計算機取證及其規范論述

于麗

（新疆警察學院信息安全工程系，新疆 烏魯木齊 830011）

計算機取證及其規范論述

于麗

（新疆警察學院信息安全工程系，新疆 烏魯木齊 830011）

從上世紀八十年代開始，人們就在研究將計算機應用于取證，發展至今，在計算機取證的思想、理論和方法等方面都已經取得了重大的突破。本文在該背景之下對計算機取證及其規范進行了論述。在對計算機取證的概念進行詳細介紹的基礎上，提出目前計算機取證所面臨的問題以及相應的解決措施，對我國在應用計算機取證方面的規范加以完善。

計算機取證；規范；技術

1 引言

近些年來，計算機在我國得到了廣泛的應用，而隨著計算機技術的不斷發展，許多違法犯罪活動也開始涉及到計算機和網絡，而這些與計算機和網絡相關的違法犯罪活動，其證據往往也都是電子證據。所以我國已經深刻地認識到了計算機取證的重要性，利用計算機進行取證不僅僅可以幫助調查與計算機和網絡有關的違法犯罪活動，還可以有效地進行其它方面的取證。但是就我國目前的情況而言，計算機取證在規范和制度方面仍然存在一定的問題，要想更好地利用計算機來進行取證，必須要對相應的制度和法律法規進行完善。再加之計算機取證往往涉及到許多不同專業的知識，所以利用計算機進行取證也必須要同時考慮多個方面因素的影響。

2 計算機取證概述

2.1 電子證據的概念

所謂的電子證據，指的是在電子技術出現之后才產生的一種新型的證據類型，這種證據不同于傳統的證據，它往往有著特定的載體，那就是計算機。在電子技術出現之前，是不存在電子證據這一說法的，而電子技術發展至今也不過數百年的歷史，所以電子證據的發展時間并不是很長。自無線電技術被發明之后，人類開始了信息革命，所以許多的案件中也開始涉及到電子證據，因此要想更好地偵破這些案件，必須要充分地利用電子證據，而要取得電子證據，就需要依賴于計算機取證。當前關于電子證據有著許許多多的說法，但是總結起來，電子證據一般都具有以下幾個方面的特征：首先，電子證據是伴隨著計算機技術發展而產生的；其次，電子證據是經過了現代化的計算工具和信息處理設備的處理的；最后，電子證據是可以作為訴訟的依據的。

2.2 計算機取證的概念

在國外對于計算機取證這個概念的界定往往有著許多不同的說法，但是每一種說法都有著其自身的獨到之處，但同時也有著一定的片面性。我國對于計算機取證這一概念的界定也是借鑒于國外的定義，我國認為計算機取證是一個廣義的概念，它包含著十分豐富的內容，既有對計算機信息系統的取證，也有網絡取證，計算機取證實質上與數字取證和電子證據取證沒有太大的差別，之所以使用計算機取證，主要是為了突出取證的對象，而且計算機也是電子證據的一個重要載體。

3 計算機取證分類

要對計算機取證進行分類，必須首先要確定分類的標準，如果分類的依據不一樣，分類的結果也是不相同的。比如說可以按照取證難易程度的不同來將計算機取證進行分類，也可以按照取證范圍的不同來對計算機取證進行分類，還可以按照取證時間的不同來對計算機取證進行分類。如果按照取證難易程度的不同來對計算機取證進行分類，則計算機取證可以分為一般取證和復雜取證兩類。一般取證主要包括了打印、拷貝、拍照攝像、制作司法文書、公證和查封扣押等程序；復雜取證相比于一般取證的難度有所增加，它主要包括了解密、恢復和測試等程序。如果按照取證范圍的不同來對計算機取證進行分類，則可以將其分為內部取證和外圍取證。所謂外圍取證，指的是從涉案計算機的外部對其進行勘查和取證，外圍取證是不會使得計算機內部的信息受到任何改變的，而內部取證則重在對計算機系統內部信息的挖掘，這些信息往往通過外圍取證是不能夠獲取的。內部取證和外圍取證所用到的技術手段也是不相同的。如果按照取證時間的不同來對計算機取證進行分類，則可以將其分為事后取證和事中取證。事中取證指的是取證人員在案件發生的同時進行取證，通過這種取證方式往往可以更加及時地對證據加以收集，更加有利于案件的及時偵破，而事后取證則是在案件發生之后再進行取證，這種取證方式雖然效率不高，但是往往更加全面，因為在案件發生之后，可以綜合考慮各個方面的因素來進行取證，所以可以有效地提高證據的可靠度。

