計算機犯罪及取徵技術的研究論文

　　公安部計算機管理監察司給出的定義是：所謂計算機犯罪，就是在資訊活動領域中，利用計算機資訊系統或計算機資訊知識作為手段，或者針對計算機資訊系統，對國家、團體或個人造成危害，依據法律規定，應當予以刑罰處罰的行為。以下是小編為大家精心準備的：計算機犯罪及取徵技術的研究相關論文。內容僅供參考，歡迎閱讀!

　　計算機犯罪及取徵技術的研究全文如下：

　　摘要：計算機技術的迅速發展改變了人們的生活方式、生產方式與管理方式。同時，也為違法犯罪分子提供了新的犯罪空間和手段。以計算機資訊系統為犯罪物件和工具的各類新型犯罪活動越來越多，造成的危害也越來越大。如何獲取與計算機犯罪相關的電子證據，將犯罪分子繩之以法。已成為司法和電腦科學領域中亟待解決的新課題。作為計算機領域和法學領域的一門交叉科學——計算機取證學成為人們研究與關注的焦點。

　　關鍵詞：計算機犯罪 計算機取證 電子證據

　　計算機犯罪是伴隨計算機的發明和廣泛應用而產生的新的犯罪型別。隨著計算機技術的飛速發展。計算機在社會中的應用領域急劇擴大。計算機犯罪的型別和領域不斷增加和擴充套件。使“計算機犯罪”這一術語隨著時間的推移不斷獲得新的涵義。

　　1　什麼是計算機犯罪

　　在學術研究上.關於計算機犯罪迄今為止尚無統一的定義***大致說來，計算機犯罪概念可歸為五種：相關說、濫用說、工具說、工具物件說和資訊物件說***。根據刑法條文的有關規定和我國計算機犯罪的實際情況，計算機犯罪是指行為人違反國家規定.故意侵入國家事務、國防建設、尖端科學技術等計算機資訊系統，或者利用各種技術手段對計算機資訊系統的功能及有關資料、應用程式等進行破壞。製作、傳播計算機病毒。影響計算機系統正常執行且造成嚴重後果的行為。

　　利用計算機進行犯罪活動，無外乎以下兩種方式：一是利用計算機儲存有關犯罪活動的資訊;二是直接利用計算機作為犯罪工具進行犯罪活動。計算機犯罪具有犯罪主體的專業化、犯罪行為的智慧化、犯罪客體的複雜化、犯罪物件的多樣化、危害後果的隱蔽性等特點。使計算機犯罪明顯有別於傳統一般刑事犯罪。近年來，計算機犯罪案例呈逐年上升趨勢。給國家帶來不可估量的嚴重後果和巨大的經濟損失，甚至威脅到國家的安全，破壞了良好的社會秩序。所以，打擊利用計算機進行的犯罪，確保資訊保安對於國家的經濟發展和社會穩定具有重大現實意義。為有效地打擊計算機犯罪，計算機取證是一個重要步驟。存在於計算機及相關外圍裝置***包括網路介質***中的電子證據已經成為新的訴訟證據之一。

　　2　什麼是計算機取證

　　計算機取證又稱為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬體技術，按照符合法律規範的方式進行證據獲取、儲存、分析和出示的過程。從技術上，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。

　　計算機取證包括物理證據獲取和資訊發現兩個階段。物理證據獲取是指調查人員到計算機犯罪或入侵的現場，尋找並扣留相關的計算機硬體;資訊發現是指從原始資料***包括檔案，日誌等***中尋找可以用來證明或者反駁的證據，即電子證據。與傳統的證據一樣，電子證據必須是真實、可靠、完整和符合法律規定的。

　　2.1物理證據的獲取

　　物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始資料不受任何破壞。無論在任何情況下，調查者都應牢記：

　　***1***不要改變原始記錄;

　　***2***不要在作為證據的計算機上執行無關的操作;

　　***3***不要給犯罪者銷燬證據的機會;

　　***4***詳細記錄所有的取證活動;

　　***5***妥善儲存得到的物證。

　　若現場的計算機處於工作狀態。取證人員應該設法儲存儘可能多的犯罪資訊。由於犯罪的證據可能存在於系統日誌、資料檔案、暫存器、交換區、隱藏檔案、空閒的磁碟空間、印表機快取、網路資料區和計數器、使用者程序儲存器、檔案快取區等不同的位置。要收集到所有的資料是非常困難的。關鍵的時候要有所取捨。如果現場的計算機是黑客正在入侵的目標。為了防止犯罪分子銷燬證據檔案，最佳選擇也許是馬上關掉電源;而如果計算機是作案的工具或相關資訊的儲存器。應儘量儲存快取中的資料。

　　2.2資訊發現

　　取得了物理證據後。下一個重要的工作就是資訊發現。不同的案件對資訊發現的要求是不一樣的。有些情況下要找到關鍵的檔案、郵件或圖片，而有些時候則可能要求計算機重現過去的工作細節***比如入侵取證***。

　　值得注意的是。入侵者往往在入侵結束後將自己殘留在受害方系統中的“痕跡”擦除掉。猶如犯罪者銷燬犯罪證據一樣，儘量刪除或修改日誌檔案及其它有關記錄。殊不知一般的刪除檔案操作，即使在清空了回收站後，若不將硬碟低階格式化或將硬碟空間裝滿，仍可將“刪除”的檔案恢復過來。在Windows作業系統下的windows swap***page***fde***一般使用者不曾意識到它的存在***大概有20-200M的容量，記錄著字元處理、Email訊息、Internet瀏覽行為、資料庫事務處理以及幾乎其它任何有關windows會話工作的資訊。另外。在windows下還存在著fde slack，記錄著大量Email碎片***Fragments***、字元處理碎片、目錄樹映象***snapshot***以及其它潛在的工作會話碎片。以上這些都可以利用計算機取證軟體來收集。事實上。現在的取證軟體已經具有了非常好的資料恢復能力，同時，還可以做一些基本的檔案屬性獲得和檔案處理工作。

