计算机取证技术分析.docxVIP

PAGE PAGE 1 计算机取证技术分析 　　 　　关键词 计算机取证 网络犯罪 理论研究 实践应用 　　作者简介：王睿，上海市公安局闵行分局刑事科学技术研究所。 　　中图分类号：D925 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2020.05.169 　　在现如今的信息时代发展中信息技术为各行各界领域带来了极大的便利，完全改变了人们的日常生活。但正所谓道高一尺魔高一丈，网络犯罪案件在其中也得到了显著滋生。由于网络犯罪的低成本、隐蔽性等诸多特点，网络犯罪案件取证过程显得异常艰难。除此以外，电子商务也在现如今影响各行各业，同时也带来了许多电子商务纠纷，与网络犯罪同理，在考察取证上的难度十分大[1]。在这些案件及纠纷过程中电子信息证据的取证与搜集质量尤为关键，对案件走向与衡量罪行有非常重要的作用。计算机取证技术的诞生与应用不仅能提高电子信息取证效率，更能为减少网络犯罪以及电子商务纠纷等案件中发挥重要的作用。因此，我们可以认为所谓的计算机取证其实就是为了帮助这些案件从计算机以及相关硬件工具上取得完善的电子证据，使其成为有力的裁决证据，维护法律公正的重要过程。由于我国计算机取证技术的发展相较于西方发达国家来说比较晚，因此研究计算机取证技术便日益显得十分关键。 　　（一）常规要求 　　一般来说，很多电子证据可以直接人为销毁、破坏，犯罪分子可以在计算上伪造一些电子证据，为取证人员带来假象表面，对实际的案件侦破带来了巨大的难度。因此，在采集电子证据中电子证据的完整性与真实性尤为关键。为了保障计算机取证在这两方面的要求必须从如下几点进行重点关注。 　　1.针对可疑数据尽量不要直接对其进行剖析与检查，避免在检查中造成数据破坏的作用。很多电子证据往往十分特殊，取证人员在采集电子证据过程中一般先拷贝一份，再针对拷贝份进行详细检查与剖析。这样一来可以避免破坏原始数据，造成取证困难的尴尬局面。 　　2.电子数据的分析离不开各类信息网络系统以及辅助软件设备等，为了避免这些系统与软件设备对电子数据带来一定的负面影响，在分析前相关取证人员必须保证这些系统与软件设备的安全性和可靠性才能确保分析中的数据真实性与准确性[2]。 　　3.为了避免取证计算机系统在取证过程中出现异常状况，甚至相关取证人员发生异样行为，取证过程中的每一步操作、结果、分析流程等需要进行详细说明。相关人员必须对这些说明进行署名，记录好时间与地点等，确保整个计算机取证过程的秩序性与纪律严明，避免被相关人员或异常状况影响。 　　（二）基本流程 　　计算机取证在刑事案件侦破当中十分常见，尤其是现如今的信息犯罪，计算机取证技术的规范性尤为关键。刑侦人员在计算机取证中需要遵循以下流程： 　　1.取证准备工作。明确取证目的、取证条件以及取证环境，即拿到计算机设备之前，要想好本次取证的主要目的是什么，取证过程中是否拥有足够的技术条件来达到取证的目的，对于取证环境（计算机设备）的完整性是否保存良好等。 　　2.拆机取出硬盘。拿到案发现场或犯罪嫌疑人的计算机设备之后，拆开机箱并小心取出硬盘，切记不可强拆，避免损坏硬盘，最好需要有经验的侦破人員来拆机，确保计算机硬盘的完整性。 　　3.提取硬盘内容开展分析工作。取出硬盘之后用安全可靠的计算机设备进行连接，并提取硬盘内所存有的资料信息，在取证技术的应用下，先做好镜像文件拷贝再对镜像文件进行提取，分析其中所有对案件有关的数据信息，并将数据信息拷贝至新硬盘中。 　　4.检查硬盘状况并放回原位。在拷贝结束后重点检查硬盘是否存在其他有价值信息，不要疏漏任何隐藏文件或者隐蔽性文件等，确认无其他可用信息之后将硬盘放回计算机设备原位，并连接好主板、安装好机箱，待确认计算机点亮后将设备放回原位，结束计算机取证。 　　（一）数据拷贝技术 　　在计算机取证过程中数据拷贝技术的存在是为了方便刑侦取证人员与刑侦分析人员在分析电子证据过程中确保原始数据的完整性，将其拷贝数份，方便多个分析机构进行共同研究。此外，还能避免因为对原始数据的分析而造成破坏、丢失等不良后果。电子数据的分析工作通常与数据采集设备工具相互分开，需要利用数据拷贝技术对数据采集设备工具上的原始电子数据进行拷贝，方便后续的数据分析工作[3]。总的来说，现阶段的数据拷贝技术通常分为三种，一种是备份技术，一种是镜像技术，而另外一种即快照技术。以备份技术为例，在操作中将电子数据进行备份与保存，方便进行调用、保管等;而镜像技术一般指的是将电子数据进行压缩与转化处理，常用的数据镜像技术软件有Acronis True Image、Winhex以及OO DiskImage软件，都可以对电子数据提供数据压缩转