您现在的位置是:免费论文网 >>免费论文范文

浅议计算机证据的提取_计算机应用论文

免费论文网21人已围观

简介摘要:近几年来,随着计算机技术的快速发展普及,计算机已成为人们工作、生活中不可缺少的部分,与此同时,利用计算机的犯罪层出不穷。对利用计算机的犯罪在侦查、取证、鉴定、采信等各个环

摘要:近几年来 ,随着计算机技术的快速发展普及  ,计算机已成为人们工作、生活中不可缺少的部分 ,与此同时 ,利用计算机的犯罪层出不穷 。对利用计算机的犯罪在侦查、取证、鉴定、采信等各个环节上都不同于传统犯罪 ,司法工作者也面临着新的挑战  。本文针对当前计算机犯罪难提取、难固定的现状  ,对在windows系统中常见计算机证据的提取进行分析  ,并探讨有效获取计算机证据的方法  。
  关键词:计算机证据;本机证据提取;网络证据提取
  中图分类号:TP316.7 文献标识码:A文章编号:1007-9599 (2011) 20-0000-02
  Computer Evidence Extraction Study
  Wang Yong
  (Nanjing People's Procuratorate,Nanjing210004,China)
  Abstract:In recent years,with the popularity of the rapid development of computer technology,computers have become the way people work,an indispensable part of life,at the same time,the use of computer crime after another.The use of computer-related crime in the investigation,evidence collection,identification,and other links on the admissible are different from the traditional crime,justice workers are also facing new challenges.This is difficult to extract for the current computer crime,hard fixed the status of the common computer in the windows system to analyze the extraction of evidence,and to explore effective access to computer evidence.
  Keywords:Computer evidence;The machine evidence extracting;Network evidence extracting
  我国著名的法学家何家弘认为:“就司法证明方法的历史而言  ,人类曾经从‘神证’时代走入‘人证’时代;又从‘人证’时代走入‘物证’时代  。也许  ,我们即将走入另一个新的司法证明时代  ,即电子证据时代”[1]  。可见 ,电子证据目前已经成为一种全新的证据形式出现在司法实践中  ,并且将越来越多 ,越来越重要  。作为电子证据中的计算机证据也越来越受到重视和关注  。
  一、计算机证据概述
  (一)计算机证据的概念 。对于计算机证据的概念  ,尚未形成统一的认识  ,存在多种观点  ,目前国内外对计算机证据的定义主要有如下两点[2]:(1)计算机证据是指计算机产生的证据(Computer generated evidence)  ,即计算机系统在运行过程中根据设计的程序指令对计算机数据进行处理  ,然后通过存储、显示、音响、打印等设备输出形成的信息 。(2)计算机证据是指计算机相关的证据(Computer related evidence)  ,即除了计算机存储、输出产生的信息文件之外  ,还包括计算机的模拟结果以及计算机系统的测试结果  。本文所述的计算机证据主要是指计算机在使用过程中记录的内容和产生的痕迹等能够证明案件事实的相关信息  。
