計算機犯罪與取證

計算機犯罪與取證參考資料《計算機取證技術》陳龍等主編武漢大學出版社2007年3月《計算機犯罪與防控》張?zhí)忑?、徐偉主編中國地質大學出版社2008年6月《數(shù)據恢復技術與典型案例》扈新波主編電子工業(yè)出版社2007年5月課程簡介

本課程將結合案例，主要從計算機犯罪的定義、發(fā)展趨勢以及防治體系三方面講解計算機犯罪。在此基礎上，介紹計算機取證的原則和基本的法律、法規(guī)理念，全面闡述計算機取證的基本原理與技術，以及相關取證軟件的使用方法。問題中國網民人數(shù)是多少？網民中占主體結構的人群是哪些？通過網絡做什么？是否遇到計算機病毒或木馬？是否使用安全軟件？背景截至2010年6月，中國網民規(guī)模達到4.2億人，互聯(lián)網普及率攀升至31.8%。網民規(guī)模較2009年底年增長3600萬人，中國網民規(guī)模依然保持快速增長之勢。

——CNNIC互聯(lián)網統(tǒng)計報告中國大陸網民規(guī)模與互聯(lián)網普及率網民職業(yè)結構網民收入結構網絡應用使用率排名和類別是否遇到病毒或木馬攻擊半年有59.2%的網民在使用互聯(lián)網過程中遇到過病毒或木馬攻擊，遇到該類不安全事件的網民規(guī)模達到2.5億人。

是否遇到賬號或密碼被盜2010年上半年，有30.9%的網民賬號或密碼被盜過，網絡安全的問題仍然制約著中國網民深層次的網絡應用發(fā)展。手機網民應用情況最常使用的電腦安裝安全軟件情況網民對生活形態(tài)語句的總體認同度計算機犯罪概念廣義說：計算機犯罪———通常是指所有涉及計算機的犯罪。如：歐洲經濟合作與發(fā)展組織的專家認為:“在自動數(shù)據處理過程中任何非法的、違反職業(yè)道德的、未經過批準的行為都是計算機犯罪。”我國刑法學者有人認為:“凡是故意或過失不當使用計算機致使他人受損失或有受損失危險的行為,都是計算機犯罪。”

思考竊取一臺未啟封的微型計算機的行為（A）一般的盜竊行為（B）計算機犯罪計算機犯罪概念相關說優(yōu)點是全面缺點是外延不清“相關”有不同的形態(tài)（如直接相關，間接相關，必然相關，偶然相關）

計算機犯罪概念狹義說：計算機犯罪———通常是對計算機資產本身進行侵犯的犯罪。例如：我國有學者認為,“計算機犯罪是指利用計算機操作所實施的危害計算機信息系統(tǒng)(包括內存數(shù)據及程序)安全的犯罪行為”計算機犯罪概念技術說認為與計算機技術知識不可分離的犯罪就是計算機犯罪優(yōu)點是認定犯罪時裁量的自由度比較大，而且體現(xiàn)了技術型的計算機犯罪的智能性特征缺點是計算機技術知識的認定是一個難題通過打砸、放火、爆炸等方式直接對計算機信息系統(tǒng)進行破壞的犯罪完全可以由于文盲來實施。并不是只有具備精深的計算機專業(yè)知識的人才可以實施計算機犯罪。只要具備一定的常識，在某種特定的條件下（如從垃圾堆中得到進入系統(tǒng)的用戶名和密碼信息）一般人完全可以實施。計算機犯罪概念折衷說：計算機本身在計算機犯罪中以“犯罪工具”或“犯罪對象”的方式出現(xiàn)，這一概念注重的是計算機本身在犯罪中的作用。如：德國學者施奈德認為:“計算機犯罪指的是利用電子數(shù)據處理設備作為作案工具的犯罪行為或者把數(shù)據處理設備當作作案對象的犯罪行為。”我國學者認為:“計算機犯罪是以計算機為工具或以計算機資產為對象的犯罪行為。”計算機犯罪概念角色說以計算機在犯罪中充當必要的“角色”（工具或者對象）來界定計算機犯罪，明確了計算機在犯罪中的具體地位計算機犯罪形態(tài)

