前言：本站為你精心整理了談計算機隱秘信息取證技巧范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

計算機主機系統取證基本原則

（1）依法取證原則。在進行取證和司法鑒定活動時，需要主體、對象、方法和過程四要素同時存在合法性時，才能確保證據的合法性。計算機取證的合法主體應包含合法的調查人員以及具備法定取證和司法鑒定資格的取證技術專家。所謂對象合法，是指對涉案的電子設備以及被懷疑與案件事實相關聯的電子信息進行明確的取證范圍規定，不能隨意取證與案件無關的數據信息，避免侵犯所有人或者權利人的隱私權、商業秘密等合法權益。

（2）無損原則以及多備份取證原則。無損原則就是在取證過程中要保持涉案設備運行環境等全部信息的完整性，不能對其進行任何修改操作。在進行收集存儲介質中電子證據時，應當采用鏡像技術進行備份，保證原始數據的完整性，多備份原則就是對電子證據媒體進行多次備份，原始媒體用于保存，復制品用于取證操作和分析操作。

（3）及時性和準確性原則。由于電子證據是從信息系統運行過程中自動生成的實時文件中提取的，如果超過一定的時間，這些文件信息就可能會發生變化，因此在確定取證對象后，應盡快進行證據搜集。準確性原則要求取證人員在取證過程中一定要認真仔細，嚴格按照規定操作，獲取真實的結果，保證信息的準確無誤。

（4）全面取證原則。要求在計算機取證過程中，對電子證據的來源進行全面的取證。環境安全原則，要求取證、分析和保存的環境保持對電子數據存儲介質的安全，遠離高磁場、高溫、潮濕、靜電、灰塵等不利因素。

（5）過程監督和嚴格管理原則。計算機取證和電子證據分析提取的全過程應有專人或者技術專家進行實時監督，電子證據進行移交、保管、開封、拆卸等操作時也應嚴格管理、詳細記錄。

計算機主機信息隱秘取證面臨的問題和發展趨勢

計算機主機信息隱秘取證面臨的問題主要包括：缺乏科學、規范、有效的計算機取證過程。雖然出臺了部分規定說明了計算機犯罪案件現場證據取證工作的原則，但是尚未對具體的操作過程進行詳細的規范，因此很容易造成不科學的取證操作，導致電子證據的可信度下降，非法收集的證據在法庭上無價值。二是，海量數據信息分析難度大。目前計算機硬盤容量與日俱增，大容量硬盤造成了計算機證據存儲狀態多樣，表現形式復雜，分析難度極大。三是，取證軟件不足。目前國內自主研發的計算機取證軟件程序并不成熟，而引進的國外軟件又不適應國情，目前取證過程中通常使用一些臨時自制的小程序，或者是手工操作，使提取的證據價值度、可信度大打折扣。計算機主機信息隱秘取證雖然發展時間很短，但是由于現代化犯罪技術的出現，計算機取證技術的需求也隨之增加，未來計算機取證技術的發展更加專業，需要設計成為系列軟件，建立一套完整的電子數據提取體系。由于數據量信息的爆炸式增長，未來的計算機取證技術也需要設計自動化、集成化。隨著互聯網技術的發展，很多犯罪行為都是在異地實施，互聯網操作，因此計算機取證技術更趨向于網絡化、隱蔽化。

