反计算机取证技术的应用研究.docVIP

反计算机取证技术的应用研究 　　【摘要】 文章对反计算机取证技术的应用进行研究和探讨，主要包含数据加密、数据隐藏和数据销毁技术。反计算机取证技术的应用为电子证据取证技术的“三性”问题提供依据，也有助于优化和完善现有的取证工具，在对个人隐私和网络敏感数据的保护也具有重要应用价值。 　　【关键词】 反计算机取证 数据加密 数据隐藏 数据销毁 　　一、引言 　　近年来，计算机取证理论和软件是计算机安全领域内取得的重大成果，然而，在实际取证应用中，还存在着很多局限性，大量取证工具也并没有统一的标准和规范，软件使用者很难对这些取证工具的有效性和可靠性进行比较。正是由于取证技术上的局限性以及计算机技术的普及，以及在计算机犯罪手段与数据安全防御技术之间的对抗不断升级，反计算机取证技术（Anti-Computer Forensic）日益受到关注。 　　二、反计算机取证技术应用现状 　　反计算机取证技术（Anti-Computer Forensic）的定义最早在2005年由美国普度大学的Marc Rogers博士提出。当时，反计算机取证技术被定义为“删除或破坏电子证据，使得取证方法无效”。随着计算机取证的程序化及其技术的完善，反计算机取证基本方法发展为策略上的考虑和技术上的方法。在技术层面上，反计算机取证技术主要是针对证据的收集和分析，罪犯利用取证调查开始时影响判断的素来干扰、阻挠取证，导致调查偏离犯罪活动场所，这些因素包括数据集的信息异常、失效或不产生指定的结果。证据收集阶段的反计算机取证技术主要有摧毁、隐藏、假造信息以及防止证据的创建等。这些技术相互结合使用，使得电子取证工作变得更加困难。 　　国外关于反计算机取证技术公开的报道不多，但当前最有效的反计算机取证技术是数据销毁，它可以清除所有可能的证据（包括索引节点、目录文件和数据块中的原始数据等），原始数据不存在了，取证工作自然无法进行。虽然摧毁所有潜在的证据很有效，但罪犯可能想保存一些有用的数据，为了使这些数据不被取证人员所理解，罪犯通常会使用加密技术。现代加密技术的发展使得这种方法很容易被犯罪分子所利用。数据隐藏（Data Hiding）也是一种有效的对付取证收集的技术，包括隐秘术（Steganography）和数字水印2个主要研究方向。国内的反计算机取证技术还处于起步阶段，整体滞后于国外的发展。随着计算机取证技术的发展，以及计算机犯罪的日益猖獗，反计算机取证技术的研究已成为我国信息安全与取证技术研究的重要方向，越来越多的安全技术与理论，尤其是为保护个人稳私所采取的加密、隐藏、数据擦除等技术，被应用于反计算机取证研究。 　　三、反计算机取证技术的应用意义 　　3.1增强犯罪打击力度，促进取证技术发展 　　目前，电子数据取证主要采用“人+工具”的取证模式，取证过程中，一个业务熟练、经验丰富的取证人员通常对取证现场具备较强的驾驭能力，能够准确地做出判断，减少失误。同时，取证工具有自身的局限性，世上没有完美的工具，取证工具的一个小缺陷有可能造成取证过程中关键数据的丢失或遗漏，这对于取证工作是很不利的。因此，通过研究反计算机取证技术，可挖掘并发现犯罪分子潜在手段，有助于对现有取证技术的缺点和不足进行优化和改进，开发出更加实用的取证软件。 　　3.2保护敏感数据和个人隐私 　　随着互联网的飞速发展和普及，美国棱镜计划的揭露，个人隐私和银行账号等敏感信息的泄露和窃取问题日益受到关注。同时，许多行业或部门会再利用被淘汰的计算机设备，特别对于我国某些非常重要的部门更新换代的计算机，循环利用转手他人的过程中，不可避免地存在数据安全的问题。通过反计算机取证技术，比如数据隐藏、数据加密和数据销毁技术的研究，可以为个人或集体正当法律权利不受侵犯提供有力的技术支持，这对个人隐私和企业敏感数据的保护具有重要价值。 　　3.3为电子证据的“三性”提供依据 　　公安机关收集到的材料要想成为证据，必须具备“三性”，即客观性、关联性、合法性。电子证据要能呈堂，就需要对其实质证据的客观性、与案件的关联性、合法性进行证明。比如，取证工具的效能倾向于同时拥有收集和分析数据的功能，在使用分析机器之前，为了确保分析机器的驱动器中不包含残余数据，仅仅对分析工具磁盘进行格式化是肯定不行的。需要对工具磁盘进行深度的数据擦除，而这正好可以应用上反计算机取证技术中数据销毁技术。因此，对反计算机取证技术的研究，可以大大提高取证工具的可靠性、可信任性和可采信性，最终为电子证据在呈堂时的合法性、客观性和关联性提供有效的依据。 　　四、反计算机取证关键技术 　　4.1数据加密 　　目前加密方法很多，但是大部分加密技术需要人工进行加密解密过程，十分繁琐。使用时需要每次加密解密，然而近年来针对企业文件保密需求应运