1、與計算機有關的經濟犯罪案件；2、利用計算機竊取商業(yè)秘密；3、計算機間諜；4、利用計算機竊取大量的知識財產；5、利用計算機危害他人的生命安全；6、利用計算機有組織的集團犯罪；7、暴力襲擊計算機信息系統(tǒng)，特別是重要的計算機信息中心；8、計算機信息或數(shù)據的電子截收；9、發(fā)動計算機信息戰(zhàn)爭。計算機犯罪手段一、意大利香腸術Salami是指意大利式香腸。意大利香腸術就如同通常被切成許多薄片的意大利香腸，從大的意大利香腸中抽去一、二片從不會被注意到。這種計算機犯罪是采用他人不易覺察的手段，使對方自動做出一連串的細小讓步，最后達到犯罪的目的。美國的一個銀行職員在處理數(shù)百萬份客戶的存取帳目時，每次結算都截留一個四舍五入的利息尾數(shù)零頭，然后將這筆錢轉到一個虛設的帳號上，經過日積月累，積少成多，盜竊了一大筆款項。這種截留是通過計算機程序控制自動進行的。某單位電話總機，對用戶話費計算至“分”，而“分”后面的“秒”采取"四舍五入"的方法處理。從而形成尾差，在計算機不斷地"四舍五入"的運算過程中，有些賬戶系統(tǒng)余額就會比正確的近似值多一分或少一分，該總機就是采用這種方法，為部門積累可觀的錢財。計算機犯罪手段二、活動天窗所謂活動天窗，是指程序設計者為了對軟件進行調試和維護故意設置在計算機軟件系統(tǒng)的入口點。通過這些入口可以繞過程序提供的正常安全性檢查而進入軟件系統(tǒng)。美國底特律的幾位汽車工程師發(fā)現(xiàn)了佛羅里達商用分時服務系統(tǒng)中的一個活動天窗，通過該活動天窗查到了公司總裁的口令，進而獲取了具有重要商業(yè)價值的計算機文件。Windows98操作系統(tǒng)和英特爾公司的CPUPⅢ都存在“后門”，這種“后門”就是一種活動天窗，通過這個天窗，可以窺探用戶的個人隱私，比如你在網上的活動，傳送的機密材料完全可以被入侵者監(jiān)控到。環(huán)球時報日前美國專家聲稱，他們已經識別出了針對谷歌（Google）和其它西方企業(yè)、據稱有政府支持的黑客攻擊所使用的關鍵程序代碼的中國作者，這將使得中國政府否認涉身其中的難度明顯加大。這一發(fā)現(xiàn)公布之前，追蹤相關間諜軟件源頭的另一個調查組查到中國兩所學校內的計算機，這兩所學校分別是上海交通大學和藍翔高級技工學校。但這兩所學校的官員均否認參與。

