計算機取證專業及相關課程建設

朱殷晨，陳 適

（武漢理工大學信號傳輸與處理實驗室 武漢430070）

1 前言

盡管計算機網絡技術一直飛速發展，但是安全性仍然是一個挑戰性難題。計算機犯罪案例層出不窮，給社會經濟造成極大損失。要將犯罪人員繩之以法，計算機取證技術應運而生。所謂計算機取證是指對存儲在計算機系統或網絡設備中潛在的電子證據識別、收集、保護、檢查和分析以及法庭出示的過程。計算機取證不單單是計算機或網絡的技術問題，還涉及到法律、道德規范等問題，屬于計算機科學和法學領域的交叉學科，取證工作需要計算機專家、執法官員和律師等多方面人員的共同協作，哪一環節出現差錯的話，都會導致取得的電子證據失去效力，影響最終裁判執法公正。因此對于計算機取證人員、法官、律師和法律執法機構都需要采取相應的培訓，制定完整的課程，確保計算機取證技術的發展。

2 計算機取證破案舉例

2003年11月14日，甘肅省破獲首例利用郵政儲蓄專用網絡進行遠程金融盜竊的案件。10月5日13時12分，一名黑客將目光瞄準了郵政儲蓄，利用網絡竊取了83萬余元。省公安廳成立專案組兵分兩路，一方面在省、市郵政局業務領導和計算機專家的協助下，從技術的角度分析黑客作案的手段以及入侵的路徑；另一方面，使用傳統的刑偵方法，大范圍調查取證。經過大量網絡數據資料的分析，發現作案人身份登錄線索，又暗查發現，其辦公桌上有一條電纜線連接在了不遠處的郵政儲蓄專用網絡上。專案組確認了這起金融盜竊案的主謀，最終，將其繩之以法。

世界上第一例有案可查的涉計算機犯罪案例于1958年發生于美國的硅谷，但是直到1966年才被發現。中國第一例涉及計算機的犯罪（利用計算機貪污）發生于1986年，而被破獲的第一例純粹的計算機犯罪（該案為制造計算機病毒案）則是發生在1996年11月2日。

從首例計算機犯罪被發現至今，涉及計算機的犯罪無論從犯罪類型還是發案率來看都在逐年大幅度上升，方法和類型成倍增加，逐漸開始由以計算機為犯罪工具的犯罪向以計算機信息系統為犯罪對象的犯罪發展，并呈愈演愈烈之勢，而后者無論是在犯罪的社會危害性還是犯罪后果的嚴重性等方面都遠遠大于前者。正如國外有的犯罪學家所言，“未來信息化社會犯罪的形式將主要是計算機犯罪”，計算機犯罪“也將是未來國際恐怖活動的一種主要手段”。在網絡犯罪案件中，很大一部分是因為使用者安全意識淡薄造成的。在后期的計算機取證工作中，也有很大一部分由于取證不規范而導致電子證據的損壞或失效，可以說目前我國對計算機取證技術的研究和掌握情況均屬薄弱，因此，加大對計算機取證專業及相關課程建設及其重要。

3 專業和課程建設

我國開展計算機取證的研究時間不長，對于計算機取證的研究與實踐尚處于起步階段。著力開發管理信息系統安全課程與計算機取證課程是目前計算機取證領域教育工作的重中之重。

根據數字取證研究工作組(DFRWS)提出的框架，計算機取證技術的研究內容包括6大方面：證據識別技術、證據保全技術、證據收集技術、證據檢查技術、證據分析技術和證據呈堂技術。

（1）證據識別技術

是指從被調查計算機的內部和外部設備及網絡中的海量數據信息中找出與被調查案件相關數據的過程。進行證據識別的數據主要來源于計算機主機系統、計算機外部設備和網絡方面。證據識別中可能用到的具體技術包括：數據復制技術、數據恢(修)復技術、數據解密技術、端口及漏洞掃描技術、對比搜索技術、數據挖掘技術、日至分析技術等。

媒體宣傳是把雙刃劍,尤其是隨著互聯網技術的迅速發展,各類新媒體宣傳層出不窮。為避免一些不良媒體為博關注惡意激化醫患關系,政府應該加強日常衛生工作宣傳,主動發布權威的衛生健康政策解讀,科普國民健康政策、健康生活方式和優生優育知識。對于醫改方面的新政策進行有效的宣傳,對醫事服務費、藥費等內容向群眾重點宣傳,引導群眾調整心理預期,提高群眾獲得感和滿意度,避免群眾將情緒發泄在醫護人員身上,同時也加強群眾對醫護人員的尊重,和諧醫患關系,營造愛醫敬醫的社會氛圍。

（2）證據收集技術

是指取證人員通過合法的途徑，采用技術手段捕獲和搜集與計算機犯罪或與被調查事件有關的數據信息的過程。該過程中可能用到的技術包括：數據復制技術、掃描技術、數據恢(修)復技術、數據截取技術、“陷阱”取證技術等。

（3）證據保全技術

證據保全是指采取有效措施保護恒子證據的完整性、原始性及真實性，可以劃分為3個階段：證據分析前保全、證據分析過程中的保全和分析后對證據。證據保全中可能使用到的具體技術包括：數據復制技術、數據加密技術、數據隱藏技術、數字摘要技術、數字簽名和數字時間戳技術、數字審計技術等的保全。

