计算机取证技术综述

【摘要】计算机取证技术已经人们生活息息相关，越来越多的国家及科研机构、学校正在加强该技术的研究。文中介绍了计算机取证技术的相关知识，接着列出研究现状及相关产品，最后提出了研究方向。

【关键词】计算机取证技术；研究现状；研究方向

1.引言

计算机取证学涉猎计算机科学与技术、刑事侦查学和法学三大学科，它是一门较为综合的交叉学科。随着网络技术、计算机科学与技术及移动通信技术的飞速发展，相关技术也广泛地渗入了社会的各个领域，三大技术使用门槛降低，越来越多的普通民众享受着新兴技术提供的无限便利。然而，许多资深黑客、甚至是有一点点计算机技术的初学者利用网络技术、计算机技术及移动通信技术做着违法的勾当，严重损害了人们的经济利益。计算机取证学为狠狠打击这些违法犯罪行为提供有利的法律证据，越来越多的国家及各国科研机构、学校正在加强该学科的研究。

2.计算机取证相关知识

2.1 概念

计算机取证概念首次提出是在1991年，距今已有20多年的时间。当时，它由计算机专家国际联盟（IACIS）在美国召开的会议上阐明。简单地说，计算机取证就是对犯罪嫌疑人遗留在计算机中的证据进行提取、存储、鉴定和归档的过程。提取出的证据被称为数字证据或电子证据。当然，提取的电子证据必须是全面的、可靠的、具有法律效力的。

伴随着网络技术、计算机科学与技术及移动通信技术三大技术的快速发展，计算机取证概念已被扩充。按照国家法律条文规定，具有取证资格的人员将存在于计算机本身、相关外部设备及网络传输介质中的或存在于移动通讯设备中的证据进行提取、存储、鉴定和归档的过程。比如网络设备接入记录、防火墙日志、系统日志、文件修改记录、电子邮件、通讯记录，甚至一张不显眼的图片或将可以成为打击犯罪的强有力证据。

2.2 分类

按照取证源分类，分为计算机主机取证、网络取证及其他电子通讯设备取证三类。 来自计算机主机取证、网络取证、其他电子通讯设备的证据类型均可分为硬件数据和软件数据。比如寄存器数据、硬盘盘片数据、用户创建的文档、软件使用记录等来自于计算机主机取证；交换机或路由器上存在的记录、IDS日志、通信信道上的数据记录来自于网络取证；而电子通讯设备证据来源有手机、PAD设备中存在的密码、地址簿、计划任务表或SIM卡里存放的含有日期时间标记的视频、文档等信息等。

按照取证时刻分类，分为静态取证和动态取证两类。计算机静态取证也被称为事后取证、被动取证；计算机动态取证也被称为实时取证、主动取证。由于电子证据有易失性特点，取证人员如果仅单一地凭借计算机静态取证技术无法满足为当今网络、计算机及移动通讯设备取证的需要。为更全面地获取电子证据，静、动态取证技术两者结合已经成为必然趋势。比如，在组网时，建立DMZ区域联合蜜罐、蜜网技术形成主动防御区域。该防御区域既可以对入侵行为进行阻止， 又可以完成对入侵行为事后的分析，为获得全面的电子证据奠定了基础。

2.3 取证步骤

取证步骤包括保护目标、证据确定、收集、保护、分析和归档等六个步骤。保护目标系统是指锁定疑似取证源进而起到保护证据的作用。确定和收集证据提取目标系统中的潜在证据，这与在提取普通物证的过程类似，需要取证人员有专业知识且非常细心，以免遗漏一些对打击犯罪嫌疑人十分有力的证据。证据保护指必须保证被提取出的证据在提交过程未被篡改，否则无法确保电子证据的有效性。证据分析的目的是利用一些已有的法则、规则将潜在证据中合法的、有效的证据找出，为归档做准备。归档是整个取证过程中的最后一步，这阶段存放电子证据的编号可以借鉴较为成熟的普通物证存放编号法则来编写存放编号，便于呈堂时电子证据的查找。以上六个步骤环环相扣，缺一不可。