為美國政府工作的一名研究人員告訴英國《金融時報》，一名30多歲的自由職業(yè)安全顧問編寫了一部分程序，該程序利用InternetExplorer網絡瀏覽器此前未知的一個安全漏洞，侵入計算機，安插間諜軟件。中國官員能夠優(yōu)先獲得這位作者的工作成果，此人還將該程序的片段貼到一個黑客論壇上，稱其為自己正“努力完成”的東西。后續(xù)這場網絡活動的曝光，促使人們關注技術安全問題。奧巴馬政府已承諾將網絡安全列為一個工作重點?！拔覀冋庾R到，這個問題不只是技術層面的，還有其它層面，其它政府部門也需要介入，”美國前網絡安全官員、現(xiàn)就職于RSASecurity公司的米歇爾·權（MischelKwon）表示。計算機犯罪手段三、廢品利用廢品利用是指有目的或有選擇地在工作現(xiàn)場或從廢棄的資料、磁帶、磁盤中搜尋具有潛在價值的數(shù)據和信息、密碼等。如搜集報廢的計算機打印文件或其他文件拷貝，獲取系統(tǒng)還沒有清除的臨時輸入或輸出的數(shù)據或磁盤、磁帶上的信息。計算機犯罪手段四、數(shù)據泄露這是一種有意轉移或竊取數(shù)據的手段。有的作案者將一些關鍵數(shù)據混雜在一般性的報表之中，然后在予以提取。有的計算機間諜在計算機系統(tǒng)的中央處理器上安裝微型無線電發(fā)射機，將計算機處理的內容傳送給幾公里之外的接收機。如計算機和通信設備輻射出的電磁波信號可以被專用設備接收用于犯罪。計算機犯罪手段五、電子嗅探器電子嗅探器是用來截獲和收藏在網絡上傳輸?shù)男畔⒌能浖蛴布?。它可以截獲的不僅是用戶的帳號和口令，還可以截獲敏感的經濟數(shù)據（如信用卡號）、秘密信息（如電子郵件）和專有信息并可以攻擊相鄰的網絡。電子嗅探器就象專用間諜器材一樣，個人是不允許買賣、持有和使用的，但是公安機關、國家安全機關可以用此來偵破案件或獲取情報。計算機犯罪手段六、冒名頂替冒名頂替是利用他人的訪問代碼，冒充授權用戶進入計算機信息系統(tǒng)的方法。其獲取他人的訪問代碼的方式可能是偷竊來的，也可能是利用特洛伊木馬術而得到的。1990年7月，某市建設銀行城北支行辦事處的儲蓄員田某，在值班期間，趁電腦操作員離崗上廁所之機，盜用該電腦操作員的代碼，利用計算機偷偷支出儲戶存款2萬余元。計算機犯罪手段七、社交方法這是一種利用社交技巧來騙取合法用戶的信任，以獲得非法入侵系統(tǒng)所需的口令或權限的方法。電腦維修公司的人員乘維修電腦之機，謊稱需要知道進入網絡的口令，用戶告知與他，他在用戶不知情的情況下，多次入侵系統(tǒng)瘋狂作案。無間道三——車牌是密碼計算機犯罪手段八、對程序、數(shù)據及系統(tǒng)設備的物理損壞程序、數(shù)據及系統(tǒng)設備的存放、運行需要特定的環(huán)境，環(huán)境達不到要求或改變環(huán)境條件，程序、數(shù)據及系統(tǒng)設備就有可能物理損壞，而且這種損壞是不可恢復的。如可以利用磁鐵消掉磁介質信息，可以在計算機電路間插進金屬片造成計算機短路，水、火、靜電和一些化學藥品都能在短時間內損壞數(shù)百萬美元的硬件和軟件。竊聽風云計算機犯罪手段九、特洛伊木馬術特洛伊木馬術是公元前1200年古希臘特洛伊戰(zhàn)爭中，希臘人為了攻陷特洛伊城，把士兵隱藏在木馬腹中進入敵方城堡，從而贏得了戰(zhàn)爭的勝利，這種戰(zhàn)術用在計算機犯罪手段上，是以軟件程序為基礎進行欺騙和破壞的方法。它是在一個計算機程序中隱藏作案所需的計算機指令，使計算機在仍能完成原有任務的前提下，執(zhí)行非授權的功能。特洛伊木馬程序和計算機病毒不同，它不依附于任何載體而獨立存在，而病毒則須依附于其他載體而存在并且具有傳染性。計算機犯罪手段十、數(shù)據欺騙數(shù)據欺騙是指非法篡改計算機輸入、處理和輸出過程中的數(shù)據或者輸入假數(shù)據，從而實現(xiàn)犯罪目的的手段。這是一種最簡單、最普通的犯罪手段。1993年，北京市海淀區(qū)人民檢察院偵破了三起高檔大飯店計算機操作員和收銀員貪污案。在這三起案件中，案犯都是利用計算機技術，將已結帳的住宿客人的帳單偷偷調出并刪改，減少原收的金額，之后將修改后的帳單重新輸入計算機系統(tǒng)入帳，從而達到截留公款據為已有的目的。計算機犯罪手段十一、邏輯炸彈邏輯炸彈是指在計算機系統(tǒng)中有意設置并插入的某些程序編碼，這些編碼只有在特定的時間或在特定的條件下才自動激活，從而破壞系統(tǒng)功能或使系統(tǒng)陷入癱瘓狀態(tài)。邏輯炸彈不是病毒，它不符合病毒自我傳播的特征。1996年上海勝達實業(yè)公司尋呼臺主控計算機系統(tǒng)被損壞一案。該公司工程師張某因對單位不滿，遂產生報復心理，離職時在計算機系統(tǒng)中設置了邏輯炸彈。這一破壞性程序在當年6月29日這一特定的時間激活，導致系統(tǒng)癱瘓，硬盤分區(qū)表被破壞，系統(tǒng)管理執(zhí)行文件和用戶資料數(shù)據全部丟失，造成了不可估量的損失。