计算机犯罪取证局限性的研究

叶碧虾

（漳州职业技术学院 计算机工程系，福建 漳州 363000）

计算机犯罪取证局限性的研究

叶碧虾

（漳州职业技术学院 计算机工程系，福建 漳州 363000）

随着科技的进步，计算机的应用日趋广泛，但同时计算机犯罪也越来越严重。计算机犯罪属于时代的产物，是伴随着网络技术、信息技术的发展而滋生的，这是一种具有较高技术性的犯罪行为，为公安机关的取证工作增加了难度。分析当前计算机犯罪取证的相关含义与技术，对其局限性进行了研究。

计算机；犯罪取证；技术；局限性

计算机技术的应用，为人们的工作与生活提供了诸多便利条件，成为人们工作、娱乐、信息传递、数据存储的重要工具；但同时也为一些不法分子提供了高科技犯罪的途径与方法。为了破获这种高科技犯罪案件，公安机关必须向人民法院提供嫌疑人有力的犯罪证据，所以针对计算机犯罪，公安机关的取证工作成为破案的关键。但是，在实际取证过程中存在着一定的局限性，对此本文将进行深入的探讨。

1 计算机犯罪取证分析

现阶段对于计算机犯罪取证的问题尚未进行严格的定义，其实类似于普通案件，就是一个犯罪证据的获取、保存、分析与出示的法律规范，不过是因为通过计算机犯罪，从而增加了公安机关取证的难度。目前计算机取证主要有以下几个环节：

1.1 案件受理

这个环节非常重要，公安机关在接到报警后要对案情有深入的了解，并对相关的证据进行采集获取。这个环节是破获案件的重要基础，在调查、记录过程中要认真、仔细，深入发掘潜在的违法犯罪的电子证据。

1.2 做好现场保护

对犯罪现场的计算机实施管控，以免受到破坏，维护计算机系统的原有状态，做好相关设备、系统的保护工作，在现场的作案工具中查找线索痕迹，操作的时候不要对现场的系统、设备、数据等进行更改，防止病毒感染以及证据被破坏的现象发生。

1.3 证据的采集

电子证据是对违法犯罪行为进行制裁的重要依据，但是电子证据又具有高技术性与无形性的特点，容易被篡改和毁坏。电子证据主要包含使用人的账号信息、IP地址、使用时间，还有用于犯罪的合同、协议、交易信息、软件程序、屏幕截图等等，内容非常广泛。为了保证电子证据的真实有效，通常需要将整个存储工具进行封存，并由专业部门对数据做技术上的还原处理。

1.4 电子证据的固定

所谓的固定就是为了保证电子证据的完好与真实。要对原始的数据资料进行备份，要选择安全的存储工具，防止数据信息被损坏或消失。电子证据经备份后要做好相应的保管工作，切勿靠近磁场、易受干扰的地方，以免出现消磁或是无法使用的状况。还要具备良好的环境，防止受潮、损坏。非专业人员或是相关人员不得随意动用。

1.5 电子证据分析

在做好电子证据的备份后才可以进行数据的分析，确保数据的完好，必要的时候要重新进行备份。对电子证据进行分析是通过备份进行的，通过非破坏性分析，将被删除的、篡改的、隐藏的数据信息尽最大可能恢复，利用这些恢复好的数据搜寻犯罪的证据。

1.6 电子证据的存档

为了方便在法庭审理的时候提交证据，需要对电子证据及分析结果做分类归档处理，主要涉及到对电子证据的检查内容，比如犯罪时间、存储工具分析、电脑系统等，证据搜集过程中信息与系统完好程度、犯罪证据的整理分析结果，以及评估分析报告之类的。

2 电子证据的取证技术

上述分析了电子证据的主要来源及形式，那么如何将这些犯罪证据从计算机系统中查找出来，是需要通过专业的技术手段来完成的。通常所用的提取证据的技术可分为两类：静态取证和动态取证。

2.1 静态取证

一般计算机犯罪都是通过计算机、作案工具、数据储存设备来完成，在作案过程中会留下很多犯罪证据，因此可以把计算机当作作案现场，例如平时我们所使用的路由器、安全防火墙等设备都会自动记录一些信息，通过先进的技术将这些信息数据提取出来。在这个过程中所用到的技术有复原计算机技术、加锁解密技术等。

2.2 动态取证

动态取证是将取证技术与防火墙技术融合起来，利用网络防御技术和侵入检测系统漏洞，对犯罪人员的犯罪过程进行监控，并及时截获信息并进行分析，了解犯罪人员的意图，然后及时制定应对措施与抓捕方案。对获取的各种犯罪证据进行保存、鉴定、存档，以方便为法庭审判提供必要证据。动态取证主要是利用网络信号来完成，所用到的技术主要有IP获取、MAC硬件地址获取、跟踪和识别技术、身份证鉴定技术，还有网络监听、漏洞扫描等。

3 计算机犯罪取证的局限性

3.1 缺少软件技术支持

在搜集犯罪证据的时候需要用到很多专业的软件与设备，比如对数据信息的恢复，就需要相当专业的技术力量才能实现，不过就目前现在来看，我国在这方面的投入还很欠缺，研发力量也不够，多数软件都是引进外国的。虽然在技术上比较先进，但是国内尚无法律认可的软件，并且软件的源代码都是经过技术处理的，不能让我们获取。所以，在软件方面我们亟待加强。随着网络技术的不断完善，针对计算机犯罪，执法部门应该不断提高技术水平，制定相应的措施，加强电子证据取证软件的研究，为办案人员取证提供各种有利条件。

