探析计算机取证技术面临困难

1、探析计算机取证技术面临困难摘要：计算机犯罪属于一类破坏性极大的犯罪，必须对其 进行严厉查处和打击，而进行计算机取证是对犯罪行为进行 打击的重要性技术，是对案件进行侦破的关键性环节，如： 证据获取、对犯罪嫌疑人进行确定等。目前，计算机取证技 术还是一个比较前沿的新兴领域，其主要的研究内容主要是 对数字证据进行获取，并对相关的技术细节进行确定，从而 为打击计算机犯罪提供一套操作性强、应用范围广的实践取 证标准，以获得关联性强、客观、合法的电子数字证据。但 由于受到某些方面的技术条件限制，计算机取证技术在运用 和发展过程中还面临着许多的困难，女口：反取证技术使证据 得到隐藏或删除导致取证无效等。本文

2、将结合笔者的实际经 验，围绕计算机取证技术展开探讨，阐述了计算机取证技术 的含义，分析了计算机取证技术的取证流程，并对计算机取 证技术所面临的困难及作案规律进行了总结，以对相关工作 人员提供某些参考性意见。关键词：计算机犯罪；计算机取证；犯罪证据；技术困难；黑客入侵中图分类号：tp399c1文献标识码：a文章编号:10079599(2012)14000002一、引言随着网络信息技术的快速发展及普及，计算机技术在给 人们日常生活及工作带来方便的同时，也潜伏着各种各样的 信息危机。近年来，计算机在各个领域得到了极为广泛的运 用，已经成为了一种普通的应用工具，而犯罪分子也将其作 为了常用的犯罪工具，

3、计算机犯罪案件也层出不穷，如：计 算机诈骗、电子商务纠纷、网络攻击、资料信息的篡改及窃 取等。这是一种极为高科技的犯罪形式，其基本的犯罪证据 多以数字形式出现，并通过网络及计算机进行传输及存储， 包括源代码、文件、记录等，形成电子证据。但在对电子证 据进行获取的过程中，由于正常数据同电子证据往往会混杂 在一起，易销毁、篡改，使得提取工作的开展比较的困难。 因此，对其进行获取、传输、分析及存储就需要严格按照相 关程序并采用独特的技术手段，使证据的有效性、真实性及 合法性得以保证。然而目前我国的计算机取证技术还存在着 一定的技术缺陷，其发展也面临着一定的困难，这些都迫切 需要我们去研究去解决，以对

4、计算机高科技犯罪进行严厉的 打击。二、计算机取证的概念性分析(-)含义在我国计算机取证(computer forensics)通常也称作 电子取证(digital forensics),同计算机技术科学及法学 有着十分密切的联系，属于这两种学科的交叉科学。其主要 是对科学的技术方法加以运用，对计算机犯罪资料进行证明 及提取，并将从电子数据源所获取的电子证据加以收集(collection )、 鉴定 (identification )、 验证 (validation).解释(interpetation) 分析(analysis)、 保护(preservation)、存档(documentatio

5、n)及出示(presentation)等，以对犯罪事件进行重构，或对某些同 当前操作计划无关的侵权性活动进行分析，以助于对犯罪行 为进行有效地打击，对人们的财产及信息安全加以保护1。(二)来源计算机取证的主要的信息来源通常包括以下几个方面： 计算机的主机系统、网络及其他的电子设备。1. 主机系统计算机主机系统方面的证据主要有：用户的自建文档及 保护文档，创建文件，以及在其他的数据区域内的数据证据。2. 网络方面网络方面的证据包括：网络通信中的实时数据流；网络 安全设备，包括ids的日志、防火墙等；网络设备，包括在 交换机或路由器上存在的记录；各类的网络接入系统；登录 日志及相关的网络日志等。3

6、其他电子设备其他电子设备方面的证据包括：在电子记事本、pda等 设备中存在的密码、地址簿、电话号码簿、计划任务表及 e-mail信息等。在视频捕捉卡、微型摄像头等设备中存在 的视频、影像、声音信息及日期时间标记等。三、计算机取证的基本流程要对计算机犯罪的相关证据进行获取，通常可以从以下 环节做起：第一，做好取证准备。对取证的条件及环境进行 客观的分析；第二，进行现场勘查，对证据加以固定。保障 获取证据的合法性；第三，进行相关的数据分析，有效的对 证据加以提取。对所获取的重要数据信息进行详细的分析及 处理，将与案件有关的数据进行确定，对犯罪事实加以证明, 确保案件同数据的关联性。第四，呈递有效证

7、据。将所获取 的有效电子证据进行鉴定后，对犯罪定性加以保证2。在 整个取证过程中，数据的分析及证据的固定是极为关键的环 节，同时也是两个技术性含量最高的环节。计算机取证的基 本流程如图lo（一）证据固定计算机取证在证据固定环节必须严格根据相关的操作 规范有序的展开，在获取过程中必须选择专业的数据信息技 术，对存储介质中所包含的每一个字节都要进行精确的复 制，保存也要选择连续的文件片段或单独的文件来完成。同 时，证据文件的基本格式还要同法庭所认定的相关要求相 符。目前，expert witness证据文件格式及linuxdd镜像格 式是在国际法庭得到普遍接受的电子证据格式。（二）数据分析计算机取

8、证在数据分析环节必须保障辅助设备的可靠 性及安全性，同时还必须保证在取证和进行数据分析的过程 中信息网络系统的稳定性，从信息网络系统及设备中对原始 数据进行获取也要保证不受到其他信息的干扰，在对原始数 据进行分析之前，需要完成对原始数据的相关数字签名。有 关取证人员对犯罪证据进行寻找其关键在于：第一，保障所 找到的相关犯罪证据必须是没有被篡改过的原始数据；第 二，这些所找到的数据可以在取证软件中准确的找到；第三, 取证人员必须对这些文件有所了解，并能够准确判断此类文 件同犯罪事实是否密切相关。四、计算机取证技术所面临的困难近年来，计算机取证技术在计算机的安全领域中已取得 了较为显著的成果。但计算机取证技术还是存在着许多的局 限性和不足，计算机取证技术的运用及发展还是面临着许多 方面的困难。通常情况下我们所讲的计算机取证技术需要在 相关电子犯罪证据还没有被完全覆盖的情况下进行，才能够 顺利的