取证的技术手段有哪些

‘壹’ 计算机犯罪及取证技术都有什么

法律分析：计算机犯罪及取证技术有：1.现场勘查类技术，包括数据的复原技术、数据监控技术、数据加解密技术等；2.证据分析类技术，工作重点是对已收集的证据进行检查和分析，找出与犯罪行为的关联关系，以证明案件事实；3.证据保全类技术，对已获取的证据进行保管，并确保其数据完整性、保密性、抗抵赖性不被破坏。

法律依据：《中华人民共和国刑法》 第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

‘贰’ 经侦调查取证方法

法律分析：在被害人提出或有关人员愿意指证的情形时，及时向证人了解案情。由于侵犯商业秘密罪的行为方式大多具有隐蔽性的特点，一般人员不易了解到其犯罪行为。但是一些内部人员如技术人员、涉密信息场所保卫人员等都可能掌握有关案件线索，包括犯罪嫌疑人、作案时间和作案方式等方面的信息，这对于案件的侦查是很重要帮助作用。以上证人证言对于证明涉案信息具有秘密性和管理性起直接证明的作用。

法律依据：《中华人民共和国刑事诉讼法》 第一百一十二条 民法院、人民检察院或者公安机关对于报案、控告、举报和自首的材料，应当按照管辖范围，迅速进行审查，认为有犯罪事实需要追究刑事责任的时候，应当立案；认为没有犯罪事实，或者犯罪事实显着轻微，不需要追究刑事责任的时候，不予立案，并且将不立案的原因通知控告人。控告人如果不服，可以申请复议。

‘叁’ 计算机取证技术论文(2)

计算机取证技术论文篇二
计算机取证技术研究

摘要：随着计算机和 网络技术 的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。

关键词：计算机取证 数据恢复 加密解密 蜜罐网络

随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。

计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。

一、计算机取证的特点

和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点：

1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。

2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性操作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等操作，而这些操作很可能就会对现场造成原生破坏。

3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。

4.人机交互性。计算机是通过人来操作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的操作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的 思维方式 、行为习惯来通盘考虑，有可能达到事半功倍的效果。

二、计算机取证的原则和步骤

(一)计算机取证的主要原则

1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。

2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。

3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。

4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。

(二)计算机取证的主要步骤

1.现场勘查

勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。

2.获取电子证据

包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的操作和文件覆盖替换掉。

3.保护证据完整和原始性

取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。

4.结果分析和提交

这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。

三、计算机取证相关技术

计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。

(一)基于单机和设备的取证技术

1.数据恢复技术

数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际操作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。

2.加密解密技术

通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有：密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。

3.数据过滤和数据挖掘技术

计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。

(二)基于网络的取证技术

基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术：

1.IP地址和MAC地址获取和识别技术

利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。

MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺骗”木马，就是通过修改IP地址或MAC来达到其目的的。

2.网络IO系统取证技术

也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定事件的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。

3.电子邮件取证技术

电子邮件使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中插入任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。

4.蜜罐网络取证技术

蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等操作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺骗服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。

参考文献：

[1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3).

[2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6).


看了“计算机取证技术论文”的人还看：

1. 计算机犯罪及取征技术的研究论文

2. 安卓手机取证技术论文

3. 计算机安全毕业论文

4. 计算机安全论文

5. 计算机安全论文范文

‘肆’ 技术侦查手段有哪些

法律分析：技术侦查措施，是指侦查机关为了侦破特定犯罪行为的需要，根据国家有关规定，经过严格审批，采取的一种特定技术手段。技术侦查行为即是运用技术侦查措施的侦查行为。通常包括电子侦听、电话监听、电子监控、秘密拍照、录像、进行邮件检查等秘密的专门技术手段。

法律依据：《中华人民共和国刑事诉讼法》第一百五十条 公安机关在立案后，对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件，根据侦查犯罪的需要，经过严格的批准手续，可以采取技术侦查措施。人民检察院在立案后，对于利用职权实施的严重侵犯公民人身权利的重大犯罪案件，根据侦查犯罪的需要，经过严格的批准手续，可以采取技术侦查措施，按照规定交有关机关执行。追捕被通缉或者批准、决定逮捕的在逃的犯罪嫌疑人、被告人，经过批准，可以采取追捕所必需的技术侦查措施。

‘伍’ 证据收集的方法

法律分析：收集证据的方法有:

