计算机取证技术应用.pdfVIP

服 务 实战指南 N et w or k C om p u t er Se cu r i t y 计算机取证技术应用 甘肃政法学院 计算机科学学院　安德智 摘　要　随着计算机技术和网络的发展，计算机犯罪总量持续上升，计算机取证工作显得越来越重要。该文首 先介绍了计算机取证的概念、特点、取证的原则和取证的步骤；分析了计算机取证的研究现状，及其针对目前 计算机取证面临的主要问题提出解决方案。 关键词　计算机取证　计算机犯罪　动态取证　数据挖掘　智能代理 随着计算机技术的发展和信息化的普及，计算机犯罪事件 ⑶ 不要给犯罪者销毁证据的机会; 频繁发生。据有关部门统计，1999年国内各类计算机违法犯罪 ⑷ 仔细记录所有的取证活动; 案件共立案908起，2000年共立案2670起，2001年则达2741 ⑸ 妥善保存得到的物证。 起。如何最大限度地获取与计算机犯罪相关的电子证据，将犯 信息发现是指从原始数据 （包括文件、日志等）中寻找以 罪分子绳之以法，有效地打击计算机犯罪，其中涉及的技术就 用来证明或者反驳什么的证据，为了保护原始数据，所有的信 是目前人们研究和关注的计算机取证技术。计算机取证技术是 息发现工作都是在原始证据的物理拷贝上进行的。物理复制工 防范黑客入侵的有效途径。它采取主动出击的方法，搜集入侵 作可以用Unix系统的dd命令或使用专用设备进行，一般情况 [1] 证据，重现入侵过程，分析攻击手段，有效地阻止黑客入侵 。 下，取证专家还要用MD5对原始证据上的数据作摘要，然后 电子证据同传统证据一样，必须是真实的、准确的、完整的、 将原始证据和摘要信息及相关文档妥善保存。与其他证据一 [2] 符合法律法规和可为法庭所接受的 。 样，电子证据必须是真实、可靠、完整和符合法律规定的。计 算机取证不单单是计算机或网络的技术问题，主要涉及法律和 一、计算机取证 道德规范，同时需要计算机专家、执法官员和律师等多方人员 的共同协作。 计算机取证 （Computer Forensics）这一术语是1991年 在美国召开的国际计算机专家会议上首次提出的，近几年每年 都有相关的国际会议召开。计算机取证也称数字取证、电子取 二、计算机取证原则和步骤 证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用 1、取证的原则 计算机软硬件技术，按照符合法律规范的方式进行识别、保 目前，计算机取证最大的障碍是证据的真实有效性和完整 存、分析和提交数字证据的过程。取证的目的是为了据此找出 性，因此取证过程中要注意遵循以下原则： [3] 入侵者 （或入侵的机器），并解释入侵的过程 。 ⑴ 计算机证据属于易灭失数据，应尽早收集证据，并保 计算机取证包括物理证据获取和信息发现两个阶段。物理 证其没有受到任何破坏，包括受到机械或电磁损坏，特别是保 证据获取是指调查人员来到计算机犯罪或入侵的现场，寻找并 证系统不被重启。 扣留相关的计算机硬件，物理证据获取是全部取证工作的基 ⑵ 保证 “证据连续性”，在证据正式提交到法庭时，必须 础，在获取物理证据时最重要的工作是保证取到的原始证据不 能够说明在证据从最初的获取状态到法庭上呈现状态之间的任 受任何破坏。无论在任何情况下，调查者都必须牢记以下几点 何变化，提供所采取的与获取、访问、存储或恢复证据有关的 [4]：