什么的計(jì)算機(jī)取證
? ? ? 計(jì)算機(jī)取證(Computer Forensics、計(jì)算機(jī)取證技術(shù)、計(jì)算機(jī)鑒識(shí)、計(jì)算機(jī)法醫(yī)學(xué))是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟。也就是針對(duì)計(jì)算機(jī)入侵與犯罪，進(jìn)行證據(jù)獲取、保存、分析和出示。計(jì)算機(jī)證據(jù)指在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。從技術(shù)上而言，計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解，以對(duì)入侵事件進(jìn)行重建的過(guò)程?？衫斫鉃椤皬挠?jì)算機(jī)上提取證據(jù)”即： 獲取、保存 分析 出示 提供的證據(jù)必須可信 ;

　　計(jì)算機(jī)取證(Computer Forensics)在打擊計(jì)算機(jī)和網(wǎng)絡(luò)犯罪中作用十分關(guān)鍵，它的目的是要將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計(jì)算機(jī)取證是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交叉科學(xué)，被用來(lái)解決大量的計(jì)算機(jī)犯罪和事故，包括網(wǎng)絡(luò)入侵、盜用知識(shí)產(chǎn)權(quán)和網(wǎng)絡(luò)欺騙等。

　　計(jì)算機(jī)取證的方式

　　從技術(shù)角度看，計(jì)算機(jī)取證是分析硬盤(pán)、光盤(pán)、軟盤(pán)、Zip磁盤(pán)、U盤(pán)、內(nèi)存緩沖和其他形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過(guò)程，即計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

　　計(jì)算機(jī)取證主要是圍繞電子證據(jù)進(jìn)行的。電子證據(jù)也稱(chēng)為計(jì)算機(jī)證據(jù)，是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的，以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄。多媒體技術(shù)的發(fā)展，電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫(huà)、音頻及視頻等多種類(lèi)型的信息。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信、準(zhǔn)確、完整、符合法律法規(guī)的，是法庭所能夠接受的。同時(shí)，電子證據(jù)與傳統(tǒng)證據(jù)不同，具有高科技性、無(wú)形性和易破壞性等特點(diǎn)。高科技性是指電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸，都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等，離開(kāi)了相應(yīng)技術(shù)設(shè)備，電子證據(jù)就無(wú)法保存和傳輸。無(wú)形性是指電子證據(jù)肉眼不能夠直接可見(jiàn)的，必須借助適當(dāng)?shù)墓ぞ摺Ｒ灼茐男允侵鸽娮幼C據(jù)很容易被篡改、刪除而不留任何痕跡。計(jì)算機(jī)取證要解決的重要問(wèn)題是電子物證如何收集、如何保護(hù)、如何分析和如何展示。

　　可以用做計(jì)算機(jī)取證的信息源很多，如系統(tǒng)日志，防火墻與入侵檢測(cè)系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計(jì)記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫(kù)文件和操作記錄、硬盤(pán)交換分區(qū)、軟件設(shè)置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書(shū)簽、歷史記錄或會(huì)話(huà)日志、實(shí)時(shí)聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動(dòng)結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關(guān)記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對(duì)硬盤(pán)進(jìn)行低級(jí)格式化處理或?qū)⒂脖P(pán)空間裝滿(mǎn)，仍有可能恢復(fù)已經(jīng)刪除的文件。

　　計(jì)算機(jī)取證方法說(shuō)明

　　計(jì)算機(jī)調(diào)查取證方式在目前的調(diào)查取證中新興的技術(shù)模式，其在目前實(shí)踐環(huán)境下得到相關(guān)調(diào)查機(jī)構(gòu)的不斷重視;計(jì)算機(jī)取證的方法就是計(jì)算機(jī)取證過(guò)程中涉及的具體措施、具體程序、具體方法。計(jì)算機(jī)取證的方法非常多，而且在計(jì)算取證過(guò)程中通常又涉及到證據(jù)的分析，取證與分析兩者很難完全孤立開(kāi)來(lái)，所以對(duì)計(jì)算機(jī)取證的分類(lèi)十分復(fù)雜，往往難以按一定的標(biāo)準(zhǔn)進(jìn)行合理分類(lèi)。通常情況下根據(jù)取得的證據(jù)的用途不同進(jìn)行分類(lèi)，通常可以分為兩類(lèi)不同性質(zhì)的取證。一類(lèi)是來(lái)源取證，一類(lèi)是事實(shí)取證。

　　1.來(lái)源取證

　　所謂來(lái)源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據(jù)的來(lái)源。例如在網(wǎng)絡(luò)犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時(shí)使用的機(jī)器的IP地址，則尋找IP地址便是來(lái)源取證。這類(lèi)取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號(hào)取證等。

