計算機犯罪取證中應注意的細節與問題

王 帥

（華東政法大學信息科學與技術系 上海201620）

1 前言

當今計算機科學技術的迅猛發展、網絡系統的深入應用以及信息網絡的社會化與國際化，使得人類社會的生活方式發生了天翻地覆的變化。網絡化、數字化的應用領域也越發廣泛，我們對它的依賴性也越發強烈，然而“網絡社會”越是發達，它遭受攻擊的可能性與危險性也就越大，計算機犯罪就是網絡信息安全的嚴重威脅之一。計算機犯罪取證（computer forensics）技術便是對計算機犯罪進行有力打擊以及震懾計算機罪犯的有效科學技術之一，同時也對網絡信息的安全提供了一定的保障。掌握了這項技術，就如同經驗豐富的外科手術醫生得到了一把鋒利應手的手術刀一般，對其清理“毒瘤”如虎添翼。

2 計算機犯罪取證及其相關技術

2.1 計算機犯罪案例

我國第一例計算機犯罪出現在1986年7月22日，港商李某前往深圳市人民銀行和平路支行取款，計算機顯示其存款少了2萬元人民幣。兩個月后，迎春路支行也發生了類似情況，某駐深圳辦事處的趙某存入銀行的3萬元港幣不翼而飛，通過偵查發現上述兩筆存款均被同一犯罪分子利用計算機技術偽造存折和隱形印鑒詐騙而去。從此之后，原來在報道中看到的在國外才有可能出現的計算機犯罪現象在國內也頻頻發生。截至1990年年底，我國有案可查的計算機犯罪案件就有130多起。

我國的第一例計算機病毒出現在1989年3月。當時我國西南某鋁廠計算中心的7臺計算機發現被感染小球計算機病毒。接著，《計算機世界報》對此作了詳盡的報道。至此之后，計算機病毒便在全國迅速蔓延。現今，絕大多數的計算機用戶，特別是互聯網用戶都經受過計算機病毒的侵襲。1989年，我國出現了由國內計算機人員自己制造的病毒在計算機應用中蔓延，但直到1996年，我國才破獲第一例計算機病毒制造案件。由此可見，絕大多數計算機病毒案件仍然未被破獲。

上述兩個案例中，從各個角度反映出計算機犯罪的高智商性、作案動機簡單化、實施犯罪容易、較強的隱蔽性以及巨大的危害性等不同于普通犯罪的特性，所以我們必須針對這些特性給計算機犯罪下一個較為完整的定義。那么，計算機犯罪又是怎樣被定義的呢？而我們又將怎樣應對越來越嚴峻的計算機犯罪形式呢？接下來，我們簡單探討一下。

2.2 計算機犯罪的定義

對于計算機犯罪（computer crime），我國公安部計算機管理監察司給出的定義是：所謂計算機犯罪，就是在信息活動領域中，利用計算機信息系統或計算機信息知識作為手段，或者針對計算機信息系統，對國家、團體或個人造成危害，依據法律規定，應當予以刑罰處罰的行為。

北京大學的陳興良教授認為：規范和事實是我們考察犯罪的雙重視角。從規范和事實兩個視角對“犯罪”進行分析，他提出了一種二元的犯罪理論。陳教授認為：犯罪屬于刑事法的基石范疇，而刑事法是圍繞著犯罪展開的實體或者程序的規范體系。同時，犯罪又是一種社會事實，對于犯罪的考察，局限于規范是片面的，應當透過規范對犯罪進行事實分析。

由此可知，對計算機犯罪的定義很重要，要不偏不倚，絕不放過一個罪犯，也絕不冤枉一個好人，在追求國際標準的同時也要顧及到我國的國情、法律法規，綜合性地給計算機犯罪下定義；但是光有完善的定義，生成的完備的法律法規也只是紙上談兵，計算機犯罪取證技術才是更加直接地打擊計算機犯罪與罪犯的有效工具，才能做到人贓俱獲。其與完備的法律法規的結合，才可以給計算機罪犯以沉痛的打擊。

