第1章 内存取证技术概述

1.1 计算机取证技术

现在，信息技术已经走进了人类社会生活的各个方面，计算机、互联网、智能手机、可穿戴设备等已经与人们的日常工作和生活密不可分。信息系统已经成为国家战略性的基础设施，经济、国防、能源、行政、通信、金融以及娱乐休闲等社会各行各业越来越重视和依赖信息系统。但是，同其他科学技术一样，信息技术在带给全社会巨大便利的同时，也带来一些问题。与信息系统相关的各类违法犯罪事件随着技术的发展也逐渐渗入社会生活的各个方面，涉及信息技术的法律纠纷更是层出不穷。因此，需要新的技术来帮助法庭和相关人员应对这些犯罪和纠纷。于是，计算机取证（Computer Forensic）技术慢慢发展起来。

Forensic这个词在韦氏辞典是这样解释的：应用科学知识于法律问题，与应用科学知识到法律问题相关的。这个词语最初的翻译使用了“取证”这个词，而且最早的技术应用场景主要是围绕计算机及其周边设备的，因此约定俗成地就一直使用计算机取证这个术语概括这一法律与信息技术互相交叉的领域。有时也会使用计算机法证这个术语。随着模拟技术逐渐向数字技术转变，数字取证（Digital Forensic）这个词也越来越常用。有人认为计算机和数字等词不适于概括所有技术，使用了电子取证这个概念，这是国内公安部门一般使用的术语。我国2012年《刑事诉讼法》《民事诉讼法》以及2014年修改的《行政诉讼法》将电子数据作为一种新的证据种类纳入立法，使其得到了独立的证据地位。但是并没有明确电子证据的具体定义。

各种信息技术虽然日新月异，但都是人们获得信息、记录信息、处理和利用信息的手段。以上概念和术语本质上并没有不同，无论名称如何，其核心都是以某种信息技术作为载体保存证据的处理问题，即利用信息技术，按照法律规范允许的方式，对电子证据的识别、收集、固定、分析和呈现问题。因此，读者在碰到这些术语时，广义上可以看作是相同的概念。

计算机取证需要获取的对象是电子数据，其本身具备的一些特点直接影响到计算机取证的进行。电子证据的特点可以归纳为以下几点[1]。

（1）脆弱性

脆弱性主要表现在两个方面：一方面，由于电子数据都存储在磁介质或电子元器件中，而这些介质本身的一些特性使电子数据容易被人为地损坏，因而在计算机取证中对证据材料的保存有十分严格的约束；另一方面，电子数据可以很容易地被修改或删除，而这种操作往往是不可完全恢复的，即便可以恢复，也会对这些数据的证据有效性产生极大的影响。

（2）非直观性

电子数据存在于一个二进制的世界，因为信息系统的整体架构在不同的硬件和逻辑层次有各种各样的表现形式，所以很多时候无法直观识别证据材料的内容。

（3）隐蔽性

计算机系统中存在太多的随机性，很多数据只有在特殊的上下文环境中才有其特定的意义，所以无法判断电子证据中有效信息的位置，而且现在已经存在很多反取证的技术，这使有效证据信息的检索更加难以进行。

（4）多态性

电子数据的作用往往需要有一个上下文环境作为参考，不同环境下对电子数据分析产生的结果很可能是不同的。

（5）时效性

计算机系统中很多电子数据只有很短的生命周期，当系统运行一定时间后这些信息可能会被系统覆盖或清除。

电子证据的特点使它不像一般的民事或刑事案件相关的证据那样显见、直接，可以利用传统的搜集及分析方法粹选出供法庭上判决的直接证据，而是必须依赖特定的取证技术或方法加以搜集分析才能作为判决上参考的间接证据。只有通过使用取证工具，使用合法的程序（流程）获得，并且通过科学专业的知识进行分析、呈现和解释的电子证据才能被法院理解与认可。由于不同的国家在法律、道德和意识形态上存在差异，而取证原则又依赖于不同的证据使用原则，但大体都是为保证获取的证据的合法性、客观性和关联性，因此计算机取证的原则可归纳为以下几个方面[1,2]。

（1）依法取证原则

计算机取证不仅要保证取证实体合法，还要保证取证程序合法。任何证据的有效性和可采性都取决于证据的客观性、与案件事件的关联性和取证活动的合法性。取证活动的要件构成是指参与取证全过程、决定或影响取证与司法鉴定结果的各个方面或因素，包括取证的主体、对象、手段、过程和环境5个要素，只有保证取证“五要素”同时合法，才能保证获取的证据合法。

（2）无损取证原则

首先，由于电子数据自身的脆弱性以及证据的严格性（即证据材料能够客观地、真实地反映案件事实），所以取证人员在对电子数据进行采集时必须严格地遵循合法流程进行电子数据的获取。其次，对电子数据的保存应该做到多备份，一方面是为了克服电子数据脆弱性，另一方面是为了可以重现分析过程。

（3）全面取证原则

全面取证原则体现在调查机关在取证过程中应该尽可能地全面调查取证，使获取的证据之间相互印证，以真实地重现案件事实。但由于电子数据的隐蔽性，在海量数据面前，调查人员往往容易忽视海量信息中一些细微的数据信息，因而在计算机取证过程中，一定要认真分析来源并进行全方位、多角度的取证，在确保证据与案件事实关联的基础上，将获取的所有电子证据与案件的其他类型证据相互例证，排除矛盾的电子证据，从而克服电子证据的多态性，最终组成完整的证据链。

（4）及时取证原则

由于有些电子数据的时效性很强，所以当确定取证对象后，应该尽早搜集证据，保证其没有受到任何形式的破坏和损失。

计算机取证涉及信息技术的方方面面，需要综合运用各种技术知识来解决问题，如操作系统、文件系统、网络协议、密码技术等。同时，计算机取证又是一个多门学科交叉的研究领域，与之相关的学科有计算机应用技术、信息安全、网络安全、法律与法学、刑事科学等。计算机取证研究的内容依据取证步骤的过程不同，分为证据的识别、获取、分析和呈现等；根据取证对象的不同，分为Windows取证、Linux取证、网络取证、移动设备取证等。几十年来，国内外计算机取证的研究从无到有，从少数到具有一定规模，逐渐发展壮大成内容丰富、理论实践都较为成熟的研究领域。