王 帅

（华东政法大学信息科学与技术系 上海201620）

1 前言

当今计算机科学技术的迅猛发展、网络系统的深入应用以及信息网络的社会化与国际化，使得人类社会的生活方式发生了天翻地覆的变化。网络化、数字化的应用领域也越发广泛，我们对它的依赖性也越发强烈，然而“网络社会”越是发达，它遭受攻击的可能性与危险性也就越大，计算机犯罪就是网络信息安全的严重威胁之一。计算机犯罪取证（computer forensics）技术便是对计算机犯罪进行有力打击以及震慑计算机罪犯的有效科学技术之一，同时也对网络信息的安全提供了一定的保障。掌握了这项技术，就如同经验丰富的外科手术医生得到了一把锋利应手的手术刀一般，对其清理“毒瘤”如虎添翼。

2 计算机犯罪取证及其相关技术

2.1 计算机犯罪案例

我国第一例计算机犯罪出现在1986年7月22日，港商李某前往深圳市人民银行和平路支行取款，计算机显示其存款少了2万元人民币。两个月后，迎春路支行也发生了类似情况，某驻深圳办事处的赵某存入银行的3万元港币不翼而飞，通过侦查发现上述两笔存款均被同一犯罪分子利用计算机技术伪造存折和隐形印鉴诈骗而去。从此之后，原来在报道中看到的在国外才有可能出现的计算机犯罪现象在国内也频频发生。截至1990年年底，我国有案可查的计算机犯罪案件就有130多起。

我国的第一例计算机病毒出现在1989年3月。当时我国西南某铝厂计算中心的7台计算机发现被感染小球计算机病毒。接着，《计算机世界报》对此作了详尽的报道。至此之后，计算机病毒便在全国迅速蔓延。现今，绝大多数的计算机用户，特别是互联网用户都经受过计算机病毒的侵袭。1989年，我国出现了由国内计算机人员自己制造的病毒在计算机应用中蔓延，但直到1996年，我国才破获第一例计算机病毒制造案件。由此可见，绝大多数计算机病毒案件仍然未被破获。

上述两个案例中，从各个角度反映出计算机犯罪的高智商性、作案动机简单化、实施犯罪容易、较强的隐蔽性以及巨大的危害性等不同于普通犯罪的特性，所以我们必须针对这些特性给计算机犯罪下一个较为完整的定义。那么，计算机犯罪又是怎样被定义的呢？而我们又将怎样应对越来越严峻的计算机犯罪形式呢？接下来，我们简单探讨一下。

2.2 计算机犯罪的定义

对于计算机犯罪（computer crime），我国公安部计算机管理监察司给出的定义是：所谓计算机犯罪，就是在信息活动领域中，利用计算机信息系统或计算机信息知识作为手段，或者针对计算机信息系统，对国家、团体或个人造成危害，依据法律规定，应当予以刑罚处罚的行为。

北京大学的陈兴良教授认为：规范和事实是我们考察犯罪的双重视角。从规范和事实两个视角对“犯罪”进行分析，他提出了一种二元的犯罪理论。陈教授认为：犯罪属于刑事法的基石范畴，而刑事法是围绕着犯罪展开的实体或者程序的规范体系。同时，犯罪又是一种社会事实，对于犯罪的考察，局限于规范是片面的，应当透过规范对犯罪进行事实分析。

由此可知，对计算机犯罪的定义很重要，要不偏不倚，绝不放过一个罪犯，也绝不冤枉一个好人，在追求国际标准的同时也要顾及到我国的国情、法律法规，综合性地给计算机犯罪下定义；但是光有完善的定义，生成的完备的法律法规也只是纸上谈兵，计算机犯罪取证技术才是更加直接地打击计算机犯罪与罪犯的有效工具，才能做到人赃俱获。其与完备的法律法规的结合，才可以给计算机罪犯以沉痛的打击。

