论文部分内容阅读
摘要: 信息网络技术的迅速发展改变人们的生活、生产和管理方式,同时也为计算机违法犯罪分子提供新的犯罪手段和技术支持。以计算机信息系统为犯罪对象和工具的各类新型犯罪活动越来越多,造成的危害也越来越大。如何有效的获取与计算机犯罪相关的电子证据,将犯罪分子绳之以法,已成为司法和计算机科学领域中亟待解决的新课题。
关键词: 计算机犯罪;计算机取证;电子证据;信息发现
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0320059-01
1 什么是计算机犯罪
什么是计算机犯罪,理论界众说纷纭,尚无定论。公安部计算机管理监察司给出的定义是:所谓计算机犯罪,就是在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统,对国家、团体或个人造成危害,依据法律规定,应当予以刑罚处罚的行为。
近年来,随着计算机的普及和计算机信息技术的发展,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。因此,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证的研究成了当今的一个必要的研究课题。
2 什么是计算机取证
关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家Reith Clint Mark认为:计算机取证可以认为是“从计算机中收集和发现证据的技术和工具”。泛泛地讲,计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。电子证据还具有与传统证据有别的其它特点:① 磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;② 电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③ 高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④ 人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转。
在法庭上证据是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。而电子证据独特的特征决定了取证过程的独特性。
3 计算机取证过程
计算机取证包括物理证据获取和信息发现两个阶段。
3.1 物理证据的获取
物理证据的获取是全部取证工作的基础。在获取物理证据时力保原始数据不受任何破坏。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题:① 目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;② 技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。
3.2 信息发现
如何在物理证据中提取出的能证明犯罪者犯罪行为的有效数据即信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。为了保护原始数据,除非特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。数据恢复后,取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后取证专家据此给出完整的报告。此报告将成为打击犯罪的主要依据。
4 取证技术和反取证技术
计算机取证过程中,取证不仅依赖计算机操作人员高超的专业技能,更重要的是一定要使用相应的计算机取证工具来进行取证。例如:入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fde slack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作會话碎片。以上这些都可以利用计算机取证软件来收集。
在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。
HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。
通常情况下,HoneyPot会模拟常见的漏洞。但Honeynet确是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。
计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖;其次,取证软件必须能够找到这些数据,并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。
正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。此外,黑客还可以利用Root Kit(系统后门、木马程序),绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。
参考文献:
[1]高铭喧,新编中国刑法学,1998.
[2]蒋平,计算机犯罪问题研究,2000.
[3]张彦,计算机犯罪及其社会控制,2000.
关键词: 计算机犯罪;计算机取证;电子证据;信息发现
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0320059-01
1 什么是计算机犯罪
什么是计算机犯罪,理论界众说纷纭,尚无定论。公安部计算机管理监察司给出的定义是:所谓计算机犯罪,就是在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统,对国家、团体或个人造成危害,依据法律规定,应当予以刑罚处罚的行为。
近年来,随着计算机的普及和计算机信息技术的发展,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。因此,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证的研究成了当今的一个必要的研究课题。
2 什么是计算机取证
关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家Reith Clint Mark认为:计算机取证可以认为是“从计算机中收集和发现证据的技术和工具”。泛泛地讲,计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。电子证据还具有与传统证据有别的其它特点:① 磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;② 电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③ 高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④ 人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转。
在法庭上证据是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。而电子证据独特的特征决定了取证过程的独特性。
3 计算机取证过程
计算机取证包括物理证据获取和信息发现两个阶段。
3.1 物理证据的获取
物理证据的获取是全部取证工作的基础。在获取物理证据时力保原始数据不受任何破坏。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题:① 目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;② 技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。
3.2 信息发现
如何在物理证据中提取出的能证明犯罪者犯罪行为的有效数据即信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。为了保护原始数据,除非特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。数据恢复后,取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后取证专家据此给出完整的报告。此报告将成为打击犯罪的主要依据。
4 取证技术和反取证技术
计算机取证过程中,取证不仅依赖计算机操作人员高超的专业技能,更重要的是一定要使用相应的计算机取证工具来进行取证。例如:入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fde slack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作會话碎片。以上这些都可以利用计算机取证软件来收集。
在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。
HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。
通常情况下,HoneyPot会模拟常见的漏洞。但Honeynet确是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。
计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖;其次,取证软件必须能够找到这些数据,并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。
正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。此外,黑客还可以利用Root Kit(系统后门、木马程序),绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。
参考文献:
[1]高铭喧,新编中国刑法学,1998.
[2]蒋平,计算机犯罪问题研究,2000.
[3]张彦,计算机犯罪及其社会控制,2000.