APP下载

浅析电子证据取证技术

2015-05-30陈凯

杂文月刊(学术版) 2015年6期
关键词:加密证据犯罪

陈凯

现代社会中以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。大量的计算机犯罪—如商业机密信息的窃取和破坏,计算机诈骗,攻击政府、军事部门网站,色情信息、网站的泛滥等等。侦破这些案件必须要用到电子数据取证技术,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有许多不同于传统物证和取证的特点。

一、电子证据取证的概念和特点

电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

二、计算机取证的过程

計算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。

物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:①不要改变原始记录;②不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记录所有的取证活动;⑤妥善保存得到的物证。在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题 :①目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;②技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。

电子证据就是这些高科技犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。为了保护原始数据,除非与特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其它的线索。数据恢复以后,取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据。

三、计算机取证的发展

计算机取证是伴随着黑客技术提高而不断发展的,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:①取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。②取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。

四、计算机取证技术的局限性

计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:①有关犯罪的电子证据必须没有被覆盖;②取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。

俗话说“道高一尺魔高一丈”,因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。

⑴数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。

⑵数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中,也有人将数据文件隐藏在磁盘上的Slack空间、交换空间或者未分配空间中,这类技术统称为数据隐藏。

⑶加密文件的作用是我们所熟知的。数据加密是用一定的加密算法对数据进行加密,使明文变为密文。但这种方法不是十分有效,因为有经验的调查取证人员往往能够感觉到数据已被加密,并能对加密的数据进行有效的解密。

五、结束语

计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。

猜你喜欢

加密证据犯罪
一种基于熵的混沌加密小波变换水印算法
Televisions
对于家庭暴力应当如何搜集证据
手上的证据
什么是犯罪?
“大禹治水”有了新证据
认证加密的研究进展
手上的证据
重新检视犯罪中止
基于ECC加密的电子商务系统