电子取证技术的三大方向

电子取证技术的三大方向

计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。

国内外计算机取证应用发展概况

现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。

在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。

计算机取证的局限性以及面临的问题

（1）目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。

（2）现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。

计算机取证发展研究

计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向智能化、专业化和自动化方向发展

计算机取证的相关技术发展

从计算机取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。

对入侵者要进行计算机犯罪取证学的入侵追踪技术研究，目前有基于主机追踪方法的Caller ID，基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题，提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化研究，对于应用层根据信息论和编码理论，提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在计算机取证中针对入侵行为展开解密技术研究。

计算机取证的另一个迫切技术问题就是对取证模型的研究和实现，当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对此模型的评价机制。

计算机取证的标准化研究

计算机取证工具应用，公安执法机关还缺乏有效的工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套计算机取证的流程，提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准，制度以及取证原则、流程、方法等，到目前为止，还没有专门的机构对计算机

取证机构或工作人员的资质进行认定。加强对具有取证职能的计算机司法鉴定机构的建设，指定取证工具的评价标准，对计算机取证操作规范是很必要的。