计算机犯罪若干问题研究论文

作者：刘仁文一、高度重视计算机犯罪问题如同任何技术一样，计算机技术也是一柄双刃剑，它的广泛应用和迅猛发展，一方面使社会生产力获得极大解放，另一方面又给人类社会带来前所未有的挑战，其中尤以计算机犯罪为甚。所谓计算机犯罪，是指使用计算机技术来进行的各种犯罪行为，它既包括针对计算机的犯罪，即把电子数据处理设备作为作案对象的犯罪，如非法侵入和破坏计算机信息系统等，也包括利用计算机的犯罪，即以电子数据处理设备作为作案工具的犯罪，如利用计算机进行盗窃、贪污等。前者系因计算机而产生的新的犯罪类型，可称为纯粹意义的计算机犯罪，又称狭义的计算机犯罪；后者系用计算机来实施的传统的犯罪类型，可称为与计算机相关的犯罪，又称广义的计算机犯罪。①从1966年美国查处的第一起计算机犯罪案算起，②世界范围内的计算机犯罪以惊人的速度在增长。有资料指出，目前计算机犯罪的年增长率高达30%，其中发达国家和一些高技术地区的增长率还要远远超过这个比率，如法国达200%，美国的硅谷地区达400%。③与传统的犯罪相比，计算机犯罪所造成的损失要严重得多，例如，美国的统计资料表明：平均每起计算机犯罪造成的损失高达45万美元，而传统的银行欺诈与侵占案平均损失只有1· 9万美元，银行抢劫案的平均损失不过4900美元，一般抢劫案的平均损失仅370美元。④与财产损失相比，也许利用计算机进行恐怖活动等犯罪更为可怕，正如美国Inter—Pact公司的通讯顾问温·施瓦图所警告的：“当恐怖主义者向我们发起进攻时，······他们轻敲一下键盘，恐怖就可能降临到数以百万计的人们身上”，“一场电子战的珍珠港事件时时都有可能发生。”⑤故此，对计算机犯罪及其防治予以高度重视，已成西方各国不争事实，“无庸置疑，计算机犯罪是今天一个值得注意的重大问题。将来，这个问题还会更大、更加值得注意”。⑥我国于1986年首次发现计算机犯罪，截止到1990年，已发现并破获计算机犯罪130余起。⑦进入90年代，随着我国计算机应用和普及程度的提高，计算机犯罪呈迅猛增长态势，例如，光1993至1994年，全国的计算机犯罪发案数就达1200多例。⑧据不完全统计，目前，我国已发现的计算机犯罪案件至少逾数千起，作案领域涉及银行、证券、保险、内外贸易、工业企业以及国防、科研等各个部门。⑨有专家预测，“在今后5至10年左右，我国的计算机犯罪将会大量发生，从而成为社会危害性最大、也是最危险的一种犯罪。”⑩二、国外计算机犯罪的立法考察面对汹涌而来的计算机犯罪，“我们的法律就象是在甲板上吧哒吧哒挣扎的鱼一样，它们拼命地喘着气，因为数字世界是个截然不同的地方。”⑾为了有效惩治和防范计算机犯罪，各国纷纷加快这方面的立法，这不仅因为“立法是一个预防计算机犯罪发生的重要手段”，⑿还因为“它是预防和遵守行为本身所需要公平前提的一个因素，······没有界限，就很难确保不发生影响和侵犯别人的情况。”⒀自1973年瑞典率先在世界上制定第一部含有计算机犯罪处罚内容的《瑞典国家数据保护法》，迄今已有数十个国家相继制定、修改或补充了惩治计算机犯罪的法律，这其中既包括已经迈入信息社会的美欧日等发达国家，也包括正在迈向信息社会的巴西、韩国、马来西亚等发展中国家。⒁根据英国学者巴雷特的归纳，各国对计算机犯罪的立法，分别不同情形采取了不同方案：一是那些非信息时代的法律完全包括不了的全新犯罪种类如黑客袭击，对此明显需要议会或国会建立新的非常详细的法律；二是通过增加特别条款或通过判例来延伸原来法律的适用范围，以“填补那些特殊的信息时代因素”，如将“伪造文件”的概念扩展至包括伪造磁盘的行为，将“财产”概念扩展至包括“信息”在内；三是通过立法进一步明确原来的法律可以不作任何修改地适用于信息时代的犯罪，如盗窃（但盗窃信息等无形财产除外）、、诽谤等。⒂在第一种方案里（有时也包括第二种方案的部分内容），又主要有两种不同的立法模式：一是制定计算机犯罪的专项立法，如美国、英国等，二是通过修订刑法典，增加规定有关计算机犯罪的内容，如法国、俄罗斯等。下面，选取几个有代表性的国家，对其计算机犯罪的立法作一扼要考察。（一）美国美国是世界上计算机和因特网普及率最高的国家，就连欧洲的学者也承认：“即使从一个真正欧洲人的角度出发，美国的法律也是非常重要的，因为主要的系统、用户和因特网的内容都是美国人的。