袁铠锋

摘 要 随着计算机信息技术的不断发展与成熟，计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具，各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论，对计算机取证技术进行了综述，并提出了一些笔者自己的见解，希望能够对今后计算机取证技术的研究提供一些理论建议。

关键词 计算机 取证技术 数据信息可靠性

中图分类号：TP309 文献标识码：A

1几种常见的计算机取证技术介绍

在美国地区，至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室，取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析，从中提取中与作案相关的信息。

由于取证时刻上具有一定的潜在属性，因此我们可将计算机取证分为两组不同的模式，分别为静态取证模式以及动态取证模式。其中，静态取证指的是对各种潜在证据进行提取，如存储在各种未运行状态媒介中的证据；而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。由于网络数据以及计算机系统数据在属性上具有本质区别，因此人们在取证过程中使用的取证方式往往也会分为两种，分别为依托计算机系统的取证以及依托网络数据的取证。

1.1预备取证技术

一般情况下，计算机系统以及网络系统中存在的数据在使用后均会被删除，即使是各种潜在数据也可能面临被黑客删除的风险，所以说在事发后从受害者计算机中获得的数据并不一定真实可靠，这就使得事发前的预备取证能力越来越得到关注。预备取证的目标在于构建一个科学可靠的系统，对于各种可疑数据进行自动搜索、识别、汇集以及过滤，同时对于各种可靠数据进行自动存储、保留以及分析。预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。

布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结，具体如下：（1）小安全漏洞原理：一个极小的安全漏洞便可以导致系统的安全防护完全失效；（2）小用户世界原理：对于一些特殊的用户而言，个别的设备以及系统便可满足他们的使用需求；（3）安全策略行为违反递减原理：随着用户对于系统知识的不断了解以及掌握，各种完全违反行为的发生频率也逐渐增加。

通常情况下，安全审计系统能够结合相应安全策略，并通过对历史操作事件的处理以及分析来识别出系统中可能存在的安全隐患，在此基础上进行相应的改善。同时还能够实现对个体用户行为的实时跟踪，给用户施加相应压力，要求其对自己所作出的行为负责，对各种攻击人员发出警告，最大程度降低入侵行为的发生，从而提高系统的安全性。安全审计系统在部分特性上与预备取证相似，但是在数据存储安全性以及可靠性、自动分析等方面却缺乏有效的考虑。赵小敏在原有安全审计系统的基础上进行了优化，设计了一种能够支持计算机取证的安全审计系统，能够保障系统遭到入侵之前的數据信息始终处于保护状态下，并能够一直完整地保留下来，从而为取证人员提供关键的线索。

1.2计算机证据获取与分析技术

在进行计算机取证时必须严格遵循下述基本原则：（1）应在不损坏原有证物的基础上进行取证；（2）必须通过有效方式来证明获得证据与原有数据之间的吻合性；（3）应在确保数据不发生改变的情况下展开进一步分析与研究。

数据获取与分析技术的重点在于确保数据获取的同时原始介质不发生损坏，因此通常情况下不主张对原始介质进行取证分析。最常使用的数据获取技术主要包括以下几种：确保计算机系统以及文件安全性的获取技术，预防原始介质遭到损坏；确保数据以及软件安全收集的获取技术；对已删除文件进行重新恢复的获取技术；对长期未使用磁盘文件进行挖掘的获取技术；针对网络系统数据的获取技术。

目前所使用的取证技术基本是依托物理存储介质而实现的，主要作用在于对已删除数据的恢复以及重新显示等。现阶段大部分取证软件的功能均体现在磁盘的处理方面，不支持深入的分析功能，除此之外的其它工作基本都是依靠取证专家的人工操作来实现，基本上形成了一种错觉，即计算机取证软件与磁盘分析软件相同的错觉。

计算机证据分析主要是基于获取信息的基本含义、特征、关系等内容来还原事件发生的真实场景，从而寻找出各种与案件相关的信息，这些信息主要包括犯罪的具体行为、犯罪嫌疑人的具体动机以及犯罪嫌疑人的作案手法等等。

其中，在已经取得的数据流当中识别出各种匹配的关键词，是现阶段数据分析中使用频率最高的一种技术，它主要由以下几种技术构成：文件特征分析技术、文件关键词分析技术、日志分析技术、逻辑关系挖掘技术、被保护信息的访问技术等。

现阶段， 人们对于各种自动分析技术的探索步伐逐渐加快，如试图于挖掘问题产生的潜在规则，同时研究其中存在的程序化步骤，将其编写成为软件工具。此外，还可以通过人工智能技术来研究部分数据之间存在的关联性，这一方法能够帮助破案人员快速将犯罪分子的轮廓进行勾勒，使取证专家的取证工作更加高效。

卡西针对计算机证据的不确定性以及信息缺失等问题展开了深入的研究，并在此基础上设计了一种按级度量的方法，这一研究结果在一定程度上促进了取证人员工作的开展，同时也能够适当启发其它研究人员的思路。由于计算机证据存在一定的不确定性，因此在取证后还应对证据实施进一步量化处理，尤其在遇到若干个关联性极强的证据时，这些不确定性更应该同量化方式进行有效表达。只有当计算机证据的确定性通过十分精确的方式表达出啦后，才能有效降低人们对计算机证据的质疑度，从而法官将会有更高的概率度证据进行采纳。

