本文關(guān)鍵詞：計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)，由筆耕文化傳播整理發(fā)布。

計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)的研究

劉蓉 張昕 長(zhǎng)沙公安局 410000

摘要：計(jì)算機(jī)取證具有特殊性，我們要對(duì)計(jì)算機(jī)取證以及計(jì)算機(jī)證據(jù)有深入了解，才能更好的開(kāi)展工作，本文就如何確保計(jì)算機(jī)證據(jù)采集的標(biāo)準(zhǔn)性、真實(shí)性與合法性所使用的相應(yīng)技術(shù)方法進(jìn)行的了探討，并且就現(xiàn)今計(jì)算機(jī)取證可能出現(xiàn)的問(wèn)題以及計(jì)算機(jī)取證將來(lái)發(fā)展形勢(shì)作出了研究。

關(guān)鍵詞：發(fā)展 研究 計(jì)算機(jī)證據(jù) 犯罪

伴隨著科技的發(fā)展，時(shí)代的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)也得到了迅猛的發(fā)展，在信息快速傳播的今天，計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患也越來(lái)越需要我們重視，根據(jù)近些年我國(guó)CNCER/CC的調(diào)查顯示，不僅江蘇省網(wǎng)站受到攻擊的次數(shù)明顯增加，被入侵以及被控的計(jì)算機(jī)數(shù)目龐大，政府機(jī)關(guān)官網(wǎng)以及網(wǎng)絡(luò)發(fā)布的信息被修改事件發(fā)生的頻率也越來(lái)越高。對(duì)此，我們需要制定完善的網(wǎng)絡(luò)法制法規(guī)以及使用合理的技術(shù)控制手段，以此來(lái)解決計(jì)算機(jī)網(wǎng)絡(luò)日益惡化的信息安全問(wèn)題。本文就計(jì)算機(jī)動(dòng)態(tài)和靜態(tài)取證，以及計(jì)算機(jī)網(wǎng)絡(luò)取證將來(lái)發(fā)展的趨勢(shì)展開(kāi)了分析與研究。

一、計(jì)算機(jī)取證過(guò)程

計(jì)算機(jī)進(jìn)行證據(jù)提取是指對(duì)計(jì)算機(jī)進(jìn)行入侵、竊取、詐騙、控制、破壞等等一系列行為，使用計(jì)算機(jī)硬件或者軟件上的技術(shù)，按照正規(guī)法律程序的流程，對(duì)法庭認(rèn)可的、有說(shuō)服力的、儲(chǔ)存在計(jì)算機(jī)或者相關(guān)網(wǎng)絡(luò)中電子信息數(shù)據(jù)進(jìn)行證據(jù)提取、傳輸、存儲(chǔ)、認(rèn)證與提交的一系列過(guò)程。計(jì)算機(jī)取證的本質(zhì)是對(duì)計(jì)算機(jī)軟件或硬件系統(tǒng)進(jìn)行檢測(cè)借此還原入侵控制系統(tǒng)事件過(guò)程。

通常來(lái)說(shuō)計(jì)算機(jī)取證這么六個(gè)步驟第一步是現(xiàn)場(chǎng)調(diào)查，進(jìn)行現(xiàn)場(chǎng)保護(hù)，搜索，尋找物理證據(jù)，具體實(shí)行需要到達(dá)現(xiàn)場(chǎng)，進(jìn)行現(xiàn)場(chǎng)保護(hù)調(diào)查，看證據(jù)能否取走，不能取走做好記錄，分析其原因，檢查計(jì)算機(jī)是否安全，比如；調(diào)查最后一次計(jì)算器啟動(dòng)情況，網(wǎng)絡(luò)信息記錄等等，然后關(guān)掉計(jì)算機(jī)，查看能否做鏡像處理，分析問(wèn)題發(fā)生原因，對(duì)已獲得信息數(shù)據(jù)進(jìn)行深入剖析，整理以及存檔，然后上交法庭。第二步是識(shí)別計(jì)算機(jī)獲取的證據(jù)，對(duì)已獲得證據(jù)進(jìn)行分門(mén)別類和分析獲得信

