探析计算机取证技术

摘 要：近几年来，随着计算机网络的普及，计算机网络病毒也愈来愈猖獗，依靠计算机网络系统的犯罪现象越来越突出，已成为较严重的技术问题。由于犯罪手段愈加隐秘，犯罪技术愈加先进，传统的破案方法已难以将其绳之以法，就必须依靠计算机取证技术，对犯罪现象进行有效打击。为此，本文对计算机取证技术进行相关研究，具有重要的实际意义。

关键词：计算机；取证技术

中图分类号：TP399-C2

计算机犯罪是一种与时代同步发展的技术犯罪，加上计算机犯罪具有较强的隐蔽性及匿名性，使得侦查计算机犯罪具有较大困难。尤其随着计算机网络技术的日益更新，对网络攻击水平也在不断提高，新的攻击手段及工具层出不穷，对网络信息安全造成了极大威胁。鉴于此种现象，迫使我们必须改变传统的防御技术，变被动为主动，严厉打击犯罪分子的嚣张气焰，从根本上降低犯罪率。计算机取证技术作为一种先进技术，就能够解决这一问题，能够严厉打击犯罪分子。

1 计算机取证概述

所谓计算机取证是指对计算机入侵、破坏及攻击等犯罪行为，依靠计算机硬软件技术，并遵循国家相关法律规范，对犯罪行为提取证据，并对其进行分析及保存。从技术角度看，计算机取证可对入侵计算机的系统进行破解及扫描，对入侵的过程进行重建。计算机取证也称之为电子取证、数字取证或计算机法医学，主要包括两个阶段，即获取数据、发现信息。其中获取数据是指取证人员针对入侵现象，寻找相关的计算机硬件；而发现信息则是指从获取的数据中寻找相关的犯罪证据，该证据与传统的证据一样具有较高的可靠性及真实性。

计算机取证流程分为以下几个步骤：取证准备――现场勘查――数据分析――证据呈递四大步骤，每一步骤都有自己的特点。如：数据分析是将与犯罪相关的事实数据相继找出来，与案件取得相关性。

2 分析计算机取证技术

计算机取证技术主要分为蜜罐网络取证系统、数字图像边缘特性滤波取证系统、分布式自治型取证系统及自适应动态取证系统。

2.1 蜜罐网络取证系统

从当前来看，蜜罐网络取证系统已受到很多计算机研究者的重视，并对其进行研究分析，通过布置安全的蜜网，就能够正确收集大量的攻击行为。通过近几年的研究，一种主动的蜜罐系统被提出来，该系统能够自动生成一个供给目的的匹配对象，并对入侵的信息研究较为深入。蜜罐取证系统结构中每一个蜜罐都是虚拟的，并配备有合法的外部的IP地址，可看成一个独立的机器，对不同的操作系统进行模仿，并能够收集相关日志数据，最终实现日志与蜜罐的分离。通过蜜罐系统可根据攻击者在蜜罐中的时间，获取更多有关攻击的信息，进而采取有效的防范措施，最终提升系统的安全性。

2.2 数字图像边缘特性滤波取证系统

所谓的数字图像边缘特性滤波取证系统是指攻击者对图像的篡改，要想对图像进行正确的取证则需要对图像的篡改手段进行详细的掌握，最为主要的就是对图像的合成及润饰的检测。对于图像的合成主要采用同态滤波放大人工的模糊边界，在一定频域中对图像的亮度进行压缩，并对图像的对比度进行增强，进而使得人工模糊操作中的模糊边界得到放大，提高取证的准确性。当图像采用同态滤波之后，模糊边缘就能够得到方法，并利用腐蚀运算，除掉图像自然边缘，对其伪造区域进行正确定位。另一方面则是润饰的检测。利用形态学滤波的方式，构造合适的结构元素，包括结构元素的形状、大小等。结构元素大小适宜选择三像素的方形结构，其检测步骤为：首先，采取适当的同态滤波函数，对预取证图像的边缘进行扩展处理；然后，将经过滤波之后的图像信息提取出来；最后，选取腐蚀运算将经过增强处理的图像模糊拼接边缘提取出来，最终对图像的伪造区域进行定位。

