計算機犯罪是伴隨計算機的發明和廣泛應用而產生的新的犯罪類型。隨著計算機技術的飛速發展。計算機在社會中的應用領域急劇擴大。計算機犯罪的類型和領域不斷增加和擴展。使“計算機犯罪”這一術語隨著時間的推移不斷獲得新的涵義。 
1　什么是計算機犯罪 
　　在學術研究上．關于計算機犯罪迄今為止尚無統一的定義(大致說來，計算機犯罪概念可歸為五種：相關說、濫用說、工具說、工具對象說和信息對象說)。根據刑法條文的有關規定和我國計算機犯罪的實際情況，計算機犯罪是指行為人違反國家規定．故意侵入國家事務、國防建設、尖端科學技術等計算機信息系統，或者利用各種技術手段對計算機信息系統的功能及有關數據、應用程序等進行破壞。制作、傳播計算機病毒。影響計算機系統正常運行且造成嚴重后果的行為。 
　　利用計算機進行犯罪活動，無外乎以下兩種方式：一是利用計算機存儲有關犯罪活動的信息；二是直接利用計算機作為犯罪工具進行犯罪活動。計算機犯罪具有犯罪主體的專業化、犯罪行為的智能化、犯罪客體的復雜化、犯罪對象的多樣化、危害后果的隱蔽性等特點。使計算機犯罪明顯有別于傳統一般刑事犯罪。近年來，計算機犯罪案例呈逐年上升趨勢。給國家帶來不可估量的嚴重后果和巨大的經濟損失，甚至威脅到國家的安全，破壞了良好的社會秩序。所以，打擊利用計算機進行的犯罪，確保信息安全對于國家的經濟發展和社會穩定具有重大現實意義。為有效地打擊計算機犯罪，計算機取證是一個重要步驟。存在于計算機及相關外圍設備(包括網絡介質)中的電子證據已經成為新的訴訟證據之一。 
2　什么是計算機取證 
　　計算機取證又稱為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術，按照符合法律規范的方式進行證據獲取、保存、分析和出示的過程。從技術上，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。 
　　計算機取證包括物理證據獲取和信息發現兩個階段。物理證據獲取是指調查人員到計算機犯罪或入侵的現場，尋找并扣留相關的計算機硬件；信息發現是指從原始數據(包括文件，日志等)中尋找可以用來證明或者反駁的證據，即電子證據。與傳統的證據一樣，電子證據必須是真實、可靠、完整和符合法律規定的。 
2．1物理證據的獲取 
　　物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始數據不受任何破壞。無論在任何情況下，調查者都應牢記： 
　　(1)不要改變原始記錄； 
　　(2)不要在作為證據的計算機上執行無關的操作； 
　　(3)不要給犯罪者銷毀證據的機會； 
　　(4)詳細記錄所有的取證活動； 
　　(5)妥善保存得到的物證。 
　　若現場的計算機處于工作狀態。取證人員應該設法保存盡可能多的犯罪信息。由于犯罪的證據可能存在于系統日志、數據文件、寄存器、交換區、隱藏文件、空閑的磁盤空間、打印機緩存、網絡數據區和計數器、用戶進程存儲器、文件緩存區等不同的位置。要收集到所有的資料是非常困難的。關鍵的時候要有所取舍。如果現場的計算機是黑客正在入侵的目標。為了防止犯罪分子銷毀證據文件，最佳選擇也許是馬上關掉電源；而如果計算機是作案的工具或相關信息的存儲器。應盡量保存緩存中的數據。 
2．2信息發現 
　　取得了物理證據后。下一個重要的工作就是信息發現。不同的案件對信息發現的要求是不一樣的。有些情況下要找到關鍵的文件、郵件或圖片，而有些時候則可能要求計算機重現過去的工作細節(比如入侵取證)。 
　　值得注意的是。入侵者往往在入侵結束后將自己殘留在受害方系統中的“痕跡”擦除掉。猶如犯罪者銷毀犯罪證據一樣，盡量刪除或修改日志文件及其它有關記錄。殊不知一般的刪除文件操作，即使在清空了回收站后，若不將硬盤低級格式化或將硬盤空間裝滿，仍可將“刪除”的文件恢復過來。在Windows操作系統下的windows swap(page)fde(一般用戶不曾意識到它的存在)大概有20-200M的容量，記錄著字符處理、Email消息、Internet瀏覽行為、數據庫事務處理以及幾乎其它任何有關windows會話工作的信息。另外。在windows下還存在著fde slack，記錄著大量Email碎片(Fragments)、字符處理碎片、目錄樹鏡像(snapshot)以及其它潛在的工作會話碎片。以上這些都可以利用計算機取證軟件來收集。事實上�，F在的取證軟件已經具有了非常好的數據恢復能力，同時，還可以做一些基本的文件屬性獲得和檔案處理工作。 
　　數據恢復以后。取證專家還要進行關鍵字的查詢、分析文件屬性和數字摘要、搜尋系統日志、解密文件等工作。由于缺乏對計算機上的所有數據進行綜合分析的工具，所以，信息發現的結果很大程度上依賴于取證專家的經驗。這就要求一個合格的取證專家要對信息系統有深刻的了解。掌握計算機的組成結構、計算機網絡、操作系統、數據庫等多方面的相關知識。 
