浅析计算机主机隐秘信息取证技术-JobPlus

0 引言

随着计算机技术的不断的发展，打击互联网犯罪也成为目前解决互联网安全的主要手段之一，在获取互联网犯罪证据时必须用到计算机取证技术，通常情况下需要对计算机软件和工具进行详细的分析和研究，然后在通过特定的活动提取和寻找有法律依据的证据,我国现阶段对互联网犯罪的打击越来越强，相关部门也出台了一些法律法规，一些电子的证据也慢慢的被法律认可，因此研究计算机取证技术越来越重要。目前通过计算机进行取证的方法有很多，这些方法所要完成的任务是相同的，都是为了获取有效的电子证据，这些电子证据主要有5个方面：时间、地点、事件、人物、经过。对于现在来讲计算机犯罪虽然越来越多但是主要的犯罪种类有2种：一种是利用计算机存储相关的犯罪信息；另一种就是利用计算机从事犯罪活动。

1 计算机系统可获取证据的途径

计算机系统可获取证据的途径有很多，主要包括一些文本文档、数据库文档以及视频音频文件等，这些文件一般都是由用户自己创建的，包含了很多的隐私信息以及个人的资料，其中还包括用户设置隐藏的文件以及计算机运行过程中自动生成的文件等等，最后还包括硬盘中的一些待删除的文件或者扇区的空间、隐藏分区等，犯罪分子在实施犯罪的过程中会对文件进行删除、移动或者是创建等操作，这些操作都是利用犯罪分子自己设计的计算机软件进行的，所以在犯罪分子操作的硬盘中都会遗留一些信息，这些信息就是取证的重要证据之一。

2 计算机系统取证的基本原则

2.1 依法取证的原则在我国法律中规定，司法鉴定和取证中必须存在以下4个主体时才能证明证据的合法性即主体、对象、方法和过程同时存在。计算机网络中的取证也需要合法的调查人员进行取证和鉴定，这些合法的人员必须是一些资质鉴定的技术专家。对于以上所讲的对象合法，就是指在取证时只是对与案件相关的电子信息进行取证，对于超出与案件相关信息的范围时调查人员要停止鉴定，这样主要就是避免发生侵犯受害者的隐私权、商业秘密等合法的权益。

2.2 备份取证原则和无损原则无损原则顾名思义就是保证一些设备的完好无损，这主要是指在取证的过程中一定要爱护涉案设备，使得涉案设备的运行环境等保持完整，不能做任何修改。并且在收集一些电子信息时必要要对这些重要的数据进行备份，常用的备份方法就是镜像技术，这样既能保证原始数据的完整性还能够在原始数据丢失时能够及时得到补充，其中多备份原则就是这个目的，原始的数据可以保存起来，备份的数据可以用来操作和分析。

2.3 及时性和准确性由于这些取证的信息都是在计算机运行过程中实时提取的一些数据，这些数据不是认为生成的，而是自动生成的，因此如果计算机运行超过一定的时间后这些数据就可能发生一些变化，所以如果鉴定人员在发现可以收集的数据时要尽快进行收集防止时间长了数据会产生变化，给取证造成不便，以上就是说的及时性的原则，准确性主要是指一些调查取证人员在取证的过程中一定要仔细认真，严格的按照相关的规定来进行取证，只有这样才能获取真实的取证结果，保证证据的完好无损。

2.4 全面的取证原则全面的取证原则就是指在调查取证人员对电子证据进行取证时要奔着全面取证的原则进行取证。

2.5 环境安全原则环境安全原则就是要保证取证的数据不要受到外部环境的影响，比如高磁场、静电、灰尘、高温等因素的影响，只有避免以上因素才能保证数据收集的安全性，才能准确的得到所要的电子证据。

2.6 过程监督和管理原则电子证据是一种无形的信息，要保证这些证据的完好无损必须要有专门的人员进行监督，在计算机取证的过程中要有全程的技术专家进行现场的指导和实时的监控，这些数据的保存和转移也必须得到相关部门的批准才能进行处理，并且在处理时要进行备份，处理的过程中还要对处理的过程进行相关的记录。

3 计算机信息隐秘取证存在的问题

如今计算机隐秘取证存在着很多的问题，这些问题归结起来主要包含以下几个方面：

第一、缺乏一些正规的取证过程，目前计算机隐秘取证过程都是一些传统的取证过程不能保证取证的科学性和规范性。随着计算机犯罪日益的增多，我国相关的部门也制定了计算机隐秘取证的原则，但是这些原则只是一些笼统的概念，并没有对一些操作的过程进行详细的说明和解释，所以在计算机隐秘取证的过程中会很容易不按正规的方式来进行取证，这样就会使得取得的电子争取的可信度大打折扣，造成这些证据在法庭上的价值降低。

