什么的計算機取證
? ? ? 計算機取證(Computer Forensics、計算機取證技術、計算機鑒識、計算機法醫(yī)學)是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)，并據(jù)此提起訴訟。也就是針對計算機入侵與犯罪，進行證據(jù)獲取、保存、分析和出示。計算機證據(jù)指在計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。從技術上而言，計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解，以對入侵事件進行重建的過程?？衫斫鉃椤皬挠嬎銠C上提取證據(jù)”即： 獲取、保存 分析 出示 提供的證據(jù)必須可信 ;

　　計算機取證(Computer Forensics)在打擊計算機和網(wǎng)絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網(wǎng)絡入侵、盜用知識產(chǎn)權(quán)和網(wǎng)絡欺騙等。

　　計算機取證的方式

　　從技術角度看，計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內(nèi)存緩沖和其他形式的儲存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程，即計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據(jù)。

　　計算機取證主要是圍繞電子證據(jù)進行的。電子證據(jù)也稱為計算機證據(jù)，是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄。多媒體技術的發(fā)展，電子證據(jù)綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信、準確、完整、符合法律法規(guī)的，是法庭所能夠接受的。同時，電子證據(jù)與傳統(tǒng)證據(jù)不同，具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據(jù)的產(chǎn)生、儲存和傳輸，都必須借助于計算機技術、存儲技術、網(wǎng)絡技術等，離開了相應技術設備，電子證據(jù)就無法保存和傳輸。無形性是指電子證據(jù)肉眼不能夠直接可見的，必須借助適當?shù)墓ぞ?。易破壞性是指電子證據(jù)很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

　　可以用做計算機取證的信息源很多，如系統(tǒng)日志，防火墻與入侵檢測系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計記錄、網(wǎng)絡監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫文件和操作記錄、硬盤交換分區(qū)、軟件設置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或?qū)⒂脖P空間裝滿，仍有可能恢復已經(jīng)刪除的文件。

　　計算機取證方法說明

　　計算機調(diào)查取證方式在目前的調(diào)查取證中新興的技術模式，其在目前實踐環(huán)境下得到相關調(diào)查機構(gòu)的不斷重視;計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程序、具體方法。計算機取證的方法非常多，而且在計算取證過程中通常又涉及到證據(jù)的分析，取證與分析兩者很難完全孤立開來，所以對計算機取證的分類十分復雜，往往難以按一定的標準進行合理分類。通常情況下根據(jù)取得的證據(jù)的用途不同進行分類，通常可以分為兩類不同性質(zhì)的取證。一類是來源取證，一類是事實取證。

　　1.來源取證

　　所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據(jù)的來源。例如在網(wǎng)絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。

　　IP地址取證主要是利用在互聯(lián)網(wǎng)中，每一臺聯(lián)網(wǎng)的計算機，在某一時刻都有唯一的全局IP地址。根據(jù)在案發(fā)現(xiàn)場找到的IP地址信息，進一步確定犯罪嫌疑人的機器，由犯罪人的機器再尋找案件相關人的方法。

　　MAC地址取證主要在一些局域網(wǎng)中或動態(tài)分配IP地址網(wǎng)絡中，由于IP地址使用有一定的自由，如果哪一個IP地址由誰租用并不清楚時，可以根據(jù)物理地址與邏輯地址的關系，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計算機設備中網(wǎng)卡存在一定的對應關系，可以用來確定來源。

　　電子郵件取證，指的是根據(jù)電子郵件頭部信息找到發(fā)送電子郵件的機器，并根據(jù)已鎖定的機器找到特定人的取證方法。

　　軟件賬號取證，指特定軟件如果其某個賬號與特定人存在一一對應關系時，可以用來證明案件的來源。

　　2.事實取證

　　事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據(jù)，例如犯罪嫌疑人的犯罪事實證據(jù)。在事實取證中常見的取證方法有文件內(nèi)容調(diào)查、使用痕跡調(diào)查、軟件功能分析、軟件相似性分析、日志文件分析、網(wǎng)絡狀態(tài)分析、網(wǎng)絡數(shù)據(jù)包分析等。

　　文件內(nèi)容調(diào)查指的是在存儲設備中取得文檔文件、圖片文件、音頻視頻文件、動畫文件、網(wǎng)頁、電子郵件內(nèi)容等相關文件的內(nèi)容。包括這些文件被刪除以后、文件系統(tǒng)被格式化后或者數(shù)據(jù)恢復以后的文件內(nèi)容。

　　使用痕跡調(diào)查包括windows運行的痕跡(包括運行欄歷史記錄、搜索欄歷史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調(diào)查)、上網(wǎng)記錄的調(diào)查(緩存、歷史記錄、自動完成記錄、瀏覽器地址欄下拉網(wǎng)址，Cookies，index.dat文件等等)、Office，realplay和mediaplay的播放列表及其它應用軟件使用歷史記錄。

