计算机主机隐秘信息取证技术
2015-05-30李志超崔聪聪
李志超 崔聪聪
摘要:计算机取证技术对于预防和解决一些网络犯罪具有非常明显的作用,本文从计算机取证技术的概念出发,研究了取证技术的基本原则、内容及取证过程中出现的问题,并对计算机主机隐秘信息取证系统进行了一定程度的分析。
关键词:计算机;主机隐秘;取证技术
随着计算机技术的不断的发展,打击互联网犯罪也成为目前解决互联网安全的主要手段之一,在获取互联网犯罪证据时必须用到计算机取证技术,通常情况下需要对计算机软件和工具进行详细的分析和研究,然后在通过特定的活动提取和寻找有法律依据的证据,我国现阶段对互联网犯罪的打击越来越强,相关部门也出台了一些法律法规,一些电子的证据也慢慢的被法律认可,因此研究计算机取证技术越来越重要。国内计算机取证技术已经开展多年,目前在该领域主要是缺乏较为科学和规范的计算机取证程序,所以在分析海量数据时具有一定的难度。虽然在很多时候一些引进的取证软件能够一定程度解决问题,但还是未能够实现预期效果。
一、计算机取证技术基本概念
计算机取证技术涉及学科领域较为广泛,是一门交叉性学科,在很多领域都有着一定程度的应用。我国在计算机取证技术方面尚处于初级发展阶段,理论研究和实践时间均不长,还有很多技术难题等待解决。但是在打击并遏制计算机犯罪,维护社会公正、公平以及国家信息安全方面,计算机取证技术可以提供强有力的证据保障。传统意义上的取证技术,即是指通过分析计算机和网络运行状态,来研究嫌疑人所做的违法或危害公共安全的行为。黑客经常会入侵一些计算机系统,导致很多机密信息泄漏,给客户造成重大损失,构成违法犯罪行为。还有一些不法分子会通过计算机给整个社会带来巨大威胁。但是这些行为势必会在整个入侵线路中留下痕迹,通过先进的计算机技术就能够找到这些证据,进而将犯罪分子绳之以法。
二、计算机系统取证基本原则
(一)依法取证的原则
在我国法律中规定,司法鉴定和取证中必须存在以下4个主体时才能证明证据的合法性即主体、对象、方法和过程同时存在。计算机网络中的取证也需要合法的调查人员进行取证和鉴定,这些合法的人员必须是一些资质鉴定的技术专家。对于以上所讲的对象合法,就是指在取证时只是对与案件相关的电子信息进行取证,对于超出与案件相关信息的范围时调查人员要停止鉴定,这样主要就是避免发生侵犯受害者的隐私权、商业秘密等合法的权益。
(二)备份取证原则和无损原则
无损原则顾名思义就是保证一些设备的完好无损,这主要是指在取证的过程中一定要爱护涉案设备,使得涉案设备的运行环境等保持完整,不能做任何修改。并且在收集一些电子信息时必要要对这些重要的数据进行备份,常用的备份方法就是镜像技术,这样既能保证原始数据的完整性还能够在原始数据丢失时能够及时得到补充,其中多备份原则就是这个目的,原始的数据可以保存起来,备份的数据可以用来操作和分析。
(三)及时性和准确性
由于这些取证的信息都是在计算机运行过程中实时提取的一些数据,这些数据不是认为生成的,而是自动生成的,因此如果计算机运行超过一定的时间后这些数据就可能发生一些变化,所以如果鉴定人员在发现可以收集的数据时要尽快进行收集防止时间长了数据会产生变化,给取证造成不便,以上就是说的及时性的原则,准确性主要是指一些调查取证人员在取证的过程中一定要仔细认真,严格的按照相关的规定来进行取证,只有这样才能获取真实的取证结果,保证证据的完好无损。
(四)过程监督和管理原则
电子证据是一种无形的信息,要保证这些证据的完好无损必须要有专门的人员进行监督,在计算机取证的过程中要有全程的技术专家进行现场的指导和实时的监控,这些数据的保存和转移也必须得到相关部门的批准才能进行处理,并且在处理时要进行备份,处理的过程中还要对处理的过程进行相关的记录。
