葉碧蝦

（漳州職業(yè)技術(shù)學(xué)院 計算機工程系，福建 漳州 363000）

計算機犯罪取證局限性的研究

葉碧蝦

（漳州職業(yè)技術(shù)學(xué)院 計算機工程系，福建 漳州 363000）

隨著科技的進(jìn)步，計算機的應(yīng)用日趨廣泛，但同時計算機犯罪也越來越嚴(yán)重。計算機犯罪屬于時代的產(chǎn)物，是伴隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展而滋生的，這是一種具有較高技術(shù)性的犯罪行為，為公安機關(guān)的取證工作增加了難度。分析當(dāng)前計算機犯罪取證的相關(guān)含義與技術(shù)，對其局限性進(jìn)行了研究。

計算機；犯罪取證；技術(shù)；局限性

計算機技術(shù)的應(yīng)用，為人們的工作與生活提供了諸多便利條件，成為人們工作、娛樂、信息傳遞、數(shù)據(jù)存儲的重要工具；但同時也為一些不法分子提供了高科技犯罪的途徑與方法。為了破獲這種高科技犯罪案件，公安機關(guān)必須向人民法院提供嫌疑人有力的犯罪證據(jù)，所以針對計算機犯罪，公安機關(guān)的取證工作成為破案的關(guān)鍵。但是，在實際取證過程中存在著一定的局限性，對此本文將進(jìn)行深入的探討。

1 計算機犯罪取證分析

現(xiàn)階段對于計算機犯罪取證的問題尚未進(jìn)行嚴(yán)格的定義，其實類似于普通案件，就是一個犯罪證據(jù)的獲取、保存、分析與出示的法律規(guī)范，不過是因為通過計算機犯罪，從而增加了公安機關(guān)取證的難度。目前計算機取證主要有以下幾個環(huán)節(jié)：

1.1 案件受理

這個環(huán)節(jié)非常重要，公安機關(guān)在接到報警后要對案情有深入的了解，并對相關(guān)的證據(jù)進(jìn)行采集獲取。這個環(huán)節(jié)是破獲案件的重要基礎(chǔ)，在調(diào)查、記錄過程中要認(rèn)真、仔細(xì)，深入發(fā)掘潛在的違法犯罪的電子證據(jù)。

1.2 做好現(xiàn)場保護(hù)

對犯罪現(xiàn)場的計算機實施管控，以免受到破壞，維護(hù)計算機系統(tǒng)的原有狀態(tài)，做好相關(guān)設(shè)備、系統(tǒng)的保護(hù)工作，在現(xiàn)場的作案工具中查找線索痕跡，操作的時候不要對現(xiàn)場的系統(tǒng)、設(shè)備、數(shù)據(jù)等進(jìn)行更改，防止病毒感染以及證據(jù)被破壞的現(xiàn)象發(fā)生。

1.3 證據(jù)的采集

電子證據(jù)是對違法犯罪行為進(jìn)行制裁的重要依據(jù)，但是電子證據(jù)又具有高技術(shù)性與無形性的特點，容易被篡改和毀壞。電子證據(jù)主要包含使用人的賬號信息、IP地址、使用時間，還有用于犯罪的合同、協(xié)議、交易信息、軟件程序、屏幕截圖等等，內(nèi)容非常廣泛。為了保證電子證據(jù)的真實有效，通常需要將整個存儲工具進(jìn)行封存，并由專業(yè)部門對數(shù)據(jù)做技術(shù)上的還原處理。

1.4 電子證據(jù)的固定

所謂的固定就是為了保證電子證據(jù)的完好與真實。要對原始的數(shù)據(jù)資料進(jìn)行備份，要選擇安全的存儲工具，防止數(shù)據(jù)信息被損壞或消失。電子證據(jù)經(jīng)備份后要做好相應(yīng)的保管工作，切勿靠近磁場、易受干擾的地方，以免出現(xiàn)消磁或是無法使用的狀況。還要具備良好的環(huán)境，防止受潮、損壞。非專業(yè)人員或是相關(guān)人員不得隨意動用。

1.5 電子證據(jù)分析

在做好電子證據(jù)的備份后才可以進(jìn)行數(shù)據(jù)的分析，確保數(shù)據(jù)的完好，必要的時候要重新進(jìn)行備份。對電子證據(jù)進(jìn)行分析是通過備份進(jìn)行的，通過非破壞性分析，將被刪除的、篡改的、隱藏的數(shù)據(jù)信息盡最大可能恢復(fù)，利用這些恢復(fù)好的數(shù)據(jù)搜尋犯罪的證據(jù)。

1.6 電子證據(jù)的存檔

為了方便在法庭審理的時候提交證據(jù)，需要對電子證據(jù)及分析結(jié)果做分類歸檔處理，主要涉及到對電子證據(jù)的檢查內(nèi)容，比如犯罪時間、存儲工具分析、電腦系統(tǒng)等，證據(jù)搜集過程中信息與系統(tǒng)完好程度、犯罪證據(jù)的整理分析結(jié)果，以及評估分析報告之類的。

