计算机取证如何运作

作者:Jonathan Strickland  | 
Paul Howell/Getty Images 想象一下安然交易大厅这些电脑中恢复了多少文件。查看更多计算机图片。

当安然公司于2001年12月宣布破产时,数百名员工失业,而一些高管似乎从公司倒闭中获益。美国国会在听到公司不当行为的指控后决定展开调查。国会的大部分调查都依赖于计算机文件作为证据。一支专业的侦探队伍开始使用计算机取证技术搜查数百台安然员工的电脑。

计算机取证技术的目的是搜索、保存和分析计算机系统上的信息,以找到审判的潜在证据。侦探在犯罪现场调查中使用的许多技术都有数字对应物,但计算机调查也有一些独特的方面。

广告

例如,仅仅打开一个计算机文件就会改变该文件——计算机会在文件本身记录访问时间和日期。如果侦探扣押一台计算机然后开始打开文件,就无法确定他们是否更改了任何内容。当案件提交法庭时,律师可以质疑证据的有效性。

有些人认为使用数字信息作为证据是个坏主意。如果计算机数据很容易更改,它怎么能作为可靠证据使用呢?许多国家允许在审判中使用计算机证据,但如果数字证据在未来案件中被证明不可靠,这种情况可能会改变。

­计算机变得越来越强大,因此计算机取证领域必须不断发展。在计算机早期,由于存储容量非常低,单个侦探就可以整理文件。如今,硬盘能够存储千兆字节甚至兆兆字节的数据,这是一项艰巨的任务。侦探们必须发现新的方法来搜索证据,而无需为此过程投入过多资源。

计算机取证的基础是什么?调查人员可以寻找什么,以及他们在哪里寻找?在下一节中找出答案。

广告

计算机取证基础

这个实验室在酝酿什么?计算机取证。
©iStockphoto/James Steidl

**计算机**取证领域相对年轻。在计算的早期,法院认为来自计算机的证据与其他任何类型的证据没有什么不同。随着计算机变得更先进和复杂,观点发生了转变——法院了解到计算机证据很容易被破坏、销毁或更改。

调查人员意识到,需要开发特定的工具和流程来搜索计算机中的证据,而不影响信息本身。侦探与计算机科学家合作,讨论他们需要使用的适当程序和工具,以从计算机中检索证据。他们逐渐开发出了现在构成计算机取证领域的程序。

广告

通常,侦探必须获得搜查令才能搜查嫌疑人的计算机以获取证据。搜查令必须包括侦探可以在哪里搜查以及可以寻找何种证据。换句话说,侦探不能仅仅出示搜查令,然后随意搜查任何可疑的东西。此外,搜查令的条款不能过于笼统。大多数法官要求侦探在申请搜查令时尽可能具体。

因此,侦探在申请搜查令之前,尽可能多地研究嫌疑人非常重要。考虑这个例子:一名侦探获得搜查嫌疑人笔记本电脑的搜查令。侦探到达嫌疑人家中并送达搜查令。在嫌疑人家中,侦探看到一台台式电脑。侦探不能合法搜查这台电脑,因为它没有包含在原始搜查令中。

每次计算机调查都有其独特之处。有些调查可能只需一周就能完成,但其他调查可能需要数月。以下是一些可能影响调查时长的因素

  • 侦探的专业知识
  • 被搜查的计算机数量
  • 侦探必须整理的存储量(硬盘CDDVDU盘
  • 嫌疑人是否试图隐藏或删除信息
  • 是否存在加密文件或受密码保护的文件

