的信息特性高度相关表明其高科技属性。
基于计算机证据的以上特征我国有的法学专家建议把计算机证据作为一个独立的证据种类或者用“电、磁、光记录物”取代视听资料作为一个证据种类以涵盖视听资料和计算机证据。而网络行为取证又由于其动态特性使得其难度比其他计算机取证领域的难度要高也值得我们投入精力去研究。
针对取证的多样性有些研究已经开始了循环取证的研究对取证进行抽象。
目前除TCT和E
Case以外被大量使用的取证工具还有DiskSearch32DiskSigDMDRIVESPYFileCNVTFore
siXGetSlack等等大多是基于磁盘和文件的取证工具。
2现有研究存在的问题
取证的成功与否与诸多因素有关但是现有取证学的研究还存在诸多问题首先是取证条件的限制其次是诸多反取证技术的发展甚至超过了取证技术的发展。
21取证的条件现在计算机取证学找到犯罪证据的过程还比较原始处于初级阶段主要是因为找到犯罪的证据需要具备三个条件
211有关犯罪的电子证据必须没有被覆盖。
比如硬盘上的数据被多次物理删除和格式化了如何恢复是一个难题依赖于现有的硬盘修复手段可能会无效借助于扫描电镜查看每次磁头读写时磁畴的晶相差异有可能恢复该数据此时恢复数据的成本就比较高昂。如果是U盘上的数据被覆盖现在可以想到的方法还没有见到奏效的例子。如果原始数据都没有拿到自然证据也就无法立足。
212取证软件和手段必须能够找到这些数据。
获得物理载体电子证据也没有被覆盖但是如何从大量的数据源利找到与事件相关的部分排除干扰也是非常必须的。对于一些场合有效地信息往往只是沧海一粟如何挖掘有效的信息是不被数据淹没的重要研究方向。
213取证人员必须能够知道文件的内容并且能够证明它们和犯罪有关。
214取得的证据必须能够得到法律的认可。
f龙源期刊网httpwwwqika
comc
这一点也至关重要。如果找到目标文件却发现该文件是加密的如何解开这个文件就是一个难点。PGP加密的文件的暴力破解还有待于理论的发展但是取得证据的要求却时不我待。解开文件后要证明文件内容和犯罪相关也是一个重要研究内容。
22反取证技术反取证技术的出现对于取证技术的进行是致命的就好像矛和盾反取证技术是盾取证技术是矛盾牌太坚实矛就显得无用武之地。但是这对于取证学的研究和发展却是必须的反取证技术为取证学提供了新方向和练兵场。
简单地说反取证就是删除或者隐藏证据使取证调查无效任何使得取证失效的行为都可以看作是反取证技术。
数据擦除是最有效的反取r