计算机取证技术概述

计算机取证技术概述
马如林
(兰州交通大学甘肃兰州730070)；镕●●裂蹴
Y
V A L L El
[擅要】计算机取证已成为计算机系统和网络安全领域研究和关注的热点．介绍计算机取证的概念、特点、取证的标准、原则、步骤和工具等．【关键词】计算机取证取证原则取证步骤取证工具
中图分类号：TP3文献标识码：A文章编号：1671--7597(2009)1220039--02
根据2007年1月23日中国互联网信息中心(cN N I c)发布的统计报告
[1]，截至2006年底。

我国网民人数达到了1．37亿，占中国人口总数的
10．5％，其中，c N域名总数超过180万，使用xDSL、C a bl e M o dem、专线等宽
带上网的网民达到10400万人，手机上网也初具规模，达到1700万人。

在上
网用户总数迅猛增长之时，社会各行业对网络相关应用的需求量也逐年稳步
上升．计算机网络已经成为社会经济生活中不可或缺的部分。

但负面的问题
也相伴而来，如计算机病毒泛滥成灾，黑客事件频繁不断，计算机犯罪呈上
升趋势和不良文化的广泛传播等。

其中以利用计算机犯罪给国家和人民带来
的损失最大，惩治利用计算机进行犯罪的不法分子迫在眉睫。

因此，计算机
和法学的交叉学科计算机取证也就应用而生，计算机取证对于起诉计算机犯
罪行为变得至关重要．也正逐渐成为人们研究和关注的热点．
一、什么墨计■机取证
计算机取证(C om put e r Fo r ens i cs)由I nt er nat i ona l A s s oci at i on of
C om pu t er S pec i a l i s t s(I A C I S)在1991年举行的国际计算机专家会议上首
次提出．计算机取证专业资深人士Judd R o bbi n s的定义是[2]：计算机取证
不过是将计算机调查和分析技术应用于对潜在的有法律效力的证据的确定与
获取：计算机紧急事件响应和取证咨询公司专家New T ec hnol o gi es进一步拓
展了该定义：计算机取证包括了对以磁介质编码信息方式存储的计算机证据
的保护、确认、提取、归档。

SA NS在一片综述文章中对计算机取证给出的定义是：计算机取证是使用
软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保
护有关计算机犯罪的证据。

我国有关专家对计算机取证的定义是：计算机取证也称数字取证、电子
取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬
件技术，按照符合法律规范的方式．对能够为法庭接受的、足够可靠和有说
服性的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传
输、保存、分析和提交数字证据的过程。

取证的目的是为了据此找出入侵者
(或入侵的机器)．并解释入侵的过程[3]。

取证的实质是一个详细扫描计
算机系统以及重建入侵事件的过程．
=、电子证据的特点
电子证据在司法证明中的作用是毋庸置疑的，它是法官判定罪与非罪的
标准。

因此电子证据与传统证据一样，必须是：可信的、准确的、完整的、
使法官信服的、符合法律法规的、可为法庭所接受的。

但与传统证据相比．
电子证据是在计算机或计算机系统运行过程中产生的、以其记录的内容来证
明案件事实的电磁记录。

因此。

电子证据又具有以下特点[2]：
(1)计算机数据无时无刻不在变化；
(2)计算机数据不是肉眼能直接可见的．必须借助适当的工具：
(3)计算机系统中所处理的数据有一些是动态的。

这些动态数据对于
抓住犯罪的蛛丝马迹非常有用。

但是它们却有一定的时间效应。

即有些数据
会因失效或消失而挥发。

在收集电子证据时必须充分考虑数据的挥发性；
(4)电子证据问题是由于技术发展引起的．因为计算机和电信技术的
发展非常迅速t所以取证步骤和程序也必须不断调整以适应技术的进步．
兰、计算机证的采用标准
计算机证的采用标准与其他证的采用标准相同．即指什么样的证
可以被采用。

计算机证只要符合以下三个标准[4]，即可以被采纳．信息科掌
1．客观性标准。

2．关联性标准。

3．证据的合法性标准。

■、曩叠的基本曩一
计算机取证具有特殊的要求。

为了保证在取证过程中证据的真实性、有效性、完整性和符合法律的规定．实施计算机取证要遵守一定的原则，最权威的计算机取证原则莫过于I O C E提出的六条原则[5]：
I．所有的取证和处理证据的原则必须被遵守：
2．获取证据时所采用的方法不能改变原始证据；
3．取证人员必须经过专门培训；
4．完整地记录对证据的获取、访问、存储或者传输的过程，并对这些记录妥善保存以便随时查阅；
5．每一位保管电子证据的人应该对他的每一个针对电子证据的行为负责；
6．任何负责获取、访问、存储或者传输电子证据的机构有责任遵循这些原则．
五、曩证的一般步一
在计算机取证过程必须按照一定的步骤来进行，在美国，对于计算机犯罪取证的步骤，有下面一个通用框架[6]：
1．Sei zur e Pr o cess：获得可能包含证据的物理介质，如查封可能用来作案的计算机；
2．bi t copy Pr oces s：硬拷贝．为了不破坏证据，是不允许对原始证据进行检查分析的．通常是对原始证据进行位拷贝，再对拷贝进行操作：3．Exam i nat i on Pr o cess：检查分析。