息方法。第三步是進(jìn)行數(shù)據(jù)傳輸，把已經(jīng)獲得的數(shù)據(jù)信息完整的保存到計(jì)算機(jī)取證分析儀器上面。第四步存儲(chǔ)數(shù)據(jù)，把原信息數(shù)據(jù)進(jìn)行原封不動(dòng)的保存，保證其完整性。第五步分析計(jì)算機(jī)取證，以可顯示方法分析，確保分析結(jié)果的精確度。第六步是按照相關(guān)的法律程序向有關(guān)部門(mén)提交證據(jù)。

二、計(jì)算機(jī)提取證據(jù)的技術(shù)

（一）計(jì)算機(jī)靜態(tài)取證

先要講到的是計(jì)算機(jī)主機(jī)靜態(tài)取證。在大多數(shù)犯罪案例當(dāng)中有黑客入侵計(jì)算機(jī)目的、作案使用工具以及犯罪信息數(shù)據(jù)儲(chǔ)存器三種角色。但是不管是哪一種角色，在計(jì)算機(jī)犯罪過(guò)程當(dāng)中都會(huì)遺留大量犯罪證據(jù)，計(jì)算機(jī)網(wǎng)絡(luò)靜態(tài)取證也叫做計(jì)算機(jī)醫(yī)學(xué)，是把計(jì)算機(jī)當(dāng)成犯罪場(chǎng)所，應(yīng)用先進(jìn)的科學(xué)技術(shù)，對(duì)其犯罪行為進(jìn)行解剖，通過(guò)計(jì)算機(jī)硬件上保留的信息，提起訴訟并作為呈堂證供。

靜態(tài)取證可以分為獲得物理證據(jù)與信息發(fā)現(xiàn)兩部分。獲得物理證據(jù)是進(jìn)調(diào)查人員到犯罪現(xiàn)場(chǎng)，發(fā)現(xiàn)并扣留有關(guān)的計(jì)算機(jī)犯罪設(shè)施；信息發(fā)現(xiàn)說(shuō)的是通過(guò)相關(guān)文件，日志等原始數(shù)據(jù)來(lái)發(fā)現(xiàn)的相關(guān)憑證，和別的證據(jù)一樣計(jì)算機(jī)證據(jù)也務(wù)必要具有可靠性、安全性，真實(shí)性等符合法律法規(guī)的特點(diǎn)。

復(fù)原計(jì)算機(jī)信息技術(shù)，這主要是把罪犯銷毀或者通過(guò)刪除的計(jì)算機(jī)軟件信息給還原回來(lái)。首先計(jì)算機(jī)是通過(guò)它硬件磁盤(pán)的表層磁性來(lái)保留記錄數(shù)據(jù)的，需要強(qiáng)調(diào)的是，在編寫(xiě)數(shù)據(jù)的時(shí)候，磁盤(pán)表面介質(zhì)不能徹底脫離最初狀態(tài)的影響。打個(gè)比方，如果我們把“1”編寫(xiě)到磁盤(pán)上，那么磁力強(qiáng)度就該是“1”，但是我們把“1”編寫(xiě)在原來(lái)是“0”的位置，我們所得到的介質(zhì)磁力強(qiáng)度將會(huì)是“0.95”左右，而本身是“1”的位置磁盤(pán)介質(zhì)強(qiáng)度大約就為“1.05”這樣。一般的磁盤(pán)會(huì)把兩個(gè)位置的值都認(rèn)定為“1”。但是我們利用類似磁盤(pán)顯微鏡的專業(yè)設(shè)備，就能通過(guò)這種技術(shù)手段，還原一層或兩層的原始數(shù)據(jù)。另外因?yàn)�，新改�?xiě)的數(shù)據(jù)幾乎難到達(dá)寫(xiě)在原有的一樣地方上精準(zhǔn)度，所以即便是經(jīng)過(guò)多次覆蓋，我們照樣可以通過(guò)磁盤(pán)顯微鏡這樣的技術(shù)給找出來(lái)。這樣的結(jié)論可以給調(diào)查注入更多可能，讓被格式化的數(shù)據(jù)恢復(fù)成為現(xiàn)實(shí)。

