计算机网络取证技术的研究.doc

计算机网络取证技术的研究 杨泉清 （福建伊时代信息科技股份有限公司 福建福州） 摘要：计算机网络取证主要是研究如何为打击计算机网络犯罪提供高效、彻底和安全的技术。其核心是确保获得的证据真实、可靠、完整和符合法律规定。介绍了计算机取证的概念和取证原则，重点研究了网络取证技术方法和工具，提出了目前计算机取证相关法律法规和计算机取证技术的不足,指出了今后法律法规的进一步健全、计算机取证工作的规范化和计算机取证技术的发展趋势。 关键词：计算机取证技术；网络取证；网络犯罪；网络取证工具；电子证据 Abstract: The computer network is to study evidence of how to combat crimes related to computer networks to provide efficient, thorough and security technology. Its core is to ensure that the evidence was true, reliable, complete and in conformity with the law. Introduced the concept of computer forensics and evidence principle, the network focuses on the technical methods and tools of evidence and put forward the current laws and regulations related to computer forensics and computer technology, lack of evidence, pointing out that the future to further improve laws and regulations, the standardization of computer forensics work and Computer Forensics trends. Key Words: Computer Forensics；Network Forensics；Computer NetWork Crime；Network Forensics Tools；Electronic vidence 随着互联网的应用和普及，各种利用计算机网络为工具进行网络诈骗、网络盗窃、网络色情和网络窃密等犯罪活动日益猖獗，已经严重威胁到人们正常的生产和生活。如何及时准确地从计算机网络中获取证据，有效遏制网络犯罪的发展，已成为近年来计算机取证的研究热点。由于计算机网络证据具有动态、实时、海量、异构和多态等特性，有别于传统证据，使其在证据的获取方面存在一定的难度，需要具备较强的取证技术。同时，网络取证技术的研究在我国还处于刚刚起步的阶段，还无法及时跟上犯罪技术的更新和变化。因此，网络证据的获取一直还处于比较艰难的局面，严重阻碍了网络案件的侦破。面对这种现实，加快网络取证技术的研究和应用，已经引起各级政府和机构的高度重视。 网络证据取证概述 计算机取证（Computer Forensics）是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行获取、保存、分析和出示的过程。从技术上，计算机取证是一个对计算机系统进行扫描和破解，以对入侵事件进行重建的过程。网络取证（Network Forensics）包含了计算机取证，是广义的计算机取证，是网络环境中的计算机取证。 计算机取证包括了物理证据获取和信息分析发现两个阶段。物理证据是指调查人员到犯罪现场，寻找和扣留犯罪相关的计算机软硬件设备；信息分析发现是指从计算机原始数据中通过技术手段分析查找与案件相关的系统日志、聊天记录、电子邮件和文件等可以用来证明或者反驳的电子数据证据，即电子证据。 与传统的证据不同的是，计算机证据易丢失、易篡改、易删除并且很难获取，这就要求在进行计算机取证时必须严格遵守一定的规则。基本原则如下： 合法性原则：应采用合法的取证设备和工具软件按照法律法规的要求，合理合法的进行计算机证据收集； 原始性原则：及时收集、保存和固化原始证据，确保证据不被嫌疑人删除、篡改和伪造； 连续性原则：证据被提交给法庭时，必须能够说明证据从最初的获取到出庭证明之间的任何变化； 过程完整性原则：整个取证过程应该在受监督的情况下完成，证据的移交、分类、保管等过程应该有详细的记录，确保证据获取的真实可信； 多备份原则：对存放计算机证据的载体至少制作俩个以上的副本。原件应存放在专门的保管设施中，副本可用于证据的提取和分析； 可重现原则：由于