浅谈计算机取证概述.docVIP

计算机取证概述 许榕生 吴海燕 刘宝旭 （中国科学院高能物理研究所，北京 100039） E-mail：liubx@ 摘要：随着信息技术的发展，电子证据逐渐成为一种新的诉讼证据，作为计算机领域和法学领域的一门交叉科学：计算机取证（computer forensics）正逐渐称为人们研究与关注的焦点。本文简要介绍了计算机取证的定义、发展历史、主要原则、一般步骤和相关的技术工具，最后指出了计算机取证的发展方向。 关键词：计算机取证，电子证据，计算机犯罪 Computer Forensics Introduction Xu Rong-Sheng Wu Hai-yan Liu Bao-xu (Computing Center，Institute of High Energy Physics，CAS 100039)New Technologies[6]是一家专业的计算机紧急事件响应和计算机取证咨询公司，扩展了Judd的定义： 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 SANS[2]的一篇综述文章[3]给出了如下的定义： 计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 我们认为计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 二．计算机取证的发展历史 2.1电子证据的特点 证据在司法证明的中的作用是无庸质疑的，它是法官判定罪与非罪的标准。在人类的司法证明发展过程中，证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明的转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的转变[4]。 在很长的历史时期内，物证在司法活动中的运用一直处于随机和分散发展的状态。直到18世纪以后，与物证有关的科学技术才逐渐形成体系和规模，物证在司法证明中的作用也才越来越重要起来。随着科学技术的突飞猛进，各种以人身识别为核心的物证技术层出不穷。例如，继笔迹鉴定法、人体测量法和指纹鉴定法之后，足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充着司法证明的“武器库”。特别是20世纪80年代出现的DNA遗传基因鉴定技术，更带来了司法证明方法的一次新的飞跃。而电子证据的出现，则是对传统证据规则的一个挑战。与传统证据一样，电子证据必须是[5]： 可信的； 准确的； 完整的； 使法官信服的； 符合法律法规的，即可为法庭所接受的； 电子证据还具有与传统证据有别的一些特点： 计算机数据无时无刻不在改变； 计算机数据不是肉眼直接可见的，必须借助适当的工具； 搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作； 电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。 2.3 计算机取证的历史 计算机证据出现在法庭上在我国只是近10年左右的事情，在信息技术较发达的美国确已经有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出，法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复杂性的增加，电子证据与传统证据之间的类似性逐渐减弱，从1976年的“Federal Rules of Evidence”起，在美国出现了一些法律解决由电子证据带来的问题： The Economic Espionage Act of 1996 ：处理商业机密窃取问题； The Electronic Communications Privacy Act of 1986 ：处理电子通讯的监听问题； The Computer Security Act of 1987 (Public Law 100-235)： 处理政府计算机系统的安全问题。 在我国，有关计算机取证的研究与实践都尚在起步阶段，只有一些法律法规涉及到了一些有关计算机证据的说明，如《关于审理科技纠纷案件的若干问题的规定》，《计算机软件保护条例》等。法庭案例中出现的计算机证据也都比较简单，如电子邮件、程序源代码等不需要使用特殊的工具就能够得到的信息。但随着技术的不断发展，计算机犯罪手段的不断提高，我们必须制定相关的法律，开发相关的自主软件以保护人们的合法权益不受侵害。 对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务出现的始自于90年代中后期。从近两年的计算机安全技术论坛（FIRST年会）上看，计算机取证分析都是重点课题。可以预见，计算机取证将是未来几年计算机安全领域的研究热点。 三．计算机取证的主要原则和一般步骤 3.1主要原则 尽早搜集