因?yàn)橛脖P(pán)格式化僅僅是把進(jìn)入過(guò)的文件表系統(tǒng)重新構(gòu)造。假如沒(méi)有格式化的時(shí)候硬盤(pán)上已經(jīng)有數(shù)據(jù)存在，那么在格式化之后，被格式化的數(shù)據(jù)依然會(huì)被硬盤(pán)

所記錄，另一方面格式化會(huì)引發(fā)另一個(gè)全新的列表，指向沒(méi)有分配的數(shù)據(jù)模塊。刪除文件的操作并不能在真正意義上把文件進(jìn)行徹底的刪除，而是把組成文件的數(shù)據(jù)簇還回到系統(tǒng)當(dāng)中。對(duì)于一般意義上的計(jì)算機(jī)寫(xiě)讀操作來(lái)說(shuō)，這些數(shù)據(jù)簇是看不見(jiàn)的，在目錄項(xiàng)也尋找不到，但是能夠從空閑列表當(dāng)中獲得。這變是計(jì)算機(jī)取證變得更加有效率了。

對(duì)于加鎖解密技術(shù)研究，計(jì)算機(jī)取證常常會(huì)碰到需要將加密數(shù)據(jù)解密的情況。在現(xiàn)階段使用的密碼技術(shù)有很多，就我國(guó)計(jì)算機(jī)取證方面主要涉及到的密碼技術(shù)有；密碼分析手段；密碼破解手段；窮舉破解這些方法。而口令搜索范圍涵蓋物理搜索或是邏輯搜索，從電子文檔之中搜索文明口令；網(wǎng)絡(luò)監(jiān)聽(tīng)，在網(wǎng)絡(luò)中尋找文明口令；進(jìn)行口令提取，然后進(jìn)行恢復(fù)口令，很多電腦系統(tǒng)口令基本都是按文明的形式在相應(yīng)的規(guī)定區(qū)域或是注冊(cè)表，可以在相關(guān)區(qū)域獲得口令，再用密碼鑰匙恢復(fù)機(jī)制在高級(jí)管理員處得到口令。

（二）計(jì)算機(jī)動(dòng)態(tài)取證

動(dòng)態(tài)取證是為了更好的完善網(wǎng)絡(luò)防御技術(shù)以及入侵檢測(cè)系統(tǒng)漏洞，把取證技術(shù)與防火墻相融合，把一切計(jì)算機(jī)的犯罪過(guò)程進(jìn)行及時(shí)數(shù)據(jù)的截獲和分析，科學(xué)的分析犯罪分子目的，采取積極有效的措施，在夠能保證自身系統(tǒng)安全的前提下，把計(jì)算機(jī)證據(jù)保存，鑒定，提交的過(guò)程。計(jì)算機(jī)動(dòng)態(tài)取證是在全方面獲得真實(shí)數(shù)據(jù)的同時(shí)，對(duì)犯罪分子的出發(fā)點(diǎn)，目的，作案方法進(jìn)行剖析，從而制定出積極有效的應(yīng)對(duì)方案，由外至內(nèi)形成安全防御體系。

計(jì)算機(jī)動(dòng)態(tài)取證的方法主要是根據(jù)網(wǎng)絡(luò)信號(hào)使用取證技術(shù)對(duì)犯罪分子進(jìn)行跟蹤，或者是經(jīng)由網(wǎng)絡(luò)信息數(shù)據(jù)分析獲得證據(jù)的方法。當(dāng)中涵蓋了IP、MAC地址跟蹤與識(shí)別技術(shù)、身份證鑒定技術(shù)、以及網(wǎng)絡(luò)監(jiān)聽(tīng)、漏洞掃描等手段。在當(dāng)下網(wǎng)絡(luò)犯罪趨勢(shì)直線上升的今天，計(jì)算機(jī)動(dòng)態(tài)取證在取證技術(shù)中有著不可替代的位置。

首先了解電子郵件動(dòng)態(tài)取證技術(shù)，電子郵件結(jié)構(gòu)簡(jiǎn)單，幾乎全是使用文本進(jìn)行存儲(chǔ)和發(fā)送，規(guī)定信息只能在中間系統(tǒng)進(jìn)過(guò)。信息的主要構(gòu)成部分是以字符構(gòu)成，頭信息含有發(fā)送以及接受地址。因此可以在文本發(fā)送信息路徑上進(jìn)行研究借此獲取信息。其次獲得IP技術(shù)，，可以獲得IP的技術(shù)多種多樣，主要有對(duì)ping命令的使用、還原混亂IP、使用掃描IP地址工具、通過(guò)區(qū)域服務(wù)器逆向查詢、

