计算机取证技术的运用分析

顾艳林

［摘要］ 本文基于工作经验，分析了计算机取证技术在侦查网络犯罪中运用的现状，指出了计算机取证技术运用中存在的一些问题，并着重介绍了增强运用意识，普及理论知识，发展取证技术，培养专业人才，规范取证过程，健全相关法律等多种应对措施及其具体运用。希望给相关人员一些启迪和思考，在这方面深入探索和研究，积极促进计算机取证技术的发展依靠新的技术手段来大力打击网络犯罪。只有通过全面有效的发挥计算机取证技术的作用才能促进网络安全，为我国人民正常地运用网络提供安全稳定和谐的环境。相信在计算机取证技术日益发展的过程中能够有效地打击各种犯罪行为，为我国创造一个良好的网络环境。

［关键词］ 计算机取证技术； 运用研究； 应对策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 04. 040

［中图分类号］TP39；D918.2［文献标识码］A［文章编号］1673 - 0194（2012）04- 0065- 03

随着信息时代的来临和网络技术的进步，网络安全已经成为人们日益关注的话题。由于网络安全体系的不完整、相关法律制度的不完善以及技术上的局限，很多犯罪分子凭借其高超的技术利用网络中的缺陷来从事违法犯罪行为，给网络安全带来了非常大的隐患。在这种情况下大力发展计算机取证技术已经成为必然选择。近年来，我国的计算机取证技术开始有所发展，但是与国外的一些国家相比仍然存在着相当大的差距，为此，有关部门应该要提高认识增强信心积极采取措施使计算机取证技术能够尽快地、有效地运用到社会生活中。

１计算机取证技术运用的现状

当前计算机取证技术在我国司法领域还没有得到有效的运用，综合相关信息主要是因为我国相关部门还没有引起足够的重视，特别是对计算机取证是否合乎法律能否成为法庭上的有力证据还存在着相当大的争论。由于在对取证技术的认识上存在着一定的偏差且该项技术还没有得到充分的发展，因此要积极关注计算机取证技术的现状，寻找其中的问题，并积极采取措施进行解决。

１．１运用意识不强，理论知识缺乏

计算机取证技术作为一种新的取证手段，是处于计算机和法学之间的一种边缘学科。这种技术虽然有所发展但还没有被广泛地运用到网络犯罪的取证中去，这主要是因为有关人员的运用意识不强。运用意识不强的主要是那些受传统取证思想束缚的网络犯罪调查人员。由于计算机取证技术是对传统取证规则的一种挑战，因而对很多人的思维模式产生了一种冲击。很多人都认为要使电子证据被人信服就必须要制定一种标准来判断电子证据的真实性可靠性，而这种标准的制定是不统一的。除了运用意识不强外很多人对于计算机取证技术的知识也非常匮乏，电子证据具有无形性和脆弱性，因为电子证据不能为肉眼所见且非常容易被更改，这就使得人们对计算机取证技术的实用性存在着相当大的怀疑。取证必须及早进行，在进行的过程中要保证电子证据的连续性和完整性并要实现取证过程的全程监督，这是非常困难的。这也是相关人员对于计算机取证理论知识缺乏的一个重要表现。

１．２技术发展乏力，专业人才缺乏

计算机取证技术是获取电子证据的直接手段，要充分发挥电子取证技术的作用需要不断地发展计算机取证技术，但很多有用的技术都没有取得突破性的发展。对于网络犯罪调查人员来说，计算机取证技术按是否与网络连接为分类标准，大体包括两种取证技术，一种是基于单机的计算机取证技术，另一种就是基于网络的计算机取证技术。前者中包含的比较常见的一种技术是数据恢复技术，通常情况下犯罪分子会将记录在磁盘上的犯罪证据格式化以消除证据，其实这些数据仍然还保留在磁盘中只不过是被转换了结构而已，只要这些证据存在过就可以被恢复，在这个过程中还可以依靠磁盘映像拷贝技术将证据逐字节地拷贝下来，但我们对这些技术却没有引起足够的重视因为太容易被忽视了。在基于网络的计算机取证技术中比较常用的是ＩＰ地址获取技术，调查人员可以通过系统日志和与被调查者直接对话以获得对方的ＩＰ地址，并利用全球ＩＰ地址分配表来定位该地址并采取适当的行动，可是这种技术也没有被充分利用。当然，与相关技术配套的专业人才也没有实现技术创新甚至很多相关技术领域的精英人才也非常少。

