計算機取證

計算機取證(Computer Forensics)在打擊計算機和網路犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網路入侵、盜用智慧財產權和網路欺騙等。

計算機取證（Computer Forensics、計算機取證技術、計算機鑑識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，並據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為“從計算機上提取證據”即： 獲取、保存 分析 出示 提供的證據必須可信 ;

計算機取證(Computer Forensics)在打擊計算機和網路犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網路入侵、盜用智慧財產權和網路欺騙等。

從技術角度看，計算機取證是分析硬碟，光碟，軟碟，Zip磁碟，隨身碟，記憶體緩衝和其他形式的儲存介質以發現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟體和工具，按照一些預先定義的程式，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據，是指在計算機或計算機系統運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展，電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣，電子證據必須是可信、準確、完整、符合法律法規的，是法庭所能夠接受的。同時，電子證據與傳統證據不同，具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸，都必須藉助於計算機技術、存儲技術、網路技術等，離開了相應技術設備，電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的，必須藉助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

可以用做計算機取證的信息源很多，如系統日誌，防火牆與入侵檢測系統的工作記錄、反病毒軟體日誌、系統審計記錄、網路監控流量、電子郵件、作業系統檔案、資料庫檔案和操作記錄、硬碟交換分區、軟體設定參數和檔案、完成特定功能的腳本檔案、Web瀏覽器數據緩衝、書籤、歷史記錄或會話日誌、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束後將自己殘留在受害方系統中的“痕跡”擦除掉，如儘量刪除或修改日誌檔案及其他有關記錄。但是，一般的刪除檔案操作，即使在清空了資源回收筒後，如果不是對硬碟進行低級格式化處理或將硬碟空間裝滿，仍有可能恢復已經刪除的檔案。

計算機調查取證方式在目前的調查取證中新興的技術模式，其在目前實踐環境下得到相關調查機構的不斷重視；計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程式、具體方法。計算機取證的方法非常多，而且在計算取證過程中通常又涉及到證據的分析，取證與分析兩者很難完全孤立開來，所以對計算機取證的分類十分複雜，往往難以按一定的標準進行合理分類。通常情況下根據取得的證據的用途不同進行分類，通常可以分為兩類不同性質的取證。一類是來源取證，一類是事實取證。

所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網路犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP位址，則尋找IP位址便是來源取證。這類取證中，主要有IP位址取證、MAC地址取證、電子郵件取證、軟體賬號取證等。

IP位址取證主要是利用在網際網路中，每一台聯網的計算機，在某一時刻都有唯一的全局IP位址。根據在案發現場找到的IP位址信息，進一步確定犯罪嫌疑人的機器，由犯罪人的機器再尋找案件相關人的方法。

MAC地址取證主要在一些區域網路中或動態分配IP位址網路中，由於IP位址使用有一定的自由，如果哪一個IP位址由誰租用並不清楚時，可以根據物理地址與邏輯地址的關係，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計算機設備中網卡存在一定的對應關係，可以用來確定來源。

電子郵件取證，指的是根據電子郵件頭部信息找到傳送電子郵件的機器，並根據已鎖定的機器找到特定人的取證方法。

軟體賬號取證，指特定軟體如果其某個賬號與特定人存在一一對應關係時，可以用來證明案件的來源。

事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有檔案內容調查、使用痕跡調查、軟體功能分析、軟體相似性分析、日誌檔案分析、網路狀態分析、網路數據包分析等。

檔案內容調查指的是在存儲設備中取得文檔檔案、圖片檔案、音頻視頻檔案、動畫檔案、網頁、電子郵件內容等相關檔案的內容。包括這些檔案被刪除以後、檔案系統被格式化後或者數據恢復以後的檔案內容。

