計算機取證概述

2021-03-31 08:56:29 字數 2496 閱讀 6339

計算機取證概述

轉貼自:中國科學院高能所

隨著資訊科技的不斷發展,計算機越來越多地參與到人們的工作與生活中,與計算機相關的法庭案例(如電子商務糾紛,計算機犯罪等)也不斷出現。一種新的證據形式——存在於計算機及相關外圍裝置(包括網路介質)中的電子證據逐漸成為新的訴訟證據之一。大量的計算機犯罪——如商業機密資訊的竊取和破壞,計算機欺詐,對**、軍事**的破壞——案例的取證工作需要提取存在於計算機系統中的資料,甚至需要從已被刪除、加密或破壞的檔案中重獲資訊。電子證據本身和取證過程的許多有別於傳統物證和取證方法的特點,對司法和電腦科學領域都提出了新的研究課題。作為計算機領域和法學領域的一門交叉科學:計算機取證(

***puter forensics

)正逐漸稱為人們研究與關注的焦點。

那麼什麼是計算機取證呢?作為計算機取證方面的一名專業及資深人士,

judd robbins

曾給出了如下的定義:

l 計算機取證不過是將計算機調查和分析技術應用於對潛在的、有法律效力的證據的確定與獲取上。

new technologies

是一家專業的計算機緊急事件響應和計算機取證諮詢公司,進一步擴充套件了該定義:

l 計算機取證包括了對以磁介質編碼資訊方式儲存的計算機證據的保護、確認、提取和歸檔。

sans

公司則歸結為如下的說法:

l 計算機取證是使用軟體和工具,按照一些預先定義的程式全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。

因此,計算機取證可以是指對能夠為法庭接受的、足夠可靠和有說服性的,存在於計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。

讓我們首先**一下電子證據的特點。證據在司法證明的中的作用是無庸質疑的,它是法官判定罪與非罪的標準。在人類的司法證明發展過程中,證明方法和手段經歷了兩次重大轉變。第一次是從以「神證」為主的證明向以「人證」為主的證明的轉變。第二次是從以「人證」為主的證明向以「物證」或「科學證據」為主的證明的轉變

[1]。

在很長的歷史時期內,物證在司法活動中的運用一直處於隨機和分散發展的狀態。直到

18世紀以後,與物證有關的科學技術才逐漸形成體系和規模,物證在司法證明中的作用也才越來越重要起來。隨著科學技術的突飛猛進,各種以人身識別為核心的物證技術層出不窮。例如,繼筆跡鑑定法、人體測量法和指紋鑑定法之後,足跡鑑定、牙痕鑑定、聲紋鑑定、唇紋鑑定等技術不斷地擴充著司法證明的「**庫」。特別是

20世紀

80年代出現的

dna遺傳基因鑑定技術,更帶來了司法證明方法的一次新的飛躍。而電子證據的出現,則是對傳統證據規則的乙個挑戰。與傳統證據一樣,電子證據必須是:

l 可信的;

l 準確的;

l 完整的;

l 使法官信服的;

l 符合法律法規的,即可為法庭所接受的;

電子證據還具有與傳統證據有別的一些特點:

l 計算機資料無時無刻不在改變;

l 計算機資料不是肉眼直接可見的,必須借助適當的工具;

l 蒐集計算機資料的過程,可能會對原始資料造成很嚴重的修改,因為開啟檔案、列印檔案等一般都不是原子操作;

l 電子證據問題是由於技術發展引起的,因為計算機和電信技術的發展非常迅猛,所以取證步驟和程式也必須不斷調整以適應技術的進步。

計算機證據出現在法庭上據悉在我國只是近

10年左右的事情,在資訊科技較發達的美國已有了

30年左右的歷史。最初的電子證據是從計算機中獲得的正式輸出,法庭不認為它與普通的傳統物證有什麼不同。但隨著計算機技術的發展,以及隨著與計算機相關的法庭案例的複雜性的增加,電子證據與傳統證據之間的類似性逐漸減弱,從

1976

年的「federal rules of evidence

」起,在美國出現了一些法律解決由電子證據帶來的問題:

l the economic espionage act of 1996 

:處理商業機密竊取問題;

l the electronic ***munications privacy act of 1986 

:處理電子通訊的監聽問題;

l the ***puter security act of 1987 (public law 100-235)

:處理**計算機系統的安全問題。

我國有關計算機取證的研究與實踐尚在起步階段,只有一些法律法規涉及到了一些有關計算機證據的說明,如《關於審理科技糾紛案件的若干問題的規定》,《計算機軟體保護條例》等。法庭案例中出現的計算機證據也都比較簡單,如電子郵件、程式源**等不需要使用特殊的工具就能夠得到的資訊。但隨著技術的不斷發展,計算機犯罪手段的不斷提高,我們

1)必須制定相關的法律,

2)必須自主開發相關的計算機取證工具,使日益增加的計算機及網路犯罪受到應有的制裁,進一步保護網民或使用者的合法權益不受侵害。

對計算機取證的技術研究、專門的工具軟體的開發以及相關商業服務出現始自於

90年代中後期。從近兩年的計算機安全技術論壇(

first

年會)上看,國外計算機取證分析日益成為計算機網路的重點課題。可以預見,計算機取證將是未來幾年資訊保安領域的研究熱點

計算機取證 磁碟映像概述

對於 it 專業人員來說,有關如何阻止入侵和攻擊的資訊多得就像汪洋大海。但是,如果您在安裝了安全修補程式 防火牆並採取了其他措施後仍然發生了最壞的情況,您該怎麼辦呢?鑑於巨大的停機成本 損失的工作效率和攻擊帶來的管理負荷,當黑客或病毒編寫者被抓住並被起訴時,我們無一不拍手叫好,但這種結局似乎並不常見...

計算機取證 磁碟映像概述

對於 it 專業人員來說,有關如何阻止入侵和攻擊的資訊多得就像汪洋大海。但是,如果您在安裝了安全修補程式 防火牆並採取了其他措施後仍然發生了最壞的情況,您該怎麼辦呢?鑑 於巨大的停機成本 損失的工作效率和攻擊帶來的管理負荷,當黑客或病毒編寫者被抓住並被起訴時,我們無一不拍手叫好,但這種結局似乎並不常...

計算機取證

計算機取證目標 計算機取證要解決的問題是 找出是誰 who 在什麼時間 when 在那裡 where 怎樣地 how 進行了什麼 what 非法活動。以網路入侵為例,具體而言,計算機取證需要解決以下幾個問題 計算機證據 計算機證據幾乎無處不在,但是主要來自 3 個方面 計算機主機系統方面 網路方面 ...