2 電子證據(jù)的取證技術(shù)

上述分析了電子證據(jù)的主要來源及形式，那么如何將這些犯罪證據(jù)從計算機系統(tǒng)中查找出來，是需要通過專業(yè)的技術(shù)手段來完成的。通常所用的提取證據(jù)的技術(shù)可分為兩類：靜態(tài)取證和動態(tài)取證。

2.1 靜態(tài)取證

一般計算機犯罪都是通過計算機、作案工具、數(shù)據(jù)儲存設(shè)備來完成，在作案過程中會留下很多犯罪證據(jù)，因此可以把計算機當(dāng)作作案現(xiàn)場，例如平時我們所使用的路由器、安全防火墻等設(shè)備都會自動記錄一些信息，通過先進(jìn)的技術(shù)將這些信息數(shù)據(jù)提取出來。在這個過程中所用到的技術(shù)有復(fù)原計算機技術(shù)、加鎖解密技術(shù)等。

2.2 動態(tài)取證

動態(tài)取證是將取證技術(shù)與防火墻技術(shù)融合起來，利用網(wǎng)絡(luò)防御技術(shù)和侵入檢測系統(tǒng)漏洞，對犯罪人員的犯罪過程進(jìn)行監(jiān)控，并及時截獲信息并進(jìn)行分析，了解犯罪人員的意圖，然后及時制定應(yīng)對措施與抓捕方案。對獲取的各種犯罪證據(jù)進(jìn)行保存、鑒定、存檔，以方便為法庭審判提供必要證據(jù)。動態(tài)取證主要是利用網(wǎng)絡(luò)信號來完成，所用到的技術(shù)主要有IP獲取、MAC硬件地址獲取、跟蹤和識別技術(shù)、身份證鑒定技術(shù)，還有網(wǎng)絡(luò)監(jiān)聽、漏洞掃描等。

3 計算機犯罪取證的局限性

3.1 缺少軟件技術(shù)支持

在搜集犯罪證據(jù)的時候需要用到很多專業(yè)的軟件與設(shè)備，比如對數(shù)據(jù)信息的恢復(fù)，就需要相當(dāng)專業(yè)的技術(shù)力量才能實現(xiàn)，不過就目前現(xiàn)在來看，我國在這方面的投入還很欠缺，研發(fā)力量也不夠，多數(shù)軟件都是引進(jìn)外國的。雖然在技術(shù)上比較先進(jìn)，但是國內(nèi)尚無法律認(rèn)可的軟件，并且軟件的源代碼都是經(jīng)過技術(shù)處理的，不能讓我們獲取。所以，在軟件方面我們亟待加強。隨著網(wǎng)絡(luò)技術(shù)的不斷完善，針對計算機犯罪，執(zhí)法部門應(yīng)該不斷提高技術(shù)水平，制定相應(yīng)的措施，加強電子證據(jù)取證軟件的研究，為辦案人員取證提供各種有利條件。

3.2 犯罪人員利用科技手段阻礙取證

針對犯罪證據(jù)的搜集方法有很多，技術(shù)也比較先進(jìn)，但是犯罪人員也同樣會利用高科技手段擾亂執(zhí)法人員取證工作。他們會利用科技方法對數(shù)據(jù)進(jìn)行清除、隱藏、加密、消除痕跡等等。

首先是清除，比如在2006年的“熊貓燒香”病毒和2007年“灰鴿子”木馬程序，犯罪人員不光是清除了數(shù)據(jù)信息，并將計算機CPU寄存器、硬盤以及內(nèi)存中的數(shù)據(jù)給全部清除了，給辦案人員取證造成極大困擾。

其次是犯罪人員還會通過隱藏的方法將重要的無法刪除的數(shù)據(jù)信息給隱藏起來，像更改文件后綴的方法，比如將.doc改成.jpg，更改了文件的格式，當(dāng)辦案人員搜集證據(jù)的時候會誤認(rèn)為是一些圖片，其實是沒有圖像的Word文檔，在隱藏數(shù)據(jù)的時候還經(jīng)常使用隱寫術(shù)技術(shù)，比如通過DOS中的Copy命令把兩篇文檔組成一個圖片文件，同樣實現(xiàn)了隱藏的目的，然后再將隱藏的文件進(jìn)行加密處理，更大大增加了搜集犯罪證據(jù)的難度。

對數(shù)據(jù)進(jìn)行加密處理也是犯罪人員經(jīng)常用到的一種方法，是通過加密軟件將一些重要的數(shù)據(jù)信息加密后儲存起來。當(dāng)辦案人員打開這些經(jīng)過加密處理的文件的時候會發(fā)現(xiàn)很多亂碼，遇到這種情況只能先進(jìn)行解碼，然后再恢復(fù)數(shù)據(jù)。

還有些犯罪人員利用木馬程序來獲取計算機的超級用戶權(quán)限，然后將系統(tǒng)中的日志信息刪除，并清除痕跡。還有些高科技犯罪人員利用LiveCD、U盤啟動盤等工具進(jìn)行作案，這些工具在斷電后會自動消失，不會留下痕跡，更加增大了取證的難度。

