宋愈珍，陈颖

（上饶职业技术学院，江西上饶334000）



计算机主机隐秘信息取证技术研究

宋愈珍，陈颖

（上饶职业技术学院，江西上饶334000）

结合法律中明确规定电子证据的合法性，不断研究计算机技术以完善电子证据采集与保存技术。

计算机；主机隐秘；取证技术

引言

计算机在信息储存、信息交流和信息处理方面有着得天独厚的巨大优势，使得计算机技术在我国迅速普及，并在相当短的时间内成为了工作生活的重要组成部分，甚至成为国民经济快速发展的推动力。然而，计算机的普及也催生了一种新的犯罪方式——互联网犯罪。互联网犯罪通常由两部分组成，第一项就是利用计算机作为存储犯罪信息的平台；第二项直接将计算机作为了犯罪工具。这两者虽然有着本质的差别，但是在犯罪证据采集的过程中，却是没有太大的差距。

中国正处在法制建设关键期，相关法律法规的出台速度难以赶上迅速发展的计算机技术，使得相关的法律在一定的程度上落后于计算机的发展，在面对计算机犯罪时，难以进行有效地制裁。近年来，随着相关法律的出台，电子证据已得到了法庭和人民群众认可。这直接使计算机取证技术站在了一个相当高的位置上。不论什么样的取证方式都无法跳出时间、地点、事情经过等等证据链要素的制约，计算机取证技术也是围绕这几点进行探索和发展的。

1计算机系统取证基本原则

1.1依法取证的原则

在进行犯罪取证工作时，具体的取证过程在中国的相关法律中已经有了相当明确的法律规定。具体来说，一定要包含犯罪主体、犯罪对象、犯罪实施的方法以及犯罪过程这四个要素才能构成一条完整的证据链条，才具有合法性。同时，取证人员也必须是有资质的专业人员，不是任何人都可以参加到取证工作中来。在实际的取证工作中，工作人员还要明确取证的范围界定，对于那些在犯罪调查外围的人员不能够利用权力私自调查，要保证其它不相关人员的隐私以及合法权益。

1.2备份取证原则和无损原则

这两个取证的原则其实就如同它们的字面意思一样。在目前，备份原则往往是通过拍照来实现。在取证的过程中，要用照相机等设备对证物进行备份。这种做法可以保证原始证据的完整和证据的随取随用。而无损原则就是在取证的过程中一定要谨慎而为，尽量做到不破坏现场，不破坏证据。在一些有涉案设备的现场，还要注重对仪器的保护，使涉案仪器处在犯罪发生时的状态，有利于案件的后续调查。

1.3及时性和准确性

在计算机取证的过程中一定要把握这两个特性。第一点，由于计算机存储的数据分为两个部分，其中缓存在电脑断电重启之后会丢失，使数据发生改变，所以取证人员在对计算机取证时一定要把握好时机，在计算机数据没有发生改变的时候就取得第一手证据；第二点就是取证的准确性，计算机是一种人工智能的设备，是由一定的逻辑组件构成的。所以取证人员在取证的过程中还要按照规定的步骤准确地执行；而不是任意而为，使拿到手的证据丧失意义。

1.4过程监督和管理原则

电子数据在作为证据时会显得十分容易丢失和遭到破坏。所以在计算机取证的具体过程中，一定要要有专家在旁边进行全程实时监控和指导。而在取得相关的证据之后，证据的保存、复制也要做好记录工作，通过严密的防护保证这些重要数据免受破坏而丢失。

2　计算机信息隐秘取证存在的问题

由于计算机取证技术在中国的起步比较晚，其具体的操作过程往往还会存在以下几点问题：1）由于计算机取证技术在中国的发展较晚，具体的取证过程中，没有经过长久验证的措施来进行合法取证。一般的情况是取证人员会利用相对陈旧的取证方式来进行取证的操作过程，这些方法往往会无法保证取证的科学性和可依赖性。随着近年来相关制度的完善，计算机的取证工作可以有相关的规定作为依据。但是由于实践经验的缺乏，制定出来的规定往往太过于模糊，没有用十分准确的专业术语进行规定。在实际的操作过程中，难以起到其应有的作用。这也使得电子证据在法庭上很难作为有力的证据对犯罪者进行指控。2）电子证据相对于传统的证据，具有信息量巨大的特点。而这特点表现在具体的取证过程中就是很难发现有用的信息，而有些信息甚至还是经过加密的，只有进行破译才可以读出，这往往会使案件陷入僵局。3）计算机内的信息通常情况下是人工无法识别的汇编语言，只有经过特殊软件的编译才可以人为读出这些信息。但是由于技术的限制，我们国内生产的取证软件可靠性不高，难以满足取证的要求。而引进的国外的先进系统不仅会花费大量的外汇，还无法很好适应国内的工作需要。所以目前在国内的计算机取证过程中往往是使用临时编写的程序，这使得取证结果难以令人信服，限制了计算机取证技术的发展［1］。

3　计算机主机隐秘信息取证系统分析

中国目前在计算机取证过程中应用的软件，往往是由几个相对固定的模块组成。而其实现取证功能的过程也相对固定，通常会包括信息采集、信息分析、信息加工、信息传输等几个过程。而对计算机的主机取证则是整个取证过程的核心内容。而对计算机主机的取证往往包括许多个独立的模块，而其中相对核心的一个模块就是自动隐藏和加载模块，这两个模块的工作好坏将会直接的影响到整个计算机隐秘系统的取证过程。同时，在取证的过程中要密切的注意软件的具体行为，保证取证过程完整性［2］。

除以上模块之外，还有一个叫做自动卸载的模块。自动卸载的模块在得到指令后，会通过一系列的动作来完成注入痕迹的清理任务。然后文件数据取证利用这个这个模块得到计算机主机上所存储的相关信息，再将得到的数据进行加密和压缩，最终利用软件的数据回传功能将得到的数据传输到外界，从而实现计算机取证的任务。

这些得到应用的取证系统实质上是计算机和其它存储设备的数据传输软件，数据的采集以及接下来的传输功能都是由一个系统来完成。它取证功能的实现就是利用软件中的主机数据采集平台和数据传输平台来实现。其中主机取证是通过物理连接将自己的程序植入到主机中，得到指令后，便隐秘地将采集的数据回传到外界的存储平台，最终完成整个计算机取证过程［3］。

［1］熊杰.计算机主机隐秘信息取证技术研究［J］.软件导刊，2013（4）: 157-159.

［2］乌岚.浅析计算机主机隐秘信息取证技术［J］.当代教育实践与教学研究，2015（5）:168-169.

［3］文少勇，王箭，李剑.基于Windows平台的动态取证系统［J］.计算机系统应用，2012（2）:13-17.

（编辑：王璐）

On Computer Host Secret Information Forensics Technology

Song Yuzhen，Chen Ying
（Shangrao Vocational and Technical College，Shangrao Jiangxi 3 3 4000）

Combined with the legality of electronic evidence clearly stated in law，this paper continuously studies computer technology to improve the electronic evidence collection and preservation techniques.

computer；host secret；forensics

TP393.08

A

2095-0748（2015）22-0090-02

10.16525/j.cnki.14-1362/n.2015.22.40

2015-10-22

宋愈珍（1983—），女，江西赣州人，硕士，讲师，研究方向：主要从事计算机软件应用、电子商务、平面设计、信息技术方向的教学与研究；陈颖（1982—），女，江西上饶人，硕士，讲师，研究方向：主要从事计算机软件应用、电子商务、平面设计、信息技术方向的教学与研究。