APP下载

计算机取证及其规范论述

2016-03-08于丽

电脑与电信 2016年3期
关键词:原始数据加密证据

于丽

(新疆警察学院信息安全工程系,新疆 乌鲁木齐 830011)

计算机取证及其规范论述

于丽

(新疆警察学院信息安全工程系,新疆 乌鲁木齐 830011)

从上世纪八十年代开始,人们就在研究将计算机应用于取证,发展至今,在计算机取证的思想、理论和方法等方面都已经取得了重大的突破。本文在该背景之下对计算机取证及其规范进行了论述。在对计算机取证的概念进行详细介绍的基础上,提出目前计算机取证所面临的问题以及相应的解决措施,对我国在应用计算机取证方面的规范加以完善。

计算机取证;规范;技术

1 引言

近些年来,计算机在我国得到了广泛的应用,而随着计算机技术的不断发展,许多违法犯罪活动也开始涉及到计算机和网络,而这些与计算机和网络相关的违法犯罪活动,其证据往往也都是电子证据。所以我国已经深刻地认识到了计算机取证的重要性,利用计算机进行取证不仅仅可以帮助调查与计算机和网络有关的违法犯罪活动,还可以有效地进行其它方面的取证。但是就我国目前的情况而言,计算机取证在规范和制度方面仍然存在一定的问题,要想更好地利用计算机来进行取证,必须要对相应的制度和法律法规进行完善。再加之计算机取证往往涉及到许多不同专业的知识,所以利用计算机进行取证也必须要同时考虑多个方面因素的影响。

2 计算机取证概述

2.1 电子证据的概念

所谓的电子证据,指的是在电子技术出现之后才产生的一种新型的证据类型,这种证据不同于传统的证据,它往往有着特定的载体,那就是计算机。在电子技术出现之前,是不存在电子证据这一说法的,而电子技术发展至今也不过数百年的历史,所以电子证据的发展时间并不是很长。自无线电技术被发明之后,人类开始了信息革命,所以许多的案件中也开始涉及到电子证据,因此要想更好地侦破这些案件,必须要充分地利用电子证据,而要取得电子证据,就需要依赖于计算机取证。当前关于电子证据有着许许多多的说法,但是总结起来,电子证据一般都具有以下几个方面的特征:首先,电子证据是伴随着计算机技术发展而产生的;其次,电子证据是经过了现代化的计算工具和信息处理设备的处理的;最后,电子证据是可以作为诉讼的依据的。

2.2 计算机取证的概念

在国外对于计算机取证这个概念的界定往往有着许多不同的说法,但是每一种说法都有着其自身的独到之处,但同时也有着一定的片面性。我国对于计算机取证这一概念的界定也是借鉴于国外的定义,我国认为计算机取证是一个广义的概念,它包含着十分丰富的内容,既有对计算机信息系统的取证,也有网络取证,计算机取证实质上与数字取证和电子证据取证没有太大的差别,之所以使用计算机取证,主要是为了突出取证的对象,而且计算机也是电子证据的一个重要载体。

3 计算机取证分类

要对计算机取证进行分类,必须首先要确定分类的标准,如果分类的依据不一样,分类的结果也是不相同的。比如说可以按照取证难易程度的不同来将计算机取证进行分类,也可以按照取证范围的不同来对计算机取证进行分类,还可以按照取证时间的不同来对计算机取证进行分类。如果按照取证难易程度的不同来对计算机取证进行分类,则计算机取证可以分为一般取证和复杂取证两类。一般取证主要包括了打印、拷贝、拍照摄像、制作司法文书、公证和查封扣押等程序;复杂取证相比于一般取证的难度有所增加,它主要包括了解密、恢复和测试等程序。如果按照取证范围的不同来对计算机取证进行分类,则可以将其分为内部取证和外围取证。所谓外围取证,指的是从涉案计算机的外部对其进行勘查和取证,外围取证是不会使得计算机内部的信息受到任何改变的,而内部取证则重在对计算机系统内部信息的挖掘,这些信息往往通过外围取证是不能够获取的。内部取证和外围取证所用到的技术手段也是不相同的。如果按照取证时间的不同来对计算机取证进行分类,则可以将其分为事后取证和事中取证。事中取证指的是取证人员在案件发生的同时进行取证,通过这种取证方式往往可以更加及时地对证据加以收集,更加有利于案件的及时侦破,而事后取证则是在案件发生之后再进行取证,这种取证方式虽然效率不高,但是往往更加全面,因为在案件发生之后,可以综合考虑各个方面的因素来进行取证,所以可以有效地提高证据的可靠度。

