摘 要：计算机取证是对计算机犯罪证据的识别、获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。本文主要介绍了计算机取证的概念、特点，计算机取证的过程，然后探讨了计算机取证的发展趋势和局限性。

计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式。同时也为违法犯罪分子提供了新的犯罪手段和空间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多，造成的危害也越来越大。大量的计算机犯罪—如商业机密信息的窃取和破坏，计算机诈骗，攻击政府、军事部门网站，色情信息、网站的泛滥等等。侦破这些案件必须要用到计算机取证技术，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有许多不同于传统物证和取证的特点，给司法工作和计算机科学领域都提出了新的挑战。

一、计算机取证的概念和特点

(资料图片)

关于计算机取证概念的说法，国内外学者专家众说纷纭。取证专家Reith Clint Mark认为：计算机取证（Compenter Forensics）可以认为是“从计算机中收集和发现证据的技术和工具”。Lee Garber在IEEE Security发表的文章中认为：计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。计算机取证资深专家Judd Robbins对此给出了如下定义：计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。其中，较为广泛的认识是：计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据（Electronic Evidence）的确定、收集、保护、分析、归档以及法庭出示的过程。

电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的，尤其是多媒体技术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

证据在司法证明的中的作用是无庸质疑的，它是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样，电子证据必须是：可信的、准确的、完整的、符合法律法规的，即可为法庭所接受的。同时我们不难发现，电子证据还具有与传统证据有别的其它特点：①磁介质数据的脆弱性：电子证据非常容易被修改，并且不易留痕迹；②电子证据的无形性：计算机数据必须借助于其他一些输出设备才能看到结果；③高科技性：证据的产生、传输、保存都要借助高科技含量的技术与设备；④人机交互性：计算机证据的形成，在不同的环节上有不同的计算机操作人员的参与，它们在不同程度上都可能影响计算机系统的运转；⑤电子证据是由计算机和电信技术引起的，由于其它技术的不断发展，所以取证步骤和程序必须不断调整以适应技术的进步。

二、计算机取证的过程

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机（或网络终端）犯罪或入侵的现场，寻找并扣留相关的硬件设备；信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。

1．物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作，保证原始数据不受任何破坏。无论在任何情况下，调查者都应牢记：①不要改变原始记录；②不要在作为证据的计算机上执行无关的操作；③不要给犯罪者销毁证据的机会；④详细记录所有的取证活动；⑤妥善保存得到的物证。

由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时，面对调查队伍自身的素质问题和设备时，还要注意以下两个问题 ：①目前硬盘的容量越来越大，固定过程相应变得越来越长，因此取证设备要具有高速磁盘复制能力；②技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备，对调查人员的计算机专业素质要求很高。

2．信息发现

在任何犯罪案件中，犯罪分子或多或少都会留下蛛丝马迹，前面所说的电子证据就是这些高科技犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础，但是如果不把它提炼出来，它只是一堆无意义的数据。我们研究计算机犯罪取证就是将这些看似无意义的数据变成与犯罪分子斗争的利器，将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪者绳之以法。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片，而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

为了保护原始数据，除非与特殊的需要，所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文件可能已经被删除了，所以要通过数据恢复找回关键的文件、通信记录和其它的线索。

数据恢复以后，取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据，这与侦查普通犯罪时法医的角色没有区别。

三、计算机取证的发展

计算机取证是伴随着计算机犯罪事件的出现而发展起来的，在我国计算机证据出现在法庭上只是近10年的事情，在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出，法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复杂性的增加，电子证据与传统证据之间的类似性逐渐减弱。于是90年代中后期，对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。

现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。不过我们国家有关计算机取证的研究与实践尚在起步阶段。