  (二)计算机证据的特点  。由于计算机证据具有不同于一般传统证据的脆弱性、不可靠性、多样性等特点  ,使得如何获取真实、可靠的计算机证据成为了计算机犯罪案件以及其他与计算机有关的案件办理的难点所在[3]  ,和传统的证据比较  ,计算机证据具有不同的特点:(1)证据形式的特殊性  。不同于传统证据  ,计算机证据存储于电子元器件及磁介质上 ,大部分的计算机证据并不能像书证一般直观地反映出案件的事实 ,提取及固定需要特别的方法  ,对证据提取的技术人员要求也较高;(2)证据容易被破坏  。计算机证据是以数字信息的形式存在的  ,容易受到各种因素影响而损坏、毁灭  ,如磁场、电压等外部因素及行为人故意删除、修改等等  ,因此只有对计算机证据科学有效地提取及固定才能保证证据的完整可靠;(3)证据形式更新快  。计算机技术、存储技术、网络技术的发展日新月异  ,由以前单一的文本文档、office文件、图像、影音等计算机证据到现在的网络信息分析等新的计算机证据出现  ,表明随着科技的不断发展 ,计算机证据也在不断的更新、变化  ,这要求取证的技术人员必须紧跟计算机取证相关技术的前沿 ,才能把握计算机取证的新动向  。
  (三)计算机证据在司法中的运用  。自1986年我国第一例利用计算机贪污的案件至今 ,利用计算机犯罪的案件成倍增加  ,类型和手段层出不穷 ,已由原来单纯的贪污、挪用公款、窃取财物、诈骗、赌博、敲诈勒索、侮辱诽谤等犯罪 ,发展到现在窃取国家秘密、商业秘密、非法侵入、破坏计算机系统、煽动分裂国家等危害国家安全和社会稳定的各种犯罪形式 ,如广受人们关注的私架传奇“私服”案、熊猫烧香案、正龙拍虎案等等 ,计算机证据在其中的科学运用及发挥的关键作用  ,都表明了计算机证据的司法意义  。
  二、计算机证据提取规则
  传统的证据具备客观性、真实性、合法性、关联性  ,即可证实案件中争议的事实  ,计算机证据作为证据的一种 ,同样要满足一般证据的特征  ,同时结合计算机证据自身的特点  ,计算机证据的提取应遵循以下规则[4]:
  (一)要具有可认证性  。在计算机取证的整个过程中要受到被取证人、案件当事人或第三方的监督并予以记录  ,以保证取证的公证可信  。
  (二)要保证数据完整性 。在进行计算机取证过程中 ,要根据具体情况利用科学合理的提取方法 ,充分分析计算机数据可能发生的变化情况  ,保证获取数据的完整、全面 。
  (三)要保持数据连续性  。在计算机证据提取时经常需要改变数据 ,这时必须保证计算机数据的连续性  ,从原始数据获取到在法庭上示证 ,要对数据产生的变化予以记录并说明  。
  (四)要保证提取的及时性  。计算机证据具有脆弱性 ,容易被销毁、损坏 ,一旦错过了提取时机 ,就可能会导致证据无法还原  ,因此对计算机证据的提取应当尽快的收集  ,以确保证据在提取时没有被破坏 。
  (五)要保持备份数据的相同性 。计算机证据提取的数据一般应有两个或两个以上的镜像备份用于数据分析及存档  ,要保证备份数据与原始存储介质上的数据在内容上完全相同 。
  三、计算机本机证据提取
  计算机本机证据提取是通过直接对计算机本机的数据文件进行分析、对系统操作的痕迹进行记录及对被删除文件进行恢复还原等获取相关证据  ,主要提取的证据形式有:(1)存放于硬盘、u盘、光盘等介质的数据文件;(2)操作系统的系统日志文件;(3)计算机内存中映射的文件;(4)被删除破坏的数据文件等  。本机取证常用的技术方法有:(1)数据恢复;(2)加密解密;(3)数据挖掘等  。
  (一)操作系统在操作中形成的文件 。Windows系统在使用中会保留大量的操作痕迹和记录文件  ,在文本、图片、影音的读写编辑后、软件的安装、卸载、使用后都会留下相应的痕迹 ,如聊天工具QQ使用后的聊天记录、Office打开过的文件记录、浏览器的浏览记录和收藏记录、Cookies登陆记录等等都被保存在相关的文件夹内或注册表内  。在Windows系统中的“系统临时文件”、“最近访问的文档”、“运行记录”、“搜索记录”、“剪贴板”以及“用户临时文件”等等目录下都有可以证实计算机使用人曾经的操作过程的相关记录文件  。在提取过程中发现加密的文件或加密的软件  ,可以通过专业的解密软件进行解密  。
  (二)系统日志中的痕迹  。操作系统日志主要是:应用程序日志、系统日志、性能日志、安全日志和警报 。通过操作系统日志可以记录计算机各种错误信息和各种警报 ,对事件进行跟踪  ,从而获取计算机硬件使用情况和系统服务活动的信息  。
  (三)注册表中的文件  。Windows系统中的注册表可以提取到系统及系统软件的安装记录、系统的设置记录、文件的使用记录等等  ,通过对注册表的分析可以更为全面的获取系统操作的信息 。如打开过的程序或者文档会保存在注册表的HKEY_CURRENT_USER子项中 ,当前计算机的配置信息登录会保存在HKEY_CURRENT_USER下的子项中  ,计算机在系统启动时所用的配置文件信息会保存在HKEY_CURRENT_CONFIG中  ,这些都是在计算机证据提取中需要重点检查分析的对象  。
