计算机犯罪与计算机犯罪取证技术发展的研究

摘要：如今的计算机和计算机网络充斥着各种犯罪活动，与现实生活中的犯罪活动不同的是，目前对网络犯罪的监管力度远远低于现实生活中的犯罪活动，并且由于计算机罪犯往往可以不受限制的获取进行犯罪所需的专业知识，实施犯案行为不受地域限制，并具有高隐蔽性的特征，所以增长十分迅速。计算机犯罪已经不是单靠防御就能解决问题，而是需要更多的主动性手段来打击和威慑计算机犯罪。

关键词：计算机犯罪；计算机取证

中图分类号：D917 文献标识码：A文章编号：1009-3044(2008)34-1813-02

On Computer Crime and Computer-related Crime on the Development of Evidence

LI Shu-lin, TANG Jun

(HUnan Urban Construction College, Xiangtan 411101, China)

Abstract: Today"s computers and computer network replete with various criminal activities, and the reality of life in the criminal activities of different is that the supervision and management of network crime far below the real life criminal activities, and because criminals can often not computer restricted access to the necessary expertise crime, the crime of not subject to geographical constraints and a high concealed its characteristics, so growing very rapidly. Computer crime is not to rely solely on defense will be able to solve the problem, but the initiative needs more tools to combat computer-related crime and deterrence.

Key words: computer crime; computer forensics

1 引言

我国第一例计算机犯罪出现在1986年7月22日，港商李某前往深圳市人民银行和平路支行取款，计算机显示其存款少了2万元人民币。两个月后，迎春路支行也发生了类似情况，某驻深圳办事处赵某存入银行的3万元港币也不翼而飞。通过侦查发现上述两笔存款均被同一犯罪分子利用计算机知识伪造存折和隐形印鉴诈骗而去。从此以后，原来只在报道中看到的在国外才有可能出现的计算机犯罪现象，之后在国内也频频发生。到1990年，我国有案可查的计算机犯罪案件全国共发生130多起。

2 计算机犯罪的特点

近年来，计算机犯罪呈现出了一些特点，主要表现在以下几个方面：

1) 高智商性： 计算机是现代社会科学技术发展的产物，计算机犯罪则是一种高智商的犯罪，这种高智商体现在：①作案者多采用高科技犯罪手段。②犯罪分子犯罪前都经过了精心的策划和预谋。③犯罪主体都具有相当高的计算机知识，或者是计算机领域的拔尖人才，有一些还是从事计算机工作多年的骨干人员。

2) 做案动机简单化：计算机犯罪中，大多数犯罪主体精心研制计算机病毒，破坏计算机信息系统，特别是计算机黑客，他们犯罪的目的很多时候并不是为了金钱，也不是为了权利，而是为了显示自己高超的计算机技术，他们认为这些病毒的传播就是他们成果的体现，通过这种方式来认可自己研究成果，其目的之简单有时令破案者都吃惊。

3) 实施犯罪容易：只需要一根网线，就能够对整个世界实施犯罪。这反映了网络犯罪特别容易实施，很多犯罪活动在网吧中就可以进行，如此方便的实施手段给计算机网络犯罪创造了孳生的环境。从1996年以来，我国的计算机网络犯罪数量呈直线上升。自动化的病毒生产机和木马生成器大大降低了计算机犯罪的门槛，让许多未成年人也能够容易的实施计算机犯罪。

4) 教强的隐蔽性： 计算机犯罪分子作案大都比较隐蔽，这种隐蔽性不但体现在犯罪行为本身，还体现在犯罪结果上。计算机犯罪侵害的多是无形的目标，比如电子数据或信息，而这些东西一旦存入计算机，人的肉眼无法看到，况且这种犯罪一般很少留有痕迹，一般很难侦破。

5) 巨大的危害性： 计算机犯罪所造成的损失往往是巨大的，是其他犯罪所无法比拟的，2000年据美国“信息周研究社”发表的研究报告称，全球今年因电脑病毒造成的损失将高达150000亿美元。

3 我国惩治计算机犯罪的刑事立法

我国相关部门在防治和打击计算机犯罪做了大量的工作，要打击犯罪，必须先立法，健全的法律是打击计算机犯罪的前提条件。我国的相关立法如下：

1983年，国务院批准在公安部组建计算机管理和监察司，负责全国计算机安全工作，制定计算机安全法律、法规、以及进行犯罪侦破和惩治。

1988年，公安部完成《中华人民共和国计算机信息系统安全保护条例》（草案），到1994年2月18日才开始实施

1996年8月，公安部修改刑法领导小组办公室通过了《危害计算机信息系统安全罪方案》（草稿），建议在刑法分则侵犯财产罪和妨碍社会管理持续罪中，设置危害计算机系统安全罪的条文。

《全国人民代表大会常务委员会关于维护互联网安全的决定》在九届全国人大常委会第19次会议表决通过。

4 计算机犯罪取证

光有法律并不能完全解决问题，计算机犯罪隐蔽性极强，可以足不出户而对千里之外的目标实施犯罪活动，甚至进行跨过犯罪。并且一般在实施犯罪活动前会先通过某个国家预先被“黑”掉的主机为跳板进行犯罪活动，这样更加增大破获犯罪活动的难度。因此破获计算机犯罪活动也是高智商的活动，其获取犯罪证据的方法也与普通证据收集的方法有所不同。

“计算机犯罪取证”(Cybercrime Computer Forensics)又称“数字取证”或“电子取证”，是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。它融合了计算机和刑侦两个专业领域的知识和经验。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

5 计算机犯罪取证的流程

计算机犯罪取证将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼。计算机犯罪取证工作主要围绕以下两个方面进行：证据的获取和证据的分析。本文着重介绍证据采集方面的技术方法、流程和原则。

