浅析计算机取证技术应用及其局限性

 摘 要:本文通过队计算机取证技术特点以及在现在社会当中的普及与应用做了简要评析,并根据目前现阶形式分析了现有取证技术可能碰到的问题和局限性做出个人预判,希望能为取证技术的成熟与完善提供一定程度的参考。 
  关键词:计算机取证;网络犯罪;动态取证;反取证技术 
  中图分类号:TP399 
  1 什么是计算机取证 
  计算机取证(Computer Forensics)是指以计算机技术为基础,对计算机违法犯罪行为进行收集、分析、取样,并根据已确认的事实依据对犯罪嫌疑人进行诉讼量刑的过程。简而言之就是对计算机犯罪嫌疑人犯罪行为证据的收集技术。从计算机技术角度来说,计算机取证技术包含了对计算机系统的扫描、破解、数据还原、深度分析、加密解密、暴力破解等技术手段。整个过程我们可以看作是对计算机犯罪行为的还原。这就要求取证的数据必须成为证据必须是真实可信的。因此,是计算机取证技术在打击计算机犯罪和计算机网络犯罪作用中十分关键。这种种要求决定了计算机取证技术是一门计算机、刑侦、国家法律法规相关一系列学科的综合性学科,这门学科将被用于计算机犯罪的认定,责任认定,违法犯罪认定等问题的关键。 
  2 计算机取证技术的主要特点 
  计算机取证技术是基于电子计算机的,因为也可以看作是数字取证和电子取证。从技术特征来看,计算机存储设备(包含硬盘、光盘、移动存储设备等)是犯罪的最终现场,也是收集证据的核心区域。取证过程中所需的数据、编码、审核记录都需要进行现场保护、数据确认、信息收集、证据提取、已经整理归档过程。但由于电子数据的特殊性、多样性,也给收集取证带来了一系列问题。 
  电子数据形式多样,现阶段电子数据往往以多媒体形式出现,包含了文本、图形、图像、动画、音频、视频等多样的表现形式。与传统证据相比,电子证据同样需要可信、准确、完整、合理、不可抵赖、符合法律规定的。但与此同时,电子证据由于其特性,又有如下特点: 
  (1)电子证据易修改:电子数据本身修改是很容易的,而且被修改很难被察觉。 
  (2)电子证据的虚拟性:电子证据本身是电子数据,都是由计算机系统虚拟出来的,本身取证区别于真实环境取证,有一定难度。 
  (3)电子证据对于硬件的依赖:电子数据都是基于相关硬件平台才能够生存的,硬件平台的状态直接影响电子证据的可靠与完整。 
  (4)电子证据容易受人影响:人贯穿于电子数据操作的始终,人的操作对于数据有直接影响。人的影响往往会影响电子证据最终的结果与效力。 
  电子证据来源主要有数据存储、系统日志、审核记录、防火墙日志、入侵检测记录、网络监控记录数据库访问记录、数据库操作记录、电子邮件记录、账号历史访问记录、会话记录、浏览器数据缓冲,书签、历史记录。电子证据的提取主要包含了电子数据鉴定、电子数据检查、信息数据对比、数据存储与保护、数据分析和电子证据提取。这些方式或贯穿于整个计算机取证过程的始终。 
  3 动态取证技术 
  动态取证技术因为静态取证技术涉及到基础研究,我们传统的对计算机现有数据进行取证的常规技术手段都可以称为静态取证。静态取证所设计的技术手段大多适用于动态取证。但动态取证在原有基础上海增加了网络追踪识别取证、入侵检测事件取证、信息收集过滤取证、网络蜜罐陷阱设置取证、动态获取内存信息取证、人工智能与数据挖掘取证等新的技术手段。但是针对于动态取证方式,反取证技术也进行了升级和发展。反取证技术除包含了以上所提的相关技术外,还增加了数据转移修改、数据混淆技术、防止数据收集创建、以及各类黑客攻击技术等,这些技术可以单独使用也可以混合使用,这些技术的使用在一定程度上给取证人员带来了一定的困难。 
  4 计算机取证技术的局限性 
  基于取证技术是近年来得利于计算机技术发展而取得了巨大进步。但是在现阶段实际计算机取证过程中还存在着一些缺陷和短板。之前讨论的技术都在理论实验环境中进行。在现实取证过程中一次成功的取证必须具备几个条件: 
  (1)有关的犯罪证据电子证据没有被覆盖修改。 
  (2)取证软件能清楚完整的读出并能够获取相关证据。那么在实施过程中,这些效果也会有不尽如人意的地方。反取证技术会针对取证技术的特点来采取相应的对策来给取证增加重重困难。反取证其根本目的是破环现场、消除证据、隐藏犯罪过程。反取证在技术上基本要实现:电子证据清除、行踪隐藏、数据加密解密等。那么这些手段是从根本上是阻止电子证据的获取,颠覆各种线索,最大限度地隐藏自身。本身取证技术的发展也会促进反取证技术的快速发展。 
  反取证技术与计算机取证研究相比,人们对反取证技术的研究相对较少。因此我们更难了解反取证技术的实施过程。例如:数据电子证据的清除。是指清除所有可能的证据(包括索引节点、目录文件和数据块中的原始数据等),包括索引节点、目录文件和数据块中的原始数据等。一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。目前最极端的数据擦除工具是Data Security Inc开发的基于硬件的degaussers工具,该工具可以彻底擦除计算机硬盘上的所有电磁信息。其它用软件实现的数据擦除工具既有商业软件包,也有开放源代码的自由软件,其中最有名的是基于UNIX系统的数据擦除工具The Defiler?s Toolkit,The Defiler?s Toolkit提供两个工具来彻底清除UNIX类系统中的文件内容。由于原始数据不存在了,取证自然就无法进行。 
  5 结束语 
  由于计算机取证技术自身存在局限和缺陷,同时计算机犯罪技术先进无孔不入,现阶段的计算机取证技术总会在不久的将来会无法满足相关的计算机取证的要求。现阶段取证过分依赖于磁盘分析技术,而具体工作实施有依赖于极为少数具备相当取证经验的专业技术人员。电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。 
  但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。伴随着技术限制和人本身的错误感觉,难免会对取证的准确性权威性有巨大影响。但毕竟计算机取证时一个新兴的计算机技术学科,随着计算机理论技术的不断发展和进步,取证技术也必将有更加快速良好的发展。目前计算机取证在我国起步较晚,但是在较短时间取得的成绩就足以证明计算机取证技术的未来必将是美好的。因此我们有理由期待国家相关部门会给予它足够重视,使专项计算机取证机构引领取证的技术水平能够健康稳步的提升。