2.3 計算機犯罪取證及相關技術

當前利用計算機系統作為作案工具或者攻擊目標的案件與日俱增，電子證據（electronic evidence）作為呈堂證供的重要性也越發明顯，而擺在公安部門與司法人員面前最嚴峻的難題就是計算機犯罪取證，如何取證，通過何種方法取證，怎樣得到最佳、最完整的電子證據等，都困擾著公安部門與司法部門人員，從另一個方面也體現出了培養相關技術人才刻不容緩的緊急性與必要性，以及我國與國外相關專業技術人才的培養和先進取證設備的配備都相差甚遠，需要添補的空缺也非常之大，可以看出任務還很重，所要走的路還很漫長。但是相信隨著我國對計算機犯罪取證的日益重視，我國也會培養出眾多的網絡信息安全與計算機犯罪取證人才，以應對越發嚴峻的計算機犯罪形勢。

當然，有了想法，自然也要有相應的做法，才能夠與時俱進。我們的做法就是要了解計算機犯罪取證，那么計算機犯罪取證又是怎樣被定義的呢？簡單地說，計算機犯罪取證就是對各種計算機存儲介質中的數據以及尋找回的數據進行的一種科學的檢查和分析方法，而通過這種方法所得到的數據可以在法庭上成為呈堂證供，對計算機罪犯的犯罪行為依法進行判決。其相關技術大概可以分為3類：對計算機數據的安全獲取、通過對嫌疑犯的數據的檢測和分析來斷定數據的內容及來源、在法庭上提供所需的計算機證據的展示。計算機犯罪取證還包括兩個階段：物理證據獲取和信息發現。前者是指取證人員在犯罪現場找尋并扣留相關的計算機硬件設備，后者是指從原始數據（例如：文件、日志、策略、記錄痕跡等）中找尋可以用來證明或者反駁的證據，也就是前文提到的電子證據。其中計算機罪犯的犯罪現場被學術界一致認為是電腦，即計算機硬件設備及其軟件環境。如何在這個特殊的犯罪現場取得有利的證據把罪犯送上法庭呢？那么，首先要做好充分的準備，接著便是運用先進科學的取證、再現、統計、分析技術對計算機犯罪行為進行法醫式的剖析，從中搜尋并確認有利于在法庭上指正犯罪嫌疑人罪行的犯罪證據，進而對罪犯提起司法訴訟。

當然，在取證前后及過程中需要注意很多細節與問題。

3 計算機犯罪取證前后及過程中應當注意的細節與問題

在取證之前的準備工作做得越是充分，越是能讓取證工作進行得相對順利，并且越是能比較圓滿地完成取證工作。而我們首先要從軟件和硬件方面的應用工具考慮，這同軟件開發一樣，在著手工作之前一定要做好 “需求分析”，所以取證人員應隨身帶好若干空白的表格，以便作為信息問詢的填寫與工作流程的記錄，這也是一位取證人員所應具備的專業素質的一個良好體現。在取證工具的選取上則能夠體現出一個取證人員專業技能的高低以及工作的出色程度。下面我們便根據硬件和軟件分類來探討一下取證前的準備工作中需要注意的細節與問題。

3.1 取證前的準備工作在軟件方面應該注意的細節與問題

在軟件方面，操作系統因為其種類繁多，因此能夠跨越平臺進行取證的工具軟件就顯得尤為重要，盡量多地了解各種類別的操作系統，也會對取證工作的進展起到推波助瀾的作用。盡管GUI類型的程序是具有豐富功能的頂級軟件，但是若用在取證環節則可能會破壞證據的原始性，非但不能取得最佳的證據，反而會給案件的偵破帶來新的麻煩與阻礙。在取證工作結束進行的對所獲取的罪證的分析工作中，GUI類型的程序軟件可以發揮其豐富的功能，使得分析工作進行得更加順利。同時，制作各類操作系統的基本工具集合也是我們必要的準備工作之一。因為針對不同的計算機罪犯要有不同的對策，例如，罪犯通常會替換“肉雞（也稱為傀儡機，即計算機罪犯通過非法手段遠程登錄的網絡中的一臺或者多臺主機，用于隱藏身份）”或者受害機的二進制命令，倘若直接調用被取證機的程序命令進行取證工作，那么取證結果可能會與預期的效果截然不同而導致取證失敗。為了盡量避免此類事件在取證過程中發生，最好選取安全合法的機器制作工具集，并制作出所有工具程序的MD5校驗列表，因為我們在取證過程中所作的一切都有可能成為有力的呈堂證供。隨著取證工作經驗的不斷豐富，對取證工具進行不斷地更新，以便更加快速有效地進行取證工作。例如，在不同的操作系統下進行取證工作的過程中制作鏡像是最為重要的，若是在Class UNIX系統環境下，dd則是完成此項工作的通用命令，因此在工具集里面盡量多地準備各類型、各版本的Class UNIX系統的dd命令則顯得分外重要；而Ghost則是在Windows平臺進行此類工作的所最為常用的，其他類型的軟件在此不一一介紹。

