浅析计算机取证技术 计算 机取证是对计算机犯罪证.txt

浅析计算机取证技术摘要: 计算机取证是对计算机犯罪证据的识别、获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。本文主要介绍了计算机取证的概念、特点,计算机取证的过程,然后探讨了计算机取证的发展趋势和局限性。
关键词:计算机取证电子证据计算机反取证
计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式。同时也为违法犯罪分子提供了新的犯罪手段和空间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。大量的计算机犯罪—如商业机密信息的窃取和破坏,计算机诈骗,攻击政府、军事部门网站,色情信息、网站的泛滥等等。侦破这些案件必须要用到计算机取证技术,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有许多不同于传统物证和取证的特点,给司法工作和计算机科学领域都提出了新的挑战。
一、计算机取证的概念和特点
关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家Reith Clint Mark认为:penter Forensics)可以认为是“从计算机中收集和发现证据的技术和工具”。Lee Garber在IEEE Security发表的文章中认为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。计算机取证资深专家Judd Robbins对此给出了如下定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果
;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以