計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等。

1.什么是計算機取證

從技術角度看，計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發(fā)現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據。

計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據，是指在計算機或計算機系統(tǒng)運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發(fā)展，電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統(tǒng)證據一樣，電子證據必須是可信、準確、完整、符合法律法規(guī)的，是法庭所能夠接受的。同時，電子證據與傳統(tǒng)證據不同，具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸，都必須借助于計算機技術、存儲技術、網絡技術等，離開了相應技術設備，電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的，必須借助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

可以用做計算機取證的信息源很多，如系統(tǒng)日志，防火墻與入侵檢測系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計記錄、網絡監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數據庫文件和操作記錄、硬盤交換分區(qū)、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿，仍有可能恢復已經刪除的文件。

2.如何進行計算機取證

根據電子證據的特點，在進行計算機取證時，首先要盡早搜集證據，并保證其沒有受到任何破壞。在取證時必須保證證據連續(xù)性，即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態(tài)到在法庭上出現狀態(tài)之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監(jiān)督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監(jiān)督。計算機取證的通常步驟如下。

(1)保護目標計算機系統(tǒng)。計算機取證時首先必須凍結目標計算機系統(tǒng)，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統(tǒng)設置、損壞硬件、破壞數據或病毒感染的情況。

(2)確定電子證據。在計算機存儲介質容量越來越大的情況下，必須根據系統(tǒng)的破壞程度，在海量數據中區(qū)分哪些是電子證據，哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據，確定這些記錄的存放位置和存儲方式。

(3)收集電子證據。

·記錄系統(tǒng)的硬件配置和硬件連接情況，以便將計算機系統(tǒng)轉移到安全的地方進行分析。

·對目標系統(tǒng)磁盤中的所有數據進行鏡像備份。備份后可對計算機證據進行處理，如果將來出現對收集的電子證據發(fā)生疑問時，可通過鏡像備份的數據將目標系統(tǒng)恢復到原始狀態(tài)。

·用取證工具收集的電子證據，對系統(tǒng)的日期和時間進行記錄歸檔，對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份，也可直接將電子證據打印成文件證據。

·利用程序的自動搜索功能，將可疑為電子證據的文件或數據列表，確認后發(fā)送給取證服務器。

·對網絡防火墻和入侵檢測系統(tǒng)的日志數據，由于數據量特別大，可先進行光盤備份，保全原始數據，然后進行犯罪信息挖掘。

·各類電子證據匯集時，將相關的文件證據存入取證服務器的特定目錄，將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。

(4)保護電子證據

對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護，無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。

3.如何分析電子證據

電子證據需要借助計算機的輔助程序來查看，分析電子證據的信息需要很深的專業(yè)知識，應依靠專業(yè)的取證專家。通常進行的工作包括。

(1)借助自動取證的文本搜索工具，進行一系列的關鍵字搜索查找最重要的信息。

(2)對文件屬性、文件的摘要和日志進行分析，根據已經獲得的文件或數據的用詞、語法、寫作或軟件設計編制風格，推斷可能的作者。

(3)利用數據解密技術和密碼破譯技術，對電子介質中的被保護信息進行強行訪問，獲取信息。

(4)分析Windows系統(tǒng)的交換文件和硬盤中未分配的空間，這些地方往往存放著犯罪嫌疑人容易忽視的證據。

(5)對電子證據進行智能相關性分析，發(fā)掘同一事件不同證據間的聯(lián)系。如分析分布式拒絕服務攻擊證據時，可對某一時間段來自攻擊者的IP在不同系統(tǒng)中留下的痕跡，按一定順序羅列和評估其相關性。

4.計算機取證常用工具

計算機取證常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和鏡像工具等。