“數(shù)字取證”課程實驗教學探索

摘 要：“數(shù)字取證”是一門綜合性與實踐性較強的學科，需要選擇適當?shù)慕虒W方法。文章針對數(shù)字取證課程實驗教學進行了探索，提出了使實驗結(jié)合啟發(fā)式教學的策略，旨在將理論教學和實踐更好地結(jié)合。

關(guān)鍵詞：數(shù)字取證；啟發(fā)式教學；實驗教學

中圖分類號：G642.0 文獻標識碼：A 文章編號：1002-4107（2017）02-0013-02

計算機和網(wǎng)絡(luò)在社會生活的各個領(lǐng)域的應(yīng)用越來越普遍，與之相關(guān)的犯罪也越來越多。要打擊并遏制此類犯罪，執(zhí)法機關(guān)必須依照法律的要求獲取各種合法的證據(jù)。數(shù)字取證就是為打擊與計算機有關(guān)的犯罪提供證據(jù)的科學方法和手段，它的迅速發(fā)展使得對數(shù)字取證的專業(yè)人才的需求越來越迫切。國外十分重視數(shù)字取證的教學研究，比如麻省理工學院提供了信息系統(tǒng)安全認證研究生課程，加利福尼亞大學設(shè)置了計算機安全實驗室，同時開展了相關(guān)的技術(shù)研究[1]。目前，國內(nèi)一些高校也開設(shè)了數(shù)字取證的相關(guān)課程，但對該課程的教學及相關(guān)建設(shè)都還在探索階段。

啟發(fā)式教學是一種先進的教學理念和方法，它提倡以學生為主體，充分調(diào)動學生的積極能動性。啟發(fā)式教學法應(yīng)該與具體的教學實踐相結(jié)合，滲透在教學的各個環(huán)節(jié)中。數(shù)字取證是一門實踐性很強的學科，實驗教學是一個重要的環(huán)節(jié)，對于數(shù)字取證技術(shù)人員而言尤為重要。因此，開展數(shù)字取證的實驗教學的研究具有重要意義。本文對“數(shù)字取證”啟發(fā)式教學中的實驗教學進行了探索。

一、啟發(fā)式教學的內(nèi)涵

啟發(fā)式教學是指在教學過程中，以學生自主學習和合作討論為前提，在教師的啟發(fā)引導(dǎo)下，學生積極思維，質(zhì)疑探究并解決實際問題的教學形式。在啟發(fā)式教學的具體實踐中，教師應(yīng)激發(fā)學生的學習興趣，讓學生從被動接受教育變?yōu)橹鲃犹剿鲗W習。教師要為學生的學習創(chuàng)設(shè)合適的情境和氛圍，引導(dǎo)學生進行具體的操作，鼓勵學生大膽陳述自己的見解，把握討論的深度，再通過適當?shù)姆答伜驮u價建立學生的自信。

啟發(fā)式教學方法更符合教學規(guī)律，關(guān)于這一點已有很多人進行了大量的研究和證明。筆者通過自身的實踐過程和體會，把數(shù)字取證實驗中的啟發(fā)式教學方法與讀者分享，希望能引起共鳴。

二、“數(shù)字取證”課程建設(shè)的思考

數(shù)字取證是一門跨學科的綜合學科[2]，同時涉及法學、司法鑒定、計算機科學、信息安全、社會工程學、心理學等多個學科領(lǐng)域，是多學科交叉融合形成的新型學

科。與數(shù)字取證相關(guān)的術(shù)語有計算機取證、電子取證、手機取證、網(wǎng)絡(luò)取證等等。這些術(shù)語之間的界定不是很清晰，各有側(cè)重，但取證的結(jié)果都是電子證據(jù)。電子證據(jù)具有脆弱易失性、不可靠性及表現(xiàn)形式多樣性等特點[3]，若要將其作為法庭上的證據(jù)，必須采用科學的方法和嚴格的程序保證電子證據(jù)具有客觀性、關(guān)聯(lián)性、合法性以及證據(jù)連續(xù)性。“數(shù)字取證”課程的開設(shè)，強調(diào)理論與實踐并重，學生在學好理論課程的同時，應(yīng)有較強的實踐動手能力。與傳統(tǒng)的物證技術(shù)相比， 數(shù)字取證無論是在法律依據(jù)上還是在技術(shù)上都需要解決大量的問題，因此，