2.3 分布式自治型取证系统

管理的证据收集及集中式的处理是较为普遍的证据收集方式，具有复杂的层次结构，但该设计的缺点为网络宽带不足且单点失效，极易发生性能瓶颈，进而无法正确收集大量的攻击信息。鉴于以上存在的缺点，特研究出一种分布式自治型的取证系统，该系统采用三层的分布方式，通过各个取证字点能够独立地完成证据的收集。

2.4 自适应动态取证系统

所谓自适应动态取证系统是指对网络数据流进行分析及捕捉，对网络运行状态进行实时的监控。当前，所使用的自适应取证系统是基于Agent的自治软件实体，在需要的时候能够被动或主动地从一个网络结点向另一网络节点转移，在任意点都能够对执行过程进行中断。通过利用该软件构造检测取证的异构环境，有效将取证技术与网络安全系统相结合起来，实现自适应识别、分析及获取可疑网络信息，智能分析攻击者的入侵动机。此外，可确保系统网络安全的条件下，获取相应的证据。该取证系统最为重要的是能够根据攻击者的攻击手段而改变，随时调整防范对策。

3 计算机取证技术的发展方向

尽管计算机取证技术在当前应用较为广泛，但仍存在一些局限性，如取证软件的局限性、反取证技术的局限性。其中反取证技术的局限性则表现以下三方面：其一，数据的擦除主要是采用Klismafile工具进行的，该工具并不是一个完美的解决问题工具，这主要是因为被该工具修改后的目录文件极易可能出现目录项大小不同的现象，影响取证信息的搜集。其二，对数据加密时，为了能够长期保存数据，就必须使用数据隐藏与其他技术联合使用，可使用别人不知道的文件进行加密处理，尽管对其进行加密了，但在运行时则需要执行一个文本解密程序来解密已经加密的代码，而这个代码极易被黑客程序所破解，就有可能需要另一个解密程序。其三，数据的隐藏。为了能够有效地逃避取证，一些攻击者就对不能够删除的文件进行隐藏，让调查者不易检查出来，往往将数据文件隐藏在磁盘上。隐藏的文件往往在调查者不知到哪里寻找相关证据时才有效，故仅仅适用于短期的数据保存。

计算机取证技术在今后一段时期内，则应向智能化及标准化方向发展，所谓智能化是指必须将计算机取证技术与人工智能技术紧密联合起来，若仅仅依靠人工来操作，不仅工作效率低下，而且取证信息有可能失去真实性。为此，则必须通过人工智能，对攻击者的犯罪手段进行提前预测，采取相应的措施，从而提取犯罪信息，并对信息进行综合分析。标准化则是指所使用的取证软件及技术必须不断更新，并制定严格的取证规程。这主要是因为当前很多取证工具软件在实际的应用过程中，往往升级较慢，对于一些先进的黑客技术则无能为力，使得越来越多的攻击者越来越猖獗，为此，则需要对取证工具进行有效的验证，确保取证工具的规范化及标准化。

4 结束语

总而言之，计算机取证技术在保护消费者利益，打击犯罪行为上具有重要的应用前景。利用计算机取证系统能够较好地发现计算机存在的漏洞，并对其进行修复，这样一来，就能够较好地确保计算机的安全性，最大限度减少犯罪行为。此外，不仅需要相关计算机取证技术，而且还需要相关的法律制裁，需建立一套完整的法律保障系统，切实保护国家安全信息及消费者利益。

参考文献：

[1]杨继武.对计算机取证技术的一些探讨[J].制造业自动化，2012，34（5）：67-69，83.

[2]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊，2013，12（4）：157-159.

[3]冷继兵.计算机的取证技术与发展方向研究[J].煤炭技术，2013，32（7）：182-184.

[4]王文奇，苗凤君，潘磊等.网络取证完整性技术研究[J].电子学报，2010，38（11）：2529-2534.

[5]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊，2013，12（4）：157-159.

作者简介：石俊芳（1980.3-），女，一级教师，本科。

作者单位：衡水职业技术教育中心，河北衡水 053000