计算机取证技术及其发展趋势探讨

李倩

摘要：计算机取证技术属于计算机安全技术的一部分，能够利用计算机针对信息进行识别，实现对数据获取、保存、传输、分析、认证以及提交，保证最终呈现出的数据文件被法庭认可。在此过程中需详细对计算机当中的数据进行剖析，进而通过计算机取证的实现推动各项工作的顺利开展。

关键词：计算机取证;发展趋势;法庭认可

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）20-0184-02

在计算机技术迅速发展背景下，信息传播速度更快，網络犯罪问题逐渐增加，网站受到攻击的次数递增趋势明显，计算机出现被入侵的数目较大，因此计算机网络安全问题受到了越来越多人的关注。但是计算机网络在使用时具有虚拟性与缺乏稳定性特点，导致网络犯罪难以找到充分、确切，并且说服力较强的证据，在此情况下，便应注重计算机取证相关技术的运用[1]。

1 计算机取证概念与特点

计算机取证的另一个名称为计算机法医学，需通过计算机辨析方式收集和分析计算机当中的电子数据，然后对其进行转化，使其使用时法庭能够接受，保证其说服力[2]。计算机取证过程中使用工作应获得专业认可，防止电子数据提取时出现被破坏或者是被修改的情况，进而使数据客观性得到充分保证。

与传统证据相比，计算机取证的整个过程信赖程度较高，完整性更明显，能够促进系统化处理以及运维机制的建立和健全，确保相应流程与法律实际要求相互符。计算机确证在特点上主要表现在这几方面：首先，高科技性。在取证过程中，工作部门需扫描证据、系统取证，并进行固定分析，整个过程需运用技术含量高且专业性强的设备管控。进而确保取证实效性以及链条完整性，进而使计算机技术在使用时的优势充分发挥出来，保证信息收集过程的合理性。其次，无形性。计算机取证和人工取证之间相比，能够充分运用输出设备，通过输出设备处理数据，进行对结果进行有效判定，保证取证工作实施时效性[3]。再次，人机交互。在的取证时，为了使整个取证过程更加专业，就应保证操作步骤、操作流程的合理性与科学性，并积极对相关管理工作进行优化。在运维管理实施时，需由于专业人员操作计算机，使其运行的系统受到人为因素过多影响。数据脆弱。由于电子数据常常会出现被修改问题，并不受时空约束，修改之后并不会有明显痕迹留下，这在一定程度上会将数据丢失概率加大[4]。

2 取证技术步骤具体分析

首先，保护电脑和发现信息。在进行计算机取证过程中，最先需要做的便是对可疑计算机当中的数据进一步确定，因此需做好对计算机的保护工作，防止计算机出现重新启动或者是运行应用程序的情况。潜在数据可能在闲散空间以及交换文件中，在将计算机重启或者是运行系统情况下，会对使计算机将证据覆盖或者是出现重写问题，这主要是由于启动时可能会将已经存在或者是已经创建的文件打开，导致原先数据被覆盖或者是被擦掉。在获得物理证据情况下，之后重要工作便是发现信息，案例不同情况下往往在发现信息时的要求会有所不同，部分情况下只需发现图片、文件、邮件便可，多数情况下需将计算机之前工作中涉及的细节性问题进行详细呈现。为了使原始数据得到充分保护，在不存在特殊需要时，工作中发现的原始证据都需进行物理拷贝。与犯罪证据相关文件有很大可能被删除，因此往往需运用数据恢复方式将文件找回，同时包通讯记录或者是其他重要线索[5]。实际上当前运用的取证软件能够实现对数据较好的恢复。并且包含一些文件属性获取以及档案处理，获取数据情况下，专业人员需对关键字、文件属性、数字摘要等进行详细分析，并对日志进行系统搜索，对文件进行有效解密等等，但是就当前社会发展现状来讲，并不具备综合分析数据的工具，因此对于数据结果分析验证主要依赖于相关专业人员。工作人员在工作中应对信息系统有充分认识与了解，熟悉计算机操作、组成、数据库、分布计算、协议等，在此基础上才能保证工作实际效果。

其次，运用物理取证方式。物理取证属于取证工作在实施时的基础。在获取证据过程中重要工作便是保证原始证据不受到影响与破坏。就犯罪证据来讲，很可能在数据文件、系统日志、交换区、寄存器中、打印机缓存、隐藏文件等位置，因此在对数据进行搜集时，想要将所有数据搜集到比较困难，在关键时需做到有所取舍。在计算机受到黑客入侵情况下，为了避免证据被犯罪者销毁，应将电源马上关掉。如果计算机属于作案的工具，则应该将已经缓存的数据保存好。

再次，保存和传输证据。在取证过程中应保证证据没有受到损坏，避免在收集证据和分析证据时不被法庭接受，需确保数据证据与原始证据之间的一致性。在进行数据证据传输时应做到细致谨慎，这主要是由于传输过程中很容易出现损坏的问题[6]。在处理不够恰当情况下，很容易出现损坏情况，尤其是计算机硬盘，在硬盘证据受损影响下，将难以对数据进行有效读取，数据也进不具有证物价值。因此在对数字证据进行传输时，应保证传输时的安全性。

最后，分析证据与提交证据。分析数据的主要目的在于从证据当中获得有效且合法的内容，在此过程中需对主机当中数据证据以及网络中的数字证据进行有效分析，就主机数据来讲，应尽可能将已经删除的文件恢复出来，并将操作系统的以及应用程序当中使用的临时文件、隐藏文件最大限度显示出出来。就网络数据来讲，需对网络连接进行重建，对入侵证据进行分析，并对入侵证据进行提取。提取证据之后需在法庭中对其进行提交，在提交过程中应严格遵循相关法律法规。在此过程中可以通过使用证据监督链保证证物在收集、分析各个阶段中涉及的详细信息充分呈现，同时也能记录证物使用、归还时间等。

3 反取证技术在运用过程中存在的不足

3.1 工作人员素质有待提升

反取证技术当前被广泛运用于各个地区中，很多地区在取证时都会使用计算机技术，实现对犯罪活动相关证据的有效获取，但是相关工作人员在处理细节内容时仍然有滞后性，在实际取证时，在发现罪犯十分依赖于计算机情况下，则往往能够使取证工作在开展时更为便利。整个取证过程中对工作人员要求也比较高，需工作人员保证较强精细化程度，并且技术在实际应用过程中，需面临的挑战也比较多。工作人员在取证中表现出的专业性会对取证结果产生直接影响。但是就当前社会发展的现状来讲，针对计算机取证人员的培养仍然较为滞后，难以满足社会实际发展需求。