浅析计算机取证技术

随着计算机技术的快速发展,计算机犯罪总量持续上升,计算机取证已成为司法人员面对的一大难题,也是网络安全领域研究的一大热点。本文介绍了计算机取证技术概念、特点、取证的原则、步骤以及所采用的技术和工具,讨论计算机取证中存在的问题。

浅析计算机取证技术贾宗平沙万中甘肃政法学院甘肃兰州 7 0 7 3 00

【 要】随着计算机技术的快速发展，计算机犯罪总量持续上升，计算机取证已成为司法人员面对的一大难题，也是网络安全领摘域研究的一大热点。本文介绍了计算机取证技术概念、特点、取证的原则、步骤以及所采用的技术和工具，讨论计算机取证中存在的问题。

【关键词】计算机犯罪计算机取证技术 中图分类号：TP 01文献标识码：B文章编号：1 0— 0 7 20 ) 8 2 9 0 3 0 94 6 ( 1 o—5 -1 o随着信息技术的迅猛发展，机不断普及到人们的工作与生活中，计算它在为人们带来方便的同时，也成为了犯罪分子的有力工具。近年来，计算机犯罪呈大幅上升趋势。有效地打击计算机犯罪，计算机取证 ( o ue C mp tr F rnis是一个重要步骤， oe s ) c作为计算机领域和法学领域的一门交叉科学， 的计算机取证工具。工具能够查找出有关计算机系统的很多信息，此并生成报告，括版本注册信息、间区域设定、包时网络信息、后关机时间、户最用

信息、软件信息、硬件信息、C PU信息、共享目录、系统服务、永久映像的磁盘等内容。

计算机取证正逐渐成为人们研究与关注的焦点之一。

() 2动态取证。动态取证需要计算机取证人员采用动态检测技术，将取证技术结合到防火墙、侵检测中，入对所有可能的计算机犯罪行为进行实时

1计算机取证的概念、特点关于计算机取证概念的说法，国内外学者专家众说纷纭 J dd U Ro bn￣ Ret l tNak、 e r e等人以及 Ne T c n lge b id1 ih Ci r L e Gab r、 n w eh oo is Ic r oae、 ANS公司均提出了各自的看法。者认为计算机取证 no p rtd S等】笔

数据获取和分析，智能分析入侵者的企图，在确保系统安全的情况下获取大量的证据。态取证中常用的技术有入侵检测技术、动蜜罐技术[、】陷阱 3 6、网络信息搜索与过滤技术、动态获取内存信息技术、P址获取技术等。 I地有 NI DS (网络入侵检测系统 )、Ho e p t P n y o

、B F、Bak fi rF in l、 c O f e re dy cS ce、 W i ee pe t r n t d、M a t a n r p、DTK、Se e b k、AN6、Ne Xr y、S fe t a nif r Pr o、n l o p、t a e t s o ku r c r、w ho s i、V/ u Ro t、S s m u e ame Sp d a e、Ne s s su、

是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术， 按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。计算机证据是存储有电子数据的电、、磁光记录物，这些电子数据是在计算机系统运行过程中产生的，并能够以其内容证明案件事实，它们可以转换为不同的输出表现形式。这就导致了计算机证据又与传统的证据有较大的区别：1计 ()算机证据具有较高的精密性、脆弱性和易逝性，2计算机证据具有较强的 ()隐蔽性；3计算机证据具有多媒体性，4计算机证据具有收集迅速、 () ()易于保存、占用空间少、传送和运输方便、可反复出现等特点。

Az ru等工具。 ues

5计算机取证存在的问题1取证工具的局限性。算机取证设备还存在不足。 .计当前许多取证分析软件并不能满足取证需要。目前开发的取证软件的功能主要集中在磁盘分析上，其他很多取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉；

2计算机取证的原则根据取证时证据的特性，机取证可以分为静态取证和动态取证。计算静

2计算机取证工作的程序没有标准和规范， .获取证据的过程没有严格的规定，计算机取证工作不具备权威性和科学性；使 3取证人员经验不足， .技术水平较低，导致取得的证据不具备可靠性；

态取证是指证据存储在未运行的计算机系统中或独立的磁盘等存储介质上。 静态取证主要是事后取证，已遭受入侵的情况下，在运用各种技术手段对被入侵计算机系统进行分析，获取攻击者的攻击证据。动态取证主要是实时取证，证据存在于网络数据流和运行中的计算机系统中，对计算机系统或网络现场进行监视获取证据，分析人侵者的企图，取实时电子数据[】无动态获 3。论是静态还是动态取证都必须遵守以下