2.3 计算机犯罪取证及相关技术

当前利用计算机系统作为作案工具或者攻击目标的案件与日俱增，电子证据（electronic evidence）作为呈堂证供的重要性也越发明显，而摆在公安部门与司法人员面前最严峻的难题就是计算机犯罪取证，如何取证，通过何种方法取证，怎样得到最佳、最完整的电子证据等，都困扰着公安部门与司法部门人员，从另一个方面也体现出了培养相关技术人才刻不容缓的紧急性与必要性，以及我国与国外相关专业技术人才的培养和先进取证设备的配备都相差甚远，需要添补的空缺也非常之大，可以看出任务还很重，所要走的路还很漫长。但是相信随着我国对计算机犯罪取证的日益重视，我国也会培养出众多的网络信息安全与计算机犯罪取证人才，以应对越发严峻的计算机犯罪形势。

当然，有了想法，自然也要有相应的做法，才能够与时俱进。我们的做法就是要了解计算机犯罪取证，那么计算机犯罪取证又是怎样被定义的呢？简单地说，计算机犯罪取证就是对各种计算机存储介质中的数据以及寻找回的数据进行的一种科学的检查和分析方法，而通过这种方法所得到的数据可以在法庭上成为呈堂证供，对计算机罪犯的犯罪行为依法进行判决。其相关技术大概可以分为3类：对计算机数据的安全获取、通过对嫌疑犯的数据的检测和分析来断定数据的内容及来源、在法庭上提供所需的计算机证据的展示。计算机犯罪取证还包括两个阶段：物理证据获取和信息发现。前者是指取证人员在犯罪现场找寻并扣留相关的计算机硬件设备，后者是指从原始数据（例如：文件、日志、策略、记录痕迹等）中找寻可以用来证明或者反驳的证据，也就是前文提到的电子证据。其中计算机罪犯的犯罪现场被学术界一致认为是电脑，即计算机硬件设备及其软件环境。如何在这个特殊的犯罪现场取得有利的证据把罪犯送上法庭呢？那么，首先要做好充分的准备，接着便是运用先进科学的取证、再现、统计、分析技术对计算机犯罪行为进行法医式的剖析，从中搜寻并确认有利于在法庭上指正犯罪嫌疑人罪行的犯罪证据，进而对罪犯提起司法诉讼。

当然，在取证前后及过程中需要注意很多细节与问题。

3 计算机犯罪取证前后及过程中应当注意的细节与问题

在取证之前的准备工作做得越是充分，越是能让取证工作进行得相对顺利，并且越是能比较圆满地完成取证工作。而我们首先要从软件和硬件方面的应用工具考虑，这同软件开发一样，在着手工作之前一定要做好 “需求分析”，所以取证人员应随身带好若干空白的表格，以便作为信息问询的填写与工作流程的记录，这也是一位取证人员所应具备的专业素质的一个良好体现。在取证工具的选取上则能够体现出一个取证人员专业技能的高低以及工作的出色程度。下面我们便根据硬件和软件分类来探讨一下取证前的准备工作中需要注意的细节与问题。

3.1 取证前的准备工作在软件方面应该注意的细节与问题

在软件方面，操作系统因为其种类繁多，因此能够跨越平台进行取证的工具软件就显得尤为重要，尽量多地了解各种类别的操作系统，也会对取证工作的进展起到推波助澜的作用。尽管GUI类型的程序是具有丰富功能的顶级软件，但是若用在取证环节则可能会破坏证据的原始性，非但不能取得最佳的证据，反而会给案件的侦破带来新的麻烦与阻碍。在取证工作结束进行的对所获取的罪证的分析工作中，GUI类型的程序软件可以发挥其丰富的功能，使得分析工作进行得更加顺利。同时，制作各类操作系统的基本工具集合也是我们必要的准备工作之一。因为针对不同的计算机罪犯要有不同的对策，例如，罪犯通常会替换“肉鸡（也称为傀儡机，即计算机罪犯通过非法手段远程登录的网络中的一台或者多台主机，用于隐藏身份）”或者受害机的二进制命令，倘若直接调用被取证机的程序命令进行取证工作，那么取证结果可能会与预期的效果截然不同而导致取证失败。为了尽量避免此类事件在取证过程中发生，最好选取安全合法的机器制作工具集，并制作出所有工具程序的MD5校验列表，因为我们在取证过程中所作的一切都有可能成为有力的呈堂证供。随着取证工作经验的不断丰富，对取证工具进行不断地更新，以便更加快速有效地进行取证工作。例如，在不同的操作系统下进行取证工作的过程中制作镜像是最为重要的，若是在Class UNIX系统环境下，dd则是完成此项工作的通用命令，因此在工具集里面尽量多地准备各类型、各版本的Class UNIX系统的dd命令则显得分外重要；而Ghost则是在Windows平台进行此类工作的所最为常用的，其他类型的软件在此不一一介绍。

