計算機取證技術概述

曹 敏

（山西警官高等專科學校，山西太原，030021）

計算機取證技術概述

曹 敏

（山西警官高等專科學校，山西太原，030021）

隨著“互聯網+”時代的到來，人們在享受新時代的高質量生活時，與計算機有關的犯罪案件也悄然出現，那么對計算機取證技術的要求也就越來越高，計算機取證技術逐漸成為眾多學者研究與關注的焦點。本文主要介紹了計算機取證的概念、取證范圍、取證工具、取證原則和計算機取證技術的未來發展等內容。

計算機取證；取證工具；電子證據；取證原則

0 引言

隨著互聯網技術和信息技術的廣泛應用，尤其是“互聯網+”時代的到來，互聯網金融、電子商務、工業互聯網等新型產業正在逐漸取代傳統產業的發展，人們在享受新時代給我們帶來的高效率工作和高質量生活時，計算機犯罪行為也在不斷涌現。作為一種高科技犯罪，計算機犯罪與其他犯罪形式有著截然不同的特點。計算機犯罪的證據是以電子數據的形式存儲在電腦硬盤里，經常會與計算機中的其他重要文件例如程序代碼，存儲計算機操作記錄的日志等數據混淆，所以提取計算機證據的難度非常大。因而，計算機取證技術這一集法學、偵查學和計算機學為一體的交叉學科越來越得到研究者的重視。

1 計算機取證概念

對計算機取證定義描述，目前還沒有一個統一的說法。Judd Robbins是美國著名的計算機取證專家，他認為“計算機取證與司法鑒定是將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取”。計算機緊急事件響應和計算機取證咨詢公司對該定義進行了擴展，認為“計算機取證是對計算機證據的保護、確認、提取和歸檔”。取證專家Reith Clint Mark認為計算機取證可以認為是“從計算機中手機和發現證據的技術和工具”。

更多學者認為計算機取證是指針對諸如計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟硬件相關技術，按照符合法律規范的方式，對能夠被法庭所接受的、可靠、有說服力的、存在于計算機及相關外設和網絡中的電子證據的識別、獲取、傳輸、保存、分析和提交數字證據的過程。

嚴格按流程要求進行取證操作是計算機取證的操作基本，即依法取證。計算機取證流程應包括以下三方面：

（1）預檢工作。檢材受理前需要進行現場保護，所以當取證人員到達取證現場，需要通過拍照、攝像等手段記錄現場信息，包括計算機型號、運行狀態等。

（2）檢材的接收與克隆。證據的三大特性包括客觀性、合法性和關聯性。其中客觀性是指證據事實必須是伴隨著案件的發生、發展的過程而遺留下來的，不以人們的主觀意志為轉移而存在的事實。檢材的接收與克隆環節是保證電子證據客觀性的重要階段，其操作方法是使用克隆機將檢材數據完全克隆到備份硬盤，并且克隆過程要求可重現。證據數據在后面的證據分析階段也不能被隨意修改。

（3）制定鑒定方案。為了能夠科學、合理地對所提取的計算機證據進行分析鑒定，需要依據案件的特征，制定完整的鑒定計劃。

2 計算機取證的范圍

依據電子證據的存儲方式和存儲地點不同，可以將計算機取證工作的對象分為三大類，即硬盤取證、互聯網取證和手機取證。

2.1 硬盤取證

硬盤取證主要是操作系統取證。操作系統取證指的是從系統文件內提取證據，包括：

（1）日志。日志文件包括系統日志、應用程序日志和安全日志。

（2）文件和目錄。文件和目錄包括啟動目錄、系統目錄、我的文檔、最近打開的文檔和刪除文件的恢復。計算機硬盤當中的數據是以文件的形式存儲的，而文件數據很容易丟失、損壞，一旦文件被破壞，就需要使用數據恢復技術對文件進行及時修復。所以，進行硬盤文件取證時，數據恢復技術是非常有必要的。

（3）注冊表。注冊表通過在運行窗口輸入“regedit”的方式打開，用于存儲系統和應用程序的設置信息。它包括啟動項、用戶信息項和系統信息項。

（4）進程列表。進程列表包括系統進程、用戶進程、開始運行處的進程和進程分析。

（5）網絡軌跡。網絡軌跡是系統訪問網絡之后留下來的一些記錄，主要包括網站訪問下拉列表、網站訪問歷史記錄和網站收藏夾等。

2.2 互聯網取證

互聯網取證是在互聯網的基礎上，對存儲計算機犯罪證據的相關網絡存儲介質或計算機進行搜查，以確定、提取和分析相關計算機證據的過程。來源取證和事實取證是計算機網絡取證的兩個主要內容。來源取證的主要目的是確定犯罪嫌疑人的地理位置，通過調查物理地址、IP地址、賬戶名、E-mall等方式實現；事實取證主要確定整個犯罪，通過分析網絡數據包、日志記錄、文檔等，有時還要使用到傳統的物理取證。網絡通信流量一般保存在日志文件，有時也可從包捕獲文件中獲取到一些。如果收集網絡流量時信息沒有保存到相關文件里，則需要通過截屏或屏幕錄像等方式來收集。網絡取證的數據來源也比較多，包括防火墻和路由器、數據包嗅探器和協議分析器、入侵檢測系統、遠程訪問、SEM軟件、網絡取證分析工具等。

