摘 要:計算機取證是對計算機犯罪證據(jù)的識別、獲取����、傳輸�、保存、分析和提交認證過程�,實質是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。本文主要介紹了計算機取證的概念����、特點�,計算機取證的過程�����,然后探討了計算機取證的發(fā)展趨勢和局限性��。
計算機技術的迅速發(fā)展和廣泛普及改變了人們傳統(tǒng)的生產���、生活和管理方式。同時也為違法犯罪分子提供了新的犯罪手段和空間����。以計算機信息系統(tǒng)為犯罪對象和工具的新型犯罪活動越來越多,造成的危害也越來越大�。大量的計算機犯罪—如商業(yè)機密信息的竊取和破壞,計算機詐騙�,攻擊政府、軍事部門網站��,色情信息�����、網站的泛濫等等�����。偵破這些案件必須要用到計算機取證技術,搜尋確認罪犯及其犯罪證據(jù)�����,并據(jù)此提起訴訟�。案件的取證工作需要提取存在于計算機系統(tǒng)中的數(shù)據(jù),甚至需要從已被刪除��、加密或破壞的文件中重獲信息�。電子證據(jù)本身和取證過程有許多不同于傳統(tǒng)物證和取證的特點,給司法工作和計算機科學領域都提出了新的挑戰(zhàn)�。
一、計算機取證的概念和特點
關于計算機取證概念的說法���,國內外學者專家眾說紛紜��。取證專家Reith Clint Mark認為:計算機取證(Compenter Forensics)可以認為是“從計算機中收集和發(fā)現(xiàn)證據(jù)的技術和工具”�����。Lee Garber在IEEE Security發(fā)表的文章中認為:計算機取證是分析硬盤驅動器�����、光盤�����、軟盤���、Zip和Jazz磁盤、內存緩沖以及其他形式的儲存介質以發(fā)現(xiàn)證據(jù)的過程�����。計算機取證資深專家Judd Robbins對此給出了如下定義:計算機取證是將計算機調查和分析技術應用于對潛在的��、有法律效力的證據(jù)的確定與獲取�。其中,較為廣泛的認識是:計算機取證是指能夠為法庭接受的����、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據(jù)(Electronic Evidence)的確定�����、收集���、保護���、分析���、歸檔以及法庭出示的過程。
電子證據(jù)也稱為計算機證據(jù)��,是指在計算機或計算機系統(tǒng)運行過程中產生的���,以其記錄的內容來證明案件事實的電磁記錄物�。電子證據(jù)的表現(xiàn)形式是多樣的����,尤其是多媒體技術的出現(xiàn),更使電子證據(jù)綜合了文本�、圖形、圖像�、動畫、音頻及視頻等多種媒體信息�����,這種以多媒體形式存在的計算機證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型���。
證據(jù)在司法證明的中的作用是無庸質疑的��,它是法官判定罪與非罪��、此罪與彼罪的標準�。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是:可信的��、準確的����、完整的�、符合法律法規(guī)的,即可為法庭所接受的��。同時我們不難發(fā)現(xiàn)�,電子證據(jù)還具有與傳統(tǒng)證據(jù)有別的其它特點:①磁介質數(shù)據(jù)的脆弱性:電子證據(jù)非常容易被修改,并且不易留痕跡����;②電子證據(jù)的無形性:計算機數(shù)據(jù)必須借助于其他一些輸出設備才能看到結果;③高科技性:證據(jù)的產生�、傳輸、保存都要借助高科技含量的技術與設備����;④人機交互性:計算機證據(jù)的形成��,在不同的環(huán)節(jié)上有不同的計算機操作人員的參與��,它們在不同程度上都可能影響計算機系統(tǒng)的運轉�;⑤電子證據(jù)是由計算機和電信技術引起的����,由于其它技術的不斷發(fā)展,所以取證步驟和程序必須不斷調整以適應技術的進步��。
二�、計算機取證的過程