計算機犯罪手段十二、電子欺騙技術電子欺騙技術是一種利用目標網絡的信任關系，即計算機之間的相互信任關系來獲取計算機系統(tǒng)非授權訪問的一種方法。IP地址電子欺騙，就是偽造他人的源IP地址，其實質就是讓一臺機器來扮演另一臺機器，籍以達到蒙混過關的目的。入侵者不用輸入用戶帳號和口令，就可以侵入目標。計算機犯罪手段十三、口令破解程序口令破解程序是可以解開或者屏蔽口令保護的程序。幾乎所有多用戶系統(tǒng)都是利用口令來防止非法登錄的，而口令破解程序經常利用有問題而缺乏保護的口令進行攻擊。計算機犯罪手段十四、利用掃描器掃描器是自動檢測遠程或本地計算機主機安全性弱點的程序。掃描器是互聯(lián)網安全領域最出名的破解工具。利用掃描器能使行為人不留痕跡地發(fā)現(xiàn)遠在他國的一臺服務器的安全性的弱點，從而入侵該系統(tǒng)。計算機犯罪手段十五、計算機病毒計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據，影響計算機使用并能自我復制的一組指令或程序代碼。它具有感染性、潛伏性、可觸發(fā)性和破壞性。計算機犯罪的特點犯罪形式的隱蔽性計算機犯罪一般不受時間和地點限制,可以通過網絡大幅度跨地域遠程實現(xiàn),其罪源可來自全球的任何一個終端,隨機性很強。計算機犯罪的特點犯罪主體和手段的智能性計算機犯罪的各種手段中,憑借高科技手段實施的,熟練運用這些手段并實現(xiàn)犯罪目的的則是具有相當豐富的計算機技術知識和嫻熟的計算機操作技能的專業(yè)人員。計算機犯罪的特點跨國性網絡沖破了地域限制，計算機犯罪呈國際化趨勢。因特網絡具有“時空壓縮化”的特點，當各式各樣的信息通過因特網絡傳送時，國界和地理距離的暫時消失就是空間壓縮的具體表現(xiàn)。這為犯罪分了跨地域、跨國界作案提供了可能。犯罪分子只要擁有一臺聯(lián)網的終端機，就可以通過因特網到網絡上任何一個站點實施犯罪活動。而且，可以甲地作案，通過中間結點，使其他聯(lián)網地受害。由于這種跨國界、跨地區(qū)的作案隱蔽性強、不易偵破，危害也就更大。計算機犯罪的特點匿名性罪犯在接受網絡中的文字或圖像信息的過程是不需要任何登記，完全匿名，因而對其實施的犯罪行為也就很難控制。罪犯可以通過反復匿名登錄，幾經周折，最后直奔犯罪目標，而作為對計算機犯罪的偵查，就得按部就班地調查取證，等到接近犯罪的目標時，犯罪分子早已逃之夭夭了。計算機犯罪的特點損失大，對象廣泛，發(fā)展迅速，涉及面廣計算機犯罪始于六十年代，七十年代迅速增長，八十年代形成威脅。美國因計算機犯罪造成的損失已在千億美元以上，年損失達幾十億，甚至上百億美元，英、德的年損失也達幾十億美元。我國從1986年開始每年出現(xiàn)至少幾起或幾十起計算機犯罪，到1993年一年就發(fā)生了上百起，近幾年利用計算機計算機犯罪的案件以每年30%的速度遞增，其中金融行業(yè)發(fā)案比例占61%，平均每起金額都在幾十萬元以上，單起犯罪案件的最大金額高達1400余萬元，每年造成的直接經濟損失近億元。計算機犯罪的特點持獲利和探秘動機居多全世界每年被計算機犯罪直接盜走的資金達20億美元。我國2005年某省發(fā)現(xiàn)的計算機作案的經濟犯罪已達100余件，涉及金額達1700萬元，在整個計算機犯罪中占有相當?shù)谋壤?。各種各樣的個人隱私、商業(yè)秘密、軍事秘密等等都成為計算機犯罪的攻擊對象。侵害計算機信息系統(tǒng)的更是層出不窮。計算機犯罪的特點低齡化和內部人員多我國對某地的金融犯罪情況的調查，犯罪的年齡在35歲以下的人占整個犯罪人數(shù)的比例：2005年是69.9%，2006年是73.2%，2007年是75.8%。其中年齡最小的只有18歲。此外，在計算機犯罪中犯罪主體中內部人員也占有相當?shù)谋壤?。據有關統(tǒng)計，計算機犯罪的犯罪主體集中為金融、證券業(yè)的“白領階層”，身為銀行或證券公司職員而犯罪的占78%，并且絕大多數(shù)為單位內部的計算機操作管理人員；從年齡和文化程度看，集中表現(xiàn)為具有一定專業(yè)技術知識、能獨立工作的大、中專文化程度的年輕人，這類人員占83%，案發(fā)時最大年齡為34歲。計算機犯罪的特點巨大的社會危害性網絡的普及程度越高，計算機犯罪的危害也就越大，而且計算機犯罪的危害性遠非一般傳統(tǒng)犯罪所能比擬，不僅會造成財產損失，而且可能危及公共安全和國家安全。據美國聯(lián)邦調查局統(tǒng)計測算，一起刑事案件的平均損失僅為2000美元，而一起計算機犯罪案件的平均損失高達50萬美元。據計算機安全專家估算，近年因計算機犯罪給總部在美國的公司帶來的損失為2500億美元。計算機犯罪的類型舉例非法侵入計算機信息系統(tǒng)罪?！缎谭ā返?85條規(guī)定,違反國家規(guī)定,侵入國有事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的,處三年以下有期徒刑或者拘役。