计算机调查取证

计算机调查取证(Computer Forensics)是法医学下的一个分支，与法医相似，计算机调查取证是有关从计算机中获取电子证据并加以分析的过程。近些年来，越来越多的电子证据被各类案件所涉及，计算机调查取证也逐渐成为一门热门专业。

近些年来随着手机，个人PDA和其他电子产品的普及，计算机调查取证的源头也从计算机转移到其他各类电子产品上，所以计算机调查取证也有时称作“电子调查取证”(Digital Forensics)。

计算机调查取证的范围几乎包含了所有可能写入数据的电子产品。就电脑而言，大多数时候取证人员需要使用专业的工具来进行取证，比较著名的有EnCase和FTK。使用这些工具的人员都需要接受专业的培训，得到合格的证书才能为案子取证。当然除了专业的工具，取证人员也使用一些系统工具（一般在DOS下运行，为了保证证据只受最低影响）比如用dd和Netcat进行内存的取证分析。

电子证据拥有极强的隐藏性，这也是对取证人员的一大挑战。此外在英美法系中，已经逐渐地将电子证据规范化。和其他证据类似，取证需要遵循“监督链”（Chain of Custody）。监督链的内容如下：1、对取得的证据要进行记录。2、保持证据出庭、上交和交给检验员的记录。3、原证据（硬盘）应该安全地保存在专用的证据箱内，并记录日志。4、所有的电子取证以及检验都需要在原证据的镜像上进行，绝不能在原证据上进行。

电子证据可以分为“死”证据和“活”证据：前者包括收集来的硬盘、U盘、储存卡等等，是“死”的；后者顾名思义，就是活着的证据，比如内存，电脑在运行的状态下内存的内容随时都在变化，但是内存中可能有极为重要的证据，比如剪贴板的内容，输入的密码等等。无论证据是“死”是“活”，都是取证人员所要刨根问底的。

对于“死”的证据，取证人员需要100%跟随监督链的原则，进行取证分析。拿硬盘或U盘来说，收集到物理证据后，取证人员会制作一个完全一样的副本（Bit-stream Copy）。这一步一般都需要一个叫做写保护器（Write Blocker）的物理元件，以防制作副本的过程中系统对原证据写入数据。在制作副本的同时，取证人员会在原证据上运算MD5或SHA1值，待副本完成后再在副本上运算。MD5或SHA1值就像是指纹一样，可以用来分辨作出来的副本是否与原证据一样。而且每次进行取证分析后，取证人员都会进行相同的运算，以确保证据没有改变，从而确保证据的可靠性。

“活”证据的重要性直到近期才被关注，却极其重要，可想而知毕竟计算机取证还是一门新兴的事物有待发展完善。在犯罪的第一现场，或是嫌疑犯的家中，当有电脑卷入时，美国的司法部门规定如果是开启的，不要关闭或收集，联系计算机取证人员来对应。这样做的一个原因是越来越多的罪犯开始隐藏自己的罪行，并且对其加密。解密的难度很大，而且费时，但是如果罪犯输入密码，密码就一定会藏在内存某处。通过内存的取证分析，就可以找到密码并轻易解密。此外，国外的即时通讯软件（Yahoo、Facebook等）越来越多地在网页上运行，这样使得聊天的内容不会被存在硬盘中而存入内存，这也是为什么“活”证据变得越来越重要的一个原因。因为内存的易变性，导致取证前后的内存不可能相同，这有可能造成法庭上辩护律师对这些证据可靠性的攻击，有待相关的法律来完善“活”证据的取证。

计算机调查取证和计算机安全与法律密不可分，取证员需要接受法律和计算机安全甚至网络安全的多方面培训。在美国，SANS Institute的GIAC Certified Forensics Analyst（GCFA）认证就是针对计算机调查取证员的认证。

作为新生的事物，电子取证面临很多挑战，越来越多的反侦查手段和软件被罪犯所采用，面对这些罪犯时，证据的提取变得异常困难甚至根本找不到证据。但是随着电子取证系统的发展和法律的完善，正义一定会战胜邪恶。