浅谈计算机取证技术研究.pdf

大会论文 ·291· 浅谈计算机取证技术 赵学英 陈鑫 河北省厅网监处 摘要：随着信息技术的不断发展，计算机犯罪日趋严重。计算机犯罪与传统犯罪密切结合， 严重威胁着国家安全和社会稳定。打击计算机犯罪的重要途径和有效方法是提高计 算机取证技术的水平。加强计算机取证技术的研究已成为公安工作的当务之急。 关键词：计算机犯罪 计算机证据计算机取证 随着信息技术的不断发展，计算机越来越多地 我们称之为易灭失的证据，也是我们首先要收集的证 融入到人们的工作与生活中，丰富和改变着人们生 据。这类证据的有关数据可能存在于正在运行的计算 活，与此同时，其负面影响也是人们始料不及的，以 机或网络设备的内存中，如正在运行的程序或进程、 计算机信息系统为犯罪对象和犯罪工具的各类新型 网络状态等。这类信息有一个共同的特点，即它们可 犯罪日趋严重，如网上经济诈骗、法轮功邪教宣传、 能随时消失，关机或重启后这些信息将不复存在，运 色情邮件等等。犯罪主体的专业化、犯罪行为的智能 行一个命令或程序可能会覆盖掉原有的信息，如运行 化、犯罪客体的复杂化、犯罪对象的多样化、危害后 “Ps”将会覆盖内存的一部分、Shell将会重写历史文 果的强隐蔽性及高犯罪率等专有的犯罪特点，使得 件、可能会影响文件访问时间、程序里很可能会有特 计算机犯罪明显有别于传统的犯罪形式。各类计算 洛伊木马(例如gcore)。更多的证据可能存在于计算 机犯罪，特别是以计算机系统作为犯罪工具的犯罪 机的硬盘和备份介质(如磁盘)中，这类证据我们称之 活动，不断与各类传统犯罪活动密切结合，严重危害 为相对稳定的证据。这些证据有普通文件、隐含文件、 着国家的发展和稳定。如何有效地抵制这类犯罪，已 临时文件、日志文件、注册表、交换文件或页面文件、 经成为公安机关不得不面对的问题。为了有效惩治 安装程序的残留物、浏览器的历史和收藏夹、Cook 和防范计算机犯罪，各国纷纷加快了这方面的立法， ies、电子邮件残余物、松散的簇、被删除的文件、垃圾 美国已经拥有世界上最完善的反计算机犯罪法律，我 箱等。计算机犯罪取证就是利用软件和工具，从这些 国也将计算机犯罪列入了《刑法》之中。但仅靠法律 计算机或外围设备中提取与案件有关的数据。 条例远远解决不了问题，我们还必须依靠计算机取 证技术。每一起计算机犯罪都会留下踪迹，到哪里去 二、计算机证据的特点 找这些线索，已成为公安工作的当务之急。 计算机证据有如下几个特点。 一、计算机证据的概念 (1)易篡改性 传统证据如书面文件可以长久保存，如有改动或 要解释什么是计算机犯罪取证，首先要弄清计 添加，都会留有痕迹，通常极易察觉，如有疑问可由专 算机证据的概念。计算机证据也称电子证据，是指存 家通过成熟的司法鉴定技术加以鉴别。而数字证据与 在于作为犯罪工具或目标的计算机及网络设备中与 传统证据不同，它们多以磁性介质为载体，容易被改 案件有关的电子数据。计算机证据可分为两类，一类 变或删除，并且改变后不容易被发觉。由于磁性介质 ·292· 第二十次全国计算机安全学术交流会论文 保存的数据内容可以被改动，并且不易留下痕迹，因 在坚持以上几项基本原则的情况下，计算机取证 此数字证据的真实性和安全性容易受到质疑。一旦 工作一般按照下面步骤进行： 发生争议，这种数