計算機取證技術及其發展趨勢探討

李倩

摘要：計算機取證技術屬于計算機安全技術的一部分，能夠利用計算機針對信息進行識別，實現對數據獲取、保存、傳輸、分析、認證以及提交，保證最終呈現出的數據文件被法庭認可。在此過程中需詳細對計算機當中的數據進行剖析，進而通過計算機取證的實現推動各項工作的順利開展。

關鍵詞：計算機取證;發展趨勢;法庭認可

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）20-0184-02

在計算機技術迅速發展背景下，信息傳播速度更快，網絡犯罪問題逐漸增加，網站受到攻擊的次數遞增趨勢明顯，計算機出現被入侵的數目較大，因此計算機網絡安全問題受到了越來越多人的關注。但是計算機網絡在使用時具有虛擬性與缺乏穩定性特點，導致網絡犯罪難以找到充分、確切，并且說服力較強的證據，在此情況下，便應注重計算機取證相關技術的運用[1]。

1 計算機取證概念與特點

計算機取證的另一個名稱為計算機法醫學，需通過計算機辨析方式收集和分析計算機當中的電子數據，然后對其進行轉化，使其使用時法庭能夠接受，保證其說服力[2]。計算機取證過程中使用工作應獲得專業認可，防止電子數據提取時出現被破壞或者是被修改的情況，進而使數據客觀性得到充分保證。

與傳統證據相比，計算機取證的整個過程信賴程度較高，完整性更明顯，能夠促進系統化處理以及運維機制的建立和健全，確保相應流程與法律實際要求相互符。計算機確證在特點上主要表現在這幾方面：首先，高科技性。在取證過程中，工作部門需掃描證據、系統取證，并進行固定分析，整個過程需運用技術含量高且專業性強的設備管控。進而確保取證實效性以及鏈條完整性，進而使計算機技術在使用時的優勢充分發揮出來，保證信息收集過程的合理性。其次，無形性。計算機取證和人工取證之間相比，能夠充分運用輸出設備，通過輸出設備處理數據，進行對結果進行有效判定，保證取證工作實施時效性[3]。再次，人機交互。在的取證時，為了使整個取證過程更加專業，就應保證操作步驟、操作流程的合理性與科學性，并積極對相關管理工作進行優化。在運維管理實施時，需由于專業人員操作計算機，使其運行的系統受到人為因素過多影響。數據脆弱。由于電子數據常常會出現被修改問題，并不受時空約束，修改之后并不會有明顯痕跡留下，這在一定程度上會將數據丟失概率加大[4]。

2 取證技術步驟具體分析

首先，保護電腦和發現信息。在進行計算機取證過程中，最先需要做的便是對可疑計算機當中的數據進一步確定，因此需做好對計算機的保護工作，防止計算機出現重新啟動或者是運行應用程序的情況。潛在數據可能在閑散空間以及交換文件中，在將計算機重啟或者是運行系統情況下，會對使計算機將證據覆蓋或者是出現重寫問題，這主要是由于啟動時可能會將已經存在或者是已經創建的文件打開，導致原先數據被覆蓋或者是被擦掉。在獲得物理證據情況下，之后重要工作便是發現信息，案例不同情況下往往在發現信息時的要求會有所不同，部分情況下只需發現圖片、文件、郵件便可，多數情況下需將計算機之前工作中涉及的細節性問題進行詳細呈現。為了使原始數據得到充分保護，在不存在特殊需要時，工作中發現的原始證據都需進行物理拷貝。與犯罪證據相關文件有很大可能被刪除，因此往往需運用數據恢復方式將文件找回，同時包通訊記錄或者是其他重要線索[5]。實際上當前運用的取證軟件能夠實現對數據較好的恢復。并且包含一些文件屬性獲取以及檔案處理，獲取數據情況下，專業人員需對關鍵字、文件屬性、數字摘要等進行詳細分析，并對日志進行系統搜索，對文件進行有效解密等等，但是就當前社會發展現狀來講，并不具備綜合分析數據的工具，因此對于數據結果分析驗證主要依賴于相關專業人員。工作人員在工作中應對信息系統有充分認識與了解，熟悉計算機操作、組成、數據庫、分布計算、協議等，在此基礎上才能保證工作實際效果。

其次，運用物理取證方式。物理取證屬于取證工作在實施時的基礎。在獲取證據過程中重要工作便是保證原始證據不受到影響與破壞。就犯罪證據來講，很可能在數據文件、系統日志、交換區、寄存器中、打印機緩存、隱藏文件等位置，因此在對數據進行搜集時，想要將所有數據搜集到比較困難，在關鍵時需做到有所取舍。在計算機受到黑客入侵情況下，為了避免證據被犯罪者銷毀，應將電源馬上關掉。如果計算機屬于作案的工具，則應該將已經緩存的數據保存好。

再次，保存和傳輸證據。在取證過程中應保證證據沒有受到損壞，避免在收集證據和分析證據時不被法庭接受，需確保數據證據與原始證據之間的一致性。在進行數據證據傳輸時應做到細致謹慎，這主要是由于傳輸過程中很容易出現損壞的問題[6]。在處理不夠恰當情況下，很容易出現損壞情況，尤其是計算機硬盤，在硬盤證據受損影響下，將難以對數據進行有效讀取，數據也進不具有證物價值。因此在對數字證據進行傳輸時，應保證傳輸時的安全性。

最后，分析證據與提交證據。分析數據的主要目的在于從證據當中獲得有效且合法的內容，在此過程中需對主機當中數據證據以及網絡中的數字證據進行有效分析，就主機數據來講，應盡可能將已經刪除的文件恢復出來，并將操作系統的以及應用程序當中使用的臨時文件、隱藏文件最大限度顯示出出來。就網絡數據來講，需對網絡連接進行重建，對入侵證據進行分析，并對入侵證據進行提取。提取證據之后需在法庭中對其進行提交，在提交過程中應嚴格遵循相關法律法規。在此過程中可以通過使用證據監督鏈保證證物在收集、分析各個階段中涉及的詳細信息充分呈現，同時也能記錄證物使用、歸還時間等。

3 反取證技術在運用過程中存在的不足

3.1 工作人員素質有待提升

反取證技術當前被廣泛運用于各個地區中，很多地區在取證時都會使用計算機技術，實現對犯罪活動相關證據的有效獲取，但是相關工作人員在處理細節內容時仍然有滯后性，在實際取證時，在發現罪犯十分依賴于計算機情況下，則往往能夠使取證工作在開展時更為便利。整個取證過程中對工作人員要求也比較高，需工作人員保證較強精細化程度，并且技術在實際應用過程中，需面臨的挑戰也比較多。工作人員在取證中表現出的專業性會對取證結果產生直接影響。但是就當前社會發展的現狀來講，針對計算機取證人員的培養仍然較為滯后，難以滿足社會實際發展需求。