前言：本站為你精心整理了談?dòng)?jì)算機(jī)隱秘信息取證技巧范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

計(jì)算機(jī)主機(jī)系統(tǒng)取證基本原則

（1）依法取證原則。在進(jìn)行取證和司法鑒定活動(dòng)時(shí)，需要主體、對(duì)象、方法和過(guò)程四要素同時(shí)存在合法性時(shí)，才能確保證據(jù)的合法性。計(jì)算機(jī)取證的合法主體應(yīng)包含合法的調(diào)查人員以及具備法定取證和司法鑒定資格的取證技術(shù)專家。所謂對(duì)象合法，是指對(duì)涉案的電子設(shè)備以及被懷疑與案件事實(shí)相關(guān)聯(lián)的電子信息進(jìn)行明確的取證范圍規(guī)定，不能隨意取證與案件無(wú)關(guān)的數(shù)據(jù)信息，避免侵犯所有人或者權(quán)利人的隱私權(quán)、商業(yè)秘密等合法權(quán)益。

（2）無(wú)損原則以及多備份取證原則。無(wú)損原則就是在取證過(guò)程中要保持涉案設(shè)備運(yùn)行環(huán)境等全部信息的完整性，不能對(duì)其進(jìn)行任何修改操作。在進(jìn)行收集存儲(chǔ)介質(zhì)中電子證據(jù)時(shí)，應(yīng)當(dāng)采用鏡像技術(shù)進(jìn)行備份，保證原始數(shù)據(jù)的完整性，多備份原則就是對(duì)電子證據(jù)媒體進(jìn)行多次備份，原始媒體用于保存，復(fù)制品用于取證操作和分析操作。

（3）及時(shí)性和準(zhǔn)確性原則。由于電子證據(jù)是從信息系統(tǒng)運(yùn)行過(guò)程中自動(dòng)生成的實(shí)時(shí)文件中提取的，如果超過(guò)一定的時(shí)間，這些文件信息就可能會(huì)發(fā)生變化，因此在確定取證對(duì)象后，應(yīng)盡快進(jìn)行證據(jù)搜集。準(zhǔn)確性原則要求取證人員在取證過(guò)程中一定要認(rèn)真仔細(xì)，嚴(yán)格按照規(guī)定操作，獲取真實(shí)的結(jié)果，保證信息的準(zhǔn)確無(wú)誤。

（4）全面取證原則。要求在計(jì)算機(jī)取證過(guò)程中，對(duì)電子證據(jù)的來(lái)源進(jìn)行全面的取證。環(huán)境安全原則，要求取證、分析和保存的環(huán)境保持對(duì)電子數(shù)據(jù)存儲(chǔ)介質(zhì)的安全，遠(yuǎn)離高磁場(chǎng)、高溫、潮濕、靜電、灰塵等不利因素。

（5）過(guò)程監(jiān)督和嚴(yán)格管理原則。計(jì)算機(jī)取證和電子證據(jù)分析提取的全過(guò)程應(yīng)有專人或者技術(shù)專家進(jìn)行實(shí)時(shí)監(jiān)督，電子證據(jù)進(jìn)行移交、保管、開封、拆卸等操作時(shí)也應(yīng)嚴(yán)格管理、詳細(xì)記錄。

計(jì)算機(jī)主機(jī)信息隱秘取證面臨的問(wèn)題和發(fā)展趨勢(shì)

計(jì)算機(jī)主機(jī)信息隱秘取證面臨的問(wèn)題主要包括：缺乏科學(xué)、規(guī)范、有效的計(jì)算機(jī)取證過(guò)程。雖然出臺(tái)了部分規(guī)定說(shuō)明了計(jì)算機(jī)犯罪案件現(xiàn)場(chǎng)證據(jù)取證工作的原則，但是尚未對(duì)具體的操作過(guò)程進(jìn)行詳細(xì)的規(guī)范，因此很容易造成不科學(xué)的取證操作，導(dǎo)致電子證據(jù)的可信度下降，非法收集的證據(jù)在法庭上無(wú)價(jià)值。二是，海量數(shù)據(jù)信息分析難度大。目前計(jì)算機(jī)硬盤容量與日俱增，大容量硬盤造成了計(jì)算機(jī)證據(jù)存儲(chǔ)狀態(tài)多樣，表現(xiàn)形式復(fù)雜，分析難度極大。三是，取證軟件不足。目前國(guó)內(nèi)自主研發(fā)的計(jì)算機(jī)取證軟件程序并不成熟，而引進(jìn)的國(guó)外軟件又不適應(yīng)國(guó)情，目前取證過(guò)程中通常使用一些臨時(shí)自制的小程序，或者是手工操作，使提取的證據(jù)價(jià)值度、可信度大打折扣。計(jì)算機(jī)主機(jī)信息隱秘取證雖然發(fā)展時(shí)間很短，但是由于現(xiàn)代化犯罪技術(shù)的出現(xiàn)，計(jì)算機(jī)取證技術(shù)的需求也隨之增加，未來(lái)計(jì)算機(jī)取證技術(shù)的發(fā)展更加專業(yè)，需要設(shè)計(jì)成為系列軟件，建立一套完整的電子數(shù)據(jù)提取體系。由于數(shù)據(jù)量信息的爆炸式增長(zhǎng)，未來(lái)的計(jì)算機(jī)取證技術(shù)也需要設(shè)計(jì)自動(dòng)化、集成化。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，很多犯罪行為都是在異地實(shí)施，互聯(lián)網(wǎng)操作，因此計(jì)算機(jī)取證技術(shù)更趨向于網(wǎng)絡(luò)化、隱蔽化。

