李志超 崔聰聰

摘要：計算機取證技術(shù)對于預(yù)防和解決一些網(wǎng)絡(luò)犯罪具有非常明顯的作用，本文從計算機取證技術(shù)的概念出發(fā)，研究了取證技術(shù)的基本原則、內(nèi)容及取證過程中出現(xiàn)的問題，并對計算機主機隱秘信息取證系統(tǒng)進(jìn)行了一定程度的分析。

關(guān)鍵詞：計算機;主機隱秘;取證技術(shù)

隨著計算機技術(shù)的不斷的發(fā)展，打擊互聯(lián)網(wǎng)犯罪也成為目前解決互聯(lián)網(wǎng)安全的主要手段之一，在獲取互聯(lián)網(wǎng)犯罪證據(jù)時必須用到計算機取證技術(shù)，通常情況下需要對計算機軟件和工具進(jìn)行詳細(xì)的分析和研究，然后在通過特定的活動提取和尋找有法律依據(jù)的證據(jù)，我國現(xiàn)階段對互聯(lián)網(wǎng)犯罪的打擊越來越強，相關(guān)部門也出臺了一些法律法規(guī)，一些電子的證據(jù)也慢慢的被法律認(rèn)可，因此研究計算機取證技術(shù)越來越重要。國內(nèi)計算機取證技術(shù)已經(jīng)開展多年，目前在該領(lǐng)域主要是缺乏較為科學(xué)和規(guī)范的計算機取證程序，所以在分析海量數(shù)據(jù)時具有一定的難度。雖然在很多時候一些引進(jìn)的取證軟件能夠一定程度解決問題，但還是未能夠?qū)崿F(xiàn)預(yù)期效果。

一、計算機取證技術(shù)基本概念

計算機取證技術(shù)涉及學(xué)科領(lǐng)域較為廣泛，是一門交叉性學(xué)科，在很多領(lǐng)域都有著一定程度的應(yīng)用。我國在計算機取證技術(shù)方面尚處于初級發(fā)展階段，理論研究和實踐時間均不長，還有很多技術(shù)難題等待解決。但是在打擊并遏制計算機犯罪，維護(hù)社會公正、公平以及國家信息安全方面，計算機取證技術(shù)可以提供強有力的證據(jù)保障。傳統(tǒng)意義上的取證技術(shù)，即是指通過分析計算機和網(wǎng)絡(luò)運行狀態(tài)，來研究嫌疑人所做的違法或危害公共安全的行為。黑客經(jīng)常會入侵一些計算機系統(tǒng)，導(dǎo)致很多機密信息泄漏，給客戶造成重大損失，構(gòu)成違法犯罪行為。還有一些不法分子會通過計算機給整個社會帶來巨大威脅。但是這些行為勢必會在整個入侵線路中留下痕跡，通過先進(jìn)的計算機技術(shù)就能夠找到這些證據(jù)，進(jìn)而將犯罪分子繩之以法。

二、計算機系統(tǒng)取證基本原則

（一）依法取證的原則

在我國法律中規(guī)定，司法鑒定和取證中必須存在以下4個主體時才能證明證據(jù)的合法性即主體、對象、方法和過程同時存在。計算機網(wǎng)絡(luò)中的取證也需要合法的調(diào)查人員進(jìn)行取證和鑒定，這些合法的人員必須是一些資質(zhì)鑒定的技術(shù)專家。對于以上所講的對象合法，就是指在取證時只是對與案件相關(guān)的電子信息進(jìn)行取證，對于超出與案件相關(guān)信息的范圍時調(diào)查人員要停止鑒定，這樣主要就是避免發(fā)生侵犯受害者的隱私權(quán)、商業(yè)秘密等合法的權(quán)益。

（二）備份取證原則和無損原則

無損原則顧名思義就是保證一些設(shè)備的完好無損，這主要是指在取證的過程中一定要愛護(hù)涉案設(shè)備，使得涉案設(shè)備的運行環(huán)境等保持完整，不能做任何修改。并且在收集一些電子信息時必要要對這些重要的數(shù)據(jù)進(jìn)行備份，常用的備份方法就是鏡像技術(shù)，這樣既能保證原始數(shù)據(jù)的完整性還能夠在原始數(shù)據(jù)丟失時能夠及時得到補充，其中多備份原則就是這個目的，原始的數(shù)據(jù)可以保存起來，備份的數(shù)據(jù)可以用來操作和分析。

（三）及時性和準(zhǔn)確性

由于這些取證的信息都是在計算機運行過程中實時提取的一些數(shù)據(jù)，這些數(shù)據(jù)不是認(rèn)為生成的，而是自動生成的，因此如果計算機運行超過一定的時間后這些數(shù)據(jù)就可能發(fā)生一些變化，所以如果鑒定人員在發(fā)現(xiàn)可以收集的數(shù)據(jù)時要盡快進(jìn)行收集防止時間長了數(shù)據(jù)會產(chǎn)生變化，給取證造成不便，以上就是說的及時性的原則，準(zhǔn)確性主要是指一些調(diào)查取證人員在取證的過程中一定要仔細(xì)認(rèn)真，嚴(yán)格的按照相關(guān)的規(guī)定來進(jìn)行取證，只有這樣才能獲取真實的取證結(jié)果，保證證據(jù)的完好無損。

