計算機取證方法關鍵問題探究

李敬偉

吉林省通化市公安局刑警支隊，吉林 通化 134001

一、計算機取證的定位

計算機取證是指對計算機辨析技術進行運用，行分析計算機犯罪行為以確認罪犯和計算機證據，并據此提起訴訟。也就是在計算機與網絡絡犯罪產生后，進行電子證據的獲取、分析、保存以及出示。從技術層面上看，計算機取證就是對當事計算機系統破解掃描，模擬重建入侵過程，獲取電子數據。

計算機取證對打擊計算機網絡犯罪起著至關重要的作用，其目的是將犯罪者于計算機系統中遺留的“電子足跡”提取為訴訟證據，將有效證據給予法庭，讓犯罪者受到法律的嚴懲。基于此可知，計算機取證屬于法學與計算機雙領域的交叉科學，涵蓋了兩個科學門類的內容，用于解決已產生的計算機犯罪事項，包括網絡欺騙、計算機入侵等，因是在虛擬的計算機系統中進行，其取證難度要遠遠高于傳統的實地取證。

二、計算機取證的具體措施、方法

作為新興的調查取證技術模式，計算機取證在當前社會環境越加受到調查機構的重視。計算機取證的具體措施方法很多，在不同條件下的分類歸納比較繁雜，難以按照統一標準歸納。一般情況下依據電子證據的用途不同分為兩類。一類是來源取證，即是指以確定犯罪者或犯罪證據為主要目的的取證工作，具體包含有MAC 地址取證、電子郵件取證、IP 地址取證、軟件賬號取證等計算機取證方法;另一類是事實取證，即是以獲取、分析、認定有關犯罪事項電子證據為主要目的的取證工作，具體包含有文件內容核查、軟件相似性及功能分析、使用痕跡調查、文件日志分析、網絡態勢分析、網絡數據包分析等計算機取證方法。

三、計算機取證的基本原則

計算機取證因其獨有的特性，在遵循傳統取證的原則外，還應遵守一定的特殊原則，才能保證所取得電子證據的高效力。其一為依法取證，依據法律規定，在取證時僅對與案件事項相關的電子數據進行獲取，碰到超出案件事項范圍的信息要停止取證，以保護當事者的合法權益;其二為全面取證，即勘察現場全面，凡可能與案件事項有關的痕跡，必要進行完全收集獲取，以便后期證據鏈的完整;其三為備份無損取證，保證案件相關設施完好無損，對獲取的電子證據進行完整備份，以防原始數據遺失，保證案件數據完整;其四為及時準確取證原則，所取得電子證據為計算機系統生成，隨時間推移，可能發生不定向性變化，要嚴格按操作規則執行，確保獲取電子證據真實、準確、完好無損;其五為安全保密原則，既要避免外界環境對取證電子數據的影響，也要保證電子證據不受社會因素影響，對取證過程中涉及到的信息、隱私進行保密處理;其五為監督管理原則，作為虛擬存在的電子證據，要有專人進行監督管理，在取證過程要進行詳實記錄備份。

四、當前階段計算機取證存在的問題

首先，計算機取證技術發展更新存在問題。當前計算機犯罪趨向組織化和專業化，計算機反取證技術日漸提高，隨著計算機數據加密技術普及和深化;計算機存儲功能日益強大;致使傳統計算機取證方法、技術對電子證據的獲取越來越難。我國的計算機取證技術研究起步較晚，操作技術相對陳舊，沒有進行及時更新，部分取證人員相應專業技能不足，未及時掌握新技術，導致計算機取證工作革新、發展遲緩。

其次，計算機取證的系統軟件不足。計算機取證初期原始數據數量龐大，要獲取可用數據，信息的分析難度極大，我國的取證分析軟件無法達到計算機取證要求，只能引進歐、美先進取證軟件，但國外取證軟件有時并不合乎我國的國情，與實際情況有較大出入，且此等軟件價格高昂、維護復雜，以致我們進行計算機取證工作時，皆為人工收集操作或制作臨時使用程序模塊，影響獲取電子證據的嚴謹性和可信度。

五、計算機取證關鍵問題解決措施

首先，加快技術革新。在各級有關機構建立、健全擁有專業水準的專門計算機取證部門，優先配備先進的軟件、硬件設施，合理設置學習規劃，更新知識結構，加緊對取證人員專業素質方面的持續在職培訓，鼓勵計算機取證人員吸取先進知識對計算機取證技術進行更新研究。

其次，加強對計算機取證系統軟件的自主研發。各相關機構加大對計算機取證后勤支持人員的培養力度，從社會各渠道引進相關高級人才，在熟悉計算機取證工作、流程后，依據需要采取自主研發的方式發明設計符合我國國情的取證系統軟件，加強計算機取證的科技先進度。

六、結語

當前經濟社會環境，犯罪形式對計算機取證方法提出了更高要求，以上通過對計算機取證的整理、分析和探討，明晰了計算機取證的方式方法，所遵循的基本原則，探究了對當前存在問題的解決思路，旨在科學規劃計算機取證體系，促進計算機取證的規范、完善，提高計算機取證完成效果，在懲治計算機和網絡犯罪中發揮更積極的作用。

[1]羅紅陽.計算機取證技術及其發展方向[J].數字技術與應用，2015，04:223.