打击计算机犯罪新课题计算机取证技术.docVIP

打击计算机犯罪新课题计算机取证技术 减小字体 增大字体 作者：无从考证??来源：中国站长学院??发布时间：2005-8-27 20:30:13 ??????? 目前，打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证(Computer Forensics)技术，它是计算机领域和法学领域的一门交叉科学。计算机取证被用来解决大量的计算机 犯罪和事故，包括网络入侵、盗用知识产权和E-mail欺骗等，它已成为所有公司和政府部门信息安全保证的基本工作。 Lee Garber在IEEE Security发表的文章中认为，计算机取证是分析硬盘驱动、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其它形式的储存介质以发现犯罪证据的过程。计算机取证资深专家Judd Robbins对此给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司则归结为:计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 因此，计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。 电子证据 计算机取证主要是围绕电子证据来展开工作的，其目的就是将储存在计算机及相关设备中反映犯罪者犯罪的信息成为有效的诉讼证据提供给法庭。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据在计算机屏幕上的表现形式是多样的，尤其是多媒体技术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。与传统证据一样，电子证据必须是:可信的、准确的、完整的、符合法律法规的，即可为法庭所接受的。但是，电子证据还具有与传统证据有别的其它特点:例如，高科技性，电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输;无形性，不是肉眼直接可见的，必须借助适当的工具;易破坏性，可能被篡改甚至删除而不留任何痕迹。因此，如何对电子物证收集、保护、分析和展示，成了司法和计算机科学领域新的研究课题。 电子证据的来源很多，主要有系统日志，IDS、防火墙、ftp、www和反病毒软件日志，系统的审计记录(Audit trails)，网络监控流量(Network monitor traffic)，E-mail，Windows操作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱动的交换(swap)分区、slack区和空闲区，软件设置，完成特定功能的脚本文件，Web浏览器数据缓冲，书签、历史记录或会话日志、实时聊天记录等等。 值得注意的是，聪明的入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉，犹如犯罪者销毁犯罪证据一样尽量删除或修改日志文件及其它有关记录。殊不知一般地删除文件操作，即使在清空了回收站后，要不是将硬盘低级格式化或将硬盘空间装满，仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)file(一般用户不曾意识到它的存在)，大概有20-200M的容量，记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外，在windows下还存在着file slack，记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集，作为潜在的电子证据。 计算机取证的原则和步骤 根据电子证据的特点，计算机取证的主要原则有以下几点: 1)尽早搜集证据，并保证其没有受到任何破坏; 2)必须保证“证据连续性(chain of custody)”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化; 3)整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所做的所有调查取证工作，都应该受到由其他方委派的专家的监督。 计算机取证过程和技术比较复杂，在打击计算机犯罪时，执