什么是计算机取证

5.7.2　什么是计算机取证

计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点，使得计算机犯罪明显有别于传统的一般性刑事犯罪。存在于计算机及相关外围设备（包括网络介质）中的电子证据，已经成为新的诉讼证据之一，这对司法和计算机科学领域都提出了新的课题。作为计算机领域和法学领域的一门交叉科学——计算机取证学成为人们研究与关注的焦点。

有关计算机取证基本概念的讨论有很多，其中有代表性有如下几个。作为计算机取证方面的资深人士之一的Judd Robbins先生对此给出了如下的定义：计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应和取证咨询公司New Technologies进一步扩展了该定义，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司认为：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统以提取和保护有关计算机犯罪的证据。Sensei信息技术咨询公司则将计算机取证简单概括为对电子证据的收集、保存、分析和陈述。Enterasys公司的CTO、办公网络安全设计师Dick Bussiere认为：计算机取证，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜索确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术。

综合以上概念，我们认为，计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。取证的目的是找出入侵者，并解释入侵过程。

计算机取证遵循如下原则：

（1）尽早搜集证据，并保证其没有受到任何破坏；

（2）必须保证“证据连续性”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；

（3）整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作都应该受到由其他方委派的专家的监督。