三、计算机取证内容
计算机取证的内容主要有两个方面:计算机主机系统与计算机网络。
计算机硬盘和其他存储介质是违法犯罪分子留下痕迹的最主要模块,譬如说计算机硬盘,一些移动存储设备,USB接口等,这些模块往往是违法犯罪分子入侵过程中必经之路。大量的证据信息一般会出现与数据文件、临时文件、日志文件等,也有可能会出现在并未进行硬盘分区的空间之中,我们可以将这些证据分为用户创建型文档、用户保护型文档等几种类型,对这些数据类型进行深入分析与研究,就能够清晰的分析出犯罪分子的整个犯罪过程。所谓用户保护型文档,即是指用户在使用计算机过程中,主观意识上不想公开的文档,譬如一些隐藏文件、加密文件以及压缩文件等,这些文件中保存有大量重要信息,这些信息的泄漏会给用户带来不可预想的损失。
四、计算机信息隐秘取证存在的问题
第一,缺乏一些正规的取证过程,目前计算机隐秘取证过程都是一些传统的取证过程不能保证取证的科学性和规范性。随着计算机犯罪日益的增多,我国相关的部门也制定了计算机隐秘取证的原则,但是这些原则只是一些笼统的概念,并没有对一些操作的过程进行详细的说明和解释,所以在计算机隐秘取证的过程中会很容易不按正规的方式来进行取证,这样就会使得取得的电子争取的可信度大打折扣,造成这些证据在法庭上的价值降低。
第二,是信息的分析难度大,由于在计算机取证时的数据是庞大的,就向大海捞针一样从大量的数据中得出有用的数据,分析的难度非常之大,表现的形式也非常的复杂。
第三,取证软件不足,目前我国研发的一些取证软件远远不能达到相关的取证要求,必须要引进国外的一些取证软件,并且这些取证软件价格非常昂贵有时还不适合我国的基本国情,在目前大部门的取证都是使用临时制作的小程序,或者是人工操作进行收集,这样收集的信息可信度就比较低。
五、计算机主机隐秘信息取证系统分析
我国的计算机取证软件有很多,但是最常用的只有几种,比如金诺网安介质取证系统等,这些软件在对计算机进行取证时主要包含一下几个过程:对信息进行采集、分析、加工、传输,其中计算机的主机取证时最为主要的取证,其中包含很多子模块,这些模块主要包括自动隐藏模块、卸载模块、文档数据取证模块等,整个系统的开始就是自动隐藏和加载模块,只有它顺利的工作才能保证整个计算机隐秘系统的正常运行,在这个过程中腰时刻注意软件的启动和关闭过程,这些模块必须具有以外关闭自启动功能,还要具有防病毒软件躲避的功能。
自动卸载模块的功能最主要的技术就是卸载组建的顺序和卸载的过程隐蔽性,这个模块工作时必须要先将主机上的一些文本数据进行清理,然后在进行卸载,其中文档数据的取证是整个取证过程中的核心部分,基本上所有的取证都是通过这个模块来完成的。
计算机主机隐秘取证系统是一个数据采集的系统,数据采集后通过相关的突进进行传输然后进行远程控制,这个系统都是一体的,主要包括主机取证平台和取证管理平台两个大的部分,在这其中主机取证可以通过网络植入到目标的主机中区,在这个目标主机中隐秘的运行,通过相关的模块来获得相关的电子数据,这些电子数据再传回操作的计算机,这样就能实现电子取证。
【参考文献】
[1]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊,2013,04:157-159.
[2]向桢.浅析计算机主机隐秘信息取证技术[J].价值工程,2015,06:227-228.
[3]王路遥.分布式动态计算机取证技术的研究与实现[D].电子科技大学,2012.
[4]石俊芳.探析计算机取证技术[J].计算机光盘软件与应用,2013,23:98-99.