計算機主機隱秘信息取證系統分析

國內常見的計算機隱秘信息取證系統軟件，主要有金諾網安介質取證系統、美亞柏科中文取證平臺。通常計算機隱秘信息取證系統包含數十個子模塊，分別對數據信息進行采集、分析、加工和傳輸。其中計算機主機取證平臺是整個取證系統的主體部分，主要包括自動隱藏和自動加載模塊、卸載模塊、文檔數據取證模塊、取證數據隱蔽存儲模塊、取證數據回傳模塊。自動隱藏與自動加載模塊是整個取證系統的開端，它的成功運行是整個計算機隱秘信息系統正常運行的基礎。這一模塊重點要注意隱蔽性，對程序的進程進行隱蔽，對自身的文件進行偽裝，同時程序需要具備自動啟動、意外關閉自動啟動功能，以及防病毒軟件躲避功能。自動卸載模塊的功能實現關鍵是卸載組建的順序和卸載過程的隱蔽性。自動卸載模塊接到卸載指令后，應先將所有保存在主機上的文本證據進行刪除清理，然后再卸載所有的功能模塊，完成注入痕跡的清除。文檔數據取證模塊是整個取證軟件的核心，所有的取證操作都是通過這個模塊來完成的。通過這個模塊主要獲取4類數據信息：主機的重要文檔、移動接入設備的數據、主機EFS密碼證書和登陸型密碼文檔。取證數據隱蔽存儲模塊是對主機取證模塊獲取的證據信息進行初步的處理和保存，在取證數據隱蔽存儲的模塊中主要包含4種功能：首先是對獲取的數據進行加密，然后進行隱蔽存儲，控制好存儲文件大小，最后是使用動態配置功能對取證數據信息進行管理。取證數據回傳模塊是連接主機取證平臺和取證管理平臺之間的通道。取證數據回傳模塊的設計重點是繞過目標主機上的防火墻將數據信息回傳到取證管理平臺的自動通訊設備上，實現取證數據的自動獲取。計算機主機信息隱秘取證系統是一個集數據收集、分析、傳送和遠程控制為一體的完整系統。主要由主機取證平臺和取證管理平臺兩個部分組成，其中主機取證平臺可以用接觸方式或者網絡方式植入到目標主機中，在目標主機上隱蔽運行，通過自動加載、自動卸載、文檔數據取證、取證數據隱蔽存儲和取證數據隱蔽回傳來實現電子證據收集。

計算機動態隱秘取證系統的主要數據結構和性能分析

（1）取證部分主要數據結構包括：Fileheaders結構，SocketPacket結構，ThirdPartyParam結構，TransferParam結構，TrojanNetwork類幾個部分組成，其中Fileheaders結構的主要功能是獲取取證文件的文件名以及文件大小等信息；SocketPacket結構的主要功能是傳遞諸如IP地址、端口號以及sock結構此類信息給相關的功能函數；ThirdPartyParam結構主要功能是存放第三方服務器的信息，比如IP地址、端口等；TransferParam結構，主要功能是讀取第三方服務器中取證平臺的IP地址以及端口號等信息；TrojanNetwork類中封裝了取證部分的所有網絡操作程序，以及相關變量定義。

（2）取證平臺部分主要數據結構和類包括：FileHead－er結構，TransferParam結構，ClientPacket結構，clsServ－erNetwork類，TFormConfigPort類，TForm3rdConfig類幾個部分。其中TFormConfigPort類是綁定取證平臺偵聽端口時用到的窗口類；TForm3rdConfig類是配置第三方Web服務器時用到的窗口類；另外TransferParam結構、FileHeader結構的定義和功能與上述取證中所使用的相同。ClientPacket鏈表結構主要功能是傳遞客戶端信息給線程函數，每接收到一個客戶端的連接信息，都會在管理平臺中產生一個ClientPacket結構加入到鏈表中。clsServerNetwork類封裝了取證平臺中所有網絡操作的功能和變量定義。

（3）通過實際操作可以看出，計算機主機隱秘信息取證設計不論從取證，還是從取證平臺的數據通信來看都具有很高的隱蔽性。該技術下獲取的證據文件與源文件完全一致，具有很高的可靠性，而且取證部分和取證平臺部分都能夠長期無人值守運行，具有很高的系統可靠性。取證和平臺進行連接后，程序就會自動傳送列表文件和證據文件，如果有移動儲存設備連入被取證的主機，程序就會自動啟動傳輸原始文件列表的操作，及時地將列表文件傳送至取證平臺，因此計算機動態隱秘取證系統還具備實時性和自動性的特點。計算機取證不僅僅是計算機科學方面的技術問題，同時也是法學方面的問題，因此這種操作和程序設計，不僅要滿足技術上的要求和功能實現，更需要符合法學上規定的計算機取證原則和相關取證規范。因此，日后的計算機主機隱秘信息取證技術會朝著靜態取證和動態取證相結合、單機取證和網絡取證相結合，取證過程更加規范、取證分析更加智能、證據歸檔自動化等方向深入發展、不斷完善，形成更加完整、規范、全面的計算機取證體系。

作者：黎彩薇單位：廣東省肇慶市鼎湖區人民政府信息中心