計算機主機隱秘信息取證技術(shù)

黃曉璐

摘 要

隨著計算機技術(shù)和網(wǎng)絡(luò)的不斷發(fā)展，計算機犯罪案件逐年增加，因此，對計算機主機隱秘信息取證的工作變得尤為重要。本文對計算機主機隱秘信息取證原則和其取證的系統(tǒng)分析展開論述，提出當(dāng)前取證所存在的問題，并對其發(fā)展趨勢進(jìn)行了展望。

【關(guān)鍵詞】計算機 取證技術(shù) 隱秘信息

1 前言

隨著計算機網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為了社會生活中的重要組成部分，但近年來計算機犯罪嚴(yán)重威脅信息的安全性。最近的一項統(tǒng)計結(jié)果顯示，在我國，由計算機犯罪產(chǎn)生的民事、刑事案件呈逐年上升的趨勢。因此，如何獲取最全面、最客觀的犯罪電子證據(jù)，有效打擊計算機犯罪，并將犯罪分子由法律制裁是擺在我們面前的一個重要課題。對此，計算機主機隱秘信息取證技術(shù)應(yīng)用而生。該技術(shù)能夠迅速出擊，準(zhǔn)確將其相關(guān)的犯罪證據(jù)搜集，同時還能將黑客入侵的情景再現(xiàn)，也能系統(tǒng)的分析其攻擊所用的方法。因此，計算機取證技術(shù)的使用，使黑客入侵的風(fēng)險大大降低，從而有針對性地應(yīng)對黑客入侵。因此，計算機取證技術(shù)逐漸成為打擊計算機犯罪和解決爭議的重要舉證途徑。

2 計算機取證技術(shù)概述

由于計算機的發(fā)展和網(wǎng)絡(luò)的普及，計算機技術(shù)對現(xiàn)代社會生活的各個方面都產(chǎn)生了深入的影響，其不僅為人們的日常生活提供極大的便利，更使人們的思想觀念發(fā)生改變，更有利于建立更加開放包容的交流環(huán)境。然而，計算機在使用的過程中，通過注冊等多種形式，不同人員將個人的信息留存在計算機內(nèi)，一些不法分子利用網(wǎng)絡(luò)的便利和相關(guān)的計算機專業(yè)知識與技能盜取他人信息或其他財產(chǎn)，損害其合法權(quán)益。所謂計算機信息取證技術(shù)（Computer Forensics），是專業(yè)人士利用計算機軟件等相關(guān)工具收集和分析犯罪分子在計算機主機中留下的犯罪痕跡，以便其形成訴訟證據(jù)，進(jìn)而能輔助警方破案。在取證過程中，專業(yè)人士通過分析計算機主機中的數(shù)據(jù)、資料、文檔以及保密性的文件，提取其電子證據(jù)，從而抓捕犯罪分子。

3 計算機取證原則

3.1 依法取證的原則

中華人名共和國法律對計算機主機隱秘信息取證進(jìn)行了明確的規(guī)定。具體來說，一條完整的證據(jù)鏈條，要使其具有合法性，必須包括四個要素，分別為犯罪主體、犯罪對象、犯罪過程以及犯罪實施的方法。在進(jìn)行計算機取證時，要想保證取證工作的順利進(jìn)行，必須采用有資質(zhì)的專業(yè)人士，以確保取證的準(zhǔn)確性和合理性。計算機隱秘信息的取證過程相當(dāng)復(fù)雜，必須嚴(yán)格按照程序，劃定其取證的相關(guān)范圍，保障其他不相關(guān)人員的合法權(quán)益，還要確保不能濫用權(quán)力，私自調(diào)查犯罪不相關(guān)的人員。

3.2 及時性原則和準(zhǔn)確性原則

在進(jìn)行計算機取證時，務(wù)必要確保其及時性原則和準(zhǔn)確性原則這兩個特性。一方面，計算機的數(shù)據(jù)存儲由兩個方面構(gòu)成，在斷電或電腦重啟的情況下候丟失計算機緩存的數(shù)據(jù)，造成原始數(shù)據(jù)不準(zhǔn)確，因此，計算機取證要把握好時機，確保取得第一手證據(jù)；此外，在進(jìn)行計算機取證時，其準(zhǔn)確性要得到保障。計算機是由相關(guān)的邏輯原件構(gòu)成的，其是一種具有人工智能效果的應(yīng)用設(shè)備。因此，在進(jìn)行計算機取證時，專業(yè)人員必須遵循相關(guān)的步驟來進(jìn)行，保取證地準(zhǔn)確性。

