王巍

摘要：电子取证的理论和软件工具是近年来计算机安全领域内取得的重大成就。从电子取证的软件和工具实现过程的分析中可以发现，当前电子取证技术还存在很大局限性和挑战。根据目前网络入侵和攻击手段和未来黑客技术的发展趋势，以及电子取证研究工作的不断深入和改善，电子取证将向智能化，专业化和自动化方向发展。

关键词：电子取证；局限性；发展方向

面对数量不断增加的计算机犯罪，电子取证成为获得电子证据的有力手段。然而。电子取证并不是一个轻松和简单的证据保全行为，电子取证需要通过特定的技术手段，对保全的电子证据进行分析和获取，还原电子证据的真实形态，为案件提供证据支持。由于犯罪分子的故意行为，电子证据常常会遭到破坏，这为侦破信息化犯罪带来了难度，怎样才能找到有利于案件侦破的证据？电子取证过程中，需要哪些关键技术呢？这是目前面临的一个重要的课题。

一、电子取证的局限性以及面临的问题

电子取证的理论和软件工具是近年来计算机安全领域内取得的重大成就。从电子取证的软件和工具实现过程的分析中可以发现，当前电子取证技术还存在很大局限性。

从理论上讲。电子取证人员能否找到犯罪证据取决于：有关犯罪证据必须没有被覆盖；取证软件必须能找到这些数据；取证人员能知道这些文件。并且能证明它们与犯罪有关。从当前软件的实现情况来看。许多所谓的“取证分析”软件还仅仅是恢复使用rlTl或strip命令删除的文件。

电子取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化。反取证技术的发展。反取证就是删除或隐藏证据使取证调查失效。反取证技术分为3类：数据擦除、数据隐藏和数据加密。这些技术还可以结合起来使用。让取证工作的效果大打折扣。NestWatch、NetTraeker、LogSurfer、VBStats。NetLog和Analog等工具可以对日志进行分析。以得到入侵者的蛛丝马迹。一些入侵者利用RootKit（系统后门、木马程序等）绕开系统日志，一旦攻击者获得了Root权限。就可以轻易修改或破坏或删除操作系统的日志。

电子取证软件局限性表现。目前开发的取证软件的功能主要集中在磁盘分析上。如磁盘映像拷贝。被删除数据恢复和查找等工具软件的开发研制。其他取证工作依赖于取证专家人工进行。也造成了电子取证等同于磁盘分析软件的错觉。现在电子取证是一个新的研究领域。许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范。软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对电子取证和工作人员进行认证。使得取证权威性受到质疑。

二、电子取证技术面临的挑战

电子数据司法鉴定通常需要对电子证据的真伪及形成过程进行鉴定。电子证据在形成过程中，常会被复制修改，而电子证据是否被复制修改对其证明力有着重要影响，也是审查电子证据可靠性的重要方面。在很多情况下，通常认为经过编辑后复制的电子数据不能用作证据。因而，需要通过鉴定以解决电子数据是否经过编辑、复制或修改等真实性问题，从而找出与案件相关的真实数据。

电子证据的内容，常常需要借助相关的设备才能成为人们可以感知的信息，而当发现可能成为电子证据的电子数据材料时。首先需要确定其记载内容，有时调查人员不知道有关材料的读取方式，从而失去有价值的证据；有时记录的信息不够清晰，难于分辨其价值；有时有证据价值的材料遭到人为或因自然原因而损坏，其内容难以读出。在这些情况下，需要利用专门的数据修复技术手段来获得有价值的证据。

无论是网络犯罪，还是计算机犯罪，主机核心数据往往是重要的“犯罪现场”。主机核心数据包括内存映像、系统交换文件、进程信息、网络状态、系统日志等，其中操作系统的内存映像尤其重要，它是提取计算机犯罪证据的重要来源。在国内，目前还是一个技术难点。

数据修复技术在司法鉴定过程中也起到了非常重要的作用。许多重大案件中相关的电子数据都是不完整的，很难直接用作电子证据。通常情况下，犯罪分子会人为地破坏记录数据的介质或直接删除与案件相关的数据。因此，还原数据的真实性，需要利用数据修复技术，对被破坏的介质或数据进行修复。

如今，计算机和网络已经进入了我们的生活，许多业务也需要依托网络。因此。一旦发生纠纷，电子证据可以在解决矛盾过程中发挥关键作用。按照目前的规定，电子邮件、QQ聊天记录、软件、电子文档等，都可以成为电子证据，但前提是必须先经过指定机构认定。日常生活中，一旦遭到黑客的网上攻击，可以立刻通知专业计算机司法鉴定机构，请技术人员进行现场取证，而如果黑客在取得一台计算机的控制权后继续危害他人，专业部门会根据线索反向查找，布阵“捕捉”入侵者。另外，如果没有保存相关信息，也不用担心，专业人网络安全协同控制技术员在一定条件下可以恢复相关操作或数据，并对计算机硬盘、软盘，以及互联网上网页、BBS、博客等数据进行证据的固化、查找、提取、分析等操作。

三、电子取证技术的发展方向

最初的电子证据是从计算机输出中直接获得，法庭认为它与普通的传统物证没有什么不同，但随着计算机技术的发展，以及相关复杂案件的增多。电子证据与传统证据之间的差异逐渐明显，电子取证技术随着黑客技术的提高而不断发展。为了确保取证所需的有效法律证据，根据目前网络入侵和攻击手段和未来黑客技术的发展趋势，以及电子取证研究工作的不断深人和改善，电子取证将向智能化，专业化和自动化方向发展。

电子取证的相关技术发展。从电子取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将电子取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关的证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。

对入侵者要进行计算机犯罪取证学的入侵追踪技术研究。目前有基于主机追踪方法的calerID，基于网络追踪方法的IDIP、SWT产品，有学者针对网络层的追踪问题提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化。对于应用层根据信息论和编码理论提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在电子取证中针对入侵行为展开解密技术研究。

电子取证的另一个迫切技术问题就是对取证模型的研究和实现。当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库。有学者提出采用XLM和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型。并开始着手研究对此模型的评价机制。

电子取证的标准化研究。公安执法机关还缺乏有效的电子取证工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套电子取证的流程。提出的证据很容易遭到质疑，对电子取证应该制定相关法律、技术标准。制度以及取证原则、流程、方法等。到目前为止，还没有专门的机构对电子取证机构或工作人员的资质进行认定，加强对具有取证职能的计算机司法鉴定机构的建设。指定取证工具的评价标准。对电子取证操作规范是很必要的。

网络协同化电子取证。根据电子证据的来源，电子取证可以分为基于主机的取证和基于网络的取证，初始的研究多数是基于主机的取证。如：磁盘的镜像、日志的保存和分析、数据的查找和恢复等。随着网络的发展和通过网络攻击事件的增多，日益需要保存网络数据作为攻击的证据，电子证据存在脆弱性、易逝性、隐蔽性和多媒体性等特点。