第1章 內(nèi)存取證技術(shù)概述

1.1 計(jì)算機(jī)取證技術(shù)

現(xiàn)在，信息技術(shù)已經(jīng)走進(jìn)了人類社會(huì)生活的各個(gè)方面，計(jì)算機(jī)、互聯(lián)網(wǎng)、智能手機(jī)、可穿戴設(shè)備等已經(jīng)與人們的日常工作和生活密不可分。信息系統(tǒng)已經(jīng)成為國家戰(zhàn)略性的基礎(chǔ)設(shè)施，經(jīng)濟(jì)、國防、能源、行政、通信、金融以及娛樂休閑等社會(huì)各行各業(yè)越來越重視和依賴信息系統(tǒng)。但是，同其他科學(xué)技術(shù)一樣，信息技術(shù)在帶給全社會(huì)巨大便利的同時(shí)，也帶來一些問題。與信息系統(tǒng)相關(guān)的各類違法犯罪事件隨著技術(shù)的發(fā)展也逐漸滲入社會(huì)生活的各個(gè)方面，涉及信息技術(shù)的法律糾紛更是層出不窮。因此，需要新的技術(shù)來幫助法庭和相關(guān)人員應(yīng)對這些犯罪和糾紛。于是，計(jì)算機(jī)取證（Computer Forensic）技術(shù)慢慢發(fā)展起來。

Forensic這個(gè)詞在韋氏辭典是這樣解釋的：應(yīng)用科學(xué)知識(shí)于法律問題，與應(yīng)用科學(xué)知識(shí)到法律問題相關(guān)的。這個(gè)詞語最初的翻譯使用了“取證”這個(gè)詞，而且最早的技術(shù)應(yīng)用場景主要是圍繞計(jì)算機(jī)及其周邊設(shè)備的，因此約定俗成地就一直使用計(jì)算機(jī)取證這個(gè)術(shù)語概括這一法律與信息技術(shù)互相交叉的領(lǐng)域。有時(shí)也會(huì)使用計(jì)算機(jī)法證這個(gè)術(shù)語。隨著模擬技術(shù)逐漸向數(shù)字技術(shù)轉(zhuǎn)變，數(shù)字取證（Digital Forensic）這個(gè)詞也越來越常用。有人認(rèn)為計(jì)算機(jī)和數(shù)字等詞不適于概括所有技術(shù)，使用了電子取證這個(gè)概念，這是國內(nèi)公安部門一般使用的術(shù)語。我國2012年《刑事訴訟法》《民事訴訟法》以及2014年修改的《行政訴訟法》將電子數(shù)據(jù)作為一種新的證據(jù)種類納入立法，使其得到了獨(dú)立的證據(jù)地位。但是并沒有明確電子證據(jù)的具體定義。

各種信息技術(shù)雖然日新月異，但都是人們獲得信息、記錄信息、處理和利用信息的手段。以上概念和術(shù)語本質(zhì)上并沒有不同，無論名稱如何，其核心都是以某種信息技術(shù)作為載體保存證據(jù)的處理問題，即利用信息技術(shù)，按照法律規(guī)范允許的方式，對電子證據(jù)的識(shí)別、收集、固定、分析和呈現(xiàn)問題。因此，讀者在碰到這些術(shù)語時(shí)，廣義上可以看作是相同的概念。

計(jì)算機(jī)取證需要獲取的對象是電子數(shù)據(jù)，其本身具備的一些特點(diǎn)直接影響到計(jì)算機(jī)取證的進(jìn)行。電子證據(jù)的特點(diǎn)可以歸納為以下幾點(diǎn)[1]。

（1）脆弱性

脆弱性主要表現(xiàn)在兩個(gè)方面：一方面，由于電子數(shù)據(jù)都存儲(chǔ)在磁介質(zhì)或電子元器件中，而這些介質(zhì)本身的一些特性使電子數(shù)據(jù)容易被人為地?fù)p壞，因而在計(jì)算機(jī)取證中對證據(jù)材料的保存有十分嚴(yán)格的約束；另一方面，電子數(shù)據(jù)可以很容易地被修改或刪除，而這種操作往往是不可完全恢復(fù)的，即便可以恢復(fù)，也會(huì)對這些數(shù)據(jù)的證據(jù)有效性產(chǎn)生極大的影響。

（2）非直觀性

電子數(shù)據(jù)存在于一個(gè)二進(jìn)制的世界，因?yàn)樾畔⑾到y(tǒng)的整體架構(gòu)在不同的硬件和邏輯層次有各種各樣的表現(xiàn)形式，所以很多時(shí)候無法直觀識(shí)別證據(jù)材料的內(nèi)容。

（3）隱蔽性

計(jì)算機(jī)系統(tǒng)中存在太多的隨機(jī)性，很多數(shù)據(jù)只有在特殊的上下文環(huán)境中才有其特定的意義，所以無法判斷電子證據(jù)中有效信息的位置，而且現(xiàn)在已經(jīng)存在很多反取證的技術(shù)，這使有效證據(jù)信息的檢索更加難以進(jìn)行。