　　IP地址取證主要是利用在互聯(lián)網(wǎng)中，每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)，在某一時(shí)刻都有唯一的全局IP地址。根據(jù)在案發(fā)現(xiàn)場(chǎng)找到的IP地址信息，進(jìn)一步確定犯罪嫌疑人的機(jī)器，由犯罪人的機(jī)器再尋找案件相關(guān)人的方法。

　　MAC地址取證主要在一些局域網(wǎng)中或動(dòng)態(tài)分配IP地址網(wǎng)絡(luò)中，由于IP地址使用有一定的自由，如果哪一個(gè)IP地址由誰(shuí)租用并不清楚時(shí)，可以根據(jù)物理地址與邏輯地址的關(guān)系，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計(jì)算機(jī)設(shè)備中網(wǎng)卡存在一定的對(duì)應(yīng)關(guān)系，可以用來(lái)確定來(lái)源。

　　電子郵件取證，指的是根據(jù)電子郵件頭部信息找到發(fā)送電子郵件的機(jī)器，并根據(jù)已鎖定的機(jī)器找到特定人的取證方法。

　　軟件賬號(hào)取證，指特定軟件如果其某個(gè)賬號(hào)與特定人存在一一對(duì)應(yīng)關(guān)系時(shí)，可以用來(lái)證明案件的來(lái)源。

　　2.事實(shí)取證

　　事實(shí)取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關(guān)事實(shí)的證據(jù)，例如犯罪嫌疑人的犯罪事實(shí)證據(jù)。在事實(shí)取證中常見(jiàn)的取證方法有文件內(nèi)容調(diào)查、使用痕跡調(diào)查、軟件功能分析、軟件相似性分析、日志文件分析、網(wǎng)絡(luò)狀態(tài)分析、網(wǎng)絡(luò)數(shù)據(jù)包分析等。

　　文件內(nèi)容調(diào)查指的是在存儲(chǔ)設(shè)備中取得文檔文件、圖片文件、音頻視頻文件、動(dòng)畫(huà)文件、網(wǎng)頁(yè)、電子郵件內(nèi)容等相關(guān)文件的內(nèi)容。包括這些文件被刪除以后、文件系統(tǒng)被格式化后或者數(shù)據(jù)恢復(fù)以后的文件內(nèi)容。

　　使用痕跡調(diào)查包括windows運(yùn)行的痕跡(包括運(yùn)行欄歷史記錄、搜索欄歷史記錄、打開(kāi)/保存文件記錄、臨時(shí)文件夾、最近訪(fǎng)問(wèn)的文件等使用文件與程序調(diào)查)、上網(wǎng)記錄的調(diào)查(緩存、歷史記錄、自動(dòng)完成記錄、瀏覽器地址欄下拉網(wǎng)址，Cookies，index.dat文件等等)、Office，realplay和mediaplay的播放列表及其它應(yīng)用軟件使用歷史記錄。

　　軟件功能分析主要針對(duì)特定軟件和程序的性質(zhì)和功能進(jìn)行分析，常見(jiàn)是對(duì)惡意代碼的分析，確定其破壞性、傳染性等特征。此類(lèi)取證方法通常在破壞計(jì)算機(jī)信息系統(tǒng)、入侵計(jì)算機(jī)信息系統(tǒng)、傳播計(jì)算機(jī)病毒行為中經(jīng)常使用。

　　軟件相似性分析是指比較兩軟件，找出兩者之間是否存在實(shí)質(zhì)性相似的證據(jù)。此類(lèi)取證方法主要在軟件知識(shí)產(chǎn)權(quán)相關(guān)案件中使用。

　　日志文件分析，指通過(guò)系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、網(wǎng)絡(luò)日志、應(yīng)用程序日志等進(jìn)行分析發(fā)現(xiàn)系統(tǒng)是否存在入侵行為或者其它訪(fǎng)問(wèn)行為的證據(jù)。

　　網(wǎng)絡(luò)狀態(tài)分析指的是取得特定時(shí)刻計(jì)算機(jī)聯(lián)網(wǎng)狀態(tài)。例如網(wǎng)絡(luò)中哪些機(jī)器與本機(jī)相連，本機(jī)的網(wǎng)絡(luò)配置、開(kāi)啟了哪些服務(wù)、哪些用戶(hù)登錄到本機(jī)等信息。

　　網(wǎng)絡(luò)數(shù)據(jù)包分析指的是通過(guò)分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包發(fā)現(xiàn)相關(guān)證據(jù)的過(guò)程。網(wǎng)絡(luò)數(shù)據(jù)包分析主要發(fā)生在實(shí)時(shí)取證中，是一種綜合的取證方法。有時(shí)候網(wǎng)絡(luò)數(shù)據(jù)包分析也稱(chēng)呼為“網(wǎng)絡(luò)偵聽(tīng)”。在對(duì)網(wǎng)絡(luò)犯罪實(shí)時(shí)偵查或“誘惑性”偵查時(shí)，往往采取網(wǎng)絡(luò)偵聽(tīng)的方法發(fā)現(xiàn)犯罪嫌疑人的犯罪活動(dòng)，掌握犯罪的線(xiàn)索，為抓獲犯罪嫌疑人提供支持。

