计算机取证技术的探讨.pdfVIP

维普资讯 内蒙古电大学刊 2008年第8期(总第108期) 计算机取证技术的探讨 杨晓勇 (内蒙古警察职业学院，内蒙古 呼和浩特 010000) [摘 要]计算机取证包括静态分析和动态追踪。缺乏自主知识产权的取证工具和调查取证机构，被动防护意识，反取 证技术的发展等都给取证_T-作带来困难。 [关键词]计算机犯罪 计算机取证 困难 ‘局限 [中图分类号]D918．2[文献标识码]A [文章编号]1672～3473(2008)08—0026—02 根据刑法条文的有关规定和我国计算机犯罪的实际情 工作。根据理论研究和实际工作经验，计算机取证步骤应有 况，计算机犯罪是指行为人违反国家规定，故意侵入国家事 以下几点： 务、国防建设、尖端科学技术等计算机信息系统，或者利用各 1．保护 目标计算机系统 种技术手段对计算机信息系统的功能及有关数据、应用程序 冻结计算机系统，不给犯罪分子破坏证据提供机会 。避 等进行破坏，制作 、传播计算机病毒，影响计算机系统正常运 免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感 行且造成严重后果的行为。利用计算机进行犯罪活动，无外 染的情况。 乎以下两种方式 ：一是利用计算机存储有关犯罪活动 的信 2．电子证据的确定 息，二是直接利用计算机作为犯罪工具进行犯罪活动。计算 必须在海量的数据中区分哪些是电子证据，相对计算机 机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客 取证来说哪些是垃圾数据。因此，根据系统的破坏程度 ，应 体的复杂化 、犯罪对象的多样化、危害后果的隐蔽性等特点。 确定哪些由犯罪者留下的活动记录作为主要的电子证据，确 近年来 ，计算机犯罪呈上升趋势。有效地打击计算机犯罪， 定这些记录存在哪里、是怎样存储的。 计算机取证是一个重要步骤 ，存在于计算机及相关外围设备 3．电子证据的收集 (包括网络介质)中的电子证据已经成为新的诉讼证据之一。 ①调查员要记录系统的硬件配置，把各硬件之间的连接 情况记录在案 ，以便计算机系统移到安全的地方保存和分析 一 、 什么是计算机取证 ． 的时候能重新恢复到初始的状态。 计算机取证又称为数字取证或电子取证，是指对计算机 ②用磁盘镜像工具 (如 Safeback、SnapBackDatArret和 入侵 、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术， DIBSRAID等)对 目标系统磁盘驱动中的所有数据进行字符 按照符合法律规范的方式进行证据获取 、保存 、分析和出示 流的镜像备份。镜像备份后就可对计算机证据进行处理，万 的过程。从技术上，计算机取证是一个对受侵计算机系统进 一 对收集来的电子证据产生疑问时，可用镜像备份的数据恢 行扫描和破解，以对入侵事件进行重建的过程。 复到系统的原始状态 ，作为分析数据 的原始参考数据 ，使得 计算机取证主要是围绕电子证据来展开工作的，其 目的 分析的结果具有可信性。 就是将储存在计算机及相关设备中反映犯罪者犯罪的信息 ③用取证工具收集相关的电子证据 ，对系统的 日期和时 成为有效的诉讼证据提供给法庭。电子证据也称为计算机 间进行记录归档，对可能作为证据的数据通过加密手段发送 证据，是指在计算机或计算机系统运行过程中产生的，以其 给取证服务器