计算机主机系统取证基本原则

（1）依法取证原则。在进行取证和司法鉴定活动时，需要主体、对象、方法和过程四要素同时存在合法性时，才能确保证据的合法性。计算机取证的合法主体应包含合法的调查人员以及具备法定取证和司法鉴定资格的取证技术专家。所谓对象合法，是指对涉案的电子设备以及被怀疑与案件事实相关联的电子信息进行明确的取证范围规定，不能随意取证与案件无关的数据信息，避免侵犯所有人或者权利人的隐私权、商业秘密等合法权益。

（2）无损原则以及多备份取证原则。无损原则就是在取证过程中要保持涉案设备运行环境等全部信息的完整性，不能对其进行任何修改操作。在进行收集存储介质中电子证据时，应当采用镜像技术进行备份，保证原始数据的完整性，多备份原则就是对电子证据媒体进行多次备份，原始媒体用于保存，复制品用于取证操作和分析操作。

（3）及时性和准确性原则。由于电子证据是从信息系统运行过程中自动生成的实时文件中提取的，如果超过一定的时间，这些文件信息就可能会发生变化，因此在确定取证对象后，应尽快进行证据搜集。准确性原则要求取证人员在取证过程中一定要认真仔细，严格按照规定操作，获取真实的结果，保证信息的准确无误。

（4）全面取证原则。要求在计算机取证过程中，对电子证据的来源进行全面的取证。环境安全原则，要求取证、分析和保存的环境保持对电子数据存储介质的安全，远离高磁场、高温、潮湿、静电、灰尘等不利因素。

（5）过程监督和严格管理原则。计算机取证和电子证据分析提取的全过程应有专人或者技术专家进行实时监督，电子证据进行移交、保管、开封、拆卸等操作时也应严格管理、详细记录。

计算机主机信息隐秘取证面临的问题和发展趋势

计算机主机信息隐秘取证面临的问题主要包括：缺乏科学、规范、有效的计算机取证过程。虽然出台了部分规定说明了计算机犯罪案件现场证据取证工作的原则，但是尚未对具体的操作过程进行详细的规范，因此很容易造成不科学的取证操作，导致电子证据的可信度下降，非法收集的证据在法庭上无价值。二是，海量数据信息分析难度大。目前计算机硬盘容量与日俱增，大容量硬盘造成了计算机证据存储状态多样，表现形式复杂，分析难度极大。三是，取证软件不足。目前国内自主研发的计算机取证软件程序并不成熟，而引进的国外软件又不适应国情，目前取证过程中通常使用一些临时自制的小程序，或者是手工操作，使提取的证据价值度、可信度大打折扣。计算机主机信息隐秘取证虽然发展时间很短，但是由于现代化犯罪技术的出现，计算机取证技术的需求也随之增加，未来计算机取证技术的发展更加专业，需要设计成为系列软件，建立一套完整的电子数据提取体系。由于数据量信息的爆炸式增长，未来的计算机取证技术也需要设计自动化、集成化。随着互联网技术的发展，很多犯罪行为都是在异地实施，互联网操作，因此计算机取证技术更趋向于网络化、隐蔽化。

