计算机调查取证是什么

计算机调查取证是法医学的一个分支。与法医学类似，计算机调查取证是从计算机中获取电子证据并进行分析的过程。近年来，各种案件中涉及的电子证据越来越多，计算机调查取证逐渐成为热门专业。

计算机调查取证是法医学的一个分支。与法医学类似，计算机调查取证是从计算机中获取电子证据并进行分析的过程。近年来，各种案件中涉及的电子证据越来越多，计算机调查取证逐渐成为热门专业。

使用

近年来，随着手机、个人掌上电脑等电子产品的普及，计算机调查取证的来源已经从计算机转向其他种类的电子产品，因此计算机调查取证有时被称为“数字取证”。

法医目标

这样调查的结果才能经得起法院的审查。

操作原理

计算机调查取证的范围几乎涵盖了所有可能写数据的电子产品。就计算机而言，大多数时候，取证人员需要使用专业的工具进行取证，其中以包住和FTK著名。使用这些工具的人员需要接受专业培训并获得合格证书，才能获得案件证据。当然，除了专业工具外，法医人员还会使用一些系统工具(一般在DOS下运行，以保证证据只受到最小程度的影响)，比如dd和Netcat，对内存进行法医分析。

电子证据隐蔽性极强，这也是对法医人员的巨大挑战。此外，在英美法系中，电子证据已经逐渐规范化。像其他证据一样，证据收集需要遵循监管链。监管链的内容如下:1 .记录获得的证据。2.保留出庭、移交和移交给检查员的证据记录。3.原始证据(硬盘)应安全存放在专门的证据盒中，并记录日志。4.所有电子取证和检验都应在原始证据的镜像上进行，不得在原始证据上进行。

操作方法

电子证据可以分为“死”证据和“活”证据:前者包括收集的硬盘、u盘、存储卡等。就是“死了”；后者，顾名思义，就是活着的证据，比如记忆。计算机运行时，内存的内容随时会发生变化，但内存中可能有极其重要的证据，比如剪贴板的内容、输入的密码等等。无论证据是“死的”还是“活的”，取证人员都有必要追根究底。

对于“死”的证据，取证人员需要遵循监管链原则进行取证分析。取硬盘或u盘，收集物证后，取证人员会制作一份比特流拷贝。在这一步中，通常需要一个名为写阻止程序的物理组件，以防止系统在制作副本的过程中将数据写入原始证据。在制作副本时，取证人员会对原始证据计算MD5或SHA1值，然后在副本完成后对副本进行计算。MD5或SHA1值就像指纹一样，可以用来区分制作的副本是否与原始证据相同。而且每次法医分析后，法医人员都会进行同样的操作，保证证据没有变化，从而保证证据的可靠性。

“活的”证据的重要性直到最近才受到重视，但却极其重要。可想而知，计算机取证还是一个有待发展和完善的新生事物。在第一犯罪现场或嫌疑人家中，当涉及电脑时，美国司法部门规定，如果是打开的，不要关闭或收集，并联系电脑取证人员进行回应。其中一个原因是，越来越多的罪犯开始隐藏他们的罪行，并对其进行加密。解密是非常困难和耗时的，但是如果罪犯输入密码，密码就会隐藏在内存的某个地方。通过内存取证分析，可以找到密码并轻松解密。此外，国外即时通讯软件(雅虎、脸书等。)越来越多地在网页上运行，使得聊天内容存储在内存而不是硬盘上，这也是“直播”证据越来越重要的原因之一。由于记忆的易变性，取证前后的记忆不可能是相同的，这可能会导致法庭上的辩护律师对这些证据的可靠性进行攻击，需要相关法律来完善“现场”证据的获取。

计算机调查取证和计算机安全离不开法律，取证人员需要接受法律、计算机安全甚至网络安全方面的各种培训。在美国，SANS研究所的GIAC认证取证分析师(GCFA)认证是针对计算机调查人员的认证。

