第1章 计算机取证的基本概念
随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中,与计算机相关的法庭案例也不断出现。一种新的存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。人们每天面对大量的计算机犯罪案例,如商业机密信息的窃取与破坏、计算机欺诈、对政府或金融网站的破坏等,这些案例的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中获取信息。电子证据本身和取证过程存在许多有别于传统物证和取证的特点,它们对司法和计算机科学领域都提出了新的挑战。2001年6月8日至22日,在法国图鲁兹城召开的为期5天的第十三届全球FIRST(Forum of Incident Response and Security Teams)年会上,入侵后的系统恢复和分析取证成为此次大会的主要议题。由此可见,作为计算机领域和法学领域的一门交叉学科——计算机取证(Computer Forensics)正逐渐成为计算机**领域一个新的研究热点。
在计算机犯罪手段与网络**防御技术不断升级的形势下,单靠网络**技术打击计算机犯罪不可能非常有效,因此需要发挥社会和法律的强大威力来对付网络犯罪,计算机取证正是在这种形势下产生和发展的,它标志着网络**防御理论的成熟。
1.1 计算机取证的基本概念
1.1.1 计算机取证的定义
什么是计算机取证?计算机取证**专家Robbins给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提取上。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络**协会SANS则归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
……