阳雁 蒋邵衡

摘 要：面对日新月异的计算机犯罪问题，通过提升执法机关的取证能力可达到有力制约该型犯罪的目的，研究和运用先进的计算机犯罪現场勘查取证技术成为一项有效的措施。计算机取证技术理论新、背景知识多，需结合计算机技术的运用、跟踪技术领域的新发展，才能很好的发现和分析问题。

关键词：计算机犯罪;物证技术;电子证据

中图分类号：D918 文献标识码：A 文章编号：1671-2064（2019）22-0032-02

目前我国大部分地区都已经组建了网络安全执法队伍，网络警察总数近千人。然而基于多种原因，侦查部门与网监部门的管辖分工还不够明确，计算机犯罪或涉及计算机犯罪案件的侦查目前仍然是侦查机关、特别是普通的侦查员比较棘手的问题，本文力求在计算机犯罪现场勘查取证技术中做些研究，以起抛砖引玉的作用。

1 妥善保护易失数据

只要在计算机犯罪现场有处于开启状态的机器，就需要启动现场响应工作（live response）。

1.1 易失数据的常见位置

易失数据反映计算机的实时状态，它存在于需要在通电状态下才能存储的部件中，比如内存（RAM），cache高速缓存，显卡（显存），网络接口卡（NIC）等，如果出现断电或者电压不稳的情况，上面的数据就会丢失，在计算机犯罪现场勘验时，应当首先处置这类既脆弱但又有助于了解该计算机运行状态的证据。

1.2 易失数据的收集要点

根据洛卡德的交换原理，收集抢救易失数据的过程必然会改变计算机系统原本的运行状态。为减小侦查活动的“二次污染”，侦查人员在启动现场响应的时候可借鉴如下经验：

（1）应当准确记录侦查人员实施的操作以及对目标系统可能造成的影响，并由见证人对操作记录签字确认。（2）如果抵达犯罪现场的时候涉案计算机是打开的，或者计算机未曾重新启动过，这时候可以获得的信息就比较多。如果抵达现场期间，涉案计算机系统已经停机或者曾重新启动过，则意味着大部分易失数据已经丢失。（3）不得将提取的易失数据存储在其原本所在的计算机里。（4）不得在目标系统中安装新的应用程序，同时避免使用目标系统上的程序。侦查技术人员应事先准备好附带各种工具的响应光盘，用光盘驱动器运行程序，从而最大程度的避免调动目标计算机硬盘里的数据。（5）该阶段不要选用消耗大量资源的软件，鉴于提取易失数据的紧急性、实时性，尽可能使用简洁的命令行工具，相比具有图形界面（GUI）的工具软件，命令行占用较小的内存、较少依赖动态链接库，从而对整个计算机系统的影响相对少一些，所提取的信息更加真实、完整。

2 固定存储媒介和电子证据

研究涉案存储介质和电子证据的固定、封存技术的目的在于保护电子证据的完整性、真实性和原始性。

2.1 固定与封存电子证据的方式

电子证据的载体包括电子设备和存储媒介，它是以物证的形式扣押的。电子设备和存储媒介封存以后将不能够被操作和使用，除非解封。

固定存储媒介和电子数据的方式主要有三种：完整性校验方式、备份方式、封存方式。其中最后一种只有在无法计算存储媒介完整性校验值或者无法制作备份的情形下才允许使用。

2.2 利用硬盘镜像固定电子证据

硬盘镜像不仅完整复制硬盘里的所有的文件，它还准确的保留了硬盘内部存储的原始结构和数据的相对位置，这意味着原始硬盘的每一个物理扇区都将被复制。硬盘镜像虽然为犯罪取证提供了有力的技术保障，但并不是所有的情况都需要进行全盘镜像复制，出于经济和效率的考虑，有时候我们只对计算机系统中存储的部分内容开展工作。比如对在役商用服务器的勘查取证时，管理方往往不愿意关机，同时这些服务器存储的数据非常庞大，在不影响侦查工作的前提下，我们没必要获取所有内容，只需要对计算机的各种状态信息做一个“快照”（Snapshot）。在UNIX主机下，我们可以使用The Coroner's Toolkit（TCT）工具实现“快照”取证。