  (四)被删除破坏的数据文件 。在Windows系统中  ,将硬盘、u盘上的数据删除并不意味着这个文件数据就彻底消失  ,Windows系统的数据删除只是去掉Directory Entry中的索引信息  ,事实上其相应簇的信息仍然存在  ,只是删除后数据无法为系统直接识别  。通过数据恢复软件可以有效地对被删除数据进行恢复还原 ,对于计算机证据提取有重大的价值  。
  四、计算机网络证据提取
  计算机网络证据提取是通过对网络行为的记录、系统入侵的检测记录等数据的收集来获取相关证据 。主要有:(1)网络信息;(2)杀毒软件、防火墙等日志文件;(3)IDS系统日志文件;(4)蜜阱取证记录文件等  。
  (一)网络信息 。在网络上发布反动言论、淫秽信息  ,通过网银、网上支付平台进行诈骗、贪污、挪用等行为时必然会在网络上留下数据信息  ,通过对网络信息的提取  ,可以直接证实案件事实  。对网络信息的提取可以通过获取行为人的IP地址、网络用户名及密码登录访问相应的服务器端查看数据  ,对有用信息收集保存 ,也可以通过网络服务器端的单位协助调取 。
  (二)杀毒软件、防火墙等日志文件  。很多杀毒软件、防火墙工具都会对计算机系统的安全漏洞、入侵行为等进行检测  ,对有关网络内容及电子邮件进行过滤并进行远程管理  ,杀毒软件、防火墙工具在保障计算机的系统安全的同时  ,也保存下了网络入侵的记录  。
  (三)IDS取证 。IDS(Intrusion Detection System)是利用防范入侵的网络安全技术设计的入侵检测系统  ,能够对网络数据的传输进行实时监控  ,对可疑行为进行自动检测 ,及时发现端口是否有入侵扫描的迹象 ,当有他人恶意、非法入侵计算机时  ,IDS系统会有详细的日志 ,通过日志可以记录分析网络流动的数据和入侵企图  。
  (四)蜜阱取证  。蜜阱(Honeytrap)是包括蜜罐(Honeypot)和蜜网(Honeynet)等以诱骗技术为核心的网络安全技术[5] 。蜜阱实质是一个精心设计的诱骗系统  ,当有入侵者攻击计算机系统时 ,蜜阱系统自动记录入侵者的行径、策略、工具和目标 ,从而实现网络取证  。
  (五)人工智能和数据挖掘  。计算机本机的数据存储是有限的  ,但网络数据却不可数计  ,对于计算机内存储的和网络中传输的大量数据 ,可以应用人工智能和数据挖掘技术以发现与特定的犯罪有关的证据  ,实现取证的智能化[6]  ,快速、准确地提取相关证据 。
  五、取证中应注意的问题
  (一)在进行计算机证据的提取时  ,技术人员要做好充分的硬件、软件、方案等各项准备  ,常用硬件如手提电脑、备份磁盘、拍摄工具等  ,常用取证软件如解密、恢复、备份、查询等软件  ,在取证前预先要进行测试 ,保证软硬件工作的稳定性 。根据具体情况制定取证方案  ,预测可能会遇到的问题 ,当有突发情况出现时应备有应急预案 。
  (二)在进行计算机证据的提取时  ,要和侦查人员进行配合  ,及时了解计算机使用人的其他相关证据  ,使取证工作更有针对性 。
  (三)注意时间的准确性  ,注意主机、服务器等系统设置的时间和案件时间之间的关系 ,防止因为时间的改动而错失证据的提取  。
  (四)尽可能的进行无损分析  ,对提取的证据进行多重备份并备份于不同的磁盘中  ,防止数据的丢失  。
  (五)注意提取关联的信息证据  ,如打印的文字、图表信息 ,硬件驱动及使用手册等  ,记录的数字符号等各种相关的证据  ,可能会对后期的证据分析鉴定起到帮助 。
  六、结语
  随着计算机犯罪技术的不断提高  ,出现了以删除、隐藏数据为主要目的的反取证技术(主要包括有:数据擦除、数据隐藏和数据加密等技术)[7]  。计算机取证的形势不容乐观  ,因此  ,我们需要加快完善计算机取证的法律法规 ,进一步规范计算机取证的标准 ,加强对计算机取证中出现的新问题和取证新方法的研究 ,使计算机证据提取工作向着更好的方向发展  。
   

Tags: 免费论文   计算机论文   计算机应用论文   证据   计算机   数据  

相关文章

(function(){ var src = (document.location.protocol == "http:") ? "http://js.passport.qihucdn.com/11.0.1.js?1d7dde81dc0903e04d3ac0b9599444f6":"https://jspassport.ssl.qhimg.com/11.0.1.js?1d7dde81dc0903e04d3ac0b9599444f6"; document.write('<\/mip-script>'); })(); (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();