2.3 手機取證

手機取證是從移動網絡運營商、手機SD卡或手機SIM卡內收集、分析相關數據，并從中提取出與案件相關的、能夠被法庭承認的證據的過程。手機犯罪的案件比較多，大致可以分為三類：1.在實施犯罪行為時把手機當做一種通信工具；2.利用手機的存儲功能，存儲一些跟犯罪有關的證據信息；3.手機被用作傳播病毒、詐騙短信、短信等違法行為的工具。在如今這個4G通訊時代，對手機尤其是智能機的取證調查研究對我們社會穩定、有效打擊手機犯罪行為起著至關重要的作用。

3 計算機取證的工具

取證人員能否熟練使用調查取證工具直接影響著計算機取證操作。一般情況下，可以依據計算機取證的流程對取證工具進行分類。

在進行檢材接收之前需要保證送檢信息的完整性，需要使用攝像機等設備對勘驗現場進行拍照或攝像。主要拍攝檢材的接口、標簽、存儲容量、外觀等細節信息。這在檢材交接時是非常重要的一個環節。

只讀接口是計算機取證過程中不可或缺的設備之一，它可以保證在提取檢材信息時不破壞原有檢材，從而保證了檢材數據的完整性。

為保證數據的客觀性和完整性，進行檢材分析時，不能在原始數據上操作，因此需要使用克隆工具對數據進行克隆。克隆和拷貝是完全不同的，克隆是對硬盤進行位對位的完全掃描存儲，所以目標檢材里所存儲的信息和原始檢材一模一樣，包括文件碎片、緩沖區和已刪除的文件等內容，不存在任何遺漏丟失。而普通拷貝功能只是把原始檢材中的文件拷貝到目標檢材，如果這個文件已經不存在，則無法拷貝。所以我們在進行計算機取證時要對克隆機克隆過來的數據進行提取。

為了監督檢材前后數據是否一致，需要用到校驗碼工具，校驗碼工具通過Hash值實現，如果克隆中出現任何誤差，哪怕一個小小的標點符號，都會導致校驗碼值千差萬別，所以校驗碼工具可以監督檢材的原始性和一致性，此外校驗碼工具還可以精確重現鑒定過程。

功能豐富并且專業性很強的綜合性電子數據恢復、搜索、分析軟件可以實現計算機數據的顯示、搜索、提取、分析等功能，在各大專業計算機取證機構均配備有此類軟件。此軟件可以保證鑒定過程的合法性、和準確性，對計算機取證的鑒定結果有著非常重要的影響。

電子證據儲物柜也是電子取證司法鑒定機構必備的一個設備，此設備不僅具備防盜功能，同時，它還具有普通柜子沒有的功能。由于電子證據的特殊性質，在存儲過程中很容易受到外界環境的干擾，所以存儲電子證據的柜子應該具備一些特殊功能，例如防高溫、防潮、防高磁場、防腐蝕等。另外，為了防止電子數據在保存時不產生靜電，應使用紙質袋子包裝電子設備和元器件等。

4 計算機取證原則

證據是案件的“靈魂”，調查取證是具有調查取證權的國家機關為查明案件事實真相，依法進行調查、提取與案件事實有關的證據材料的活動。計算機證據的特殊性使得證據的存儲、運輸過程與傳統證據不同，提取過程也與傳統證據的流程原則有所不同，除了要遵循傳統取證原則，還要遵循其特有的原則和程序，以此來保證證據的合法性。

目前我國關于計算機取證技術、方法等方面的制度尚未完善，在國際上計算機取證技術已有成熟的經驗，并建立或完善了計算機取證的原則。目前，由美國、加拿大、日本、德國、俄羅斯、法國、意大利和英國的計算機取證研究人員組成的G8小組提出的六條原則是國際上最權威的計算機取證原則。

（1）必須應用標準的取證過程。

（2）獲取證據時所采用的任何方法都不能改變原始證據。

（3）取證與司法鑒定人員必須經過專門培訓。

（4）完整地記錄證據的獲取、訪問、存儲或傳輸的過程，并妥善保存這些記錄以備隨時查閱。

（5）每位保管電子證據的人員必須對其在該證據上的任何行為負責。

任何負責獲取、訪問、存儲或傳輸電子證據的機構有責任遵循以上原則。

由于不同國家在法律、意識形態上要求各不相同，證據使用原則也不一樣，所以每個國家的計算機取證原則也不盡相同。不同國家根據自己的具體情況，制定不同的取證原則來保證所獲取電子證據的客觀性、合法性、關聯性。通過總結，計算機取證的原則均包括以下方面。