1) 准备工作：无论如何，准备的越充分，就越有可能顺利的完成调查工作，也越有可能保证证据被完整的采集。在这里主要介绍需要准备的软件和硬件方面的工具，当然，如果事先总是在背包里放一些记录工作流程、问询信息的空白表格，工作肯定会更加有条不紊而且更具专业素质。通常来说调查人员并不拥有超级技能，所以使用的工具从很大程度上决定了工作能有多出色。

首先，我们应该制作各种操作系统的基本工具集。这样做主要是因为攻击者通常会替换受害机器的二进制命令，如果利用被调查机器中的程序进行工作，产生的结果可能与期望中的全然不同。

在采集证据的过程中最主要的工作就是对各种介质进行镜像。Class UNIX环境下，dd是能够完成这项工作的通用命令，尽量在你的工具包里包含各种类型、各种版本Class UNIX系统的dd命令吧，通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件，通常选择Ghost来完成这项工作。

用于存放证据的存储介质一定要事先进行处理，使用公认可靠的数据擦除软件进行擦除，以避免介质中的残余数据对证据的分析和取信造成影响。

在存储证据时，最常用的硬件设备是移动硬盘，除了应该具备尽量大的容量之外，硬盘盒的接口也应该尽量丰富，至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了这些，现在市场上还可以购买到很多专用的调查设备，比如以Forensic MD5为代表的手持式取证设备，以及Forensic Computer出品的便携式取证箱等等，这些产品在复制数据的时候速度很快，具备丰富的让你不敢相信的接口，可以应付各种取证要求，而且便于携带，是计算机犯罪取证人员真正的百宝箱。

2) 根据情况做决定：在这里我们需要根据所发生的安全事件类型决定我们应该采取怎样的工作步骤，在一台Internet主机上发现非法的登录和局域网服务器上被隐秘的存放了一些恶意程序明显应该使用不同的方法进行调查。同时我们还需要征询计算机设备拥有方的意见，他们可能想彻底的调查该事件并提出起诉，也可能只想大致评估一下目前的状况可能造成的损失，值得注意的是，即使面对的是后一种情况，我们仍需要对证据进行符合手续的处理，也许几个月后我们的委托人突然觉得，应该教训一下冒犯他的家伙。

3) 生成鉴定副本：在进行实际取证工作的时候我们需要遵循一个重要的原则：“尽量避免在被调查的计算机上进行工作”。一方面是因为我们在犯罪环境中所做的操作越多，我们就越无法证明提取的“证据”还是原来的样子，而对诉讼过程产生影响；更重要的是可能会对“犯罪现场”造成破坏，而永远失去那些证据，也许一个“应该”无害的命令就可能引起侵入者的警觉，或触发了事先设定好的处理机制，导致证据被销毁。

在已经关机的设备上，我们首先要做的是利用准备的工具为所有的数据介质生成鉴定副本。再次提醒大家，除了尽量避免在被调查的机器上操作，我们也不能在该计算机上进行分析和检查，我们制作鉴定副本的主要目的就是在尽量少接触被调查机器的情况下进行证据分析，对原始介质的操作可能使其完全丧失做为证据的可信性。

有些情况下我们无法获取完整的鉴定副本，例如被调查的机器不支持任何热插拔设备，而内存中重要的罪证正在运行，我们就只有在开机状态来获取证据了。这种情况下需要特别的小心，以避免对证据的破坏。我们应该在整个取证过程中详细的记录操作的步骤、方式、方法和时间等。

4) 鉴定副本的管理：在获取了所有证据之后，应该妥善封存被调查的机器和设备，连同生成的鉴定副本一同加入“证据保管链”，以待进行下一阶段的分析工作。保管链的意义主要在于每次对被保管物的使用和变更都能够被记录和验证。

在实际工作中会为每一项证据（甚至我们的工具包）粘贴保管标签，在保管标签上必须体现的内容包括证据的来源、生成的时间、证据当前的保存位置、证据转手时的位置、证据转手的原因以及保管人和接手人的签字，必要时可以增加第三在场人进行签字以做为证明。因为证据大部分情况下是以数字形式进行保存的，我们还可以利用数字签名技术为证据生成电子指纹，这种方式对于证明原始证据没有被变更是比较有说服力的。

6 总结

随着计算机的不断发展，计算机犯罪也在发展，犯罪的数量在大幅度的提高，破坏性越来越大，给国家和社会造成了很大的损失，目前国内已经形成了一条计算机犯罪的“黑色产业链”。对付计算机犯罪需要采取预防和打击相结合的方式，一手加强信息系统的安全建设，另一方面公安机关要加强计算机犯罪的打击力度。而计算机犯罪取证技术的发展能够为计算机犯罪案件的侦破提供破案线索和证据。

参考文献：

[1] 王一心.浅析计算机网络犯罪及对策[J].中国电子教育,2007(4):31-32.

[2] 陈海燕.论我国计算机犯罪新的特点和对策[J].信息安全与通信保密,2007(11):42-43.

[3] 王彩玲.网络犯罪的调查取证初探[J].中国科技信息,2005(23):88-89.

[4] 罗文华,胡欣,吴连锋.计算机犯罪现场的认定[J].警察技术,2007(3):35-36.

[5] 吴小平.计算机系统遭到犯罪入侵后的电子证据取证[J].河北公安警察职业学院学报,2007(2):33-34.

[6] 张鑫.计算机病毒犯罪案件浅析[J].信息网络安全,2007(9):23-24.

推荐访问:犯罪 计算机 取证 技术发展 研究

---