3.3 備份取證原則和無損原則

在取證過程中，還要遵循備份取證原則和無損原則這兩個原則。目前，計算機取證時，通過拍攝照片來保證其備份原則。備份原則可保證證據(jù)的隨取隨用和原始證據(jù)的完整性。而所謂無損原則，是指專業(yè)人員在取證時，需要小心應(yīng)對，保證其證據(jù)不被破壞，其現(xiàn)場具有完整性。此外，在現(xiàn)場，若有涉案的設(shè)備存在，必須要做到現(xiàn)場儀器的完整性，盡量使其處于案發(fā)時的狀態(tài)，以便對此案件進(jìn)行持續(xù)性的調(diào)查。

3.4 過程監(jiān)督和管理原則

在計算機取證時，搜集的電子數(shù)據(jù)十分容易遭到破壞和丟失。因此，在此過程中，一定要要有專業(yè)人士進(jìn)行全程及時監(jiān)控和在線指導(dǎo)。而與涉案的證據(jù)被搜取到之后，應(yīng)采取相應(yīng)的管理原則，對相關(guān)的證據(jù)進(jìn)行必要的保存和復(fù)制，需制定嚴(yán)密的管理措施，保障重要數(shù)據(jù)的破壞和丟失。

4 計算機取證技術(shù)系統(tǒng)分析

目前，在進(jìn)行計算機取證時，所應(yīng)用的軟件相對固定，構(gòu)成其軟件的模塊也相對固定。因此，其具有的取證功能也比較固定。一般其過程包括信息的采集、信息的分析、信息的加工、信息傳輸?shù)取Ｓ嬎銠C取證的過程，最為重要的內(nèi)容就是對計算機主機的取證過程。計算機主機的取證過程相對復(fù)雜，因為其包括很多相對獨立的模塊，而最核心的模塊為加載模塊和自動隱藏模塊，計算機隱秘系統(tǒng)的取證過程的關(guān)鍵之處就是這兩個模塊能否進(jìn)場運行。同時，在進(jìn)行計算機取證時，軟件的實際行為要密切觀察，以確保其運行的完整性。

除了加載模塊和自動隱藏模塊，計算機主機的取證還包括自動卸載的模塊。該模塊的主要作用是接受指令后，通過一系列的反映對計算機產(chǎn)生的痕跡進(jìn)行清理。相關(guān)的數(shù)據(jù)文件在進(jìn)行取證時，在其自動卸載模塊的作用下得到計算機主機上所存儲的信息，再將所得的數(shù)據(jù)文件進(jìn)行壓縮和加密，最終通過軟件的數(shù)據(jù)回傳功能將搜集到的數(shù)據(jù)傳輸?shù)酵饨纾瑥亩鴮⒂嬎銠C取證的任務(wù)圓滿完成。

5 當(dāng)前計算機取證存在的問題

計算機信息取證技術(shù)也存在一定的問題。其在我國的發(fā)展時間相對較短，與其相關(guān)的工具、應(yīng)用技術(shù)、軟件也具有一定局限性，導(dǎo)致其在電子數(shù)據(jù)信息采集系統(tǒng)中應(yīng)用的不足。主要包括相關(guān)取證專業(yè)技術(shù)人員缺乏；取證過程效率低下、科學(xué)性不足；取證技術(shù)存在局限等。隨著網(wǎng)絡(luò)犯罪行為的不斷上升，計算機信息取證技術(shù)的應(yīng)用范圍逐漸擴大，隨著科技的不斷發(fā)展進(jìn)步，會不斷完善電子證據(jù)的提取系統(tǒng)以及相應(yīng)的軟件，該技術(shù)在未來會變得更加成熟。

6 結(jié)語

雖然計算機主機隱秘信息取證技術(shù)發(fā)展較短，相對不成熟，但它能引領(lǐng)未來計算機取證行業(yè)的發(fā)展趨勢。計算機的取證技術(shù)能夠有力的支持相關(guān)法律的可靠實施，并能有效解決當(dāng)前計算機犯罪證據(jù)難以獲取的問題。隨著我國計算機信息技術(shù)的高速發(fā)展與不斷完善，以及相關(guān)法律政策的建立和健全，相信在不久的將來計算機信息取證技術(shù)將會發(fā)揮更好地作用并得到重視。

參考文獻(xiàn)

[1]董煒.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策[J].信息化建設(shè)，2015（04）：1-2.

[2]陳之彥.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策[J].數(shù)字技術(shù)與應(yīng)用，2015（02）：196.

[3]張浩波.計算機主機隱秘信息取證技術(shù)研究[J].無線互聯(lián)科技，2015，12（01）：89-89.

作者單位

河南護(hù)理職業(yè)學(xué)院 河南省安陽市 455001