（4）證據檢查技術

證據檢查是對收集來的數據進行檢查并從中識別和提取可以作為證據的數據的過程。另外，在取證過程結束時，取證人員通過回顧檢查的方式檢查取證過程可能存在的漏洞時往往涉及到證據檢查技術的運用。證據檢查中可能用到的具體技術有數據挖掘技術、對比搜索技術、掃描技術、數據解密技術等。

（5）證據分析技術

利用證據收集技術所獲取的涉案數據還是最原始的形式，為揭示這些數據與案件的聯系就必須對這些數據進行檢查和分析，證明這些數據就是攻擊或者犯罪的證據，從而為證明案件真相提供證據支持。證據分析類技術包含檢查類技術和分析技術。用于證據分析的技術包括：對比分析技術、日志分析技術、數據挖掘技術、數據解密技術、攻擊源追蹤技術等。

（6）證據呈堂技術

數據呈堂的主要任務是：計算機犯罪的相關情況記錄的歸檔處理；取證工作整個過程中證據的完整性情況證明；病毒評估分析報告、文件種類、取證工具許可證書、專家對電子證據的分析結果的歸檔處理和呈交；其他需要說明和解釋事項的處理等。

與計算機取證研究相比，對反取證技術的研究相對較少。對于計算機取證人員來說，研究反取證技術意義非常重大，一方面可以了解入侵者有哪些常用手段用來掩蓋甚至擦除入侵痕跡：另一方面可以在了解這些手段的基礎上，開發出更加有效、實用的計算機取證工具，從而加大對計算機犯罪的打擊力度，保證信息系統的安全性。

計算機反取證技術，簡而言之是招采用數據加密、數據刪除、數據隱藏等計算機技術刪除、隱藏、加密或毀杯涉案電子證據，抹除作案痕跡的技術和方法的總稱。當前已有許多反取證軟件如：數據刪除類的Powerful Cookies、ultrashredder、SystemShied、Wywz、Esast-Tec Eeaser、Wipelnfo等；數據加密隱藏類的加密金剛鎖、Hide in picture、Steganos Security Suite等都可以徹底刪除用戶所有的使用痕跡和系統的日志文件記錄，因而想要獲取此類證據變得愈來愈難。

常用的計算機反取證技術(以XP系統為例)有數據隱藏、數據刪除、數據加密以及隱寫術、改變系統環境等方法，需要開展課程進行應對策略的研究。

綜上，對以上過程中常用的計算機取證技術都需要開展相應的課程進行學習，學習過程可包括講課、國內專家講座、閱讀案例、布置社會作業、問題解決會議和書面測試等多種形式。計算機取證相關的法律、道德、操作系統安全、安全協議和實踐、網絡建模取證工具、寫作專家證人報告格式、近年來的入侵檢測方法和反應、認證方法、訪問控制、風險評估等，都將是計算機取證專業研究的不同方向。

4 建議

對于學校開展計算機取證專業技術的學習外，結合實際情況，本文對學生的社會學習提出一些建議。

（1）課程材料開發與共享

隨著計算機取證研究工作的不斷深入和改善，計算機取證技術將向智能化、專業化和自動化。需要聯合計算機取證各個技術領域的研究工作在國內處于領先地位的相關院校和單位，對課程材料不斷進行開發與共享，補充國內外最前沿的理論和技術。

（2）實際和虛擬結合

研究現實生活中的犯罪案件，不僅能讓學生更好地理解信息安全,也將更有效幫助法律知識的傳播。參與的學生在這些現實生活的案例研究將會增加熱情，學習傳統取證的方法。同時結合計算機網絡世界中的案例或虛擬的案例課題，讓參與的學生試驗、分析，發現其他相似的數學模型、案例和應用方法，找到解決問題的方法。

（3）建立學校實驗室

需要建立計算機取證技術的專業實驗室，構建網絡環境，教會學生從網絡中數據包中識別入侵數據，利用網絡協議分析儀捕捉并分析，加大對學生的實踐培養。這些實驗室將幫助學生了解如何學習和運用計算機取證的方法。

（4）聯合法律機構

對于國內計算機取證領域來說，還有許多法律問題尚待解決。目前國內學術界在對計算機取證的研究上，法學專家和計算機專家還沒有形成很好的溝通協作，各自局限在本專業領域內進行研究。計算機取證需要各領域的專家合作，促進計算機取證理論的形成和完善。學生們需要機會與律師或法律執行機構溝通和咨詢，在技術和法律相結合的一體化的知識汲取過程中，我們將會發現，計算機取證的深入研究還有更多更寬廣的課題。

（5）加大軟件的開發

目前國內還沒有經過法庭和認證機構認證的電子證據取證工具，所利用的取證工具大多只是從網上下載的一些工具軟件。當然，這些問題都是暫時的，在我國加大信息技術前進的步伐下，計算機取證技術的研究必將取得豐碩成果。

5 結束語

計算機取證課程的重要性是毋庸置疑的，完善計算機取證專業和課程建設將使計算機取證技術在未來打擊計算機犯罪中發揮越來越重要的作用。

1 Phillips Nelson,Enfinger Steuart.Guide to computer forensics and investigations.Course Technology,2005

2 Paul Cretaro.Lab manual for security guide to network security fundamentals.Course Technology,2005

3 樊崇義.證據法學.北京：法律出版社，2001