淺析計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)

1、 淺析計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)向楨 XIANG Zhen摘要： 目前計(jì)算機(jī)技術(shù)發(fā)展十分迅速，雖然互聯(lián)網(wǎng)技術(shù)不斷地成熟但是計(jì)算機(jī)技術(shù)的犯罪還是無(wú)法避免，而且還慢慢地增多，并且犯罪的手段越來(lái)越隱蔽，所以現(xiàn)階段計(jì)算機(jī)取證技術(shù)已經(jīng)成為有關(guān)部門(mén)解決和打擊計(jì)算機(jī)犯罪的主要的途徑和手段。Abstract： At present, computer technology develops very fast. Although Internet technology continues to mature, the crime of computer technology is inevitable and

2、 increases slowly. The means of crime are more and more invisible. So, the computer forensic technology has becomes the main mean for the related departments to solute and crack down computer crimes.教育期刊網(wǎng) 關(guān)鍵詞 ： 計(jì)算機(jī)；主機(jī)隱秘；取證技術(shù)Key words： computer；conceal information of mainframe；forensic technology中圖分類(lèi)

3、號(hào)：TP399 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-431106-0227-020 引言隨著計(jì)算機(jī)技術(shù)的不斷的發(fā)展，打擊互聯(lián)網(wǎng)犯罪也成為目前解決互聯(lián)網(wǎng)安全的主要手段之一，在獲取互聯(lián)網(wǎng)犯罪證據(jù)時(shí)必須用到計(jì)算機(jī)取證技術(shù)，通常情況下需要對(duì)計(jì)算機(jī)軟件和工具進(jìn)行詳細(xì)的分析和研究，然后在通過(guò)特定的活動(dòng)提取和尋找有法律依據(jù)的證據(jù),我國(guó)現(xiàn)階段對(duì)互聯(lián)網(wǎng)犯罪的打擊越來(lái)越強(qiáng)，相關(guān)部門(mén)也出臺(tái)了一些法律法規(guī)，一些電子的證據(jù)也慢慢的被法律認(rèn)可，因此研究計(jì)算機(jī)取證技術(shù)越來(lái)越重要。目前通過(guò)計(jì)算機(jī)進(jìn)行取證的方法有很多，這些方法所要完成的任務(wù)是相同的，都是為了獲取有效的電子證據(jù)，這些電子證據(jù)主要有5個(gè)方面：時(shí)間、地點(diǎn)、事件、人物

4、、經(jīng)過(guò)。對(duì)于現(xiàn)在來(lái)講計(jì)算機(jī)犯罪雖然越來(lái)越多但是主要的犯罪種類(lèi)有2種：一種是利用計(jì)算機(jī)存儲(chǔ)相關(guān)的犯罪信息；另一種就是利用計(jì)算機(jī)從事犯罪活動(dòng)。1 計(jì)算機(jī)系統(tǒng)可獲取證據(jù)的途徑計(jì)算機(jī)系統(tǒng)可獲取證據(jù)的途徑有很多，主要包括一些文檔、數(shù)據(jù)庫(kù)文檔以及視頻音頻文件等，這些文件一般都是用戶(hù)自己創(chuàng)建的，包含了很多的隱私信息以及個(gè)人的資料，其中還包括用戶(hù)設(shè)置隱藏的文件以及計(jì)算機(jī)運(yùn)行過(guò)程中自動(dòng)生成的文件等等，最后還包括硬盤(pán)中的一些待刪除的文件或者扇區(qū)的空間、隱藏分區(qū)等，犯罪分子在實(shí)施犯罪的過(guò)程中會(huì)對(duì)文件進(jìn)行刪除、移動(dòng)或者是創(chuàng)建等操作，這些操作都是利用犯罪分子自己設(shè)計(jì)的計(jì)算機(jī)軟件進(jìn)行的，所以在犯罪分子操作的硬盤(pán)中都會(huì)遺留