3.2 取證前的準備工作在硬件方面應該注意的細節與問題

在硬件方面，作為電子證據的存儲介質在進行存儲之前一定要進行處理，即對其進行有效地擦除，前提是使用業內公認可靠的擦除軟件對該存儲介質進行擦除，以免介質中的殘余證據對新近存入的證據產生影響，不利于對證據的分析和取信。存儲介質的選取也相當重要，移動硬盤最為常見，除了其容量盡可能地大之外，硬盤盒的接口也要盡量地涵蓋當前盡可能多的硬件接口類型，例如：IDE、SATA、SCSI、PCMCIA等常見接口。在無法預知被取證設備的外設的情況下，除了移動硬盤之外，還要準備好軟盤、Zip軟盤、MO、CD-R、CD-RW等，各種設備之間的連接數據線纜及轉接頭也要盡量地準備齊全。除此之外，以Forensic MD5為代表的手持式取證設備也是必不可少的，還有Forensic Computer出品的便攜式取證箱等都會給取證人員的取證工作帶來極大的便利，因為它們復制數據的速度極快以及接口極其豐富，而它們也逐漸成為了取證人員出行必備的百寶箱。

可是，單單從硬件和軟件方面進行取證前的準備工作還是遠遠不夠的，還應該根據當前計算機科學與技術的發展程度，對犯罪分子可能會使用的一些犯罪手段進行預測，以便于使取證工作進行得相對順利。

3.3 取證前的準備工作還應該了解的一些細節

除此之外，還應該了解罪犯通常會做些什么來擾亂我們的視線，來清除自己的痕跡，而使取證人員的取證工作如何進行得不順利等。

例如：有些掌握高超技術的罪犯有時編寫一個摧毀硬盤的程序，當罪犯得到他們所需要的東西之后便運行該程序，在運行該程序時對磁頭進行讀寫使得硬盤盤片高速旋轉，而當CPU處于大量計算之時，突然停止對磁頭的讀寫，使得馬達暴斃，導致硬盤無法被識別與讀取。罪犯的主要思路是源自對軟驅的讀寫控制，其靈感來自Kill motor這個命令。現今軟驅已經很少見，但是依舊可以通過對光驅進行讀寫控制以達到對硬盤的致命摧毀。所以按任意鍵進入硬盤自毀程序，對于罪犯中的高手來說絕非難事。而電影中將光盤或者硬盤放入微波爐中摧毀，完全是為了賺取觀眾的眼球，那樣做是非常危險的事情，很可能會傷及罪犯本身，因為微波爐內的高溫可能會導致硬盤內的真空環境突然改變致使內外壓力產生巨大變化而瞬間使微波爐發生爆炸，即便罪犯有著敏捷的身手，逃離現場也會因為巨大的爆炸聲而暴露自己的位置，對其逃離現場造成巨大的阻力。

言歸正傳，罪犯隨身攜帶的存儲介質也絕非一個或者幾個，在其得手之后也不會隨身攜帶，而多是藏匿在常人無法想象的位置，在確認已經絕對安全的情況下再前去將存有珍貴數據的存儲設備取走。每個人的思路不同，做法也各自迥異，這就要求取證人員也要具備有豐富想象力及敏銳的洞察力。罪犯還有可能將數據存儲在二手的PDA手機里面，并對SIM卡進行擦寫而使得我們即使通過發射基站定位也無法獲取他們的藏匿位置。同時他們還喜歡把所有經過跳轉的路由節點統統干掉，把自己的犯罪信息清除得一干二凈，讓取證人員無從下手。不僅如此，罪犯還會通過注冊表來克隆賬戶，并用其訪問某些核心信息，還通過DOS修改文件時間等手段來制造假象而迷惑他人。絕大多數的木馬程序都駐留在system32中，極少引起用戶的注意，罪犯也會通過三層甚至以上代理訪問“肉雞”，并開啟VPN服務，即便是被發現或是追蹤，也是代理主機，而它僅僅是眾多“肉雞”中的一臺，而且走的多是“國際路線（即犯罪分子利用境外代理服務器進行犯罪活動）”，這也給取證工作增加了相當的難度。