这一过程是一个核心过程，包括我们所说的所有的数据恢复、解密、分析检索等过程；
4．R epor t i ng Pr ocess：提交取证结果书面报告；
5．A r chi vi ng Pr oces s：存档：
6．D e pos i t i on＆t e st i m on y Pr oc ess=示证。

六、计算机取证工具
计算机证据是由技术发展引发的，在计算机取证过程中，经验无疑是很重要的，但计算机取证工作需要借助相应的工具软件和外围设备来支持。

这些工具既包括操作系统中已经存在的一些命令行工具，还包括专门开发的工具软件和取证工具包。

我国有关计算机取证的研究与实践尚在起步阶段，在国外，尤其在美国等信息技术发达国家，打击计算机犯罪有着二三十年的历史，在计算机取证方面积累了一定的经验，很多专门从事计算机取证的公司开发了许多实用的取证工具。

可以将计算机取证工具分为如下4类：证据获取工具、证据保全工具、证据分析工具和证据归档工具[7]．
(一)证据获取工具
取证的获取包括物理证据的获取和数字证据的获取两个方面。

物理证据就是指合法的调查人员来到计算机犯罪或者入侵现场，寻找并扣留相关的计算机硬件：数字证据是指从原始数据(包括文件、日志等)中寻找用来证明某种具体犯罪行为的电子证。

字证的获取主要来自两个面。

一个是主机系统的证。

另一个是网络的证．字证获取工具就是从这些证源中得到准确的．通常系统信息获取工具包括系统和文件的基本信息获
匝
信息
科掌Ⅵ渊副一曩§
取工具(如Las t、L a st com m、W ho、Fi nd等)、磁盘映象工具(如Sna pBac k D a t a A r re st)、磁盘特殊文件获取工具(如G e t Sw a p)等：常用的网络信息获取工具有wi ndu m p、i r i s、t c pdum p、n gr ep、sn or t、sni f f i t、ds ni f f’gr ave—r obbe r等。

还有一些获取本地网络状态信息的工具，如net s t at、r o ut e、ar p等。

Fpor t运行在W i ndo w s平台上，可以识别系统中哪个应用软件在与别的计算机通信或在监听别的计算机。

(二)证据保全工具
取证工作的一个基本原则是要证明所获得的证据和原始的数据是完伞相同的，需要证明的是取证人员在取证调查过程中没有造成任何对原始证物的改变。

典型的数字证据保全工具有M d5s um、C RC M d5、D i s kSi g、D i skS i g pr o、Sei ze d。

(三)证据分析工具
证据分析是计算机取证的核心和关键，其内容包括分析计算机的类型，采用的操作系统类型，是否有隐藏的分区．有无町疑外设及当前计算机系统的网络环境等．通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹．典型的证据分析工具有N e w T ec hnol ogy公司的提供的Pt a bl e工具可以用来分析硬盘驱动器的分区情况，Fi l eL i s t F具是一个磁盘目录工具，可以将系统里的文件按照七次使用的时间顺序进行排列，让分析人员可以建立用户在该系统l：的行为时间表．Fi l t er w e町以对磁盘数据根据所给的关键词进行模糊搜索等。

G ui danc e Sof t w ar e公司的E n case取证工具E nca se是得到美国政府承认的计算机取证产品，是一个完伞集成的基于W i ndo w s界面的取证臆用程序，可将正在运行的系统在不停机的情况下，将系统的伞部运行环境和数据生成一个镜像文件，再对该文件进行分析．并可以将试图隐藏的数据文件以列表的形式列出来。

EnC as e中的分析工具包括关键字查找、has h值分析、文件数字摘要分析等。

在整个过程中，利用
(上接第13页)E nCase的报告函数能方便地将证据及调查结果进行归档
(四)证据归档工具
在计算机取证的疑后阶段，主要对涉及计算机犯罪的时间、地点、直接证据信息、系统环境信息、取证过程以及取证专家对电子证据的分析结果和评估报告等进行归档处理。

计算机证据要问其他证据相互印证、相互联系起来综合分析。

证据归档工具比较典型的是N T I公司的软件N T I—Dnc，它可用于自动记录电子数据产生的时间、日期及文件属性；Gui dan ce Sof t w ar e公司的
E ncase J：具，它可以对调查结果采用ht m l或文本方式显示，并可打印出来。

