前言：本站為你精心整理了談計算機隱秘信息取證技巧范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

計算機主機系統(tǒng)取證基本原則

（1）依法取證原則。在進行取證和司法鑒定活動時，需要主體、對象、方法和過程四要素同時存在合法性時，才能確保證據(jù)的合法性。計算機取證的合法主體應(yīng)包含合法的調(diào)查人員以及具備法定取證和司法鑒定資格的取證技術(shù)專家。所謂對象合法，是指對涉案的電子設(shè)備以及被懷疑與案件事實相關(guān)聯(lián)的電子信息進行明確的取證范圍規(guī)定，不能隨意取證與案件無關(guān)的數(shù)據(jù)信息，避免侵犯所有人或者權(quán)利人的隱私權(quán)、商業(yè)秘密等合法權(quán)益。

（2）無損原則以及多備份取證原則。無損原則就是在取證過程中要保持涉案設(shè)備運行環(huán)境等全部信息的完整性，不能對其進行任何修改操作。在進行收集存儲介質(zhì)中電子證據(jù)時，應(yīng)當采用鏡像技術(shù)進行備份，保證原始數(shù)據(jù)的完整性，多備份原則就是對電子證據(jù)媒體進行多次備份，原始媒體用于保存，復(fù)制品用于取證操作和分析操作。

（3）及時性和準確性原則。由于電子證據(jù)是從信息系統(tǒng)運行過程中自動生成的實時文件中提取的，如果超過一定的時間，這些文件信息就可能會發(fā)生變化，因此在確定取證對象后，應(yīng)盡快進行證據(jù)搜集。準確性原則要求取證人員在取證過程中一定要認真仔細，嚴格按照規(guī)定操作，獲取真實的結(jié)果，保證信息的準確無誤。

（4）全面取證原則。要求在計算機取證過程中，對電子證據(jù)的來源進行全面的取證。環(huán)境安全原則，要求取證、分析和保存的環(huán)境保持對電子數(shù)據(jù)存儲介質(zhì)的安全，遠離高磁場、高溫、潮濕、靜電、灰塵等不利因素。

（5）過程監(jiān)督和嚴格管理原則。計算機取證和電子證據(jù)分析提取的全過程應(yīng)有專人或者技術(shù)專家進行實時監(jiān)督，電子證據(jù)進行移交、保管、開封、拆卸等操作時也應(yīng)嚴格管理、詳細記錄。

計算機主機信息隱秘取證面臨的問題和發(fā)展趨勢

計算機主機信息隱秘取證面臨的問題主要包括：缺乏科學(xué)、規(guī)范、有效的計算機取證過程。雖然出臺了部分規(guī)定說明了計算機犯罪案件現(xiàn)場證據(jù)取證工作的原則，但是尚未對具體的操作過程進行詳細的規(guī)范，因此很容易造成不科學(xué)的取證操作，導(dǎo)致電子證據(jù)的可信度下降，非法收集的證據(jù)在法庭上無價值。二是，海量數(shù)據(jù)信息分析難度大。目前計算機硬盤容量與日俱增，大容量硬盤造成了計算機證據(jù)存儲狀態(tài)多樣，表現(xiàn)形式復(fù)雜，分析難度極大。三是，取證軟件不足。目前國內(nèi)自主研發(fā)的計算機取證軟件程序并不成熟，而引進的國外軟件又不適應(yīng)國情，目前取證過程中通常使用一些臨時自制的小程序，或者是手工操作，使提取的證據(jù)價值度、可信度大打折扣。計算機主機信息隱秘取證雖然發(fā)展時間很短，但是由于現(xiàn)代化犯罪技術(shù)的出現(xiàn)，計算機取證技術(shù)的需求也隨之增加，未來計算機取證技術(shù)的發(fā)展更加專業(yè)，需要設(shè)計成為系列軟件，建立一套完整的電子數(shù)據(jù)提取體系。由于數(shù)據(jù)量信息的爆炸式增長，未來的計算機取證技術(shù)也需要設(shè)計自動化、集成化。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，很多犯罪行為都是在異地實施，互聯(lián)網(wǎng)操作，因此計算機取證技術(shù)更趨向于網(wǎng)絡(luò)化、隱蔽化。

