计算机取证概述一、背景计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍，与计算机有关的犯罪也越来越多。

要打击并遏制犯罪，执法机关必须依照法律的要求获取证据，特别是法庭依据合法的证据来对犯罪事实的认定。

很多犯罪的证据与计算机技术相关，计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。

计算机取证的目的就是要通过分析计算机和网络活动，从而获得与犯罪有关人员的行为。

计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。

无论作为那种角色，在计算机中都会留下大量与犯罪有关的数据，进而依据有关科学与技术原理和方法找到证明某个事实的证据。

由于计算机技术应用的深入，计算机取证逐步发展为数字取证。

（一）数字取证的定义数字取证是从计算机取证逐步发展而来。

Lee Ｇarber在IEEE Security发表的文章中认为，计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过程。

计算机取证资深专家Judd Robbins给出如下定义，计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。

计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义，计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。

SANS公司认为，计算机取证是使用软件和工具，按照一些预定的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

我国的陈龙等人认为，计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。

它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。

（二）计算机司法鉴定的定义司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。

司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。

计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分，而计算机取证的概念要丰富，除计算机司法鉴定的内容外，还要包括对犯罪现场的勘查，如证据的发现、提取、保存、运输等。

（三）数字证据在司法活动中，证据是法官判定罪与非罪的依据。

人类司法活动中，证明方法和手段经历了两次重大转变。

第一次是从以“神证”为主的证明向以“人证”为主的证明转变。

第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主证明的转变。

在很长的历史时期，物证在司法活动中运用一直处于随机和分散发展的状态。

直到18世纪以后，与物证有关的科学技术才逐渐形成体系和规模，物证在司法证明中的作用也越来越重要。

随着科学技术的发展，各种以人身识别为核心的物证技术层出不穷，继笔记鉴定法、人体测量法和指纹鉴定法之后，足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充司法证明的“武器库”。

特别是，20世纪80年代以来的DNA遗传基因鉴定技术更带来司法证明方法的一次飞跃。

计算机证据的出现也为司法证明方法带来新的进步。

计算机证据是指以计算机形式存在的、用作证据使用的一切材料及其派生物，或者说是借助计算机生成的一切证据。

相关的术语有电子证据、网络证据、数字证据等。

计算机证据和电子证据的区别：两者有千丝万缕的联系，却不尽相同。

有时候，计算机证据的外延要大于电子证据，因为以机械式计算机、光学计算机、生物计算机为基础的证据只能从“功能”上等同的角度临时到桌电子证据处理，显然不是典型的计算机证据。

有时候，电子证据在外延上也可能大于计算机证据，如固定电话机是基于模拟电子技术而制成的通信工具，它所录制的电话资料就属于电子证据而不属于计算机证据。

国外在计算机取证的基础上提出了数字取证，相应地也有数字证据，这一术语也得到比较普遍的人可。

一般来讲，以计算机科学为背景的人多使用计算机证据或数字证据，而法律界多使用电子证据。

虽然计算机证据、电子证据在概念和外延上有一定的差异，但一般而言可以不严格区分。

因此，在本文中计算机证据、数字证据和电子证据不加区分。

任何材料要成为证据，均需具备三个特性：客观性、关联性、合法性。

因此，计算机证据与传统证据一样，必须是可信的、准确地、完整的，使法官信服，符合法律规定，为法庭所认可。

计算机证据与传统证据相比的新特性有：1．计算机证据同时具有较高的精密性和脆弱易逝性。

一方面计算机证据以技术为依托，很少受主观因素的影响，能够避免其他证据的一些弊端，如证言的误传，书证的误记等。

另一方面计算机信息是二进制表示的，以数字信号的方式存在，而数字信号是非连续的，故意或因为差错对计算机进行的变更、删除、剪接、监听等，从技术上讲很难查清。

2．计算机证据具有较强的隐蔽性。

计算机证据在计算机系统中可存在的范围很广，使证据很容易被隐藏。

同时，计算机证据以二进制形式编码，无法直接阅读。

一切信息都由编码表示并传递、存储，使计算机证据与特定主体之间的关联使用常规手段难以确定。

因此，计算机证据使用肉眼无法直接解读，必须借助适当的工具。

3．计算机证据具有多媒体性。

计算机证据的形式是多样的，它综合了文本、图形、图像、动画、音频、视频等多媒体信息，几乎涵盖了几乎所有的传统证据类型。

二、计算机取证的历史计算机取证科学主要是在执法机关的实践需求中应用而生的，1984年，美国FBI实验室就开始研究计算机取证，为有组织有计划地解决对刑侦人员不断增长的需求，成立了计算机分析响应组CART（THE COMPUTER ANALYSIS AND REPOSE TEAM）。

