杜 威，彭建新，杨奕琦

(广东警官学院 计算机系，广东 广州 510232)

一、引言

随着网络信息技术的迅猛发展，针对计算机网络信息的犯罪形式 (如网络侵犯知识产权、网络恐怖、网络报复、网络赌博、网络欺诈等)也日趋增多。与一般的社会犯罪形式不同，网络犯罪是一种新兴的高技术犯罪，很多犯罪证据都以数字形式通过计算机或网络设备进行存储和传输。这些数字形式的犯罪证据通常与海量的正常数据混杂，难以提取且易于篡改、销毁。

作为计算机领域和法学领域的一门交叉性学科，网络电子证据取证与反取证技术正逐渐成为人们研究与关注的焦点。近几年来，我国成功组织了4次全国计算机取证技术峰会，在取证理论、取证技术、数据分析技术、反取证技术、取证业务法律、司法实践等方面不断完善和创新，但网络电子取证无论是立法还是技术的研究与发达国家相比还有很大的差距。如何采用科学的技术手段从多数据源收集、鉴别、调查、分析电子证据，并能够为法庭提供具有客观性、关联性和合法性的电子证据从而能更加有效地打击和遏制网络犯罪，这就是网络电子证据取证技术所需要研究的内容。

二、网络电子证据的概念

网络电子证据是指在网络设备和软件中以电子形式表现出来的，能够证明案件事实的一切材料。所谓电子形式是指以介质的、数字的、电磁的、光学的或类似性能的相关技术形式保存于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的一切数据或信息。在司法实践中，网络电子证据主要包括电子邮件、BBS(电子公告栏)、网页、链接、网上聊天记录 (E－chat)、电子签名、电子数据交换(EDI)、系统文件及日志等。［1］

三、网络电子证据取证特点

由于网络电子证据是通过网络进行传输的网络数据，其存在形式是电磁或电子脉冲。同时，网络电子证据又具有表现形式的多样性、存储介质的电子性、准确性、脆弱性、海量性及分散性等特点，因此网络电子证据必须通过专门工具和技术来进行正确的提取和分析，使之具备证明案件事实的能力。

在网络电子证据取证的过程中需要着重注意以下几个方面的特点［2］:

1.嫌疑网络的结构及系统配置，包括网络服务器、工作站、交换机等硬件及网络操作系统、有关的应用软件的名称和版本等信息。

2.在网络取证的过程中不要仅局限于本地计算机中的数据，要着重注意网络设备中的数据报或数据流。

3.网络电子证据取证的过程是动态的。由于网络电子证据的数据是动态地进行传输，因此为满足证据的实时性和连续性，网络电子证据取证也必须是动态的。

4.网络电子证据取证有时是分布式的。由于网络证据的分散性，网络电子证据取证有时需要部署多个联动的取证点或取证代理，从而保证了电子证据的完整性。

5.在实现方式上，网络电子证据取证通常与网络监控技术相结合，例如入侵检测技术和蜜网技术，利用网络监控技术激活取证系统实现自动取证。

四、网络电子证据取证技术

网络电子取证就是指对能够为法庭接受、足够可靠和有说服性的，存在于计算机网络和相关设备中的电子证据的确认、保护、提取和归档的过程。由于电子证据自身特殊的特点，在取证的过程中必须保持数据的原始性、真实性和合法性，同时在取证技术及相关辅助设备上也必须可靠、可信。

网络电子取证从取证的过程上可分为静态取证和动态取证。静态取证是针对网络系统以及相关设备中的文件、日志等静态数据的分析取证过程;动态取证是将取证技术结合到防火墙、入侵检测技术以及蜜罐技术中，针对存在于网络数据流和运行于计算机系统中的数据进行实时动态监控和智能分析，在确保系统安全的情况下获取嫌疑人的犯罪证据。

1.IP地址获取技术

使用Ping或Traceroute命令，Ping命令通过向目标主机发送echo_request请求数据报并监听ICMP应答，并且可以通过Traceroute命令可以获知信息从源主机到互联网另一端的目标主机所通过的路径参数，如测试时间、设备名称及其IP地址等。