从计算机收集证据的步骤是什么?继续阅读以了解更多信息。

广告

计算机取证调查阶段

Judd Robbins,一位计算机科学家和计算机取证领域的领先专家,列出了调查人员在检索计算机证据时应遵循的以下步骤

  1. 保护计算机系统,确保设备和数据的安全。这意味着侦探必须确保未经授权的个人无法访问搜查中涉及的计算机或存储设备。如果计算机系统连接到互联网,侦探必须切断连接。
  2. 找到计算机系统上的所有文件,包括加密的、受密码保护的、隐藏的或已删除但尚未被覆盖的文件。调查人员应该复制系统上的所有文件。这包括计算机硬盘或其它存储设备上的文件。由于访问文件可能会改变它,因此调查人员在搜索证据时只使用文件副本非常重要。原始系统应保持完好无损。
  3. 使用能够检测和检索已删除数据的应用程序,尽可能多地恢复已删除信息。
  4. 使用旨在检测隐藏数据存在的程序,揭示所有隐藏文件的内容。
  5. 解密并访问受保护的文件。
  6. 分析计算机磁盘的特殊区域,包括通常无法访问的部分。(在计算机术语中,计算机驱动器上未使用的空间称为未分配空间。该空间可能包含与案件相关的文件或文件片段。)
  7. 记录程序的每个步骤。侦探提供证据证明他们的调查在不改变或损坏计算机系统信息的情况下保存了所有信息非常重要。调查和审判之间可能相隔数年,如果没有适当的文档,证据可能不被采纳。Robbins表示,文档不仅应包括从系统中恢复的所有文件和数据,还应包括一份关于系统物理布局以及是否有任何文件被加密或以其他方式隐藏的报告。
  8. 准备好在法庭上作为计算机取证专家证人出庭作证。即使调查完成,侦探的工作也可能尚未结束。他们可能仍然需要在法庭上提供证词[来源:Robbins]。

所有这些步骤都很重要,但第一步至关重要。如果调查人员无法证明他们保护了计算机系统,他们找到的证据可能不被采纳。这也是一项艰巨的任务。在计算的早期,系统可能只包括一台个人电脑和几张软盘。如今,它可能包括多台计算机、磁盘、U盘、外置硬盘、外设和Web服务器

广告

一些罪犯已经找到了使调查人员更难在其系统中找到信息的方法。他们使用被称为反取证的程序和应用程序。侦探必须了解这些程序以及如何禁用它们,如果他们想访问计算机系统中的信息的话。

反取证到底是什么,它们的目的是什么?在下一节中找出答案。

广告

反取证

如果采取的反取证措施足够彻底,调查人员可能永远无法破解计算机系统。
©iStockphoto/Marc Dietrich

反取证可能是计算机调查人员最糟糕的噩梦。程序员设计反取证工具,使其在调查期间难以或无法检索信息。本质上,反取证指的是任何旨在阻碍计算机调查的技术、小工具或软件

人们可以通过多种方式隐藏信息。一些程序可以通过更改文件头部的信息来欺骗计算机。文件头通常对人类不可见,但它极其重要——它告诉计算机该文件头所附带的文件类型。如果你将一个mp3文件重命名为.gif扩展名,计算机仍然会知道该文件实际上是一个mp3,因为它包含在文件头中的信息。一些程序允许你更改文件头中的信息,这样计算机就会认为它是不同类型的文件。侦探在寻找特定文件格式时,可能会跳过重要证据,因为它看起来不相关。

广告

其他程序可以将文件分成小块,并将每个小块隐藏在其他文件的末尾。文件通常有未使用的空间,称为松弛空间。使用正确的程序,你可以利用这些松弛空间来隐藏文件。检索和重新组合隐藏信息非常具有挑战性。

还可以在一个文件内隐藏另一个文件。可执行文件——计算机识别为程序的​​文件——尤其成问题。称为打包器的程序可以将可执行文件插入其他类型的文件中,而称为绑定器的工具可以将多个可执行文件绑定在一起。

加密是隐藏数据的另一种方式。当你加密数据时,你使用一组复杂的规则,称为算法,使数据无法读取。例如,该算法可能会将文本文件转换为一堆看似无意义的数字和符号。想要读取数据的人需要加密密钥,该密钥可以反转加密过程,使数字和符号变回文本。如果没有密钥,侦探必须使用旨在破解加密算法的计算机程序。算法越复杂,没有密钥的情况下解密所需的时间就越长。