5、一些信息，這些信息就是取證的重要證據(jù)之一。2 計(jì)算機(jī)系統(tǒng)取證的基本原則依法取證的原則 在我國(guó)法律中規(guī)定，司法鑒定和取證中必須存在以下4個(gè)主體時(shí)才能證明證據(jù)的合法性即主體、對(duì)象、方法和過(guò)程同時(shí)存在。計(jì)算機(jī)網(wǎng)絡(luò)中的取證也需要合法的調(diào)查人員進(jìn)行取證和鑒定，這些合法的人員必須是一些資質(zhì)鑒定的技術(shù)專(zhuān)家。對(duì)于以上所講的對(duì)象合法，就是指在取證時(shí)只是對(duì)與案件相關(guān)的電子信息進(jìn)行取證，對(duì)于超出與案件相關(guān)信息的范圍時(shí)調(diào)查人員要停止鑒定，這樣主要就是避免發(fā)生侵犯受害者的隱私權(quán)、商業(yè)秘密等合法的權(quán)益。備份取證原則和無(wú)損原則 無(wú)損原則顧名思義就是保證一些設(shè)備的完好無(wú)損，這主要是指在取證的過(guò)程中一定要愛(ài)護(hù)涉案設(shè)備，使得涉案

6、設(shè)備的運(yùn)行環(huán)境等保持完整，不能做任何修改。并且在收集一些電子信息時(shí)必要要對(duì)這些重要的數(shù)據(jù)進(jìn)行備份，常用的備份方法就是鏡像技術(shù)，這樣既能保證原始數(shù)據(jù)的完整性還能夠在原始數(shù)據(jù)丟失時(shí)能夠及時(shí)得到補(bǔ)充，其中多備份原則就是這個(gè)目的，原始的數(shù)據(jù)可以保存起來(lái)，備份的數(shù)據(jù)可以用來(lái)操作和分析。及時(shí)性和準(zhǔn)確性 于這些取證的信息都是在計(jì)算機(jī)運(yùn)行過(guò)程中實(shí)時(shí)提取的一些數(shù)據(jù)，這些數(shù)據(jù)不是認(rèn)為生成的，而是自動(dòng)生成的，因此如果計(jì)算機(jī)運(yùn)行超過(guò)一定的時(shí)間后這些數(shù)據(jù)就可能發(fā)生一些變化，所以如果鑒定人員在發(fā)現(xiàn)可以收集的數(shù)據(jù)時(shí)要盡快進(jìn)行收集防止時(shí)間長(zhǎng)了數(shù)據(jù)會(huì)產(chǎn)生變化，給取證造成不便，以上就是說(shuō)的及時(shí)性的原則，準(zhǔn)確性主要是指一些調(diào)查取證

7、人員在取證的過(guò)程中一定要仔細(xì)認(rèn)真，嚴(yán)格的按照相關(guān)的規(guī)定來(lái)進(jìn)行取證，只有這樣才能獲取真實(shí)的取證結(jié)果，保證證據(jù)的完好無(wú)損。全面的取證原則 全面的取證原則就是指在調(diào)查取證人員對(duì)電子證據(jù)進(jìn)行取證時(shí)要奔著全面取證的原則進(jìn)行取證。環(huán)境安全原則 環(huán)境安全原則就是要保證取證的數(shù)據(jù)不要受到外部環(huán)境的影響，比如高磁場(chǎng)、靜電、灰塵、高溫等因素的影響，只有避免以上因素才能保證數(shù)據(jù)收集的安全性，才能準(zhǔn)確的得到所要的電子證據(jù)。過(guò)程監(jiān)督和管理原則 電子證據(jù)是一種無(wú)形的信息，要保證這些證據(jù)的完好無(wú)損必須要有專(zhuān)門(mén)的人員進(jìn)行監(jiān)督，在計(jì)算機(jī)取證的過(guò)程中要有全程的技術(shù)專(zhuān)家進(jìn)行現(xiàn)場(chǎng)的指導(dǎo)和實(shí)時(shí)的監(jiān)控，這些數(shù)據(jù)的保存和轉(zhuǎn)移也必須得到相關(guān)

