计算机取证专业课程建设的探讨.docVIP

计算机取证专业课程建设的探讨 　　摘要本文简述了计算机取证的概念，分析了计算机取证的相关技术及取证工具软件，提出了计算机取证专业的课程体系建设框架。 　　关键词计算机取证计算机取证专业课程建设 　　 　　1 引言 　　 　　随着计算机技术的迅猛发展和Internet规模的不断增大，以网络系统作为犯罪对象和以计算机作为犯罪工具的各类计算机犯罪活动越来越多，为了打击这类犯罪，需要对存在于计算机及相关外围设备（包括网络介质）中的电子证据(Electronic Evidence)进行取证，计算机取证学作为计算机科学和法学的交叉学科应运而生。 　　计算机取证是对计算机犯罪的证据进行获取、保存、分析和出示，它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。 　　国外十分重视计算机取证（Computer Forensics）研究，美国至少有70%的法律部门拥有自己的计算机取证实验室。我国虽然还没有专门的取证机构，但已在公安部门设置了专门的网络监察机构，该机构的一部分职责是负责计算机取证工作。 　　目前，虽然国内学界已在计算机取证技术研究方面作出了积极反应，开发出了一些系统和工具，并且运用这些技术侦破了一些实际犯罪案例，但由于计算机取证工作专业性要求较高，计算机取证专业人才十分匮乏。据了解，国内各高校都尚未开设计算机取证学专业或建立计算机取证学专业方向。因此，对计算机取证专业（方向）课程设置的研究，对取证专业人才的培养已成当务之急，它将在我国高等院校尤其是公安高校的专业课程设置中占有重要的地位。 　　 　　2 计算机取证概念 　　 　　2.1计算机取证概述 　　计算机取证专业资深人士Judd Robins认为：计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。2004年6月，我国公安部11局许建卓博士在西安召开的“第十九次全国计算机安全学术交流会”上提出了数字化证据学的概念，阐明了数字证据的发现、固定、提取、分析和表达等五个层次的框架学说。因此，我们可以将计算机取证技术分为证据发现技术（获取证据）、证据固定技术、证据提取技术、证据分析技术和证据表达技术五个方面。 　　 　　2.2计算机取证技术 　　证据的发现技术实际上属于侦查技术。根据计算机证据的来源不同，可以分为网络证据、单机证据和相关设备证据的发现。网络证据的发现涉及到入侵检测、网络监控、蜜罐(网)、防火墙、网络线索自动挖掘技术等；单机证据的发现主要涉及溯源技术、数据过滤、磁盘镜像技术等。 　　证据的固定技术是解决证据的完整性验证，即通过数字签名和见证人签名等措施保证现场勘察和侦查获得的数据的完整性和真实性。通常采用的技术有加密、时间戳、软件水印和电子签名技术等，它们都可以产生证据监督链（Chain of custody）以证实电子证据的真实完整性。 　　证据的提取技术是从众多未知和不确定的数据中找到确定性的东西，一般包括：恢复――找到被删除的数据、被部分覆盖以及以特殊方式存储的残缺数据；过滤――提取出需要分析的数据，如专题信息挖掘、软件残留痕迹自动分析等；解码――将数据表达成分析人员能够理解的数据，包括解密、隐藏信息的提取、元数据解码、普通编码数据的解码等。 　　证据的分析技术是通过关联分析证实信息的存在、信息的来源以及信息传播途径，重构犯罪行为、动机以及嫌疑人特征。它包括分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境；分析开机、关机过程，尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序；分析在磁盘特殊区域中发现的所有相关数据,利用磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹；分析计算机的所有者，或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体，结合全案其他证据进行综合审查。 　　证据的表达技术把对目标计算机系统的全面分析和追踪结果进行汇总，然后给出分析结论，标明提取时间、地点、机器、提取人及见证人,然后以证据的形式按照合法程序提交给司法机关。 　　 　　2.3计算机取证软件 　　目前，国际上主要有以下几种主流计算机取证软件产品。Forensic Toolkit:它是一个一系列基于命令行的工具，可以帮助推断Windows NT文件系统中的访问行为；The Coroners Toolkit(TCT):它主要用来调查被“黑”的Unix主机，并提供了强大的调查能力,其特点是可以对运行着的主机的活动进行分析，并捕获目前的状态信息；EnCase:它是一个完全集成的基于Windows界面的取证应用程序，其功能包括：数据浏览、搜索、磁盘浏览、数据预