因此，美国法律的修改或法律运用方式的修改都会对整个计算机王国产生影响。”⒃是故，考察计算机犯罪立法，美国当属首选对象。美国的计算机犯罪立法最初是从州开始的。1978年，佛罗里达州率先制定了计算机犯罪法，其后，其他各州均纷纷起而效之，现在，除了佛蒙特州以外，其他所有的州都制定了专门的计算机犯罪法。⒄这些计算机犯罪法所涵盖的内容，大体有以下9个方面：⒅（1）扩大传统意义上的“财产”概念。规定电子信息和计算机技术也属于财产，这样，对盗窃电子信息和计算机技术之类的行为就可以按照盗窃罪等罪名来处理。（2）毁坏。许多州将“篡改、损害、删除或毁坏计算机程序或文件”的行为规定为犯罪。（3）帮助和教唆。一些州明确规定下列行为是犯罪：通过计算机为别人犯诸如贪污、欺诈等罪行提供便利。（4）侵犯知识产权。这些州将非法侵入计算机系统，故意篡改或消除计算机数据、非法拷贝计算机程序或数据等行为都规定为新的犯罪。此种情况下不要求犯罪行为造成实际损害。但也有的州规定，除非此类行为是为了牟利，或者给机主造成一定的经济损失，否则不构成犯罪。（5）故意非法使用。未经机主同意，擅自“访问”或“使用”别人的计算机系统。（6）妨碍计算机的合法使用。大约有1/4的州规定，妨碍合法用户对计算机系统功能的全面获取，如降低计算机处理信息的能力，是犯罪。（7）非法插入或毒害。这些法律将植入、通过电话线或软盘传送“病毒”、“蠕虫”、“逻辑炸弹”等犯罪化。（8）网上侵犯隐私。为了保护计算机内的个人隐私，有的州规定，只要非法侵入计算机系统，查看里面的内容，即使没有篡改或抽取任何内容，也构成犯罪。但也有的州规定，若侵入仅仅是为了窥视别人的隐私，则还不能以犯罪论处。（9）非法占有。有的州将非法占有计算机系统及其内容视为一种独立的犯罪。在联邦一级，虽然早在1979年国会就曾讨论过计算机犯罪的立法问题，但直到1984年才制定了惩治计算机犯罪的专门法律《伪造连接装置及计算机欺诈与滥用法》（Counterfeit Access Device and Computer Fraud and Abuse Act)，其后分别于1986、1988、1989、1990、1994、1996年数次对其作出修订，一方面不断扩大该法的涵盖范围，另一方面也进一步明确一些术语，最后形成《计算机滥用修正案》（该内容后被纳入《美国法典》第18篇“犯罪与刑事诉讼”篇第1030条，题为“与计算机有关的欺诈及其相关活动”）。⒆修正案规定，以下7种行为为犯罪行为：⒇（1）未经许可或超出许可范围故意进入计算机系统，并借此获取受美国政府保护的国防和外交方面的信息，或《1954年原子能法》所规定的受限制的数据；（2）未经许可或超出许可范围故意进入计算机系统，并借此获取金融机构或美国法典第15篇第1602（n）条中所规定的信用卡发行者的金融信息，或有关消费者的信息；（3）未经许可故意访问美国政府机构或代理机构的非公用计算机、政府专用计算机，或在非专用情况下影响被美国政府所使用的计算机或为其服务的计算机的运转；（4）未经许可或超出许可范围访问被保护的计算机，旨在欺诈和获取某种有价值的东西；（5）合法用户引起程序、信息、代码或命令传播，故意导致被保护的计算机的损坏；非合法用户未经许可访问被保护的计算机，不论故意还是轻率或者卤莽而导致被保护的计算机的损坏；（6）故意使用未经许可的密码来侵入政府计算机系统，或者州际或外国的商业系统，意图从事欺诈性交易；（7）故意向任何人、公司、协会、教育机构、金融机构、政府实体或其他合法实体，敲诈任何货币或其他有价之物；在州际商务或外贸中，传播含有任何威胁损坏被保护计算机的信息。按照修正案的规定，上述犯罪可分别判处轻至1年以下监禁或罚金，重至20年以下监禁并处罚金的刑罚。未遂也要处罚，并与既遂同罚。修正案还规定，鉴于计算机犯罪的特殊性，美国联邦经济情报局在必要时，可根据财政部长和司法部长的决定，直接对计算机犯罪展开侦查。此外，除了专门的计算机犯罪立法，美国联邦至少还有40个其他的法律可以用来指控某些与计算机有关的犯罪。这些法律包括：版权法，国家被盗财产法，邮件与电报诈欺法，电信隐私法，儿童色情预防法，等等。(21)（二）英国“与美国的情况不同，英国不存在相应的州政府和联邦政府的法律，所有法律都适用于整个国家（虽然苏格兰的法律在许多方面不同，但在计算机滥用和相关方面的法律却相同）。”