计算机取证技术分析

    关键词 计算机取证 网络犯罪 理论研究 实践应用

    作者简介：王睿，上海市公安局闵行分局刑事科学技术研究所。

    中图分类号：D925 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文献标识码：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.05.169

    在现如今的信息时代发展中信息技术为各行各界领域带来了极大的便利，完全改变了人们的日常生活。但正所谓道高一尺魔高一丈，网络犯罪案件在其中也得到了显著滋生。由于网络犯罪的低成本、隐蔽性等诸多特点，网络犯罪案件取证过程显得异常艰难。除此以外，电子商务也在现如今影响各行各业，同时也带来了许多电子商务纠纷，与网络犯罪同理，在考察取证上的难度十分大[1]。在这些案件及纠纷过程中电子信息证据的取证与搜集质量尤为关键，对案件走向与衡量罪行有非常重要的作用。计算机取证技术的诞生与应用不仅能提高电子信息取证效率，更能为减少网络犯罪以及电子商务纠纷等案件中发挥重要的作用。因此，我们可以认为所谓的计算机取证其实就是为了帮助这些案件从计算机以及相关硬件工具上取得完善的电子证据，使其成为有力的裁决证据，维护法律公正的重要过程。由于我国计算机取证技术的发展相较于西方发达国家来说比较晚，因此研究计算机取证技术便日益显得十分关键。一、计算机取证的基本要求及流程分析

    （一）常规要求

    一般来说，很多电子证据可以直接人为销毁、破坏，犯罪分子可以在计算上伪造一些电子证据，为取证人员带来假象表面，对实际的案件侦破带来了巨大的难度。因此，在采集电子证据中电子证据的完整性与真实性尤为关键。为了保障计算机取证在这两方面的要求必须从如下几点进行重点关注。

    1.针对可疑数据尽量不要直接对其进行剖析与检查，避免在检查中造成数据破坏的作用。很多电子证据往往十分特殊，取证人员在采集电子证据过程中一般先拷贝一份，再针对拷贝份进行详细检查与剖析。这样一来可以避免破坏原始数据，造成取证困难的尴尬局面。

    2.电子数据的分析离不开各类信息网络系统以及辅助软件设备等，为了避免这些系统与软件设备对电子数据带来一定的负面影响，在分析前相关取证人员必须保证这些系统与软件设备的安全性和可靠性才能确保分析中的数据真实性与准确性[2]。

    3.为了避免取证计算机系统在取证过程中出现异常状况，甚至相关取证人员发生异样行为，取证过程中的每一步操作、结果、分析流程等需要进行详细说明。相关人员必须对这些说明进行署名，记录好时间与地点等，确保整个计算机取证过程的秩序性与纪律严明，避免被相关人员或异常状况影响。

    （二）基本流程

    计算机取证在刑事案件侦破当中十分常见，尤其是现如今的信息犯罪，计算机取证技术的规范性尤为关键。刑侦人员在计算机取证中需要遵循以下流程：

    1.取证准备工作。明确取证目的、取证条件以及取证环境，即拿到计算机设备之前，要想好本次取证的主要目的是什么，取证过程中是否拥有足够的技术条件来达到取证的目的，对于取证环境（计算机设备）的完整性是否保存良好等。

    2.拆机取出硬盘。拿到案发现场或犯罪嫌疑人的计算机设备之后，拆开机箱并小心取出硬盘，切记不可强拆，避免损坏硬盘，最好需要有经验的侦破人員来拆机，确保计算机硬盘的完整性。

    3.提取硬盘内容开展分析工作。取出硬盘之后用安全可靠的计算机设备进行连接，并提取硬盘内所存有的资料信息，在取证技术的应用下，先做好镜像文件拷贝再对镜像文件进行提取，分析其中所有对案件有关的数据信息，并将数据信息拷贝至新硬盘中。

    4.检查硬盘状况并放回原位。在拷贝结束后重点检查硬盘是否存在其他有价值信息，不要疏漏任何隐藏文件或者隐蔽性文件等，确认无其他可用信息之后将硬盘放回计算机设备原位，并连接好主板、安装好机箱，待确认计算机点亮后将设备放回原位，结束计算机取证。二、刑侦领域计算机取证的常见技术

    （一）数据拷贝技术

    在计算机取证过程中数据拷贝技术的存在是为了方便刑侦取证人员与刑侦分析人员在分析电子证据过程中确保原始数据的完整性，将其拷贝数份，方便多个分析机构进行共同研究。此外，还能避免因为对原始数据的分析而造成破坏、丢失等不良后果。电子数据的分析工作通常与数据采集设备工具相互分开，需要利用数据拷贝技术对数据采集设备工具上的原始电子数据进行拷贝，方便后续的数据分析工作[3]。总的来说，现阶段的数据拷贝技术通常分为三种，一种是备份技术，一种是镜像技术，而另外一种即快照技术。以备份技术为例，在操作中将电子数据进行备份与保存，方便进行调用、保管等;而镜像技术一般指的是将电子数据进行压缩与转化处理，常用的数据镜像技术软件有Acronis True Image、Winhex以及O&O DiskImage软件，都可以对电子数据提供数据压缩转换功能;快照技术一般应用原始数据的完整复制之用，方便随时进行数据回档。先对原始数据进行复制，在分析与改变这些数据前需要保存快照，再进行复制，可以帮助后续的分析工作随时回档至某快照状态。

