浅谈网络取证技术.pdf

计算机取证(Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将

Computer

犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以

法。

计算机取证(ComputerForensics)在打击计算机和网络犯罪中作用十分关键，它的目的是

要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之

以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算

机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。

1网络取证概述

1.1概念

计算机取证（ComputerForensics、计算机取证技术、计算机鉴识、计算机法医学）是

指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起

诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在

计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而

言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

可理解为“从计算机上提取证据”即：获取、保存分析出示提供的证据必须可信计算机取

证(ComputerForensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留

在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，

计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事

故，包括网络入侵、盗用知识产权和网络欺骗等。

按照SimsONGarfinkel[3]的观点，网络取证包括2种方式：(1)“catchitasyoucan”(尽可

能地捕捉)。这种方式中所有的包都经过一定的节点来捕获，将报文全部保存下来，形成一

个完整的网络流量记录，把分析的结果按照批量方式写入存储器。这种方式能保证系统不丢

失任何潜在的信息，最大限度地恢复黑客攻击时的现场，但对系统存储容量的要求非常高，

通常会用到独立冗余磁盘阵列(RAID)系统。(2)“oplookandlisten”(停、看、听)。这种方式

ST

中每个包都经过基本的分析，为以后的分析留下基本信息，对存储的要求比较小，但需要一

个较快的处理器，以便速度能跟得上输入的网络流。这种方式能减少系统存储容量的需求，

但有可能丢失一些潜在的信息，同时过滤进程还会增加系统负荷。

中科院学者指出：“网络取证技术指在网上跟踪犯罪分子或通过网络通信的数据信息资

料获取证据的技术，包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮

件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术及漏洞扫描技术等”[4]。

目前还没有网络取证的统一标准定义，综上所述，笔者认为，网络取证是指通过计算机

网络技术，按照符合法律规范的方式，对网络事件进行可靠的分析和记录，并以此作为法律

证据的过程。

1.2网络证据的特点

网络证据是正在网上传输的计算机证据，其实质是网络流[5]。网络证据的获取属于事

中取证，即在犯罪事件进行或证据数据的传输途中进行截获。网络流的存在形式依赖于网络

传输协议，采用不同的传输协议，网络流的格式也不相同。网络取证的目标就是对网络流进

行正确地提取和分析，真实全面地将发生在网络上的所有事件记录下来，为事后的追查提供

完整准确的资料，将证据提交给法庭。网络证据具有以下特点：

(1)动态：不同于存储在硬盘等存储设备中的数据，网络数据是正在网上传输的数据，是

“流动”的数据。

(2)实时：就网络上传输的一个数据包而言，其传输的过程是有时间限制的，从源地址

经由传输介质到达目的地址后就不再属于网络流了。

(3)海量：随着网络带宽的不断增加，网上传输的数据越来越多，形成了海量数据。

(4)多态：网络上传输的数据流有的是文本，有的是视频，有的是音频，其表现形式呈

多态性。

1.3与传统静态取证的比较

计算机取证就是对计算机犯罪的证据进行获取保存分析和出示，它实质上是一个详细扫

描计算机系统以及重建入侵事件的过程[6]。传统的计算机取证主要是静态取证，即在计算

机犯罪发生后，有时甚至时间间隔很长。主要集中在计算机磁盘的分析，通过克隆存