3.2 犯罪人员利用科技手段阻碍取证

针对犯罪证据的搜集方法有很多，技术也比较先进，但是犯罪人员也同样会利用高科技手段扰乱执法人员取证工作。他们会利用科技方法对数据进行清除、隐藏、加密、消除痕迹等等。

首先是清除，比如在2006年的“熊猫烧香”病毒和2007年“灰鸽子”木马程序，犯罪人员不光是清除了数据信息，并将计算机CPU寄存器、硬盘以及内存中的数据给全部清除了，给办案人员取证造成极大困扰。

其次是犯罪人员还会通过隐藏的方法将重要的无法删除的数据信息给隐藏起来，像更改文件后缀的方法，比如将.doc改成.jpg，更改了文件的格式，当办案人员搜集证据的时候会误认为是一些图片，其实是没有图像的Word文档，在隐藏数据的时候还经常使用隐写术技术，比如通过DOS中的Copy命令把两篇文档组成一个图片文件，同样实现了隐藏的目的，然后再将隐藏的文件进行加密处理，更大大增加了搜集犯罪证据的难度。

对数据进行加密处理也是犯罪人员经常用到的一种方法，是通过加密软件将一些重要的数据信息加密后储存起来。当办案人员打开这些经过加密处理的文件的时候会发现很多乱码，遇到这种情况只能先进行解码，然后再恢复数据。

还有些犯罪人员利用木马程序来获取计算机的超级用户权限，然后将系统中的日志信息删除，并清除痕迹。还有些高科技犯罪人员利用LiveCD、U盘启动盘等工具进行作案，这些工具在断电后会自动消失，不会留下痕迹，更加增大了取证的难度。

3.3 其他方面的局限性

除了上述局限性外，在搜集电子证据的时候还有些其他方面的因素影响到取证工作。比如我国公安部门的相关规定中明确了计算机犯罪现场获取证据的基本原则，但是却缺少相应的规范，这样就造成在实际工作中取证人员出现不科学取证的问题，使得电子证据的可信度大打折扣，还影响到证据的有效性。计算机犯罪和其他的犯罪方式方法都有很大区别，其主要工具就是计算机与网络，所产生的各种犯罪证据只有在特定的环境中还能被发现。作为办案人员无法完全还原犯罪人员当时的环境，因此对于计算机犯罪这种高科技犯罪来说，必须严格的按照相应的办案程序进行，对电子证据要及时进行保护，防止犯罪人员从中破坏，加大办案的难度。

4 计算机取证技术的展望

计算机取证技术是由于计算机犯罪的出现而发展起来的。现在计算机犯罪所采用的技术和手段越来越多样化，这对我国的计算机取证技术提出了更高的要求与挑战，今后我们要加入更多的先进技术，比如反向跟踪、入侵锁定和数据挖掘等。可以把取证技术融入到检测系统或是防火墙中。当然，随计算机犯罪目标的变化，计算机取证技术也应更趋向于专业化与智能化，最后建立更加标准化的取证体系，以此提高计算机取证的工作效率。

5 结语

计算机犯罪行为是随着计算机技术、网络技术的发展而出现的特定产物，电子证据的搜集、整理、分析、保护等工作也是一个比较新的领域，需要与时俱进，不断提高技术水平，不给犯罪分子可乘之机。在电子证据搜集方面我国起步较晚，这更反应出对反取证技术研究的紧迫性。通过本文的分析我们了解到当前计算机犯罪取证的局限性，因此需要加大对相应的软件与设备的研发，应用更加先进的技术，保证电子证据的有效性，为法庭审判提供更多的有利的证据。同时还要不断完善取证工作管理制度，规范取证行为，提高电子证据的可信度与有效性。作为办案人员也要不断学习，在工作中总结经验，严格要求自己，这将是消除计算机犯罪证据局限性的重要方法。

［1］陈龙，麦永浩，黄传河等.计算机取证技术［M］.武汉：武汉大学出版社，2007：1-5.

［2］陈克非，黄征.信息安全技术导论［M］.北京：电子工业出版社，2007：1-5.

［3］陈家林.外国刑法通论（第1版）［M］.北京：中国人民公安大学出版社，2009.

［4］刘品新.电子取证的法律规制［M］.北京：中国法制出版社，2010.

［5］王强.计算机犯罪相关问题的思考［J］.计算机与软件，2013（5）：40-41.

［6］肖茜莹.计算机犯罪探析［J］.吉林公安高等专科学校学报，2011（3）：82-84.

［7］陈丹.分析与防范计算机犯罪［J］.办公自动化，2012（4）：37-38.

［8］赵骞羽.网络时代计算机犯罪的概念和特征剖析［J］.咸宁学院学报，2012（7）：139-140.

（责任编辑：季 平）

Research on the limitation of computer crime forensics

YE Bi-xia
（Department of Computer Engineering，Zhangzhou Institute of Technology，Zhangzhou 363000，China）

With the development of science and technology，the application of computer is becoming more and more extensive，but at the same time，computer crime is becoming more and more serious.The computer crime belongs to the product of the times，which is a kind of crime with high technology，and it is a kind of criminal behavior that is highly technical，and it is difficult for the public security organs.This paper mainly analyzes the current computer crime forensics related to the meaning and technology，its limitations are summarized.

Computer；Crime forensics；Technology；Limitation

TP399

A

1673-1417（2015）03-0001-04

10.13908/j.cnki.issn1673-1417.2015.03.0001

2015—07—12

叶碧虾（1980—），女，福建龙海人，讲师，研究生，研究方向：计算机软件技术。