    （二）数据修复技术

    数据修复技术一般包括数据复原技术，其目的是为了避免部分数据被破坏后无法恢复原状的现象。在计算机系统中很多电子数据还会呈现不可见性的区域数据状态，而数据复原技术可以将这些数据进行完整复原。相关人员如果将数据放入回收站后进行清空，假如相应的磁盘分区表内的数据没有被占用或写入便可以借助数据复原技术从磁盘分区表中恢复被清空过的数据，具体修复或复原的过程可分为如下几点情况[4]。

    1.通常情况下电子文件在window中被删除，此时文件本身并不是真的被清空，而是被系统将文件的首字节改变为E5H，因此很多数据恢复软件都是利用这个原理对被删除的软件进行恢复与复原。比如常见的Easy Recoery、Disk Genius等专业软件，可以帮助被损坏或被删除的电子文件进行复原与恢复。

    2.还有一种情况，就是计算机的磁盘被人为格式化后需要进行复原或恢复，此时与简单的数据删除有较大的差异性。因为磁盘的格式化分为高级格式化与低级格式化等形式，高级格式化普遍应用于系统重做，很多数据在其中并没有得到显著的破坏作用，可以直接利用相关软件进行提取。但低级格式化并不同，低级格式化的原理在于磁盘的磁道被划分为数个扇区，扇区又被划分不同区域，此时再恢复往往十分困难。这种状况下只能将磁盘移交至原厂商进行处理。另外部分磁盘可能被加密，解密需要了解加密算法或者直接采用清除加密的方式进行解密，确保磁盘恢复原本的状况。

    （三）数据解密技术

    电子数据由于其隐私性的缘故，很多情况下对电子数据进行加密成为许多人的共识。因此，采集加密后的电子数据需要运用数据解密技术，破解加密算法解开加密内容。常规的密码一般就是数据加密的密钥，数据解密过程中实际上相当于对密钥进行破解的一种过程。在电子数据的数据解密技术中需要利用密码分析学原理以及提取技術、猜测技术等。由于很多密码往往比较长，利用猜测技术花费的时间也会相对比较长。因此现阶段数据解密技术需要将研究中心放置于提取技术上，可以直接对加密数据的密钥进行提取，达到解密的目的。市场上关于数据解密的软件比较多，但这些软件的解密效率与质量并不高，对于单一的密钥字符可以进行破解，但对多种不同类型的密钥字符破译的难度将显得十分鸡肋。

    对此，数据解密技术的应用还需要更深入的研究密码破解技术，从而才能更进一步提升计算机取证质量与取证效率。

    （四）数据显现技术

    在计算机系统中许多电子数据还可以通过隐藏的方式存储于计算机中，此时如果取证人员没有注意，在很多区域内无法找到隐藏数据，显然为刑侦取证工作带来一定的难度。而数据显现技术的应用此时显得十分关键。很多时候电子数据的隐藏过程其实就是修改后缀以及注册表、所在路径等过程，这种数据隐藏方式往往比较简单，刑侦取证人员可以借助搜索工具找到隐藏数据。但实际问题在于很多网络犯罪案件中的数据隐藏并非这么简单，很多人利用数据加密工具加密数据后再进行隐藏，此时搜索数据显然十分困难。在现有的技术条件下，针对这些加密数据隐藏的情况并没有有效的方式或相关工具。因此，在研究中需要针对这些复杂情况进行重点攻关[5]。

    （五）对比搜索技术

    其实计算机系统中存在的数据信息很多，并不是仅有可提供呈堂证据的电子数据。因此，对刑侦取证人员来讲，了解这些数据信息中是否存在有价值的信息以及提取到这些信息而言同样十分重要，可以决定整个计算机取证过程的效率。因此，对比搜索技术的应用同样显得十分关键，在分析数据与数据之间的关联性，确保提取正确、有价值的电子数据。举个简单例子，相关电子数据在隐藏后文件名以及后缀格式虽然被修改，但有时部分关键词并未修改，此时利用对比搜索技术搜索这些关键词可以达到取证的目的。

    （六）数据包截获技术

    很多时候的计算机取证过程并非静态取证，还有动态即时性取证的状况。针对此时的数据取证，相关人员需要在未造成犯罪后果前借助数据包截获技术截获犯罪过程中产生的电子数据，并将其移交至法庭进行审判，毕竟犯罪未遂也是一种罪行，数据包截获技术在其中可以发挥十分关键的作用。现阶段关于数据包截获技术的应用软件同样有很多，比如Netxray、Tcp Dump等软件。但要特别注意动态即时性取证过程中仍然要保障数据截获后的完整性[6]。三、结语

    总之，现阶段计算机取证技术的发展进度对信息社会的网络秩序与减少网络犯罪几率而言具有至关重要的意义。计算机取证技术涉及到的种类还有很多，本文仅列举几种常见的取证技术。即便如此，我国现如今计算机取证技术的发展仍旧有更漫长的路要走，但笔者相信在众多学者与研究的不断深入下计算机取证技术的发展将与信息技术一并进入先进化地步，对我国信息时代的发展提供重要的保驾护航作用。

    参考文献：

    [1]金波，陶明明.计算机取证关键技术分析[C].全国计算机安全学术交流会，2006.

    [2]杨曦.计算机取证技术的应用分析[J].科技资讯，2016（35）.

    [3]黄步根.计算机取证中系统分析技术研究[J].信息网络安全，2011（03）：45-48.

    [4]顾艳林.计算机取证技术的运用分析[J].中国管理信息化，2012， 015（004）：65-67.

    [5]任亚洲.计算机取证技术的研究[J].电脑知识与技术：学术交流，2008（22）：598.

    [6]丁丽萍.计算机取证的研究现状分析[J].信息网络安全，2010（11）：8-11.