計(jì)算機(jī)主機(jī)隱秘信息取證系統(tǒng)分析

國(guó)內(nèi)常見的計(jì)算機(jī)隱秘信息取證系統(tǒng)軟件，主要有金諾網(wǎng)安介質(zhì)取證系統(tǒng)、美亞柏科中文取證平臺(tái)。通常計(jì)算機(jī)隱秘信息取證系統(tǒng)包含數(shù)十個(gè)子模塊，分別對(duì)數(shù)據(jù)信息進(jìn)行采集、分析、加工和傳輸。其中計(jì)算機(jī)主機(jī)取證平臺(tái)是整個(gè)取證系統(tǒng)的主體部分，主要包括自動(dòng)隱藏和自動(dòng)加載模塊、卸載模塊、文檔數(shù)據(jù)取證模塊、取證數(shù)據(jù)隱蔽存儲(chǔ)模塊、取證數(shù)據(jù)回傳模塊。自動(dòng)隱藏與自動(dòng)加載模塊是整個(gè)取證系統(tǒng)的開端，它的成功運(yùn)行是整個(gè)計(jì)算機(jī)隱秘信息系統(tǒng)正常運(yùn)行的基礎(chǔ)。這一模塊重點(diǎn)要注意隱蔽性，對(duì)程序的進(jìn)程進(jìn)行隱蔽，對(duì)自身的文件進(jìn)行偽裝，同時(shí)程序需要具備自動(dòng)啟動(dòng)、意外關(guān)閉自動(dòng)啟動(dòng)功能，以及防病毒軟件躲避功能。自動(dòng)卸載模塊的功能實(shí)現(xiàn)關(guān)鍵是卸載組建的順序和卸載過(guò)程的隱蔽性。自動(dòng)卸載模塊接到卸載指令后，應(yīng)先將所有保存在主機(jī)上的文本證據(jù)進(jìn)行刪除清理，然后再卸載所有的功能模塊，完成注入痕跡的清除。文檔數(shù)據(jù)取證模塊是整個(gè)取證軟件的核心，所有的取證操作都是通過(guò)這個(gè)模塊來(lái)完成的。通過(guò)這個(gè)模塊主要獲取4類數(shù)據(jù)信息：主機(jī)的重要文檔、移動(dòng)接入設(shè)備的數(shù)據(jù)、主機(jī)EFS密碼證書和登陸型密碼文檔。取證數(shù)據(jù)隱蔽存儲(chǔ)模塊是對(duì)主機(jī)取證模塊獲取的證據(jù)信息進(jìn)行初步的處理和保存，在取證數(shù)據(jù)隱蔽存儲(chǔ)的模塊中主要包含4種功能：首先是對(duì)獲取的數(shù)據(jù)進(jìn)行加密，然后進(jìn)行隱蔽存儲(chǔ)，控制好存儲(chǔ)文件大小，最后是使用動(dòng)態(tài)配置功能對(duì)取證數(shù)據(jù)信息進(jìn)行管理。取證數(shù)據(jù)回傳模塊是連接主機(jī)取證平臺(tái)和取證管理平臺(tái)之間的通道。取證數(shù)據(jù)回傳模塊的設(shè)計(jì)重點(diǎn)是繞過(guò)目標(biāo)主機(jī)上的防火墻將數(shù)據(jù)信息回傳到取證管理平臺(tái)的自動(dòng)通訊設(shè)備上，實(shí)現(xiàn)取證數(shù)據(jù)的自動(dòng)獲取。計(jì)算機(jī)主機(jī)信息隱秘取證系統(tǒng)是一個(gè)集數(shù)據(jù)收集、分析、傳送和遠(yuǎn)程控制為一體的完整系統(tǒng)。主要由主機(jī)取證平臺(tái)和取證管理平臺(tái)兩個(gè)部分組成，其中主機(jī)取證平臺(tái)可以用接觸方式或者網(wǎng)絡(luò)方式植入到目標(biāo)主機(jī)中，在目標(biāo)主機(jī)上隱蔽運(yùn)行，通過(guò)自動(dòng)加載、自動(dòng)卸載、文檔數(shù)據(jù)取證、取證數(shù)據(jù)隱蔽存儲(chǔ)和取證數(shù)據(jù)隱蔽回傳來(lái)實(shí)現(xiàn)電子證據(jù)收集。

