工具還沒有進一步發展。其次，相關的法律法規不夠完善，對于網絡犯罪相應的取證技術沒有一個共同的文案。同時網絡防御系統最終還是要提高人的網絡防護意識。

2取證系統的感念

2.1取證概述

所謂的計算機證據是指網絡犯罪分子通過運行計算機網絡，而產生的一些電子信息以及數據。由于計算機網絡存在大量復雜繁瑣的數據，因此不能將所有的數據都認為是電子犯罪證據，通常電子證據分為三類：（見表1）。

電子證據有很多特點，通過了解這些特點可以大大提高網絡犯罪的偵破效率。首先電子證據與傳統意義上的電子記錄信息不同，其存在了一定的易毀性，如常見的硬盤，如硬盤內存被毀壞，這會使得電子證據不可修復的，因此這為電子犯罪偵破工作帶來困難。其次電子數據的種類繁多，除了其特有的電子數據形式，還包括了所有的傳統電子信息類型。

2.2電子證據的信息源

電子信息源通過依附在不同的載體，可以分為軟件信息源，硬件信息源。由于獲得電子信息源的方式的不同，就是的取證人員熟悉并掌握不同的取證方法，通過這些方法可以有效的取得電子證據，從而不會由于去證時破壞了電子信息而造成偵破工作的難度。表2介紹了三類電子證據的信息源。

3取證技術

3.1取證的靜態反應

取證的其中一種方法是靜態取證，這種取證方法較為保守，是通過電子信息運行完成后，對計算機進行計算機犯罪信息的恢復，其基本可以概述為，通過法律的有效途徑對已經被損壞的電子信息進行有效的恢復的提取的工作。

其基本的取證方式為，在發現案情后，先確認電腦是否處于開機狀態，若處于開機狀態則進行有效的在線取證，同時要保護好現場。若電腦不處于開機狀態，則需要進行離線取證，即進行電腦克隆工作進行取證。這種取證方法，優點是理論和實踐經驗比較成熟。而缺點是取證途徑比較單一，由于如今電子犯罪途徑和手段不斷更新，這種取證方法可能會導致一部分電子信息的丟失。

3.2取證的動態反應

取證的另一種方法是動態取證，這種取證方法較為多樣，這種方法可以有效的將取證技術與防御技術合理的結合，通過電子記錄傳輸的信息，進行智能識別，同時提出一些防御建議，使得網絡受到最大程度的保護。

動態取證有很好的實時控制，計算機網絡受到攻擊時，動態取證能及時的取得受攻擊的信息，以避免進一步的損失，同時動態取證的防御系統可以進行有效的防御措施。常見的動態取證技術為入侵檢測。這種方法主要以被動的形式進行防御，對于舊的入侵方式可以通過數據庫的備案進行有效的防御，但對于新的入侵方式，其抵御能力較低。