其他反取证工具可以更改附加到文件的元数据。元数据包括文件创建时间或上次修改时间等信息。通常你无法更改此信息,但有些程序可以让人更改附加到文件的元数据。想象一下检查一个文件的元数据,发现它说该文件将在三年后才存在,并且上次访问是在一个世纪前。如果元数据受到破坏,就更难将证据作为可靠证据提交。

如果未经授权的用户试图访问系统,一些计算机应用程序会擦除数据。一些程序员已经研究了计算机取证程序的工作方式,并试图创建能够阻止或攻击这些程序本身的应用程序。如果计算机取证专家遇到这样的罪犯,他们必须谨慎并运用智慧来检索数据。

少数人使用反取证来证明计算机数据是多么脆弱和不可靠。如果你无法确定一个文件何时创建、何时最后访问,甚至是否曾经存在过,你如何能在法庭上使用计算机证据呢?虽然这可能是一个有效的问题,但许多国家确实接受计算机证据,尽管证据标准因国家而异。

证据标准到底是什么?我们将在下一节中找出答案。

广告

计算机证据标准

在美国,扣押和使用计算机证据的规则非常广泛。美国司法部有一本手册,题为《在刑事调查中搜查和扣押计算机以及获取电子证据》。该文件解释了调查人员何时被允许在搜查中包含计算机,何种信息可被采纳,传闻证据规则如何适用于计算机信息,以及进行搜查的指南。

如果调查人员认为计算机系统仅作为存储设备,他们通常不允许扣押硬件本身。这限制了任何证据调查仅限于现场。另一方面,如果调查人员认为硬件本身就是证据,他们可以扣押硬件并将其带到另一个地点。例如,如果计算机是被盗财产,那么调查人员可以扣押该硬件。

广告

为了在法庭上使用来自计算机系统的证据,控方必须认证证据。也就是说,控方必须能够证明作为证据提交的信息来自嫌疑人的计算机,并且未被更改。

尽管普遍承认篡改计算机数据是可能且相对简单的,但到目前为止,美国法院尚未完全否定计算机证据。相反,法院要求在驳回计算机证据之前提供篡改的证明或证据。

法院在处理计算机证据时考虑的另一个因素是传闻。传闻是指在法庭之外所作的陈述。在大多数情况下,法院不允许传闻作为证据。法院已裁定计算机上的信息在大多数情况下不构成传闻,因此可以采纳。如果计算机记录包含人生成的陈述,如电子邮件消息,法院必须在允许其作为证据之前确定这些陈述是否可以被视为可信。法院根据具体案件进行裁定。

计算机取证专家在他们的调查中使用了许多有趣的工具和应用程序。在下一节中了解更多信息。

广告

计算机取证工具

无论一个部门的预算多么有限,没有哪个可信的调查员会屈尊强行打开一台电脑来寻找线索。
©iStockphoto/Muharrem Oner

程序员已经创建了许多计算机取证应用程序。对于许多警察部门来说,工具的选择取决于部门预算和可用专业知识。

以下是一些使计算机调查成为可能的计算机取证程序和设备

广告

  • 磁盘镜像软件记录硬盘的结构和内容。有了这种软件,不仅可以复制驱动器中的信息,还可以保留文件的组织方式以及它们之间的关系。
  • 软件硬件写入工具逐位复制和重建硬盘。软件和硬件工具都避免更改任何信息。一些工具要求调查人员在复制之前,首先从嫌疑人的计算机中移除硬盘。
  • 哈希工具将原始硬盘与副本进行比较。这些工具分析数据并为其分配一个唯一的数字。如果原始和副本上的哈希值匹配,则副本是原始的完美复制品。
  • 调查人员使用文件恢复程序来搜索和恢复已删除的数据。这些程序定位计算机标记为删除但尚未覆盖的数据。有时这会导致文件不完整,从而更难分析。
  • 有几种程序旨在保存计算机随机存取存储器(RAM)中的信息。与硬盘上的信息不同,RAM中的数据一旦关闭计算机就会消失。如果没有正确的软件,这些信息很容易丢失。
  • 分析软件筛选硬盘上的所有信息,寻找特定内容。由于现代计算机可以存储千兆字节的信息,手动搜索计算机文件非常困难且耗时。例如,一些分析程序搜索和评估互联网cookie,这可以帮助调查人员了解嫌疑人的互联网活动。其他程序允许调查人员搜索可能在嫌疑人计算机系统上的特定内容。
  • 加密解码软件和密码破解软件对于访问受保护的数据很有用。

