网络犯罪可以跨地区、跨国之间进行,因此对于打击互联网犯罪需要国际组织间进行合作。一旦网络已经遭受入侵并造成损失,我们就希望诉诸法律来保护自己并获取补偿。一种新的证据形式——存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证的特点。在这篇文章中跟大家介绍一些计算机取证的概念、流程、特点、来源等。
什么是计算机取证(Computer Forensics)呢?作为计算机取证方面的一名专业及资深人士,Judd Robbins给出了如下的定义:
计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。
New Technologies是一家专业的计算机紧急事件响应和计算机取证咨询公司,扩展了Judd的定义:
计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。
SANS的一篇综述文章给出了如下的定义:
计算机取证是使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
因此我们认为计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
计算机取证流程一般包含如下四个步骤:
◆识别证据:识别可获取的信息的类型,以及获取的方法。
◆保存证据:确保跟原始数据一致,不对原始数据造成改动和破坏。
◆分析证据:以可见的方式显示,结果要具有确定性,不要作任何假设!
◆提交证据:向管理者、律师或者法院提交证据。
计算机取证又叫数字取证、电子取证,对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交数字证据的过程。计算机取证的目的是收集资料,分析解释入侵者的入侵的过程,并以此为证据提交给执法单位。
计算机取证与传统证据的取证方式不一样,计算机取证其自身有如下的特点:
(1)容易被改变或删除,并且改变后不容易被发觉。传统证据如书面文件如有改动或添加,都会留有痕迹,可通过司法鉴定技术加以鉴别。而数字证据与传统证据不同,它们多以磁性介质为载体易被修改,并且不易留下痕迹。
(2)多种格式的存贮方式。数字证据以计算机为载体,其实质是以一定格式储存在计算机硬盘、软盘或CDROM 等储存介质上的二进制代码,它的形成和还原都要借助计算机设备。
(3)易损毁性。计算机信息是最终都是以数字信号的方式存在,易对数字证据进行截收、监听、删节、剪接等操作。或者由于计算机操作人员的误操作或供电系统、通信网络的故障等环境和技术方面的原因都会造成数字证据的不完整性。