2.3 制作镜像的一般步骤

现场勘验过程中为涉案计算机制作镜像拷贝的一般步骤是：

2.3.1 关闭计算机

完成易失数据的提取和现场响应之后，就应当关闭计算机系统的电源。特别需要注意的是，一般不采用常规的流程来关机，对于台式计算机直接拔除电源插头，对于笔记本采用强行关机，对于一些更为复杂的系统，如Unix主机，一般不得草率关机，须向有关技术人员咨询后再确定关机方案。

2.3.2 记录现场状态

关机后，应记录下现场设备的静态情况。包括计算机的型号、运行了哪种操作系统、硬盘型号、硬盘接口类型、网络连接类型等。应当对设备间的连接情况拍照并绘图，要能全面反映设备的空间位置信息。拆卸时，应当记录并编号，并保证以后可以恢复原状。

2.3.3 制作镜像

可以采用两种方法获得目标计算机里的数据。一种是将勘查取证专用电脑通过网线或串行电缆与目标计算机连接，然后再通过取证软件对硬盘进行镜像复制。另一种办法是将目标计算机的硬盘拆下，然后连接到具有写保护功能的勘查取证专用计算机上，从而读取并复制硬盘上的证据。但需要注意装载类型应设置为“只读”，只有这样所查看的数据才不会因为操作失误而发生改变，并且能够将所有的数据保持在其最原始的状态，保证证据检验工作的真实性、客观性和原始性。

2.3.4 完整性校验

利用专门工具计算机所复制的存储媒介（硬盘）里电子数据的完整性校验值，原电子设备和存储媒介应当封存，并且由侦查人员填写、制作相应的法律文书。

3 利用数据恢复技术挖掘证据

每一种操作系统都会提供把数据删除出硬盘的功能，但与现实生活中的丢弃行为所不同的是，“删除”指令被计算机执行以后只是被做了一次登记，意味着下一次存储数据的时候允许使用该空间，而实际上被“删除”文件没有被覆盖以前依旧存在于硬盘中。即便嫌疑人在一定程度上删除了数据，但在勘查过程中仍然有被恢复的可能性。常见的需要数据恢复技术的情形有以下几类。

3.1 恢复硬盘分区

硬盘存放数据的基本单位是扇区，对硬盘分区的过程，就是在其第一个扇区上注明分區数量、单区大小，起始位置等信息，称为分区信息表。当主引导记录因为各种原因（比如嫌疑人毁灭证据）损坏后，局部或全体分区就不可见，造成数据消失的情形。根据数据信息特征，经验丰富的计算机专业人员可以推算分区大小及位置，将其手工标注到分区信息表，从而恢复“消失”的分区。

3.2 恢复被删除的文件

向硬盘存放数据时，系统首先会在文件分配表上登记文件名称、大小以及根据空闲空间分配起始位置，等上述工作完成以后再向数据区写入数据的内容。删除文件的过程与之类似，但程序却更为简单，当需要删除文件时，系统会在文件分配表内添加删除标签，表明该文件已被删除，所占用的空间已被“释放”，未来允许被新的数据可以占用，然后删除流程便结束了。在没有新的文件写入，所占用的空间没有被新内容覆盖的前提下，利用专门的工具可更改文件分配表的信息，从而返回到原来的状态，实现数据恢复。基于同样的原理，被格式化的文件也可以恢复。

3.3 恢复文件分配表

计算机系统为了管理文件存储活动，需要通过格式化程序将分区划分为目录文件分配区和数据区。文件分配表内记录着每一个文件的属性、大小、位置。文件分配表管理所有文件的操作，一旦遭到破坏，系统无法定位到文件，尽管文件的内容还在物理上存在于数据区，系统仍然会识别为文件不存在。就好比书的目录被撕掉一样，这时候恢复起来的难度较大，但是通过推算可能存在的位置，还是有可能恢复出所要的数据。