（四）過程監(jiān)督和管理原則

電子證據(jù)是一種無形的信息，要保證這些證據(jù)的完好無損必須要有專門的人員進(jìn)行監(jiān)督，在計算機取證的過程中要有全程的技術(shù)專家進(jìn)行現(xiàn)場的指導(dǎo)和實時的監(jiān)控，這些數(shù)據(jù)的保存和轉(zhuǎn)移也必須得到相關(guān)部門的批準(zhǔn)才能進(jìn)行處理，并且在處理時要進(jìn)行備份，處理的過程中還要對處理的過程進(jìn)行相關(guān)的記錄。

三、計算機取證內(nèi)容

計算機取證的內(nèi)容主要有兩個方面：計算機主機系統(tǒng)與計算機網(wǎng)絡(luò)。

計算機硬盤和其他存儲介質(zhì)是違法犯罪分子留下痕跡的最主要模塊，譬如說計算機硬盤，一些移動存儲設(shè)備，USB接口等，這些模塊往往是違法犯罪分子入侵過程中必經(jīng)之路。大量的證據(jù)信息一般會出現(xiàn)與數(shù)據(jù)文件、臨時文件、日志文件等，也有可能會出現(xiàn)在并未進(jìn)行硬盤分區(qū)的空間之中，我們可以將這些證據(jù)分為用戶創(chuàng)建型文檔、用戶保護(hù)型文檔等幾種類型，對這些數(shù)據(jù)類型進(jìn)行深入分析與研究，就能夠清晰的分析出犯罪分子的整個犯罪過程。所謂用戶保護(hù)型文檔，即是指用戶在使用計算機過程中，主觀意識上不想公開的文檔，譬如一些隱藏文件、加密文件以及壓縮文件等，這些文件中保存有大量重要信息，這些信息的泄漏會給用戶帶來不可預(yù)想的損失。

四、計算機信息隱秘取證存在的問題

第一，缺乏一些正規(guī)的取證過程，目前計算機隱秘取證過程都是一些傳統(tǒng)的取證過程不能保證取證的科學(xué)性和規(guī)范性。隨著計算機犯罪日益的增多，我國相關(guān)的部門也制定了計算機隱秘取證的原則，但是這些原則只是一些籠統(tǒng)的概念，并沒有對一些操作的過程進(jìn)行詳細(xì)的說明和解釋，所以在計算機隱秘取證的過程中會很容易不按正規(guī)的方式來進(jìn)行取證，這樣就會使得取得的電子爭取的可信度大打折扣，造成這些證據(jù)在法庭上的價值降低。

第二，是信息的分析難度大，由于在計算機取證時的數(shù)據(jù)是龐大的，就向大海撈針一樣從大量的數(shù)據(jù)中得出有用的數(shù)據(jù)，分析的難度非常之大，表現(xiàn)的形式也非常的復(fù)雜。

第三，取證軟件不足，目前我國研發(fā)的一些取證軟件遠(yuǎn)遠(yuǎn)不能達(dá)到相關(guān)的取證要求，必須要引進(jìn)國外的一些取證軟件，并且這些取證軟件價格非常昂貴有時還不適合我國的基本國情，在目前大部門的取證都是使用臨時制作的小程序，或者是人工操作進(jìn)行收集，這樣收集的信息可信度就比較低。

五、計算機主機隱秘信息取證系統(tǒng)分析

我國的計算機取證軟件有很多，但是最常用的只有幾種，比如金諾網(wǎng)安介質(zhì)取證系統(tǒng)等，這些軟件在對計算機進(jìn)行取證時主要包含一下幾個過程：對信息進(jìn)行采集、分析、加工、傳輸，其中計算機的主機取證時最為主要的取證，其中包含很多子模塊，這些模塊主要包括自動隱藏模塊、卸載模塊、文檔數(shù)據(jù)取證模塊等，整個系統(tǒng)的開始就是自動隱藏和加載模塊，只有它順利的工作才能保證整個計算機隱秘系統(tǒng)的正常運行，在這個過程中腰時刻注意軟件的啟動和關(guān)閉過程，這些模塊必須具有以外關(guān)閉自啟動功能，還要具有防病毒軟件躲避的功能。

自動卸載模塊的功能最主要的技術(shù)就是卸載組建的順序和卸載的過程隱蔽性，這個模塊工作時必須要先將主機上的一些文本數(shù)據(jù)進(jìn)行清理，然后在進(jìn)行卸載，其中文檔數(shù)據(jù)的取證是整個取證過程中的核心部分，基本上所有的取證都是通過這個模塊來完成的。

計算機主機隱秘取證系統(tǒng)是一個數(shù)據(jù)采集的系統(tǒng)，數(shù)據(jù)采集后通過相關(guān)的突進(jìn)進(jìn)行傳輸然后進(jìn)行遠(yuǎn)程控制，這個系統(tǒng)都是一體的，主要包括主機取證平臺和取證管理平臺兩個大的部分，在這其中主機取證可以通過網(wǎng)絡(luò)植入到目標(biāo)的主機中區(qū)，在這個目標(biāo)主機中隱秘的運行，通過相關(guān)的模塊來獲得相關(guān)的電子數(shù)據(jù)，這些電子數(shù)據(jù)再傳回操作的計算機，這樣就能實現(xiàn)電子取證。

【參考文獻(xiàn)】

[1]熊杰.計算機主機隱秘信息取證技術(shù)研究[J].軟件導(dǎo)刊，2013，04：157-159.

[2]向楨.淺析計算機主機隱秘信息取證技術(shù)[J].價值工程，2015，06：227-228.

[3]王路遙.分布式動態(tài)計算機取證技術(shù)的研究與實現(xiàn)[D].電子科技大學(xué)，2012.

[4]石俊芳.探析計算機取證技術(shù)[J].計算機光盤軟件與應(yīng)用，2013，23：98-99.