電子取證特性及電子取證方法_第1頁(yè)
電子取證特性及電子取證方法_第2頁(yè)
電子取證特性及電子取證方法_第3頁(yè)
電子取證特性及電子取證方法_第4頁(yè)
電子取證特性及電子取證方法_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

電子取證特性及電子取證方法信息社會(huì)使我們?nèi)谌肓藬?shù)字世界,信息網(wǎng)絡(luò)改變了人們的工作、生活模式。這種信息載體的革命性變革也引發(fā)了諸多法律問(wèn)題,與訃算機(jī)相關(guān)的訴訟不斷出現(xiàn),一種新的證據(jù)形式一一電子證據(jù)成為人們研究與關(guān)注的焦點(diǎn)。電子證據(jù)即為電子數(shù)據(jù)證據(jù),也被稱作汁算機(jī)證據(jù)、數(shù)據(jù)證據(jù)、網(wǎng)上證據(jù)等。電子證據(jù)一般理解為電子數(shù)據(jù)形成的證據(jù),通常是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。它是現(xiàn)代信息社會(huì)產(chǎn)生的新的證據(jù)種類。電子證據(jù)的承載介質(zhì)是包括硬盤(pán)、軟盤(pán)、光盤(pán)等在內(nèi)的il?算機(jī)軟、硬件,毫無(wú)疑問(wèn)它具有一般證據(jù)所具有的客觀存在性,既是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的,同時(shí)它乂具有自身的特殊性。掌握了電子證據(jù)獨(dú)特的性質(zhì),有助于我們?cè)诠残畔⒕W(wǎng)絡(luò)安全監(jiān)察工作中解決和排除涉及電子證據(jù)的收集、審查、質(zhì)證、采信等方面的困難和障礙。電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸,都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等,離開(kāi)了高科技含量的技術(shù)設(shè)備,電子證據(jù)就無(wú)法保存和傳輸,所以電子證據(jù)的形成具有高科技性;電子證據(jù)實(shí)質(zhì)上是一堆按編碼規(guī)則處理成的“0”和“1”的二進(jìn)制信息,是通過(guò)看不見(jiàn)摸不著的訃算機(jī)語(yǔ)言記載的,其數(shù)據(jù)是以磁性介質(zhì)保存,它乂具有無(wú)形性;電子數(shù)據(jù)以“比特”的形式存在,是非連續(xù)的,…改動(dòng)、偽造不易留下痕跡,數(shù)據(jù)或信息被人為地篡改后,如果沒(méi)有可對(duì)照的副本、映像文件則難以查清、難以判斷,電子證據(jù)還表現(xiàn)為易改動(dòng)性;人為的惡意刪除、誤操作、電腦病毒、電腦故障等等原因,均有可能造成電子證據(jù)的消失,電子證據(jù)乂呈現(xiàn)易消失性;電子證據(jù)綜合了符號(hào)、編碼、文本、圖形、圖像、動(dòng)畫(huà)、音頻及視頻等多種媒體信息,其外在表現(xiàn)形式具有多樣性;此外,電子證據(jù)還具直觀性強(qiáng)、收集迅速、易于保存、傳送方便、占用空間少、復(fù)制后可反復(fù)重現(xiàn)、便于操作等特性。電子證據(jù)的上述性質(zhì),決定了其取證過(guò)程有別于許多傳統(tǒng)的取證方法,它對(duì)司法和訃算機(jī)科學(xué)領(lǐng)域都提出了新的研究課題。作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交義科學(xué),電子證據(jù)取證正逐漸成為人們研究與關(guān)注的焦點(diǎn)。電子證據(jù)取證應(yīng)遵循及時(shí)性、合法性、全面性、專業(yè)人士取證、潛在證人協(xié)助、利用專門(mén)技術(shù)工具等原則,要考慮電子證據(jù)的生成、電子證據(jù)的傳送與接收、電子證據(jù)的存儲(chǔ)、電子證據(jù)的收集這四個(gè)方面的因素,才能保證電子證據(jù)的真實(shí)性、合法性。