郑州轻工业学院 何子轶

随着计算机及网络在各个行业的普及，利用高科技手段进行的犯罪活动已经在虚拟世界悄然开展并有愈演愈盛之势，为打击个别人通过互联网进行不法活动获取不正当利益，计算机与网络取证技术已成为公安机关不可或缺的刑侦手段。本文，笔者将分析计算机与网络刑侦在人们生活中的重要性及应用到的几个方式方法。

一、计算机与网络刑侦技术的两大类别

在R.McKemmish的《何为适用于法庭的计算机取证》一文中，将计算机与网络刑侦技术定义为：识别、维护、分析与呈现法律上能够接受的数字证据的过程。而数字证据一词在实际应用中大体分为2个方面。

1.计算机取证。通过解剖在犯罪现场获取的计算机硬件部分，挖掘与提取出相关的法律能够接受的数字证据。

2004年2月23日，昆明市公安局接报，云南大学学生宿舍发现男性尸体，而具有重大犯罪嫌疑的同宿舍学生马加爵失踪。在此案中，刑侦专家正是使用了计算机取证的高科技手段对马加爵在宿舍内使用过的电脑进行了数据分析。虽然嫌疑人出逃前对电脑硬盘进行了格式化，但通过专家恢复出的电子数据显示，此人出逃前3天都在搜集有关海南省的信息，尤其是三亚的旅游交通和房地产信息。正是根据这一线索，警方果断调整了缉捕重点，很快于2004年3月15日在三亚将马加爵捉拿归案。

2.互联网取证。Hal Berghel曾经将互联网取证列为与计算机取证完全不同的范畴。互联网取证主要应用于探测网络攻击，例如黑客、木马攻击等等。而针对此类犯罪的侦测技术，基本相同于此类不法活动所使用的操作方法，两者唯一不同的只有出发点及道德标准。

2007年1月，约有50万计算机均感染了一种叫做熊猫烧香的病毒，数百万网民深受其害。此病毒是一种感染型蠕虫病毒，能够终止大部分反病毒软件和防火墙的进程，通过互联网和U盘插拔都能迅速传播。

仙桃市公安局立案后，迅速上网搜集相关资料，对此病毒进行数据分析调查后发现。熊猫烧香病毒的程序代码中，均有whboy（武汉男孩）的签名，并能把感染的网页文件指向一个特定网站。而该网站注册信息显示，注册人来自武汉。

2007年2月1日，专案组通过走访调查，查明嫌疑人居住在武汉洪山区。侦查员在此佯装购买杀毒软件，最后锁定一个出售者，通过对其出租屋24小时的监控，最终将其抓获，此人就是该病毒的制造者李俊。

二、计算机与网络刑侦技术在虚拟世界中应用的重要意义

以上2个典型事例形象的区分了计算机刑侦与网络刑侦所归属的不同范畴，但它们在数字取证中都占有同样的重要性。而且随着科技的发展与社会的进步，它们在刑侦工作中变得日益重要。

1.以互联网为例。随着因特网在日常生活中日新月异的发展，网络犯罪的势头发展得尤为迅猛。网络活动的一个重要特点是匿名性，而这种特点不仅能够掩饰人们的真实身份，还能在一定程度上改变人们的性格特征。例如日常生活中胆小内向的人很可能以开朗奔放的另一面展现在互联网上。而远程操作的非法活动通常提高了成功的几率，相对却降低了被检测与被起诉的可能性。

2.电子取证的意义并不仅仅局限于侦测与计算机和网络相关的犯罪活动。在马加爵一案中，专家即是通过调查网页缓存来缉捕凶手。另外，在很多经济犯罪中，专家们也通过获取电子数据表来检测嫌疑人是否参与洗钱操作或其他不正当交易。

3.随着科技的不断进步，数字取证扩大到人们生活的各个方面。从计算机和互联网提取的电子证据具有显而易见的诉讼效果。许多刑侦专家也受到启发，将这些侦测手段应用于其他电子产品如手机，个人掌上电脑或MP3等。