2.网络数据截获技术

网络数据包截获技术适用于动态即时取证的情况。即嫌疑人在进行网络犯罪的同时，侦查人员采用技术手段截获对方的犯罪证据，通过对截获的电子证据分析并将其呈交法庭，达到认定犯罪、确定犯罪嫌疑人的目的。该技术主要运用于网络传输中，利用“抓包工具”等相关的软件或命令可实现对防火墙、主机、网络管理设备、网络监控设备等网络设备中嫌疑数据的截获。目前常用的捕获嫌疑数据工具是嗅探器 (Sniffer)，如Windows平台上的Sniffer工具:Netxray和Sniffer-Pro软件;Linux平台中的TCP Dump等，可以根据使用者的定义对网络上的数据包进行截获并进行分析。

3.数据恢复技术

数据恢复就是将遭受到有意或无意破坏的数据还原为正常数据的过程。嫌疑人在实施网络犯罪行为后，通常会采取格式化磁盘或删除相关文件的方式来毁灭证据，所以要想找到犯罪的证据就必须对已格式化的磁盘或已被删除的文件进行恢复和重建［3］。其实，磁盘的格式化只是对用于访问文件系统的各种表进行了重新构造，同时创建一个新的空索引列表指向未分配的簇，因此，在格式化后，磁盘上原始数据并没有被删除。同样，删除文件也不是真正的把数据消除掉，只是把存放数据的簇释放出来，放入未分配空间里面。这样，我们可以使用取证软件或工具软件，例如TCT(The Coronor’s Toolkit)、Encase、FTK(Forensic Toolkit)、Final Data等，突破系统的寻址和编址方式，重新找到那些没有被覆盖的簇并合成原来的文件。

4.数据挖掘技术 (Data Mining)

数据挖掘是一种特定应用的数据分析、知识发现的过程，可以从包含大量冗余信息的数据中提取出尽可能多的隐藏知识，从而为做出正确判断提供依据。数据挖掘的主要功能有关联分析、分类、聚类和偏差分析等功能，每一种功能都可根据取证的不同要求为网络取证所用。在对网络电子证据进行分析、挖掘之前，需将电子证据相关属性和相应的法律条文、证据规则进行形式化描述形成网络证据采集规则，根据采集规则在网络设备上采集的数据经过数据清洗及预处理后就可以形成数据挖掘技术能够分析和应用的数据集［4］。在实际应用中，数据挖掘技术可以从海量网络数据中对犯罪行为的入侵时间、IP地址、文件属性、日志、犯罪特点等进行分析和跟踪，并能有效挖掘潜在的犯罪行为［5］。

5.IDS取证技术

入侵检测系统 (IDS)的主要作用是对网络或系统的运行状态进行监视，识别针对计算机系统和网络系统的非法攻击。由于IDS是能提供实时攻击信息的最好工具，因此IDS新的应用方向就是在检测到非法入侵或恶意行为时利用入侵检测系统收集电子证据，对主机上的日志信息、异动信息，甚至是网络流量变化等进行分析，并做出快速响应。

6.蜜阱取证技术

蜜阱 (Honeytrap)是包括蜜罐 (Honeypot)和蜜网 (Honeynet)等以诱骗技术为核心的网络安全技术［6］。蜜罐的方法是构造一个虚拟的系统、服务或环境以诈骗攻击者对其发起攻击。在攻击者不知情的情况下，取证系统就潜伏在系统中记录下攻击者完整的攻击流程、路径等对取证极为有利的信息。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没，系统安全防护人员无法得到诸如嫌疑人、攻击目的、攻击方法、时间等重要信息。而蜜罐进出的数据大部分都是攻击流量，技术人员查询、分析攻击者的实际行为也就容易多了。因此蜜罐技术使得取证工作更加容易，因为它大大减少了所要分析的数据。蜜网是蜜罐技术的高级形式，它是在一台或多台蜜罐主机的基础上，结合防火墙、路由器、入侵检测系统等设备面形成的网络系统。蜜网技术关注、捕获及控制所有进出网络的数据，能够采取有效的防范措施保护网络。当网络犯罪行为发生时，可以利用这些捕获的数据来监视入侵者的行径、策略、工具和目标，从而自动收集相关的电子证据，实现实时网络取证。

此外，用于网络电子证据取证及证据分析的技术还有日志分析技术、恶意代码技术［7］、数据监控技术、扫描技术等，这些技术对于网络取证及证据分析也有很重要的作用。

五、反取证技术

在网络取证技术蓬勃发展的同时，反取证技术也在快速发展。所谓网络反取证技术，就是通过数据隐藏、数据删除、数据加密等计算机技术删除、隐藏、加密涉案电子证据，抹除作案痕迹［8］137－143。网络反取证的目的在于对抗网络取证，以使不法行为逃避法律的制裁。