然而，罪犯至此并沒有結束，而是逐個清除他所訪問過的“肉雞”的系統訪問日志，一般用戶都會從開始菜單的最近的文檔里面查看Windows系統自動記錄的最后15條訪問記錄，其實此類信息存放于C:Docunments and SettingsDefault UserRecent中，其中Default User是操作系統用戶登錄的賬號，而且它還包括文件鏈接及訪問時間，因此檢查此文件夾便可知曉最近計算機的使用情況，但是若是把此文件夾中的文件統統清除，那么只能通過恢復工具將其逐一恢復之后才能知曉都有誰在用該計算機做了些什么。通過下面的一些操作，我們也可以看到一些訪問記錄。

如：在HKCUSoftwareMicrosoftDevStudio6.0Recent File List有開發工具Visual Studio的最近使用的程序文件和工程文件；在HKCUSoftwareAdobeAcrobat Reader8.0Adobe Viewer有該軟件最近閱讀過的文件；在HKCUSoftwareMicrosoftOffice9.0ExcelRecent Files有Excel最近打開的文檔；點擊開始菜單可查看的最后15個文檔也存放在HKCUSoftwareMicrosoftWindowsCurrent VersionExplorerRecent Docs中，只不過文件名使用的是Unicode編碼。

在C:Documents and SettingsDefault UserLocal SettingsHistory中存有最近訪問所留下的所有文件；IE訪問歷史在C:Documents and SettingsDefault UserLocal SettingsTemporary Internet Files中，記錄了Internet地址、標題和上次訪問時間等；在HKCUsoftwareMicrosoftInternet Explorer Type2dURLS路徑下可以看到上網的網址；C:Documents and SettingsDefault UserFavorites是收藏夾，在作系統信息檢查時，應當在資源管理器中設置“顯示所有文件和文件夾”，若有需要還可以將“隱藏受保護的操作系統文件 （推薦）”這一選項前面的復選框中的對號去掉，因為在系統默認情況下，系統文件夾的屬性通常被系統默認設置成“隱藏”。

而在國外，取證人員習慣使用Encase和Ftk這兩個工具軟件進行取證工作，其主要工作原理是通過二進制數據還原技術重現電腦設備的操作信息及軟件的安裝信息等；而在電子郵件取證方面，則使用E-mail TrackPro這個工具軟件來做電子郵件的定位，并且通過分析電子郵件往來信息而做出判定，在捕捉網絡蠕蟲病毒和跟蹤源方面，此軟件也頗為有效；若是需要做信息比對，則會用Filemon等工具軟件找出木馬及黑客軟件的位置所在，并通過逆向分析進行追蹤，進而偵查罪犯的藏匿之所，并采取行動，實施抓捕。

3.4 進行取證工作過程中需要注意的細節與問題

做好了較為充分的準備，接著便是如何著手實施取證。無論何時何地，我們都要因地制宜，根據實際情況及安全類別來做出相應的判斷并實施取證工作。

若是在一臺Internet主機上發現有非法登錄或者在局域網服務器上被種下了惡意程序，我們所采取的取證方法也應該是分門別類的，根據實際情況對癥下藥，同時也要征求受害者的意見以便制定出最佳的取證方案。有的會想徹底調查并對罪犯提起訴訟，而有的則可能僅僅是對目前的狀況造成的損失做一些大致的評估，但是無論是哪一類受害者，取證人員都要對證據進行縝密的處理并妥善保存，即便是后者，他們也可能會在被攻擊之后的若干時間內改變初衷，決定對罪犯的犯罪行為提起司法訴訟。同時我們還應當注意的則是，為了保證證據的安全可信程度，計算機證據國際組織（international organization on computer evidence，IOCE）對電子證據的采集、保存、檢驗及傳送都提出了特別的要求：“首先必須使用有效的軟硬件進行數據的采集和檢驗；其次對數據證據的采集、保存、檢驗及傳送的全過程都必須有所記錄，因為任何有潛在可能對原始數據造成改變、破壞或者毀壞的活動必須由具有法律資質的人員進行?！睂ΜF場的計算機設備的處理原則之一便是對運行中的計算機不要進行關機操作，對關閉的計算機不要進行開機操作。若現場的計算機處于運行狀態，應極力避免使屏幕保護程序被激活，并檢查屏幕上的活動，如果發現系統正在進行文件的刪除、格式化、上傳、系統自毀或者其他危險活動，應立即切斷電源。

