取证学:计算机足迹 第四部分
引入专家:必要而非选择
尽管如今计算机技术无处不在,但这并不意味着人们对其工作原理的理解也随之提高。对计算机结构和运行机制的知识,并没有随着普及而同步增长。
现代信息技术的发展旨在简化用户与设备的互动,将技术细节隐藏起来。当前 IT 系统的理念是让人们远离对计算过程的直接管理。
技术的发展趋势是用户界面越来越抽象化——用户操作变得极其简便,而计算机的内部工作机制则超出了普通人的理解范围。
- 20 世纪 60 至 70 年代的用户以字节和逻辑运算为思维基础。
- 80 年代的用户使用符号和文件。
- 90 年代用户的思维转向了窗口、文件夹和事件。
- 当代用户通过“文档”、“存储”、“桌面”等概念进行交互。
对于大多数人而言,了解计算机内部过程并非必要——只需掌握基本操作界面。然而,对于计算机取证专家来说,仅有这些是不够的。
取证调查需要不同的方法
涉及计算机犯罪的调查,需要专家深入理解数字过程的本质。对信息系统运作细节了解越多,就越能发现用户行为留下的数字痕迹。
例如,在分析用户访问网站的痕迹时,没有专业知识的调查人员可能会误以为所有证据仅存在于用户设备和网站服务器上。但事实并非如此。
如果没有深入的知识,他们往往忽略了DNS 服务器的请求,尤其是本地解析器的访问,以及该解析器对其他 DNS 节点的递归请求。这些请求可能被记录在日志中,并可作为访问网站的重要证据。它们不仅仅是补充证据,更是独立且关键的证据来源。
一个简单行为背后留下的众多痕迹
即使是简单如打开网页的操作,也会在多个位置留下大量数字痕迹。书籍《取证学——计算机犯罪调查》中列举了十多种这类痕迹,从浏览器日志到网络活动无所不包。
为什么专家不可或缺
作者强调:在所有涉及计算机信息的侦查或调查中,IT 专家的参与不是可选项,而是必须的。
只有具备专业知识的人,才能:
- 发现隐藏的信息;
- 恢复看似丢失的数据;
- 揭露伪装成正常操作的欺骗行为。
此外,专家还能对用户手册和解释进行批判性分析,因为大多数用户仅在系统设定的层面上操作计算机,超出该层面的内容并不在他们的理解范围之内。
结论
在当今社会,关于计算机的表面知识不足以支撑严肃的调查。计算机取证专家是探索数字痕迹世界的引路人,没有他们,就无法真正理解信息系统中发生的事情。正是他们的知识和技能,使我们能在数字空间中揭示真相。