于　滨

[摘要]目前,信息技术迅猛发展,网络使用深入人心,在给广大人民群众带来便利的同心,计算机与网络犯罪也日益猖獗。简要介绍计算机取证技术的概念,并对相关技术及软件等做出介绍。

[关键词]网络犯罪 信息安全 计算机取证

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0910051-01

一、引言

随着科学技术的发展,信息科技广泛深入人心,信息安全的重要性不断凸显,信息技术开始被用于非法目的,随着计算机犯罪的出现,计算机取证技术应运而生。计算机取证在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。

二、什么是计算机取证

从技术角度看,计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程,即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。

计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录。多媒体技术的发展,电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。与传统证据一样,电子证据必须是可信、准确、完整、符合法律法规的,是法庭所能够接受的。同时,电子证据与传统证据不同,具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了相应技术设备,电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的,必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。计算机取证要解决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示。

可以用做计算机取证的信息源很多,如系统日志,防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活动结束后将自己残留在受害方系统中的“痕迹”擦除掉,如尽量删除或修改日志文件及其他有关记录。但是,一般的删除文件操作,即使在清空了回收站后,如果不是对硬盘进行低级格式化处理或将硬盘空间装满,仍有可能恢复已经删除的文件。

三、如何进行计算机取证

根据电子证据的特点,在进行计算机取证时,首先要尽早搜集证据,并保证其没有受到任何破坏。在取证时必须保证证据连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。特别重要的是,计算机取证的全部过程必须是受到监督的,即由原告委派的专家进行的所有取证工作,都应该受到由其他方委派的专家的监督。

计算机取证的通常步骤如下:

1.保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统,不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。

2.确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区分哪些是电子证据,哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据,确定这些记录的存放位置和存储方式。

3.收集电子证据。记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理,如果将来出现对收集的电子证据发生疑问时,可通过镜像备份的数据将目标系统恢复到原始状态。用取证工具收集的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。对网络防火墙和入侵检测系统的日志数据,由于数据量特别大,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。各类电子证据汇集时,将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。

4.保护电子证据。对调查取证的数据镜像备份介质加封条存放在安全的地方。对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。

四、相关软件介绍

1.Quick View Plus

支持查看超过200种应用程序所创建的文件和文档,包括字处理、数据库、电子表格、图形等等,你甚至不需要打开Office 97程序就可以直接查看Word 97和Excel 97文档、你所要做的只是在文件上单击鼠标右键,它可以作为Netscape Navigator 2.0及更高版本的plug-in,或者Internet Explorer的一个ActiveX文档服务器,你甚至可以直接用它查看HTML文档。是一个功能强,运行快,与Windows无缝衔接的文件查看器。

使用这类文件浏览器的好处是:这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。

2.ThumbsPlus

一个图形文件查看、定位和组织程序,你可以方便地对图形、Clip-art文件、字体和动画进行查找和维护操作。它为每个文件建立一个小的图形,你可以用它浏览、查看、编辑、修剪、启动外部编辑器以及把图像复制到剪贴板,你还可以把文件拖放到不同的目录。ThumbsPlus还可以对你选定的文件进行幻灯播放以及安装位图文件作为Windows墙纸。此外,它还可以对图形文件进行打印和转换,它支持大部分流行的文件格式。

3.RecoverNT