１．３具体实践困难，法律漏洞较多

计算机取证技术与传统的取证技术相比有非常大的优势，然而在使用的过程中却存在着相当大的困难。具体的表现在以下几个方面：首先，电子证据的产生、传输、保存都需要高技术和先进设备的支持；其次，电子证据的形成需要处理好计算机网络运转过程中的各个环节，非常容易影响到计算机系统的运行；第三，取证的过程需要多方监督，获取的电子证据也要经过严格的鉴定，这就对各个环节的紧密性和技术性要求非常高，因而加大了计算机取证技术运用的实际难度。除此之外，法律的漏洞也使得计算机取证的真实性和可靠性难以获得认可。我国关于计算机取证技术的相关立法还不多且没有形成一个完整的系统因而给不法分子很多漏洞可钻。关于计算机取证的原则和过程没有得到法律上的确切的承认，对于电子证据的鉴定标准也存在着一定的歧义，所以尽快弥补相关的法律漏洞也是非常必要的。

２如何提高计算机取证技术的运用水平

计算机取证技术的运用受到很多方面的制约。特别是取证手段和电子证据要得到法律承认，专门的电子证据鉴定部门也要科学地制定电子证据认定合格的标准。在这种情况下一方面要妥善处理好立法方面的工作，另一方面要坚定地发展新的计算机取证技术以确保在调查犯罪中能够发挥出计算机取证技术的重要作用。针对计算机取证技术中存在的相关部门必须要及时地采取有力的解决措施。

２．１增强运用意识，普及理论知识

为了使计算机取证技术能够得到更广泛的运用，有关部门应该增强计算机取证技术的运用意识。一方面要认识到新的犯罪形式的产生直接造成的证据的多样性，即电子证据同样可以反映犯罪分子的犯罪事实；另一方面也要认识到计算机取证在新的情况下拥有更大的优势。除了要增强运用意识外还应普及理论知识，这些理论知识主要包括具体的取证技术和其运用的具体环境。计算机取证技术网络入侵追踪技术就是一种非常实用的取证技术，通过获取ＩＰ地址来实现对攻击源的追踪。要使相关调查人员获得这些技术方面的知识就需要对这些知识进行系统的总结和普及，相关部门在普及计算机取证技术理论知识的过程中应该从以下几个方面来采取应对措施：首先，司法部门和取证技术监督部门要尽快制定一套符合我国法律标准并合乎取证实际的规章制度，将各种取证技术进行系统的归类总结，在相关司法体系和调查队伍中进行普遍宣传；其次，可以让一批具有专业知识且经验丰富的办案人员对广大学员进行面对面的交流，通过案例剖析和经验传授来达到理论知识传授的目的，这对于广大办案人员了解取证过程协助办案具有非常重要的作用，既不会在无意中破坏取证现场也可以确保取证的顺利进行；最后，各级办案人员要增强自身的法律意识特别是要提高对于网络犯罪和电子证据的认识，在此基础上加深对计算机取证技术的认识，从而对办案手段有一个更加清晰的了解，这对于提高办案水平加大对犯罪分子的打击力度具有非常重要的作用。相信在有关部门的共同努力之下一定能够在这方面取得巨大的进步并使计算机取证技术能够真正在实际调查和最终审判中发挥应有的作用。

２．２发展取证技术，培养专业人才

针对计算机取证技术发展乏力的现状，应该主要从以下几个方面采取措施积极发展取证技术：首先，要集合相关方面的专业人才对需要深入发展的技术进行收集汇总并有步骤地进行系统的发展；其次，要设立专门的取证技术研究部门，只有设立专业的研究机构才能使取证技术发挥较强的作用；最后，发展取证技术要以取证的实际需要为出发点，只有这样才能实现技术的更新换代并为打击犯罪分子提供必要的技术保障。取证技术中的动态取证技术和电子证据相关性分析技术在为调查人员提供电子证据并验证证据的可靠性方面起到非常重要的作用，其主要的立足点是网络安全工具，需要专家对协议层的网络数据进行系统的分析。发展电子证据相关性技术需要有关人员寻求科学的算法对各证据源数据进行科学的分析以判断其相关性，这样才能实现将犯罪事实完全反映出来的目的。在人们积极强调发展计算机取证技术的同时，有些不法分子也在相对应地发展反取证的技术，这是一场犯罪分子和调查人员之间的竞赛，毫无疑问，只有调查人员时刻抓住时代发展的脉搏积极寻求新技术的突破才能实现持久有效地打击犯罪的愿望。除了发展取证技术外还应该积极培养专业人才，因为只有培养出一大批相关的技术人才才能将这些技术恰到好处地运用到实际的调查过程中。为此，应该从以下几个方面积极采取必要的措施：

