丛庆

【摘 要】对计算机犯罪证据的识别、获取、传输、保存以及分析和提交认证的过程被称作是计算机取证，这实质上是对计算机系统进行详细扫描，并且重新模拟入侵事件的过程。本文对计算机取证的概念与特点以及计算机取证人员在取证的过程中所应当遵循的原则和操作规范进行介绍，对其中的关键的地方进行分析，分析其中存在的问题，并且尝试解决这些问题。

【关键词】计算机取证；电子证据；取证技术；关键问题

因为信息化时代的到来，所以计算机技术在快速的发展，人们的工作和生活中对于计算机的应用越来越广泛和频繁。计算机以及相关的信息技术的的确确为我们带来了诸多的便利，但是与此同时也为犯罪分子提供了更多的犯罪方式，因此，计算机相关的犯罪违法的行为正在逐年的上涨。在实际案件中，需要进行计算机取证的案件数量在不断地上升，因此在第十一届全国人民代表大会第五次会议审议中，《关于修改（中华人民共和国刑事诉讼法）的决定》中把电子数据规定为一种独立的证据种类。对于电子证据在刑事诉讼中的法律地位，这是第一次通过基本法律的形式对其进行确认。因为电子证据存在容易被丢失、被篡改、被伪造、破坏以及毁坏的情况，所以取证人员在对计算机开展取证工作的过程中，未必确保证据和原始数据不会被破坏，其操作程序需要严格按照要求进行，一定要遵循相关选择。

1 计算机取证相关定义

就目前而言，尚没有标准化和全面统一的内容对计算机取证进行定义，因为专家学者和机构对于计算机取证的定义所选择的角度不尽相同。当前相对而言较为全面并且能够被绝大部分人认可的定义是：计算机取证是对指定的相关电子证据的相关 证据的收集、确定、保护、分析、归档以及法庭出示的过程，此处储存在计算机以及相关外部设备中可以被法庭接受，并且有足够说服力而且可靠地证据被叫做电子证据。

2 计算机取证的相关规定标准

因为电子证据自身的易被破坏的特点，所以计算机取证方面对取证人员有很多流程规范进行约束，取证人员在取证的过程中务必遵守基本原则，确保证据的取得过程合法，其次要在监督环境下开展取证工作，并且相关的操作都需要进行记录，有时需第三方介入参与。

3 计算机取证中存在的关键问题的处理

计算机取证中的电子证据来源有三个渠道，第一个渠道是主机系统和相关的附件方面证据；第二个是由网络系统获得的证据；第三个渠道是通过其他的各种数字电子设备获得的证据。因为计算机取证的的设备与阶段存在的不同，所以使用的取证技术不同，则其中存在的关键问题也不尽相同。

3.1 磁盘复制方面的问题

对于磁盘复制的处理，切不可直接对原始磁盘设备进行直接的取证操作。因为直接从原始磁盘提取数据，很可能会对其中的原始数据造成损坏，从而导致数据被破坏或永久的丢失，不可逆转。一般是借助镜像方式复制整个磁盘，或者是对原始磁盘中数据进行精确复制，在复制的过程中，可以通过SHA2或者是MD5对设备或者是数据进行校验，确保原始磁盘介质中的文件数据与所复制取得的数据文件是完全的一致、没有被修改过的。与一般的复制黏贴不同，借助磁盘镜像复制的数据涵盖了磁盘的临时文件、交换文件、磁盘未分配区以及文件松弛区等，在很多特定的案件中，这些操作都是必须的。

3.2 对于信息的搜索和过滤

对于信息的搜索与过滤，实质上就是对海量的信息进行搜索处理，从这些数据中获得那些与案件呈直接或者间接的关系的犯罪证据，诸如图像、文本、音频和视频等文件信息都属于此范围，当前数据挖掘技术以及数据过滤技术在此方面应用较为广泛和频繁。

3.3 数据恢复方面的问题

因为案件发生的不确定性，所以很多情况下，能够保存案件证据的各种介质，诸如磁盘、储存卡等电子设备，自身遭受损坏，或者原有的数据被抹除，针对此情况，通过数据恢复技術将其恢复为正常的数据的技术，一般从操作的角度对数据恢复技术进行区分，可以分为硬件恢复技术以及软件恢复技术。

3.4 对于隐形文件的识别和提取方面的问题

因为信息化的普及，所以犯罪嫌疑人在反侦察方面的意识越来越高，因此借助快速发展的计算机技术，犯罪嫌疑人很可能会选择对重要的数据文件采取隐藏、伪装等方式，使得文件得以被隐形和藏匿，从而达到摆脱侦查的目的。对于这种情况一般在计算机取证方面采用数据隐藏技术、水印提取技术以及文件的反编译等技术进行处理。

3.5 密码的分析和解密方面问题

通过各种类型的软件，对于已经被加密的数据进行解密的技术被称作是密码分析和解密技术，一般口令搜索、加密口令等都属于暴力破解技术范围，此外密码分析和解密技术还包括了网络窃听技术、密码破解技术、密码分析技术等多种技术，在密码分析技术方面，涵盖了明文密码、密文密码以及密码文件的破解分析。

3.6 网络追踪方面问题

根据IP报文件信息转发及路由信息对网络中的信息源的位置进行确定，该技术被称作是网络追踪技术，因为攻击者从互联网上违法犯罪，其位置较为虚拟，还需要对所获取的数据包进行技术分析，从而才能够精准定位攻击者的真实位置。一般日志记录分析、ICMP追踪、标记信息技术、链接监测以及信息安全文法等都是解决该问题常用的办法。

3.7 日志文件方面问题

日志记录中，每条信息都记录了一次单独的系统事件，日志记录组成日志文件，所以日志文件中包含了大量的用户行为和使用痕迹，所以在借助日志文件的基础上，计算机取证能够从中获得大量的有用证据数据，这也是分析日志的重点所在。

3.8 互联网数据方面问题

很多情况下，犯罪嫌疑人自身并未留下具体证据，但是在互联网上，其存在着诸多的蛛丝马迹。在借助数据挖局对互联网数据进行挖掘分析的前提下，实现分析提取大量业务数据中的关键性部分，从而达到获取其中的未知的、隐藏着的有效证据的面对。

4 总结

计算机取证发展迅速，并且在未来前景甚好。当前我国的计算机取证技术的研究深度正在不断增加，并且越来越重视对于法律法规以及相关技术的研究，但是就目前而言，依然未能构建合理有效的规范化取证流程，此外相关人员的培养也需要再度加强。

【参考文献】

[1]李岩.计算机取证中关键技术研究[J].上海交通大学，2010（01）.

[责任编辑：朱丽娜]