20世纪90年代，美国联邦犯罪调查实验室的主任每年在华盛顿举行2次研讨，创建了目前数字取证领域享有盛誉的“数字取证科学组”（SWGDE）。

计算机取证发展中影响较大的事件有：1984年，美国FBI建立的计算机分析与响应组CART。

1993年，举办第一届计算机取证国际会议，First International Conference on Computer Evidence held。

1995年，建立计算机证据的国际组织IOCE，International Organization on Computer Evidence。

1997年，八国集团在莫斯科宣布：司法部的职员应得到新的培训、新装备以应对高技术犯罪。

1998年，八国集团指定IOCE组织处理数字证据的国际准则。

2000年，美国FBI建立正式的区域性计算机取证实验室。

在我国，2001年将计算机取证技术概念引入国内，从入侵取证、反黑客开始，逐步形成。

三、计算机取证是交叉科学计算机取证涉及计算机科学、法学、刑事侦查学等。

（一）计算机取证的目标计算机取证的目标随所调查案件的目标相关联。

计算机取证要解决的问题是：试图找出是谁（WHO），在什么时间（When），在哪里（Where），怎样地（How）进行了什么（What）活动。

（二）计算机取证的主体计算机取证不仅仅可应用于刑事犯罪侦查、鉴定之中，也可用于民事案件的调查、鉴定，也可应用于信息安全事件的调查，虽然计算机取证应用的领域不同，但计算机取证的技术从本质上讲是一致的。

因此，与计算机取证技术相关的人员不只是警察、检察官、法官、律师、司法鉴定人、专家证人等，也包括研究人员、信息安全人员等。

（三）计算机证据的来源。

主要为存储介质和网络数据流。

（四）计算机取证的原则基本原则：合法性、及时性、准确性。

证据必须保证“证据的连续性”，即在证据被正式提交法庭时，必须能够说明证据从最初获取状态到法庭上出示状态之间的任何变化，最好是没有变化。

Chain of custody，证据链。

取证过程必须受到监督，如原告委派的专家所做的所有调查取证过程最好受到其他方委派专家的监督。

含有计算机证据的媒体至少做两个副本，原始媒体应存放在专门的房间由专人保管，副本可用于计算机取证人员进行证据的提取和分析。

计算机证据应妥善保存，以备随时重组、试验或展示。

含计算机证据的媒体的移交、保管、开封、拆卸的过程必须由侦查人员和保管人员共同完成，每个环节都必须检查真实性和完整性，并拍照和制作详细的笔录，由行为人共同签名。

（五）计算机取证的工作内容（六）计算机取证技术数据获取技术数据分析技术计算机犯罪分析，犯罪一般涉及四个方面：一是犯罪的主体分析。

对犯罪主体进行认定，通过分析重构犯罪嫌疑人的特征，通常称为犯罪嫌疑人画像（Criminal Profiling）。

如通过分析描绘嫌疑人的技术水平、爱好，推测其年龄等特征。

二是犯罪的客体分析。

对犯罪的客体进行认定，如对于通过大规模传播恶意代码来入侵的案件，通常要对攻击的范围、规模进行认定，以认定攻击造成的破坏程度，受害者遭受的损失。

三是犯罪的主观方面。

认定嫌疑人的犯罪行为是故意还是过失，具有何种犯罪动机等。

如国外有学者研究相关技术，来认定嫌疑人主机上的色情照片是故意下载的，还是不慎下载的，以帮助是否构成犯罪。

四是犯罪的客观方面。

通过分析认定什么人在什么事件中实施了什么行为。

如认定某个特定的嫌疑人在特定的事件中对特定的目标实施了网络攻击。

数据解密技术证据保管、证据完整性技术反取证技术四、计算机取证的模型、过程提出计算机取证模型的目的是指导计算机取证更加规范，应具有一定的实践指导意义。

（一）法律执行过程模型Law Enforcement Process是美国司法部“电子犯罪现场调查指南”中提出，基于标准的物理犯罪（Physical Crime）现场调查过程模型，分为以下五个阶段：1．准备阶段（Preparation）。

在调查之前，准备好所需设备和工具。

2．收集阶段（Collection）。

搜索和定位计算机证据；保护和评估现场：保护现场人员的安全，以及保证证据的完整性，识别潜在的证据；对现场记录、归档：记录现场的计算机等物证；证据提取：提取计算机系统中的证据或对计算机系统全部拷贝。

3．检验（Examination）。

对可能存在的证据进行校验和分析。

4．分析（Analysis）。

对检验分析的结果进行复审和再分析，提取对案件有价值的信息。

5．报告（reporting）。

对分析检验结果汇总、提交、证据出示。

（二）过程抽象模型，An Abstract Process Model美国空军研究院对计算机取证的基本方法和理论进行研究后，提出的模型。

1．识别（Identification）：侦测安全事件或犯罪。

2．准备（Preparation）：准备工具、技术及所需的许3．策略制定（Approach Strategy）：制定策略来最大限度地收集证据和减少对受害者的影响。

4．保存（Preservation）：隔离并保护物理和数字证据。

5．收集（Collection）：记录物理犯罪现场并复制数字证据。

6．检验（Examination）：查找犯罪相关证据。