1.3反取证技术

随着计算机取证技术的不断发展，各种反取证技术也随之出现。反取证技术通常是由数据加密技术、数据隐藏技术以及数据删除技术构成的，对于一些经验丰富的黑客来说，反取证技术是他们在作案过程中必须采用的基本手段，可以将自己的作案数据进行有效销毁，隐藏自己的入侵痕迹，从而加大取证工作的难度。目前市场中已逐渐出现了各种反取证工具，例如TDT以及RUNEFS等。在面对不同的反取证技术时，我们应采用合适的策略进行对应。例如，遇到文件加密这一反取证技术时，最简单直接的方法便是找回密码，如向指导密码的人进行询问，或者根据自己的了解来猜测密码，又或者是在电脑周围寻找各种与密码相关的线索。当上述方法都无效时，可运用强效破解工具来破解密码，也可向密码分析专家发送请求。在破解的过程中尽可能猜测黑客所使用的数据隐藏技术，并选择合适的措施进行对应，譬如对文件进行压缩或者将文件后缀进行更改等。在压缩过程中可能导致取证人员搜索磁盘关键词失效，这个时候我们应使用解压工具进行解压。总而言之，取证技术与反取证技术之间的对抗关系将会不断发展下去，反取证技术也会一直成为计算机取证技术的阻碍因素。

1.4反向工程以及密码分析技术

在计算机取证工作当中，对侵入主机中的可疑程序进行分析是其中一项非常重要的内容，当已确定某个特定的人在某个特定的主机设备中安装了相应程序后，且该程序对于主机安全具有一定的危害性，那么这一程序安装者就必须承担应用的责任。对可执行程序进行分析来确定程序功能的过程叫做反向工程，这一类型的工具软件数量非常少，且相应的开发设计难度也较大，特别是当可执行程序本身已使用压缩或者加密技术时，要想对犯罪分子的软件进行分析，就必须向专业的反向分析工程师寻求帮助。

为了能够进一步确保计算机系统的安全性，越来越多的人们开始倾向于使用加密技术来实现网络通信，或者是用来对各种重要信息进行储存。因为对于犯罪嫌疑人来说，他们同样可以使用加密技术来进行反取证。

2计算机取证技术的发展方向以及未来展望

计算机取证技术是目前来说较为新颖的一门学科，在历经了多年的发展后，无论是在理论还是在实践方面都获得了显著的业绩，尽管如此，目前的取证技术在很多方面都存在一定的局限性，无法完全满足社会需求。随着计算机网络技术的不断发展，计算机取证在未来还将面临着更加严峻的挑战。笔者认为，未来的计算机取证技术将会朝着以下几个方向发展。

2.1计算机取证技术的研究需要逐步走向系统化轨道

受到计算机证据特殊性质的影响，再加上网络攻击者以及权力滥用者采用的各种反取证技术，预备取证措施的重要地位正在逐步突显出来。在未来的系统研究以及设计的过程中，在最初的安全管理设施设计环节当中就必须做好计算机取证工作的事先部署，将其作为一项重要工作来对待，尽可能以最低的开发成本来获得最高的证据数量以及最优的证据质量，使取证工作变得更加便捷、简单。

2.2取证工具将会朝着自动化以及集成化方向发展

计算机的存储能力十分惊人，它的增长速度已超过了莫尔定律。在几年前，个人计算机硬盘通常是由几百个M字节做成的，发展至今，个人计算机硬盘已经实现了几十个甚至是上百个G的字节，其它大规模的服务器系统就更不需要说了，在这一环境中，我们所采用的计算机取证技术也必须迎合其发展步伐，选择功能更强大、自动化程度更高的取证工具。未来的取证工具将会随着信息处理技术的更新而不断更新，同时对其进行有效利用，如数据挖掘技术以及人工智能技术等，以此来充分地应对各种海量数据的来袭。目前来说，在计算机取证工作当中仍然有很大一部分的工作是依赖人工完成的，这在很大程度上制约了取证技术的发展，使取证速度以及取证可靠性都是无法得到有效保障。因此，为了能够使取证人员的工作更为便捷，同时应用范围更加广泛，有必要对产品实施适度的集成。

2.3计算机取证领域持续扩展，取证工具朝着专业化发展

犯罪分子不仅仅会将计算机设备作为犯罪工具，各种手机、掌上电脑等移动设备也会成为犯罪分子的作案工具，因此犯罪证据也会通過不同的方式分布在各种不同的设备当中。通常来说，我们认为各种支持数据储存功能的设备都终将被纳入计算机取证工作范畴内。要想获取理想的证据，就必须针对每一个场合来制定专业化产品，同时使用合适的取证工具。此外，计算机取证科学的综合性非常强，其中所涉及的内容很多，包括文件加密技术、磁盘分析技术、数据挖掘技术等。

参考文献

[1] 钱勤，张瑊，张坤，伏晓，茅兵. 用于入侵检测及取证的冗余数据删减技术研究[J]. 计算机科学，2014，S2：252-258.

[2] 库德来提·热西提，亚森·艾则孜，万琼. 计算机取证技术及局限性[J]. 中国公共安全（学术版），2011，04：122-125.

[3] 施昌林，陈晓红，杨旭，施少培，徐彻，卞新伟. 视频化计算机取证系统的设计与实现[J]. 信息安全与通信保密，2009，07：99-101+104.

[4] 陈龙，谭响林，高如岱. 智能取证技术研究[J]. 重庆邮电大学学报（自然科学版），2009，04：518-522.

[5] 田志宏，姜伟，张宏莉. 一种支持犯罪重现的按需取证技术[J]. 清华大学学报（自然科学版），2014，01：20-28.

[6] 秦拯，李建辉，邹建军，綦朝晖. 基于模糊理论的实时取证模型[J]. 湖南大学学报（自然科学版），2006，04：115-118.

[7] 赵志岩，王任华，邵翀. 计算机动态取证技术的挑战[A]. 中国计算机学会计算机安全专业委员会.全国计算机安全学术交流会论文集·第二十五卷[C].中国计算机学会计算机安全专业委员会：，2010：4.