8、部門(mén)的批準(zhǔn)才能進(jìn)行處理，并且在處理時(shí)要進(jìn)行備份，處理的過(guò)程中還要對(duì)處理的過(guò)程進(jìn)行相關(guān)的記錄。3 計(jì)算機(jī)信息隱秘取證存在的問(wèn)題如今計(jì)算機(jī)隱秘取證存在著很多的問(wèn)題，這些問(wèn)題歸結(jié)起來(lái)主要包含以下幾個(gè)方面：第一、缺乏一些正規(guī)的取證過(guò)程，目前計(jì)算機(jī)隱秘取證過(guò)程都是一些傳統(tǒng)的取證過(guò)程不能保證取證的科學(xué)性和規(guī)范性。隨著計(jì)算機(jī)犯罪日益的增多，我國(guó)相關(guān)的部門(mén)也制定了計(jì)算機(jī)隱秘取證的原則，但是這些原則只是一些籠統(tǒng)的概念，并沒(méi)有對(duì)一些操作的過(guò)程進(jìn)行詳細(xì)的說(shuō)明和解釋?zhuān)栽谟?jì)算機(jī)隱秘取證的過(guò)程中會(huì)很容易不按正規(guī)的方式來(lái)進(jìn)行取證，這樣就會(huì)使得取得的電子爭(zhēng)取的可信度大打折扣，造成這些證據(jù)在法庭上的價(jià)值降低。第二、是信息的

9、分析難度大，于在計(jì)算機(jī)取證時(shí)的數(shù)據(jù)是龐大的，就向大海撈針一樣從大量的數(shù)據(jù)中得出有用的數(shù)據(jù)，分析的難度非常之大，表現(xiàn)的形式也非常的復(fù)雜。第三、取證軟件不足，目前我國(guó)研發(fā)的一些取證軟件遠(yuǎn)遠(yuǎn)不能達(dá)到相關(guān)的取證要求，必須要引進(jìn)國(guó)外的一些取證軟件，并且這些取證軟件價(jià)格非常昂貴有時(shí)還不適合我國(guó)的基本國(guó)情，在目前大部門(mén)的取證都是使用臨時(shí)制作的小程序，或者是人工操作進(jìn)行收集，這樣收集的信息可信度就比較低。4 計(jì)算機(jī)主機(jī)隱秘信息取證系統(tǒng)的分析我國(guó)的計(jì)算機(jī)取證軟件有很多，但是最常用的只有幾種，比如金諾網(wǎng)安介質(zhì)取證系統(tǒng)等，這些軟件在對(duì)計(jì)算機(jī)進(jìn)行取證時(shí)主要包含一下幾個(gè)過(guò)程：對(duì)信息進(jìn)行采集、分析、加工、傳輸，其中計(jì)算機(jī)

10、的主機(jī)取證時(shí)最為主要的取證，其中包含很多子模塊，這些模塊主要包括自動(dòng)隱藏模塊、卸載模塊、文檔數(shù)據(jù)取證模塊等，整個(gè)系統(tǒng)的開(kāi)始就是自動(dòng)隱藏和加載模塊，只有它順利的工作才能保證整個(gè)計(jì)算機(jī)隱秘系統(tǒng)的正常運(yùn)行，在這個(gè)過(guò)程中腰時(shí)刻注意軟件的啟動(dòng)和關(guān)閉過(guò)程，這些模塊必須具有以外關(guān)閉自啟動(dòng)功能，還要具有防病毒軟件躲避的功能。自動(dòng)卸載模塊的功能最主要的技術(shù)就是卸載組建的順序和卸載的過(guò)程隱蔽性，這個(gè)模塊工作時(shí)必須要先將主機(jī)上的一些文本數(shù)據(jù)進(jìn)行清理，然后在進(jìn)行卸載，其中文檔數(shù)據(jù)的取證是整個(gè)取證過(guò)程中的核心部分，基本上所有的取證都是通過(guò)這個(gè)模塊來(lái)完成的。自動(dòng)卸載模塊主要能夠得到以下幾種信息：移動(dòng)接入設(shè)備的數(shù)據(jù)、主機(jī)密碼證書(shū)以及一些密碼文檔。5 結(jié)論以上探討了計(jì)算機(jī)隱秘取證技術(shù)，通過(guò)以上的分析得出計(jì)算機(jī)取證不僅僅是一些科學(xué)技術(shù)上的問(wèn)題，還有相關(guān)的法律問(wèn)題，在計(jì)算機(jī)取證存在的問(wèn)題中可以看出，這