计算机取证概述一、背景计算机和网络在社会、政治、经济、文化、军事等领域 的应用越来越普遍，与计算机有关的犯罪也越来越多。要打 击并遏制犯罪，执法机关必须依照法律的要求获取证据，特 别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的 证据与计算机技术相关，计算机取证就是为打击与计算机有 关的犯罪提供证据的科学方法和手段。计算机取证的目的就是要通过分析计算机和网络活动， 从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例 中可以为被入侵的目标、作案的工具和犯罪信息的存储等角 色。无论作为那种角色，在计算机中都会留下大量与犯罪有 关的数据，进而依据有关科学与技术原理和方法找到证明某 个事实的证据。由于计算机技术应用的深入，计算机取证逐步发展为数 字取证。（一）数字取证的定义 数字取证是从计算机取证逐步发展而来。Lee Garber在IEEE Security发表的文章中认为，计 算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内 存缓冲以及其他存储形式的存储介质以发现犯罪证据的过程。计算机取证资深专家 Judd Robbins 给出如下定义，计 算机取证是将计算机调查和分析技术应用于对潜在的、有法 律效力的证据的确定与获取。计算机紧急事件响应组 CERT 和取证咨询公司 NTI 进一 步扩展了该定义，计算机取证包括了对以磁介质编码信息方 式存储的计算机证据的保护、确认、提取和归档。SANS 公司认为，计算机取证是使用软件和工具，按照一 些预定的程序，全面地检查计算机系统，以提取和保护有关 计算机犯罪的证据。我国的陈龙等人认为，计算机取证是运用计算机及其相 关科学和技术的原理和方法获取与计算机相关证据以证明 某个客观事实的过程。它包括计算机证据的确定、收集、保 护、分析、归档以及法庭出示。（二）计算机司法鉴定的定义 司法鉴定是鉴定人运用科学技术或专门知识对涉及诉 讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活 动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。 计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的 一部分，而计算机取证的概念要丰富，除计算机司法鉴定的 内容外，还要包括对犯罪现场的勘查，如证据的发现、提取 保存、运输等。（三）数字证据在司法活动中，证据是法官判定罪与非罪的依据。人类 司法活动中，证明方法和手段经历了两次重大转变。第一次 是从以“神证”为主的证明向以“人证”为主的证明转变。 第二次是从以“人证”为主的证明向以“物证”或“科学证 据”为主证明的转变。在很长的历史时期，物证在司法活动中运用一直处于随 机和分散发展的状态。直到 18 世纪以后，与物证有关的科 学技术才逐渐形成体系和规模，物证在司法证明中的作用也 越来越重要。随着科学技术的发展，各种以人身识别为核心 的物证技术层出不穷，继笔记鉴定法、人体测量法和指纹鉴 定法之后，足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技 术不断地扩充司法证明的“武器库”。特别是，20世纪 80年 代以来的 DNA 遗传基因鉴定技术更带来司法证明方法的一次 飞跃。计算机证据的出现也为司法证明方法带来新的进步。计算机证据是指以计算机形式存在的、用作证据使用的 一切材料及其派生物，或者说是借助计算机生成的一切证 据。相关的术语有电子证据、网络证据、数字证据等。计算机证据和电子证据的区别：两者有千丝万缕的联 系，却不尽相同。有时候，计算机证据的外延要大于电子证 据，因为以机械式计算机、光学计算机、生物计算机为基础 的证据只能从“功能”上等同的角度临时到桌电子证据处理， 显然不是典型的计算机证据。有时候，电子证据在外延上也 可能大于计算机证据，如固定电话机是基于模拟电子技术而 制成的通信工具，它所录制的电话资料就属于电子证据而不 属于计算机证据。国外在计算机取证的基础上提出了数字取证，相应地也 有数字证据，这一术语也得到比较普遍的人可。一般来讲，以计算机科学为背景的人多使用计算机证据 或数字证据，而法律界多使用电子证据。虽然计算机证据、 电子证据在概念和外延上有一定的差异，但一般而言可以不 严格区分。因此，在本文中计算机证据、数字证据和电子证 据不加区分。任何材料要成为证据，均需具备三个特性：客观性、关 联性、合法性。因此，计算机证据与传统证据一样，必须是 可信的、准确地、完整的，使法官信服，符合法律规定，为 法庭所认可。计算机证据与传统证据相比的新特性有：1计算机证据同时具有较高的精密性和脆弱易逝性。 一方面计算机证据以技术为依托，很少受主观因素的影响， 能够避免其他证据的一些弊端，如证言的误传，书证的误记 等。另一方面计算机信息是二进制表示的，以数字信号的方 式存在，而数字信号是非连续的，故意或因为差错对计算机 进行的变更、删除、剪接、监听等，从技术上讲很难查清。2计算机证据具有较强的隐蔽性。计算机证据在计算 机系统中可存在的范围很广，使证据很容易被隐藏。同时， 计算机证据以二进制形式编码，无法直接阅读。一切信息都 由编码表示并传递、存储，使计算机证据与特定主体之间的 关联使用常规手段难以确定。因此，计算机证据使用肉眼无 法直接解读，必须借助适当的工具。3计算机证据具有多媒体性。计算机证据的形式是多 样的，它综合了文本、图形、图像、动画、音频、视频等多 媒体信息，几乎涵盖了几乎所有的传统证据类型。二、计算机取证的历史计算机取证科学主要是在执法机关的实践需求中应用而生的，1984年，美国FBI实验室就开始研究计算机取证， 为有组织有计划地解决对刑侦人员不断增长的需求，成立了 计算机分析响应组 CART(THE COMPUTER ANALYSIS AND REPOSE TEAM)。