　　在常用的證據(jù)調(diào)查方法體系中，計(jì)算機(jī)取證作為一項(xiàng)新興的調(diào)查取證方式，有著其極高的專(zhuān)業(yè)性和技術(shù)性，但一旦有所突破，亦能獲得較為明顯的證據(jù)線(xiàn)索，有效的促進(jìn)案件的證據(jù)整理工作，作為專(zhuān)業(yè)的證據(jù)調(diào)查部，我們不斷的總結(jié)，掌握熟練的計(jì)算機(jī)取證技術(shù)，更好的為客戶(hù)提供優(yōu)質(zhì)的證據(jù)服務(wù);

　　計(jì)算機(jī)取證常用工具

　　計(jì)算機(jī)取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具

　　如何進(jìn)行計(jì)算機(jī)取證

　　根據(jù)電子證據(jù)的特點(diǎn)，在進(jìn)行計(jì)算機(jī)取證時(shí)，首先要盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞。在取證時(shí)必須保證證據(jù)連續(xù)性，即在證據(jù)被正式提交給法庭時(shí)，必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當(dāng)然最好是沒(méi)有任何變化。特別重要的是，計(jì)算機(jī)取證的全部過(guò)程必須是受到監(jiān)督的，即由原告委派的專(zhuān)家進(jìn)行的所有取證工作，都應(yīng)該受到由其他方委派的專(zhuān)家的監(jiān)督。計(jì)算機(jī)取證的通常步驟如下。　　(1)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)取證時(shí)首先必須凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng)，不給犯罪嫌疑人破壞證據(jù)的機(jī)會(huì)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況?！　?2)確定電子證據(jù)。在計(jì)算機(jī)存儲(chǔ)介質(zhì)容量越來(lái)越大的情況下，必須根據(jù)系統(tǒng)的破壞程度，在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù)，哪些是無(wú)用數(shù)據(jù)。要尋找那些由犯罪嫌疑人留下的活動(dòng)記錄作為電子證據(jù)，確定這些記錄的存放位置和存儲(chǔ)方式。　　(3)收集電子證據(jù)。　　記錄系統(tǒng)的硬件配置和硬件連接情況，以便將計(jì)算機(jī)系統(tǒng)轉(zhuǎn)移到安全的地方進(jìn)行分析。

　　對(duì)目標(biāo)系統(tǒng)磁盤(pán)中的所有數(shù)據(jù)進(jìn)行鏡像備份。備份后可對(duì)計(jì)算機(jī)證據(jù)進(jìn)行處理，如果將來(lái)出現(xiàn)對(duì)收集的電子證據(jù)發(fā)生疑問(wèn)時(shí)，可通過(guò)鏡像備份的數(shù)據(jù)將目標(biāo)系統(tǒng)恢復(fù)到原始狀態(tài)。 用取證工具收集的電子證據(jù)，對(duì)系統(tǒng)的日期和時(shí)間進(jìn)行記錄歸檔，對(duì)可能作為證據(jù)的數(shù)據(jù)進(jìn)行分析。對(duì)關(guān)鍵的證據(jù)數(shù)據(jù)用光盤(pán)備份，也可直接將電子證據(jù)打印成文件證據(jù)。 利用程序的自動(dòng)搜索功能，將可疑為電子證據(jù)的文件或數(shù)據(jù)列表，確認(rèn)后發(fā)送給取證服務(wù)器。 對(duì)網(wǎng)絡(luò)防火墻和入侵檢測(cè)系統(tǒng)的日志數(shù)據(jù)，由于數(shù)據(jù)量特別大，可先進(jìn)行光盤(pán)備份，保全原始數(shù)據(jù)，然后進(jìn)行犯罪信息挖掘。 各類(lèi)電子證據(jù)匯集時(shí)，將相關(guān)的文件證據(jù)存入取證服務(wù)器的特定目錄，將存放目錄、文件類(lèi)型、證據(jù)來(lái)源等信息存入取證服務(wù)器的數(shù)據(jù)庫(kù)。

　　(4)保護(hù)電子證據(jù)

　　對(duì)調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)加封條存放在安全的地方。對(duì)獲取的電子證據(jù)采用安全措施保護(hù)，無(wú)關(guān)人員不得操作存放電子證據(jù)的計(jì)算機(jī)。不輕易刪除或修改文件以免引起有價(jià)值的證據(jù)文件的永久丟失。