接著，在關閉的設備上，我們便要利用先前準備的工具對所有的數據介質進行生成鑒定副本操作，但是除了不能在被調查機上操作之外，也不能對該機進行分析與檢查，因為我們的主要目的就是在盡可能少地接觸被調查機的情況下制作鑒定副本并進行證據分析，而對原始介質的輕微操作都可能使其完全喪失作為證據的可信程度。當我們無法獲取完整鑒定副本的時候，我們便只能進行一些接觸被調查設備的操作了，比如被調查設備不支持熱插拔設備，而內存中正在運行著重要罪證，我們也只能在開機狀態進行證據的獲取工作，為避免對證據造成破壞，我們的操作應當格外謹慎，并在整個取證過程中做好詳細的記錄（操作的步驟、方式、方法、時間等）。因此在開機狀態下，對內存的數據采集便成為我們的首要工作，為此我們可以查看系統進程、復制出內存中的數據、Windows的頁面文件、Linux的proc目錄都存儲著大量運行數據，若將其成功獲取，便可以生成相對完整的調查介質的MD5校驗列表，來證明在調查現場我們沒有破壞證據的可靠性。

3.5 取證工作完成后需要注意的細節與問題

當確認取證工作已經完成之后，接下來便是對鑒定副本的管理工作。首先要妥善地將被調查設備封存，并連同之前生成的鑒定副本一并加入“證據保管鏈”，以便在進一步的分析工作階段時使用。而保管鏈的主要意義在于每次對被保管物的使用及變更都能夠被詳細記錄與驗證，這樣做就是為了證明我們的證據是可靠、可信的，任何對其有意與無意的篡改都是極其不易的，因此對所有操作信息的完整記錄尤為重要，而且越是完整、詳細越是能夠增加證據的可信度。我們無時不刻都要做好接受任何縝密檢驗的心理準備，并用嚴謹的態度去完成每一個取證任務。

還應該注意的一個細節問題就是對每一項證據（包括我們的工具包）粘貼保管標簽，并在標簽上注明：“證據來源、生成時間、證據的當前保存位置、證據轉移時的位置、證據轉移的原因、保管人以及接手人的親筆簽字，并且建議第三者在場共同簽字確認其合法性。”對于電子證據這一數字證據，我們可以利用數字簽名技術給證據生成電子指紋，這樣做能夠使得證明證據的原始性、完整性及可信性的大大提升，并具有一定的說服力。在法庭上用取證得來的證據與刑法、憲法等相結合對罪犯提起訴訟，使其得到應有的審判與懲罰，同時也會對計算機犯罪起到一定的打擊作用。

4 結束語

計算機即將跨入量子時代，而我們需要面對的網絡信息安全危機與計算機犯罪也會隨之進入量子時代，在機遇與挑戰之間，我們要不斷地提高自己、豐富自己、完善自己，準確地把握機遇，積極勇敢地迎接挑戰，用我們堅毅的信念與高超的網絡信息安全技術和計算機犯罪取證技術來同計算機犯罪及計算機罪犯堅決地斗爭到底，做到攻防兼備。當然。相關的刑法、憲法等法律法規也應該隨著計算機量子時代的到來而不斷地更新、完善。

1 林柏鋼.網絡與信息安全教程.北京：機械工業出版社，2005（8）

2 趙秉志，于志剛.論計算機犯罪的定義.現代法學，1998（5）

3 胡衛平.計算機犯罪初論.政法論叢，1997（5）

4 板倉宏（日）.電腦與刑法.法學論壇，1982（7）

5 張彥.計算機犯罪及其犯罪控制.南京：南京大學出版社，2000

6 申一紋.電腦就是計算機罪犯的犯罪現場——淺談計算機取證與網絡安全防范技術.人民公安報，2009.5

7 新世紀網安基地,http://www.520hack.com/Article/Text5/fhack/200911/16579.html