(一)询问。询问是指执法机关或者律师要求当事人、证人或者鉴定人陈述自己了解的案情。

(二)讯问。讯问是指执法机关要求违法行为人、犯罪嫌疑人或者刑事被告人如实交代案情的方法。

(三)辨认。辨认是要求被害人或者证人在若干类似的物品、场所或者人中，挑选出自己曾经所见所闻的部分。

(四)勘验。勘验是指执法人员亲临现场，发现和提取证据的专门活动。

(五检查。检查是指执法机关依法对与案件有关的人身进行检验的专门活动。

(六)搜查。搜查是指执法机关依职权对与案件有关的场所或者人身进行强制性的寻查、寻找和提取证据材料的专门活动。

(七)实验。实验是指执法机关模拟再现犯罪现场、犯罪过程或者案件发生过程的专门活动，主要适用于刑事案件。

(八)鉴定。鉴定是指专门的机构或者人员利用，其专业技术知识和科学技术设备鉴定，对有关的专门问题进行检测，并作出鉴定结论的活动。

法律依据：《中华人民共和国刑事诉讼法》 第五十条 可以用于证明案件事实的材料，都是证据。证据包括:

(—)物证;

(二)书证;

(三）证人证言;

(四）被害人陈述;

(五）犯罪嫌疑人、被告人供述和辩解;

(六)鉴定意见;

(七）勘验、检查、辨认、侦查实验等笔录;

(八)视听资料、电子数据。

证据必须经过查证属实，才能作为定案的根据。

‘陆’ 技术侦查手段有哪些

法律分析：技术侦查手段通常包括电子侦听、电话监听、电子监控、秘密拍照、录像、进行邮件检查等秘密的专门技术手段。

法律依据：《中华人民共和国刑事诉讼法》 第一百五十条 公安机关在立案后，对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件，根据侦查犯罪的需要，经过严格的批准手续，可以采取技术侦查措施。 人民检察院在立案后，对于利用职权实施的严重侵犯公民人身权利的重大犯罪案件，根据侦查犯罪的需要，经过严格的批准手续，可以采取技术侦查措施，按照规定交有关机关执行。 追捕被通缉或者批准、决定逮捕的在逃的犯罪嫌疑人、被告人，经过批准，可以采取追捕所必需的技术侦查措施。

‘柒’ 调查取证有哪些方法

调查取证的方法：

1、询问。询问是指执法机关或者律师要求当事人、证人或者鉴定人陈述自己了解的案情。询问是任何案件中都经常使用的证据收集措施和方法。

2、讯问。讯问是指执法机关要求违法行为人、犯罪嫌疑人或者刑事被告人如实交代案情的方法。讯问的对象限于行政处罚案件中的违法行为人和刑事案件中的犯罪嫌疑人或被告人。讯问的主体限于执法机关，不包括律师。

3、辨认。辨认是要求被害人或者证人在若干类似的物品、场所或者人中，挑选出自己曾经所见所闻的部分。辨认的主体可以是案件中的被害人和证人，辨认的对象可以是案件中的犯罪嫌疑人或者与案件有某种关联的人，也可以是与案件有关的物品或场所。

4、勘验。勘验是指执法人员亲临现场，发现和提取证据的专门活动。勘验主体限于执法机关，律师无权进行勘验。从收集证据的角度来讲，勘验一方面是发现和提取各种物证的重要途径，另一方面勘验笔录本身也是证据的种类之一。

5、检查。检查是指执法机关依法对与案件有关的人身进行检验的专门活动。检查的对象是活人的身体，又称为人身检查。人身检查笔录是其主要的证据形式。

6、搜查。搜查是指执法机关依职权对与案件有关的场所或者人身进行强制性的寻查、寻找和提取证据材料的专门活动。搜查的对象可以是场所，也可以是人身，还可以是车船等物体。搜查是发现和提取各种物证、书证的重要途径，搜查笔录本身是证据的种类之一。

7、实验。实验是指执法机关模拟再现犯罪现场、犯罪过程或者案件发生过程的专门活动，主要适用于刑事案件。在其他种类的案件中，也可能需要用这种再现性实验方法来查明事故的原因或验证当事人或证人的陈述。

8、鉴定。鉴定是指专门的机构或者人员利用，其专业技术知识和科学技术设备鉴定，对有关的专门问题进行检测，并作出鉴定结论的活动。

(7)取证的技术手段有哪些扩展阅读：

调查取证的原则：

一、围绕委托人主张的权利进行的原则

民事诉讼要解决的是原、被告双方存在争议的事实，而要解决争议，必须靠证据证明。只有调查取证围绕着争议事实进行，由此取得的证据与争议事实具有直接的因果关系，才有证明力。否则，即属于无用证据。