4 我國計算機取證存在的問題

4.1 相應的技術還不夠完善

電子證據有著一定的特殊性，所以在進行計算機取證的時候，也必須要注意這一些問題，計算機取證有著自身特殊的要求。由于電子證據大都是一些信息，而這些信息是存儲在計算機之中的，所以使得這些電子證據往往十分容易被修改和刪除，因此在進行電子取證的時候，首先要在技術方面達標，但是就我國目前的情況而言，計算機取證的許多技術還不夠完善。首先，數據的原始性得不到很好的保障，如果數據的原始性不能夠得到有效的保障，那么很有可能將后續的技術分析引導向錯誤的方向，嚴重時甚至還將造成數據的丟失和破壞，而原始數據一旦被破壞，就無法被找回，電子證據也就被銷毀了；其次，在對電子證據進行分析的時候，所使用的信息網絡系統及其它的一些輔助設備也不夠安全可靠，電子證據的安全得不到有效的保障，如果網絡系統出現問題或者硬件出現問題，就會使得電子證據遭到破壞[1]；最后，在對數據進行分析之前，務必要進行數字簽名，而當前在進行計算機取證的時候，許多取證人員往往是忽略了這一點的。

4.2 法律不夠完善

由于電子證據也是定罪和量刑的一個重要依據，所以在法律方面對計算機取證也有一定的要求。在法律方面，對取證的主體、取證的程序、取證的工具和取證過程中的相關權利都作出了具體的要求，但是就我國的實際情況而言，在法律方面還是不夠完善的。當前的計算機取證主體往往沒有經過嚴格的資質認定。在進行計算機取證時，許多工作人員為了工作的便利，就忽略了一些程序，而且取證的工具也必也不能滿足相應的要求。這些問題的出現都是因為我國在計算機取證方面的法律制度尚不完善，使得許多人鉆了法律的空子，進而導致了問題的出現。

5 解決計算機取證過程中存在問題的措施

5.1 利用數據復制技術保護原始數據

在計算機取證的過程中，經常會使用到數據復制技術。所謂的數據復制技術，是指將所要調查的設備上的數據進行復制，復制之后再將其保存到另外一個專門的設備上，從而使得源數據與取證分析所用到的數據是一致的。而且通過數據復制技術，也可以有效地避免數據的改變或者丟失，因為即使源數據被改變或者丟失了，也可以再利用復制數據來進行分析[2]，這樣就能夠確保計算機取證的順利進行。所以通過數據復制技術可以有效地保證原始數據不被破壞。

數據復制技術包含著非常豐富的內容，它主要包括數據備份技術、數據鏡像技術和數據快照技術等。數據備份技術就是指利用工具把源數據進行復制；數據鏡像技術是指把原始數據通過壓縮轉換成為無損的鏡像文件，從而完成數據的備份。在計算機取證的過程中，有些可能需要對原始數據進行全部復制，有些則只需要進行部分數據的復制，所以可以根據實際的需要來選用不同的復制技術，從而實現高效的取證。

5.2 利用數據修復技術修復原始數據

由于許多電子證據都是以數據的形式存儲于計算機之中的，而這些數據往往會由于硬件或者軟件的原因而遭到破壞，一旦原始數據被破壞或者修改，對于計算機取證是極為不利的。而在此時如果想要使得原始數據得到恢復，就需要利用到數據修復技術。由于計算機磁盤的分區中是有數據記錄的，所以如果數據由于某些原因被破壞了，則可以利用一些特定的工具來對其進行復原，從而使得原始數據能夠得到恢復。在計算機取證過程中，經常會遇到電子文件被刪除或者損壞、磁盤遭到格式化或者硬盤被加密、磁盤的故障和周圍數據遭到破壞等問題，而這些問題都可以通過數據修復技術來進行修復[3]，修復之后，相應的數據能夠得到一定程度的復原，從而使得計算機取證能夠得以順利進行。還有一種情況就是在分析和處理數據的時候造成了數據的丟失或者損壞，這時也可以利用數據修復技術來對數據進行復原。

