计算机取证技术在打击犯罪中的应用

计算机取证技术在打击犯罪中的应用

郭陈阳，杨龙

（长沙市公安局，长沙410005）

摘要：就目前看，计算机应用的普遍使用已经给人类带来非常大的方便，但使用同时为会为罪犯利用计算机犯罪提供了方便。本文研究了计算机取证的概念、原则、及计算机取证的相关技术等。现在，运用计算机进行数据取证一直还没有形成全面的成熟的系统，应用技术还在渐渐发展，其中的一些关键问题和关键技术也在不断地探讨，一些新出现的技术依然需要研究。但可喜的是，计算机取证逐渐成为对网络防御安全并且能够打击网络犯罪的非常实用的方法，对网络的安全和抵御的意义是十分深远的。

关键词：计算机犯罪；电子证据；取证技术

中图分类号：TP399 文献标识码：A 文章编号：1007-9599 (2012) 09-0082-02

计算机随着信息技术的发展，应用在我们的生活和工作中也越来越多。计算机涉及的违法犯罪普遍多起来也，发生的案件在公安部门中，涉及计算机经常遇到存储介质相关数字的情况。计算机取证技术作为刑事侦查、计算机和法学领域一门崭新的科学，慢慢引起人们的关注，并且逐渐成为研究的重点。在案件中如果有取证工作需要进行提取，那么存在计算机系统中的一些数据，大量的案例的存在涉及计算机犯罪，重新获得信息很多需要从已被加密、删除或破坏的文件中。由于易丢失性电子证据，所以进行取证时我们必须在计算机现场，为了避免损坏证据，一定要非常严格的按照科学规律进行。

一、计算机取证的概念

具体分析计算机取证的含义，就是利用计算机的软硬件技术，所有的程序都必须严格按照法律方式进行获得证据、分析、保存和出示的过程。还称为电子取证和数字取证计算机取证，就是指对计算机破坏、入侵、攻击、欺诈等行为犯罪或涉及案件的电脑，在技术上，是全盘扫描对涉案计算机分析，进行内容重新建立的过程。根据发展来看，计算机取证的核心工作分别从两个方面进行：其一就是获取介质目标内容。就是说复制到侦查人员把目标介质的内容从取证计算机中，保证这一过程的是对介质原始不能有一点改变，并且拷贝的内容和最初的数据一定要完全一致。其二就是获取了最初的介质并且获取数据成功后，必须要有针对计算机取证。最后总结出：使用计算机软件和一些必要的工具，利用计算机取证，按照预先设定的一些定义，全面程序进行有效地检查，以保护和提取相关犯罪的证据。所以，计算机取证是指法庭能够接受的利用计算机的，非常有建设的，对应的设备存在于计算机中，能够确认电子证据的归档、保护、提取的过程。

对编码信息以磁介质方式存储的相关很多内容应用于计算机的取证技术，计算机及证据数字存储介质的提取、保护、确认和归档。并且还要运用多种不同工具进行分析，并且要进行数据解析，以便获得相关证据和线索。

二、运用计算机取证的关键原则

利用计算机取证的电子证据，必须严格按照程序，以扩大对证据的收集和使用的相关证据的特殊性。从原则的总体来看，犯罪案例利用计算机搜集证据的采集必须遵循以下原则：（一）客观性

首先要有认真科学的态度，对于收集证据的人员。而且能够娴熟运用资讯科技，负责取证过程中，得到的数据要真实客观，以确保证据不被破坏，不出差错，而且要删除干扰信息和伪造数据。不仅要收集证明犯罪嫌疑人的有罪证据，也必须保存可以证明犯罪嫌疑人没有最的证据证明。

（二）相关性

所有证据形成证据链。只有与案件有关的信息和数据，才能在收集证据的范围之内，必须确保证据的连续性，就是在证据被正式提交到法院，必须证明证据是从最初的原始状态。所有的整个检查、收集证据的一切过程中，必须要严格实施标准化，以确保所有证据向法院提交不能够发生改变，并一定要制定非常严格的保管转移，检验系统。

（三）合法性

必须建立法律，法规的意识，计算机犯罪证据收集的主体，一定要通过合法的手段和合法措施，提取证据的收集，整个取证过程中，必须依法受到适当监督和依照法定程序。收集证据使用的证据的基础和前提，研究者唯一合法的必经途径，分析出来就是所有的证据的必须确任、可靠、充分，还要能够确定案件的性质，只有这样，才能做到正确而且有针对性地打击违法犯罪行为，而且依法保护公民的合法权利和利益。

三、计算机取证技术

分析了计算机系统得出：电子证据取证的内容和技术主要来自两个方面，一个是关于计算机自身系统的，第二就是关于其他网络。其中有些内容是关于计算机系统的：系统日志文件、交换文件、入侵者残留物、临时文件、备份介质、硬盘未分配的空间、系统的缓冲区、打印机和其他设备的内存。还有一些是关于网络：网络防火墙日志、入侵检测系统日志、记录和其他网络工具生成的日志。根据这些证据的所有来源，就把计算机取证技术分为两类：独立的取证和网络取证。

（一）基于单机的电子取证技术

基于单机的计算机取证技术，是一种可以在一台不在线的任意计算机获取证据的技术。

1.数据恢复技术

能够数据恢复技术可以把两种被删除的数据恢复出来，一是直接删除，二是格式化删除。直接把文件删除的计算机操作结果，是不能一次到位把文件完全删除，一系列的过程其实，也只是把能够构成相关文件的数据，重新放回到系统当中，普通的计算机操作是一定不能够看到这些簇的。但是所有这些计算机应用簇却可以在计算机空闲块列表中读取出来，在目录项目中是看不到的。如果计算机格式化之前的硬盘上有一些应用数据存在，那么计算机格式化磁盘就是对所有计算机访问系统的各种表进行所有重新的构建，则计算机格式化之后那么，原有的数据就在磁盘上还没有删除消失。计算机数据恢复技术正，就是运用专业技术进行数据恢复，这些觉得通常不可能遇见的数据。

2.加密解密技术和口令获取

从被攻击的计算机中获取证据还要对已经加密的数据进行解密。这种解密加密的方法和工具有很多。而在计算机取证过程中一般用到的是：密码破解技术、网络窃听、口令搜索、口令提取和密码分析技术。

3.拷贝磁盘技术

取证操作是不允许在原始计算机上操作的，因为在被攻击过

—82 —