計算機取證技術概述

于　濱

[摘要]目前,信息技術迅猛發展,網絡使用深入人心,在給廣大人民群眾帶來便利的同心,計算機與網絡犯罪也日益猖獗。簡要介紹計算機取證技術的概念,并對相關技術及軟件等做出介紹。

[關鍵詞]網絡犯罪 信息安全 計算機取證

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0910051-01

一、引言

隨著科學技術的發展,信息科技廣泛深入人心,信息安全的重要性不斷凸顯,信息技術開始被用于非法目的,隨著計算機犯罪的出現,計算機取證技術應運而生。計算機取證在打擊計算機和網絡犯罪中作用十分關鍵,它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭,以便將犯罪嫌疑人繩之以法。因此,計算機取證是計算機領域和法學領域的一門交叉科學,被用來解決大量的計算機犯罪和事故,包括網絡入侵、盜用知識產權和網絡欺騙等。

二、什么是計算機取證

從技術角度看,計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發現犯罪證據的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。

計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據,是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展,電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣,電子證據必須是可信、準確、完整、符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸,都必須借助于計算機技術、存儲技術、網絡技術等,離開了相應技術設備,電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的,必須借助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

可以用做計算機取證的信息源很多,如系統日志,防火墻與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關記錄。但是,一般的刪除文件操作,即使在清空了回收站后,如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿,仍有可能恢復已經刪除的文件。

三、如何進行計算機取證

根據電子證據的特點,在進行計算機取證時,首先要盡早搜集證據,并保證其沒有受到任何破壞。在取證時必須保證證據連續性,即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化。特別重要的是,計算機取證的全部過程必須是受到監督的,即由原告委派的專家進行的所有取證工作,都應該受到由其他方委派的專家的監督。

計算機取證的通常步驟如下:

1.保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統,不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。

2.確定電子證據。在計算機存儲介質容量越來越大的情況下,必須根據系統的破壞程度,在海量數據中區分哪些是電子證據,哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據,確定這些記錄的存放位置和存儲方式。

3.收集電子證據。記錄系統的硬件配置和硬件連接情況,以便將計算機系統轉移到安全的地方進行分析。對目標系統磁盤中的所有數據進行鏡像備份。備份后可對計算機證據進行處理,如果將來出現對收集的電子證據發生疑問時,可通過鏡像備份的數據將目標系統恢復到原始狀態。用取證工具收集的電子證據,對系統的日期和時間進行記錄歸檔,對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份,也可直接將電子證據打印成文件證據。利用程序的自動搜索功能,將可疑為電子證據的文件或數據列表,確認后發送給取證服務器。對網絡防火墻和入侵檢測系統的日志數據,由于數據量特別大,可先進行光盤備份,保全原始數據,然后進行犯罪信息挖掘。各類電子證據匯集時,將相關的文件證據存入取證服務器的特定目錄,將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。

4.保護電子證據。對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護,無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。

四、相關軟件介紹

1.Quick View Plus

支持查看超過200種應用程序所創建的文件和文檔,包括字處理、數據庫、電子表格、圖形等等,你甚至不需要打開Office 97程序就可以直接查看Word 97和Excel 97文檔、你所要做的只是在文件上單擊鼠標右鍵,它可以作為Netscape Navigator 2.0及更高版本的plug-in,或者Internet Explorer的一個ActiveX文檔服務器,你甚至可以直接用它查看HTML文檔。是一個功能強,運行快,與Windows無縫銜接的文件查看器。

使用這類文件瀏覽器的好處是:這類工具是專門用來查看數據文件的閱讀工具。只用于查看而沒有編輯和恢復功能,從而體積較小并可以防止證據的破壞。

2.ThumbsPlus

一個圖形文件查看、定位和組織程序,你可以方便地對圖形、Clip-art文件、字體和動畫進行查找和維護操作。它為每個文件建立一個小的圖形,你可以用它瀏覽、查看、編輯、修剪、啟動外部編輯器以及把圖像復制到剪貼板,你還可以把文件拖放到不同的目錄。ThumbsPlus還可以對你選定的文件進行幻燈播放以及安裝位圖文件作為Windows墻紙。此外,它還可以對圖形文件進行打印和轉換,它支持大部分流行的文件格式。

3.RecoverNT