3.3 其他方面的局限性

除了上述局限性外，在搜集電子證據(jù)的時候還有些其他方面的因素影響到取證工作。比如我國公安部門的相關(guān)規(guī)定中明確了計算機犯罪現(xiàn)場獲取證據(jù)的基本原則，但是卻缺少相應(yīng)的規(guī)范，這樣就造成在實際工作中取證人員出現(xiàn)不科學(xué)取證的問題，使得電子證據(jù)的可信度大打折扣，還影響到證據(jù)的有效性。計算機犯罪和其他的犯罪方式方法都有很大區(qū)別，其主要工具就是計算機與網(wǎng)絡(luò)，所產(chǎn)生的各種犯罪證據(jù)只有在特定的環(huán)境中還能被發(fā)現(xiàn)。作為辦案人員無法完全還原犯罪人員當(dāng)時的環(huán)境，因此對于計算機犯罪這種高科技犯罪來說，必須嚴(yán)格的按照相應(yīng)的辦案程序進(jìn)行，對電子證據(jù)要及時進(jìn)行保護(hù)，防止犯罪人員從中破壞，加大辦案的難度。

4 計算機取證技術(shù)的展望

計算機取證技術(shù)是由于計算機犯罪的出現(xiàn)而發(fā)展起來的?，F(xiàn)在計算機犯罪所采用的技術(shù)和手段越來越多樣化，這對我國的計算機取證技術(shù)提出了更高的要求與挑戰(zhàn)，今后我們要加入更多的先進(jìn)技術(shù)，比如反向跟蹤、入侵鎖定和數(shù)據(jù)挖掘等?？梢园讶∽C技術(shù)融入到檢測系統(tǒng)或是防火墻中。當(dāng)然，隨計算機犯罪目標(biāo)的變化，計算機取證技術(shù)也應(yīng)更趨向于專業(yè)化與智能化，最后建立更加標(biāo)準(zhǔn)化的取證體系，以此提高計算機取證的工作效率。

5 結(jié)語

計算機犯罪行為是隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展而出現(xiàn)的特定產(chǎn)物，電子證據(jù)的搜集、整理、分析、保護(hù)等工作也是一個比較新的領(lǐng)域，需要與時俱進(jìn)，不斷提高技術(shù)水平，不給犯罪分子可乘之機。在電子證據(jù)搜集方面我國起步較晚，這更反應(yīng)出對反取證技術(shù)研究的緊迫性。通過本文的分析我們了解到當(dāng)前計算機犯罪取證的局限性，因此需要加大對相應(yīng)的軟件與設(shè)備的研發(fā)，應(yīng)用更加先進(jìn)的技術(shù)，保證電子證據(jù)的有效性，為法庭審判提供更多的有利的證據(jù)。同時還要不斷完善取證工作管理制度，規(guī)范取證行為，提高電子證據(jù)的可信度與有效性。作為辦案人員也要不斷學(xué)習(xí)，在工作中總結(jié)經(jīng)驗，嚴(yán)格要求自己，這將是消除計算機犯罪證據(jù)局限性的重要方法。

［1］陳龍，麥永浩，黃傳河等.計算機取證技術(shù)［M］.武漢：武漢大學(xué)出版社，2007：1-5.

［2］陳克非，黃征.信息安全技術(shù)導(dǎo)論［M］.北京：電子工業(yè)出版社，2007：1-5.

［3］陳家林.外國刑法通論（第1版）［M］.北京：中國人民公安大學(xué)出版社，2009.

［4］劉品新.電子取證的法律規(guī)制［M］.北京：中國法制出版社，2010.

［5］王強.計算機犯罪相關(guān)問題的思考［J］.計算機與軟件，2013（5）：40-41.

［6］肖茜瑩.計算機犯罪探析［J］.吉林公安高等?？茖W(xué)校學(xué)報，2011（3）：82-84.

［7］陳丹.分析與防范計算機犯罪［J］.辦公自動化，2012（4）：37-38.

［8］趙騫羽.網(wǎng)絡(luò)時代計算機犯罪的概念和特征剖析［J］.咸寧學(xué)院學(xué)報，2012（7）：139-140.

（責(zé)任編輯：季 平）

Research on the limitation of computer crime forensics

YE Bi-xia
（Department of Computer Engineering，Zhangzhou Institute of Technology，Zhangzhou 363000，China）

With the development of science and technology，the application of computer is becoming more and more extensive，but at the same time，computer crime is becoming more and more serious.The computer crime belongs to the product of the times，which is a kind of crime with high technology，and it is a kind of criminal behavior that is highly technical，and it is difficult for the public security organs.This paper mainly analyzes the current computer crime forensics related to the meaning and technology，its limitations are summarized.

Computer；Crime forensics；Technology；Limitation

TP399

A

1673-1417（2015）03-0001-04

10.13908/j.cnki.issn1673-1417.2015.03.0001

2015—07—12

葉碧蝦（1980—），女，福建龍海人，講師，研究生，研究方向：計算機軟件技術(shù)。