三、计算机与网络取证的实际操作

有些人认为计算机与网络刑侦中的电子取证是：运用软件技术和工具，按照预定的步骤检查计算机系统和相关外部设备，保护、提取和分析计算机犯罪的痕迹，并产生具有法律效力的电子证据的过程。也有人认为计算机与网络刑侦技术包括了上述特殊的技术手段，但并不限于此方法。换言之，虽然数字取证是一种带有高科技色彩的侦测方法，但从司法实践过程中我们可以发现，普通的当事人完全可以利用他们自己的经验知识来进行电子证据的保全和收集。虽然专家取证是相当有成效的，但公安机关也不应该忽略普通人在计算机与网络刑侦过程中的重要作用。

但无论是什么人以何种方法来进行电子取证的操作，都离不开对数据的提取、收集、整理与分析。而在处理数据的各个步骤中，有时需要进行比现实犯罪现场取证的更多的繁琐环节。

1.在许多传统取证过程中，刑侦专家透过专业技术与工具来提取证物，例如鞋印、指纹、发丝等等，它们必须借助灌模等手段才能变为具有法律效力的证物。计算机与网络取证除了与传统取证一样需要借助专业工具之外，还具备了几个不同于传统取证的特点。

（1）一般情况下，数字证物与传统证物不同，具有变化快、易改动的特点。一台正在运行的计算机系统中，寄存器和内存中的数据，每时每秒都在变化，提取时有相当大的难度。

（2）相比较传统证物来说，数字证物在法庭上更容易受到质疑，除非在刑侦过程中能保证其可靠性与真实性。而它们的获取又牵涉到计算机、通信、网络、硬件等多个方面，需要多领域刑侦专家的共同努力。

（3）另外一个区别于传统取证的特点是：传统取证通常实在犯罪过程终止后进行，而有些计算机与网络非法行为需要在其正在实施的过程中进行取证，例如黑客攻击或上文提到的熊猫烧香一案。

2.综上所述，针对计算机与网络取证区别于传统取证的这些因素，刑侦专家有必要调整取证时所要遵循的原则。

（1）与传统取证相同，计算机与网络刑侦依然要遵守“保护现场”原则。对于数据时刻在变化的目标计算机，需要进行“冻结”来避免数据的改变，病毒入侵甚至自我的数据破坏。在这一环节中可以在拆卸任何设备前进行拍照，记录设备的状态，如电源是否打开、设备连接的各类缆线等等。

（2）计算机各项数据的封存也是一个重要步骤。需要封存的目标包括内存数据、计算机工作日志、设备管理器状态、各种打印结果与整个硬盘数据的克隆等等。全盘的镜像复制可用软件克隆如GHOST、SAFEBACK等，也可用专业的硬盘克隆或检测设备。

有些情况下对设备的克隆并不只包括计算机本身，服务器、路由器、防火墙等设备也是克隆的重要对象，如有现场发现的U盘、光盘、软盘等设备，甚至需要物理封存。

（3）整个取证过程需要在第三方专业人员的监督下进行。有些情况下，这种原则甚至应该贯穿整个证物研究过程，以此来保证证据从最初的获取状态到呈现在法庭上出现的状态中间没有任何改变，即“证据的连续性”。在调查过程中，依然需要证人或嫌疑人的积极配合，来取得相应的证据分析信息，如密码、用户口令、文件存储的路径等。

（4）目前有许多具有高科技犯罪能力的不法分子，针对公安机关的刑侦手段研制了许多反取证技术。看上去普通的一张照片，经过色阶的调整之后，就清晰的显示出一串字符。这就是数据隐藏的一种，即通过图像的改变隐藏信息。

除此之外，删除或隐藏证据使刑侦工作无效的方法层出不穷，总体来说分为3大类，即数据加密、数据隐藏和数据擦除。这些方法的同时使用，使数字取证工作大打折扣。但也从另一方面督促了取证新技术的研发。

四、计算机与网络刑侦技术的发展方向

在科技迅速发展的今天，计算机与网络刑侦技术也随着犯罪环境变化而不断发展，但是直至今日此行业暂时还没有统一的标准和规范，很难对数字证据的稳定性和有效性进行比对。另外，目前还没有一家专业机构对数字取证人员的资历和水平进行评测，也使得数字取证的权威性经常受到质疑。

本文，笔者对计算机与网络刑侦技术的重要性和具体操作进行了简单的分析和初步的理论构想。希望在各行业专家的共同努力下，计算机与网络刑侦技术能够朝着专业化与自动化的方向不断发展。