略论计算机网络犯罪侦查中的电子取证.doc

略论计算机网络犯罪侦查中的电子取证 来源: 中国硕士论文 　 　　【摘 要]计算机技术的迅速发展改变了人们的生活生产方式与管理方式。同时，也为违法犯罪分子提供了新的犯罪空间和手段。司法实践中涉及电子证据的案件层出不穷， 电子证据的法律地位逐渐显现出来 如何进行电子取证，更加有力地打击犯罪，已成为司法和计算机科学领域中亟待解决的新课题。　　[关键词]线索 电子取证 计算机犯罪　　1 引言　　网络时代， 计算机日益普及，对社会的发展起到了推波助澜的作用 与此同时，计算机网络犯罪现象也日益严重， 对国家安全、社会安全和个体安全造成了极大的威胁。计算机网络犯罪是一种具有计算机网络属性的新型犯罪， 在计算机网络中常常留有行为痕迹，通过计算机涉网痕迹可以发现、揭露、证实犯罪行为。电子取证技术起到了越来越重要的作用。　　2 电子证据概述　　电子证据是法庭上可能成为证据的以二进制形式存储或传递的信息，即在计算机或计算机系统运行过程中产生的以其记录内容来证明案件事实的电磁记录物，也被称为计算机证据电子证据具有多样性、隐蔽性和脆弱性的特点，在收集、提取、保全、审查、运用电子证据的时候往往困难重重。我国有关电子取证的研究与实践还在起步阶段。　　3 计算机网络犯罪线索的发现及电子取证　　利用计算机进行犯罪活动，无外乎两种方式：一是利用计算机存储有关犯罪活动的信息， 二是直接利用计算机作为犯罪工具进行犯罪活动。　　3.1 计算机网络犯罪线索的发现计算机网络犯罪的表现形式多种多样，涉网线索类型比较广泛，存在于计算机网络的各个角落，从个人计算机到网络连接，从网络服务器到相关终端设备，在整个网络拓扑结构中任何节点都是线索的所在地，其中个人计算机是计算机网络犯罪线索收集的主要场所。在这里留有大量的文件线索、上网线索、日志线索、密码线索、聊天线索、邮件内容等，在搜集线索时必须及时快速。由于计算机上网时都必须经过网络设备，其中也会留有大量的上传、下载痕迹。计算机用户必须由互联网接入服务商认证合法身份后才能上网，那么网络接入服务商中会留有上网时间、地点、访问网站、电话等信息， 同时还记载着计算机的登记信息，这些信息对于确定计算机网络犯罪嫌疑人具有重要作用。　　在互联网内容服务器上存有大量的网页、聊天、邮件、游戏等信息内容，可以直接反映出内容刊登者的IP地址等信息。因此，通过互联网内容服务器也可以获取到大量的有价值的线索。　　3.2 电子取证电子取证是将计算机调查和分析技术应用于对潜在的有法律效力的证据的确定与获取，它包括对电子证据的保护、确认、提取、归档。总体上讲， 电子取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪现场，寻找并扣留相关的计算机硬件。信息发现是指从原始数据（包括文件、日志等）中寻找可以用来证明或者反驳的证据， 即电子证据。与传统的证据一样， 电子证据必须是真实、可靠、完整和符合法律规定的。　　（1）物理证据的获取是全部取证工作的基础， 取证人员在对涉案计算机实施隔离和保护的情况下， 先要对现场的环境、计算机配置、出现情况等信息进行详细记录， 然后使用专业的取证工具对涉案计算机介质进行按位拷贝。在计算机取证过程中， 相应的取证工具是必不可少的， 常见的取证工具有tcpdump，Argus，NFR，EnCase， tcpwrapper，sniffers， honeypot，Tripwires，Network?monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。　　由于物理证据的获取是电子取证中最重要的工作，取证人员一定要保证原始数据不受任何破坏，因此取证人员一定要注意：a、不要改变原始记录；b、不要在作为证据的计算机上执行无关的操作；c、不要给犯罪者销毁证据的机会；d、详细记录所有的取证活动；e、妥善保存得到的物证。　　（2）取得了物理证据后，下一个重要的工作就是信息发现。有些情况下要找到关键的文件、邮件或图片等，而有些时候则可能要求计算机重现过去的工作细节（如入侵取证）。入侵者常在入侵结束后将自己残留在受害方系统中的“痕迹” 擦除掉，但一般的删除文件操作， 即使在清空了回收站后，若不将硬盘低级格式化或将硬盘空问装满，仍可将“删除” 的文件恢复过来。在W indo ws操作系统下的windows?swap（page）文件，记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。这些数据可以通过计算机取证工具来获取， 目前许多取证软件具有很好的数据恢复能力， 同时还可以做一些基本的文件属性获得和档案处理工作。　　最后， 取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件