需要在實驗教學中采取合適的方法。

（一）完善“數(shù)字取證”實驗教學體系

要做好“數(shù)字取證”的實驗教學工作，就需要構(gòu)建一個合理的、科學的教學體系。“數(shù)字取證”的實驗內(nèi)容主要包括電子證據(jù)（包括易失性數(shù)據(jù)）的確認、提取、保護、分析和歸檔等過程。通過該實驗課的基本訓練，學生不只加深理解和鞏固所學的理論知識，掌握常用的原理和實現(xiàn)方法，更要將理論基礎(chǔ)知識應(yīng)用于實踐，切實掌握數(shù)字取證技術(shù)的基本技能和技巧，熟練使用常用的數(shù)字取證的工具，初步具備數(shù)字取證工作的能力。提升專業(yè)技能的應(yīng)用的同時，通過分組實驗，加強學生的科學素養(yǎng)和團隊協(xié)作精神，為培養(yǎng)更專業(yè)的數(shù)字取證技術(shù)人才奠定良好的基礎(chǔ)。

（二）營造數(shù)字取證的實驗環(huán)境

由于計算機犯罪中形式的多樣性，實驗室需要模擬各種與計算機有關(guān)的犯罪形式和信息數(shù)據(jù)，使學生在各種模擬的犯罪現(xiàn)場中能夠進行證據(jù)的提取和調(diào)查工作。因此，實驗室應(yīng)該有幾十臺計算機以及路由器、交換機等網(wǎng)絡(luò)設(shè)備，并將這些設(shè)備構(gòu)建出一個網(wǎng)絡(luò)，該網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連。為了數(shù)據(jù)的獲取和備份，應(yīng)該有一些大容量的移動硬盤和備份設(shè)備，備份設(shè)備應(yīng)充分考慮驅(qū)動器的類型、容量以及專業(yè)要求。為了保證數(shù)字證據(jù)的連續(xù)性，還應(yīng)該有專業(yè)的磁盤映像工具，該工具能實現(xiàn)位對位的磁盤映像并對磁盤映像文件產(chǎn)生內(nèi)部校驗和錯誤日志。如果有條件，還可以購置一些專門用于數(shù)字取證的取證計算機和數(shù)字取證勘察箱或者是數(shù)字取證塔等硬件設(shè)備。

數(shù)字取證實驗室的軟件包括操作系統(tǒng)、應(yīng)用軟件、取證工具軟件等三類軟件。操作系統(tǒng)應(yīng)該安裝常用的Unix、Linux、Windows等，用來模擬犯罪環(huán)境。操作系統(tǒng)本身自帶了大量的軟件工具，其中有一些工具可以用來進行數(shù)字取證。應(yīng)用軟件用來模擬產(chǎn)生犯罪現(xiàn)場中的數(shù)據(jù)和信息，比如常用的office辦公軟件可以模擬出各種

犯罪數(shù)據(jù)，如犯罪嫌疑人記錄的聯(lián)系人、資金賬單等。

取證軟件可以收集或分析有關(guān)數(shù)據(jù)，以便于發(fā)現(xiàn)與案件相關(guān)的信息。這些取證工具可以使用非專門的取證軟件，也可以使用為取證工作專門開發(fā)的專業(yè)軟件。非專門的取證軟件數(shù)量眾多，功能也不一樣。比如用于數(shù)據(jù)恢復(fù)的Easy Recovery、用于證據(jù)保全的MD5校驗工

具md5sum等等。

目前，全球廣泛使用的專業(yè)的數(shù)字取證的工具主要有：EnCase，F(xiàn)orensic Toolkit，WinHex以及TCT[4]。此外，國內(nèi)一些研究人員、研究機構(gòu)和企業(yè)也致力于研發(fā)專業(yè)的數(shù)字取證工具。如廈門美亞柏科公司的取證大師等。在實驗教學中，主要選擇了國內(nèi)廣泛使用的Encase軟件進行具體的實踐。Encase軟件的主要功能包括建立案例、建立證據(jù)文件、數(shù)據(jù)保全、磁盤瀏覽、數(shù)據(jù)搜索、數(shù)據(jù)恢復(fù)、網(wǎng)頁及電子郵件搜索等，能自動提取及分析常見的數(shù)據(jù)。

三、“數(shù)字取證”實驗教學策略

經(jīng)過幾年來對“數(shù)字取證”課程的講授，逐步探索對課程教學內(nèi)容及教學方法的改革。加強教學內(nèi)容的更新，適應(yīng)數(shù)字取證技術(shù)的發(fā)展；同時，加強理論和實驗教學方式的創(chuàng)新，注重理論與實踐并重。

在“數(shù)字取證”課程的教學過程中，使用了啟發(fā)式教學。啟發(fā)式教學涉及“數(shù)字取證”教學過程的各個環(huán)節(jié)，具體的方法也有很多[5]。在實驗教學中，我們主要通過以下幾個環(huán)節(jié)精心安排：設(shè)置場景、置問與引導(dǎo)、反饋與評價。

