摘 要:随着计算机技术的飞速发展和计算机应用的迅速普及,计算机犯罪案件的发生呈几何式倍增,特别是犯罪分子越来越多地使用技术手段来方便和掩护他们的犯罪活动并逃避打击,这就给计算机犯罪侦查提出了更高的要求。计算机安全已经上升为事关国家政治稳定、社会安全的大事。掌握计算机取证技术,获取合法的计算机证据,对于打击计算机犯罪具有重大现实意义。本文对计算机取证技术在打击计算机犯罪中的具体应用进行了详细阐述。
关键词:计算机取证技术;计算机犯罪
一、计算机取证的概念
目前,打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证技术。它是计算机领域和法学领域的一门交叉科学。目前有关计算机取证技术的定义有多种,通常人们普遍认可的定义是计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
计算机取证的最终目的是对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据进行确定、收集、保护、分析、归档以及法庭出示。因为电子设备中的一些信息可以直接作为证据使用。但由于电子信息是潜在的并且通常与大量无关的信息资料共同存在,有时信息已被删除。因此大多数情况下需要通过专门技术方法检验和提取。此外,计算机取证技术还可以通过科学技术方法证明一些电子证据的真实性。
二、计算机取证的具体应用
计算机取证在计算机犯罪侦查中的应用主要分以下几个步骤:保护和勘查现场、分析数据、追踪源头、提交结果。
1.保护现场和现场勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础。冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。绘制计算机犯罪现场图、网络拓朴图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。
必须保证“证据连续性”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。
整个检查、取证过程必须是受到监督的。也就是说,所有调查取证工作,都应该有其它方委派的专家的监督。
积极要求证人、犯罪嫌疑人配合协作,从他们那里了解操作系统、储存数据的硬盘位置、文件目录等等。值得提及的是,计算机犯罪的一个特点是,内部人员作案比例较高,询问的当事人很可能就是犯罪嫌疑人。
2.分析数据
这是计算机取证的核心和关键。分析计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。注意开机、关机过程,尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。
分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。
可通过该计算机的所有者,或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体。
结合全案其他证据进行综合审查。注意该计算机证据要同其他证据相互印证、相互联系起来综合分析;同时,要注意计算机证据能否为侦破该案提供其他线索或确定可能的作案时间、犯罪人;审查计算机系统对数据备份以及有否可恢复的其他数据。
3.追踪源头
上面提到的计算机取证步骤是基于静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。
对某些特定案件,如网络遭受黑客攻击,应收集的证据包括:系统登录文件、应用登录文件、AAA登录文件 (比如 RADIUS 登录)、网络单元登录(Network Element logs)、防火墙登录、HIDS 事件、NIDS 事件、磁盘驱动器、文件备份、电话记录等等。
当在取证期间犯罪还在不断的入侵计算机系统,采用入侵检测系统对网络攻击进行监测是十分必要的,或者通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。
4.提交结果
打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息。标明提取时间、地点、机器、提取人及见证人。
三、计算机取证的发展趋势
我国的计算机普及与应用起步较晚,有关计算机取证的研究与实践工作也仅有10年的历史,相关的法律法规仍很不完善。目前法庭案例中出现的计算机证据都比较简单,多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步,计算机犯罪的水平也在不断提高,目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求,自主开发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。正所谓魔高一尺,道高一丈,只有保证计算机取证技术始终领先于罪分子的作案水平,才能更好的遏制计算机犯罪的发生。
参考文献:
[1]王玲,钱华林.计算机取证技术以其发展趋势[J].软件学报,2003.1
[2]赵晓敏,陈庆章.计算机取证的研究现状和展望.[J].计算机安全,2003.10.
[3] 陈尼,王国胤,计算机取证技术综述 重庆邮电学报[J].2005.17
