计算机取证技术

计算机取证技术

一、计算机取证的概念和特点

关于计算机取证概念的说法，国内外学

者专家众说纷纭。取证专家ReithClintMark

认为：计算机取证可以认为是“从计算机中

收集和发现证据的技术和工具”。

LeeGarber在IEEESecurity发表的文章中认

为：计算机取证是分析硬盘驱动器、光盘、

软盘、Zip和Jazz磁盘、内存缓冲以及其他

形式的储存介质以发现证据的过程。计算机

取证资深专家JuddRobbins对此给出了如下

定义：计算机取证是将计算机调查和分析技

术应用于对潜在的、有法律效力的证据的确

定与获取。其中，较为广泛的认识是：计算

机取证是指能够为法庭接受的、足够可靠和

有说服力的、存在于计算机和相关外设中的

电子证据的确定、收集、保护、分析、归档

以及法庭出示的过程。

电子证据也称为计算机证据，是指在计

算机或计算机系统运行过程中产生的，以其

记录的内容来证明案件事实的电磁记录物。

电子证据的表现形式是多样的，尤其是多媒

体技术的出现，更使电子证据综合了文本、

图形、图像、动画、音频及视频等多种媒体

信息，这种以多媒体形式存在的计算机证据

几乎涵盖了所有传统证据类型。

证据在司法证明的中的作用是无庸质

疑的，它是法官判定罪与非罪、此罪与彼罪

的标准。与传统证据一样，电子证据必须是：

可信的、准确的、完整的、符合法律法规的，

即可为法庭所接受的。同时我们不难发现，

电子证据还具有与传统证据有别的其它特

点：①磁介质数据的脆弱性：电子证据非常

容易被修改，并且不易留痕迹；②电子证据

的无形性：计算机数据必须借助于其他一些

输出设备才能看到结果；③高科技性：证据

的产生、传输、保存都要借助高科技含量的

技术与设备；④人机交互性：计算机证据的

形成，在不同的环节上有不同的计算机操作

人员的参与，它们在不同程度上都可能影响

计算机系统的运转；⑤电子证据是由计算机

和电信技术引起的，由于其它技术的不断发

展，所以取证步骤和程序必须不断调整以适

应技术的进步。

二、计算机取证的过程

计算机取证包括物理证据获取和信息

发现两个阶段。物理证据获取是指调查人员

到计算机犯罪或入侵的现场，寻并扣留相

关的硬件设备；信息发现是指从原始数据中

寻可以用来证明或者反驳的证据，即电子

证据。

1．物理证据的获取

物理证据的获取是全部取证工作的基

础。获取物理证据是最重要的工作，保证原

始数据不受任何破坏。无论在任何情况下，

调查者都应牢记：①不要改变原始记录；②

不要在作为证据的计算机上执行无关的操

作；③不要给犯罪者销毁证据的机会；④详

细记录所有的取证活动；⑤妥善保存得到的

物证。

由于犯罪的证据可能存在于系统日志、

数据文件、寄存器、交换区、隐藏文件、空

闲的磁盘空间、打印机缓存、网络数据区和

计数器、用户进程存储器、文件缓存区等不

同的位置。要收集到所有的资料是非常困难

的。关键的时候要有所取舍。所以在物理证

据获取时，面对调查队伍自身的素质问题和

设备时，还要注意以下两个问题：①目前硬

盘的容量越来越大，固定过程相应变得越来

越长，因此取证设备要具有高速磁盘复制能

力；②技术复杂度高是取证中另一十分突出

的问题。动态证据的固定由于没有专门的设

备，对调查人员的计算机专业素质要求很高。

2．信息发现

在任何犯罪案件中，犯罪分子或多或少

都会留下蛛丝马迹，前面所说的电子证据就

是这些高科技犯罪分子留下的蛛丝马迹。这

些电子证据的物理存在构成了我们取证的

物质基础，但是如果不把它提炼出来，它只

是一堆无意义的数据。我们研究计算机犯罪

取证就是将这些看似无意义的数据变成与

犯罪分子斗争的利器，将犯罪者留在计算机

中的“痕迹”作为有效的诉讼证据提供给

法庭，以便将犯罪者绳之以法。不同的案件

对信息发现的要求是不一样的。有些情况下

要到关键的文件、邮件或图片，而有些时

候则可能要求计算机重现过去的工作细节。

为了保护原始数据，除非与特殊的需要，

所有的信息发现工作都是对原始证据的物

理拷贝进行的。由于包含着犯罪证据的文件

可能已经被删除了，所以要通过数据恢复

回关键的文件、通信记录和其它的线索。

数据恢复以后，取证专家还要进行关键

字的查询、分析文件属性和数字摘要、搜寻

系统日志、解密文件等工作。最后取证专家

据此给出完整的报告。将成为打击犯罪的主

要依据，这与侦查普通犯罪时法医的角没

有区别。

三、计算机取证的发展

计算机取证是伴随着计算机犯罪事件

的出现而发展起来的，在我国计算机证据出

现在法庭上只是近10年的事情，在信息技

术较发达的美国已有了30年左右的历史。

最初的电子证据是从计算机中获得的正式

输出，法庭不认为它与普通的传统物证有什

么不同。但随着计算机技术的发展，以及随

着与计算机相关的法庭案例的复杂性的增

加，电子证据与传统证据之间的类似性逐渐