分析计算机取证

      生活在信息化的时代，我们早已离不开计算机，而也正因为计算机的广泛应用，网络犯罪也越来越猖獗。在信息网络刚发展起来时对于网络犯罪的法律并不健全，想要进行犯罪取证也很困难，而如今愈加完善的计算机取证逐渐成为有效且实用诉讼证据之一。

       那么计算机取证究竟是怎么样的呢?接下来我们就一起来看看吧。

　　1.计算机取证的定义

　　计算机取证是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程，它能推动和促进犯罪事件的重构，或者帮助预见有害的未经授权的行为。

　　若从一种动态的观点来看，计算机取证可归纳为以下几点:

　　·是一门在犯罪进行过程中或之后故集证据的技术:

　　·需要重构犯罪行为:

　　·将为起诉提供证据:

　　·对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。

　　2.计算机取证的方式

　　计算机取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

　　计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录。电子证据的出现是对传统证据规则的一个挑战。与传统证据一样，电子证据必须是可信、准确、完整、符合法律法规的，是法庭所能够接受的。

　　电子证据还具有与传统证据有别的一些特点：

　　·计算机数据具有高科技性、无形性和易破坏性

　　·计算机数据无时无刻不在改变;

　　·计算机数据不是肉眼直接可见的，必须借助适当的工具;

　　·搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作;

　　·电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。

　　3.计算机取证的原则

　　计算机取证的主要原则有以下几点：

　　首先，尽早搜集证据，并保证其没有受到任何破坏;

　　其次，必须保证“证据连续性”(有时也被称为“chain of custody”)，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化;

　　最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。

　　4.计算机取证技术的应用

　　根据计算机取证所处的阶段不同，可以采用不同的取证技术;当前计算机取证应用的主要技术可以分为以下几个方面：

　　（1）磁盘复制技术

　　取证过程不允许在原始磁盘设备上面进行直接操作。因为在原始磁盘设备上面直接提取数据可能会损坏磁盘上的原始数据，造成不可逆的数据破坏或数据永久性丢失。通过镜像方式做磁盘整盘复制或制作磁盘镜像文件对原始数据进行位对位的精确复制，复制时可以对数据或者设备进行校验(如MD5或者SHA2)确认所获取的数据文件与原始磁盘介质中的文件数据完全一致，并且未被修改过。

　　（2）密码分析与解密技术

　　密码分析与解密技术是借助各种类型的软件工具对已加密的数据进行解密。常见的技术有口令搜索、加密口令的暴力破解技术、网络窃听技术、密码破解技术、密码分析技术。其中密码分析技术包括对明文密码、密文密码以及密码文件的分析与破解。

　　（3）信息搜索与过滤技术

　　信息搜索与过滤技术就是从大量的信息数据中获取与案件直接或者间接相关的犯罪证据，如文本、图像、音视频等文件信息。当前应用较多的技术有：数据过滤技术、数据挖掘技术等。

　　（4）数据恢复技术

　　数据恢复技术是指通过技术手段，把保存在磁盘、存储卡等电子设备上遭到破坏和丢失的数据还原为正常数据的技术。从操作层面上看，可以将数据恢复技术分为软件恢复技术、硬件恢复技术。

　　（5）网络追踪技术

　　网络追踪技术是根据IP报文信息转发及路由信息来判断信息源在网络中的位置，有时还需要对所获取的数据包进行技术分析才能追踪到攻击者的真实位置。常用的追踪技术有连接检测、日志记录分析、ICMP追踪、标记信息技术与信息安全文法等。

　　（6）隐形文件识别与提取技术

　　随着技术的高速发展，犯罪嫌疑人的反侦查意识也在提高。嫌疑人经常会对重要的数据文件采用伪装、隐藏等技术手段使文件隐形，以逃避侦查。案件中常见的技术应用有数据隐藏技术、水印提取技术、和文件的反编译技术。

　　（7）日志分析技术

　　日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。日志文件记录着大量的用户行为使用痕迹，在计算机取证过程中充分利用日志文件提取有用的证据数据，是进行日志分析的关键。

　　5.计算机取证的取证步骤

　　在保证以上几项基本原则的情况下，计算机取证工作一般按照下面步骤进行：

　　（1）在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染；

　　（2）搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件，隐藏文件，受到密码保护的文件和加密文件；

　　（3）全部(或尽可能)恢复发现的已删除文件；

　　（4）最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；

　　（5）如果可能并且如果法律允许，访问被保护或加密文件的内容；

　　（6）分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：

　　①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留；

　　② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据；

　　（7）打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息；

　　（8）给出必需的专家证明。

　　计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取近是计算机领域和法学领域的一门交叉科学，被广泛应用于计算机犯罪和事故，包括网络入侵、知识产权盗用和网络欺骗等。

      人们对于电子产品和网络已经越来越依赖，我们的生活方方面面也都会应用到计算机取证，相信通过计算机取证的广泛应用，网络犯罪也会得以控制。