5.3 利用數據解密技術破解加密數據

由于當前網絡環境較為復雜和不安全，所以許多人在存儲數據時，都會將其進行加密，這樣可以有效地保護數據的安全。但是一些不法分子在進行違法犯罪活動時，往往也會利用加密技術來對一些重要信息進行加密，而在進行計算機取證時，就需要將這些數據解密，這樣才能夠使得取證順利開展。此時就需要利用到數據解密技術。數據解密技術實質上是數據加密技術的逆過程，當前破解加密數據的技術主要有密碼分析學技術、密碼猜測技術和密碼搜索技術等，通過這些技術都可以對加密數據進行破解。

6 計算機反取證技術

計算機反取證技術是針對取證技術提出來的，所謂的反取證技術就是指通過計算機技術消除電子證據，抹除作案痕跡的技術。計算機反取證技術的出現影響了計算機取證，使得一些不法分子逍遙法外。

近年來，隨著計算機技術的不斷發展，反取證技術獲得了快速的發展，從而影響了計算機取證的效果。在取證過程中，很多關系到案情的關鍵證據都被抹除掉了，即使有一些電子證據沒有被完全消除掉，但由于計算機取證技術的局限性，也無法將這些電子證據恢復出來。現在，市場上有很多計算機反取證軟件。下文將具體介紹幾種比較常見的反取證技術：第一，是數據隱藏。所謂的數據隱藏就是指嫌疑人先將電子證據進行偽裝，然后將其存儲在秘密的隱藏空間里，這樣就不會被人輕易發現。但數據隱藏技術只適用于短期數據存儲。常見的數據隱藏方式包括電子文件隱藏、回收站隱藏等；第二，是數據刪除。相比于數據隱藏來說，數據刪除更加有效。通過使用數據刪除技術，嫌疑人可以將與電子證據相關的所有信息全部刪除掉，根本就無法恢復。在刪除電子文件時可以采用徹底粉碎的方法，在刪除IE臨時文件時可以采用刪除歷史記錄的方法；第三，是數據加密。其實，數據加密并不屬于專業的計算機反取證技術，數據加密本來是用來保護數據安全的。但是嫌疑人卻將該種技術用于保護電子證據。常見的數據加密方法包括電子文件加密、軟件加密等。除了上述介紹的幾種反取證技術以外，還有隱寫術、改變系統環境等計算機反取證技術。加強對計算機反取證技術的研究，有利于促進計算機取證技術的發展。

7 結語

近些年來，計算機和網絡犯罪的案件層出不窮，而且由于人們對于計算機和網絡的依賴程度越來越高，所以也使得關于電子技術方面的糾紛越來越多，要想有效地解決這些問題，就需要依賴于計算機取證，利用計算機取證進行電子證據的收集，從而有助于案件和糾紛的順利解決。

[1]王驕．證據視角下的計算機取證過程分析[J]．中國司法鑒定，2012，(3)：113-116．

[2]楊靜．關于計算機取證鑒定標準體系的研究[J]．湖北警官學院學報，2014，27(10)：170-172．

[3]劉琴．國際領域計算機取證過程中的規制研究[J]．法制與社會，2013，(25)：182-184，194．

Discussion on the Computer Forensics and Its Specifications

Yu Li
(XinJiang Pollice College,Urumqi 830011,Xinjiang)

Since the 1980`s,people start the study on computer forensics.So far,the theories and methods of computer forensics acquire a major breakthrough.Under this background,this paper discusses on the computer forensics and its specification. Based on the introduction of the concept in detail,it proposes the current problems and the corresponding solutions,and improves the specification of computer forensics in our country.

computer forensics;specification;technology

TP39；D918.2

a

1008-6609(2016)03-0084-03

于麗，女，河北巨鹿人，碩士，講師，研究方向：計算機課程與教學，軟件工程。