4 我国计算机取证存在的问题

4.1 相应的技术还不够完善

电子证据有着一定的特殊性,所以在进行计算机取证的时候,也必须要注意这一些问题,计算机取证有着自身特殊的要求。由于电子证据大都是一些信息,而这些信息是存储在计算机之中的,所以使得这些电子证据往往十分容易被修改和删除,因此在进行电子取证的时候,首先要在技术方面达标,但是就我国目前的情况而言,计算机取证的许多技术还不够完善。首先,数据的原始性得不到很好的保障,如果数据的原始性不能够得到有效的保障,那么很有可能将后续的技术分析引导向错误的方向,严重时甚至还将造成数据的丢失和破坏,而原始数据一旦被破坏,就无法被找回,电子证据也就被销毁了;其次,在对电子证据进行分析的时候,所使用的信息网络系统及其它的一些辅助设备也不够安全可靠,电子证据的安全得不到有效的保障,如果网络系统出现问题或者硬件出现问题,就会使得电子证据遭到破坏[1];最后,在对数据进行分析之前,务必要进行数字签名,而当前在进行计算机取证的时候,许多取证人员往往是忽略了这一点的。

4.2 法律不够完善

由于电子证据也是定罪和量刑的一个重要依据,所以在法律方面对计算机取证也有一定的要求。在法律方面,对取证的主体、取证的程序、取证的工具和取证过程中的相关权利都作出了具体的要求,但是就我国的实际情况而言,在法律方面还是不够完善的。当前的计算机取证主体往往没有经过严格的资质认定。在进行计算机取证时,许多工作人员为了工作的便利,就忽略了一些程序,而且取证的工具也必也不能满足相应的要求。这些问题的出现都是因为我国在计算机取证方面的法律制度尚不完善,使得许多人钻了法律的空子,进而导致了问题的出现。

5 解决计算机取证过程中存在问题的措施

5.1 利用数据复制技术保护原始数据

在计算机取证的过程中,经常会使用到数据复制技术。所谓的数据复制技术,是指将所要调查的设备上的数据进行复制,复制之后再将其保存到另外一个专门的设备上,从而使得源数据与取证分析所用到的数据是一致的。而且通过数据复制技术,也可以有效地避免数据的改变或者丢失,因为即使源数据被改变或者丢失了,也可以再利用复制数据来进行分析[2],这样就能够确保计算机取证的顺利进行。所以通过数据复制技术可以有效地保证原始数据不被破坏。

数据复制技术包含着非常丰富的内容,它主要包括数据备份技术、数据镜像技术和数据快照技术等。数据备份技术就是指利用工具把源数据进行复制;数据镜像技术是指把原始数据通过压缩转换成为无损的镜像文件,从而完成数据的备份。在计算机取证的过程中,有些可能需要对原始数据进行全部复制,有些则只需要进行部分数据的复制,所以可以根据实际的需要来选用不同的复制技术,从而实现高效的取证。

5.2 利用数据修复技术修复原始数据

由于许多电子证据都是以数据的形式存储于计算机之中的,而这些数据往往会由于硬件或者软件的原因而遭到破坏,一旦原始数据被破坏或者修改,对于计算机取证是极为不利的。而在此时如果想要使得原始数据得到恢复,就需要利用到数据修复技术。由于计算机磁盘的分区中是有数据记录的,所以如果数据由于某些原因被破坏了,则可以利用一些特定的工具来对其进行复原,从而使得原始数据能够得到恢复。在计算机取证过程中,经常会遇到电子文件被删除或者损坏、磁盘遭到格式化或者硬盘被加密、磁盘的故障和周围数据遭到破坏等问题,而这些问题都可以通过数据修复技术来进行修复[3],修复之后,相应的数据能够得到一定程度的复原,从而使得计算机取证能够得以顺利进行。还有一种情况就是在分析和处理数据的时候造成了数据的丢失或者损坏,这时也可以利用数据修复技术来对数据进行复原。

