TipsMake.com-当安然能源集团于 2001 年 12 月宣布破产时，数百名员工失业，而一些官员似乎从中受益从公司倒闭开始。 美国国会在有传言称该公司存在欺诈行为后决定展开调查。 美国国会的大多数调查都集中在计算机文件上以寻找证据。 strong> 一支专业队伍开始使用法医计算机搜索数百名安然员工的计算机-寻找高科技犯罪的证据。

计算机取证的目的是搜索、维护和分析计算机系统上的信息，为案件找到犯罪证据。刑事调查中使用的许多调查方法都结合了数字，但也有一些特殊情况使用了计算机调查。

例如，只要在电脑中打开一个文件并更改它，电脑就会记录它访问该文件的时间和日期。如果员工有一台计算机并开始打开文件，那么没有人可以确定他们没有更改任何内容。此后，如果将案件提交法庭，律师可以就这些证据的有效性进行辩论。

有些人认为使用数字信息作为证据是一个坏主意。如果计算机数据很容易更改，那它怎么能作为可靠的证据呢？许多国家/地区允许在法庭听证中使用计算机证据，但如果数字证据被证明是不可靠的证据，这也可以改变。

计算机越来越强大，所以计算机取证也必须有足够的发展。在计算机出现的早期，由于存储容量低，调查人员很容易找到文件。今天，随着磁盘存储容量高达千兆字节，甚至数兆字节的数据，工作变得更加困难。调查人员将不得不找到不同的方法来寻找证据，而不会在调查过程中使用太多来源，从而提高过程的效率。

那么，取证计算机的基础是什么——寻找高科技犯罪证据？调查人员在寻找什么？他们在哪里搜索？

计算机取证基础知识

法医计算机领域还是相当新的。在计算机出现的早期，法院认为来自计算机的证据与其他类型的证据没有什么不同。随着计算机变得越来越发达和复杂，这种想法发生了变化——法院了解到犯罪证据很容易被更改、删除或销毁。

研究人员意识到有必要开发一种工具来帮助调查计算机中的证据而不损害信息。他们已经开始与计算机科学家合作，创建志愿者来讨论他们在必须从计算机中检索信息时所需的适当方法和工具。从那时起，他们开发了一种方法来形成法医计算机领域。

通常，调查人员必须获得法院命令才能在可疑计算机上查找信息。该命令将包括允许调查员搜索的地点以及他们可以找到的证据类型。换句话说，调查人员只能听从命令，寻找他们认为可疑的东西。另外，命令中的命令不能太笼统。大多数法院在向调查人员下达命令时会要求非常具体的事项。

因此，调查人员必须在请求法院命令之前搜索尽可能多的怀疑来源。例如，调查员接到命令调查可疑笔记本电脑。此人来到嫌疑人家中遵从命令。当他们到达时，调查员看到了一台台式电脑。此调查员无法在这台计算机上搜索证据，因为它未包含在搜索命令的条款中。

普通视图

普通视图规则-允许调查人员在搜索过程中收集任何可用的证据。如果前面示例中的调查员在相关人员的计算机屏幕上发现了证据，则员工可以使用这台计算机搜索证据，即使它没有包含在命令中。考试。如果这台台式电脑未启用，调查员无权对其进行检查。

机器上的每个调查都有它的own 的区别。一些调查可能需要一周的时间才能得到结果，但其他调查可能需要每月完成一次。以下是一些可能会影响调查时间的因素：

• 调查人员的资格

• 要检查的计算机数量

• 调查人员需要检查的所有空间(硬盘、CD、DVD 和外部存储设备)

• 嫌疑人是否正在删除或隐藏信息

• 处理加密文件或受密码保护的文件。

调查计算机取证的阶段

计算机专家和法医计算机领导者贾德·罗宾斯列出了调查人员在想要从计算机中检索证据时需要执行的一些步骤：

1.控制计算机系统以确保设备和数据安全。这意味着调查人员需要有安全措施，以便任何人都无法访问计算机并且正在检查存储设备。如果计算机系统连接到 Internet，则调查员必须控制此连接。

2.搜索计算机系统中包含的所有文件，包括加密文件、密码保护、隐藏或删除但未覆盖。调查人员应复制所有系统文件，包括计算机驱动器中包含的文件或外部硬盘驱动器中的文件。由于访问文件可以更改它，因此调查人员在搜索证据时应该只使用文件副本。原件应妥善保存，不可触摸。