3.2 取证前的准备工作在硬件方面应该注意的细节与问题

在硬件方面，作为电子证据的存储介质在进行存储之前一定要进行处理，即对其进行有效地擦除，前提是使用业内公认可靠的擦除软件对该存储介质进行擦除，以免介质中的残余证据对新近存入的证据产生影响，不利于对证据的分析和取信。存储介质的选取也相当重要，移动硬盘最为常见，除了其容量尽可能地大之外，硬盘盒的接口也要尽量地涵盖当前尽可能多的硬件接口类型，例如：IDE、SATA、SCSI、PCMCIA等常见接口。在无法预知被取证设备的外设的情况下，除了移动硬盘之外，还要准备好软盘、Zip软盘、MO、CD-R、CD-RW等，各种设备之间的连接数据线缆及转接头也要尽量地准备齐全。除此之外，以Forensic MD5为代表的手持式取证设备也是必不可少的，还有Forensic Computer出品的便携式取证箱等都会给取证人员的取证工作带来极大的便利，因为它们复制数据的速度极快以及接口极其丰富，而它们也逐渐成为了取证人员出行必备的百宝箱。

可是，单单从硬件和软件方面进行取证前的准备工作还是远远不够的，还应该根据当前计算机科学与技术的发展程度，对犯罪分子可能会使用的一些犯罪手段进行预测，以便于使取证工作进行得相对顺利。

3.3 取证前的准备工作还应该了解的一些细节

除此之外，还应该了解罪犯通常会做些什么来扰乱我们的视线，来清除自己的痕迹，而使取证人员的取证工作如何进行得不顺利等。

例如：有些掌握高超技术的罪犯有时编写一个摧毁硬盘的程序，当罪犯得到他们所需要的东西之后便运行该程序，在运行该程序时对磁头进行读写使得硬盘盘片高速旋转，而当CPU处于大量计算之时，突然停止对磁头的读写，使得马达暴毙，导致硬盘无法被识别与读取。罪犯的主要思路是源自对软驱的读写控制，其灵感来自Kill motor这个命令。现今软驱已经很少见，但是依旧可以通过对光驱进行读写控制以达到对硬盘的致命摧毁。所以按任意键进入硬盘自毁程序，对于罪犯中的高手来说绝非难事。而电影中将光盘或者硬盘放入微波炉中摧毁，完全是为了赚取观众的眼球，那样做是非常危险的事情，很可能会伤及罪犯本身，因为微波炉内的高温可能会导致硬盘内的真空环境突然改变致使内外压力产生巨大变化而瞬间使微波炉发生爆炸，即便罪犯有着敏捷的身手，逃离现场也会因为巨大的爆炸声而暴露自己的位置，对其逃离现场造成巨大的阻力。

言归正传，罪犯随身携带的存储介质也绝非一个或者几个，在其得手之后也不会随身携带，而多是藏匿在常人无法想象的位置，在确认已经绝对安全的情况下再前去将存有珍贵数据的存储设备取走。每个人的思路不同，做法也各自迥异，这就要求取证人员也要具备有丰富想象力及敏锐的洞察力。罪犯还有可能将数据存储在二手的PDA手机里面，并对SIM卡进行擦写而使得我们即使通过发射基站定位也无法获取他们的藏匿位置。同时他们还喜欢把所有经过跳转的路由节点统统干掉，把自己的犯罪信息清除得一干二净，让取证人员无从下手。不仅如此，罪犯还会通过注册表来克隆账户，并用其访问某些核心信息，还通过DOS修改文件时间等手段来制造假象而迷惑他人。绝大多数的木马程序都驻留在system32中，极少引起用户的注意，罪犯也会通过三层甚至以上代理访问“肉鸡”，并开启VPN服务，即便是被发现或是追踪，也是代理主机，而它仅仅是众多“肉鸡”中的一台，而且走的多是“国际路线（即犯罪分子利用境外代理服务器进行犯罪活动）”，这也给取证工作增加了相当的难度。