　　最后取證專家據此給出完整的報告。將成為打擊犯罪的主要依據，這與偵查普通犯罪時法醫的角色沒有區別。 
3一些取證工具的介紹 
在計算機取證過程中。相應的取證工具必不可少，常見的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，鏡像工具等。在國外計算機取證過程中比較流行的是鏡像工具和專業的取證軟件。下面以EnCase作為一個計算機取證技術的案例來分析。EnCase是目前使用最為廣泛的計算機取證工具，至少超過2000家的去律執行部門在使用它。EnCase是用C++編寫的容量大約為1M的程序，它能調查Windows，Macintosh，Anux，Unix或DOS機器的硬盤，把硬盤中的文件鏡像或只讀的證據文件。這樣可以防止調查人員修改數居而使其成為無效的證據。為了確定鏡像數據與原的數據相同。EnCase會與計算機CRC校驗碼和MD5臺希值進行比較。EnCase對硬盤驅動鏡像后重新組織文件結構，采用Windows GUI顯示文件的內容。允許調查員使用多個工具完成多個任務。 
　　在檢查一個硬盤驅動時，EnCase深入操作系統底層查看所有的數據——包括file slack．未分配的空司和Windows交換分區（存有被刪除的文件和其它潛生的證據)的數據。在顯示文件方面，EnCase可以由多種標準，如時間戳或文件擴展名來排序。此外．EnCase可以比較已知擴展名的文件簽名。使得調查人員能確定用戶是否通過改變文件擴展名來隱藏證據。對調查結果可以采用html或文本方式顯示。并可打印出來。 
　　在計算機取證的過程中還有一種常用的方法是在被入侵的系統上巧妙地設立HoneyPot，模擬先前被入侵的狀態來捕獲入侵者的信息，即采用誘敵深入的計策達到取證的目的。 
　　HoneyPot和Honeynet都是專門設計來讓人“攻陷”的網絡。一旦被入侵者攻破，入侵者的一切信息、工具都將被用來分析學習。 
　　通常情況下，HoneyPot會模擬常見的漏洞。而Honeynet是一個網絡系統，而非某臺單一主機。這一網絡系統隱藏在防火墻后面，所有進出的數據都受到關注、捕獲及控制。這些捕獲的數據可被用來研究分析入侵者使用的工具、方法及動機。轉
4　當前計算機取證技術的局限和反取證技術
　　計算機取證的理論和軟件是近年來計算機安全領域內取得的重大成果。然而，在實際取證過程中。我們發現目前的計算機取證技術還存在著很大的局限性。首先，有關犯罪的電子證據必須沒有被覆蓋：其次，取證軟件必須能夠找到這些數據。并能知道它代表的內容。但從當前軟件的實現情況來看。許多取證分析軟件并不能恢復所有被刪除的文件。
　　正是由于技術上的局限性。使得一些犯罪分子認為有機可乘。因此在取證技術迅速發展的同時．一種叫做反取證的技術也悄悄出現了。反取證技術就是刪除或隱藏證據，使取證調查無效�，F在反取證技術主要分為三類：數據擦除、數據隱藏、數據加密。這些技術還可結合使用，使取證工作變得很困難。
　　數據擦除是最有效的反取證方法。它清除所有的證據。由于原始數據不存在了。取證自然就無法進行。數據隱藏僅在取證者不知道到哪里尋找證據時才有效。為逃避取證，犯罪者還把暫時不能刪除的文件偽裝成其他類型的文件或把他們隱藏在圖形或音樂文件中。也有人將數據文件隱藏在磁盤的隱藏空間中。
　　加密文件的作用是我們所熟知的。對可執行文件的加密是因為在被入侵主機上執行的黑客程序無法被隱藏，而黑客又不想讓取證人員有方向地分析出這些程序的作用，因此，在程序運行前先執行一個文本解密程序。來解密被加密的代碼。而被解密的代碼可能是黑客程序。也可能是另一個解密程序。
　　此外，黑客還可以利用Root Kit(系統后門、木馬程序)，繞開系統日志或利用盜竊的密碼冒充其他用戶登陸。這些反取證技術給取證工作帶來極大的困難。
5　結束語
　　在各種各樣的計算機犯罪手段與信息安全防范技術對壘的形勢下。目前的研究多著眼于入侵防范對于入侵后的取證技術的研究相對滯后。僅僅通變現有的網絡安全技術打擊計算機犯罪已經不能夠適應當前的形式。因此需要發揮社會和法律的力量去對付計算機和網絡犯罪。計算機取證學的出現和矗用是網絡安全防御理論走向成熟的標志。也是相多法律得以有效執行的重要保障。

參考文獻：
【1】高銘喧主編<新編中國刑法學>1998年版
【2】蔣平主編‘計算機犯罪問題研究)2000年版
[3] Robbim J.An Explanation of Computer Foremics http//www.computerforensics/forensics htm
[4]Farmer D,Venema W Computer Foremics Analysis Class Handouts.