计算机主机隐秘信息取证技术的研究

第第页计算机主机隐秘信息取证技术的研究【摘要】计算机网络信息技术得到了十分广泛的应用，并且发挥了非常重要的作用。与此同时，现在出现了越来越多的计算机犯罪的现象，由于计算机网络犯罪具有更加隐蔽的手段，因此对计算机犯罪进行打击的重要方式就是计算机取证技术。本文立足于计算机主机系统中的证据获取方式，对计算机主机系统取证的原则进行了阐述，介绍了计算机主机隐秘信息取证系统的技术体系。

【关键词】计算机；主机隐秘信息；取证技术

引言

计算机主机隐秘信息取证也被人们称作为计算机信息取证，目前其属于收集网络犯罪证据的主要技术，目前在法律上已经证实了计算机主机隐秘信息取证技术获取的证据的效力，所以其目前被法庭所接受，而且受到了法律的认可。这种信息取证技术主要是通过对计算机工具和软件的利用分析案件证据，同时将电子证据提取出来的这样一种技术。基于此，本文系统的论证了计算机主机隐秘信息的取证技术。

一、计算机主机隐秘信息取证遵循的原则

①依法取证：只有在司法鉴定和取证活动的过程、方法、对象和主体等要素均合法的情况下，证据才具有合法性。其中的计算机取证主体的合法性指的是具备司法鉴定和法定取证自合的取证技术专家、合法的调查人员。所谓的合法对象主要是指要严格按照明确的与案件事实相关的电子信息和涉案的电子设备的取证范围规定进行取证，而不能够对与案件无关的数据信息进行随意取证，防止使权利人或所有人的商业秘密和隐私权等合法权益受到侵犯。

②多备份取证和无损取证：选择镜像技术在收集存储介质中的电子数据的工作中进行备份，确保原始数据的完整性。所谓的多备份原则就是要多次备份电子证据媒体，保存其中的原始媒体，在进行分析、操作和取证操作的时候应用复制品。无损原则就是要确保全部涉案设备信息的完整性，而不可以实施修改操作。

③及时性和准确性：因为电子证据的提取主体是自动生成于信息系统运行中的实时文件，而这些文件信息在一定的时间后就会出现变化。面对这种情况，在将取证对象确定下来之后必须要马上开展收集证据的工作。在具体的取证过程公证人员必须要做到认真仔细，对操作规定予以严格执行，最终确保信息的准确性。

④取证的全面性：在进行计算机取证的时候必须要全面的取证卷子证据的来源，与此同时，还要严格遵守环境安全的原则，要保证电子数据存储介质在保存、取证和分析的环境中的安全性，要远离灰尘、静电、潮湿、高温、高磁场等各种不利的因素。

⑤过程监督和严格管理：在进行电子证据分析提取和计算机取证的的工作中必须要由相关的技术专家或者专人做好实时监督的工作，在保管移交拆卸开封等电子证据的操作过程中也要做好认真地记录和严格的管理。

二、计算机主机隐秘信息取证的技术体系

（一）计算机主机隐秘信息取证系统职能

现阶段我国主要采用金诺安介质取证系统和美亚柏科中文取证平台两种软件进行计算机主机隐秘信息取证。一般来说，计算机取证软件主要包括采集、分析、加工、传输等环节。对于计算机信息数据而言，主机属于主体的媒介，所以其中最为重要的环节就是计算机主机取证的环节，在该环节中包含着自动隐藏模块、文档数据取证模块和卸载模块等各种模块。只有确保加载模块和自动隐藏模块两者实现正常的工作，才可以使计算机隐秘系统的正常运行得到保证。

（二）计算机主机隐秘信息取证系统模块的功能

在具体的取证工作中取证数据的核心内容就是对文档数据的取证，这一过程主要是利用计算机自动卸载模块实现的。利用计算机自动卸载模块能够获得移动接入输出设备和主机密码证书等相关的数据，同时还能够获得加密文档等信息。计算机自动模式运行的最为主要的任务就是确保卸载程序构建的顺序和卸载过程的隐秘性，所以在接收到程序卸载的指令后，卸载模块就会删除保存在主机上的文本信息，随后卸载程序，最后再清理其中的入库痕迹，因为该模块可以加密操作获取的数据，随后会在正常的范围内控制数据的大小，并且进一步将隐蔽存储功能启动，最后其能够过动态配置的功能集中管理隐蔽的数据信息，所以，通过自动卸载模块收集证据时能够做到有迹可循。

（三）主机隐秘信息取证系统的主要组成

作为一项闭合性的系统，计算机主机隐秘信息取证系统指的是在进行电子信息数据取证工作中控制、收集数据信息的这样一种提取证据的技术。一般来说，计算机主机隐秘信息取证系统主要包括两部分的内容，也就是计算机主机取证平台和计算机主机取证管理平台，在具体的计算机取证工作中其能够利用网络植入或者直接接触的途径在计算机的主机系统中进入，从而完成相应的取证工作。主机的运行方式为隐蔽运行，在对电子证据进行收集的时候题主要是利用隐蔽存储、回传、数据文档取证、自动卸载、自动加载等一系列的功能来实现的。

（四）主机隐秘信息取证体系的特性

计算机主机隐秘信息取证不管是在取证平台的数据通信方面，还是在取证代理方面都具由较强的隐蔽性。通过该技术能够获取与源文件完全一致的证据文件，因此其可靠性非常高，与此同时，其取证平台部分和取证代理部分都可以实现长期在无人值守的状态下运行。在连接取证平台和代理之后，程序就会对证据文件和列表文件进行自动传送，如果被取证的主机接入了移动存储设备，这时候程序就会将传输原始文件列表自动启动，向取证平台及时地传送列表文件，所以其具有自动性和实时性的特点。

三、结语

计算机取证除了属于计算机科学领域的问题，还属于法学领域的问题，所以在设计程序和进行具体操作的时候除了要充分地满足功能和技术要求，还要严格遵循相关的法律规定。未来的计算机主机隐秘信息取证技术将会得到不断的完善，并且朝着证据归档自动化、取证分析智能化、取证过程规范化、结合网络取证和单机取证、结合静态取证和动态取证的方向发展，最终建立起全面、规范、完整的计算机取证体系。

作者简介：陆莉芳（1977-），