第二、是信息的分析难度大，由于在计算机取证时的数据是庞大的，就向大海捞针一样从大量的数据中得出有用的数据，分析的难度非常之大，表现的形式也非常的复杂。

第三、取证软件不足，目前我国研发的一些取证软件远远不能达到相关的取证要求，必须要引进国外的一些取证软件，并且这些取证软件价格非常昂贵有时还不适合我国的基本国情，在目前大部门的取证都是使用临时制作的小程序，或者是人工操作进行收集，这样收集的信息可信度就比较低。

4 计算机主机隐秘信息取证系统的分析

我国的计算机取证软件有很多，但是最常用的只有几种，比如金诺网安介质取证系统等，这些软件在对计算机进行取证时主要包含一下几个过程：对信息进行采集、分析、加工、传输，其中计算机的主机取证时最为主要的取证，其中包含很多子模块，这些模块主要包括自动隐藏模块、卸载模块、文档数据取证模块等，整个系统的开始就是自动隐藏和加载模块，只有它顺利的工作才能保证整个计算机隐秘系统的正常运行，在这个过程中腰时刻注意软件的启动和关闭过程，这些模块必须具有以外关闭自启动功能，还要具有防病毒软件躲避的功能。

自动卸载模块的功能最主要的技术就是卸载组建的顺序和卸载的过程隐蔽性，这个模块工作时必须要先将主机上的一些文本数据进行清理，然后在进行卸载，其中文档数据的取证是整个取证过程中的核心部分，基本上所有的取证都是通过这个模块来完成的。自动卸载模块主要能够得到以下几种信息：移动接入设备的数据、主机密码证书以及一些密码文档。

5 结论

以上探讨了计算机隐秘取证技术，通过以上的分析得出计算机取证不仅仅是一些科学技术上的问题，还有相关的法律问题，在计算机取证存在的问题中可以看出，这些技术必须配合相关的法律法规和相关的操作流程才能使得取得的电子争取可信度提高，只有这样才能使得电子争取在法庭上有效，目前计算机隐秘取证的技术会慢慢的进行革新，基本上会采用动态和静态相结合的取证方式，还有网络取证和单机取证相结合的取证方式，只有这样才能不断的完善计算机取证体系，才能使得计算机取证不断的规范化、全面化。