　　軟件功能分析主要針對特定軟件和程序的性質(zhì)和功能進行分析，常見是對惡意代碼的分析，確定其破壞性、傳染性等特征。此類取證方法通常在破壞計算機信息系統(tǒng)、入侵計算機信息系統(tǒng)、傳播計算機病毒行為中經(jīng)常使用。

　　軟件相似性分析是指比較兩軟件，找出兩者之間是否存在實質(zhì)性相似的證據(jù)。此類取證方法主要在軟件知識產(chǎn)權(quán)相關案件中使用。

　　日志文件分析，指通過系統(tǒng)日志、數(shù)據(jù)庫日志、網(wǎng)絡日志、應用程序日志等進行分析發(fā)現(xiàn)系統(tǒng)是否存在入侵行為或者其它訪問行為的證據(jù)。

　　網(wǎng)絡狀態(tài)分析指的是取得特定時刻計算機聯(lián)網(wǎng)狀態(tài)。例如網(wǎng)絡中哪些機器與本機相連，本機的網(wǎng)絡配置、開啟了哪些服務、哪些用戶登錄到本機等信息。

　　網(wǎng)絡數(shù)據(jù)包分析指的是通過分析網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包發(fā)現(xiàn)相關證據(jù)的過程。網(wǎng)絡數(shù)據(jù)包分析主要發(fā)生在實時取證中，是一種綜合的取證方法。有時候網(wǎng)絡數(shù)據(jù)包分析也稱呼為“網(wǎng)絡偵聽”。在對網(wǎng)絡犯罪實時偵查或“誘惑性”偵查時，往往采取網(wǎng)絡偵聽的方法發(fā)現(xiàn)犯罪嫌疑人的犯罪活動，掌握犯罪的線索，為抓獲犯罪嫌疑人提供支持。

　　在常用的證據(jù)調(diào)查方法體系中，計算機取證作為一項新興的調(diào)查取證方式，有著其極高的專業(yè)性和技術性，但一旦有所突破，亦能獲得較為明顯的證據(jù)線索，有效的促進案件的證據(jù)整理工作，作為專業(yè)的證據(jù)調(diào)查部，我們不斷的總結(jié)，掌握熟練的計算機取證技術，更好的為客戶提供優(yōu)質(zhì)的證據(jù)服務;

　　計算機取證常用工具

　　計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具

　　如何進行計算機取證

　　根據(jù)電子證據(jù)的特點，在進行計算機取證時，首先要盡早搜集證據(jù)，并保證其沒有受到任何破壞。在取證時必須保證證據(jù)連續(xù)性，即在證據(jù)被正式提交給法庭時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監(jiān)督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監(jiān)督。計算機取證的通常步驟如下。　　(1)保護目標計算機系統(tǒng)。計算機取證時首先必須凍結(jié)目標計算機系統(tǒng)，不給犯罪嫌疑人破壞證據(jù)的機會。避免出現(xiàn)任何更改系統(tǒng)設置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況?！　?2)確定電子證據(jù)。在計算機存儲介質(zhì)容量越來越大的情況下，必須根據(jù)系統(tǒng)的破壞程度，在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù)，哪些是無用數(shù)據(jù)。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據(jù)，確定這些記錄的存放位置和存儲方式?！　?3)收集電子證據(jù)?！　∮涗浵到y(tǒng)的硬件配置和硬件連接情況，以便將計算機系統(tǒng)轉(zhuǎn)移到安全的地方進行分析。

　　對目標系統(tǒng)磁盤中的所有數(shù)據(jù)進行鏡像備份。備份后可對計算機證據(jù)進行處理，如果將來出現(xiàn)對收集的電子證據(jù)發(fā)生疑問時，可通過鏡像備份的數(shù)據(jù)將目標系統(tǒng)恢復到原始狀態(tài)。 用取證工具收集的電子證據(jù)，對系統(tǒng)的日期和時間進行記錄歸檔，對可能作為證據(jù)的數(shù)據(jù)進行分析。對關鍵的證據(jù)數(shù)據(jù)用光盤備份，也可直接將電子證據(jù)打印成文件證據(jù)。 利用程序的自動搜索功能，將可疑為電子證據(jù)的文件或數(shù)據(jù)列表，確認后發(fā)送給取證服務器。 對網(wǎng)絡防火墻和入侵檢測系統(tǒng)的日志數(shù)據(jù)，由于數(shù)據(jù)量特別大，可先進行光盤備份，保全原始數(shù)據(jù)，然后進行犯罪信息挖掘。 各類電子證據(jù)匯集時，將相關的文件證據(jù)存入取證服務器的特定目錄，將存放目錄、文件類型、證據(jù)來源等信息存入取證服務器的數(shù)據(jù)庫。

　　(4)保護電子證據(jù)

　　對調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)加封條存放在安全的地方。對獲取的電子證據(jù)采用安全措施保護，無關人員不得操作存放電子證據(jù)的計算機。不輕易刪除或修改文件以免引起有價值的證據(jù)文件的永久丟失。