只有调查人员遵循正确的程序,这些工具才有用。否则,一名优秀的辩护律师可能会声称计算机调查中收集的任何证据都不可靠。当然,一些反取证专家认为,没有任何计算机证据是完全可靠的。

法院是否会继续接受计算机证据作为可靠证据,仍有待观察。反取证专家认为,总有一天会有人在法庭上证明,在不被发现的情况下操纵计算机数据既可能又合理。如果真是这样,法院可能很难证明在审判或调查中纳入计算机证据的合理性。

要了解更多关于计算机取证和相关主题的信息,请点击下一页的链接。

广告

常见问题

计算机取证是一个好的职业吗?
计算机取证对于对计算机感兴趣并渴望帮助破案的人来说是一个很好的职业。这个领域可能非常具有挑战性和令人兴奋,而且对合格的计算机取证专业人员的需求很大。
计算机取证做什么?
计算机取证是将调查和分析技术应用于从特定计算设备收集和保存证据,以使其适合在法庭上出示。计算机取证的目标是进行结构化调查,以找到可能与案件相关的所有证据,然后以法律上可接受的方式解释这些证据。
成为计算机取证专家需要什么学位?
成为计算机取证专家的具体教育要求将根据你希望工作的特定领域或行业而有所不同。然而,大多数计算机取证专家至少需要计算机取证、计算机科学或相关领域的学士学位。

更多信息

相关十万个为什么文章

更多精彩链接

  • Berinato, Scott.《反取证的兴起》CSO Online. 2007年6月。http://www.csoonline.com/read/060107/fea_antiforensics.html
  • 计算机取证工具测试项目 http://www.cftt.nist.gov/index.html
  • 《联邦证据规则》。康奈尔法学院。http://www.law.cornell.edu/rules/fre/rules.htm#Rule1001
  • Fitzgerald, Thomas J.《删除但未消失》。《纽约时报》。2005年11月3日。http://www.nytimes.com/2005/11/03/technology/circuits/03basics.htmlex=1288674000&en=52520fd64c31403f&ei=5090&partner=rssuserland&emc=rss
  • Kerr, Orin S.《计算机记录与联邦证据规则》。美国司法部。2001年3月。http://www.usdoj.gov/criminal/cybercrime/usamarch2001_4.htm
  • Harris, Ryan.《达成反取证共识》。Digital Investigation. 2006年。http://dfrws.org/2006/proceedings/6-Harris.pdf
  • 《FBI如何调查计算机犯罪》。CERT。http://www.cert.org/tech_tips/FBI_investigates_crime.html
  • Oseles, Lisa.《计算机取证:破案的关键》。
  • Peron, Christian S. J. 和 Legary, Michael.《数字反取证:数据转换技术的新兴趋势》。Seccuris Labs。http://www.seccuris.com/documents/papers/Seccuris-Antiforensics.pdf
  • Robbins, Judd.《计算机取证解释》。http://computerforensics.net/forensics.htm
  • 《刑事调查中搜查和扣押计算机以及获取电子证据》。美国司法部。2002年7月。http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm#_V_
  • 《安然公司的陨落》。Chron.com。http://www.chron.com/news/specials/enron/
  • Walker, Cornell.《计算机取证:将证据带上法庭》。InfosecWriters。http://www.infosecwriters.com/text_resources/pdf/Computer_Forensics_to_Court.pdf
  • Witter, Franklin.《收集和保存计算机取证证据的法律方面》。全球信息保障认证。2001年4月20日。http://www.giac.org/certified_professionals/practicals/gsec/0636.php

广告

加载中...