电子数据取证工具的发展研究

(一)电子数据取证工具的作用

电子数据取证工具指的是确保调查数字犯罪时保护证据的完整性、可靠性等所使用的一些辅助工具。电子数据取证工具在证据科学层面的意义为:运用取证工具实现符合法律程序要求的调查取证过程，通过对电子数据的固定、恢复、提取、保全、分析等，最后生成符合司法规范的证据分析报告。^[1]

取证工具对于电子数据取证而言，美国数字调查专家Warren G.Kruse II和Jay G.Heiser在《计算机取证:应急响应精要》书中曾经作过如下描述:“取证调查的成功与否有很大一部分取决于调查人员使用的收集、保存和处理证据的工具。为了在这一领域中取得成功，你必须拥有大量的工具……”^[2]取证人员是否拥有足够多的、适合高效的取证工具，在很大程度上影响着电子数据取证的成功。

(二)电子数据取证工具的发展(www.xing528.com)

20世纪80年代，计算机取证的研究就引起了研究机构(尤其是美国军方)的重视，电子数据取证开始被业界重视的重要标志是FBI在1984年成立的计算机分析响应组(CART)。在这个时期，计算机取证的理论、技术和方法从无到有并被逐步建立。20世纪90年代中期，司法机关对电子数据的收集技术、相关的取证工具的需求较为强烈，学术界也较为热烈地讨论数字取证技术，也产生了一批相关取证工具产品。^[3]在这个阶段，学术上一些数据挖掘、智能推理、神经网络、知识发现等方法被引入该领域的技术研究方面，与此同时，受商家和所应用的技术所驱动，取证工具的开发和使用成为此领域的热点。

在此期间，比较典型的工具产品有:美国GUIDANCE软件公司开发的Encase软件，适用于Windows、Linux和MAC OS等多种平台；美国计算机取证公司开发的对数据进行镜像的备份系统的DIBS软件；英国Vogon公司开发的Flight Server软件，适用于PC、Mac和Unix等系统。还有一些常用的工具，例如，将软盘镜像备份到硬盘上的LISTDRV，用于对数据分析的DISKIMAG；搜索未分配的或者空闲的空间，并能将搜索得到的信息传到指定文件的FREESECS等。^[4]

随着对电子数据取证需求的加大，国内外相关厂商陆续开发出越来越多的取证工具，如数据恢复工具、在线取证工具、数字终端设备取证工具、密码破解工具、数据的关联分析工具、不同操作系统平台的取证工具，等等。整体来说，在电子数据取证早期阶段，有许多非专用的取证工具，如网上开源代码、资深调查专家针对特定案件情形编写代码等，后期一些厂商也将这些非专用取证工具进行强化或集成开发成专用的取证工具，比较典型的取证工具有Encase、FTK等。