計算機取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調查人員到計算機(或網絡終端)犯罪或入侵的現(xiàn)場�����,尋找并扣留相關的硬件設備��;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件��,日志等)中尋找可以用來證明或者反駁的證據(jù)��,即電子證據(jù)。
1.物理證據(jù)的獲取
物理證據(jù)的獲取是全部取證工作的基礎�����。獲取物理證據(jù)是最重要的工作�,保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下�,調查者都應牢記:①不要改變原始記錄;②不要在作為證據(jù)的計算機上執(zhí)行無關的操作�����;③不要給犯罪者銷毀證據(jù)的機會���;④詳細記錄所有的取證活動���;⑤妥善保存得到的物證��。
由于犯罪的證據(jù)可能存在于系統(tǒng)日志�����、數(shù)據(jù)文件��、寄存器、交換區(qū)�、隱藏文件、空閑的磁盤空間���、打印機緩存���、網絡數(shù)據(jù)區(qū)和計數(shù)器、用戶進程存儲器�����、文件緩存區(qū)等不同的位置����。要收集到所有的資料是非常困難的。關鍵的時候要有所取舍���。所以在物理證據(jù)獲取時�,面對調查隊伍自身的素質問題和設備時�,還要注意以下兩個問題 :①目前硬盤的容量越來越大,固定過程相應變得越來越長����,因此取證設備要具有高速磁盤復制能力��;②技術復雜度高是取證中另一十分突出的問題���。動態(tài)證據(jù)的固定由于沒有專門的設備,對調查人員的計算機專業(yè)素質要求很高����。
2.信息發(fā)現(xiàn)
在任何犯罪案件中,犯罪分子或多或少都會留下蛛絲馬跡��,前面所說的電子證據(jù)就是這些高科技犯罪分子留下的蛛絲馬跡�����。這些電子證據(jù)的物理存在構成了我們取證的物質基礎����,但是如果不把它提煉出來,它只是一堆無意義的數(shù)據(jù)�����。我們研究計算機犯罪取證就是將這些看似無意義的數(shù)據(jù)變成與犯罪分子斗爭的利器����,將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭,以便將犯罪者繩之以法���。不同的案件對信息發(fā)現(xiàn)的要求是不一樣的��。有些情況下要找到關鍵的文件��、郵件或圖片���,而有些時候則可能要求計算機重現(xiàn)過去的工作細節(jié)(比如入侵取證)。
為了保護原始數(shù)據(jù)�,除非與特殊的需要,所有的信息發(fā)現(xiàn)工作都是對原始證據(jù)的物理拷貝進行的����。由于包含著犯罪證據(jù)的文件可能已經被刪除了,所以要通過數(shù)據(jù)恢復找回關鍵的文件�、通信記錄和其它的線索。
數(shù)據(jù)恢復以后���,取證專家還要進行關鍵字的查詢����、分析文件屬性和數(shù)字摘要�����、搜尋系統(tǒng)日志、解密文件等工作��。最后取證專家據(jù)此給出完整的報告����。將成為打擊犯罪的主要依據(jù),這與偵查普通犯罪時法醫(yī)的角色沒有區(qū)別��。
三�、計算機取證的發(fā)展
計算機取證是伴隨著計算機犯罪事件的出現(xiàn)而發(fā)展起來的,在我國計算機證據(jù)出現(xiàn)在法庭上只是近10年的事情�,在信息技術較發(fā)達的美國已有了30年左右的歷史。最初的電子證據(jù)是從計算機中獲得的正式輸出���,法庭不認為它與普通的傳統(tǒng)物證有什么不同����。但隨著計算機技術的發(fā)展�����,以及隨著與計算機相關的法庭案例的復雜性的增加����,電子證據(jù)與傳統(tǒng)證據(jù)之間的類似性逐漸減弱。于是90年代中后期��,對計算機取證的技術研究����、專門的工具軟件的開發(fā)以及相關商業(yè)服務陸續(xù)出現(xiàn)并發(fā)展起來。
現(xiàn)在美國至少有70%的法律部門擁有自己的計算機取證實驗室�,取證專家在實驗室內分析從犯罪現(xiàn)場獲取的計算機(和外設),并試圖找出入侵行為�。不過我們國家有關計算機取證的研究與實踐尚在起步階段。
關鍵詞:
計算機取證
營業(yè)執(zhí)照公示信息