盜取銀行巨款案例：全國首例利用電子計算機盜取銀行巨款的兩名案犯是郝景龍、郝景文兄弟，郝景龍成為中國第一例因計算機犯罪被判處死刑的案犯。1998年9月22日，揚州工商銀行被人從輸入的假帳戶上取出存款26萬元。經過警方周密偵查，終于將犯罪人郝氏兄弟抓捕歸案。此案中郝景龍曾供職于某銀行，掌握銀行內部數(shù)據傳輸靜態(tài)密碼，后該人辭職。作案時，郝氏兄弟在儲蓄所附近找到銀行網絡傳輸線，接上電腦，利用掌握的靜態(tài)口令，接管對儲蓄所電腦的控制權，從而篡改存款數(shù)據，虛設帳戶資金，以達到盜竊金融資產的目的。--由于銀行交易業(yè)務涉及面廣，設備對外接口的繁冗，這本身與銀行采用靜態(tài)口令的長期不變形成了尖銳的安全矛盾。(本案例摘自《信息網絡安全》2001年第三期)計算機犯罪行為類型計算機信息系統(tǒng)緊密相關的有三大要素：計算機信息系統(tǒng)數(shù)據信息網絡計算機犯罪行為類型1)數(shù)據信息犯罪。按照行為方式可以分為訪問數(shù)據信息犯罪（非法瀏覽秘密信息）QQ帳號取得數(shù)據信息犯罪（盜竊、詐騙等方式獲得計算機信息系統(tǒng)內存儲的秘密信息、有知識產權的信息、電子資財信息）銀行內部處理數(shù)據信息犯罪（對數(shù)據信息進行非法的修改、增加、刪除操作）四舍五入破壞數(shù)據信息犯罪（使數(shù)據信息毀損滅失）熊貓燒香制作傳播數(shù)據信息犯罪（制作傳播計算機病毒等破壞性程序，通過網絡傳播淫穢文字、圖片、電影等數(shù)據信息或泄露國家秘密、個人隱私或傳播謠言等等）。艷照門計算機犯罪行為類型2)計算機信息系統(tǒng)犯罪。按照行為方式可以分為侵入系統(tǒng)犯罪（侵入重要領域的計算機信息系統(tǒng)）國家網站干擾系統(tǒng)犯罪（影響計算機信息系統(tǒng)的正常運行）車牌拍賣使用系統(tǒng)犯罪（盜用系統(tǒng)資源）公司，copy破壞系統(tǒng)犯罪（毀損系統(tǒng)硬件設備，非法對系統(tǒng)功能進行增加、修改、刪除）公司，后門計算機犯罪行為類型3)網絡犯罪（六省斷電，中國紅客）。按照行為方式可以分為進入網絡犯罪（侵入重要部門的局域網或者非法接入其網絡線路）使用網絡犯罪（阻礙或中斷網絡通信，毀損網絡設施）破壞網絡犯罪（非法使用網絡資源，盜用網絡服務）六省斷電9點多開始上不了網了。又是殺毒，又是優(yōu)化，又是修復IE，把路由開了又關，關了又開，后來才知道全國人民都一樣……今年5月18日我國發(fā)生六省斷網的嚴重信息安全事件，5月30日，涉案8人被抓獲歸案。據公布這8人都算不上資深專家，年齡在二十歲左右，學歷大多為小學、初中文化程度。中國紅客在2001年5月4日上午9時到上午11時15分，美國白宮網站因遭到黑客襲擊，被迫關閉了兩個多小時。另有消息說，當天有8萬人參加了對白宮的攻擊。有人稱這是信息時代一次“人海戰(zhàn)術”的勝利。計算機犯罪（刑法）類別編號及名稱子類別名稱1.非法入侵計算機信息系統(tǒng)罪侵入國家事務系統(tǒng)侵入國防建設系統(tǒng)侵入尖端技術系統(tǒng)2.破壞計算機信息系統(tǒng)罪破壞計算機系統(tǒng)功能破壞計算機存貯的信息傳播病毒3.利用計算機實施的各類犯罪金融詐騙盜竊貪污挪用公款竊取國家機密其它計算機犯罪的類型舉例破壞計算機信息系統(tǒng)罪。《刑法》第286條概括為破壞計算機信息系統(tǒng)罪。主要表現(xiàn)為:故意對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾,造成計算機信息系統(tǒng)不能正常運行,后果嚴重的行為;故意對計算機信息系統(tǒng)中存儲處理或者傳輸?shù)臄?shù)據和應用程序進行刪除、修改、增加的操作,后果嚴重的行為;故意制作、傳播計算機病毒等破壞性程序,影響計算機系統(tǒng)正常運行,后果嚴重的行為。計算機犯罪的類型舉例《刑法》第287條規(guī)定了利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密罪。如盜竊電子資金,不法分子往往利用電子資金過戶系統(tǒng),例如定點銷售系統(tǒng)(ＰＯＳＳ)、自動存取款機(ＡＴＭＳ)自動化票據交換所(ＡＣＨＳ)、電子身份證系統(tǒng)等提供的便利,使用計算機技術通過網絡修改電子資金帳目,竊取電子資金。病毒人生1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒。博士論文的主題是計算機病毒(ComputerVirus)。CEO,FredCohen&AssociatesWespendourlivesunderstandingandcodifyinginformationprotectionissues.Wedevelopspecializedtoolstohelpusworkefficientlyandeffectively.Weworkinteamstogetthebestresults