取证原则

首先，尽快收集证据，确保没有被破坏；

其次，一定要保证“证据的连续性”(有时也叫“保管链”)，即证据正式提交法院时，一定要能说明最初取得状态与出庭状态之间的任何变化，当然最好是没有变化；

最后，检查取证的全过程都要监督，也就是说原告指定的专家所做的一切调查取证工作都要由其他当事人指定的专家进行监督。

如何取证

必须能说明证据取得的初始状态和证据出庭状态之间的任何变化，但最好没有变化。尤其重要的是，计算机取证的全过程必须有监督，即原告指定的专家进行的所有取证工作都要有其他当事人指定的专家进行监督。计算机取证的一般步骤如下:

(1)保护目标计算机系统。计算机取证时，必须先冻结目标计算机系统，以免给犯罪嫌疑人毁灭证据的机会。避免对系统设置的任何更改、硬件损坏、数据损坏或病毒感染。

(2)确定电子证据。随着计算机存储介质容量的不断增加，有必要根据系统损坏的程度来区分电子证据和无用数据。需要找到犯罪嫌疑人留下的活动记录作为电子证据，并确定这些记录的存放位置和存放方式。

(3)收集电子证据。

记录系统的硬件配置和硬件连接，以便将计算机系统转移到安全的地方进行分析。

对目标系统磁盘中的所有数据进行镜像备份。备份后，计算机证据就可以处理了。如果将来对收集的电子证据有任何疑问，可以通过镜像备份数据将目标系统恢复到其原始状态。

利用取证工具收集的电子证据，记录并归档系统的日期和时间，分析可能作为证据的数据。关键证据数据可以用光盘备份，电子证据也可以直接打印成书证。

利用程序的自动搜索功能，将怀疑为电子证据的文件或数据列表确认后发送给取证服务器。

对于网络防火墙和入侵检测系统的日志数据，由于数据量大，可以先进行光盘备份，保存原始数据，然后进行犯罪信息挖掘。

在收集各类电子证据时，相关书证存储在取证服务器的特定目录下，存储目录、文件类型、证据来源等信息存储在取证服务器的数据库中。

(4)保护电子证据

封存数据镜像备份介质，用于调查取证，并存放在安全的地方。获得的电子证据应当有安全措施保护，无关人员不得操作存放电子证据的计算机。不要轻易删除或修改文件，以免永久丢失有价值的证据文件。

法医步骤

在保证上述基本原则的情况下，计算机取证一般按照以下步骤进行:

第一，在法医检验中，保护目标计算机系统，避免任何改动、伤害、数据破坏或病毒感染；

第二，搜索目标系统中的所有文件。包括现有正常文件、磁盘上仍存在的已删除文件(即新文件未覆盖)、隐藏文件、密码保护文件和加密文件；

第三，恢复所有(或尽可能)找到的已删除文件；

第四，最大限度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；

第五，如果可能并且在法律允许的情况下，访问受保护或加密文件的内容；

第六，分析在磁盘特殊区域找到的所有相关数据。特殊区域至少包括以下两类:①所谓的未分配磁盘空-虽然没有使用，但可能包含以前的数据残留；②文件中的“slack”空-如果文件的长度不是簇长度的整数倍，那么在分配给该文件的最后一个簇中会有剩余的空未使用，其中可能包含前一个文件留下的信息，这可能是有用的证据；

第七，打印目标计算机系统的综合分析结果，然后给出分析结论:系统的整体情况，发现的文件结构、数据、以及作者的信息，任何隐藏、删除、保护、加密信息的企图，以及在调查中发现的其他相关信息；

第八，给出必要的专家证明。

上面提到的计算机取证的原理和步骤都是基于一个静态的观点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的观点已经不能满足要求。发展趋势是将计算机取证与入侵检测等网络安全工具和网络架构相结合，进行动态取证。整个取证过程会更加系统化、智能化、灵活化。

法医程序

取证准备(准备)操作准备

设备准备

证据鉴定的现场证据保护

设备储存

证据收集(采集)提取原始证据

原始证据的保存

证据分析(分析)

法医检定法

结论报告

证据提交(陈述)

证据展示

证据返还