MAC硬件地址獲取以及ISP供應(yīng)商的地址提供以上手段都可以進(jìn)行IP地址的獲取。最后動(dòng)態(tài)取證也可以使用人工智能以及數(shù)據(jù)挖掘方式，計(jì)算機(jī)儲(chǔ)存量越多，網(wǎng)絡(luò)進(jìn)行傳輸?shù)男试礁摺?duì)于計(jì)算機(jī)存儲(chǔ)以及龐大的網(wǎng)絡(luò)傳輸量，可以根據(jù)學(xué)者發(fā)表的NFAT標(biāo)準(zhǔn)，按照其開(kāi)發(fā)的系統(tǒng)（ES），把其融入到檢測(cè)系統(tǒng)或者防火墻，對(duì)于網(wǎng)絡(luò)傳送的數(shù)據(jù)進(jìn)行分析以及發(fā)現(xiàn)的犯罪行為進(jìn)行證據(jù)提取。

三、計(jì)算機(jī)取證發(fā)展趨勢(shì)

計(jì)算機(jī)取證是根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)犯罪的出現(xiàn)而發(fā)展起來(lái)的，現(xiàn)在黑客所采用的技術(shù)和手段也越來(lái)越多種多樣，相對(duì)的我國(guó)所使用的計(jì)算機(jī)取證技術(shù)也應(yīng)當(dāng)?shù)玫较鄳?yīng)的提升，加入更多先進(jìn)技術(shù)，比如反向跟蹤、入侵鎖定、數(shù)據(jù)挖掘等等。務(wù)必要把這些取證技術(shù)融入到檢測(cè)系統(tǒng)與防火墻當(dāng)中，對(duì)于網(wǎng)絡(luò)安全實(shí)施動(dòng)態(tài)取證的技術(shù)開(kāi)發(fā)。首先現(xiàn)今網(wǎng)絡(luò)罪犯基本是無(wú)孔不入，通常除了計(jì)算機(jī)外，其他的存儲(chǔ)電子工具也成為這些犯罪分子的目標(biāo)，比如手機(jī)、局域網(wǎng)、平板電腦等等，而犯罪證據(jù)將以各種不同的形式留在以上所述設(shè)備之中，對(duì)此需要針對(duì)不同設(shè)備使用不同的取證方法。其次實(shí)現(xiàn)計(jì)算機(jī)取證的專業(yè)化與智能化提高，這樣可以大大加強(qiáng)計(jì)算機(jī)取證的工作效率。最后應(yīng)該建立標(biāo)準(zhǔn)化的計(jì)算機(jī)取證體制，隨著網(wǎng)絡(luò)科技的發(fā)展完善，對(duì)于網(wǎng)絡(luò)犯罪我們應(yīng)該及時(shí)采取措施，以便于計(jì)算機(jī)取證，比如設(shè)立計(jì)算機(jī)取證人員上崗資格、建立相應(yīng)的網(wǎng)絡(luò)法律法規(guī)等等，使網(wǎng)絡(luò)罪犯得到相應(yīng)的懲罰。

參考文獻(xiàn)：

[1]楊繼武.對(duì)計(jì)算機(jī)取證技術(shù)的一些探討[J].制造業(yè)自動(dòng)化，2012,34

（5）:67-69.83.

[2]顧艷林.計(jì)算機(jī)取證技術(shù)的運(yùn)用分析[J]中國(guó)管理信息化.2012,15(4):65-67.

[3]曾學(xué)軍.計(jì)算機(jī)取證技術(shù)的發(fā)展困境與前景[J].商業(yè)時(shí)代，2009，（28）：107-108

[4]王淼.探討計(jì)算機(jī)取證技術(shù)面臨的困難[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012，

（14）：39-40

  本文關(guān)鍵詞：計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)，由筆耕文化傳播整理發(fā)布。