- 內存取證原理與實踐
- 王連海 張睿超 徐麗娟 張淑慧
- 11字
- 2019-09-12 14:37:44
第1章 內存取證技術概述
1.1 計算機取證技術
現在,信息技術已經走進了人類社會生活的各個方面,計算機、互聯網、智能手機、可穿戴設備等已經與人們的日常工作和生活密不可分。信息系統已經成為國家戰略性的基礎設施,經濟、國防、能源、行政、通信、金融以及娛樂休閑等社會各行各業越來越重視和依賴信息系統。但是,同其他科學技術一樣,信息技術在帶給全社會巨大便利的同時,也帶來一些問題。與信息系統相關的各類違法犯罪事件隨著技術的發展也逐漸滲入社會生活的各個方面,涉及信息技術的法律糾紛更是層出不窮。因此,需要新的技術來幫助法庭和相關人員應對這些犯罪和糾紛。于是,計算機取證(Computer Forensic)技術慢慢發展起來。
Forensic這個詞在韋氏辭典是這樣解釋的:應用科學知識于法律問題,與應用科學知識到法律問題相關的。這個詞語最初的翻譯使用了“取證”這個詞,而且最早的技術應用場景主要是圍繞計算機及其周邊設備的,因此約定俗成地就一直使用計算機取證這個術語概括這一法律與信息技術互相交叉的領域。有時也會使用計算機法證這個術語。隨著模擬技術逐漸向數字技術轉變,數字取證(Digital Forensic)這個詞也越來越常用。有人認為計算機和數字等詞不適于概括所有技術,使用了電子取證這個概念,這是國內公安部門一般使用的術語。我國2012年《刑事訴訟法》《民事訴訟法》以及2014年修改的《行政訴訟法》將電子數據作為一種新的證據種類納入立法,使其得到了獨立的證據地位。但是并沒有明確電子證據的具體定義。
各種信息技術雖然日新月異,但都是人們獲得信息、記錄信息、處理和利用信息的手段。以上概念和術語本質上并沒有不同,無論名稱如何,其核心都是以某種信息技術作為載體保存證據的處理問題,即利用信息技術,按照法律規范允許的方式,對電子證據的識別、收集、固定、分析和呈現問題。因此,讀者在碰到這些術語時,廣義上可以看作是相同的概念。
計算機取證需要獲取的對象是電子數據,其本身具備的一些特點直接影響到計算機取證的進行。電子證據的特點可以歸納為以下幾點[1]。
(1)脆弱性
脆弱性主要表現在兩個方面:一方面,由于電子數據都存儲在磁介質或電子元器件中,而這些介質本身的一些特性使電子數據容易被人為地損壞,因而在計算機取證中對證據材料的保存有十分嚴格的約束;另一方面,電子數據可以很容易地被修改或刪除,而這種操作往往是不可完全恢復的,即便可以恢復,也會對這些數據的證據有效性產生極大的影響。
(2)非直觀性
電子數據存在于一個二進制的世界,因為信息系統的整體架構在不同的硬件和邏輯層次有各種各樣的表現形式,所以很多時候無法直觀識別證據材料的內容。
(3)隱蔽性
計算機系統中存在太多的隨機性,很多數據只有在特殊的上下文環境中才有其特定的意義,所以無法判斷電子證據中有效信息的位置,而且現在已經存在很多反取證的技術,這使有效證據信息的檢索更加難以進行。
(4)多態性
電子數據的作用往往需要有一個上下文環境作為參考,不同環境下對電子數據分析產生的結果很可能是不同的。
(5)時效性
計算機系統中很多電子數據只有很短的生命周期,當系統運行一定時間后這些信息可能會被系統覆蓋或清除。
電子證據的特點使它不像一般的民事或刑事案件相關的證據那樣顯見、直接,可以利用傳統的搜集及分析方法粹選出供法庭上判決的直接證據,而是必須依賴特定的取證技術或方法加以搜集分析才能作為判決上參考的間接證據。只有通過使用取證工具,使用合法的程序(流程)獲得,并且通過科學專業的知識進行分析、呈現和解釋的電子證據才能被法院理解與認可。由于不同的國家在法律、道德和意識形態上存在差異,而取證原則又依賴于不同的證據使用原則,但大體都是為保證獲取的證據的合法性、客觀性和關聯性,因此計算機取證的原則可歸納為以下幾個方面[1,2]。
(1)依法取證原則
計算機取證不僅要保證取證實體合法,還要保證取證程序合法。任何證據的有效性和可采性都取決于證據的客觀性、與案件事件的關聯性和取證活動的合法性。取證活動的要件構成是指參與取證全過程、決定或影響取證與司法鑒定結果的各個方面或因素,包括取證的主體、對象、手段、過程和環境5個要素,只有保證取證“五要素”同時合法,才能保證獲取的證據合法。
(2)無損取證原則
首先,由于電子數據自身的脆弱性以及證據的嚴格性(即證據材料能夠客觀地、真實地反映案件事實),所以取證人員在對電子數據進行采集時必須嚴格地遵循合法流程進行電子數據的獲取。其次,對電子數據的保存應該做到多備份,一方面是為了克服電子數據脆弱性,另一方面是為了可以重現分析過程。
(3)全面取證原則
全面取證原則體現在調查機關在取證過程中應該盡可能地全面調查取證,使獲取的證據之間相互印證,以真實地重現案件事實。但由于電子數據的隱蔽性,在海量數據面前,調查人員往往容易忽視海量信息中一些細微的數據信息,因而在計算機取證過程中,一定要認真分析來源并進行全方位、多角度的取證,在確保證據與案件事實關聯的基礎上,將獲取的所有電子證據與案件的其他類型證據相互例證,排除矛盾的電子證據,從而克服電子證據的多態性,最終組成完整的證據鏈。
(4)及時取證原則
由于有些電子數據的時效性很強,所以當確定取證對象后,應該盡早搜集證據,保證其沒有受到任何形式的破壞和損失。
計算機取證涉及信息技術的方方面面,需要綜合運用各種技術知識來解決問題,如操作系統、文件系統、網絡協議、密碼技術等。同時,計算機取證又是一個多門學科交叉的研究領域,與之相關的學科有計算機應用技術、信息安全、網絡安全、法律與法學、刑事科學等。計算機取證研究的內容依據取證步驟的過程不同,分為證據的識別、獲取、分析和呈現等;根據取證對象的不同,分為Windows取證、Linux取證、網絡取證、移動設備取證等。幾十年來,國內外計算機取證的研究從無到有,從少數到具有一定規模,逐漸發展壯大成內容豐富、理論實踐都較為成熟的研究領域。