在快播一案中,我們第一次接觸電子數(shù)據(jù)取證,印象最深刻的就是電子證據(jù)對(duì)系統(tǒng)的依賴性使得在收集電子證據(jù)時(shí),不能僅收集電子證據(jù),還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明。因?yàn)殡娮幼C據(jù)的真實(shí)程度和能證性很大程度上取決于所依賴系統(tǒng)的質(zhì)量和性能等方面的因素,只有借助于高靈敬度、高性能、高質(zhì)量的技術(shù)設(shè)備,才能獲得高度真實(shí)和能證性強(qiáng)的電子證據(jù)。如果電子證據(jù)的內(nèi)容使用質(zhì)量低劣、性能極差的設(shè)備記錄下來(lái)的,就不能反映案件事實(shí)發(fā)生的全過(guò)程,;即使是高質(zhì)量的設(shè)備,如果使用時(shí)介質(zhì)超過(guò)了其本身的性能程度也會(huì)出現(xiàn)差誤和失真。因此,對(duì)電子證據(jù)存在的系統(tǒng)和技術(shù)設(shè)備的性能及可靠程度,必要時(shí)需要系統(tǒng)管理人員、證據(jù)制作人就相關(guān)情況作出證明。其次,電子證據(jù)的脆弱性可能導(dǎo)致證據(jù)被篡改、破壞及復(fù)制,這就要求對(duì)在收集電子證據(jù)時(shí)一定要保證收集的證據(jù)符合可采性的要求,一般而言,要求收集的電子證據(jù)是原件。英美證據(jù)法的最佳證據(jù)規(guī)則就要求在證明書(shū)面文件(包括錄音、照片或者X光片等)的內(nèi)容時(shí),除非有例外情況,當(dāng)事人必須出示原件作為證據(jù),這一規(guī)則同樣適用于電子證據(jù)。但就電子證據(jù)而言,復(fù)制件也是可以作為證據(jù)使用的。因?yàn)樵O(shè)立最佳證據(jù)規(guī)則的最初LI的在于防止錯(cuò)誤或欺詐行為,理山主要是書(shū)面文件復(fù)制件的精確性不高,但對(duì)于可以精確復(fù)制的電子證據(jù)來(lái)說(shuō),復(fù)制件與其本身具有相同效力,完全可以將其視為原件。美國(guó)聯(lián)邦證據(jù)規(guī)則笫1001條對(duì)原件的解釋就是:“文件或錄音的原件即該文字或錄音資料本身,或者山制作人或簽發(fā)人使其具有與原件同等效力的副本、復(fù)本。照片的原件包括底片或任何由底片沖洗出來(lái)的照片等。如果數(shù)據(jù)儲(chǔ)存在電腦或類似設(shè)備中,任何從電腦中打印或輸出的能準(zhǔn)確反映有關(guān)數(shù)據(jù)的可讀物均為原件?!痹⒉槐厝皇窃募驍?shù)據(jù)本身,只要是能夠準(zhǔn)確反映電子文件或數(shù)據(jù)內(nèi)容的輸出物都可以被視為原件。依此種解釋,在不具有法律規(guī)定的例外情況下,最佳證據(jù)規(guī)則并不構(gòu)成電子證據(jù)在訴訟中應(yīng)用的障礙,最佳證據(jù)規(guī)則完全適用于電子證據(jù)。我國(guó)《關(guān)于行政訴訟證據(jù)若干問(wèn)題的規(guī)定》第64條也對(duì)電子郵件等新類型證據(jù)作出規(guī)定:“以有形載體固定或顯示的電子數(shù)據(jù)交換、電子郵件以及其他數(shù)據(jù)資料,其制作情況和真實(shí)性經(jīng)過(guò)對(duì)方當(dāng)事人確認(rèn),或以公證等其他有效方式予以證明的,與原件具有同等的證明效力。”《關(guān)于民事訴訟證據(jù)的若干規(guī)定》笫22條規(guī)定:“調(diào)查人員調(diào)查收集計(jì)算機(jī)數(shù)據(jù)或者錄音、錄像等視聽(tīng)資料的,應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體。提供原始載體確有困難的,可以提供復(fù)制件。提供復(fù)制件的,調(diào)查人員應(yīng)當(dāng)在調(diào)查筆錄中說(shuō)明其來(lái)源和制作經(jīng)過(guò)?!