20世纪90年代，美国联邦犯罪调查实验室的主任每 年在华盛顿举行2 次研讨，创建了目前数字取证领域享有盛 誉的“数字取证科学组”(SWGDE)。计算机取证发展中影响较大的事件有：1984 年，美国 FBI 建立的计算机分析与响应组 CART。1993 年，举办第一届计算机取证国际会议， FirstInternational Conference on Computer Evidence held。1995 年，建立计 算机证据的国 际组织 IOCE，International Organization on Computer Evidence 。1997 年，八国集团在莫斯科宣布：司法部的职员应得到 新的培训、新装备以应对高技术犯罪。1998 年，八国集团指定 IOCE 组织处理数字证据的国际 准则。2000年，美国FBI建立正式的区域性计算机取证实验室。在我国，2001年将计算机取证技术概念引入国内，从入 侵取证、反黑客开始，逐步形成。三、计算机取证是交叉科学 计算机取证涉及计算机科学、法学、刑事侦查学等。（一）计算机取证的目标计算机取证的目标随所调查案件的目标相关联。计算机取证要解决的问题是：试图找出是谁（WHO）,在 什么时间（When），在哪里（Where），怎样地（How）进行了 什么（What ）活动。（二）计算机取证的主体计算机取证不仅仅可应用于刑事犯罪侦查、鉴定之中， 也可用于民事案件的调查、鉴定，也可应用于信息安全事件 的调查，虽然计算机取证应用的领域不同，但计算机取证的 技术从本质上讲是一致的。因此，与计算机取证技术相关的 人员不只是警察、检察官、法官、律师、司法鉴定人、专家 证人等，也包括研究人员、信息安全人员等。（三）计算机证据的来源。主要为存储介质和网络数据 流。（四）计算机取证的原则 基本原则：合法性、及时性、准确性。 证据必须保证“证据的连续性”，即在证据被正式提交 法庭时，必须能够说明证据从最初获取状态到法庭上出示状 态之间的任何变化，最好是没有变化。Chain of custody, 证据链。取证过程必须受到监督，如原告委派的专家所做的所有 调查取证过程最好受到其他方委派专家的监督。含有计算机证据的媒体至少做两个副本，原始媒体应存 放在专门的房间由专人保管，副本可用于计算机取证人员进 行证据的提取和分析。计算机证据应妥善保存，以备随时重组、试验或展示。 含计算机证据的媒体的移交、保管、开封、拆卸的过程 必须由侦查人员和保管人员共同完成，每个环节都必须检查 真实性和完整性，并拍照和制作详细的笔录，由行为人共同 签名。（五）计算机取证的工作内容（六）计算机取证技术数据获取技术数据分析技术计算机犯罪分析，犯罪一般涉及四个方面：一是犯罪的 主体分析。对犯罪主体进行认定，通过分析重构犯罪嫌疑人 的特征，通常称为犯罪嫌疑人画像(Criminal Profiling)。 如通过分析描绘嫌疑人的技术水平、爱好，推测其年龄等特 征。二是犯罪的客体分析。对犯罪的客体进行认定，如对于 通过大规模传播恶意代码来入侵的案件，通常要对攻击的范 围、规模进行认定，以认定攻击造成的破坏程度，受害者遭 受的损失。三是犯罪的主观方面。认定嫌疑人的犯罪行为是 故意还是过失，具有何种犯罪动机等。如国外有学者研究相 关技术，来认定嫌疑人主机上的色情照片是故意下载的，还 是不慎下载的，以帮助是否构成犯罪。四是犯罪的客观方面。 通过分析认定什么人在什么事件中实施了什么行为。如认定 某个特定的嫌疑人在特定的事件中对特定的目标实施了网 络攻击。数据解密技术证据保管、证据完整性技术反取证技术四、计算机取证的模型、过程 提出计算机取证模型的目的是指导计算机取证更加规 范，应具有一定的实践指导意义。(一)法律执行过程模型 Law Enforcement ProcessModel是美国司法部“电子犯罪现场调查指南”中提出，基于 标准的物理犯罪(Physical Crime )现场调查过程模型，分 为以下五个阶段：1 准备阶段(Preparation )在调查之前，准备好所 需设备和工具。2收集阶段(Collection)。搜索和定位计算机证据； 保护和评估现场：保护现场人员的安全，以及保证证据的完 整性，识别潜在的证据；对现场记录、归档：记录现场的计 算机等物证；证据提取：提取计算机系统中的证据或对计算 机系统全部拷贝。3检验( Exam i na t i on ) 。对可能存在的证据进行校验 和分析。4 分析(Analysis)。对检验分析的结果进行复审和再 分析，提取对案件有价值的信息。5报告(reporting )对分析检验结果汇总、提交、 证据出示。(二)过程抽象模型， An Abstract Process Model美国空军研究院对计算机取证的基本方法和理论进行 研究后，提出的模型。1 识别(Identification)：侦测安全事件或犯罪。2准备(Preparation ):准备工具、技术及所需的许可。3策略制定( Approach Strategy )：制定策略来最大 限度地收集证据和减少对受害者的影响。4保存(Preservation)：隔离并保护物理和数字证据。5 收集(Collection)：记录物理犯罪现场并复制数字 证据。6检验(Examination)：查找犯罪相关证据。7 分析(Analysis):对检验结果进行在分析，给出分 析结果。并重复检验过程，直到分析结果有充分的证据及理 论的支持。8提交(Presentation)：总结并对结论及所用理论提 供合理的解释。(三)计算机取证新模型第 19 次计算机安全技术交流会上提出计算机取证的层 次模型，将计算机取证分为证据发现层、证据固定层、证据 提取层、证据分析层和证据表达层等五个层次。多维计算机取证模型 MDFM( Multi Dimension Forensics Mode