(一)电子数据取证发展
电子数据取证成立于20世纪70年代,其发展阶段可以分为:婴儿期(1985—1995年),儿童期(1995—2005年),青春期(2005—2010年),新时期(2010—至今)。[4]在婴儿期,个人电脑的普及和Internet网的出现带来了大量的计算机犯罪。参与取证的人员数量和人员所涉及的专业训练均较少,取证目标主要是大型机、个人计算机、公司的数据记录和计算机辅助欺诈[5],在取证技术方面主要以数据恢复技术为主。在儿童期,取证目标从独立的个人计算机扩大到网络入侵、数据解密等专业化领域,出现了基于Windows界面取证工具,如Expert Witness、Encase、FTK、iLook、ACES等;基于Linux取证工具,如TSK、SMART、HELEX等,与此同时,网络取证技术和内存取证技术和对应的取证工具都得到了发展。
在青春期,取证目标更加多样化,取证的对象不仅包括文件系统、网络,还包括手机、MP3、PDA,以及网络社交系统、手机游戏平台、电子邮件、商业业务记录系统等。新时期(2010—至今),以云计算、大数据和物联网等为代表的新一代技术扩大了取证对象的范围。
(二)取证技术的定义及发展
取证技术被定义为数字取证技术(Digital Forensics)、电子取证技术(Electric Forensics)、计算机取证技术(Computer Forensic)、网络取证技术(Networks Forensics)、计算机网络取证技术、Internet取证技术、云取证技术等,其定义的角度各不相同。
“数字取证”这个术语是在2001年召开的数字取证研讨会上被提出并被建议使用的,用来描述本领域的所有内容,其后“数字取证”就成为了学术界普遍接受的技术性名词。数字取证指的是使用合法、合理、规范的技术或手段,从计算机或其他数字设备中对电子数据进行提取、固定、保存、分析和出示的过程。维基百科指出计算机取证、移动设备取证、取证数据分析、数据库取证等构成了数字取证。[6](www.xing528.com)
随着互联网应用的普及和网络犯罪案件的增多,相关的取证定义也由早期的传统计算机取证发展到了数字取证和网络取证。网络取证指的是通过对网络数据流、审计迹、主机系统日志等进行实时监控和分析,发现对网络系统的入侵行为,自动记录犯罪证据,并阻止入侵行为对网络系统的进一步入侵。[7]网络取证主要侧重于对网络流及其他网络数据的监测、收集以及分析。网络取证一是通过网络取证技术监测、评估异常的网络数据流与非法访问,二是通过网络取证技术对存在于计算机、相关外设以及网络数据流中的数据,进行捕获、重组、解析、分析和归档,找到入侵者或入侵源,重构入侵场景,为法庭提供可信的、可靠的、有说服力的电子数据。[8]
后来随着先进的虚拟存储管理技术和互联网技术的发展,云存储和云计算正成为互联网发展的前沿并得到广泛的应用。云取证指的是通过科学原理,技术实践、推导和可验证的方法来进行电子数据的获取、保存、分析和出示,并重建过去的云计算环境中的事件。[9]Ruan等人将云取证定义为在云计算环境下应用的数字取证,是网络取证的一个子集[10],如图6-1所示。
图6-1 数字取证、网络取证、云取证之间的关系
总的来说,数字取证与当前发展中的网络取证、云取证一起成为电子数据取证的研究对象。数字取证的取证对象主要是计算机、数字设备及其依附于其上的电子数据。网络取证及云取证的取证对象主要是网络流及其他网络数据。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
