很多單位都購買了一些安全工具進行防范，但技術(shù)的不斷更新，使得黑客的攻擊頻頻得手。網(wǎng)絡(luò)犯罪可以跨地區(qū)、跨國之間進行，因此對于打擊互聯(lián)網(wǎng)犯罪需要國際組織間進行合作。一旦網(wǎng)絡(luò)已經(jīng)遭受入侵并造成損失，我們就希望訴諸法律來保護自己并獲取補償。一種新的證據(jù)形式——存在于計算機及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。電子證據(jù)本身和取證過程的許多有別于傳統(tǒng)物證和取證的特點。這篇文章中跟大家介紹一些計算機取證的概念、流程、特點、來源等。

什么是計算機取證(Computer Forensics)呢?作為計算機取證方面的一名專業(yè)及資深人士，Judd Robbins給出了如下的定義：

計算機取證不過是簡單地將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上。

New Technologies是一家專業(yè)的計算機緊急事件響應(yīng)和計算機取證咨詢公司，擴展了Judd的定義：

計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。

SANS的一篇綜述文章給出了如下的定義：

計算機取證是使用軟件和工具，按照一些預(yù)先定義的程序全面地檢查計算機系統(tǒng)，以提取和保護有關(guān)計算機犯罪的證據(jù)。

因此我們認為計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關(guān)外設(shè)中的電子證據(jù)的確認、保護、提取和歸檔的過程。

計算機取證流程一般包含如下四個步驟：

識別證據(jù)：識別可獲取的信息的類型，以及獲取的方法。

保存證據(jù)：確保跟原始數(shù)據(jù)一致，不對原始數(shù)據(jù)造成改動和破壞。

分析證據(jù)：以可見的方式顯示，結(jié)果要具有確定性，不要作任何假設(shè)!

提交證據(jù)：向管理者、律師或者法院提交證據(jù)。

計算機取證又叫數(shù)字取證、電子取證，對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟硬件技術(shù)，按照符合法律規(guī)范的方式，進行識別、保存、分析和提交數(shù)字證據(jù)的過程。計算機取證的目的是收集資料，分析解釋入侵者的入侵的過程，并以此為證據(jù)提交給執(zhí)法單位。

計算機取證與傳統(tǒng)證據(jù)的取證方式不一樣，計算機取證其自身有如下的特點：

(1)容易被改變或刪除，并且改變后不容易被發(fā)覺。傳統(tǒng)證據(jù)如書面文件如有改動或添加，都會留有痕跡，可通過司法鑒定技術(shù)加以鑒別。而數(shù)字證據(jù)與傳統(tǒng)證據(jù)不同，它們多以磁性介質(zhì)為載體易被修改，并且不易留下痕跡。

(2)多種格式的存貯方式。數(shù)字證據(jù)以計算機為載體，其實質(zhì)是以一定格式儲存在計算機硬盤、軟盤或CDROM 等儲存介質(zhì)上的二進制代碼，它的形成和還原都要借助計算機設(shè)備。

(3)易損毀性。計算機信息是最終都是以數(shù)字信號的方式存在，易對數(shù)字證據(jù)進行截收、監(jiān)聽、刪節(jié)、剪接等操作?；蛘哂捎谟嬎銠C操作人員的誤操作或供電系統(tǒng)、通信網(wǎng)絡(luò)的故障等環(huán)境和技術(shù)方面的原因都會造成數(shù)字證據(jù)的不完整性。

(4)高科技性。計算機是現(xiàn)代化的計算和信息處理工具，其證據(jù)的產(chǎn)生、儲存和傳輸，都必須借助于計算機軟硬技術(shù)，離開了高科技含量的技術(shù)設(shè)備，電子證據(jù)無法保存和傳輸。如果沒有外界的蓄意篡改或差錯的影響，電子證據(jù)就能準(zhǔn)確地儲存并反映有關(guān)案件的情況。正是以這種高技術(shù)為依托，使它很少受主觀因素的影響，其精確性決定了電子證據(jù)具有較強的證明力。

(5)傳輸中通常和其他無關(guān)信息共享信道。

計算機取證其自身的特點導(dǎo)致取證的方式和來源不同，計算機證據(jù)的來源主要來自兩個方面，一個是系統(tǒng)方面的，另一個是網(wǎng)絡(luò)方面的。

其中，來自系統(tǒng)方面的證據(jù)包括：

系統(tǒng)日志文件

備份介質(zhì)

程序、腳本、進程、內(nèi)存映象

交換區(qū)文件

臨時文件

硬盤未分配的空間

系統(tǒng)緩沖區(qū)

打印機及其它設(shè)備的內(nèi)存

來自網(wǎng)絡(luò)方面的證據(jù)有：

防火墻日志

IDS日志

其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。

上面提到的計算機取證概念、流程、特點及來源，是計算機取證的初步了解過程。葉子將在后續(xù)的文章中對計算機取證的其它操作和方式進一步的分析。

【編輯推薦】

1. 熟悉Linux內(nèi)核安全入侵偵察系統(tǒng)
2. 計算機網(wǎng)絡(luò)入侵安全檢查分析研究
3. 保護無線LAN安全——阻止入侵