原则： ()该尽早搜集电子证据。 1应 ( 证据的原始性。 ) (依法进行取证。 ) 3 (整 4个取证过程必须受到监督。5不要直接对原始数据进行分析，析数据的计 ()分算机系统和辅助软件必须安全、可信。 )整地记录对证据的获取、问、 (完 6访

4反取证技术的出现。 .反取证使取证调查无效，让取证工作的效果大打折扣；

5近年来的计算机犯罪的升级和多样化， .针对计算机取证方面的法律法规还很不完善；6计算机证据出示困难。 .

6结束语经过近几年的发展，算机取证技术在理论上和司法实践中都取得了一定计成果。但由于我国有关计算机取证的研究还处于起步阶段，技术水平与国外相

存储或者传输的过程，并对这些记录妥善保存以便随时查阅。

3计算机取证的步骤()算机犯罪现场的保护。 1计这是传统的取证过程也包含的步骤，是取证工作的前提和保障护目标计算机系统，结计算机系统，保冻避免发生任 何的更改系统设置、件损坏、硬数据破坏或病毒感染的情况。 ()证据的确定。找那些由犯罪嫌疑入留下的活动记录作为电子 2电子寻证据，定这些记录的存放位置和存储方式，到证据，定想要找的证据 确找确都储存在哪里。 ()取电子证据。不违反计算机取证原则的前提下，可能多地获 3获在尽

比还有一定差距；同时我国电子证据的相关法律仍不够健全，有待完善。随着科学技术的快速发展，计算机犯罪手段的不断提高，我们迫切需要进一步健全、规范计算机取证流程，加强计算机取证技术研究，制定和完善相关的法律法规。参考文献[] A o C m u e v d n e d f n dE/ L . 2 0— - ) h t: 1 nn o p t r e i e c e i e【B 0][ 0 5 1 1 . t p/ 0 0/ w f 61 c—i t . o1 w w. 0r 1 i n c 1 S S 1 1 .

[】徐宏斌. 2计算机动态取证技术研究[]贵州警官职业学院学报， 7 J. 20 0f) 8— .】 8 7 9

取数据信息，以便加以利用。 () 4分析证据及出示。在取证过程完成后，对取得的电子证据进行分析并做出详细报告，为公诉证据。作

(]鄢喜爱， 3杨金民.

于蜜罐技术的计算机动态取证系统研究【】微基 J.电子学与计算机， 1 () 15 1 2 1: - 0 00 3 4.[]张雁，英.计算机取证关键技术研究[]现代计算机，0 91) 4林 J. 2 0 (2: 26—28.

4计算机取证的工具及技术有效的取证工具是计算机取证工作顺利进行的有力保障，对于不同的取证形态应采用不同的工具和技术。

[]陈龙， 5王国胤 .计算机取证技术综述[]重庆邮电学院学报 ( J.自然科学版 ) 0 5 1 () 7 6 7 1,2 , 6: - 4 . 0 7 3

()态取证。态取证主要是事后对计算机存储设备中的数据进行保 1静静全、复、析，以常用的技术有数据保护技术、据恢复技术、盘镜恢分所数磁

[】刘东辉， 6王树明基于数据挖掘的计算机动态取证系统 f】微计算 J,机信息， 5 2 (卜 3: 8 . 2 0, 1 1 ) 8— 4 0 2

像拷贝技术、数据分析技术、隐藏数据识别和提取技术、磁力显微镜技术、

基金项目

加解密技术等。相应的取证工具有：硬盘复制机、取证分析计算机、 o tn N r oUtlte E s c v r i is i a y Re o e y, F n l Daa, i a t FTK EnCa ￣ For n o ki e mc To l t

甘肃政法学院青年项目(编号：0 7 q 0 3。 2 0g n 4 ) 作者简介贾宗平 (9 2,男，甘肃兰州人，肃政法学院公安分院，士。 1 8一)甘硕

TC Newok mo i r T、 t r nt镜像工具等。中E c s是目前使用最为广泛 o J其 n ae

21-8 00 0

中国电子商务

29 5

本文来源：https://www.bwwdw.com/article/4gi1.html