国外电子证据及计算机法证技术发展近况

国外电子证据及计算机法证技术发展近况
Sprite


国外在电子证据方面的发展状况究竟如何呢？我们可以通过国外民间机构在计算机法证方面的研究了解到一些情况。

目前，对于电子数据的研究，主要有几个不同术语：E-Discovery和Computer Forensics、Digital Forensics、Cyber Forensics，这些不同的术语，可以看出电子数据主要涉及重要数据的发现、分析、证明和揭示几个环节。

在国际各国，电子证据的主要应用单位是军队、警察、海关、反贪、金融、税务、律师、保险等部门。这些部门虽然是最主要的应用部门，但是由于各个行业涉及到计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多，因此越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。下面，从几个方面来看国外计算机法证和电子证据研究的状况。

1．与电子证据相关的硬件产品发展速度减慢
美国、英国，是开展电子证据研究最早的国家，国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。近3-5年间，是国际电子证据研究硬件产品发展最为鼎盛的时期，从各种硬盘复制机速度从1.8GB到3GB不断攀升，写保护接口从单一的IDE硬盘接口，到SCSI、SATA、USB、火线种类层出不穷，PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样，出现了皮箱型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始，国际各国计算机法证相关硬件产品发展速度渐缓，除简单的升级换代之外，没有什么更有创意的新产品出现。

2．法证分析软件层出不穷
与硬件发展缓慢相对应，国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件已经发展了若干年，基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错，从4.0、5.0到6.0版，差不多每年推出一个版本。相比之下，美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年，终于问世了。这个庞大的系统对计算机的要求也实在有些高。

最近1年来，国际上最有发展潜质的要算得上是德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的fbi Forensic Desktop了。从欧洲、美国、澳大利亚这些计算机法证技术的一流国家来说，这两个软件的出现可以说明显推动了冷清的市场。国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力，快速的升级服务，X-ways Forensics立刻在世界各地受到热烈欢迎。

而fbi Forensic Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，fbi已经成为名副其实的法证工具。


3．计算机法证领域逐步拓宽
从多年来主要关注的PC、互联网、局域网，到今天的MAC、数码相机、手机和iPod，电子证据的研究领域已经越来越广泛。2007年开始，世界计算机法证界最热的大概就是三个话题：手机和MAC和Vista。

当今社会，计算机虽然已经非常普及，但也只能平均几个人才能拥有一台，但手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国个行业不得不必须全力应对。值得一提的是中国上海盘石公司、厦门美亚柏科、韩国FinalData公司，都针对亚洲地区手机型号开展研究，这些研究成果不在欧美国家之下。韩国FinalData公司开发的FinalMobileForensics一上市，就得到美国联邦调查局等机构的关注，经测试，得到的相关部门的认可。目前，该软件在美国、日本、韩国开始销售。

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生的影响，使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。

Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro，更成为今年计算机法证领域创新和高性能的代表。

Linux下的Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家，他开发了第一个计算机法证工具Expert Witness，后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart，的确有其独到之处。国际上有句说法：“Smart people don't use Encase”。一语双关。使用Smart的人，也都是“聪明的人”

世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，中国香港、中国台湾、韩国、日本、新加坡等地区，计算机法证技术发展非常迅速。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。

而国内，作为唯一一个计算机法证民间团队，中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入，相信国内专业人士将能够更全面地了解国际计算机法证技术的发展，从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。