浅析计算机取证技术

计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向以下几个方向发展：①取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识，现在许多工作依赖于人工实现，大大降低取证速度和取证结果的可靠性。②取证工具和过程标准化，因为没有统一的标准和规范，软件的使用者都很难对工具的有效性和可靠性进行比较。另外，到现在为止，还没有任何机构对计算机取证机构和工作人员的资质进行认证，使得认证结果的权威性受到质疑；利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升，这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上，要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。③取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段，只有一些法律法规涉及到了部分计算机证据，目前在法律界对电子证据作为诉公证据也存在一定的争议。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定：不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见，国外已确认了电子证据的合法性。

四、计算机取证技术的局限性

计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而，在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的：①有关犯罪的电子证据必须没有被覆盖；②取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看，不甚理想。

俗话说“道高一尺魔高一丈”，因此在取证技术迅速发展的同时．一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据，使取证调查无效。现在反取证技术主要分为三类：数据擦除、数据隐藏、数据加密。这些技术还可结合使用，使取证工作变得很困难。

数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法，一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据，使取证调查人员无法获取有用的信息。

数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中，也有人将数据文件隐藏在磁盘上的Slack空间、交换空间或者未分配空间中，这类技术统称为数据隐藏。

加密文件的作用是我们所熟知的。数据加密是用一定的加密算法对数据进行加密，使明文变为密文。但这种方法不是十分有效，因为有经验的调查取证人员往往能够感觉到数据已被加密，并能对加密的数据进行有效的解密。

五、结束语

计算机取证技术已经得到了一定的发展，但目前的研究多着眼于入侵防范，对于入侵后的取证技术的研究相对滞后；同时，计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。

参考文献

[1] 王玲，钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635 1644.

[2] 赵小敏，陈庆章.计算机取证的研究现状和展望.计算机安全.2003年.第10期

[3] 苏成.计算机安全.2006年.第01期

[4] 钟秀玉.计算机取证问题分析与对策.电脑开发与应用.2005年.第03期

[5] 赵小敏, 陈庆章. 打击计算机犯罪新课题──计算机取证技术. 信息网络安全,2002,9

[6] 蒋平.计算机犯罪问题研究.2000年版论文出处(作者):

更多计算机与外设信息请关注：21ic计算机与外设频道