计算机取证技术概述
2015-03-26曹敏
曹 敏
(山西警官高等专科学校,山西太原,030021)
计算机取证技术概述
曹 敏
(山西警官高等专科学校,山西太原,030021)
随着“互联网+”时代的到来,人们在享受新时代的高质量生活时,与计算机有关的犯罪案件也悄然出现,那么对计算机取证技术的要求也就越来越高,计算机取证技术逐渐成为众多学者研究与关注的焦点。本文主要介绍了计算机取证的概念、取证范围、取证工具、取证原则和计算机取证技术的未来发展等内容。
计算机取证;取证工具;电子证据;取证原则
0 引言
随着互联网技术和信息技术的广泛应用,尤其是“互联网+”时代的到来,互联网金融、电子商务、工业互联网等新型产业正在逐渐取代传统产业的发展,人们在享受新时代给我们带来的高效率工作和高质量生活时,计算机犯罪行为也在不断涌现。作为一种高科技犯罪,计算机犯罪与其他犯罪形式有着截然不同的特点。计算机犯罪的证据是以电子数据的形式存储在电脑硬盘里,经常会与计算机中的其他重要文件例如程序代码,存储计算机操作记录的日志等数据混淆,所以提取计算机证据的难度非常大。因而,计算机取证技术这一集法学、侦查学和计算机学为一体的交叉学科越来越得到研究者的重视。
1 计算机取证概念
对计算机取证定义描述,目前还没有一个统一的说法。Judd Robbins是美国著名的计算机取证专家,他认为“计算机取证与司法鉴定是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。计算机紧急事件响应和计算机取证咨询公司对该定义进行了扩展,认为“计算机取证是对计算机证据的保护、确认、提取和归档”。取证专家Reith Clint Mark认为计算机取证可以认为是“从计算机中手机和发现证据的技术和工具”。
更多学者认为计算机取证是指针对诸如计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件相关技术,按照符合法律规范的方式,对能够被法庭所接受的、可靠、有说服力的、存在于计算机及相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。
严格按流程要求进行取证操作是计算机取证的操作基本,即依法取证。计算机取证流程应包括以下三方面:
(1)预检工作。检材受理前需要进行现场保护,所以当取证人员到达取证现场,需要通过拍照、摄像等手段记录现场信息,包括计算机型号、运行状态等。
(2)检材的接收与克隆。证据的三大特性包括客观性、合法性和关联性。其中客观性是指证据事实必须是伴随着案件的发生、发展的过程而遗留下来的,不以人们的主观意志为转移而存在的事实。检材的接收与克隆环节是保证电子证据客观性的重要阶段,其操作方法是使用克隆机将检材数据完全克隆到备份硬盘,并且克隆过程要求可重现。证据数据在后面的证据分析阶段也不能被随意修改。
(3)制定鉴定方案。为了能够科学、合理地对所提取的计算机证据进行分析鉴定,需要依据案件的特征,制定完整的鉴定计划。
2 计算机取证的范围
依据电子证据的存储方式和存储地点不同,可以将计算机取证工作的对象分为三大类,即硬盘取证、互联网取证和手机取证。
2.1 硬盘取证
硬盘取证主要是操作系统取证。操作系统取证指的是从系统文件内提取证据,包括:
(1)日志。日志文件包括系统日志、应用程序日志和安全日志。
(2)文件和目录。文件和目录包括启动目录、系统目录、我的文档、最近打开的文档和删除文件的恢复。计算机硬盘当中的数据是以文件的形式存储的,而文件数据很容易丢失、损坏,一旦文件被破坏,就需要使用数据恢复技术对文件进行及时修复。所以,进行硬盘文件取证时,数据恢复技术是非常有必要的。
(3)注册表。注册表通过在运行窗口输入“regedit”的方式打开,用于存储系统和应用程序的设置信息。它包括启动项、用户信息项和系统信息项。
(4)进程列表。进程列表包括系统进程、用户进程、开始运行处的进程和进程分析。
(5)网络轨迹。网络轨迹是系统访问网络之后留下来的一些记录,主要包括网站访问下拉列表、网站访问历史记录和网站收藏夹等。
2.2 互联网取证
互联网取证是在互联网的基础上,对存储计算机犯罪证据的相关网络存储介质或计算机进行搜查,以确定、提取和分析相关计算机证据的过程。来源取证和事实取证是计算机网络取证的两个主要内容。来源取证的主要目的是确定犯罪嫌疑人的地理位置,通过调查物理地址、IP地址、账户名、E-mall等方式实现;事实取证主要确定整个犯罪,通过分析网络数据包、日志记录、文档等,有时还要使用到传统的物理取证。网络通信流量一般保存在日志文件,有时也可从包捕获文件中获取到一些。如果收集网络流量时信息没有保存到相关文件里,则需要通过截屏或屏幕录像等方式来收集。网络取证的数据来源也比较多,包括防火墙和路由器、数据包嗅探器和协议分析器、入侵检测系统、远程访问、SEM软件、网络取证分析工具等。
