计算机取证技术初探
龙源期刊网 http://www.qikan.com.cn
计算机取证技术初探
作者:仇学敏
来源:《电脑知识与技术》2014年第32期
摘要:由于计算机犯罪手段的变化和其他技术的引入,使取证的工作已不在局限于普通的层面上,计算机的取证已变得越来越重要。该文就此阐述了计算机取证的主要原则和一般步骤作,并对计算机取证的相关技术及存在问题作初步研究。
关键词: 计算机犯罪;计算机证据;计算机取证
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)32-7547-02
目前,打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证(Computer Forensics)技术,它是计算机领域和法学领域的一门交叉科学,它被用来解决大量的计算机 犯罪和事故,包括网络入侵、盗用知识产权和E-mail 欺骗等。随着信息技术与网络技术的飞速发展,越来越多的计算机联成网络,提供信息共享服务,给人们带来了工作的高效率和生活的高质量。与此同时,社会生活中的计算机犯罪行为不断出现,一种新的证据形式——电子证据,逐渐成为新的证据之一。与一般的犯罪不同,计算机犯罪行为是一种新兴的高技术犯罪,其很多犯罪证据都以数字形式通过计算机或网络进行存储和传输,包括一切记录、文件、源代码、程序等,即所谓的电子证据。由于电子证据与海量的正常数据混杂,难以提取,且易于篡改、销毁,故其获取、存储、传输和分析都需要特殊的技术手段和严格的程序,否则,难以保证证据的客观性、关联性和合法性。因此单独依靠信息技术进行安全防御已被证明是远远不足的,我们需要更多的主动性手段来打击和威慑计算机犯罪。
1 计算机取证
我们知道计算机证据是指在计算机系统运行过程中,产生用以证明案件事实的内容的一种电磁记录物。那简单理解“计算机取证”就是取出计算机证据的过程,它先由International Associationof Computer Specialists(IACIS )在1991年举行的第一次年会中正式提出。计算机紧急事件响应和取证咨询公司New Technologies进一步拓展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取、归档[1]。同时计算机在相关的犯罪案例中可以扮演黑客入侵的目标、作案的工具和犯罪信息的存储器这几种角色 证据进行获取、保存、分析和出示,它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。 计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员来到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳什么的证据,无论作为哪种角色,计算机(连同它的外设)中都会留下大量与犯罪有关的数据。