計(jì)算機(jī)動(dòng)態(tài)隱秘取證系統(tǒng)的主要數(shù)據(jù)結(jié)構(gòu)和性能分析

（1）取證部分主要數(shù)據(jù)結(jié)構(gòu)包括：Fileheaders結(jié)構(gòu)，SocketPacket結(jié)構(gòu)，ThirdPartyParam結(jié)構(gòu)，TransferParam結(jié)構(gòu)，TrojanNetwork類幾個(gè)部分組成，其中Fileheaders結(jié)構(gòu)的主要功能是獲取取證文件的文件名以及文件大小等信息；SocketPacket結(jié)構(gòu)的主要功能是傳遞諸如IP地址、端口號(hào)以及sock結(jié)構(gòu)此類信息給相關(guān)的功能函數(shù)；ThirdPartyParam結(jié)構(gòu)主要功能是存放第三方服務(wù)器的信息，比如IP地址、端口等；TransferParam結(jié)構(gòu)，主要功能是讀取第三方服務(wù)器中取證平臺(tái)的IP地址以及端口號(hào)等信息；TrojanNetwork類中封裝了取證部分的所有網(wǎng)絡(luò)操作程序，以及相關(guān)變量定義。

（2）取證平臺(tái)部分主要數(shù)據(jù)結(jié)構(gòu)和類包括：FileHead－er結(jié)構(gòu)，TransferParam結(jié)構(gòu)，ClientPacket結(jié)構(gòu)，clsServ－erNetwork類，TFormConfigPort類，TForm3rdConfig類幾個(gè)部分。其中TFormConfigPort類是綁定取證平臺(tái)偵聽端口時(shí)用到的窗口類；TForm3rdConfig類是配置第三方Web服務(wù)器時(shí)用到的窗口類；另外TransferParam結(jié)構(gòu)、FileHeader結(jié)構(gòu)的定義和功能與上述取證中所使用的相同。ClientPacket鏈表結(jié)構(gòu)主要功能是傳遞客戶端信息給線程函數(shù)，每接收到一個(gè)客戶端的連接信息，都會(huì)在管理平臺(tái)中產(chǎn)生一個(gè)ClientPacket結(jié)構(gòu)加入到鏈表中。clsServerNetwork類封裝了取證平臺(tái)中所有網(wǎng)絡(luò)操作的功能和變量定義。

（3）通過(guò)實(shí)際操作可以看出，計(jì)算機(jī)主機(jī)隱秘信息取證設(shè)計(jì)不論從取證，還是從取證平臺(tái)的數(shù)據(jù)通信來(lái)看都具有很高的隱蔽性。該技術(shù)下獲取的證據(jù)文件與源文件完全一致，具有很高的可靠性，而且取證部分和取證平臺(tái)部分都能夠長(zhǎng)期無(wú)人值守運(yùn)行，具有很高的系統(tǒng)可靠性。取證和平臺(tái)進(jìn)行連接后，程序就會(huì)自動(dòng)傳送列表文件和證據(jù)文件，如果有移動(dòng)儲(chǔ)存設(shè)備連入被取證的主機(jī)，程序就會(huì)自動(dòng)啟動(dòng)傳輸原始文件列表的操作，及時(shí)地將列表文件傳送至取證平臺(tái)，因此計(jì)算機(jī)動(dòng)態(tài)隱秘取證系統(tǒng)還具備實(shí)時(shí)性和自動(dòng)性的特點(diǎn)。計(jì)算機(jī)取證不僅僅是計(jì)算機(jī)科學(xué)方面的技術(shù)問(wèn)題，同時(shí)也是法學(xué)方面的問(wèn)題，因此這種操作和程序設(shè)計(jì)，不僅要滿足技術(shù)上的要求和功能實(shí)現(xiàn)，更需要符合法學(xué)上規(guī)定的計(jì)算機(jī)取證原則和相關(guān)取證規(guī)范。因此，日后的計(jì)算機(jī)主機(jī)隱秘信息取證技術(shù)會(huì)朝著靜態(tài)取證和動(dòng)態(tài)取證相結(jié)合、單機(jī)取證和網(wǎng)絡(luò)取證相結(jié)合，取證過(guò)程更加規(guī)范、取證分析更加智能、證據(jù)歸檔自動(dòng)化等方向深入發(fā)展、不斷完善，形成更加完整、規(guī)范、全面的計(jì)算機(jī)取證體系。

作者：黎彩薇單位：廣東省肇慶市鼎湖區(qū)人民政府信息中心