“數字取證”課程實驗教學探索

摘 要：“數字取證”是一門綜合性與實踐性較強的學科，需要選擇適當的教學方法。文章針對數字取證課程實驗教學進行了探索，提出了使實驗結合啟發式教學的策略，旨在將理論教學和實踐更好地結合。

關鍵詞：數字取證；啟發式教學；實驗教學

中圖分類號：G642.0 文獻標識碼：A 文章編號：1002-4107（2017）02-0013-02

計算機和網絡在社會生活的各個領域的應用越來越普遍，與之相關的犯罪也越來越多。要打擊并遏制此類犯罪，執法機關必須依照法律的要求獲取各種合法的證據。數字取證就是為打擊與計算機有關的犯罪提供證據的科學方法和手段，它的迅速發展使得對數字取證的專業人才的需求越來越迫切。國外十分重視數字取證的教學研究，比如麻省理工學院提供了信息系統安全認證研究生課程，加利福尼亞大學設置了計算機安全實驗室，同時開展了相關的技術研究[1]。目前，國內一些高校也開設了數字取證的相關課程，但對該課程的教學及相關建設都還在探索階段。

啟發式教學是一種先進的教學理念和方法，它提倡以學生為主體，充分調動學生的積極能動性。啟發式教學法應該與具體的教學實踐相結合，滲透在教學的各個環節中。數字取證是一門實踐性很強的學科，實驗教學是一個重要的環節，對于數字取證技術人員而言尤為重要。因此，開展數字取證的實驗教學的研究具有重要意義。本文對“數字取證”啟發式教學中的實驗教學進行了探索。

一、啟發式教學的內涵

啟發式教學是指在教學過程中，以學生自主學習和合作討論為前提，在教師的啟發引導下，學生積極思維，質疑探究并解決實際問題的教學形式。在啟發式教學的具體實踐中，教師應激發學生的學習興趣，讓學生從被動接受教育變為主動探索學習。教師要為學生的學習創設合適的情境和氛圍，引導學生進行具體的操作，鼓勵學生大膽陳述自己的見解，把握討論的深度，再通過適當的反饋和評價建立學生的自信。

啟發式教學方法更符合教學規律，關于這一點已有很多人進行了大量的研究和證明。筆者通過自身的實踐過程和體會，把數字取證實驗中的啟發式教學方法與讀者分享，希望能引起共鳴。

二、“數字取證”課程建設的思考

數字取證是一門跨學科的綜合學科[2]，同時涉及法學、司法鑒定、計算機科學、信息安全、社會工程學、心理學等多個學科領域，是多學科交叉融合形成的新型學

科。與數字取證相關的術語有計算機取證、電子取證、手機取證、網絡取證等等。這些術語之間的界定不是很清晰，各有側重，但取證的結果都是電子證據。電子證據具有脆弱易失性、不可靠性及表現形式多樣性等特點[3]，若要將其作為法庭上的證據，必須采用科學的方法和嚴格的程序保證電子證據具有客觀性、關聯性、合法性以及證據連續性。“數字取證”課程的開設，強調理論與實踐并重，學生在學好理論課程的同時，應有較強的實踐動手能力。與傳統的物證技術相比， 數字取證無論是在法律依據上還是在技術上都需要解決大量的問題，因此，

需要在實驗教學中采取合適的方法。

（一）完善“數字取證”實驗教學體系

要做好“數字取證”的實驗教學工作，就需要構建一個合理的、科學的教學體系。“數字取證”的實驗內容主要包括電子證據（包括易失性數據）的確認、提取、保護、分析和歸檔等過程。通過該實驗課的基本訓練，學生不只加深理解和鞏固所學的理論知識，掌握常用的原理和實現方法，更要將理論基礎知識應用于實踐，切實掌握數字取證技術的基本技能和技巧，熟練使用常用的數字取證的工具，初步具備數字取證工作的能力。提升專業技能的應用的同時，通過分組實驗，加強學生的科學素養和團隊協作精神，為培養更專業的數字取證技術人才奠定良好的基礎。

（二）營造數字取證的實驗環境

由于計算機犯罪中形式的多樣性，實驗室需要模擬各種與計算機有關的犯罪形式和信息數據，使學生在各種模擬的犯罪現場中能夠進行證據的提取和調查工作。因此，實驗室應該有幾十臺計算機以及路由器、交換機等網絡設備，并將這些設備構建出一個網絡，該網絡與互聯網相連。為了數據的獲取和備份，應該有一些大容量的移動硬盤和備份設備，備份設備應充分考慮驅動器的類型、容量以及專業要求。為了保證數字證據的連續性，還應該有專業的磁盤映像工具，該工具能實現位對位的磁盤映像并對磁盤映像文件產生內部校驗和錯誤日志。如果有條件，還可以購置一些專門用于數字取證的取證計算機和數字取證勘察箱或者是數字取證塔等硬件設備。

數字取證實驗室的軟件包括操作系統、應用軟件、取證工具軟件等三類軟件。操作系統應該安裝常用的Unix、Linux、Windows等，用來模擬犯罪環境。操作系統本身自帶了大量的軟件工具，其中有一些工具可以用來進行數字取證。應用軟件用來模擬產生犯罪現場中的數據和信息，比如常用的office辦公軟件可以模擬出各種