使用痕跡調查包括windows運行的痕跡（包括運行欄歷史記錄、搜尋欄歷史記錄、打開/保存檔案記錄、臨時資料夾、最近訪問的檔案等使用檔案與程式調查）、上網記錄的調查（快取、歷史記錄、自動完成記錄、瀏覽器地址欄下拉網址，Cookies，index．dat檔案等等）、Office，realplay和mediaplay的播放列表及其它套用軟體使用歷史記錄。

軟體功能分析主要針對特定軟體和程式的性質和功能進行分析，常見是對惡意代碼的分析，確定其破壞性、傳染性等特徵。此類取證方法通常在破壞計算機信息系統、入侵計算機信息系統、傳播計算機病毒行為中經常使用。

軟體相似性分析是指比較兩軟體，找出兩者之間是否存在實質性相似的證據。此類取證方法主要在軟體智慧財產權相關案件中使用。

日誌檔案分析，指通過系統日誌、資料庫日誌、網路日誌、應用程式日誌等進行分析發現系統是否存在入侵行為或者其它訪問行為的證據。

網路狀態分析指的是取得特定時刻計算機聯網狀態。例如網路中哪些機器與本機相連，本機的網路配置、開啟了哪些服務、哪些用戶登錄到本機等信息。

網路數據包分析指的是通過分析網路中傳輸的數據包發現相關證據的過程。網路數據包分析主要發生在實時取證中，是一種綜合的取證方法。有時候網路數據包分析也稱呼為“網路偵聽”。在對網路犯罪實時偵查或“誘惑性”偵查時，往往採取網路偵聽的方法發現犯罪嫌疑人的犯罪活動，掌握犯罪的線索，為抓獲犯罪嫌疑人提供支持。

在常用的證據調查方法體系中，計算機取證作為一項新興的調查取證方式，有著其極高的專業性和技術性，但一旦有所突破，亦能獲得較為明顯的證據線索，有效的促進案件的證據整理工作，作為專業的證據調查部，我們不斷的總結，掌握熟練的計算機取證技術，更好的為客戶提供優質的證據服務；

計算機取證的主要原則有以下幾點：

首先，儘早蒐集證據，並保證其沒有受到任何破壞；

其次，必須保證“證據連續性”（有時也被稱為“chain of custody”），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；

最後，整個檢查、取證過程必須是受到監督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。

計算機取證的目標 ：

使調查的結果能夠經受法庭的檢查。

應該從一開始就把計算機作為物證對待，在不對原有物證進行任何改動或損壞的前提下獲取證據；

證明你所獲取的證據和原有的數據是相同的；

在不改動數據的前提下對其進行分析；

務必確認你已經完整的記錄下你採取的每一個步驟以及採取該步驟的原因。

根據電子證據的特點，在進行計算機取證時，首先要儘早蒐集證據，並保證其沒有受到任何破壞。在取證時必須保證證據連續性，即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。

(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設定、損壞硬體、破壞數據或病毒感染的情況。

(2)確定電子證據。在計算機存儲介質容量越來越大的情況下，必須根據系統的破壞程度，在海量數據中區分哪些是電子證據，哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據，確定這些記錄的存放位置和存儲方式。

(3)收集電子證據。

記錄系統的硬體配置和硬體連線情況，以便將計算機系統轉移到安全的地方進行分析。

對目標系統磁碟中的所有數據進行鏡像備份。備份後可對計算機證據進行處理，如果將來出現對收集的電子證據發生疑問時，可通過鏡像備份的數據將目標系統恢復到原始狀態。 用取證工具收集的電子證據，對系統的日期和時間進行記錄歸檔，對可能作為證據的數據進行分析。對關鍵的證據數據用光碟備份，也可直接將電子證據列印成檔案證據。 利用程式的自動搜尋功能，將可疑為電子證據的檔案或數據列表，確認後傳送給取證伺服器。 對網路防火牆和入侵檢測系統的日誌數據，由於數據量特別大，可先進行光碟備份，保全原始數據，然後進行犯罪信息挖掘。 各類電子證據匯集時，將相關的檔案證據存入取證伺服器的特定目錄，將存放目錄、檔案類型、證據來源等信息存入取證伺服器的資料庫。 　(4)保護電子證據