(22)有关计算机犯罪的立法，在英国经历了一个过程：1981年，通过修订《伪造文书及货币法》，扩大“伪造文件”的概念，将伪造电磁记录纳入“伪造文书罪”的范围；(23)1984年，在《治安与犯罪证据法》中规定：“警察可根据计算机中的情报作为证据”，从而明确了电子记录在刑事诉讼中的证据效力；(24)1985年，通过修订《著作权法》，将复制计算机程序的行为视为犯罪行为，给予相应之刑罚处罚；(25)1990年，制定《计算机滥用法》（以下简称《滥用法》）。在《滥用法》里，重点规定了以下三种计算机犯罪：1、非法侵入计算机罪。根据《滥用法》第一条的规定，非法侵入计算机罪是指行为人未经授权，故意侵入计算机系统以获取其程序或数据的行为。此行为并不要求针对特定的程序或数据，也就是说，只要是故意非法侵入，哪怕仅仅是一般的浏览行为也构成犯罪。该罪可处以2000英镑以下的罚金或6个月以下的监禁，或并处。2、有其他犯罪企图的非法侵入计算机罪。根据《滥用法》第二条的规定，如果某人非法侵入计算机? 俏�俗约夯蛩�朔钙渌�淖铮�缋�枚寥〉男畔⒔�姓┢�蚨镎┑龋�蚬钩纱Ψ8�侠鞯姆缸铮�膳写?年以下监禁或无上限罚金。3、非法修改计算机程序或数据罪。根据《滥用法》第三条的规定，行为人故意非法对计算机中的程序或数据进行修改，将构成此罪，可判处5年以下监禁或无上限罚金。(26)（三）法国法国1992年通过、1994年生效的新刑法典设专章“侵犯资料自动处理系统罪”对计算机犯罪作了规定。根据该章的规定，共有以下三种计算机罪：1、侵入资料自动处理系统罪。刑法典第323-1条规定：“采用欺诈手段，进入或不肯退出某一资料数据自动处理系统之全部或一部的，处1年监禁并科10万法郎罚金。如造成系统内储存之数据资料被删除或被更改，或者导致该系统运行受到损坏，处2年监禁并科20万法郎罚金。”2、妨害资料自动处理系统运作罪。刑法典第323-2条规定：“妨碍或扰乱数据资料自动处理系统之运作的，处3年监禁并科30万法郎罚金。”3、非法输入、取消、变更资料罪。刑法典第323-3条规定：“采取不正当手段，将数据资料输入某一自动处理系统，或者取消或变更该系统储存之资料的，处3年监禁并科30万法郎罚金。”此外，该章还规定：法人亦可构成上述犯罪，科处罚金；对自然人和法人，还可判处“禁止从事在活动中或活动时实行了犯罪的那种职业性或社会性活动”等资格刑；未遂也要处罚。(27)（四）俄罗斯俄罗斯1996年通过、1997年生效的新刑法典也以专章“计算机信息领域的犯罪”为名对计算机犯罪作了规定。该法第272条规定了“不正当调取计算机信息罪”：指不正当地调取受法律保护的计算机信息，且导致信息的遗失、闭锁、变异或复制，电子计算机、电子计算机系统或电子计算机网络的工作遭到破坏的行为。第273条规定了“编制、使用和传播有害的电子计算机程序罪”：指编制电子计算机程序或对现有程序进行修改，明知这些程序和修改会导致信息未经批准的遗失、闭锁、变异或复制，导致电子计算机、电子计算机系统或其网络工作的破坏，以及使用或传播这些程序或带有这些程序的机器载体的行为。该条还规定：“上述行为，过失造成严重后果的，处3年以上7年以下的剥夺自由。”第274条规定了“违反电子计算机、电子计算机系统或其网络的使用规则罪”：指有权进入电子计算机、电子计算机系统或其网络的人员违反电子计算机、电子计算机系统或其网络的使用规则，导致受法律保护的电子计算机信息的遗失、闭锁或变异，造成重大损害的行为。该条也规定，过失造成严重后果的，要负刑事责任。(28)三、中国：问题与改进中国在1997年全面修订刑法典时，适时加进了有关计算机犯罪的条款，这就是：第285条规定的非法侵入计算机信息系统罪，第286条规定的破坏计算机信息系统罪和第287条规定的利用计算机进行传统犯罪。最近，国务院又向全国人大常委会提交议案，提请审议关于维护网络安全和信息安全的决定草案，其中对利用网络进行盗窃、、诽谤等15种行为明确规定：“构成犯罪的，依照刑法有关规定追究刑事责任。”(29)这些规定的陆续出台，无疑对防治计算机犯罪、促进我国计算机技术的健康发展起着重要的作用。但与此同时，也必须看到，目前我国在这方面的立法还远不能适应形势发展的需要，存在诸多需要完善的地方。现简略分析如下，并结合国外先进立法经验，提出若干改进意见。