2.3 手机取证
手机取证是从移动网络运营商、手机SD卡或手机SIM卡内收集、分析相关数据,并从中提取出与案件相关的、能够被法庭承认的证据的过程。手机犯罪的案件比较多,大致可以分为三类:1.在实施犯罪行为时把手机当做一种通信工具;2.利用手机的存储功能,存储一些跟犯罪有关的证据信息;3.手机被用作传播病毒、诈骗短信、短信等违法行为的工具。在如今这个4G通讯时代,对手机尤其是智能机的取证调查研究对我们社会稳定、有效打击手机犯罪行为起着至关重要的作用。
3 计算机取证的工具
取证人员能否熟练使用调查取证工具直接影响着计算机取证操作。一般情况下,可以依据计算机取证的流程对取证工具进行分类。
在进行检材接收之前需要保证送检信息的完整性,需要使用摄像机等设备对勘验现场进行拍照或摄像。主要拍摄检材的接口、标签、存储容量、外观等细节信息。这在检材交接时是非常重要的一个环节。
只读接口是计算机取证过程中不可或缺的设备之一,它可以保证在提取检材信息时不破坏原有检材,从而保证了检材数据的完整性。
为保证数据的客观性和完整性,进行检材分析时,不能在原始数据上操作,因此需要使用克隆工具对数据进行克隆。克隆和拷贝是完全不同的,克隆是对硬盘进行位对位的完全扫描存储,所以目标检材里所存储的信息和原始检材一模一样,包括文件碎片、缓冲区和已删除的文件等内容,不存在任何遗漏丢失。而普通拷贝功能只是把原始检材中的文件拷贝到目标检材,如果这个文件已经不存在,则无法拷贝。所以我们在进行计算机取证时要对克隆机克隆过来的数据进行提取。
为了监督检材前后数据是否一致,需要用到校验码工具,校验码工具通过Hash值实现,如果克隆中出现任何误差,哪怕一个小小的标点符号,都会导致校验码值千差万别,所以校验码工具可以监督检材的原始性和一致性,此外校验码工具还可以精确重现鉴定过程。
功能丰富并且专业性很强的综合性电子数据恢复、搜索、分析软件可以实现计算机数据的显示、搜索、提取、分析等功能,在各大专业计算机取证机构均配备有此类软件。此软件可以保证鉴定过程的合法性、和准确性,对计算机取证的鉴定结果有着非常重要的影响。
电子证据储物柜也是电子取证司法鉴定机构必备的一个设备,此设备不仅具备防盗功能,同时,它还具有普通柜子没有的功能。由于电子证据的特殊性质,在存储过程中很容易受到外界环境的干扰,所以存储电子证据的柜子应该具备一些特殊功能,例如防高温、防潮、防高磁场、防腐蚀等。另外,为了防止电子数据在保存时不产生静电,应使用纸质袋子包装电子设备和元器件等。
4 计算机取证原则
证据是案件的“灵魂”,调查取证是具有调查取证权的国家机关为查明案件事实真相,依法进行调查、提取与案件事实有关的证据材料的活动。计算机证据的特殊性使得证据的存储、运输过程与传统证据不同,提取过程也与传统证据的流程原则有所不同,除了要遵循传统取证原则,还要遵循其特有的原则和程序,以此来保证证据的合法性。
目前我国关于计算机取证技术、方法等方面的制度尚未完善,在国际上计算机取证技术已有成熟的经验,并建立或完善了计算机取证的原则。目前,由美国、加拿大、日本、德国、俄罗斯、法国、意大利和英国的计算机取证研究人员组成的G8小组提出的六条原则是国际上最权威的计算机取证原则。
(1)必须应用标准的取证过程。
(2)获取证据时所采用的任何方法都不能改变原始证据。
(3)取证与司法鉴定人员必须经过专门培训。
(4)完整地记录证据的获取、访问、存储或传输的过程,并妥善保存这些记录以备随时查阅。
(5)每位保管电子证据的人员必须对其在该证据上的任何行为负责。
任何负责获取、访问、存储或传输电子证据的机构有责任遵循以上原则。
由于不同国家在法律、意识形态上要求各不相同,证据使用原则也不一样,所以每个国家的计算机取证原则也不尽相同。不同国家根据自己的具体情况,制定不同的取证原则来保证所获取电子证据的客观性、合法性、关联性。通过总结,计算机取证的原则均包括以下方面。
4.1 依法取证原则
所有证据若要被法庭承认都必须具备客观性、关联性和合法性。计算机取证的合法性包括取证实体合法和取证程序合法。执行取证活动的整体过程、与取证结果有关的各个要素同时合法,才能保证提取的证据合法。这些要素包括取证主题、取证对象、取证手段和取证 过程四个方面,也称影响取证合法性的四要素。
4.2 无损取证原则
电子证据的存在状态对存储介质和存在环境的要求比较高,我们平时对存储媒介和存储环境的不经意操作都有可能修改电子证据的属性,哪怕普通的打开和关闭操作,都会在计算机的日志上留下信息,这样就会影响计算机取证工作本来要提取的证据信息。为了保证在对涉案计算机的操作过程中不改变原有数据,从而保证证据收集的原始性,工作人员在对计算机取证时不能对取证对象做任何的修改操作,只有保护好涉案设备和运行环境的完整性,才能保证所收集电子证据的客观性。
4.3 全面取证原则
