• 收藏
  • 加入书签
添加成功
收藏成功
分享
分享到微博 分享到空间 分享到微信

浅析电子数据静态取证技术和动态取证技术

陈忠义
  
河北广播电视报·时代论坛
2023年12期
浙江省温州市公安局 浙江 温州 325000

摘要:随着计算机犯罪不断网络化和职能化,电子数据取证方式由静态取证,逐渐发展为动态取证,这两种取证方式相互依存,各有侧重,本文着重分析了电子数据取证状态之间的差异,给出了取证的一般原则,并提出了一种融合两种取证状态的通用取证流程,最后对两种状态下取证技术和反取证技术进行进一步探讨。

关键词:电子数据取证;取证原则;反取证技术

1、电子数据取证的相关概念

1.1 静态取证的阐述

取证人员依照法律规定和取证程序,由具有法律资格人员对处于开机或联网状态下的计算机及其相关计算机设备(包括交换机、路由器等)的内存数据、网络活动数据、系统运行状况等进行相关的数据实时监控、分析和保存,从中发现相关的犯罪证据,作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。取证人员往往处于被动方式,在案发后才前往犯罪现场,对犯罪现场情况和计算机设备信息毫不知情,不能确定是否能从物理证据中获取有用的电子证据,这是属于事后调查取证摸索和探索的过程,对于时效性的要求不高。

1.2 动态取证的阐述

按照静态取证的流程必须将现场的计算机断电封存,然后再让取证专家对计算机硬盘进行取证。在这个流程中存在一个巨大的缺陷就是当犯罪现场的计算机是处于开机状态时,如果不对现场开机状态下的计算机进行取证,而是关机后再取证,则极有可能导致计算机关联数据的丢失和潜在数字证据的丢失,比如登录账户信息,内存的暂存信息,系统信息,设备信息等等,这些数字证据的获取有时候往往。同时,犯罪现场对案件的侦破带来举足轻重的作用的环境是不断变化的,总体趋势是趋向于高科技犯罪、网络犯罪、反侦查手段的犯罪等,若仍按原有的静态取证方式进行取证,则获取计算机犯罪证据的几率会大大下降,同时由于不是现场取证,日后取得计算机证据的原始性、完整性的可信程度降低,削弱了计算机证据在法庭上的可信采纳程度,动态取证则可弥补以上不足。

2 电子数据取证原则及步骤

2.1 电子数据取证原则

电子证据与传统物证相比较,具有技术性、易挥发性、复合型、无形性、脆弱性等特性,动态取证相对静态取证,其电子证据的技术特性在各个方面都要强很多。因此在电子数据取证过程中,为了保证计算机证据的真实性、有效性、完整性、合法性,取证人员在实施电子数据取证时应当遵循一定的原则。目前比较权威的电子数据取证原则是IOCE提出的六条原则:(1)所有的取证和处理证据的原则必须被遵守;(2)获取证据时所采用的方法不能改变原始证据;(3)取证人员必须经过专门培训;(4)完整地记录对证据的获取、访问、存储或者传输的过程,并对这些记录妥善保存以便随时查阅;(5)每一位保管电子证据的人应该对他的每一个针对电子证据的行为负责;(6)任何人负责获取、访问、存储或者传输电子证据的机构有责任遵循这些原则。这个原则从静态取证和动态取证的最高层面上概括的规定了电子数据取证的原则框架,是对电子数据取证原则的一个指导性纲要。

2.2 电子数据取证步骤

计算机证据的获取一般分为两大步骤,第一步是实体物理设备或软件系统的获取,即计算机系统的获取,第二步是证据分析。具体操作步骤一般是:保护和勘察现场;证据的保全和收集;恢复证据和分析证据;证据的保存和提交。在实际的调查取证过程中,会面临各种不同的应用环境,静态取证环境和动态取证环境还是有一定的差别的,其取证步骤和方式也有一定的差异。

3 电子数据取证技术及反取证技术

自从计算机诞生之日起,电子数据取证技术和电子数据反取证技术之间的对抗就一直存在,并不断升级。就静态取证技术和动态取证技术来说,静态取证技术是基础,动态取证技术是延伸、发展和创新。这两种取证技术可以分别单独使用,也可以混合使用。针对计算机动态取证技术,其反取证技术除包含静态反取证技术的相关内容外,还有以下反取证技术:数据转换技术、数据混淆技术、防止数据创建技术,以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用,这些技术的使用在一定程度上给取证人员带来了一定的困难。

静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析,主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。目前,国内外对相关技术研究比较多,也有比较成熟的取证软件。针对计算机静态取证技术,目前反取证技术主要有:数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术,这些技术可以单独使用也可以混合使用。

4 结束语

虽然电子数据取证概念从提出到现在已经发展近30年,在国内也发展近20年,但是相对电子数据取证技术和反取证技术来说还处于研究阶段,越来越多的数据保护、加密、隐藏技术应用于计算机犯罪和反取证。电子数据取证环境也越来越复杂,其静态取证和动态取证相互之间的界限也越来越模糊,取证过程的系统化、智能化和合法化将是日后取证技术研究的重要方向。

参考文献

[1]于波,涂敏.计算机取证分析.计算机与现代化,2006,12:4-9.

[2]王俊.论计算机取证相关问题.中国司法鉴定,2008,2:26-30.

*本文暂不支持打印功能

monitor