　　資料恢復以後。取證專家還要進行關鍵字的查詢、分析檔案屬性和數字摘要、搜尋系統日誌、解密檔案等工作。由於缺乏對計算機上的所有資料進行綜合分析的工具，所以，資訊發現的結果很大程度上依賴於取證專家的經驗。這就要求一個合格的取證專家要對資訊系統有深刻的瞭解。掌握計算機的組成結構、計算機網路、作業系統、資料庫等多方面的相關知識。

　　最後取證專家據此給出完整的報告。將成為打擊犯罪的主要依據，這與偵查普通犯罪時法醫的角色沒有區別。

　　3一些取證工具的介紹

　　在計算機取證過程中。相應的取證工具必不可少，常見的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，映象工具等。在國外計算機取證過程中比較流行的是映象工具和專業的取證軟體。下面以EnCase作為一個計算機取證技術的案例來分析。EnCase是目前使用最為廣泛的計算機取證工具，至少超過2000家的去律執行部門在使用它。EnCase是用C++編寫的容量大約為1M的程式，它能調查Windows，Macintosh，Anux，Unix或DOS機器的硬碟，把硬碟中的檔案映象或只讀的證據檔案。這樣可以防止調查人員修改數居而使其成為無效的證據。為了確定映象資料與原的資料相同。EnCase會與計算機CRC校驗碼和MD5臺希值進行比較。EnCase對硬碟驅動映象後重新組織檔案結構，採用Windows GUI顯示檔案的內容。允許調查員使用多個工具完成多個任務。

　　在檢查一個硬碟驅動時，EnCase深入作業系統底層檢視所有的資料——包括file slack.未分配的空司和Windows交換分割槽***存有被刪除的檔案和其它潛生的證據***的資料。在顯示檔案方面，EnCase可以由多種標準，如時間戳或副檔名來排序。此外.EnCase可以比較已知副檔名的檔案簽名。使得調查人員能確定使用者是否通過改變副檔名來隱藏證據。對調查結果可以採用html或文字方式顯示。並可打印出來。

　　在計算機取證的過程中還有一種常用的方法是在被入侵的系統上巧妙地設立HoneyPot，模擬先前被入侵的狀態來捕獲入侵者的資訊，即採用誘敵深入的計策達到取證的目的。

　　HoneyPot和Honeynet都是專門設計來讓人“攻陷”的網路。一旦被入侵者攻破，入侵者的一切資訊、工具都將被用來分析學習。

　　通常情況下，HoneyPot會模擬常見的漏洞。而Honeynet是一個網路系統，而非某臺單一主機。這一網路系統隱藏在防火牆後面，所有進出的資料都受到關注、捕獲及控制。這些捕獲的資料可被用來研究分析入侵者使用的工具、方法及動機。

　　4　當前計算機取證技術的侷限和反取證技術

　　計算機取證的理論和軟體是近年來電腦保安領域內取得的重大成果。然而，在實際取證過程中。我們發現目前的計算機取證技術還存在著很大的侷限性。首先，有關犯罪的電子證據必須沒有被覆蓋：其次，取證軟體必須能夠找到這些資料。並能知道它代表的內容。但從當前軟體的實現情況來看。許多取證分析軟體並不能恢復所有被刪除的檔案。

　　正是由於技術上的侷限性。使得一些犯罪分子認為有機可乘。因此在取證技術迅速發展的同時.一種叫做反取證的技術也悄悄出現了。反取證技術就是刪除或隱藏證據，使取證調查無效。現在反取證技術主要分為三類：資料擦除、資料隱藏、資料加密。這些技術還可結合使用，使取證工作變得很困難。

　　資料擦除是最有效的反取證方法。它清除所有的證據。由於原始資料不存在了。取證自然就無法進行。資料隱藏僅在取證者不知道到哪裡尋找證據時才有效。為逃避取證，犯罪者還把暫時不能刪除的檔案偽裝成其他型別的檔案或把他們隱藏在圖形或音樂檔案中。也有人將資料檔案隱藏在磁碟的隱藏空間中。

　　加密檔案的作用是我們所熟知的。對可執行檔案的加密是因為在被入侵主機上執行的黑客程式無法被隱藏，而黑客又不想讓取證人員有方向地分析出這些程式的作用，因此，在程式執行前先執行一個文字解密程式。來解密被加密的程式碼。而被解密的程式碼可能是黑客程式。也可能是另一個解密程式。

　　此外，黑客還可以利用Root Kit***系統後門、木馬程式***，繞開系統日誌或利用盜竊的密碼冒充其他使用者登陸。這些反取證技術給取證工作帶來極大的困難。

　　5　結束語

　　在各種各樣的計算機犯罪手段與資訊安全防範技術對壘的形勢下。目前的研究多著眼於入侵防範對於入侵後的取證技術的研究相對滯後。僅僅通變現有的網路安全技術打擊計算機犯罪已經不能夠適應當前的形式。因此需要發揮社會和法律的力量去對付計算機和網路犯罪。計算機取證學的出現和矗用是網路安全防禦理論走向成熟的標誌。也是相多法律得以有效執行的重要保障。