二、客观、及时原则

由于案件李实是客观存在的，因此，证明案件事实的证据也应当是客观的。作为诉讼证据，必须是客观存在的事实。无论物证、书证或人证，都不能将虚构的事实和推测、假设后得出的言论写成材料当成证据。

为此，律师在调查取证过程中，一定要注意收集、调取与争议事实有直接因果关系或者客观关联的证据。

三、、合法、细致原则

代理律师收集证据应当依照《律师法》、《民事诉讼法》及其他法律、法规的相关规定进行。合法收集证据是保证证据具有证明力的前提。违法收集的证据不能作为。细致，是指代理律师在调查取证的过程中，要细致认真，不能马虎行事。

要收集或者提取到与证明案件有直接因果关系的各种证据。如，当证人回答询问的内容含糊不清时，代理律师应当明察细问，问出与案件有直接因果关系的内容，并作简单、明了的记录。

调查和提取物证时，应以原物为主。如果提取原物确有困难，可以提取复制品;对有可能发生变质、毁灭的物证，应采取相应的保全措施。对书证也应收集和提取原件；提交给法庭时，先交复印件，法庭审判时再提交该书证的原件等。

‘捌’ 公安调查取证6种方法

公安调查取证的6种方法如下：
1、自行取证或委托律师调查取证。企业自身当然最为了解其自由的商业秘密的有关情况，例如企业自身所想要保护的信息的秘密点，因此企业自身最为取证这无可厚非，但由于商业秘密案件对证据的要求较高，对于取证的范围和方式等企业可能无法较好的把握，故企业可以选择聘请专业的律师来帮助完成取证工作；
2、公证机关进行公证保全。公证取证就是以公证机关的公信力，将权利人取证的过程记录下来，将取得的证据封存在公证机关，在诉讼时提交法庭，作为诉讼的证据；
3、向法院申请证据保全。在证据可能灭失或者以后难以取得的情况下，诉讼参加人可以向人民法院申请保全证据。提出诉前证据保全申请，应当以书面形式，且一般应在举证期限届满前提出；
4、申请法院调查取证；
5、向工商行政机关申请调查取证。商业秘密权利人发现商业秘密被侵犯时，可以根据规定向各级工商行政管理机关申请查处；
6、通过公安机关调查取证。公安机关是我国法定的侦查案件的机关，拥有强大的侦查力量体、先进的技术设备，丰富的侦查经验，国家赋予其侦查权力。
【法律依据】
《中华人民共和国刑事诉讼法》
第二条 中华人民共和国刑事诉讼法的任务，是保证准确、及时地查明犯罪事实，正确应用法律，惩罚犯罪分子，保障无罪的人不受刑事追究，教育公民自觉遵守法律，积极同犯罪行为作斗争，维护社会主义法制，尊重和保障人权，保护公民的人身权利、财产权利、民主权利和其他权利，保障社会主义建设事业的顺利进行。第三十六条 法律援助机构可以在人民法院、看守所等场所派驻值班律师。犯罪嫌疑人、被告人没有委托辩护人，法律援助机构没有指派律师为其提供辩护的，由值班律师为犯罪嫌疑人、被告人提供法律咨询、程序选择建议、申请变更强制措施、对案件处理提出意见等法律帮助。
人民法院、人民检察院、看守所应当告知犯罪嫌疑人、被告人有权约见值班律师，并为犯罪嫌疑人、被告人约见值班律师提供便利。

‘玖’ 破案手段有哪些

破案手段如下：(一)技术侦查手段
技术侦查手段是指在侦办各类犯罪案件中，为获取有关犯罪案件的各种情报、信息、资料等，由专业人员通过专门程序所依法秘密采用的专有技术、方法、手段和措施。
(二)刑事技侦手段
运用技侦手段发现和揭露犯罪，是世界各国侦查机关同犯罪作斗争的普遍做法。
(三)技术侦查措施
技术侦查措施，是指侦查机关为了侦破特定犯罪行为的需要，根据国家有关规定，经过严格审批，采取的一种特定技术手段。技术侦查行为即是运用技术侦查措施的侦查行为。通常包括电子侦听、电话 监听、电子监控、秘密拍照、录像、进行邮件检查等秘密的专门技术手段。
法律依据
《中华人民共和国刑事诉讼法》第五十二条 审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。严禁刑讯逼供和以威胁、引诱、欺骗以及其他非法方法收集证据，不得强迫任何人证实自己有罪。必须保证一切与案件有关或者了解案情的公民，有客观地充分地提供证据的条件，除特殊情况外，可以吸收他们协助调查。