3.计算机取证技术现状及相关产品

国外计算机取证技术研究起步早于我国，已形成理论体系，建立了计算机取证实验室用来调查恐怖袭击和计算机犯罪，并且有公司推出了已在使用的应用产品。Security Focus和Forensics Focus两大国际著名的网络安全站一直在跟踪国际上最新的取证技术前沿知识并为全球从事取证的研究人员提供交流平台。我国计算机取证的研究与实践仍处起步阶段，国内许多科研机构及高校已致力于取证技术研究，取证公司推出了取证相关产品及配套的解决方案，取证工具逐步智能、专业和自动化，但相关法律法规仍待健全。国家十五科技攻关项目电子数字证据鉴定技术、国家863项目电子物证分析保护技术、取证重放技术等方面全方位开展了研究。每年都有以计算机取证为主题的国际学术会议召开，各国取证专家齐聚一堂，为取证技术的发展提供导向。

国内外较为常用的取证技术有数据保护、恢复、挖掘技术、磁盘镜像拷贝技术、内存信息获取技术、信息过滤技术、IDS技术、网络逆向追踪、信道信息盲取证技术、手机信息取证。倘若犯罪分子使用反取证技术实施犯罪，而取证人员如果单一使用上述技术，很难实现全面提取电子证据。比如黑客常常使用控制国内肉鸡的方法完成后续不可告人的入侵目的，或使用代理跳板方法控制国外肉鸡，实现跨国网络攻击。即便是取证人员利用追踪技术查获IP，只会显示肉鸡地址，黑客实现了自身非法入侵痕迹不被发现，案件侦破将陷入僵局。再有，不法分子将非法链接或支付信息做成二维码吸附手机用户的话费或与捆绑的银行卡中的金额，如果仅仅依靠单一取证手法，无法完成有力打击犯罪分子的目的。当前国内外取证研究热门在云计算领域，国内部分学者已经给出了云计算取证方案，中国人民公安大学则加强了在这方面的研究。

较成熟的取证工具有针对计算机及网络的Encase系统、TCT系统、Netlntercept系统、取证机、取证箱、计算机在线取证系统。EnCase基于 Windows 界面的取证应用程序，功能包括建立保存案例、建立证据文件等；TCT基于 Unix 系统的主机的取证程序，可以对运行着的主机进行信息捕获并分析；Netlntercept系统络取证系统可支持60 多种网络协议格式并产生详细的报告。山东省科学院计算中心研发的计算机在线取证系统与国际前沿研究水平同步，在同类系统研究中达到领先水平。针对移动通讯设备取证的手机取证专用系统，厦门美亚柏科出品的FL-900实验室级手机取证塔主要应用于实验室取证和现场取证中。网络上提供了针对计算机取证技术爱好者的免费软件，比如Helix包含内核信息、硬件检测等信息；Wireshark针对网络通信，可查看有无可疑信息发出； Live View首要为用户现有系统创建一个虚拟机，并结合开源的Live View软件使用；OpenFilesView只占82.88k，但可以罗列出系统上所有基于本地或网络的文件。

4.计算机取证技术研究方向

随着网络犯罪案例的日益增多，如计算机诈骗、窃取和篡改个人信息、电子商务纠纷、手机诈骗，作为打击网络犯罪的计算机取证技术也逐渐走进普通百姓的生活之中。计算机取证技术的发展遭遇了众多拦路虎，网络技术的发展导致网络取证犹如大海捞针，计算机科学与技术的发展导致硬件、软件取证困难重重，移动通讯技术的发展导致定向取证技术步履维艰，加之反取证技术的阻挠，取证技术举步维艰。

取证技术面对海量、动态的数据，如何快速获取、实时分析和有效存储是取证技术亟待解决的问题。无论这些数据是来自网络、计算机、还是来自移动通讯设备，如何从纷繁复杂的数据里获取打击犯罪嫌疑人有力证据，对办案人员来说是考验，对研究人员来说是机会。

我国在计算机取证技术方面的提升空间还很大，希望在各机构、学校的努力下，使我国的取证技术达到世界领先水平。

参考文献

[1]刘文俭.浅谈计算机取证技术[J].电脑知识与技术，2010，6（28）：7939-7941.

[2]赵利，王昌华.存储介质安全取证研究[J].中国人民公安大学学报，2013，4（4）：62-65.

[3]陈光宣，杜彦辉等.云环境下电子取证研究[J].信息网络安全，2013，8，87-90.

[4]王志锋.基于信道信息的數字音频盲取证关键问题研究[D].广州：华南理工大学，2013.