0 引言随着计算机技术的不断的发展，打击互联网犯罪也成为目前解决互联网安全的主要手段之一，在获取互联网犯罪证据时必须用到计算机取证技术，通常情况下需要对计算机软件和工具进行详细的分析和研究，然后在通过特定的活动提取和寻找有法律依据的证据,我国现阶段对互联网犯罪的打击越来越强，相关部门也出台了一些法律法规，一些电子的证据也慢慢的被法律认可，因此研究计算机取证技术越来越重要。目前通过计算机进行取证的方法有很多，这些方法所要完成的任务是相同的，都是为了获取有效的电子证据，这些电子证据主要有5个方面：时间、地点、事件、人物、经过。对于现在来讲计算机犯罪虽然越来越多但是主要的犯罪种类有2种：一种是利用计算机存储相关的犯罪信息；另一种就是利用计算机从事犯罪活动。1 计算机系统可获取证据的途径计算机系统可获取证据的途径有很多，主要包括一些文本文档、数据库文档以及视频音频文件等，这些文件一般都是由用户自己创建的，包含了很多的隐私信息以及个人的资料，其中还包括用户设置隐藏的文件以及计算机运行过程中自动生成的文件等等，最后还包括硬盘中的一些待删除的文件或者扇区的空间、隐藏分区等，犯罪分子在实施犯罪的过程中会对文件进行删除、移动或者是创建等操作，这些操作都是利用犯罪分子自己设计的计算机软件进行的，所以在犯罪分子操作的硬盘中都会遗留一些信息，这些信息就是取证的重要证据之一。2 计算机系统取证的基本原则2.1 依法取证的原则 在我国法律中规定，司法鉴定和取证中必须存在以下4个主体时才能证明证据的合法性即主体、对象、方法和过程同时存在。计算机网络中的取证也需要合法的调查人员进行取证和鉴定，这些合法的人员必须是一些资质鉴定的技术专家。对于以上所讲的对象合法，就是指在取证时只是对与案件相关的电子信息进行取证，对于超出与案件相关信息的范围时调查人员要停止鉴定，这样主要就是避免发生侵犯受害者的隐私权、商业秘密等合法的权益。2.2 备份取证原则和无损原则 无损原则顾名思义就是保证一些设备的完好无损，这主要是指在取证的过程中一定要爱护涉案设备，使得涉案设备的运行环境等保持完整，不能做任何修改。并且在收集一些电子信息时必要要对这些重要的数据进行备份，常用的备份方法就是镜像技术，这样既能保证原始数据的完整性还能够在原始数据丢失时能够及时得到补充，其中多备份原则就是这个目的，原始的数据可以保存起来，备份的数据可以用来操作和分析。2.3 及时性和准确性 由于这些取证的信息都是在计算机运行过程中实时提取的一些数据，这些数据不是认为生成的，而是自动生成的，因此如果计算机运行超过一定的时间后这些数据就可能发生一些变化，所以如果鉴定人员在发现可以收集的数据时要尽快进行收集防止时间长了数据会产生变化，给取证造成不便，以上就是说的及时性的原则，准确性主要是指一些调查取证人员在取证的过程中一定要仔细认真，严格的按照相关的规定来进行取证，只有这样才能获取真实的取证结果，保证证据的完好无损。2.4 全面的取证原则 全面的取证原则就是指在调查取证人员对电子证据进行取证时要奔着全面取证的原则进行取证。2.5 环境安全原则 环境安全原则就是要保证取证的数据不要受到外部环境的影响，比如高磁场、静电、灰尘、高温等因素的影响，只有避免以上因素才能保证数据收集的安全性，才能准确的得到所要的电子证据。2.6 过程监督和管理原则 电子证据是一种无形的信息，要保证这些证据的完好无损必须要有专门的人员进行监督，在计算机取证的过程中要有全程的技术专家进行现场的指导和实时的监控，这些数据的保存和转移也必须得到相关部门的批准才能进行处理，并且在处理时要进行备份，处理的过程中还要对处理的过程进行相关的记录。3 计算机信息隐秘取证存在的问题如今计算机隐秘取证存在着很多的问题，这些问题归结起来主要包含以下几个方面：第一、缺乏一些正规的取证过程，目前计算机隐秘取证过程都是一些传统的取证过程不能保证取证的科学性和规范性。随着计算机犯罪日益的增多，我国相关的部门也制定了计算机隐秘取证的原则，但是这些原则只是一些笼统的概念，并没有对一些操作的过程进行详细的说明和解释，所以在计算机隐秘取证的过程中会很容易不按正规的方式来进行取证，这样就会使得取得的电子争取的可信度大打折扣，造成这些证据在法庭上的价值降低。第二、是信息的分析难度大，由于在计算机取证时的数据是庞大的，就向大海捞针一样从大量的数据中得出有用的数据，分析的难度非常之大，表现的形式也非常的复杂。第三、取证软件不足，目前我国研发的一些取证软件远远不能达到相关的取证要求，必须要引进国外的一些取证软件，并且这些取证软件价格非常昂贵有时还不适合我国的基本国情，在目前大部门的取证都是使用临时制作的小程序，或者是人工操作进行收集，这样收集的信息可信度就比较低。4 计算机主机隐秘信息取证系统的分析我国的计算机取证软件有很多，但是最常用的只有几种，比如金诺网安介质取证系统等，这些软件在对计算机进行取证时主要包含一下几个过程：对信息进行采集、分析、加工、传输，其中计算机的主机取证时最为主要的取证，其中包含很多子模块，这些模块主要包括自动隐藏模块、卸载模块、文档数据取证模块等，整个系统的开始就是自动隐藏和加载模块，只有它顺利的工作才能保证整个计算机隐秘系统的正常运行，在这个过程中腰时刻注意软件的启动和关闭过程，这些模块必须具有以外关闭自启动功能，还要具有防病毒软件躲避的功能。自动卸载模块的功能最主要的技术就是卸载组建的顺序和卸载的过程隐蔽性，这个模块工作时必须要先将主机上的一些文本数据进行清理，然后在进行卸载，其中文档数据的取证是整个取证过程中的核心部分，基本上所有的取证都是通过这个模块来完成的。自动卸载模块主要能够得到以下几种信息：移动接入设备的数据、主机密码证书以及一些密码文档。5 结论以上探讨了计算机隐秘取证技术，通过以上的分析得出计算机取证不仅仅是一些科学技术上的问题，还有相关的法律问题，在计算机取证存在的问题中可以看出，这些技术必须配合相关的法律法规和相关的操作流程才能使得取得的电子争取可信度提高，只有这样才能使得电子争取在法庭上有效，目前计算机隐秘取证的技术会慢慢的进行革新，基本上会采用动态和静态相结合的取证方式，还有网络取证和单机取证相结合的取证方式，只有这样才能不断的完善计算机取证体系，才能使得计算机取证不断的规范化、全面化。

关于我们

法律声明

帮助中心

商务合作

相关文章

关于我们

法律声明

帮助中心

商务合作