5.3 利用数据解密技术破解加密数据

由于当前网络环境较为复杂和不安全,所以许多人在存储数据时,都会将其进行加密,这样可以有效地保护数据的安全。但是一些不法分子在进行违法犯罪活动时,往往也会利用加密技术来对一些重要信息进行加密,而在进行计算机取证时,就需要将这些数据解密,这样才能够使得取证顺利开展。此时就需要利用到数据解密技术。数据解密技术实质上是数据加密技术的逆过程,当前破解加密数据的技术主要有密码分析学技术、密码猜测技术和密码搜索技术等,通过这些技术都可以对加密数据进行破解。

6 计算机反取证技术

计算机反取证技术是针对取证技术提出来的,所谓的反取证技术就是指通过计算机技术消除电子证据,抹除作案痕迹的技术。计算机反取证技术的出现影响了计算机取证,使得一些不法分子逍遥法外。

近年来,随着计算机技术的不断发展,反取证技术获得了快速的发展,从而影响了计算机取证的效果。在取证过程中,很多关系到案情的关键证据都被抹除掉了,即使有一些电子证据没有被完全消除掉,但由于计算机取证技术的局限性,也无法将这些电子证据恢复出来。现在,市场上有很多计算机反取证软件。下文将具体介绍几种比较常见的反取证技术:第一,是数据隐藏。所谓的数据隐藏就是指嫌疑人先将电子证据进行伪装,然后将其存储在秘密的隐藏空间里,这样就不会被人轻易发现。但数据隐藏技术只适用于短期数据存储。常见的数据隐藏方式包括电子文件隐藏、回收站隐藏等;第二,是数据删除。相比于数据隐藏来说,数据删除更加有效。通过使用数据删除技术,嫌疑人可以将与电子证据相关的所有信息全部删除掉,根本就无法恢复。在删除电子文件时可以采用彻底粉碎的方法,在删除IE临时文件时可以采用删除历史记录的方法;第三,是数据加密。其实,数据加密并不属于专业的计算机反取证技术,数据加密本来是用来保护数据安全的。但是嫌疑人却将该种技术用于保护电子证据。常见的数据加密方法包括电子文件加密、软件加密等。除了上述介绍的几种反取证技术以外,还有隐写术、改变系统环境等计算机反取证技术。加强对计算机反取证技术的研究,有利于促进计算机取证技术的发展。

7 结语

近些年来,计算机和网络犯罪的案件层出不穷,而且由于人们对于计算机和网络的依赖程度越来越高,所以也使得关于电子技术方面的纠纷越来越多,要想有效地解决这些问题,就需要依赖于计算机取证,利用计算机取证进行电子证据的收集,从而有助于案件和纠纷的顺利解决。

[1]王骄.证据视角下的计算机取证过程分析[J].中国司法鉴定,2012,(3):113-116.

[2]杨静.关于计算机取证鉴定标准体系的研究[J].湖北警官学院学报,2014,27(10):170-172.

[3]刘琴.国际领域计算机取证过程中的规制研究[J].法制与社会,2013,(25):182-184,194.

Discussion on the Computer Forensics and Its Specifications

Yu Li
(XinJiang Pollice College,Urumqi 830011,Xinjiang)

Since the 1980`s,people start the study on computer forensics.So far,the theories and methods of computer forensics acquire a major breakthrough.Under this background,this paper discusses on the computer forensics and its specification. Based on the introduction of the concept in detail,it proposes the current problems and the corresponding solutions,and improves the specification of computer forensics in our country.

computer forensics;specification;technology

TP39;D918.2

a

1008-6609(2016)03-0084-03

于丽,女,河北巨鹿人,硕士,讲师,研究方向:计算机课程与教学,软件工程。

猜你喜欢

原始数据加密证据
GOLDEN OPPORTUNITY FOR CHINA-INDONESIA COOPERATION
一种新型离散忆阻混沌系统及其图像加密应用
受特定变化趋势限制的传感器数据处理方法研究
一种基于熵的混沌加密小波变换水印算法
全新Mentor DRS360 平台借助集中式原始数据融合及直接实时传感技术实现5 级自动驾驶
加密与解密
对于家庭暴力应当如何搜集证据
手上的证据
认证加密的研究进展
手上的证据