（一）設(shè)置場景

對于啟發(fā)式教學來說，通常要有一些好的問題對學生進行啟發(fā)引導(dǎo)，激發(fā)學生解決問題的動機和活力。但在實踐中找到好的問題并不容易。為了避免問題過于簡單、過于復(fù)雜或是偏離主題，我們精心準備了問題產(chǎn)生的實驗場景。在這些場景中，學生們分成很多小組，組內(nèi)進行任務(wù)分工。一些學生扮演犯罪分子實施場景內(nèi)的犯罪活動，另一些學生則扮演數(shù)字取證技術(shù)人員開展具體的調(diào)查取證工作。根據(jù)“數(shù)字取證”課程的教學要求和具體的學時數(shù)，主要設(shè)置了三類場景。

1.保護案發(fā)現(xiàn)場場景。在此場景中，扮演犯罪分子的學生模擬出犯罪現(xiàn)場；扮演技術(shù)人員的學生需要進行現(xiàn)場的保護及現(xiàn)場必要證據(jù)的收集。包括物理證據(jù)的收集、軟件環(huán)境的保護、易失性數(shù)據(jù)的收集以及現(xiàn)場的計算機和外圍設(shè)備、網(wǎng)絡(luò)設(shè)備的封存等工作。

2.獲取證據(jù)場景。在該場景中，扮演犯罪分子的學生對模擬出的犯罪證據(jù)進行刪除、加密及清除等各種操作；扮演技術(shù)人員的學生要獲取真實的、具體的證據(jù)，同時應(yīng)該保證數(shù)據(jù)的安全性和完整性。包括數(shù)據(jù)的恢復(fù)、數(shù)據(jù)的解密、數(shù)據(jù)的備份以及數(shù)據(jù)的保全等工作。

3.分析及記錄場景。在該場景中，給出了濫用公司資源、少女失蹤等等具體的案例。扮演犯罪分子的學生模擬出案例中的犯罪活動；扮演技術(shù)人員的學生對獲取的證據(jù)進行綜合分析，找到有用的、合法的證據(jù)并準確記錄歸檔。這里，讓學生對具體案例所涉及的計算機相關(guān)的證據(jù)進行提取、分析和決策，同時進行詳細記錄，據(jù)此完成最后的實驗報告[6]。

（二）置問與引導(dǎo)

置問是啟發(fā)式教學的一個重要目的。在具體的實驗中，先采用以教師置問為主的方式引導(dǎo)學生。同時，為了減輕教師置問對學生帶來的消極影響，激發(fā)學生的探疑解難的興趣，我們設(shè)計了上節(jié)提到的各種場景。為了讓學生在課上討論充分，通常提前幾天把場景的材料發(fā)放給學生，讓學生有充足的時間去熟悉案例，查閱相關(guān)資料。

在這些場景中，學生自由表達觀點、質(zhì)疑探究問題，并通過個人、小組、集體和教師引導(dǎo)等多種形式的解難釋疑活動，用所學知識解決實際問題。在此過程中，教師可以走下講臺，根據(jù)學生實驗的實際情況有針對性地指導(dǎo)，實現(xiàn)師生互動。此外，小組實驗中，不同的學生承擔不同的角色，相互之間可以討論、互助，實現(xiàn)生生互動。

（三）反饋與評價

為了通過總結(jié)獲得更多的啟發(fā)。在學生實驗完成后，還要進行反饋與評價。教師請一些小組向全班學生講述自己的實驗過程、實驗結(jié)果以及體會。再由其他學生對此講述自己的意見和建議。最后教師對學生的實驗情況給出評講。在評講的過程中，要多以贊賞鼓勵為主，以指出下次努力的方向為輔。教師對學生取得的點滴進步的贊揚會很好地激發(fā)學生的自我認同感，提升其自信心。

數(shù)字取證科學是一個比較新的領(lǐng)域，其綜合性和實踐性都比較強，需要結(jié)合不斷出現(xiàn)的各種新問題及新技術(shù)來不斷地完善其教學體系。在進行“數(shù)字取證”教學的探索研究的過程中，應(yīng)做好實驗課程的建設(shè)。本文探討了數(shù)字取證的實驗環(huán)境的建設(shè)并從啟發(fā)式教學的角度闡述了“數(shù)字取證”課程的實驗教學的一些探索。

參考文獻：

[1]李念.計算機取證教學體系研究[J].遼寧行政學院學 報，2007，（11）.

[2]丁麗萍.對公安院校開設(shè)計算機取證課程的思考[J].北 京人民警察學院學報，2005，（2）.

[3]王群，李馥娟.計算機取證技術(shù)實驗室建設(shè)[J].實驗室 研究與探索，2013，（10）.

[4]翟皓，昊石文，昌梁彬等.基于TCT的取證工具適應(yīng)性問 題及其解決方法研究[J].計算機應(yīng)用與軟件，2012，（11）.

[5]戴丹.啟發(fā)式教學在計算機取證教學中的應(yīng)用[J].現(xiàn)代 計算機，2012，（12）.

[6]宋秀麗，陳龍，鄧紅耀.計算機取證課程實驗教學探討 [J].實驗室研究與探討，2007，（6）.