论文部分内容阅读
计算机取证是对计算机犯罪证据的识别、获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。本文主要分析计算机取证的概念、特点,计算机取证的过程,探讨计算机取证的发展趋势和局限性。
一、计算机取证的概念和特点
关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家Reith Clint Mark认为:计算机取证(Compenter Forensics)可以认为是“从计算机中收集和发现证据的技术和工具”。Lee Garber在IEEE Security发表的文章中认为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。计算机取证资深专家Judd Robbins对此给出了如下定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。
二、计算机取证的过程
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。
1.物理证据的获取
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:①不要改变原始记录;②不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记录所有的取证活动;⑤妥善保存得到的物证。
由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题 :①目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;②技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。
2.信息发现
在任何犯罪案件中,犯罪分子或多或少都会留下蛛丝马迹,前面所说的电子证据就是这些高科技犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们研究计算机犯罪取证就是将这些看似无意义的数据变成与犯罪分子斗争的利器,将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。
为了保护原始数据,除非与特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其它的线索。
数据恢复以后,要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。
三、计算机取证的发展
计算机取证是伴随着计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近10年的事情,在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。于是90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。
现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。不过我们国家有关计算机取证的研究与实践尚在起步阶段。
计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:①取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。②取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。③取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉公证据也存在一定的争议。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定:不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。
四、计算机取证技术的局限性
计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:①有关犯罪的电子证据必须没有被覆盖;②取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。
俗话说“道高一尺魔高一丈”,因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。
数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。
数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中,也有人将数据文件隐藏在磁盘上的Slack空间、交换空间或者未分配空间中,这类技术统称为数据隐藏。
加密文件的作用是我们所熟知的。数据加密是用一定的加密算法对数据进行加密,使明文变为密文。但这种方法不是十分有效,因为有经验的调查取证人员往往能够感觉到数据已被加密,并能对加密的数据进行有效的解密。
计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。
一、计算机取证的概念和特点
关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家Reith Clint Mark认为:计算机取证(Compenter Forensics)可以认为是“从计算机中收集和发现证据的技术和工具”。Lee Garber在IEEE Security发表的文章中认为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。计算机取证资深专家Judd Robbins对此给出了如下定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。
二、计算机取证的过程
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。
1.物理证据的获取
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:①不要改变原始记录;②不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记录所有的取证活动;⑤妥善保存得到的物证。
由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题 :①目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;②技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。
2.信息发现
在任何犯罪案件中,犯罪分子或多或少都会留下蛛丝马迹,前面所说的电子证据就是这些高科技犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们研究计算机犯罪取证就是将这些看似无意义的数据变成与犯罪分子斗争的利器,将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。
为了保护原始数据,除非与特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其它的线索。
数据恢复以后,要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。
三、计算机取证的发展
计算机取证是伴随着计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近10年的事情,在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。于是90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。
现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。不过我们国家有关计算机取证的研究与实践尚在起步阶段。
计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:①取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。②取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。③取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉公证据也存在一定的争议。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定:不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。
四、计算机取证技术的局限性
计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:①有关犯罪的电子证据必须没有被覆盖;②取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。
俗话说“道高一尺魔高一丈”,因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。
数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。
数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中,也有人将数据文件隐藏在磁盘上的Slack空间、交换空间或者未分配空间中,这类技术统称为数据隐藏。
加密文件的作用是我们所熟知的。数据加密是用一定的加密算法对数据进行加密,使明文变为密文。但这种方法不是十分有效,因为有经验的调查取证人员往往能够感觉到数据已被加密,并能对加密的数据进行有效的解密。
计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。