文／张睿超  王连海

在没有得到任何证据的情况下是不能进行推理的，那样的话，只能是误入歧途。

         ——福尔摩斯侦探系列《血字研究》

一提起犯罪和侦探，柯南·道尔笔下的那位身材消瘦而颀长，头戴软布帽，叼着欧石南根烟斗，在浓雾弥漫中的伦敦贝克街寓所中低头沉思的福尔摩斯形象总会浮现在眼前。这位工业时代的大侦探，经常能捕捉到常人不会注意到的细微线索，再利用自己精密的逻辑推理，最终查明案情真相，从而伸张正义。

现在的犯罪现场调查和一百多年前的福尔摩斯探案的情形有哪些不同呢？在颇受欢迎的美国电视剧《犯罪现场调查》中，犯罪现场调查小组频频到案发现场寻找证据，对凶案现场的一些现象，包括很小的细节进行取证和研究，然后总是利用最先进的科技手段圆满地完成任务。在很多场景中，计算机和其他数字设备不再仅仅被看作是从事犯罪行为的工具，其中保存的各种形式的电子信息也是重要的破案线索和司法证据。

近年来，人们的生活已离不开计算机以及各种各样的数字设备，与之相关的各类案件逐步增多，计算机取证逐渐成为研究热点。计算机取证所收集和处理的证据，不仅包括计算机硬盘里的数据，也包括了CD、DVD、复印机、移动存储设备、内存等介质上的各种信息。人们在计算机上所做的一切，如浏览网页、使用即时通信工具等行为都会在计算机上留下痕迹，这些痕迹将会成为重要破案线索和诉讼证据。例如，在2001年遭遇“9·11”恐怖袭击事件后，美国就是通过对恐怖分子的电子邮件进行分析，最终确定躲在阿富汗的拉登是罪魁祸首的。

解读计算机取证

计算机取证跟弹道学、法医毒理学、DNA鉴定、血型分析、齿科学、指纹比对、痕迹学等其他司法物证学一样，是一门科学与法学相交叉的研究领域。它是打击计算机犯罪使用的主要技术手段，是针对计算机入侵、网络破坏、欺诈、攻击等信息相关的犯罪行为，利用计算机、通信、电子等各种相关科学知识及其相关的软硬件技术，按照符合法律规范的方式进行识别、保存、分析和提交电子证据的过程。

计算机取证人员必须按照流程系统地展开工作，一般包括三个阶段：证据获取固定、证据分析和证据报告。取证工作必须用正确的方法进行这些步骤，从而保持证据链的完整，获取的结果能经得起不同人员的分析和验证，必要时能够回溯和重复，否则证据难以被法庭采信。

“证据获取固定”是犯罪调查中至关重要的第一环节。计算机和其中各硬盘都是各自独立的犯罪现场，因此必须得到完好的保护和保存，形成司法物证学意义上完好的资料备份。有很多种计算机取证工具都能以文件形式形成计算机存储介质的完整备份，并能生成一种数码指纹，用来验证备份的完整性，确保备份没有遭到篡改。除了备份以外，还需要使用一种硬盘写保护的设备，将硬盘和分析计算机隔离开，以防止改变原始硬盘的状态，从而保护“原始犯罪现场”。

完成证据获取固定后，将进入分析评估阶段。此时，我们需要将计算机或者数字设备中所保存的具体信息置于具体的案件背景中。计算机取证专家需要分析文件、邮件等以寻找线索。一些软件可以用来恢复删除掉的文件、对加密文件解密、在文件中搜寻关键字等。同时，还需要像福尔摩斯一样，有精密的逻辑和推理能力，比如最近浏览的网页、搜索过的关键词、下载的工具、即时通信记录等，虽然不一定和案件直接相关，但会从侧面反映出计算机使用者的行为或者动机。

最终，计算机取证往往以报告或者专家证言的形式，列出找到的证据并说明与案件相关的理由。计算机中发现的多数信息是以二进制形式存储的，其中蕴含的信息或者引申出来的含义往往难以被法官以及辩护双方所理解。因此，计算机取证专家必须要客观清楚地解释并陈述这些证据，根据客观事实和科学原理来表明证据的意义，接受来自法律和科学两方面的质疑。

在线取证

到目前为止，我们讲述的是传统的计算机犯罪现场调查过程。在这个过程中，调查人员直接关闭计算机电源，然后取得硬盘的物理镜像，再进行后续处理。这种方法简单实用，但在当前很多的情况下却不适用。在很多案件中，关键证据和信息源都只存在于内存中（网络连接、即时聊天客户端的内容、恶意程序的代码等），关闭计算机，将导致这些关键信息的丢失。而随着硬盘加密技术的广泛使用，分析硬盘变得极为困难。比如，微软公司在Windows 7操作系统中采用了新的加密技术。该技术为用户提供了高级别的安全性能，当硬盘转移到其他计算机时，会阻止数据资料被他人读取。

因此，获取正在活动状态下的计算机系统信息作为证据（被称之为“在线取证”），成为计算机取证领域的研究热点。在线信息的最大特征是易失，也就是说，在取证过程和关掉电源后，这些信息容易丢失。典型的易失数据包括打开的文件内容、网络连接状态、进程信息、剪贴板内容、当前登录用户、系统驱动……这些信息大部分都保存在计算机系统的物理内存中。由此可见，物理内存中的数据是最先需要获取和最重要的。

当计算机取证专家们进行在线取证时，不可避免地会与正在运行的计算机系统发生信息交互。为了使得这种交互对系统造成的影响最小，特别是对系统物理内存信息造成的改变最小，科学家们想出了很多办法。比如，美国普林斯顿大学的研究人员用冷却的办法保留刚刚关机的物理内存中的内容，获取其中保存的硬盘加密密钥或者用来获取整个系统的镜像信息。我国的研究人员也开发出一种设备，可以从外部通过计算机接口，直接连接需要取证的计算机，获取计算机内存中的所有信息。这种技术可以应用于信息安全应急响应和计算机网络犯罪的在线取证。

随着相关技术的逐步成熟，我们相信，计算机取证将能够为司法机关诉讼活动的顺利进行提供有力证据，有效打击信息时代的高科技犯罪。

（张睿超，山东省计算中心计算机取证与鉴定实验室副研究员；王连海，山东省计算中心计算机取证与鉴定实验室主任，研究员。）

――――――――――――――――――――

小链接

计算机取证的国际挑战赛

随着计算机和信息技术的进一步发展，人们采用的安全工具也日益增多，计算机取证分析必须逐渐适应这些发展，从而确保信息系统中存在的关键证据能得到保存并予以分析。

如果你想了解最新的计算机取证方面的动态，可以参加每年举办一次的数字取证研究工作组国际会议。在这里，来自全世界的计算机取证研究和从业人员会聚集到一起分享研究成果，交流经验。这个会议上最有趣的活动是每次都会举办一项“取证挑战赛”，来自各地的各个取证团队和专家比赛谁能更快、更多、更准确地获取到电子证据。2010年的挑战赛题目是：一个从事军火交易的恐怖分子为了销毁证据，将他的手机扔到运河中。计算机取证人员需要利用内存获取设备，获取打捞上来的手机中的非易失内存中的数据，寻求该恐怖分子和军火商交易的证据，并尽可能多地获取他与别人的联系信息和银行账号。

怎么样，有没有兴趣一试身手，和世界上最顶尖的计算机取证专家们比试比试？

14506