计算机主机隐秘信息取证系统分析

国内常见的计算机隐秘信息取证系统软件，主要有金诺网安介质取证系统、美亚柏科中文取证平台。通常计算机隐秘信息取证系统包含数十个子模块，分别对数据信息进行采集、分析、加工和传输。其中计算机主机取证平台是整个取证系统的主体部分，主要包括自动隐藏和自动加载模块、卸载模块、文档数据取证模块、取证数据隐蔽存储模块、取证数据回传模块。自动隐藏与自动加载模块是整个取证系统的开端，它的成功运行是整个计算机隐秘信息系统正常运行的基础。这一模块重点要注意隐蔽性，对程序的进程进行隐蔽，对自身的文件进行伪装，同时程序需要具备自动启动、意外关闭自动启动功能，以及防病毒软件躲避功能。自动卸载模块的功能实现关键是卸载组建的顺序和卸载过程的隐蔽性。自动卸载模块接到卸载指令后，应先将所有保存在主机上的文本证据进行删除清理，然后再卸载所有的功能模块，完成注入痕迹的清除。文档数据取证模块是整个取证软件的核心，所有的取证操作都是通过这个模块来完成的。通过这个模块主要获取4类数据信息：主机的重要文档、移动接入设备的数据、主机EFS密码证书和登陆型密码文档。取证数据隐蔽存储模块是对主机取证模块获取的证据信息进行初步的处理和保存，在取证数据隐蔽存储的模块中主要包含4种功能：首先是对获取的数据进行加密，然后进行隐蔽存储，控制好存储文件大小，最后是使用动态配置功能对取证数据信息进行管理。取证数据回传模块是连接主机取证平台和取证管理平台之间的通道。取证数据回传模块的设计重点是绕过目标主机上的防火墙将数据信息回传到取证管理平台的自动通讯设备上，实现取证数据的自动获取。计算机主机信息隐秘取证系统是一个集数据收集、分析、传送和远程控制为一体的完整系统。主要由主机取证平台和取证管理平台两个部分组成，其中主机取证平台可以用接触方式或者网络方式植入到目标主机中，在目标主机上隐蔽运行，通过自动加载、自动卸载、文档数据取证、取证数据隐蔽存储和取证数据隐蔽回传来实现电子证据收集。

计算机动态隐秘取证系统的主要数据结构和性能分析

（1）取证部分主要数据结构包括：Fileheaders结构，SocketPacket结构，ThirdPartyParam结构，TransferParam结构，TrojanNetwork类几个部分组成，其中Fileheaders结构的主要功能是获取取证文件的文件名以及文件大小等信息；SocketPacket结构的主要功能是传递诸如IP地址、端口号以及sock结构此类信息给相关的功能函数；ThirdPartyParam结构主要功能是存放第三方服务器的信息，比如IP地址、端口等；TransferParam结构，主要功能是读取第三方服务器中取证平台的IP地址以及端口号等信息；TrojanNetwork类中封装了取证部分的所有网络操作程序，以及相关变量定义。

（2）取证平台部分主要数据结构和类包括：FileHead－er结构，TransferParam结构，ClientPacket结构，clsServ－erNetwork类，TFormConfigPort类，TForm3rdConfig类几个部分。其中TFormConfigPort类是绑定取证平台侦听端口时用到的窗口类；TForm3rdConfig类是配置第三方Web服务器时用到的窗口类；另外TransferParam结构、FileHeader结构的定义和功能与上述取证中所使用的相同。ClientPacket链表结构主要功能是传递客户端信息给线程函数，每接收到一个客户端的连接信息，都会在管理平台中产生一个ClientPacket结构加入到链表中。clsServerNetwork类封装了取证平台中所有网络操作的功能和变量定义。

（3）通过实际操作可以看出，计算机主机隐秘信息取证设计不论从取证，还是从取证平台的数据通信来看都具有很高的隐蔽性。该技术下获取的证据文件与源文件完全一致，具有很高的可靠性，而且取证部分和取证平台部分都能够长期无人值守运行，具有很高的系统可靠性。取证和平台进行连接后，程序就会自动传送列表文件和证据文件，如果有移动储存设备连入被取证的主机，程序就会自动启动传输原始文件列表的操作，及时地将列表文件传送至取证平台，因此计算机动态隐秘取证系统还具备实时性和自动性的特点。计算机取证不仅仅是计算机科学方面的技术问题，同时也是法学方面的问题，因此这种操作和程序设计，不仅要满足技术上的要求和功能实现，更需要符合法学上规定的计算机取证原则和相关取证规范。因此，日后的计算机主机隐秘信息取证技术会朝着静态取证和动态取证相结合、单机取证和网络取证相结合，取证过程更加规范、取证分析更加智能、证据归档自动化等方向深入发展、不断完善，形成更加完整、规范、全面的计算机取证体系。

作者：黎彩薇单位：广东省肇庆市鼎湖区人民政府信息中心