3.4 常用的数据恢复工具

3.4.1 Winhex数据操作工具

“Winhex”以通用的16进制编辑器为核心，是一款功能强大的文本二进制数据查看、修改工具。我们可以很方便的用来处理计算机犯罪取证、数据恢复、低级数据处理、破损文件修复、硬盘修复等工作需求。

3.4.2 Easyrecovery数据恢复软件

“Easyrecovery”是一款全球范围内著名的经典数据恢复软件。该软件执行高效、功能强大，不仅应用在误删除、格式化、重新分区等常见的数据丢失的情形，而且它还可以执行不依赖分区表的按簇硬盘扫描功能。但也需要慎用，因为不通过分区表来进行数据扫描，得到的数据有可能不完整。不过这种方法却提供给我们一个新的思路：在计算机犯罪取证过程中，面对分区表被严重损坏的计算机，我们还是可以尝试用按簇扫描的办法进行数据恢复，哪怕只成功恢复出一小部分数据，对于犯罪侦查工作来说也可能是有帮助的。

3.4.3 R-Studio取证工具

“R-Studio”兼容包括Linux、UNIX、Win9X/ME/NT/2000/XP在内的常用计算机操作系统;可恢复加密文件或数据流文件;支持网络在线数据恢复的功能;兼容多种格式的文件系统，如Ext2FS、FAT12/16/32、NTFS、NTFS5等;软件附带有镜像制作工具;能够恢复大容量存储设备上的数据，可修复大型磁盘阵列（RAID）;软件拥有领先的抗删除技术，可以恢复主引导记录受损的、被擦除处理的（data erase）或者被病毒破坏的数据文件。软件带有多种高级设置选择，用户可通过个性化设置达到最佳的工作效果。

3.4.4 数据恢复软件

数据恢复软件不仅能够有效地恢复硬盘、移动硬盘、U盘，还添加了对新型数码存储设备的恢复能力，如SD卡、CF卡、TF卡、记忆棒等数据。此类软件运用多线程引擎技术，能够高速地扫描硬盘底层数据。同时，采用多种高级分析算法，得以有效重建丢失的文件目录和数据，恢复效果显著。另外，该类型软件所有的操作均在内存中完成，不会向硬盘内写入数据，避免对数据的“二次破坏”，适合作为在线电子证据分析的工具。

3.4.5 硬盘数据恢复软件

硬盘数据恢复软件是一款全面的文件恢复软件，使用此类软件可以恢复出回收站删除掉的文件、被Shift+Delete键直接删除的文件和目录、快速格式化/完全格式化的分区、分区表损坏、盘符无法正常打开的RAW分区数据、在硬盘管理中删除掉的分区、被重新分区过的硬盘数据、一键Ghost对硬盘进行分区、被第三方软件做分区转换时丢失的文件、把整个硬盘误Ghost成一个盘等。该类型的软件大多使用只读的方式来扫描文件数据信息，在内存中组建出原来的目录文件名结构，因此并不会破坏源盘内容，比较适合在线取证工作时使用。

4 结语

目前，虽然我国在计算机犯罪取证技术的研究和应用方面已取得了一些经验，但全面、系统、深入地研究计算机犯罪行为及其取证技术却仍是理论界和实践部门的重要任务。面对计算机犯罪，我们应当采用稳定且有效的推出技术和方法进行取证，做到高效、精准地收集计算机犯罪证据。另外，随着法制的健全和刑事执法能力的提高，计算机犯罪终将得到有效的治理。

参考文献

[1] 麦永浩，许榕生.计算机取证与司法鉴定[M].清华大学出版社，2009.

[2] 徐爱冬，廖根为.网络犯罪侦查实验基础[M].北京大学出版社，2011.

[3] 徐爱冬.现场勘查[M].北京大学出版社，2011.

[4] 杨宗辉.侦查学方法论[M].中国检察出版社，2004.

[5] 杨永川.计算机犯罪侦查[M].清华大学出版社，2006.