计算机取证和防范计算机犯罪技术研究.docVIP

计算机取证和防范计算机犯罪技术研究 　　摘要：当前利用计算机进行犯罪的活动日益猖獗，造成的危害越来越大，从侵犯个人隐私，到网上非法提取他人存款到利用网络进行诈骗，以及大量的电脑入侵等问题层出不穷。如何获取与计算机犯罪相关的电子证据，将犯罪分子绳之以法，已成为司法和计算机科学领域中亟待解决的新课题，因此计算机取证技术的研究逐渐成为大众关注的焦点。 　　关键词：计算机取证；计算机犯罪 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)32-1061-02 　　 　　1 计算机犯罪的定义 　　 　　计算机犯罪是伴随着电脑和网络而逐渐发达而出现的。我国相关法律规定以下行为属于计算机犯罪：故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统；利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏；制作、传播计算机病毒，影响计算机系统正常运行且造成严重后果；利用计算机手段进行诈骗，非法集资等诸多行为。 有以上看出，计算机的犯罪无非两种方式，非法盗取机密信息和利用计算机作为作案的工具。 但是计算机犯罪主体一般呈专业化，智能化，多样化的特点，所采取的手段比较隐蔽，因此加大了计算机犯罪的侦查难度。正因为如此，计算机取证技术对于有效打击计算机犯罪来说是一个最为重要的武器，因为存在于计算机及相关外围设备(包括网络介质)中的电子证据可以成为新的诉讼证据之一。 　　 　　2 计算机取证过程 　　 　　计算机取证，顾名思义就是从计算机上提取相关犯罪行为的证据。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。从程序上讲，计算机取证是按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。而犯罪的信息一般又是以物理的计算机为载体的，因此计算机取证又可以分为两部分：物理的和信息方面的。前者指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；后者指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。 　　相对而言，物理取证的技术难度要小很多，但是这是获取计算机犯罪证据的必要前提。因为一旦犯罪信息的载体消失了，则很难提取到相关犯罪信息。物理取证要尽量保证原始数据不受任何破坏，遵循的原则应如下：不要给犯罪者销毁证据的机会；不要改变原始记录； 妥善保存得到的物证；详细记录所有的取证活动；不要在作为证据的计算机上执行无关的操作。 　　由于犯罪的证据还可能存在于数据文件、系统日志、交换区、空闲的磁盘空间、打印机缓存、隐藏文件、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置，因此应尽量保存缓存中的信息，收集到更多更全面的信息。 　　物理取证结束之后，就是对存在于计算机中的信息进行提取的过程。该过程的难度要打很多，因为计算机犯罪一般都有一定的计算机知识，知道如何抹掉证据，如入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉，或者尽量删除或修改日志文件及其它有关记录。但是一般的删除文件操作，即使在清空了回收站后，若不将硬盘低级格式化或将硬盘空间装满，仍可将“删除”的文件恢复过来。因此这就为计算机犯罪证据的提取提供了可能。提取到证据后，下一步的工作就是搜寻关键证据，或者叫分析证据，删除无用的信息。而事实上，当今的取证工具还比较缺乏，另外计算机犯罪证据的提取本身也是一个智力度较高的工作，人才比较稀缺。因此信息发现的结果很大程度上依赖于取证专家的经验以及知识的积累。这就要求一个合格的取证专家要对信息系统有深刻的了解，需要掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据，这与侦查普通犯罪时法医的角色没有区别。 　　 　　3 计算机取证工具Encase 　　 　　计算机取证，必须借助于专门的计算机软件，常见的有Encase，NFR，tcpdump，honey pot，镜像工具等多种工具。相比较而言，Encase是目前使用最为广泛的计算机取证工具， 它是用C++编写的容量大约为1M的程序，能够调查Windows，Macintosh，Linux，Unix或DOS机器的硬盘，把硬盘中的文件镜像或只读的证据文件。计算机犯罪人员惯用的招数就是 　　修改数据而使其成为无效的证据。而Encase可以确定镜像数据与原的数据是否相同。它的工作方法是与计算机CRC校验码和MD5值进行比较，对硬盘驱动镜像后重新组织文件结构，采用Windows GUI显示文件的内容。同时Encase允许调查员使用多个工具完成多个任务。Encase在检查一个硬盘驱动时,会深入操作系统底层查看所有的数据――包括file slack,未分配的空间，Windows交换分区