andmakesuretheyareright.

1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。肇事者RobertT.Morris,美國康奈爾大學學生，其父是美國國家安全局安全專家。機理利用sendmail,finger等服務的漏洞，消耗CPU資源，并導致拒絕服務。影響Internet上大約6000臺計算機感染，占當時Internet聯(lián)網主機總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生DARPA成立CERTComputerEmergencyResponseTeam），以應付類似事件。http:///莫里斯蠕蟲（MorrisWorm）1988年1988年冬天，正在康乃爾大學攻讀的Morris，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網絡——互聯(lián)網。1988年11月2日下午5點，互聯(lián)網的管理人員首次發(fā)現(xiàn)網絡有不明入侵者。當晚，從美國東海岸到西海岸，互聯(lián)網用戶陷入一片恐慌。RobertTappanMorris,(bornNovember8,1965),isanassociateprofessoratMassachusettsInstituteofTechnology,intheInstitute‘sdepartmentofElectricalEngineeringandComputerScience。HeisbestknownforcreatingtheMorrisWormin1988,consideredthefirstcomputerwormontheInternet.HeisthesonofRobertMorris,theformerchiefscientistattheNationalComputerSecurityCenter,adivisionoftheNationalSecurityAgency(NSA).CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失（100億美元）。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據稱只是為了“想紀念一下1986的災難”或“使反病毒軟件公司難堪”（驗證防毒軟件號稱百分百防毒是不實廣告）。年僅18歲的高中生JeffreyLeeParson因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。被判處18個月監(jiān)禁。熊貓燒香李俊，大學本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣破壞計算機信息系統(tǒng)罪(四年)計算機病毒產生的社會淵源計算機病毒是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產物，是計算機犯罪的一種新的衍化形式。產生計算機病毒的原因，大致可以分為以下幾種：計算機愛好者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲或制作惡作劇產生于個別人的報復、破壞心理來源于游戲軟件（CoreWar）來源于軟件加密（病毒制造者姓名和地址）用于研究或實驗而設計的“有用”的程序出于政治、經濟和軍事等特殊目的，一些組織或個人也會編寫一些程序用于進攻對方的計算機案例一：GOOGLE“M”For“Murder”2004年，案中女疑犯被控謀殺其夫有證據顯示她曾在丈夫失蹤前幾天，在計算機上google短語howtocommitmurderhowtobuyagunillegallyinNewJerseyinstantpoisonsundetectablepoisonsfataldigoxindoses（異羥洋地黃毒苷）案例二：建國最大假火車票案2004年，“1·27”制販假火車票案