1.数据隐藏

数据隐藏是指嫌疑人把暂时不需要删除的文件进行伪装并存储在不容易被取证人员察觉的位置或磁盘的隐藏空间中，逃避取证人员的调查。数据隐藏仅适用于短期的数据保存。数据隐藏主要包括:文件的隐藏、磁盘的隐藏、“我的电脑”的隐藏、“回收站”的隐藏等。

文件的隐藏可以通过更改后缀名或将其属性改为“隐藏”属性的方法实现，磁盘的隐藏、“我的电脑”的隐藏、“回收站”的隐藏等可以通过修改注册表中相关对象的属性值来实现。

2.数据删除

数据隐藏只有在取证人员不知道到哪里寻找证据时才有效，而数据删除则清除所有的证据。数据删除是目前最有效的反取证方法，它是指清除所有可能的证据索引节点、目录文件和数据块中的原始数据。倘若原始数据不存在了，取证自然就无法进行。

文件删除的主要原理是采用多次覆盖的方法来达到完全删除重要文件的目的，即在目标文件所在的硬盘扇区上反复多次写入无用的数据，并进行多次地覆盖，从而达到使得调查取证人员无法获取有用信息。比较常见的彻底删除软件有CleanDiskSecurity、File Pulverizer(文件粉碎机)、Privacy Expert、Necrofile、Klismafile、 Deganussers等等。使用这些软件对文件进行删除之后，文件将不能再被恢复。

对于一般的文件记录或历史信息的删除方法可以采用手动删除法，也可以采用一些软件工具进行删除。常见的软件工具有Yahoo助手、卡卡上网安全助手、360safe，Windows全能优化王、Windows优化大师等。

3.数据加密

数据加密技术原本是为保护数据安全，防止信息泄密而研发。数据加密技术广泛应用于商业、军事、信息、安全等领域，由于加密后的数据往往很难被破解，所以加密技术也常常被嫌疑人用于逃避网络取证。反取证中涉及的数据加密技术可分为文件的加密、应用程序 (软件)的加密和磁盘加密三类。

对于文件加密的常用方法一方面可以采用某些文件 (如Office、WPS、压缩文件等)本身所具有的加密功能进行加密，如Office中的“工具/选项/安全性”可以对本文件进行加密处理;另一方面也可以对文件采用软件加密法，软件加密操作简单而且加密后一般不易破解。常见的优化大师、文件加锁王、加密金刚锁、Steganos Security Suit等都具有加密的功能。以上两种加密方法可以结合使用，从而给文件加上双层密码，这样一来破解密码的难度增加，一般的解密软件很难将此加密文件解密。

六、小结

虽然反取证技术的应用会对取证造成很大的威胁，并可能造成严重的后果。但取证技术和反取证技术的发展是相辅相成的，反取证技术是取证技术的练兵场，为取证技术提供了发展方向。只有清楚地掌握反取证技术的特点及可能造成的后果，才能更加有效地促进取证技术的发展，取证技术人员才能开发出更加完备、高效地取证工具和技术，并找出入侵者利用反取证技术破坏的犯罪证据，最终将其绳之以法。

［1］李苹，陈立毅．刑事电子证据的收集与运用问题研究［J］．贵州警官职业学院学报，2009，(4):54－60．

［2］张俊，麦永浩，张天长．论黑客入侵的网络取证［J］．警察技术，2006，(4):21－23．

［3］游君臣，彭尚源．基于数据恢复技术的计算机取证应用 ［J］．甘肃科技，2005，(9):53－55．

［4］董晓梅，王大玲，于戈，等．电子证据的获取及可靠性关键技术研究［J］．计算机科学，2004，(6):143－145．

［5］张基温，魏士靖．关联规则技术在计算机犯罪取证中的应用 ［J］．微计算机应用，2007，(7):776－779．

［6］蒋平，杨莉莉．电子证据 ［M］．北京:清华大学出版社，2007．

［7］王晓平．恶意代码的入侵检测技术研究 ［J］．哈尔滨职业技术学院学报，2010，(3):124－125．

［8］殷联甫．计算机取证技术［M］．北京:科学出版社，2008．