計算機主機隱秘信息取證技術的研究

【摘 要】計算機網絡信息技術得到了十分廣泛的應用，并且發揮了非常重要的作用。與此同時，現在出現了越來越多的計算機犯罪的現象，由于計算機網絡犯罪具有更加隱蔽的手段，因此對計算機犯罪進行打擊的重要方式就是計算機取證技術。本文立足于計算機主機系統中的證據獲取方式，對計算機主機系統取證的原則進行了闡述，介紹了計算機主機隱秘信息取證系統的技術體系。

【關鍵詞】計算機；主機隱秘信息；取證技術

引言

計算機主機隱秘信息取證也被人們稱作為計算機信息取證，目前其屬于收集網絡犯罪證據的主要技術，目前在法律上已經證實了計算機主機隱秘信息取證技術獲取的證據的效力，所以其目前被法庭所接受，而且受到了法律的認可。這種信息取證技術主要是通過對計算機工具和軟件的利用分析案件證據，同時將電子證據提取出來的這樣一種技術。基于此，本文系統的論證了計算機主機隱秘信息的取證技術。

一、計算機主機隱秘信息取證遵循的原則

①依法取證：只有在司法鑒定和取證活動的過程、方法、對象和主體等要素均合法的情況下，證據才具有合法性。其中的計算機取證主體的合法性指的是具備司法鑒定和法定取證自合的取證技術專家、合法的調查人員。所謂的合法對象主要是指要嚴格按照明確的與案件事實相關的電子信息和涉案的電子設備的取證范圍規定進行取證，而不能夠對與案件無關的數據信息進行隨意取證，防止使權利人或所有人的商業秘密和隱私權等合法權益受到侵犯。

②多備份取證和無損取證：選擇鏡像技術在收集存儲介質中的電子數據的工作中進行備份，確保原始數據的完整性。所謂的多備份原則就是要多次備份電子證據媒體，保存其中的原始媒體，在進行分析、操作和取證操作的時候應用復制品。無損原則就是要確保全部涉案設備信息的完整性，而不可以實施修改操作。

③及時性和準確性：因為電子證據的提取主體是自動生成于信息系統運行中的實時文件，而這些文件信息在一定的時間后就會出現變化。面對這種情況，在將取證對象確定下來之后必須要馬上開展收集證據的工作。在具體的取證過程公證人員必須要做到認真仔細，對操作規定予以嚴格執行，最終確保信息的準確性。

④取證的全面性：在進行計算機取證的時候必須要全面的取證卷子證據的來源，與此同時，還要嚴格遵守環境安全的原則，要保證電子數據存儲介質在保存、取證和分析的環境中的安全性，要遠離灰塵、靜電、潮濕、高溫、高磁場等各種不利的因素。

⑤過程監督和嚴格管理：在進行電子證據分析提取和計算機取證的的工作中必須要由相關的技術專家或者專人做好實時監督的工作，在保管移交拆卸開封等電子證據的操作過程中也要做好認真地記錄和嚴格的管理。

二、計算機主機隱秘信息取證的技術體系

（一）計算機主機隱秘信息取證系統職能

現階段我國主要采用金諾安介質取證系統和美亞柏科中文取證平臺兩種軟件進行計算機主機隱秘信息取證。一般來說，計算機取證軟件主要包括采集、分析、加工、傳輸等環節。對于計算機信息數據而言，主機屬于主體的媒介，所以其中最為重要的環節就是計算機主機取證的環節，在該環節中包含著自動隱藏模塊、文檔數據取證模塊和卸載模塊等各種模塊。只有確保加載模塊和自動隱藏模塊兩者實現正常的工作，才可以使計算機隱秘系統的正常運行得到保證。

（二）計算機主機隱秘信息取證系統模塊的功能

在具體的取證工作中取證數據的核心內容就是對文檔數據的取證，這一過程主要是利用計算機自動卸載模塊實現的。利用計算機自動卸載模塊能夠獲得移動接入輸出設備和主機密碼證書等相關的數據，同時還能夠獲得加密文檔等信息。計算機自動模式運行的最為主要的任務就是確保卸載程序構建的順序和卸載過程的隱秘性，所以在接收到程序卸載的指令后，卸載模塊就會刪除保存在主機上的文本信息，隨后卸載程序，最后再清理其中的入庫痕跡，因為該模塊可以加密操作獲取的數據，隨后會在正常的范圍內控制數據的大小，并且進一步將隱蔽存儲功能啟動，最后其能夠過動態配置的功能集中管理隱蔽的數據信息，所以，通過自動卸載模塊收集證據時能夠做到有跡可循。

（三）主機隱秘信息取證系統的主要組成

作為一項閉合性的系統，計算機主機隱秘信息取證系統指的是在進行電子信息數據取證工作中控制、收集數據信息的這樣一種提取證據的技術。一般來說，計算機主機隱秘信息取證系統主要包括兩部分的內容，也就是計算機主機取證平臺和計算機主機取證管理平臺，在具體的計算機取證工作中其能夠利用網絡植入或者直接接觸的途徑在計算機的主機系統中進入，從而完成相應的取證工作。主機的運行方式為隱蔽運行，在對電子證據進行收集的時候題主要是利用隱蔽存儲、回傳、數據文檔取證、自動卸載、自動加載等一系列的功能來實現的。

（四）主機隱秘信息取證體系的特性

計算機主機隱秘信息取證不管是在取證平臺的數據通信方面，還是在取證代理方面都具由較強的隱蔽性。通過該技術能夠獲取與源文件完全一致的證據文件，因此其可靠性非常高，與此同時，其取證平臺部分和取證代理部分都可以實現長期在無人值守的狀態下運行。在連接取證平臺和代理之后，程序就會對證據文件和列表文件進行自動傳送，如果被取證的主機接入了移動存儲設備，這時候程序就會將傳輸原始文件列表自動啟動，向取證平臺及時地傳送列表文件，所以其具有自動性和實時性的特點。

三、結語

計算機取證除了屬于計算機科學領域的問題，還屬于法學領域的問題，所以在設計程序和進行具體操作的時候除了要充分地滿足功能和技術要求，還要嚴格遵循相關的法律規定。未來的計算機主機隱秘信息取證技術將會得到不斷的完善，并且朝著證據歸檔自動化、取證分析智能化、取證過程規范化、結合網絡取證和單機取證、結合靜態取證和動態取證的方向發展，最終建立起全面、規范、完整的計算機取證體系。

作者簡介：陸莉芳（1977-），女，云南宣威人，碩士，講師，研究方向：計算機科學教育。

參考文獻：

[1]向楨.淺析計算機主機隱秘信息取證技術[J].價值工程. 2015（06）

[2]張浩波.計算機主機隱秘信息取證技術研究[J].無線互聯科技.2015（01）