众所周知,
数据恢复是指通过技术手段,将存储介质上丢失的电子数据进行抢救和重新恢复的过程。而所谓
计算机取证,则是指借助相关
计算机取证软件和工具,全面检查计算机系统,搜寻犯罪者留在计算机中的“痕迹”,确认其犯罪证据,然后提取和保护有关电子证据作为有效的诉讼证据提供给法庭,以达到将犯罪嫌疑人绳之以法的目的。
目前计算机取证技术已经在全球范围内被广泛用于计算机犯罪和事故的破获和解决,而我国司法机关在日常的刑侦工作也多次借助计算机取证、
数据恢复技术等信息化手段成功破获多起案件。
电子证据本身和取证过程的许多有别于传统物证和取证方法的特点,对司法和计算机科学领域都提出了新的研究课题。2001年6月18—22日,在法国图鲁兹城召开的为期5天的第十三届全球FIRST(Forum of Incident Response and Security Teams)年会上,入侵后的系统恢复和分析取证成为此次大会的主要议题。由此可见,作为计算机领域和法学领域的一门交叉科学——计算机取证(Computer Forensics)正逐渐成为人们研究与关注的焦点。
我们认为,计算机取证的主要原则有以下几点:
首先,尽早搜集证据,并保证其没有受到任何破坏;
其次,必须保证“证据连续性”(有时也被称为“chain of custody”),即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;
最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。
在保证以上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:
第一,在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;
第二,搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;
第三,全部(或尽可能)恢复发现的已删除文件;
第四,最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;
第五,如果可能并且如果法律允许,访问被保护或加密文件的内容;
第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:①所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留;②文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;
第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;
第八,给出必需的专家证明。
详情请访问公司网站http://www.
CDits.net.cn