3.使用可以搜索和检索已删除数据的应用程序，尽可能多地恢复已删除的信息。

4.搜索所有隐藏文件的信息

5.解码和访问受保护的文件

6.分析计算机驱动器上的特殊区域，包括通常难以到达的部分。

7.记录该过程的所有步骤。这对于调查人员提供证据证明他们的调查工作已经保护了计算机系统的信息而没有改变或损坏它们是非常重要的。一项调查和审判可能需要数年时间，如果没有真实的文件，证据甚至是不可接受的。 Robbins 认为，这些身份验证文件不仅包括从系统中恢复的文件和数据，还包括系统图纸以及文件被加密或隐藏的位置。

8.准备在法庭上为计算机取证作证。即使调查过程完成，他们的调查工作也没有完成。他们可能仍需出庭作证。

不要像你想的那样删除文件

每次你删除一个文件，你的电脑都会把这个文件转移到一个新目录。清空回收站时，计算机会通知您文件使用的空间已空。除非计算机将新数据写入驱动器的该部分，否则该文件将保留在那里。使用合适的软件，您可以找回未被覆盖的已删除文件。

所有这些步骤都很重要，但第一步是最重要的。如果调查人员无法控制整个计算机系统，他们找到的证据将不会被识别。这也是非常困难的。在计算机的早期，该系统仅由一台设备和几张软盘组成。今天，它包括很多计算机、驱动器、外部硬盘驱动器。

一些坏人试图让调查人员难以在他们的系统中找到信息。他们使用称为反取证的程序和应用程序。如果调查人员想要访问系统中的信息，则必须注意这些程序并找到删除它们的方法。

那么，什么是反取证？他们的目的是什么？

反取证

反取证可能是计算机调查人员的噩梦。开发人员设计反取证工具，使在调查过程中检索信息变得困难甚至不可能。本质上，反取证是指任何旨在使计算机难以调查的方法、工具或软件。

人们有很多不同的方式le 隐藏信息。某些程序可以通过更改文件头信息来欺骗计算机。标题通常对所有人隐藏，但当它通知计算机它所附加的文件类型时，它非常重要。如果你只是把一个mp3文件的名字改成'.gif'文件，电脑还是可以通过头信息知道它是一个mp3文件。某些程序允许您更改标题信息，以便计算机将其识别为另一个文件。寻找特定文件格式的调查员可能会忽略重要信息，因为它看起来与要搜索的信息无关。

其他程序可以将文件拆分为不同的小项目，并将每个项目隐藏在不同的文件中。不使用容量的文件称为松弛空间。使用正确的程序，您可以使用松弛空间隐藏这些文件。这使得检索和收集隐藏信息变得非常困难。

另外，可以将一个文件隐藏在另一个文件中。可执行文件-是识别为可能导致问题的程序的计算机文件。称为 packer 的程序可以将可执行文件嵌套到其他类型的文件中，而 binder 工具可以将许多可执行文件挂载在一起。

加密也是隐藏其他数据的一种方式。加密数据时，您可以使用复杂的算法使数据难以读取。例如，该算法可以将文本文件更改为一组无意义的数字和字符。想要读取数据的人需要能够打开密码，帮助将数字和字符转换为文本。如果没有密码，调查人员将不得不使用计算机程序来解锁密码。算法越复杂，在没有密码的情况下解码所需的时间就越长。

另一个反取证工具可以更改附加到文件的元数据-数据历史记录。元数据包含的信息与创建文件或上次更改文件时的信息相同。通常，您无法更改此信息，但有一些程序可以帮助用户更改附加到文件的元数据。想象一下检查数据日历并发现它说该文件在接下来的 3 年内不存在，而最后一次访问是一个世纪前。如果元数据已被销毁，则证明证据变得更加困难。

某些应用程序会在某人未经授权但仍故意访问系统的情况下删除数据。一些开发人员已经测试了取证计算机程序的工作原理，并尝试创建可以阻止和攻击程序的应用程序。如果法医计算机专家面对这样的人，他们将不得不非常小心和熟练地检索数据。

有些人用反取证来证明计算机数据容易受到攻击且不可靠。如果您不确定文件的创建时间、上次访问时间，或者即使它曾经存在，您如何在法庭上证明证据是合法的？尽管这仍然是一个有效的问题，但许多国家仍然接受计算机证据进行审判，尽管不同国家的证据标准不同。

那么，证据的标准是什么？

来自计算机的证据标准

" 全局思考，区域行动 "