對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據採用安全措施保護，無關人員不得操作存放電子證據的計算機。不輕易刪除或修改檔案以免引起有價值的證據檔案的永久丟失。

在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：

第一， 在取證檢查中，保護目標計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染；

第二， 搜尋目標系統中的所有檔案。包括現存的正常檔案，已經被刪除但仍存在於磁碟上（即還沒有被新檔案覆蓋）的檔案，隱藏檔案，受到密碼保護的檔案和加密檔案；

第三， 全部（或儘可能）恢復發現的已刪除檔案；

第四， 最大程度地顯示作業系統或應用程式使用的隱藏檔案、臨時檔案和交換檔案的內容；

第五， 如果可能並且如果法律允許，訪問被保護或加密檔案的內容；

第六，分析在磁碟的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類：①所謂的未分配磁碟空間——雖然目前沒有被使用，但可能包含有先前的數據殘留；② 檔案中的“slack”空間——如果檔案的長度不是簇長度的整數倍，那么分配給檔案的最後一簇中，會有未被當前檔案使用的剩餘空間，其中可能包含了先前檔案遺留下來的信息，可能是有用的證據；

第七，列印對目標計算機系統的全面分析結果，然後給出分析結論：系統的整體情況，發現的檔案結構、數據、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發現的其它的相關信息；

第八，給出必需的專家證明。

上面提到的計算機取證原則及步驟都是基於一種靜態的視點，即事件發生後對目標系統的靜態分析。隨著計算機犯罪技術手段的提高，這種靜態的視點已經無法滿足要求，發展趨勢是將計算機取證結合到入侵檢測等網路安全工具和網路體系結構中，進行動態取證。整個取證過程將更加系統並具有智慧型性，也將更加靈活多樣。

計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS和HDDOK等工具

計算機取證的過程

取證準備(Preparation)

操作準備

設備準備

證據識別(Identification)

現場證據保護

設備保管

證據收集(Collection)

原始證據提取

原始證據保存

證據分析(Analysis)

取證分析

結論報告

證據提交(Presentation)

證據展示

證據返還

電子證據需要藉助計算機的輔助程式來查看，分析電子證據的信息需要很深的專業知識，應依靠專業的取證專家。通常進行的工作包括。

(1)藉助自動取證的文本搜尋工具，進行一系列的關鍵字搜尋查找最重要的信息。

(2)對檔案屬性、檔案的摘要和日誌進行分析，根據已經獲得的檔案或數據的用詞、語法、寫作或軟體設計編制風格，推斷可能的作者。

(3)利用數據解密技術和密碼破譯技術，對電子介質中的被保護信息進行強行訪問，獲取信息。

(4)分析Windows系統的交換檔案和硬碟中未分配的空間，這些地方往往存放著犯罪嫌疑人容易忽視的證據。

(5)對電子證據進行智慧型相關性分析，發掘同一事件不同證據間的聯繫。如分析分散式拒絕服務攻擊證據時，可對某一時間段來自攻擊者的IP在不同系統中留下的痕跡，按一定順序羅列和評估其相關性。

一般講，與案件事實存在著直接的、內在聯繫的證據，其證明效力較強;反之，則較弱。由於計算機證據容易被偽造、篡改，而且被偽造、篡改後不留痕跡，再加上計算機證據由於人為的原因或環境和技術條件的影響容易出錯，故習慣將計算機證據歸入間接證據。從目前的偵查取證來看，計算機取證也是處在輔助取證的地位，主要的作用是獲取與案件相關的線索，起輔助證明作用。

在所涉及的計算機證據調查案件中，往往可以通過針對電子證據的調查整理獲取更多的證據線索，所以，在使用或操作計算機調查時你需要我們這種專業的服務機構，歡迎諮詢我們................