制作的假票若全部售給旅客，按照列車編組來計算，需要近40列火車720節(jié)車廂才能拉完票面數(shù)額總價值620多萬元高智商犯罪集團運用現(xiàn)代企業(yè)管理方法，制訂了《工作流程》、《工作步驟》、《管理模式》等，并對其成員進行了明確分工對每一項工作量化任務，嚴格考核，做到獎罰分明“農村包圍城市、立足平時”明確規(guī)定不得印制有座位票或臥鋪票將車票掃描后，通過電子郵件發(fā)給外地的同伙，外逃前，計算機內存資料全部刪除案例二：建國最大假火車票案公安機關郵件解密將計算機中內存的部分資料修復發(fā)現(xiàn)“資金使用情況匯報表”、“每周情況表”、“賬號”、“計劃表”和部分車票的票版樣本24名被告人分別被判處十一年以下不等的刑期，罰金總額高達8730萬元

怎么辦？針對計算機系統(tǒng)或網絡的犯罪活動以及利用計算機和網絡從事各種犯罪活動的人越來越多，由此造成的經濟損失令人觸目驚心，引發(fā)的社會問題也越來越突出。遏制這種日益嚴重的計算機犯罪形勢，就必須將犯罪分子繩之以法，以法律的威懾力量來減少計算機犯罪的發(fā)生。解決方案要解決這種民事糾紛，打擊計算機犯罪就需要找到充分、可靠、有說服力的證據。計算機在相關的犯罪案例中可以扮演3種角色黑客入侵的目標作案的工具犯罪信息的存儲器解決方案無論作為哪種角色，通常計算機(連同它的外設)中都會留下大量與犯罪有關的數(shù)據，進而可以依據有關科學與技術的原理與方法找到證明某個事實的證據。因此,計算機和法學的交叉學科——計算機取證(computerforensics)受到了越來越多的關注。案例三案例三分析作業(yè)1試舉一個計算機犯罪的實例，并分析它屬于哪一種犯罪手段。聯(lián)系此案例，簡述你對計算機犯罪的理解。1）格式要求

