计算机犯罪证据获取

计算机犯罪取证中的计算机技术
计应1121班邹祁学号2011284101 什么是计算机犯罪？所谓计算机犯罪，是指通过计算机非法操作所实施的危害计算机信息系统（包括内存数据及程序）安全以及其他严重危害社会的并应当处以刑罚的行为。

计算机犯罪大体可以划分为三个不同的类型。

第一、计算机辅助犯罪。

就是把计算机作为犯罪的重要工具来实施的犯罪行为。

如果没有计算机，其犯罪率就会大大减少；
第二、针对计算机系统的犯罪，比如拒绝服务攻击行为；
第三、计算机仅是偶然被利用到的因素或工具，比如毒品犯用计算机制定贩毒计划等。

计算机犯罪在具体实施的手段上来看有一下几种。

（1）就是从每一笔交易中窃取可能不会引起交易者关注的微量现金，通过积少成多窃取资金的行为；
（2）通过篡改数据的方式进行欺诈来实施犯罪；
（3）由于管理不到位等原因，造成一些员工具有超出其工作所需的权限，从而造成权限的滥用；
（4）通过截获网络数据流的方式窃取计算机口令以达到非法进入计算机系统的目的；
（5）使用他人的IP地址以达到欺骗的目的。

黑客攻击就是使用这种技术；
（6）也称服务拒绝攻击。

使用户无法正常得到服务，通常通过消耗系统有限资源来达到；
（7）通过在被丢弃的废物中搜寻的方式获得有价值信息的行为，虽然不道德，但通常并不违反法律；
（8）通过捕捉计算机系统泄漏的电磁信号达到获取有价值信息的目的；
（9）通过窃听通讯信号的方式非法获得信息和数据；
（10）通过欺骗等诡计诱使他人泄漏或更改信息以达到侵入系统的目的；
（11）冒充他人身份的欺诈行为。

比如修改邮件发件人信息以冒充他人发送恶意电子邮件的行为。

计算机犯罪的取证环节和其他犯罪也有很大不同。

一般要求使用计算机刑侦工具在事件发生后的第一时间制作被攻击的系统的存储器（包括内、外存储器）的映像拷贝，并使用此拷贝进行刑侦调查以免调查步骤对数据造成破坏。

在收集证据的过程中，以下方面是应该注意和遵守的；
（1）计算机犯罪案件的证据通常是不明显的，调查人员应该具有发现和识别这些证据的能力；
（2）证据，特别是电子证据通常对环境因素比较敏感，应该注意对证据现场的保护；
（3）使用照（摄）像设备记录犯罪现场是很重要的，其中包括现场的文档和电缆连接等情况；
（4）着重注意收集原始文档、记录、磁介质和资料；确保各种去磁设备处于安全的关闭状态；戴上手套处理纸介质，并将其封装在安全的容器中；应收集所有存储介质，包括声称内容已被删除的介质；
（5）计算机犯罪的标记应该注意的是，标记信息应包括相关磁带、磁盘和操作系统和方式；不要在磁介质表面书写；磁盘只能用软笔或填写好的标签标记；打印资料应该用永久性记号笔标记；磁带卷应该标记在没有涂磁的开头部分（10－15英尺长）；
（6）电子证据容易被破坏，要注意的是，尽快从设备中取出证据以免遭破坏；尽快设定写保护措施以免证据被故意更改；将磁介质存放在适当的温度、湿度、防尘、无烟和远离磁场的环境中；
（7）在运输的过程中要注意的是：运输时注意保持适当的温度和湿度；对连接电缆的两端进行标记便于日后安装；在拆卸之前对标记好的设备和电缆进行拍照；运输时将设备放入安全的容器之中；不要使磁介质通过金属探测、X光机等检测设备。

目前已经出现了一些计算机取证工具，包括磁盘擦除工具、反删除工具、驱动器映像程序、取证分析软件等等，然而这些工具往往只能处理取证中的一小部分工作，缺少自动化流程，需要具有相当技术的专业人员操作，不能满足计算机犯罪日益增长的现实要求，急需一种同时拥有收集及分析数据的功能的计算机取证软件。