痹俅?,電子證據(jù)的可挽救性及隱蔽性,決定了收集電子證據(jù)的活動(dòng)要全面、綜合地進(jìn)行,運(yùn)用高科技手段檢測(cè)是否有隱藏文件及硬盤(pán)中是否有被刪除的證據(jù),或依當(dāng)事人舉證,可確認(rèn)或推知文件曾在該存儲(chǔ)介質(zhì)中存放,但之后乂被刪除,則可以對(duì)其運(yùn)用相關(guān)技術(shù)恢復(fù)。對(duì)于恢復(fù)刪除文件的證明力,應(yīng)大于未被刪除的文件。因電子證據(jù)的這種特點(diǎn),取證主體在取證時(shí)是不應(yīng)只局限于已發(fā)現(xiàn)和收集的證據(jù),還要對(duì)磁盤(pán)中已被刪除但可恢復(fù)的文件進(jìn)行收集,以盡可能地查明案件事實(shí)。在看過(guò)了兒個(gè)案例之后,我們通過(guò)作業(yè)和實(shí)驗(yàn)的形式,進(jìn)一步的了解了電子取證的技術(shù)。理解了電子取證過(guò)程中的各個(gè)技術(shù)細(xì)節(jié)。為保證涉案計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)證據(jù)的原始完整性,應(yīng)在備份完成后,封存涉案的汁算機(jī)及其相關(guān)的設(shè)備。其中包括各種打印結(jié)果、存儲(chǔ)介質(zhì)、工作日志等。對(duì)不能停止運(yùn)行的訃算機(jī)系統(tǒng),如果要求必須在短時(shí)間內(nèi)恢復(fù)運(yùn)行則應(yīng)采用鏡像備份,并將系統(tǒng)的狀態(tài)及環(huán)境等進(jìn)行詳細(xì)的記錄。刑事偵查人員和計(jì)?算機(jī)作業(yè)技術(shù)人員一同收集一切與案件有關(guān)資料,清理現(xiàn)場(chǎng),提取證據(jù),進(jìn)行關(guān)聯(lián)分析。同時(shí)創(chuàng)建時(shí)間表,排除犯罪嫌疑人和劃定重點(diǎn)嫌疑人,各時(shí)間段日志文件的記錄事件,刑事偵查人員調(diào)查和詢問(wèn)知情人、犯罪嫌疑人分析時(shí)間性信息,并要求犯罪嫌疑人提供計(jì)算機(jī)系統(tǒng)相關(guān)的所有信息。利用一些支持軟件和對(duì)備份的數(shù)據(jù)來(lái)分析案件發(fā)生前后系統(tǒng)的狀態(tài)、日志記錄以及數(shù)據(jù)的情況,提交分析結(jié)果。LI前,計(jì)算機(jī)取證所面臨的問(wèn)題是入侵者的犯罪手段和犯罪技術(shù)的變化,計(jì)算機(jī)犯罪取證還需要更高的技術(shù)。包括數(shù)據(jù)復(fù)制技術(shù)、信息加密技術(shù)、電子證據(jù)復(fù)原技術(shù)、數(shù)據(jù)截取技術(shù)、數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)等。數(shù)據(jù)復(fù)制包括數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照、攝像等。如,具有視聽(tīng)資料的證據(jù),可以釆用拍照、攝像的方法對(duì)取證全程進(jìn)行拍照、攝像,增加證明力、防止翻供。案發(fā)后,通過(guò)數(shù)據(jù)鏡像將備份迅速恢復(fù)到另一臺(tái)主機(jī)上,在映像上進(jìn)行分析工作要比在原件上操作更安全。信息加密是信息安全的主要措施之一,是通過(guò)密鑰技術(shù),來(lái)保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性。數(shù)據(jù)加密技術(shù)是所有網(wǎng)絡(luò)上通信安全所依賴的基本技術(shù)。有三種方式:鏈路加密方式、節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密方式和端對(duì)端加密方式。鏈路加密方式是一般網(wǎng)絡(luò)通信安全主要采取這種方式。