4.1 依法取證原則

所有證據若要被法庭承認都必須具備客觀性、關聯性和合法性。計算機取證的合法性包括取證實體合法和取證程序合法。執行取證活動的整體過程、與取證結果有關的各個要素同時合法，才能保證提取的證據合法。這些要素包括取證主題、取證對象、取證手段和取證 過程四個方面，也稱影響取證合法性的四要素。

4.2 無損取證原則

電子證據的存在狀態對存儲介質和存在環境的要求比較高，我們平時對存儲媒介和存儲環境的不經意操作都有可能修改電子證據的屬性，哪怕普通的打開和關閉操作，都會在計算機的日志上留下信息，這樣就會影響計算機取證工作本來要提取的證據信息。為了保證在對涉案計算機的操作過程中不改變原有數據，從而保證證據收集的原始性，工作人員在對計算機取證時不能對取證對象做任何的修改操作，只有保護好涉案設備和運行環境的完整性，才能保證所收集電子證據的客觀性。

4.3 全面取證原則

調查機關人員在執行司法取證活動時，應遵循全面取證原則，即搜索證據全面完整，盡量避免遺漏有效數據，從而使得獲取的證據鏈條完整可用。一般情況下，單個證據就能訴訟定案的情況很少，一個案子通常需要多個訴訟證據才能定案，每個電子證據應從不同角度與該案件存在某種聯系，例如，手機號碼和注冊賬號可以確定嫌疑人身份；電子郵箱和聊天記錄可以作為敲詐證據；系統日志可以查找案件發生的真正時間等，最終應將這些電子證據整理成完整的證據鏈用以還原整個案件過程。在調查取證時，工作人員往往會忽視掉龐大計算機數據中的一些蛛絲馬跡，而這些細微證據有可能對破案非常重要，因而在進行計算機取證時，應多角度、全方位調查取證，認真分析證據來源，將所獲取的眾多電子證據進行關聯、比對，排查證據關系，保證所獲取證據和案件存在某種聯系，并最終整理成真實可信的證據鏈。

4.4 及時取證原則

電子證據的生成過程是計算機運行時實時生成的，隨著時間的推移，系統內各種信息可能隨時發生變化，從而直接影響到系統中電子數據，例如系統日志、訪問記錄、進行信息等都會隨著時間的變化有所改變，改變后的數據有可能對案件證據信息造成干擾。所以提取電子證據一定要及時，確定取證對象后，要以最快的速度提取，以保證數據沒有受到任何污染和損壞。電子證據從形成到提取，間隔時間越長，越容易發生變化。

5 計算機取證技術的發展

近年來，我國對計算機取證方面的研究越來越得到重視，經過資深人士的探討與研究，計算機取證技術已經取得了不小的成績。迄今為止，我國計算機取證研討大會已經成功舉辦四次。在北京舉行的首屆全國計算機取證技術研討會拉開了國內計算機取證技術研究的大幕，第二屆全國計算機取證技術研討會于2007年在新疆圓滿舉行，主要研究了取證技術與網絡反恐方面的技術問題。第三屆全國計算機取證技術研討會于2010年在上海華東政法大學長寧校區舉行。研討會的主題是“計算機取證技術的創新和發展”，來自中國科學院、公安部第三研究所、香港大學、清華大學等科研院所和大專院校的100余位代表參加了大會。第四屆計算機取證技術研討會依舊在上海華東政法大學長寧校區舉辦，大會就云計算、物聯網、移動互聯網等領域的取證技術進行了成功的交流和切磋，取得了圓滿成功。

6 結束語

計算機取證發展迅速，與之相關的案件也在不斷涌現，我們在研究計算機取證技術的同時，不能忽視了相關法律的完善。目前世界各國都面臨著計算機取證技術和法律難以滿足當前案件偵破需要的問題，取證技術和相關法律的完善已經成為當前計算機取證發展的重中之重。

[1]麥永浩,鄒錦沛,許榕生,戴士劍.計算機取證與司法鑒定[M]（第2版）.北京：清華大學出版社，2014.1-2.

[2]楊繼武.對計算機取證技術的一些探討[J].制造業自動化,2012(3):67-70.

[3]劉會巖.計算機取證中數據恢復技術探討[J].電子技術與軟件工程,205.

[4]戴吉明.手機取證及其電子證據獲取研究[J].計算機與現代化,2007(5):100-103.

[5]賈志城.計算機取證及其鑒定原則研究[J].包裝印刷,2014(7):49-51.

曹敏（1983年10月出生），女，河南新鄉人，山西警官高等專科學校電教中心教師，助教，工學碩士學位，研究方向：計算機取證。

Overview of Computer Forensics Technology

Cao Min
（Shanxi Police Academy，Taiyuan Shanxi，030021）

With the advent of the Internet+ era,people in the enjoyment of the new era of high quality of life,and computer related crime cases were also quietly emerging.Therefore,the computer forensics technology is increasingly high demanded,the computer forensic technology has gradually become the focus of scholar research and attention.This paper briefly introduced the concept of computer forensics,the scope of evidence collection, evidence collection tools and the future development of computer forensics technology.

the computer forensics technology;evidence collection tools;electronic evidence;Principle of evidence collection