犯罪數據，如犯罪嫌疑人記錄的聯系人、資金賬單等。

取證軟件可以收集或分析有關數據，以便于發現與案件相關的信息。這些取證工具可以使用非專門的取證軟件，也可以使用為取證工作專門開發的專業軟件。非專門的取證軟件數量眾多，功能也不一樣。比如用于數據恢復的Easy Recovery、用于證據保全的MD5校驗工

具md5sum等等。

目前，全球廣泛使用的專業的數字取證的工具主要有：EnCase，Forensic Toolkit，WinHex以及TCT[4]。此外，國內一些研究人員、研究機構和企業也致力于研發專業的數字取證工具。如廈門美亞柏科公司的取證大師等。在實驗教學中，主要選擇了國內廣泛使用的Encase軟件進行具體的實踐。Encase軟件的主要功能包括建立案例、建立證據文件、數據保全、磁盤瀏覽、數據搜索、數據恢復、網頁及電子郵件搜索等，能自動提取及分析常見的數據。

三、“數字取證”實驗教學策略

經過幾年來對“數字取證”課程的講授，逐步探索對課程教學內容及教學方法的改革。加強教學內容的更新，適應數字取證技術的發展；同時，加強理論和實驗教學方式的創新，注重理論與實踐并重。

在“數字取證”課程的教學過程中，使用了啟發式教學。啟發式教學涉及“數字取證”教學過程的各個環節，具體的方法也有很多[5]。在實驗教學中，我們主要通過以下幾個環節精心安排：設置場景、置問與引導、反饋與評價。

（一）設置場景

對于啟發式教學來說，通常要有一些好的問題對學生進行啟發引導，激發學生解決問題的動機和活力。但在實踐中找到好的問題并不容易。為了避免問題過于簡單、過于復雜或是偏離主題，我們精心準備了問題產生的實驗場景。在這些場景中，學生們分成很多小組，組內進行任務分工。一些學生扮演犯罪分子實施場景內的犯罪活動，另一些學生則扮演數字取證技術人員開展具體的調查取證工作。根據“數字取證”課程的教學要求和具體的學時數，主要設置了三類場景。

1.保護案發現場場景。在此場景中，扮演犯罪分子的學生模擬出犯罪現場；扮演技術人員的學生需要進行現場的保護及現場必要證據的收集。包括物理證據的收集、軟件環境的保護、易失性數據的收集以及現場的計算機和外圍設備、網絡設備的封存等工作。

2.獲取證據場景。在該場景中，扮演犯罪分子的學生對模擬出的犯罪證據進行刪除、加密及清除等各種操作；扮演技術人員的學生要獲取真實的、具體的證據，同時應該保證數據的安全性和完整性。包括數據的恢復、數據的解密、數據的備份以及數據的保全等工作。

3.分析及記錄場景。在該場景中，給出了濫用公司資源、少女失蹤等等具體的案例。扮演犯罪分子的學生模擬出案例中的犯罪活動；扮演技術人員的學生對獲取的證據進行綜合分析，找到有用的、合法的證據并準確記錄歸檔。這里，讓學生對具體案例所涉及的計算機相關的證據進行提取、分析和決策，同時進行詳細記錄，據此完成最后的實驗報告[6]。

（二）置問與引導

置問是啟發式教學的一個重要目的。在具體的實驗中，先采用以教師置問為主的方式引導學生。同時，為了減輕教師置問對學生帶來的消極影響，激發學生的探疑解難的興趣，我們設計了上節提到的各種場景。為了讓學生在課上討論充分，通常提前幾天把場景的材料發放給學生，讓學生有充足的時間去熟悉案例，查閱相關資料。

在這些場景中，學生自由表達觀點、質疑探究問題，并通過個人、小組、集體和教師引導等多種形式的解難釋疑活動，用所學知識解決實際問題。在此過程中，教師可以走下講臺，根據學生實驗的實際情況有針對性地指導，實現師生互動。此外，小組實驗中，不同的學生承擔不同的角色，相互之間可以討論、互助，實現生生互動。

（三）反饋與評價

為了通過總結獲得更多的啟發。在學生實驗完成后，還要進行反饋與評價。教師請一些小組向全班學生講述自己的實驗過程、實驗結果以及體會。再由其他學生對此講述自己的意見和建議。最后教師對學生的實驗情況給出評講。在評講的過程中，要多以贊賞鼓勵為主，以指出下次努力的方向為輔。教師對學生取得的點滴進步的贊揚會很好地激發學生的自我認同感，提升其自信心。

數字取證科學是一個比較新的領域，其綜合性和實踐性都比較強，需要結合不斷出現的各種新問題及新技術來不斷地完善其教學體系。在進行“數字取證”教學的探索研究的過程中，應做好實驗課程的建設。本文探討了數字取證的實驗環境的建設并從啟發式教學的角度闡述了“數字取證”課程的實驗教學的一些探索。

參考文獻：

[1]李念.計算機取證教學體系研究[J].遼寧行政學院學 報，2007，（11）.

[2]丁麗萍.對公安院校開設計算機取證課程的思考[J].北 京人民警察學院學報，2005，（2）.

[3]王群，李馥娟.計算機取證技術實驗室建設[J].實驗室 研究與探索，2013，（10）.

[4]翟皓，昊石文，昌梁彬等.基于TCT的取證工具適應性問 題及其解決方法研究[J].計算機應用與軟件，2012，（11）.

[5]戴丹.啟發式教學在計算機取證教學中的應用[J].現代 計算機，2012，（12）.

[6]宋秀麗，陳龍，鄧紅耀.計算機取證課程實驗教學探討 [J].實驗室研究與探討，2007，（6）.