曹 敏

（山西警察学院，山西 太原 030021）

计算机取证技术及其发展趋势研究

曹 敏

（山西警察学院，山西 太原 030021）

计算机取证技术是计算机安全技术的重要组成部分，通过对嫌疑人计算机中的相应数据进行识别、获取、传输、保存、分析、提交和认证，从而呈现出可以被法庭认可的证据文件。该过程需要详细剖析计算机数据，只有具备了计算机取证和计算机证据专业知识，才能更好地开展工作。文章分别从计算机取证的定义、特征以及操作过程等方面进行介绍，并对计算机取证技术面临的问题以及发展趋势进行描述。

计算机取证；计算机数据；证据文件

伴随着计算机网络的迅猛发展，在信息快速传播的今天，很多计算机网络犯罪事件层出不穷，根据近些年来我国数据调查显示，网站被攻击次数明显程递增趋势，被入侵和被控的计算机数目也很庞大。不仅如此，政府机关官网以及网络发布信息被修改事件发生的频率也越来越高，所以，计算机网络安全隐患越来越受到人们的广泛重视。但是由于计算机网络的不稳定性以及虚拟性，很多计算机网络犯罪事件都找不到确凿、充分、有说服力的证据。所以，计算机取证技术就成为计算机网络安全工程科研工作者研究的热点问题，计算机取证技术的发展也越来越受到关注。

1 计算机取证的概述

1.1 计算机取证的概念

计算机取证也称计算机法医学，可以认为是运用计算机辨析技术，把计算机中和相关设备中的电子数据通过技术手段进行收集、提取和分析，使其转化为能够被法庭所接受，并且具有说服力的信息。用来计算机取证的操作工具必须经过专业认可，能够保证电子数据在提取固定过程中不被修改和破坏，从而确保了证据的客观性。

1.2 计算机取证的特点

与传统证据一样，计算机取证必须是可信、准确、完整、符合法律法规的，除此之外，计算机取证还有以下几个特点。第一，高科技性。在对证据进行扫描、提取、固定、分析的时候，必须借助科技含量很高的软硬件设备；第二，无形性。计算机取证不同于人工取证，计算机数据必须借助其他的输出设备才能看到结果；第三，人机交互性。计算机取证的整个过程，每个阶段都要有相关的专业人员参与操作，在操作过程中，或多或少均会影响到计算机系统；第四，磁介质数据脆弱性。由于电子数据容易被修改，并且不受时间地点的约束，被修改后不留痕迹，所以电子数据是易失性数据。第五，由于计算机技术和网络技术的飞速发展，电子数据的取证也需紧跟时代的步伐，无论从技术还是软硬件上，都要与计算机和网络的发展同步。

1.3 计算机取证步骤

一般说来，计算机取证技术可以通过以下6步来实施。

第一，保护现场不被破坏。工作人员进入现场进行勘察的时候，首先要进行物证据的获取，获取时需要通过封存目标检材，避免检材被修改和破坏，通过拍照和影像来记录现场资料，提取相关的物理证据，如现场指纹、毛发、DNA等证据。这项工作很重要，该步骤是后面其他环节的基础。第二步，获取证据。通过对获取电子数据的分析，获取更深层次的信息，并对信息进行汇总归类。第三步，鉴定证据。鉴定证据是要对证据的完整性进行分析，以确保该证据符合法律标准，可以作为证据呈现在法庭。由于计算机取证具有易修改和易损毁的特点，所以保证取证人员所搜集到的证据的原始性是计算机取证工作的难点之一，所以在取证过程中，工作人员要注意采取措施对证据进行有效保护。第四步，分析证据。分析证据是计算机取证的核心和关键，分析的对象包括：计算机类型、使用的操作系统、有无可疑外设、有无远程控制以及木马程序和当前网络环境。在分析过程中要把计算机证据和其他证据联系起来综合分析，尤其是它在整个证据链中的关联作用不能被忽视，以确保分析结果的精确度。第五步，进行追踪。前面几步可以说是静态取证，但是随着计算机网络犯罪技术的不断升级，静态取证已经不再符合当前计算机技术的发展趋势，于是，现在的计算机取证技术必须与相应的网络数据安全。网络技术架构等技术相互关联，综合动态地取证。考虑到网络入侵技术的迅猛发展，利用入侵检测系统进行动态取证也越来越被重视。第六步，提交结果。通过对目标计算机的取证分析得出客观结论，按照相关法律部门的要求将检材数据以证据的形式提交相关部门。

2 计算机取证技术的局限性

近年来，计算机取证技术的发展取得了重大成果，但由于计算机和网络的发展迅速和电子数据本身具有的特殊性，在实际取证过程中计算机取证技术还存在着很大的局限性，现如今的取证技术还处于理想化状态，存在着很大的漏洞。

