什么的計算機取證
? ? ? 計算機取證(Computer Forensics、計算機取證技術、計算機鑒識、計算機法醫學)是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為“從計算機上提取證據”即： 獲取、保存 分析 出示 提供的證據必須可信 ;

　　計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等。

　　計算機取證的方式

　　從技術角度看，計算機取證是分析硬盤、光盤、軟盤、Zip磁盤、U盤、內存緩沖和其他形式的儲存介質以發現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

　　計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據，是指在計算機或計算機系統運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展，電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣，電子證據必須是可信、準確、完整、符合法律法規的，是法庭所能夠接受的。同時，電子證據與傳統證據不同，具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸，都必須借助于計算機技術、存儲技術、網絡技術等，離開了相應技術設備，電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的，必須借助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

　　可以用做計算機取證的信息源很多，如系統日志，防火墻與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束后將自己殘留在受害方系統中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿，仍有可能恢復已經刪除的文件。

　　計算機取證方法說明

　　計算機調查取證方式在目前的調查取證中新興的技術模式，其在目前實踐環境下得到相關調查機構的不斷重視;計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程序、具體方法。計算機取證的方法非常多，而且在計算取證過程中通常又涉及到證據的分析，取證與分析兩者很難完全孤立開來，所以對計算機取證的分類十分復雜，往往難以按一定的標準進行合理分類。通常情況下根據取得的證據的用途不同進行分類，通常可以分為兩類不同性質的取證。一類是來源取證，一類是事實取證。

　　1.來源取證

　　所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。

　　IP地址取證主要是利用在互聯網中，每一臺聯網的計算機，在某一時刻都有唯一的全局IP地址。根據在案發現場找到的IP地址信息，進一步確定犯罪嫌疑人的機器，由犯罪人的機器再尋找案件相關人的方法。

　　MAC地址取證主要在一些局域網中或動態分配IP地址網絡中，由于IP地址使用有一定的自由，如果哪一個IP地址由誰租用并不清楚時，可以根據物理地址與邏輯地址的關系，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計算機設備中網卡存在一定的對應關系，可以用來確定來源。

　　電子郵件取證，指的是根據電子郵件頭部信息找到發送電子郵件的機器，并根據已鎖定的機器找到特定人的取證方法。

　　軟件賬號取證，指特定軟件如果其某個賬號與特定人存在一一對應關系時，可以用來證明案件的來源。

　　2.事實取證

　　事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟件功能分析、軟件相似性分析、日志文件分析、網絡狀態分析、網絡數據包分析等。

　　文件內容調查指的是在存儲設備中取得文檔文件、圖片文件、音頻視頻文件、動畫文件、網頁、電子郵件內容等相關文件的內容。包括這些文件被刪除以后、文件系統被格式化后或者數據恢復以后的文件內容。

　　使用痕跡調查包括windows運行的痕跡(包括運行欄歷史記錄、搜索欄歷史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調查)、上網記錄的調查(緩存、歷史記錄、自動完成記錄、瀏覽器地址欄下拉網址，Cookies，index.dat文件等等)、Office，realplay和mediaplay的播放列表及其它應用軟件使用歷史記錄。

　　軟件功能分析主要針對特定軟件和程序的性質和功能進行分析，常見是對惡意代碼的分析，確定其破壞性、傳染性等特征。此類取證方法通常在破壞計算機信息系統、入侵計算機信息系統、傳播計算機病毒行為中經常使用。

　　軟件相似性分析是指比較兩軟件，找出兩者之間是否存在實質性相似的證據。此類取證方法主要在軟件知識產權相關案件中使用。

　　日志文件分析，指通過系統日志、數據庫日志、網絡日志、應用程序日志等進行分析發現系統是否存在入侵行為或者其它訪問行為的證據。

　　網絡狀態分析指的是取得特定時刻計算機聯網狀態。例如網絡中哪些機器與本機相連，本機的網絡配置、開啟了哪些服務、哪些用戶登錄到本機等信息。

　　網絡數據包分析指的是通過分析網絡中傳輸的數據包發現相關證據的過程。網絡數據包分析主要發生在實時取證中，是一種綜合的取證方法。有時候網絡數據包分析也稱呼為“網絡偵聽”。在對網絡犯罪實時偵查或“誘惑性”偵查時，往往采取網絡偵聽的方法發現犯罪嫌疑人的犯罪活動，掌握犯罪的線索，為抓獲犯罪嫌疑人提供支持。

　　在常用的證據調查方法體系中，計算機取證作為一項新興的調查取證方式，有著其極高的專業性和技術性，但一旦有所突破，亦能獲得較為明顯的證據線索，有效的促進案件的證據整理工作，作為專業的證據調查部，我們不斷的總結，掌握熟練的計算機取證技術，更好的為客戶提供優質的證據服務;

　　計算機取證常用工具

　　計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具

　　如何進行計算機取證

　　根據電子證據的特點，在進行計算機取證時，首先要盡早搜集證據，并保證其沒有受到任何破壞。在取證時必須保證證據連續性，即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。　　(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。　　(2)確定電子證據。在計算機存儲介質容量越來越大的情況下，必須根據系統的破壞程度，在海量數據中區分哪些是電子證據，哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據，確定這些記錄的存放位置和存儲方式。　　(3)收集電子證據。　　記錄系統的硬件配置和硬件連接情況，以便將計算機系統轉移到安全的地方進行分析。

　　對目標系統磁盤中的所有數據進行鏡像備份。備份后可對計算機證據進行處理，如果將來出現對收集的電子證據發生疑問時，可通過鏡像備份的數據將目標系統恢復到原始狀態。 用取證工具收集的電子證據，對系統的日期和時間進行記錄歸檔，對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份，也可直接將電子證據打印成文件證據。 利用程序的自動搜索功能，將可疑為電子證據的文件或數據列表，確認后發送給取證服務器。 對網絡防火墻和入侵檢測系統的日志數據，由于數據量特別大，可先進行光盤備份，保全原始數據，然后進行犯罪信息挖掘。 各類電子證據匯集時，將相關的文件證據存入取證服務器的特定目錄，將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。

　　(4)保護電子證據

　　對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據采用安全措施保護，無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。