调查机关人员在执行司法取证活动时,应遵循全面取证原则,即搜索证据全面完整,尽量避免遗漏有效数据,从而使得获取的证据链条完整可用。一般情况下,单个证据就能诉讼定案的情况很少,一个案子通常需要多个诉讼证据才能定案,每个电子证据应从不同角度与该案件存在某种联系,例如,手机号码和注册账号可以确定嫌疑人身份;电子邮箱和聊天记录可以作为敲诈证据;系统日志可以查找案件发生的真正时间等,最终应将这些电子证据整理成完整的证据链用以还原整个案件过程。在调查取证时,工作人员往往会忽视掉庞大计算机数据中的一些蛛丝马迹,而这些细微证据有可能对破案非常重要,因而在进行计算机取证时,应多角度、全方位调查取证,认真分析证据来源,将所获取的众多电子证据进行关联、比对,排查证据关系,保证所获取证据和案件存在某种联系,并最终整理成真实可信的证据链。
4.4 及时取证原则
电子证据的生成过程是计算机运行时实时生成的,随着时间的推移,系统内各种信息可能随时发生变化,从而直接影响到系统中电子数据,例如系统日志、访问记录、进行信息等都会随着时间的变化有所改变,改变后的数据有可能对案件证据信息造成干扰。所以提取电子证据一定要及时,确定取证对象后,要以最快的速度提取,以保证数据没有受到任何污染和损坏。电子证据从形成到提取,间隔时间越长,越容易发生变化。
5 计算机取证技术的发展
近年来,我国对计算机取证方面的研究越来越得到重视,经过资深人士的探讨与研究,计算机取证技术已经取得了不小的成绩。迄今为止,我国计算机取证研讨大会已经成功举办四次。在北京举行的首届全国计算机取证技术研讨会拉开了国内计算机取证技术研究的大幕,第二届全国计算机取证技术研讨会于2007年在新疆圆满举行,主要研究了取证技术与网络反恐方面的技术问题。第三届全国计算机取证技术研讨会于2010年在上海华东政法大学长宁校区举行。研讨会的主题是“计算机取证技术的创新和发展”,来自中国科学院、公安部第三研究所、香港大学、清华大学等科研院所和大专院校的100余位代表参加了大会。第四届计算机取证技术研讨会依旧在上海华东政法大学长宁校区举办,大会就云计算、物联网、移动互联网等领域的取证技术进行了成功的交流和切磋,取得了圆满成功。
6 结束语
计算机取证发展迅速,与之相关的案件也在不断涌现,我们在研究计算机取证技术的同时,不能忽视了相关法律的完善。目前世界各国都面临着计算机取证技术和法律难以满足当前案件侦破需要的问题,取证技术和相关法律的完善已经成为当前计算机取证发展的重中之重。
[1]麦永浩,邹锦沛,许榕生,戴士剑.计算机取证与司法鉴定[M](第2版).北京:清华大学出版社,2014.1-2.
[2]杨继武.对计算机取证技术的一些探讨[J].制造业自动化,2012(3):67-70.
[3]刘会岩.计算机取证中数据恢复技术探讨[J].电子技术与软件工程,205.
[4]戴吉明.手机取证及其电子证据获取研究[J].计算机与现代化,2007(5):100-103.
[5]贾志城.计算机取证及其鉴定原则研究[J].包装印刷,2014(7):49-51.
曹敏(1983年10月出生),女,河南新乡人,山西警官高等专科学校电教中心教师,助教,工学硕士学位,研究方向:计算机取证。
Overview of Computer Forensics Technology
Cao Min
(Shanxi Police Academy,Taiyuan Shanxi,030021)
With the advent of the Internet+ era,people in the enjoyment of the new era of high quality of life,and computer related crime cases were also quietly emerging.Therefore,the computer forensics technology is increasingly high demanded,the computer forensic technology has gradually become the focus of scholar research and attention.This paper briefly introduced the concept of computer forensics,the scope of evidence collection, evidence collection tools and the future development of computer forensics technology.
the computer forensics technology;evidence collection tools;electronic evidence;Principle of evidence collection