首先，犯罪化的范围偏窄，需要予以适当扩大。例如，刑法第285条规定的非法侵入计算机信息系统罪，仅将犯罪对象限定为国家事务、国防建设和尖端科学技术领域的计算机信息系统，显然太窄，实际上，有些领域如金融、医疗、交通、航运等，其计算机信息系统的安全性也极其重要，非法侵入这些领域的计算机信息系统同样具有严重的社会危害性，因此，宜将该罪的犯罪对象扩大到包括这些领域的计算机信息系统。又如，刑法第286条只规定了用技术手段破坏计算机信息系统，且破坏的对象仅限于计算机软件，这就不能包括用物理手段来破坏计算机硬件或附件的行为，而后者也可能造成计算机系统不能正常运行或其他更严重的后果。还有，窃用计算机服务的行为目前也处于立法空白状态，我国刑法第265条规定对窃用通信系统的行为可依照刑法第264条关于盗窃罪的规定处罚，但该条并没有包括窃用计算机服务的行为。当然，由于国外法律大多持一元犯罪观，即对违法与犯罪不作区分，违法（Violation) 即犯罪，而我国法律则持二元犯罪观，即区分违法和犯罪，一般的违法行为用《治安管理处罚条例》来处理，严重的违法行为才用刑法来处理，因此，在借鉴国外立法例时，也不可照搬，有些国外视为犯罪的行为在我国可以用《治安管理处罚条例》来处理，如前述非法侵入计算机信息系统的行为，假如侵入的对象仅为一般用户的计算机系统，则不宜以犯罪论处，可纳入《治安管理处罚条例》的调控范围。(30)其次，犯罪构成的设计不合理，需要增加法人犯罪和过失犯罪。目前对计算机犯罪的主体仅限定为自然人，但从实践来看，确实存在各种各样的由法人实施的计算机犯罪，(31)因此，增设法人可以成为计算机犯罪的主体，是现实需要。再者，刑法第286条规定的破坏计算机信息系统罪只限于故意犯罪，这是不够的，至少对于那些因严重过失导致某些重要的计算机信息系统遭破坏，造成严重后果的，应给予刑事制裁，否则达不到有效防治此类犯罪的目的。第三，刑罚设置不科学，应当增设罚金刑和资格刑。计算机犯罪往往造成巨大的经济损失，其中许多犯罪分子本身就是为了牟利，因而对其科以罚金等财产刑自是情理之中。同时，由于计算机犯罪分子大多对其犯罪方法具有迷恋性，因而对其判处一定的资格刑，如剥夺其长期或短期从事某种与计算机相关的职业、某类与计算机相关的活动的资格，实乃对症下药之举。正因此，对计算机犯罪分子在科以自由刑的同时，再辅以罚金刑和资格刑，是当今世界各国计算机犯罪立法的通例，但我国刑法第285、286条对计算机犯罪的处罚却既没有规定罚金刑，也没有规定资格刑，这不能不说是一大缺憾。第四，刑事诉讼法等相关法律不健全，亟需跟上。计算机犯罪的自身立法固然重要，但“制定相关法律来确保这些法律的遵守和执行也同样重要”。(32)这方面我们面临的主要问题是：1、我国现行刑事诉讼法规定的7种证据，并不包括电磁记录，实践中对于电磁记录的证据效力尚有分歧，应尽快明确；2、计算机犯罪的跨国特征非常明显，“在互联网上世界就如同一个小小的村落”，(33)这必将使此类犯罪的引渡问题空前增多，因而再度呼唤我国《引渡法》的出台；3、由于刑法固有的属性，决定了它必须建立在其他相关的行政法律和民商法律之基础上，此即所谓的“刑法次要原则”，(34)而目前我国在计算机领域里，相关的行政法律和民商法律还很不完善，应抓紧这方面的工作，以保证刑法与它们的彼此协调和正确定位。①参见（美） Michael Hatcher, Jay McDannell and Stacy Ostfeld:Computer Crimes,American Criminal Law Review,Summer 1999.国内众多的论著也对计算机犯罪的概念或定义进行了多角度的介绍和探讨，有关这方面的情况可参看以下著作：刘广三：《计算机犯罪论》，中国人民大学出版社1999年6月版，第60—66页；赵廷光、朱华池、皮勇：《计算机犯罪的定罪与量刑》，人民法院出版社2000年3月版，第19—33页；于志刚：《计算机犯罪研究》，中国检察出版社1999年10月版，第56—68页；陈兴实、付东阳：《计算机· 计算机犯罪·计算机犯罪的对策》，中国检察出版社1998年7月版，第20—23页。