計算機主機隱秘信息取證系統(tǒng)分析

國內(nèi)常見的計算機隱秘信息取證系統(tǒng)軟件，主要有金諾網(wǎng)安介質(zhì)取證系統(tǒng)、美亞柏科中文取證平臺。通常計算機隱秘信息取證系統(tǒng)包含數(shù)十個子模塊，分別對數(shù)據(jù)信息進行采集、分析、加工和傳輸。其中計算機主機取證平臺是整個取證系統(tǒng)的主體部分，主要包括自動隱藏和自動加載模塊、卸載模塊、文檔數(shù)據(jù)取證模塊、取證數(shù)據(jù)隱蔽存儲模塊、取證數(shù)據(jù)回傳模塊。自動隱藏與自動加載模塊是整個取證系統(tǒng)的開端，它的成功運行是整個計算機隱秘信息系統(tǒng)正常運行的基礎(chǔ)。這一模塊重點要注意隱蔽性，對程序的進程進行隱蔽，對自身的文件進行偽裝，同時程序需要具備自動啟動、意外關(guān)閉自動啟動功能，以及防病毒軟件躲避功能。自動卸載模塊的功能實現(xiàn)關(guān)鍵是卸載組建的順序和卸載過程的隱蔽性。自動卸載模塊接到卸載指令后，應(yīng)先將所有保存在主機上的文本證據(jù)進行刪除清理，然后再卸載所有的功能模塊，完成注入痕跡的清除。文檔數(shù)據(jù)取證模塊是整個取證軟件的核心，所有的取證操作都是通過這個模塊來完成的。通過這個模塊主要獲取4類數(shù)據(jù)信息：主機的重要文檔、移動接入設(shè)備的數(shù)據(jù)、主機EFS密碼證書和登陸型密碼文檔。取證數(shù)據(jù)隱蔽存儲模塊是對主機取證模塊獲取的證據(jù)信息進行初步的處理和保存，在取證數(shù)據(jù)隱蔽存儲的模塊中主要包含4種功能：首先是對獲取的數(shù)據(jù)進行加密，然后進行隱蔽存儲，控制好存儲文件大小，最后是使用動態(tài)配置功能對取證數(shù)據(jù)信息進行管理。取證數(shù)據(jù)回傳模塊是連接主機取證平臺和取證管理平臺之間的通道。取證數(shù)據(jù)回傳模塊的設(shè)計重點是繞過目標主機上的防火墻將數(shù)據(jù)信息回傳到取證管理平臺的自動通訊設(shè)備上，實現(xiàn)取證數(shù)據(jù)的自動獲取。計算機主機信息隱秘取證系統(tǒng)是一個集數(shù)據(jù)收集、分析、傳送和遠程控制為一體的完整系統(tǒng)。主要由主機取證平臺和取證管理平臺兩個部分組成，其中主機取證平臺可以用接觸方式或者網(wǎng)絡(luò)方式植入到目標主機中，在目標主機上隱蔽運行，通過自動加載、自動卸載、文檔數(shù)據(jù)取證、取證數(shù)據(jù)隱蔽存儲和取證數(shù)據(jù)隱蔽回傳來實現(xiàn)電子證據(jù)收集。

計算機動態(tài)隱秘取證系統(tǒng)的主要數(shù)據(jù)結(jié)構(gòu)和性能分析

（1）取證部分主要數(shù)據(jù)結(jié)構(gòu)包括：Fileheaders結(jié)構(gòu)，SocketPacket結(jié)構(gòu)，ThirdPartyParam結(jié)構(gòu)，TransferParam結(jié)構(gòu)，TrojanNetwork類幾個部分組成，其中Fileheaders結(jié)構(gòu)的主要功能是獲取取證文件的文件名以及文件大小等信息；SocketPacket結(jié)構(gòu)的主要功能是傳遞諸如IP地址、端口號以及sock結(jié)構(gòu)此類信息給相關(guān)的功能函數(shù)；ThirdPartyParam結(jié)構(gòu)主要功能是存放第三方服務(wù)器的信息，比如IP地址、端口等；TransferParam結(jié)構(gòu)，主要功能是讀取第三方服務(wù)器中取證平臺的IP地址以及端口號等信息；TrojanNetwork類中封裝了取證部分的所有網(wǎng)絡(luò)操作程序，以及相關(guān)變量定義。

（2）取證平臺部分主要數(shù)據(jù)結(jié)構(gòu)和類包括：FileHead－er結(jié)構(gòu)，TransferParam結(jié)構(gòu)，ClientPacket結(jié)構(gòu)，clsServ－erNetwork類，TFormConfigPort類，TForm3rdConfig類幾個部分。其中TFormConfigPort類是綁定取證平臺偵聽端口時用到的窗口類；TForm3rdConfig類是配置第三方Web服務(wù)器時用到的窗口類；另外TransferParam結(jié)構(gòu)、FileHeader結(jié)構(gòu)的定義和功能與上述取證中所使用的相同。ClientPacket鏈表結(jié)構(gòu)主要功能是傳遞客戶端信息給線程函數(shù)，每接收到一個客戶端的連接信息，都會在管理平臺中產(chǎn)生一個ClientPacket結(jié)構(gòu)加入到鏈表中。clsServerNetwork類封裝了取證平臺中所有網(wǎng)絡(luò)操作的功能和變量定義。

（3）通過實際操作可以看出，計算機主機隱秘信息取證設(shè)計不論從取證，還是從取證平臺的數(shù)據(jù)通信來看都具有很高的隱蔽性。該技術(shù)下獲取的證據(jù)文件與源文件完全一致，具有很高的可靠性，而且取證部分和取證平臺部分都能夠長期無人值守運行，具有很高的系統(tǒng)可靠性。取證和平臺進行連接后，程序就會自動傳送列表文件和證據(jù)文件，如果有移動儲存設(shè)備連入被取證的主機，程序就會自動啟動傳輸原始文件列表的操作，及時地將列表文件傳送至取證平臺，因此計算機動態(tài)隱秘取證系統(tǒng)還具備實時性和自動性的特點。計算機取證不僅僅是計算機科學(xué)方面的技術(shù)問題，同時也是法學(xué)方面的問題，因此這種操作和程序設(shè)計，不僅要滿足技術(shù)上的要求和功能實現(xiàn)，更需要符合法學(xué)上規(guī)定的計算機取證原則和相關(guān)取證規(guī)范。因此，日后的計算機主機隱秘信息取證技術(shù)會朝著靜態(tài)取證和動態(tài)取證相結(jié)合、單機取證和網(wǎng)絡(luò)取證相結(jié)合，取證過程更加規(guī)范、取證分析更加智能、證據(jù)歸檔自動化等方向深入發(fā)展、不斷完善，形成更加完整、規(guī)范、全面的計算機取證體系。

作者：黎彩薇單位：廣東省肇慶市鼎湖區(qū)人民政府信息中心