计算机犯罪的取证研究

随着计算机技术的快速发展,网络中各种犯罪活动日益增多,电子证据日益引起人们的重视。如何获取这类证据,即计算机犯罪取证,已成为司法人员面对的一大难题。从计算机犯罪取证的概念、取证工具、取证步骤等方面对计算机犯罪取证技术,进行了研究。

第7第 4卷期2 0年 4月 08

软件导刊Sot r ie fwae Gud

VO. o4 17N .Ap . 00 r2 8

计算机犯罪的取证研究张智佳(汉大学计算机学院信息安全系湖北武汉 4 0 7 )武 309摘要：着计算机技术的快速发展，随网络中各种犯罪活动日益增多，子证据日益引起人们的重视。如何获取这类电

证据，即计算机犯罪取证，已成为司法人员面对的一大难题。从计算机犯罪取证的概念、证工具、取取证步骤等方面对计算机犯罪取证技术，行了研究。进

关键词：电子证据；算机犯罪取证计中图分类号：P 0 T39文献标识码： A文章编号：6 2 7 0 ( 0 8 0— 18 0 1 7— 8 0 2 0 )4 0 4— 2

( )日志文件的分析。在计算机的运行记录中， 1对日志占据

1什么是计算机犯罪取证“算机犯罪取证” C b rr o p t oe s s又称 计 ( yeci C m ue F rni ) me r c

着主要地位，在一些简单或新手的入侵中，计算机日志往往就会成为调查该非法行为的着手点之一，在日志中获得非法人侵行为痕迹的可能性极大。如不法分子用IC探测目标系统，会在 P￥就系统安全日志中留下探测者的用户名、码以及探测的时间 .密用

“数字取证”“或电子取证”是指利用计算机软硬件技术，,以符合法律规范的方式对计算机入侵、坏、诈、破欺攻击等犯罪行为进行证据获取、保存、析和出示的过程。分它可以分为静态取证和动态取证，态取证是指对终结计算机犯罪行为进行静态的静

FP r探测也会在F1日志中留下探测者的I地址、户名密码和]P P用探测时间。此要使日志取证成功，键是对日志文件进行有效因关

犯罪证据提取、存、析、别和提交的过程，保分鉴而动态取证实质上就是对计算机实时犯罪证据的诱捕、存、析、踪和提保分追交的过程。

地保护，比如定期备份、日志文件的访问权限指定给一个特定将的用户等。

() 2从入侵者访问的文件、网址或其他资源人手。在计算机犯罪案件中 .其是物理接触性非授权操作行为中。过对非尤通

法操作者所访问过的网址、文件、曾下载过的工具等行为痕迹的检查 .非常容易地发现犯罪嫌疑人此次非法操作行为的目能

2常用的取证工具在计算机取证过程中 .应的取证工具必不可少 .见的相常T p u g s NFR、 Ca e Tc wr p e n f r Ho e p t e d mp Ar u、 En s p a p r S i e s f n y o

的。例如在开始菜单中运行rgdt, ee i从注册表中搜索 rcn . eet将得到许多 rcn记录 .如：在 H C\ o w r\ d b\ rbt ee t K U S f ae A oe Aco a t

TiwrsN tokmoi r镜像工具等。国外计算机取证中比 r i、 e r nt和 p e w o较流行的是用 E cs和 Fk两个软件，通过二进制数据还原 nae t这技术来重现一些机器操作信息和软件安装数据信息等 .电子在邮件取证方面是通过 E alrc Po个工具来做一些电子邮 m i ak r这 T

R ae 8 0 db V e e ed￣ .\A o e iw r有该软件最近阅读过的文件：在HKCU\S ft r\M ir sft\0fie .0 x e\Re e tFls o wae co o f c\9\E c l c n i e

有 E cl近打开的文档；在 C\ ou nsa dS tnsD fu xe最： cme t n e igkea h D t U e\L cl e ig H s r中存有最近访问所留下的所有文 sr o a S tns\ i oy t t件： E访问历史在 C\o u nsa dS tn s e ut sr o I: eme t n et g\ f l U e\L— D i D a clet g\ e oayItre Fls a tn s T mprr nen t i中记录了Itre地址、题 S i e nen t标

件定位，通过分析邮件来往信息头做出判定。

3如何进行计算机犯罪取证31静态取证的步骤 . 311现场保护和现场勘查 ..

和上次访问时间等。 () 3利用数据恢复技术来取证。对于有明显删除痕迹的非

法入侵的计算机犯罪案件，数据恢复就显得尤为重要。数据恢复在目前已成为一门独立的学科 .主要是将逻辑删除的数据它和未被覆盖的物理删除的数据重新从磁

介质中提取出来 .复恢数据原有的状态或类型。 ( )看网络日志。火墙日志、D日志、 4查防 IS网络工具所产生的记录和日志均可查看。

现场保护对静态取证和动态取证都具有很重要的意义 .它主要是对物理证据的保护。种情况对物理接触非法侵入行为这

的证据的提取很有价值，它包括监管目标计算机并避免发生任何的数据破坏或病毒感染、制计算机犯罪现场图等。绘312 ..获取证据

32动态取证的步骤 .

作者简介：秩智佳 (97 )男，北京山人，汉大学计算机学院信息安全专业学生 .究方向为信息安全。 18~,湖武研