当今，随着信息技术的发展，计算机越来越多的被应用在我们日常的工作和生活中，成了我们身边不可缺少的帮手。而网络技术的快速发展，使计算机可以连接到不同的网络，进行互联互通、信息共享，它给我们带来便利的同时，以计算机信息系统为犯罪对象和以计算机信息系统为犯罪工具的各类新型犯罪活动也接踵而来。犯罪主体的专业化、犯罪行为的智能化、犯罪客体的多样化使得计算机犯罪明显有别于传统一般刑事犯罪。但是，计算机犯罪与现实生活中的其他犯罪一样，在犯罪现场会留下各种痕迹和物证，所不同的是，这些痕迹和物证是数字化的。为了有效的打击计算机网络犯罪的行为，则必须在实施犯罪行为发生后及时获取这些重要的痕迹物证，作为对计算机犯罪实施者进行打击的有效证据。 

　　一、计算机网络犯罪和网络取证工作现状。 

　　据我国公安机关的统计，1999年公安机关立案侦查的计算机违法犯罪案件仅为400余起，2000年剧增为2700余起，2001年达到4500余起，2005年上半年已达15673起（其中90%以上的计算机违法犯罪案件牵涉网络）。可见，计算机网络犯罪可谓滋生蔓延、越演越烈。 

　　网络取证工作现状：随着计算机网络的快速发展，犯罪嫌疑人的网络技术水平也越来越高，要侦破此类案件，需要依赖特定的技术装备和有较高计算机水平的侦查人员。而目前， ，侦查机关普遍都存在缺少受过专业训练并掌握相关侦查技术的侦查人员，现有人员缺乏计算机网络知识。这些因素导致计算机网络取证工作在侦查和取证方面，都存在着一定的困难。（一）侦查难。计算机网络犯罪主体多种多样，犯罪手段花样翻新，犯罪行为隐蔽性强，而且作案时间短、传播速度快、不易被人发现。由于犯罪现场留下的痕迹是“数字化”痕迹，计算机网络犯罪现场也不像传统犯罪现场那么明确。这些无疑会加大侦查计算机网络犯罪案件的难度。（二）取证难。计算机系统内各种数据资料形态各异，使人不易察觉到计算机系统内发生的变化。侦查人员在计算机网络犯罪现场对本地计算机硬盘或其它网络存储介质进行取证时，可能误入犯罪嫌疑人设计好的圈套，收集到被篡改的证据；另一方面，由于目前计算机网络取证技术尚未成熟，存在局限性，犯罪嫌疑人由此采用了一些反取证技术，如数据擦除、数据隐藏和数据加密，只需敲击几下键盘，在很短时间内就可以销毁犯罪记录，这些都大大增加了对计算机网络犯罪进行调查取证的难度。 

　　二、计算机网络取证 

　　（一）网络取证技术概述 

　　计算机取证也称为计算机法医学，是指对存在于计算机及相关外部设备中的计算机犯罪证据进行确定、获取、分析和提取，以及在法庭出示的过程。计算机取证学是法学、计算机科学和刑事侦查学的交叉学科，它实质上是一个重建整个入侵事件的过程，可以分为两个阶段：第一阶段是侦查人员在到达犯罪现场后，扣留相关计算机硬件设备；第二阶段是从计算机存储介质，如硬盘、光盘、可移动磁盘、内存等各种形式的存储介质中寻找计算机犯罪证据，获取并保存。 

　　（二）取证的主要方法 

　　计算机取证的方法就是计算机取证过程中涉及的具体措施、具体程序、具体方法。计算机取证的方法非常多，而且在计算取证过程中通常又涉及到证据的分析，取证与分析两者很难完全孤立开来，所以对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证。一类是来源取证，一类是事实取证。 

　　1、来源取证 

　　所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址，则寻找IP地址便是来源取证。这类取证中，主要有IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。 

　　2、事实取证 

　　事实取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据，例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。 

　　文件内容调查指的是在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。 

　　使用痕迹调查包括windows运行的痕迹（包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查）、上网记录的调查（缓存、历史记录、自动完成记录、浏览器地址栏下拉网址， ，Cookies，index.dat文件等等）、Office，realplay和mediaplay的播放列表及其它应用软件使用历史记录。 

　　（三）计算机网络取证常用技术 

　　要有效打击犯罪必须使用与犯罪分子所用技术相当或更先进的技术，在计算机网络取证中，采用的技术涉及到计算机各种技术，根据当前取证实践，经常采用到的技术可归纳为以下几种： 

　　1、数据挖掘技术 

　　计算机与计算机网络中存储和传输着大量的数据，然而由于计算机系统受周边环境、系统的硬件设施、网络黑客等诸多影响，其数据往往具有不确定性，为了消除这种不确定性因素，在计算机中常采用校验或者备份的思想来保证计算机系统内数据确定。

　　2、数据恢复技术 

　　由于网络犯罪群体往往都具有一定的计算机技术，在他们实施一次网络犯罪行为后，总是千方百计销毁或更改遗留在系统中的信息，这种毁灭证据的方式可能有两种，一种是悄悄地比较隐蔽的方式，删除相关的信息；另外是一种野蛮的方式，例如，格式化对应系统的硬盘，或者通过传播病毒的方式破坏硬盘的分区等等。在这种情况下，恢复原来系统的状态，特别是恢复原来系统的数据，确保取得相关的数字证据是非常必要的。数据恢复技术正是把病毒破坏、分区表损坏、磁道损坏、硬盘逻辑锁、FAT表损坏、误删除、误格式化、无法启动、系统密码遗忘而无法正确进入系统并取得数字证据的状态恢复过来。 

　　3、数据重构技术 

　　数据重构技术是也跟数据恢复技术类似，它是把恶意或损害的数据恢复到其原始的状态。但是重构技术与恢复技术不同的是，它使用逻辑推理，把残缺不全的各种数据证据进行对比分析，从而在理论上模拟原始状态的技术。例如，通过文件碎片信息、缓存信息推断系统历史状态、历史数据等过程。 

　　4、数据分析技术 

　　通过对数字证据的处理、排序、分组、转换等各种数字处理技巧把数字证据的各种不同的格式转化为一个比较直观的、或结论性的能满足侦查需要的一种数据。 

　　四、结束语 

　　目前，从网络攻击技术发展趋势可以看出，网络攻击自动化和集成度越来越高，同时在海量数据流中搜索证据的工作量也越来越大，这给计算机网络取证带来了更多的困难。由此可以预测，证据提取的自动化、操作的简单化将是计算机网络取证技术的发展方向。本文对计算机网络取证的概念、方法、技术、工具等方面进行了介绍，并结合具体实例对计算机网络取证技术进行了说明。就目前而言，计算机网络取证还很不成熟，有很多的问题需要计算机专家们研究探讨，但可以看出，计算机网络取证已经成为强化网络安全防范和打击网络犯罪的有效手段，它也将会越来越完善，越来越成熟，必将成为今后打击计算机网络犯罪的利器。