另外，顺便就计算机犯罪、电脑犯罪、赛博犯罪、数字化犯罪与因特网犯罪五个概念的关系在此作一说明：计算机犯罪、电脑犯罪、赛博犯罪与数字化犯罪意义相同，“计算机犯罪”多出现于大陆学者的著作中，“电脑犯罪”则多出现于台湾学者的著作中，而赛博犯罪和数字化犯罪乃分别由英文中的Cyber Crime和Digital Crime翻译而来，前者系音译，后者系意译。至于因特网犯罪，其含义应窄于计算机犯罪，虽然自网络发明以后，因特网犯罪已成为计算机犯罪的主要形式，但仍然存在不属于因特网犯罪却属于计算机犯罪的单机犯罪。②该案发生于1958年的美国硅谷，系一计算机工程师通过篡改程序窃取银行的存款余额，但直到1966年才被发现。（参见于志刚：《计算机犯罪研究》，中国检察出版社1999年10月版，第7页。）这或许可作为计算机犯罪黑数极高的一个例证。据有的学者分析指出，由于计算机犯罪本身所固有的隐蔽性和专业性，加上受害公司和企业因担心声誉受损而很少报案等原因，实践中计算机犯罪绝大多数都没有被发现和受到查处，真正发现的只占15%—20%。（参见庄忠进：〈〈电脑犯罪侦查之探讨〉〉，载台湾〈〈刑事科学〉〉1995年第39期，第127—128页。）③转引自于志刚：《计算机犯罪研究》，中国检察出版社1999年10月版，第7—8页。④转引自周光斌：《计算机犯罪与信息安全在国外》，载《中国信息化法制建设研讨会论文集》，1997年3月，北京。⑤转引自陈兴实、付东阳：《计算机· 计算机犯罪·计算机犯罪的对策》，中国检察出版社1998年7月版，第39页。⑥摘自美国律师协会的报告，转引自刘广三：《计算机犯罪论》，中国人民大学出版社1999年6月版，第74页。⑦参见于志刚：《计算机犯罪研究》，中国检察出版社1999年10月版，第8—9页。⑧参见吴起孝：《高智能犯罪研究》，载《警学经纬》1997年第3期。⑨参见刘广三：《计算机犯罪论》，中国人民大学出版社1999年6月版，第86页。需要指出的是，我国刑法直到1997年才通过修订的方式增加规定了非法侵入计算机信息系统罪、破坏计算机信息系统罪等纯粹意义上的计算机犯罪罪名，而从前述所引文献对有关计算机犯罪的举例来看，除了包括那些利用计算机进行盗窃、贪污等刑法意义上的犯罪外，还包括那些刑法虽没有规定为犯罪但对社会有较大危害性的其他违法行为和失范行为如制造计算机病毒等，因而这里的“犯罪”概念应从犯罪学的意义上来理解，而不是从刑法学意义上来理解。本文其他地方所使用和引用的“犯罪”概念，也有这种情形，敬请读者留意。（关于刑法学和犯罪学中“犯罪”概念的异同，可参看康树华：《犯罪学—历史·现状·未来》，群众出版社1998年9月版，第42—44页。）⑩参见赵廷光：《信息时代、电脑犯罪与刑事立法》，载高铭暄主编：《刑法修改建议文集》，中国人民大学出版社1997年版。⑾参见（美）尼古拉·尼葛洛庞蒂著，胡冰、范海燕译：《数字化生存》，海南出版社1997年版，第278页。

计算机取证技术论文篇二 计算机取证技术研究 摘要：随着计算机和 网络技术 的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。 关键词：计算机取证 数据恢复 加密解密 蜜罐网络 随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。 计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。 一、计算机取证的特点 和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点： 1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。 2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性操作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等操作，而这些操作很可能就会对现场造成原生破坏。 3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。 4.人机交互性。计算机是通过人来操作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的操作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的 思维方式 、行为习惯来通盘考虑，有可能达到事半功倍的效果。 二、计算机取证的原则和步骤 (一)计算机取证的主要原则 1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。 2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。 3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。 4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。 (二)计算机取证的主要步骤 1.现场勘查 勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。 2.获取电子证据 包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的操作和文件覆盖替换掉。 3.保护证据完整和原始性 取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。 4.结果分析和提交 这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。 三、计算机取证相关技术 计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。 (一)基于单机和设备的取证技术 1.数据恢复技术 数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际操作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。 2.加密解密技术 通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有：密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。 3.数据过滤和数据挖掘技术 计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。 (二)基于网络的取证技术 基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术： 地址和MAC地址获取和识别技术 利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。 MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺”木马，就是通过修改IP地址或MAC来达到其目的的。 2.网络IO系统取证技术 也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定事件的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。 3.电子邮件取证技术 电子邮件使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中插入任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。 4.蜜罐网络取证技术 蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等操作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。 参考文献： [1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3). [2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6). 看了“计算机取证技术论文”的人还看： 1. 计算机犯罪及取征技术的研究论文 2. 安卓手机取证技术论文 3. 计算机安全毕业论文 4. 计算机安全论文 5. 计算机安全论文范文