计算机取证

计算机犯罪案件证据收集提取的注意事项

一、计算机犯罪的特点

近年来，计算机犯罪呈现出了一些特点，主要表现在以下几个方面：

1)高智商性：计算机是现代社会科学技术发展的产物，计算机犯罪则是一种高智商的犯罪，这种高智商体现在：①作案者多采用高科技犯罪手段。②犯罪分子犯罪前都经过了精心的策划和预谋。③犯罪主体都具有相当高的计算机知识，或者是计算机领域的拔尖人才，有一些还是从事计算机工作多年的骨干人员。

2)作案动机简单化：计算机犯罪中，大多数犯罪主体精心研制计算机病毒，破坏计算机信息系统，特别是计算机黑客，他们犯罪的目的很多时候并不是为了金钱，也不是为了权利，而是为了显示自己高超的计算机技术，他们认为这些病毒的传播就是他们成果的体现，通过这种方式来认可自己研究成果，其目的之简单有时令破案者都吃惊。

3)实施犯罪容易：只需要一根网线，就能够对整个世界实施犯罪。这反映了网络犯罪特别容易实施，很多犯罪活动在网吧中就可以进行，如此方便的实施手段给计算机网络犯罪创造了孳生的环境。从1996年以来，我国的计算机网络犯罪数量呈直线上升。自动化的病毒生产机和木马生成器大大降低了计算机犯罪的门槛，让许多未成年人也能够容易的实施计算机犯罪。

4)教强的隐蔽性：计算机犯罪分子作案大都比较隐蔽，这种隐蔽性不但体现在犯罪行为本身，还体现在犯罪结果上。计算机犯罪侵害的多是无形的目标，比如电子数据或信息，而这些东西一旦存入计算机，人的肉眼无法看到，况且这种犯罪一般很少留有痕迹，一般很难侦破。

5)巨大的危害性：计算机犯罪所造成的损失往往是巨大的，是其他犯罪所无法比拟的，2000年据美国“信息周研究社”发表的研究报告称，全球今年因电脑病毒造成的损失将高达150000亿美元。

二、计算机犯罪取证

光有法律并不能完全解决问题，计算机犯罪隐蔽性极强，可以足不出户而对千里之外的目标实施犯罪活动，甚至进行跨过犯罪。并且一般在实施犯罪活动前会先通过某个国家预先被“黑”掉的主机为跳板进行犯罪活动，这样更加增大破获犯罪活动的难度。因此破获计算机犯罪活动也是高智商的活动，其获取犯罪证据的方法也与普通证据收集的方法有所不同。

“计算机犯罪取证”(Cybercrime Computer Forensics)又称“数字取证”或“电子取证”，是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。它融合了计算机和刑侦两个专业领域的知识和经验。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

三、计算机犯罪取证的流程

计算机犯罪取证将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼。计算机犯罪取证工作主要围绕以下两个方面进行：证据的获取和证据的分析。本文着重介绍证据采集方面的技术方法、流程和原则。

1)准备工作：无论如何，准备的越充分，就越有可能顺利的完成调查工作，也越有可能

保证证据被完整的采集。在这里主要介绍需要准备的软件和硬件方面的工具，当然，如果事先总是在背包里放一些记录工作流程、问询信息的空白表格，工作肯定会更加有条不紊而且更具专业素质。通常来说调查人员并不拥有超级技能，所以使用的工具从很大程度上决定了工作能有多出色。

首先，我们应该制作各种操作系统的基本工具集。这样做主要是因为攻击者通常会替换受害机器的二进制命令，如果利用被调查机器中的程序进行工作，产生的结果可能与期望中的全然不同。在采集证据的过程中最主要的工作就是对各种介质进行镜像。Class UNIX环境下，是能够完成这项工作的通用命令，尽量在你的工具包里包含各种类型、各种版本Class UNIX系统的命令吧，通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件，通常选择Ghost来完成这项工作。用于存放证据的存储介质一定要事先进行处理，使用公认可靠的数据擦除软件进行擦除，以避免介质中的残余数据对证据的分析和取信造成影响。

在存储证据时，最常用的硬件设备是移动硬盘，除了应该具备尽量大的容量之外，硬盘盒的接口也应该尽量丰富，至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了这些，现在市场上还可以购买到很多专用的调查设备，比如以Forensic MD5为代表的手持式取证设备，以及Forensic Computer出品的便携式取证箱等等，这些产品在复制数据的时候速度很快，具备丰富的让你不敢相信的接口，可以应付各种取证要求，而且便于携带，是计算机犯罪取证人员真正的百宝箱。

2)根据情况做决定：在这里我们需要根据所发生的安全事件类型决定我们应该采取怎样的工作步骤，在一台Internet主机上发现非法的登录和局域网服务器上被隐秘的存放了一些恶意程序明显应该使用不同的方法进行调查。同时我们还需要征询计算机设备拥有方的意见，他们可能想彻底的调查该事件并提出起诉，也可能只想大致评估一下目前的状况可能造成的损失，值得注意的是，即使面对的是后一种情况，我们仍需要对证据进行符合手续的处理，也许几个月后我们的委托人突然觉得，应该教训一下冒犯他的家伙。

3)生成鉴定副本：在进行实际取证工作的时候我们需要遵循一个重要的原则：“尽量避免在被调查的计算机上进行工作”。一方面是因为我们在犯罪环境中所做的操作越多，我们就越无法证明提取的“证据”还是原来的样子，而对诉讼过程产生影响；更重要的是可能会对“犯罪现场”造成破坏，而永远失去那些证据，也许一个“应该”无害的命令就可能引起侵入者的警觉，或触发了事先设定好的处理机制，导致证据被销毁。在已经关机的设备上，我们首先要做的是利用准备的工具为所有的数据介质生成鉴定副本。再次提醒大家，除了尽量避免在被调查的机器上操作，我们也不能在该计算机上进行分析和检查，我们制作鉴定副本的主要目的就是在尽量少接触被调查机器的情况下进行证据分析，对原始介质的操作可能使其完全丧失作为证据的可信性。有些情况下我们无法获取完整的鉴定副本，例如被调查的机器不支持任何热插拔设备，而内存中重要的罪证正在运行，我们就只有在开机状态来获取证据了。这种情况下需要特别的小心，以避免对证据的破坏。我们应该在整个取证过程中详细的记录操作的步骤、方式、方法和时间等。

4)鉴定副本的管理：在获取了所有证据之后，应该妥善封存被调查的机器和设备，连同生成的鉴定副本一同加入“证据保管链”，以待进行下一阶段的分析工作。保管链的意义主要在于每次对被保管物的使用和变更都能够被记录和验证。

在实际工作中会为每一项证据（甚至我们的工具包）粘贴保管标签，在保管标签上必须体现的内容包括证据的来源、生成的时间、证据当前的保存位置、证据转手时的位置、证据转手的原因以及保管人和接手人的签字，必要时可以增加第三在场人进行签字以作为证明。因为证据大部分情况下是以数字形式进行保存的，我们还可以利用数字签名技术为证据生成电子指纹，这种方式对于证明原始证据没有被变更是比较有说服力的。