2.1 办案人员计算机取证意识有待提高

从目前案件的侦破形式来看，在侦破不同形态的犯罪活动过程中都多少用到了计算机取证技术。假设相关犯罪人员得生活方式过于依赖于计算机网络，那么会给计算机取证工作带来非常便利的条件，但是另一方面会对办案人员的要求也会成倍增加，尤其是在一线的办案人员的计算机取证意识还需要加强。此外，计算机取证技术需要专业性人才，但是我国目前在计算机取证人才培养方面并没有给予足够的重视。

2.2 计算机取证软件和设备还相对落后

由于我国计算机取证技术起步较晚，所以，和发达国家相比，我国的计算机取证技术研究还有很大差距，在某些方面的取证还有一定的困难，阻碍了案件的侦破。目前我国研发计算机取证软件的机构相对比较分散，研发成果不能得到及时的应用，另外，国内自主研发的一些替代产品的主要性能和操作性与发达国家产品相比也存在一定的差距。

2.3 反取证技术的衍生和发展

伴随着计算机取证技术的不断发展，反取证技术也悄然出现。反取证技术的发展意味着计算机取证工作不单是对已找到的存储介质进行提取和分析证据，还必须对其做大量的数据恢复和数据解密等工作。目前反取证技术主要包括数据加密、数据擦除和数据隐藏三大类，一旦反取证技术被犯罪嫌疑人运用到犯罪中的话，那势必会给案件侦破工作带来巨大的困扰。

3 计算机取证技术的发展趋势

计算机取证是随着计算机网络犯罪的出现而发展起来的，随着科技的不断发展，黑客攻击的技术和手段也是多种多样，相对应地我国计算机取证技术也得到提高，计算机取证技术还有很大的发展空间。

3.1 向专业化和自动化方向发展

计算机取证工作相对来说对专业知识的要求比较高，涉及的知识面比较广泛，所以，计算机取证工作对人工极其依赖，对人力资源的需求量比较大，不仅降低了取证速度，而且取证结果也缺乏可靠性。所以，结合计算机领域内的其他理论和技术来代替大部分人工操作，将计算机取证技术向专业化、自动化、智能化方向发展变得尤为重要。

3.2 向标准化方向发展

虽然很多机构和组织投入大量的人力对计算机取证进行了研究，并且也已经开发研究出了大量的取证工具，但是由于各地经济发展水平不同，这就产生了不同的标准和管理规定，导致不同软件的使用者定义的标准也不一样，不能全面地了解和比较取证工具的有效性和可靠性。此外，我国目前尚未具备认证计算机取证人员资质的相关政策，所以，计算机取证的结果还缺乏一定的权威性。所以，制定统一的评价标准，并且对取证机构以及工作人员进行资质审核，规范取证工作的操作是非常必要的。

3.3 取证技术的相关法律向完善化发展

虽然计算机取证技术的探索研究一直都处于不断发展过程中，但对于计算机取证技术相关的法律法规是微乎其微，另外，在对于电子证据作为诉讼证据的形式和方法也是颇有微词。所以相关部门抓紧制定并完善计算机取证技术相关的法律法规也是一个亟待解决的问题。

4 结语

本文通过对计算机取证技术进行简单的概述，可以知道，现如今计算机取证技术在飞速发展，是一个不断成熟的研究领域，在消费者保护和调查犯罪方面有着广泛的应用前景。仅仅依靠网络安全技术已经很难适应当前复杂多变的计算机犯罪形式。所以，在提升计算机取证技术的同时也要借助社会道德的力量来引导社会公众加强自我保护意识，从各方面防范网络犯罪。

[1]顾艳林.计算机取证技术的运用分析[J].中国管理信息化，2012（4）：65-67.

[2]丁丽萍，王永吉.计算机取证的相关法律技术问题研究[J].软件学报，2010（12）：120-125.

[3]王玲，钱华进.计算机取证技术及其发展趋势[J].软件学报，2003（9）：1635-1644.

[4]王淼.探讨计算机取证技术面临的困难[J].计算机光盘软件与应用，2012（14）：39-40.

Research on computer forensics technology and its development trends

Cao Min
（Shanxi Police College, Taiyuan 030021, China）

Computer forensics is an important part of computer security technology. It presents evidence document accepted by the court by the way of identifying, acquiring, transmitting, preserving, analyzing.submitting and certificating the corresponding data from the suspects’computers. Such process acquires the specific analysis on the computer data. And only if it has been well equipped with the professional knowledge in the field of computer forensics and computer evidence, this process could carry out better job. This paper introduces the concept, characteristics, operation processes of computer forensics, and then discusses the limitations of the current computer forensics and future development trends.

computer forensics; forensic technology; development trends; evidence document

2016年度校级青年研究课题；项目编号：2016YQN020。

曹敏（1983— ），女，山西太原，硕士，讲师；研究方向：电子数据取证。