（4）多態(tài)性

電子數(shù)據(jù)的作用往往需要有一個(gè)上下文環(huán)境作為參考，不同環(huán)境下對電子數(shù)據(jù)分析產(chǎn)生的結(jié)果很可能是不同的。

（5）時(shí)效性

計(jì)算機(jī)系統(tǒng)中很多電子數(shù)據(jù)只有很短的生命周期，當(dāng)系統(tǒng)運(yùn)行一定時(shí)間后這些信息可能會(huì)被系統(tǒng)覆蓋或清除。

電子證據(jù)的特點(diǎn)使它不像一般的民事或刑事案件相關(guān)的證據(jù)那樣顯見、直接，可以利用傳統(tǒng)的搜集及分析方法粹選出供法庭上判決的直接證據(jù)，而是必須依賴特定的取證技術(shù)或方法加以搜集分析才能作為判決上參考的間接證據(jù)。只有通過使用取證工具，使用合法的程序（流程）獲得，并且通過科學(xué)專業(yè)的知識(shí)進(jìn)行分析、呈現(xiàn)和解釋的電子證據(jù)才能被法院理解與認(rèn)可。由于不同的國家在法律、道德和意識(shí)形態(tài)上存在差異，而取證原則又依賴于不同的證據(jù)使用原則，但大體都是為保證獲取的證據(jù)的合法性、客觀性和關(guān)聯(lián)性，因此計(jì)算機(jī)取證的原則可歸納為以下幾個(gè)方面[1,2]。

（1）依法取證原則

計(jì)算機(jī)取證不僅要保證取證實(shí)體合法，還要保證取證程序合法。任何證據(jù)的有效性和可采性都取決于證據(jù)的客觀性、與案件事件的關(guān)聯(lián)性和取證活動(dòng)的合法性。取證活動(dòng)的要件構(gòu)成是指參與取證全過程、決定或影響取證與司法鑒定結(jié)果的各個(gè)方面或因素，包括取證的主體、對象、手段、過程和環(huán)境5個(gè)要素，只有保證取證“五要素”同時(shí)合法，才能保證獲取的證據(jù)合法。

（2）無損取證原則

首先，由于電子數(shù)據(jù)自身的脆弱性以及證據(jù)的嚴(yán)格性（即證據(jù)材料能夠客觀地、真實(shí)地反映案件事實(shí)），所以取證人員在對電子數(shù)據(jù)進(jìn)行采集時(shí)必須嚴(yán)格地遵循合法流程進(jìn)行電子數(shù)據(jù)的獲取。其次，對電子數(shù)據(jù)的保存應(yīng)該做到多備份，一方面是為了克服電子數(shù)據(jù)脆弱性，另一方面是為了可以重現(xiàn)分析過程。

（3）全面取證原則

全面取證原則體現(xiàn)在調(diào)查機(jī)關(guān)在取證過程中應(yīng)該盡可能地全面調(diào)查取證，使獲取的證據(jù)之間相互印證，以真實(shí)地重現(xiàn)案件事實(shí)。但由于電子數(shù)據(jù)的隱蔽性，在海量數(shù)據(jù)面前，調(diào)查人員往往容易忽視海量信息中一些細(xì)微的數(shù)據(jù)信息，因而在計(jì)算機(jī)取證過程中，一定要認(rèn)真分析來源并進(jìn)行全方位、多角度的取證，在確保證據(jù)與案件事實(shí)關(guān)聯(lián)的基礎(chǔ)上，將獲取的所有電子證據(jù)與案件的其他類型證據(jù)相互例證，排除矛盾的電子證據(jù)，從而克服電子證據(jù)的多態(tài)性，最終組成完整的證據(jù)鏈。

（4）及時(shí)取證原則

由于有些電子數(shù)據(jù)的時(shí)效性很強(qiáng)，所以當(dāng)確定取證對象后，應(yīng)該盡早搜集證據(jù)，保證其沒有受到任何形式的破壞和損失。

計(jì)算機(jī)取證涉及信息技術(shù)的方方面面，需要綜合運(yùn)用各種技術(shù)知識(shí)來解決問題，如操作系統(tǒng)、文件系統(tǒng)、網(wǎng)絡(luò)協(xié)議、密碼技術(shù)等。同時(shí)，計(jì)算機(jī)取證又是一個(gè)多門學(xué)科交叉的研究領(lǐng)域，與之相關(guān)的學(xué)科有計(jì)算機(jī)應(yīng)用技術(shù)、信息安全、網(wǎng)絡(luò)安全、法律與法學(xué)、刑事科學(xué)等。計(jì)算機(jī)取證研究的內(nèi)容依據(jù)取證步驟的過程不同，分為證據(jù)的識(shí)別、獲取、分析和呈現(xiàn)等；根據(jù)取證對象的不同，分為Windows取證、Linux取證、網(wǎng)絡(luò)取證、移動(dòng)設(shè)備取證等。幾十年來，國內(nèi)外計(jì)算機(jī)取證的研究從無到有，從少數(shù)到具有一定規(guī)模，逐漸發(fā)展壯大成內(nèi)容豐富、理論實(shí)踐都較為成熟的研究領(lǐng)域。