电子证据与数字取证技术

电子证据与数字取证技术 电子证据与数字取证技术 2008-07-11 15:48:07 来源：警察网     文/ □李俊莉     随着计算机及网络技术的高速发展和广泛应用，计算机网络在金融系统日益普及，电子商务电子政务的应用逐渐的扩大，利用计算机进行的各种经济犯罪也在日趋增加。计算机犯罪专家唐·帕克说，将来，计算机犯罪作为一种特定的犯罪类型可能会不复存在，所有的经济犯罪都将是计算机犯罪，因为各种工商活动都离不开计算机。 数字证据与数字取证的定义 　　数字证据是指任何使用计算机存储和传输的数据，用于支持和反驳犯罪发生的推测，或者用于表述诸如动机、犯罪现场等的犯罪关键要素。一般情况数字证据与电子证据经常交替使用。 　　数字取证主要是对电子证据识别、保存、收集、分析和呈堂，从而揭示与数字产品相关的犯罪行为或过失。利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据，电子证据的正确定义是制定电子证据的规则和原则，是电子证据的可采纳性、证明力、归类及其审查判断的重要依据。电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。 　　计算机犯罪取证也被称为计算机法医学，是指把计算机看做犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学，正逐渐成为人们关注的焦点。 　　电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。证据一经生成，会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中，客观真实地记录了案件事实情况。但由于计算机数字信息存储、传输不连续和离散，容易被截取、监听、剪接、删除，同时还可能由于计算机系统、网络系统、物理系统的原因，造成其变化且难有痕迹可寻。刑事电子证据的特点要求数字取证应遵循电子证据的特点，严格执行证据规则，客观、真实、合法，利用专门工具、专业人士取证保证，司法活动合法、高效、公正。 数字证据存在的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 　　1.数字证据只是片断或摘要。计算机在工作时产生数据冗余只是人们操作电脑的一部分，对于鼠标的电击，键盘的敲打是记录不下来的。所以记录的数字证据只是片断或摘要。 　　2.容易被改变。所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 ，是否进行了修改，在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链，认定犯罪事实。 　　3.模糊的证据形式。我国《刑事诉讼法》中明确规定七种形式的证据：物证、 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定结论；勘验、检查笔录；视听资料。对于日益增多的计算机犯罪案件中，只能使具体的情况把电子证据作为视听资料、物证或者书证使用，以便让电子证据具有法律根据，在公安、检察、法院三家认定上也有不同的看法，从而使得在一些案件中即使抓住了犯罪嫌疑人，在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。 利用数字证据进行调查推理 　　（一）封存涉案计算机和各种资料 　　为保证涉案计算机系统中数据证据的原始完整性，应在备份完成后，封存涉案的计算机及其相关的设备。其中包括各种打印结果、存储介质、工作日志等。对不能停止运行的计算机系统，如果要求必须在短时间内恢复运行则应采用镜像备份，并将系统的状态及环境等进行详细的记录。 　　（二）收集相关资料进行关联分析 　　刑事侦查人员和计算机作业技术人员一同收集一切与案件有关资料，清理现场，提取证据，进行关联分析。 　　（三）时间性分析   同时创建时间表，排除犯罪嫌疑人和划定重点嫌疑人，各时间段日志文件的记录事件，刑事侦查人员调查和询问知情人、犯罪嫌疑人分析时间性信息，并要求犯罪嫌疑人提供计算机系统相关的所有信息。 　　（四）对照分析 　　利用一些支持软件和对备份的数据来分析案件发生前后系统的状态、日志记录以及数据的情况，提交分析结果。 数字取证技术 　　 　　目前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化，计算机犯罪取证还需要更高的技术。 　　（一）数据复制技术 　　数据复制包括数据备份、数据镜像、拍照、摄像等。如，具有视听资料的证据，可以采用拍照、摄像的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 对取证全程进行拍照、摄像，增加证明力、防止翻供。案发后，通过数据镜像将备份迅速恢复到另一台主机上，在映像上进行分析工作要比在原件上操作更安全。 　　（二）信息加密技术 　　信息加密是信息安全的主要 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 之一，是通过密钥技术，来保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性。数据加密技术是所有网络上通信安全所依赖的基本技术。有三种方式：链路加密方式、节点对节点加密方式和端对端加密方式。链路加密方式是一般网络通信安全主要采取这种方式。链路加密方式把网络上传输的数据报文每一个比特进行加密。不但对数据报文正文加密，而且把路由信息、校验和等控制信息全部加密。端对端加密方式由发送方加密的数据在没有到达最终目的地接受节点之前是不被解密的，加解密只是在源、目的节点进行。端对端加密方式是将来的发展趋势。 　　（三）数据复原技术 　　电子证据复原即对不同程度上数据的破坏所进行的恢复，及不可见区域数据的恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，较难篡改。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏时，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。 　　（四）数据截取技术 　　数据截取是指在犯罪者进行计算机犯罪的同时，侦查人员利用某些技术把犯罪证据进行截获的技术。数据截取就是通过传输介质进行截取，数据传输分为有线传输和无线传输，在有线传输中采用网络监听，网络监听需要主机网卡设置为混杂模式，主机就能接受本网段内在统一物理通道上传输的所有信息，来获取本某次通信中的信息。常用的工具由Sniffer、TCP Dump。无线传输通道的截获是通过电磁波捕获。通过对捕获的证据进行分析作为犯罪证据。 　　（五）数据欺骗技术 　　进行数据欺骗所采取的手段主要是陷阱和伪装等。通过构造一个虚拟等系统、服务或环境诱骗攻击者对其发起进攻。这种方式多用于网络攻击中的证据的获取，在攻击者不知情的情况下，取证系统就潜伏在这里记录下攻击者完整的攻击流程、路径等取得证实攻击或入侵行为的有力证据。蜜罐和迷网就是广泛使用的陷阱工具。 　　（六）数字签名技术和数字时间戳技术 　　数字签名和数字时间戳都可以证明数据有效性的内容。通常要进行时间标记的信息内容包括：被调查机器的硬盘的映像文件、关机前被保留下来的所有信息、在收集证据过程中得到的证据、在可疑机器上得到的调查结果、调查人员每天得到的副本等。 　　（七）扫描技术 　　扫描技术可分为主机扫描和网络扫描。端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中，如Superscan和X-scan。端口扫描是通过与目标系统的TCP/IP端口连接，并查看该系统处于监听或运行状态的服务。漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。 　　随着数字取证技术和安全技术的融合发展，数字取证技术有效地抑制了网络安全事件和计算机犯罪的发生，我们的网络世界将会愈来愈安全和谐。