网站原创[摘 要]随着信息技术的发展和普及,计算机经济犯罪也日益增多,特别是犯罪分子越来越多地使用技术手段来实施和掩护他们的犯罪活动并逃避拘捕.这就给计算机网络犯罪侦查机关提出了更高的挑战.为了保障国家信息安全,促进国家经济发展,维持社会稳定,掌握计算机犯罪的证据调查技术方法、策略,获取适格、充分的犯罪证据,对于打击计算机经济犯罪具有重大而现实的意义.
[关 键 词]计算机犯罪证据调查侦查策略
自从20世纪70年代,美国学者提出计算机网络安全的概念后,计算机网络安全已成为一个世界性的难题.随着世界经济的一体化、信息化,计算机广泛应用于经济等各个领域,随之而来的各种犯罪纷至沓来.计算机经济犯罪侦查学这门年轻的学科也应运而生,面对其他学科的竞争与挑战,计算机经济犯罪侦查学意欲何为,出路何在每一个有志于计算机经济犯罪侦查研究的学者都应该扪心自问,并进行深刻的反思.
一、计算机犯罪司法检验学(ComputerForensics)基本概念
目前,打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法.此过程涉及的技术便是目前人们研究与关注的计算机司法检验(ComputerForensics)技术,也称计算机取证技术.它是计算机领域和法学领域的一门交叉科学.目前有关计算机司法检验学(计算机取证)的定义也有多种,如LeeGarber在IEEESecurity发表的文章中认为,计算机取证是分析硬盘驱动、光盘、软盘、Zip和Jazz磁盘、内存缓冲,以及其他形式的储存介质以发现犯罪证据的过程.计算机取证资深专家JuddRobbins对此给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取.计算机紧急事件响应组和取证咨询公司NewTechnologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档.SANS公司则归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据.
因此,计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(ElectronicEvidence)的确定、收集、保护、分析、归档及法庭出示的过程.
电子设备中的一些信息可以直接作为证据使用.但由于电子信息是潜在的并且通常与大量无关的信息资料共同存在,有时信息已被删除.因此大多数情况下需要通过专门技术方法检验.此外,计算机司法检验可以通过科学技术方法证明一些电子证据的真实性.
二、计算机犯罪现场的保护和勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础.冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染.绘制计算机犯罪现场图、网络拓朴图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据.
必须保证“证据连续性”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化.
整个检查、取证过程必须是受到监督的.也就是说,所有调查取证工作,都应该有其他方委派的专家的监督.
积极要求证人、犯罪嫌疑人配合协作,从他们那里了解操作系统、储存数据的硬盘位置、文件目录等等.值得提及的是,计算机犯罪的一个特点是,内部人员作案比例较高,询问的当事人很可能就是犯罪嫌疑人.
1.分析数据
这是计算机取证的核心和关键.分析计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境.注意开机、关机过程,尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序.
分析在磁盘的特殊区域中发现的所有相关数据.利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹.通过将收集的程序、数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹.
2.追踪
上面提到的计算机取证步骤是基于静态的,即事件发生后对目标系统的静态分析.随着计算机犯罪技术手段升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证.整个取证过程将更加系统并具有智能性,也将更加灵活多样.
3.提交结果
打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息.标明提取时间、地点、机器、提取人及见证人.
计算机经济犯罪的认定和处罚主要在于计算机证据的收集,这也是“证据裁判主义”的基本要求.采取保护原始数据,使用拷贝,分析数据的计算机系统及辅助软件等网络侦查技术和方法去收集犯罪嫌疑人留下的痕迹、物证,对获取的证据妥善保存,不能存在使它发生损坏、更改等失去法律效力的事件.