很多單位都購買了一些安全工具進行防范，但技術的不斷更新，使得黑客的攻擊頻頻得手。網絡犯罪可以跨地區、跨國之間進行，因此對于打擊互聯網犯罪需要國際組織間進行合作。一旦網絡已經遭受入侵并造成損失，我們就希望訴諸法律來保護自己并獲取補償。一種新的證據形式——存在于計算機及相關外圍設備(包括網絡介質)中的電子證據逐漸成為新的訴訟證據之一。電子證據本身和取證過程的許多有別于傳統物證和取證的特點。這篇文章中跟大家介紹一些計算機取證的概念、流程、特點、來源等。

什么是計算機取證(Computer Forensics)呢?作為計算機取證方面的一名專業及資深人士，Judd Robbins給出了如下的定義：

計算機取證不過是簡單地將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。

New Technologies是一家專業的計算機緊急事件響應和計算機取證咨詢公司，擴展了Judd的定義：

計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。

SANS的一篇綜述文章給出了如下的定義：

計算機取證是使用軟件和工具，按照一些預先定義的程序全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

因此我們認為計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。

計算機取證流程一般包含如下四個步驟：

識別證據：識別可獲取的信息的類型，以及獲取的方法。

保存證據：確保跟原始數據一致，不對原始數據造成改動和破壞。

分析證據：以可見的方式顯示，結果要具有確定性，不要作任何假設!

提交證據：向管理者、律師或者法院提交證據。

計算機取證又叫數字取證、電子取證，對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟硬件技術，按照符合法律規范的方式，進行識別、保存、分析和提交數字證據的過程。計算機取證的目的是收集資料，分析解釋入侵者的入侵的過程，并以此為證據提交給執法單位。

計算機取證與傳統證據的取證方式不一樣，計算機取證其自身有如下的特點：

(1)容易被改變或刪除，并且改變后不容易被發覺。傳統證據如書面文件如有改動或添加，都會留有痕跡，可通過司法鑒定技術加以鑒別。而數字證據與傳統證據不同，它們多以磁性介質為載體易被修改，并且不易留下痕跡。

(2)多種格式的存貯方式。數字證據以計算機為載體，其實質是以一定格式儲存在計算機硬盤、軟盤或CDROM 等儲存介質上的二進制代碼，它的形成和還原都要借助計算機設備。

(3)易損毀性。計算機信息是最終都是以數字信號的方式存在，易對數字證據進行截收、監聽、刪節、剪接等操作?；蛘哂捎谟嬎銠C操作人員的誤操作或供電系統、通信網絡的故障等環境和技術方面的原因都會造成數字證據的不完整性。

(4)高科技性。計算機是現代化的計算和信息處理工具，其證據的產生、儲存和傳輸，都必須借助于計算機軟硬技術，離開了高科技含量的技術設備，電子證據無法保存和傳輸。如果沒有外界的蓄意篡改或差錯的影響，電子證據就能準確地儲存并反映有關案件的情況。正是以這種高技術為依托，使它很少受主觀因素的影響，其精確性決定了電子證據具有較強的證明力。

(5)傳輸中通常和其他無關信息共享信道。

計算機取證其自身的特點導致取證的方式和來源不同，計算機證據的來源主要來自兩個方面，一個是系統方面的，另一個是網絡方面的。

其中，來自系統方面的證據包括：

系統日志文件

備份介質

程序、腳本、進程、內存映象

交換區文件

臨時文件

硬盤未分配的空間

系統緩沖區

打印機及其它設備的內存

來自網絡方面的證據有：

防火墻日志

IDS日志

其它網絡工具所產生的記錄和日志等。

上面提到的計算機取證概念、流程、特點及來源，是計算機取證的初步了解過程。葉子將在后續的文章中對計算機取證的其它操作和方式進一步的分析。

【編輯推薦】

1. 熟悉Linux內核安全入侵偵察系統
2. 計算機網絡入侵安全檢查分析研究
3. 保護無線LAN安全——阻止入侵