计算机调查人员面临的一个挑战是，虽然计算机犯罪分子无国界，但法律也是如此。一件事在这个国家被认为是非法的，但在另一件事是合法的。此外，没有通用的国际标准来收集有关计算机的信息。一些国家试图改变这一点。包括美国、加拿大、法国、德国、英国、日本、意大利和俄罗斯在内的八国集团，统一了寻找高科技犯罪证据的六大共同点。这些事情的重点是保留原始证据。

在美国，法律涵盖计算机上证据的控制和使用。美国司法部有一本手册，名为《在刑事调查中搜索和扣押计算机和获取电子证据》(搜索、控制计算机和收集我们是罪犯的电子证据)。这本书解释了当调查人员被允许在搜索时使用计算机时，什么样的信息是可以接受的，在寻找证据时适用传闻法——从其他人那里听到的证词。

如果调查人员认为计算机系统仅用作存储设备，则不得扣押硬盘。这将限制事件的证据。或者，如果调查员 t暗示硬盘是证据，他们可以抓住硬盘并将其带到办公室。例如，如果计算机是财产被盗的证据，调查人员可能会没收硬盘。

为了能够在法庭上使用来自计算机的证据，原告必须验证这些证据。也就是说，原告必须证明提交给法庭的信息是来自被告计算机的证据，并且该信息被保留。

虽然人们经常承认篡改计算机数据是可能的并且非常简单。但是，美国法院并未完全从计算机中删除证据。相反，他们要求在删除之前证明这些证据是错误的。

审判正在考虑使用来自计算机的证据的另一件事是传闻。这是关于在法庭外发表的陈述的术语。在大多数情况下，法院不允许将传闻作为证据。法院已经考虑了计算机上的信息，这些信息在案件中不是传闻，因此被接受。如果计算机将陈述记录为电子邮件，法院在将其作为证据之前必须考虑这些陈述是否被认为是可靠的。法院将根据具体情况作出决定。

计算机取证在调查过程中使用了一些有趣的工具和应用程序。让我们在下一节中了解这些工具。

取证电脑工具

程序员已经创建了很多取证计算机应用程序。对于警察总部，使用这些工具的选择取决于预算和人力资源。

以下是一些在调查过程中有用的取证计算机程序和设备：

• 磁盘映像软件记录硬盘驱动器的结构和内容。使用该软件，可以轻松复制驱动器信息，并提供文件的组织方式和文件之间的关系。

• 软件或硬件写入工具逐位复制和重置硬盘驱动器。两种类型的工具都可以避免更改信息。有些工具要求调查人员先从嫌疑人的计算机中取出硬盘，然后再复制。

• 散列工具用于将硬盘驱动器中的原件与副本进行比较。该工具将分析数据并为其分配一个单独的编号。如果这个号码在原件上且副本相同，则此为原件。

• 调查人员使用数据恢复程序来搜索和恢复已删除的数据。这些程序定位计算机已标记为删除但尚未被覆盖的数据。有时，这也会影响尚未最终确定的文件，使其难以分析。

• 有几个程序旨在保护存储在 RAM 中的信息。与驱动器上的信息不同，存储在 RAM 中的数据在关机后会丢失。如果没有合适的软件，这些信息很容易丢失。

• 分析软件过滤驱动器上的所有信息以搜索特定信息。由于现代计算机可以存储千兆字节的数据，因此在计算机上手动搜索文件既困难又耗时。例如，一些分析程序搜索和评估 Internet cookie，帮助调查人员发现 Internet 上的可疑活动。其他一些程序允许调查人员在计算机系统中搜索特定的、有问题的信息。

• 当调查人员面对受保护的数据时，解密程序和密码破解软件很有用。

手机

手机也可以存储重要数据。从本质上讲，手机可以被认为是一台小型计算机。少数提供设备的法医计算机销售商可以复制移动内存中的所有数据并将其打印成报告。这些设备可以检索从消息到铃声的所有内容。

这些工具只有在调查人员正确遵循程序时才真正有用。否则，优秀的辩护律师可能会辩称，在调查计算机时收集的所有证据都是不可靠的。当然，仍然有少数反取证专家认为任何计算机上都没有证据r 完全可靠。

法院是否会继续接受来自计算机的、在法庭开庭时使用的可靠证据？ 反取证专家仍然认为，有人可以向法庭证明这些数据是合法的并且可以受到保护只是时间问题。 如果发生这种情况，法院将很难从案件的计算机或调查中核实证据。