然而，罪犯至此并没有结束，而是逐个清除他所访问过的“肉鸡”的系统访问日志，一般用户都会从开始菜单的最近的文档里面查看Windows系统自动记录的最后15条访问记录，其实此类信息存放于C:Docunments and SettingsDefault UserRecent中，其中Default User是操作系统用户登录的账号，而且它还包括文件链接及访问时间，因此检查此文件夹便可知晓最近计算机的使用情况，但是若是把此文件夹中的文件统统清除，那么只能通过恢复工具将其逐一恢复之后才能知晓都有谁在用该计算机做了些什么。通过下面的一些操作，我们也可以看到一些访问记录。

如：在HKCUSoftwareMicrosoftDevStudio6.0Recent File List有开发工具Visual Studio的最近使用的程序文件和工程文件；在HKCUSoftwareAdobeAcrobat Reader8.0Adobe Viewer有该软件最近阅读过的文件；在HKCUSoftwareMicrosoftOffice9.0ExcelRecent Files有Excel最近打开的文档；点击开始菜单可查看的最后15个文档也存放在HKCUSoftwareMicrosoftWindowsCurrent VersionExplorerRecent Docs中，只不过文件名使用的是Unicode编码。

在C:Documents and SettingsDefault UserLocal SettingsHistory中存有最近访问所留下的所有文件；IE访问历史在C:Documents and SettingsDefault UserLocal SettingsTemporary Internet Files中，记录了Internet地址、标题和上次访问时间等；在HKCUsoftwareMicrosoftInternet Explorer Type2dURLS路径下可以看到上网的网址；C:Documents and SettingsDefault UserFavorites是收藏夹，在作系统信息检查时，应当在资源管理器中设置“显示所有文件和文件夹”，若有需要还可以将“隐藏受保护的操作系统文件 （推荐）”这一选项前面的复选框中的对号去掉，因为在系统默认情况下，系统文件夹的属性通常被系统默认设置成“隐藏”。

而在国外，取证人员习惯使用Encase和Ftk这两个工具软件进行取证工作，其主要工作原理是通过二进制数据还原技术重现电脑设备的操作信息及软件的安装信息等；而在电子邮件取证方面，则使用E-mail TrackPro这个工具软件来做电子邮件的定位，并且通过分析电子邮件往来信息而做出判定，在捕捉网络蠕虫病毒和跟踪源方面，此软件也颇为有效；若是需要做信息比对，则会用Filemon等工具软件找出木马及黑客软件的位置所在，并通过逆向分析进行追踪，进而侦查罪犯的藏匿之所，并采取行动，实施抓捕。

3.4 进行取证工作过程中需要注意的细节与问题

做好了较为充分的准备，接着便是如何着手实施取证。无论何时何地，我们都要因地制宜，根据实际情况及安全类别来做出相应的判断并实施取证工作。

若是在一台Internet主机上发现有非法登录或者在局域网服务器上被种下了恶意程序，我们所采取的取证方法也应该是分门别类的，根据实际情况对症下药，同时也要征求受害者的意见以便制定出最佳的取证方案。有的会想彻底调查并对罪犯提起诉讼，而有的则可能仅仅是对目前的状况造成的损失做一些大致的评估，但是无论是哪一类受害者，取证人员都要对证据进行缜密的处理并妥善保存，即便是后者，他们也可能会在被攻击之后的若干时间内改变初衷，决定对罪犯的犯罪行为提起司法诉讼。同时我们还应当注意的则是，为了保证证据的安全可信程度，计算机证据国际组织（international organization on computer evidence，IOCE）对电子证据的采集、保存、检验及传送都提出了特别的要求：“首先必须使用有效的软硬件进行数据的采集和检验；其次对数据证据的采集、保存、检验及传送的全过程都必须有所记录，因为任何有潜在可能对原始数据造成改变、破坏或者毁坏的活动必须由具有法律资质的人员进行。”对现场的计算机设备的处理原则之一便是对运行中的计算机不要进行关机操作，对关闭的计算机不要进行开机操作。若现场的计算机处于运行状态，应极力避免使屏幕保护程序被激活，并检查屏幕上的活动，如果发现系统正在进行文件的删除、格式化、上传、系统自毁或者其他危险活动，应立即切断电源。

