计算机犯罪取证中的文件恢复.pdfVIP

·148· 全国计算机安全学术交流会论文集 计算机犯罪取证中的文件恢复 邹君 北京市通州区人民检察院 摘要：随着信息技术的发展，利用计算机系统作为犯罪的工具或目标的案件在司法实践中已 经越来越多，因此电子证据(ekc仃oIlicevidence)也将成为越来越重要的呈堂证供。但对于这 fbrensics)却是司法人员要面对的一大难题。本 类证据的获得，即计算机犯罪取证(computer 文对计I算机犯罪取证中的一项重要技术——文件恢复的原理作一概述。 关键词：计算机犯罪 电子证据计算机犯罪取证文件恢复 有关的电子数据。这些数据可能存在于正在运行 一、引言 的计算机或网络设备的内存中，如正在运行的程 序或进程、网络状态等，这类信息有一个共同的 这个世界从来都是道消魔长的世界，当计算 特点，即它们可能随时消失，关机或重启后这些 机系统给人们带来越来越多便利的同时，它也成 信息将不复存在、运行一个命令或程序可能会覆 为犯罪分子手中的“利器”：恐怖分子用它联络行 盖掉原有的信息。对这类证据我们称之为易灭失 动计划、聪明的骗子用它诈骗钱财、反动分子用 的证据，这是我们首先要收集的证据：更多的证 它传递反动材料……在这类案件中，或多或少会 据可能存在于计算机的硬盘和备份介质(如磁带) 牵涉到计算机犯罪取证的问题，如果我们不能通 中，对这类证据我们称之为相对稳定的证据，这 过法律和技术的手段获得有力的证据，犯罪分子 些证据有普通文件、隐含文件、临时文件、日志 就会逃避或少受惩罚。我院受理的周某贩卖假证 文件、注册表、交换文件或页面文件、Cool【ies、 件案中，办案人员在犯罪嫌疑人家里查获一台计 松散的簇、被删除的文件等。计算机犯罪取证就 算机，井怀疑嫌疑人周某有制作假证件的嫌疑， 是利用软件和工具，从这些计算机或外围设备中 但是因为没有相关的技术和工具，最后只能以贩 提取与案件有关的数据川。 卖一罪提起公诉。现在如何进行计算机犯罪取证 在利用计算机系统的犯罪案件中，其基本结 成为了司法界和I，r界共同关心的话题，本文简要 构如图1所示： 介绍电子证据和计算机犯罪取证的概念和计算机 犯罪取证过程中涉及到的技术，并重点讨论其中 的一项重要技术——文件恢复的原理。 图1计算机相关犯罪模型 二、什么是计算机犯罪取证 当然并不是所有的计算机犯罪案件都有如上 要解释什么是计算机犯罪取证，首先要解释 图所示完备的工具机、目标机、网络设备，有些 一下什么是电子证据。电子证据是指存在于作为 案件可能只有工具机，如前面提到的我院受理的 犯罪的工具或目标的计算机及网络设备中与案件 犯罪嫌疑人周某贩假案，如果周某存在制假的事 计算机犯罪取证中的文件恢复 ·149· 实，在这个案件中也只有工具机。但在一般的犯 以上列举了当前计算机犯罪取证过程中需要 罪案件中，以上三个系统都是完备的。 利用的一些关键技术，但并不是说掌握这些技术