首先，要成立相关的计算机取证技术人才培养中心，特别是要建立计算机取证技术人才培养中心与相关司法部门之间的关系，特别是要利用科研机构和高校等比较健全的组织来完善人才培养体制以实现计算机取证技术的普及和推广。

其次，要与其他国家计算机取证技术研究组织建立必要的联系，可以选派一批优秀的人员去学习交流以实现技术上与国际对接的目的，当然在经验交流上也可以取得非常重要的收获。

最后，培养计算机取证人才还要增强人才的法律意识和责任意识，只有这样才能确保人才能够尽职尽责地做好本职工作。通过取证技术往往能够为案情的侦破提供非常重要的证据。以电信行业和计算机行业中的欺诈案件为例，很多人在进行欺诈的过程中往往会在计算机中遗漏一些线索，办案人员通过查询系统日志或通讯记录以及磁盘中的文件往往能够找到相关的违法犯罪证据，办案人员可以顺藤摸瓜利用相关的电子证据对违法犯罪分子采取必要的措施并为最后的定罪做好各方面的准备。由此可见，计算机取证技术在侦查违法犯罪案件中具有非常重要的作用，通过采用计算机取证技术可以提高办案人员的工作效率。

２．３规范取证过程，健全相关法律

由于计算机取证技术非常复杂，需要高技术和先进设备作为取证的工具，因而取证过程往往是一个非常艰难的过程。为了规范取证过程应该从以下几个方面积极采取措施：首先，要将取证过程分为物理证据获取和信息发现两个部分，在物理证据获取方面要注意保持计算机的原貌，不能进行与取证无关的操作，特别是不能让犯罪分子有机会将证据进行销毁，面对大量的证据要利用强大的高速磁盘复制功能以尽快地将电子证据储存起来，在信息发现部分则要将犯罪嫌疑人在计算机上的工作过程进行还原以获得有价值的信息，信息发现是建立在物理证据获取基础上的一种非常重要的信息分析功能；其次，规范取证过程还应立足于发展自动化、专业化、智能化的取证工具上，只有利用这些科学的取证工具才能确保取证过程的规范；最后，要确保取证过程中的信息保密防止信息外泄，获取的电子证据应该连续且在相关部门的监督下完成，只有这样才能实现取证过程的规范合理。当然，除了规范取证过程外还应该要健全相关法律，必须从法律角度规范计算机取证的合法性并保证取证结果是符合案件调查需要的。

加强法律保障应该从以下几个方面着手：首先，要考虑传统取证手段的正常程序，特别是应该借鉴在这方面已经取得一定成效的相关的法律；其次，要尽量考虑到取证立法不会损害公众的利益，特别是要充分考虑取证过程中会引起的网络系统运转不协调的情况；最后，要总结经验教训特别是要根据新的形势的需要进行一些符合实际的更改和变动。相信有了如此完备的法律做保障，并在技术和程序上进行完善，一定能实现取证的突破，为案件的调查和审判提供便利条件。计算机取证技术必须要在法律的范围内按照程序来办事，可以通过商业间谍犯罪案例来进行说明，随着商业竞争的加剧，有些企业试图通过不正当的手段来获取商业机密以击败自己的竞争对手来赢得胜利，计算机无疑是最重要的获取商业机密的工具，在网络安全并没有达到绝对安全的情况下往往可以轻易地实现这种目的。调查人员可以着眼于此利用计算机取证技术来获得犯罪分子的犯罪证据，当然在程序上可以充分地得到相关法律的支持。可以说，利用计算机取证技术是实现办案快捷的重要途径。

３总结

总而言之，发展计算机取证技术是当前促进取证发展的一个非常重要的手段，也是在新时期适应证据多态性的一个必然选择。在网络技术迅猛发展的今天，充分发挥计算机取证技术在各种违法犯罪特别是网络犯罪中的作用具有非常重要的意义。只有顺应形势促进计算机取证技术的发展才能推动办案审判水平的提高，为确保人民生命财产安全提供必要的保障。虽然目前实现发挥计算机取证技术在整个行业中的作用还面临着相当大的挑战，但相信在有关人员的共同努力之下一定能够取得突破。

主要参考文献

［１］ 尉永青，刘培德． 计算机取证技术研究［Ｊ］． 信息技术与信息化，２００５（４）．

［２］ 钱桂琼，杨泽明，许榕生． 计算机取证的研究与设计［Ｊ］． 计算机工程，２００２（６）．

［３］ 王玲，钱华林． 计算机取证技术及其发展趋势［Ｊ］． 软件学报，２００３（９）．