接着，在关闭的设备上，我们便要利用先前准备的工具对所有的数据介质进行生成鉴定副本操作，但是除了不能在被调查机上操作之外，也不能对该机进行分析与检查，因为我们的主要目的就是在尽可能少地接触被调查机的情况下制作鉴定副本并进行证据分析，而对原始介质的轻微操作都可能使其完全丧失作为证据的可信程度。当我们无法获取完整鉴定副本的时候，我们便只能进行一些接触被调查设备的操作了，比如被调查设备不支持热插拔设备，而内存中正在运行着重要罪证，我们也只能在开机状态进行证据的获取工作，为避免对证据造成破坏，我们的操作应当格外谨慎，并在整个取证过程中做好详细的记录（操作的步骤、方式、方法、时间等）。因此在开机状态下，对内存的数据采集便成为我们的首要工作，为此我们可以查看系统进程、复制出内存中的数据、Windows的页面文件、Linux的proc目录都存储着大量运行数据，若将其成功获取，便可以生成相对完整的调查介质的MD5校验列表，来证明在调查现场我们没有破坏证据的可靠性。

3.5 取证工作完成后需要注意的细节与问题

当确认取证工作已经完成之后，接下来便是对鉴定副本的管理工作。首先要妥善地将被调查设备封存，并连同之前生成的鉴定副本一并加入“证据保管链”，以便在进一步的分析工作阶段时使用。而保管链的主要意义在于每次对被保管物的使用及变更都能够被详细记录与验证，这样做就是为了证明我们的证据是可靠、可信的，任何对其有意与无意的篡改都是极其不易的，因此对所有操作信息的完整记录尤为重要，而且越是完整、详细越是能够增加证据的可信度。我们无时不刻都要做好接受任何缜密检验的心理准备，并用严谨的态度去完成每一个取证任务。

还应该注意的一个细节问题就是对每一项证据（包括我们的工具包）粘贴保管标签，并在标签上注明：“证据来源、生成时间、证据的当前保存位置、证据转移时的位置、证据转移的原因、保管人以及接手人的亲笔签字，并且建议第三者在场共同签字确认其合法性。”对于电子证据这一数字证据，我们可以利用数字签名技术给证据生成电子指纹，这样做能够使得证明证据的原始性、完整性及可信性的大大提升，并具有一定的说服力。在法庭上用取证得来的证据与刑法、宪法等相结合对罪犯提起诉讼，使其得到应有的审判与惩罚，同时也会对计算机犯罪起到一定的打击作用。

4 结束语

计算机即将跨入量子时代，而我们需要面对的网络信息安全危机与计算机犯罪也会随之进入量子时代，在机遇与挑战之间，我们要不断地提高自己、丰富自己、完善自己，准确地把握机遇，积极勇敢地迎接挑战，用我们坚毅的信念与高超的网络信息安全技术和计算机犯罪取证技术来同计算机犯罪及计算机罪犯坚决地斗争到底，做到攻防兼备。当然。相关的刑法、宪法等法律法规也应该随着计算机量子时代的到来而不断地更新、完善。

1 林柏钢.网络与信息安全教程.北京：机械工业出版社，2005（8）

2 赵秉志，于志刚.论计算机犯罪的定义.现代法学，1998（5）

3 胡卫平.计算机犯罪初论.政法论丛，1997（5）

4 板仓宏（日）.电脑与刑法.法学论坛，1982（7）

5 张彦.计算机犯罪及其犯罪控制.南京：南京大学出版社，2000

6 申一纹.电脑就是计算机罪犯的犯罪现场——浅谈计算机取证与网络安全防范技术.人民公安报，2009.5

7 新世纪网安基地,http://www.520hack.com/Article/Text5/fhack/200911/16579.html