七、结束语
本文介绍，计算机取证的概念、特点、取证标准、原则、步骤等，并分析了取证工具。

但随着计算机技术网络技术飞速发展、计算机犯罪技术手段的不断提高、反取证技术的出现，计算机取证仍将面临新的挑战。

参考文献；
[1]ht t p：／／vm v．c nni c．net．c n／ht m l／D i r／2007／01／22／4395．htⅡ
[2]许榕牛、吴海燕、刘宝旭．计算机取证概述[J】．计算机工程与应用，2001(21)：7-8．
[3]钱桂琼、杨泽明、许榕生．计算机取证的研究与设计[J]．计算机工程．
2∞2(6)：56—58．
[4]谭敏、胡晓龙、杨卫平．计算机取证概述[J]．网络安全技术与应用，2006(12)：75—77．
[5]于波、涂敏，计算机取证分析[J]．计算机与现代化，2006(12)：4-6．
[6]邹君，计算机犯罪取证概述，htt p：／／i cy．b j t zh．g ov．cn／l l y j／ll yj一( 03)17．ht m．
[7]陈祖义、龚俭、徐晓琴．计算机取证的工具体系[J]．计算机工程．2∞5(5)：162—164．
1．传统模型中，由于不同角度之问关联不大，无法综合两类样本数据建立模型，使得各自建立的B P模型无法充分利用所给的数据．而使得各模型分别求得的预测值无从选择何者为最合理的结果。

2．新型神经网络模犁中，两个联系不大的数据分别在各自的B P模型中进行训练，本身交叉点的预测值的比较凹馈训练将两者完美的结合在一起，因此训练数据全面，最终的精度也会较高。

六、应用实倒讨论
运输系统作为社会经济系统中的一个子系统，在受外界因素影响和作用的同时，对外部经济系统也具有一定的反作用，使得运输需求同时受到来自运输系统内外两方面因素的影响。

从货运量的产生来看，它是外部经济需求和运输系统供给两方面冈素共同作用的结果。

在外部经济系统地作用看，在经济体系内部存在许多影响货运需求的因素，将这些因素归纳起来，有两大部分：一部分属于各种经济总量因素，如国民经济发展规模、工业发展规模及基建规模等：另一部分属于各种经济结构因素，如产业结构、工业结构等。

货运需求不仅受国民经济总量的影响。

还要受经济结构因素的影响。

从内部运输系统的作用来看，也存在类似情况。

因此，货运量影响因素总体上可分为j j l!模因素和结构因素两类，其中结构类因素主要体现在产业结构和运输结构上。

在国民经济发展的不同阶段，规模因素和结构因素在货运量增长中所起的作用也不同，货运量增长变化也呈现不同形式。

同时。

由于运输市场中供需非均衡性客观存在。

内外部系统对货运量的影响不一，而且由于作用形式复杂，这就使得货运量预测具有较大的复杂性和非线性等特点。

我们既可以根据规模因素建立模型预测t也可以根据结构因素进行预测。

根据对关于货运量影响因素的分析，这里分别选取国内生产总值G D P和工业总产值作为规模因素的因子．选取铁路运输线路长度、铁路货车数量、公路运输线路长度、民用载货车辆数量以及复线单程比藿和等级公路比重作为结构因素的因子，共计8项指标作为货运量的影响因子(其中，前两者为规模因素，此为角度1；后六者为结构因素。

即为角度2)，以货运总量、铁路货运量和公路货运量作为货运量的输出因子，即网络的输出。

回
根据上面确定的网络输入输出因子，利用2000年到2006年共7年的历史统计数据作为网络的训练样本，2006年至U2007年间共计2年的历史统计数据作为预测检验值(即，假设此二年的货运量仍未知．根据7年的数据样本由模型进行预测)。

考虑应用目前最为广泛有效的B P神经网络模型，其中包括常规的BP网络模型(两个角度的影响因素直接作为输入样本，建立B P模型．进行训练)、单独由规模因素的影响角度(角度1)建节的BP神经网络模型和单独由结构崩素的影响角度(角度2)建市的BP神经网络模型．以及本文所提出的关联神经网络模型，采用同样的数据样本来进行预测。

从结果我们可以得出。

新型神经网络预测结果较另外i种模型误差最小，与实际数据最为相近。

这说明．此种新犁的组合神经网络模型／f i同于以上三个模，i!!，它不是直接根据各项历史数据建模，而足将不同的预测模型进行适当的组合，得到一个比任何独立的预测值更好的组合预测值。

另外，从预测的可靠性和风险性考虑．仅使用单一预测模型对复杂的系统进行预测是不可行的。

而且单一的不同预测模掣所载用的信息是不会相同的，任何一种模型几乎都会包含一些有用的独立信息．而单纯的将这些不同角度的影响因素作为输入样本建立模型的话，则会增加神经刚络模型的训练难度，甚至降低其预测精度。

而本文提出的组合神经网络则町以有效地解决这一矛盾，它将不同角度的影响因素分别建立合适的分模型并单独训练好后，进而将分模型通过预测点有效的结合起来，建立一个相互联系的综合模型，从而最终得到一个比任何一个独立的预测之更好的组合预测值。

新型关联神经网络预测精度较单个网络为高，尤其凸显了其在数据量较少的情况下．通过不同角度的影响因素分别建立合适的分模型并单独训练好后，进而将分模型通过预测点有效的结台起来，建立一个相互联系的综合模型，从而町以最大效用的发挥少量数据的宏观预测能力．
参考文献：
[1]刘晋钢、韩燮、李华玲，即神经网络改进算法的应用[J]．华北工学院学报．2002，(06)．
[2]刘鹰，赵琳，神经网络．B P算法的改进和仿真[J]．计算机仿真，1999，
(03)．。