张克成何素平

（1.酒泉市公安局7350002.长沙市公安局410005）

电子数据取证技术发展趋势浅析

张克成1何素平2

（1.酒泉市公安局7350002.长沙市公安局410005）

近些年，计算机取证技术随着计算机网络技术的全面发展，得到了社会各方面的广泛应用，特别是在获取犯罪证据这方面更能体现出计算机技术的作用。本文主要是就目前计算机取证技术的实质性内容以及其发展的趋势进行了分析，希望计算机取证技术发挥其打击犯罪方面的积极作用。

电子数据；取证技术；应用

引言

计算机取证就是我们通常所说的电子数据的取证与鉴定，主要是由已经获得相关资格认定的专业计算机人员在计算机科学原理的基础上，严格的按照相关的法律法规规定的程序，将存储于电子设备中的电子数据通过检验、提取、分析等手段完整的展示出来，并从其中找出与案件之间存在的关系，在确定其具有证明能力的前提下提供相应的鉴定意见。由于电子数据取证与鉴定所涉及的技术领域极为广泛，因此必须利用多元化的技术知识才能及时的解决发现的问题。

1 电子数据取证基本概述

目前对电子证据这一技术还没有进行准确统一的定义，通过对电子物证的本质分析后可以看出，在进行电子数据取证时，技术程序和法律程序是其完成数据取证分析，最终形成证明案件内容的电子记录的主要依据，并以此为依据建立起可以对案件事实充分证明的具备法律效力的文件。数据技术和计算机技术是电子物证取证所包含的主要技术内容。实际上电子数据本身所具备的意义也很多，在实际的计算机应用、现代化的管理技术、通信技术等方面都会出现电子化形成的图形、文字、字母以及数字等信息。简单的说，通过路由器、网络、计算机、U盘、PDA、手机等电子设备中存储的数据信息都可以清晰的反映电子设备实际的运行状况、思想内容等相关的数据信息。

2 电子证据取证过程

2.1 证据获取

在电子证据采集的过程中，必须对计算机内容而不是硬件进行重点分析，这一过程主要包括所有数据的采集以及实际需要数据信息的采集两种方式。实际需要的数据信息在采集的过程中很可能会出现证据损害或者线索遗失等问题，通常情况下在进行计算机硬盘数据采集时，应该以以下两种方式为获取硬盘数据信息的依据。①硬盘克隆机获取证据。对主板和硬盘的连接形式进行记录是采集硬盘数据信息的最直接的方式，将计算机上的硬盘拆除之后，利用专业的技术对原硬盘进行克隆。从而达到复制硬盘数据的目的[1]。②数据获取软件获取证据。这是另外一种不同的采集数据信息的方式。Linux和Windows内都有相应的数据获取软件。由于Windows本身具备了自动检索硬盘数据的功能，因此在实际应用的过程中需要与硬盘保护器相结合，而将硬盘保护器直接与计算机相连并进行信息数据的采集，就可以完成最终的计算机取证工作。

2.2 证据分析

①恢复删除数据。恢复文件数据和文件系统数据时恢复删除数据所包含的主要内容。文件系统数据的恢复通常指的是将存储在树状结构中的文件形式和文件目录进行恢复。而系统文件就是以元数据为主要方式对文件信息进行相应的描述。一般情况下元数据信息都在目录的入口，但是也有很多元数据会处在特定的位置或者特定的文件中。通常都是采用在最小的范围内进行文件活动控制的方法，提高操作文件的效率以便及时的完成数据信息的采集。②解密加密文档。提取证据通常会因为文件加密而增加取证的难度。比如，Office本身就是一种具备加密功能的文档。可以采取分布式破解和密钥搜索的技术对加密程序进行相应的处理，以Excel/Word为例，加密时如果采用的是RC4算法的话，一旦被保护文件被使用，通常可以采用较为简单的暴力式或者字典方式进行密码的破解。

3 新型计算机取证技术的发展趋势研究

3.1 计算机静态取证技术的创新

全新的网络环境的取证是传统的静态计算机取证技术无法实现的，在不改变计算机取证原理和理论的前提下，必须对现有的计算机取证理念和方法进行创新和改进，将系统工程的建设与计算机取证技术的研究相结合，同时，对现有的计算机取证技术进行全面的整合，从而创新出新的计算机取证技术[2]。比如，在进行计算机和网络项目规划部署的初期，因为电子证据的稳定性不足，以及犯罪者所采用反取证措施等，都对计算机取证工作的顺利进行造成了影响。所以，必须对现有的计算机取证模块进行创新，采取积极有效的防御性取证措施，并且将计算机取证模块作为设计系统安全管理措施的重点内容，才能从根本上保证证据量的最大化。

3.2 新型计算机动态取证技术的创新

近些年，计算机取证技术已经由原来较为落后的静态取证技术逐步的向动态取证技术这一新型的技术方向发展，其最主要的特点就是实现了对目标计算机证捕捉和获取的实时性，不仅弥补了静态取证技术的存在的缺点，同时也促进了计算机取证技术工作效率的提高。而且，如果动态取证技术是带有黑客技术背景的主动攻击动态取证技术的话，就可以充分的利用黑客技术，及时准确的获取相关的证据。比如，黑客比较常用的网络通话和视频数据监控软件，都可以成为监控犯罪者最有效的方法，而这些都是传统的计算机取证技术无法完成的。

3.3 无线环境下计算机取证技术的发展

近些年，像平板电脑和智能手机等消费类数码电子迅速的兴起，而利用这类无线终端进行的犯罪案件也在迅速的上升，而加强在无线环境下进行的计算机取证工作的开展，已经成为了取证过程中必须要重点考虑的问题。目前，大多数计算机取证工作主要是依靠人来完成，而这也在一定程度上降低了取证工作的工作效率，同时也无法确保计算机取证结果的科学性。因此，在计算机取证的过程中必须依靠强大的处理技术，才能使计算机取证技术更好的稳步发展。

4 结束语

总体而言，通过利用更新计算机思维与计算机研究方法的方式，达到改变原有的计算机方法的研究模式，从而实现相关问题自主分析研究的目的，而且可以有效的提升计算机思维与计算机方法实际应用的能力，同时也有效的促进了计算机学应用水平的提升。

[1]郭弘，徐志强.国内外电子数据取证装备及软件发展现状与趋势[J].保密科学技术，2016，03：28～34.

[2]徐利.电子数据取证中的个人信息保护相关问题研究[D].华东政法大学，2016.

TP309

A

1004-7344（2016）30-0272-01

2016-10-12