鏈路加密方式把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文每一個(gè)比特進(jìn)行加密。不但對(duì)數(shù)據(jù)報(bào)文正文加密,而且把路山信息、校驗(yàn)和等控制信息全部加密。端對(duì)端加密方式山發(fā)送方加密的數(shù)據(jù)在沒(méi)有到達(dá)最終LI的地接受節(jié)點(diǎn)之前是不被解密的,加解密只是在源、LI的節(jié)點(diǎn)進(jìn)行。端對(duì)端加密方式是將來(lái)的發(fā)展趨勢(shì)。電子證據(jù)復(fù)原即對(duì)不同程度上數(shù)據(jù)的破壞所進(jìn)行的恢復(fù),及不可見(jiàn)區(qū)域數(shù)據(jù)的恢復(fù)。大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能,有些重要的數(shù)據(jù)庫(kù)安全系統(tǒng)還會(huì)為數(shù)據(jù)庫(kù)準(zhǔn)備專門(mén)的備份。這些系統(tǒng)一般是山專門(mén)的設(shè)備、專門(mén)的操作管理組成,較難篡改。因此,當(dāng)發(fā)生計(jì)算機(jī)犯罪,其中有關(guān)證據(jù)已經(jīng)被修改、破壞時(shí),可以通過(guò)對(duì)自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過(guò)的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù),獲取定案所需證據(jù)。數(shù)據(jù)截取是指在犯罪者進(jìn)行計(jì)算機(jī)犯罪的同時(shí),偵查人員利用某些技術(shù)把犯罪證據(jù)進(jìn)行截獲的技術(shù)。數(shù)據(jù)截取就是通過(guò)傳輸介質(zhì)進(jìn)行截取,數(shù)據(jù)傳輸分為有線傳輸和無(wú)線傳輸,在有線傳輸中采用網(wǎng)絡(luò)監(jiān)聽(tīng),網(wǎng)絡(luò)監(jiān)聽(tīng)需要主機(jī)網(wǎng)卡設(shè)置為混雜模式,主機(jī)就能接受本網(wǎng)段內(nèi)在統(tǒng)一物理通道上傳輸?shù)乃行畔?,?lái)獲取本某次通信中的信息。常用的工具111Suffer、TCPDump。無(wú)線傳輸通道的截獲是通過(guò)電磁波捕獲。通過(guò)對(duì)捕獲的證據(jù)進(jìn)行分析作為犯罪證據(jù)。進(jìn)行數(shù)據(jù)欺騙所采取的手段主要是陷阱和偽裝等。通過(guò)構(gòu)造一個(gè)虛擬等系統(tǒng)、服務(wù)或環(huán)境誘騙攻擊者對(duì)其發(fā)起進(jìn)攻。這種方式多用于網(wǎng)絡(luò)攻擊中的證據(jù)的獲取,在攻擊者不知情的情況下,取證系統(tǒng)就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實(shí)攻擊或入侵行為的有力證據(jù)。蜜罐和迷網(wǎng)就是廣泛使用的陷阱工具。數(shù)字簽名和數(shù)字時(shí)間戳都可以證明數(shù)據(jù)有效性的內(nèi)容。通常要進(jìn)行時(shí)間標(biāo)記的信息內(nèi)容包括:被調(diào)查機(jī)器的硬盤(pán)的映像文件、關(guān)機(jī)詢被保留下來(lái)的所有信息、在收集證據(jù)過(guò)程中得到的證據(jù)、在可疑機(jī)器上得到的調(diào)查結(jié)果、調(diào)查人員每天得到的副本等。掃描技術(shù)可分為主機(jī)掃描和網(wǎng)絡(luò)掃描。端口掃描技術(shù)和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的兩種核心技術(shù),并且廣泛運(yùn)用于當(dāng)前較成熟的網(wǎng)絡(luò)掃描器中,如Su

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論