小四字體，宋體，單倍行距，不超過2頁。2）遞交形式：word電子版至發(fā)送：jsjguilt@163.com郵件及文檔標題：專業(yè)+學號+姓名例如：專業(yè)+00000000+張三3）截止遞交時間：9月14日第一章計算機取證概述計算機取證概念計算機取證歷史計算機取證相關的法律法規(guī)理念（原則）計算機取證內容計算機取證模型、過程神證—以神誓和神判為證明古巴比倫《漢穆拉比法典》曾經以成文形式規(guī)定過當時處理“巫蠱之罪”的水審法:將犯罪案件的被告人投入河中，如果他沒有被溺死，就意味著河水已為他‘洗白’，此人無罪，告發(fā)者應處死刑，其房屋歸被告發(fā)者所有;反之，則說明被告發(fā)者有罪，其房屋歸告發(fā)者所有。古代日耳曼人也曾采用這種“水審法”，但其檢驗標準與古巴比倫人恰恰相反。他們認為河水是世界上最圣潔的東西，不能容納有罪之人，所以嫌疑人被投入水中后若浮于水面，則證明其有罪;若沉入水中，則證明其無罪。在后一種情況出現(xiàn)時，嫌疑人親友必須立即撈救，以免被神驗明無罪者反遭溺死。神證—以神誓和神判為證明抽簽審是諸多審判方式中最為輕松的一種，就像猜硬幣一樣，嫌犯只要在正邪兩球中憑手氣摸正球，就可以被宣告無罪。秤審，是用秤量嫌犯體重兩次，第二次較前次輕者無罪。有一種堪稱古代拼吃大賽的“面包奶酪審”，要求嫌犯在禱告后，迅速吃掉一盎司的面包或奶酪，如果能順利咽下，就會被判無罪。殘酷的神明裁判方法是多數(shù)的:火審，是讓嫌犯手持烙鐵步行一段路，數(shù)天后如傷口不潰爛則無罪;毒審，是讓嫌犯服某種毒物，無特殊反應則無罪;熱油審，是讓嫌犯用手取出熱油中的錢幣，無傷則無罪。“鱷魚審判”，是把嫌犯丟入鱷魚池中，觀察鱷魚是否吃他，如果安然無恙，則宣告無罪。神證存在的原因當囿于認識能力的限制、事實難以查清的時候，一種能保證裁判權威的證明制度取代了對真相的過度發(fā)掘。這種證明方法有著司法心理學方面的基礎，也能在一定程度上保證公正與公平，更重要的是，它能起到定分止爭的目的。即使在人類認識能力提高之后，對于神證制度好處的依賴，也使得一些地區(qū)依然延續(xù)著這種審判傳統(tǒng)。對于他們而言，事實真相的追求是不確定的未來，而神證制度卻是一種比較確定的權威，而后者在保證社會關系的安定上，有著前者無法企及的作用。人證—以當事人和證人的陳述為證明原因其一是國家司法權力的增長其二是人類認識水平的提高 在那些直接侵害王室利益的案件中,法官可以主動訊問被告人和傳喚證人,并在此基礎上做出判決;在涉及土地糾紛的案件中,國王不愿意聽憑難以預料的“神靈”來做出裁判,就命令法庭傳喚一些可能了解案件情況的當?shù)鼐用癯鐾?讓他們在宣誓后協(xié)助法官做出判決。物證—以物證或科學證據為證明雖然物證是客觀存在的,但是物證并不能自已到法庭上去直接證明案件事實,必須借助于人的力量,必須由人來解釋。物證需要人的解讀。而解讀物證往往需要一定的科學知識,所以物證與科學技術之間的關系幾乎是密不可分的。人身識別的物證古代中國曾以使用過給犯人臉上刺字以便識別其身份的作法。古巴比倫、古印度和一些歐洲國家則使用過在罪犯身體上烙印的方法來識別其身份。筆跡鑒定人體骨骼長度指紋識別足跡鑒定牙痕鑒定聲紋鑒定唇紋鑒定DNA遺傳基因鑒別計算機取證(computerforensics)有關計算機取證的定義很多計算機取證是運用計算機及其相關科學和技術的原理與方法獲取與計算機相關的證據以證明某個客觀事實的過程。計算機取證定義計算機取證專業(yè)資深人士JuddRobins:計算機取證不過是簡單地將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。證據獲取

計算機取證定義

一家專業(yè)的計算機緊急事件響應和計算機取證咨詢公司：計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。計算機基礎

計算機取證定義一篇綜述文章給出了如下的定義：計算機取證是使用軟件和工具，按照一些預先定義的程序全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據。過程計算機取證定義綜合：計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。計算機及其外設計算機文件服務器網絡手機全球衛(wèi)星定位系統(tǒng)裝置打印機電子記事本磁帶光碟MP3/iPodsU盤計算機證據計算機證據是指以計算機形式存在的、用作證據使用的一切材料及其派生物，或者說借助計算機生成的一切證據。計算機證據證據的特性：任何材料要成為證據，均需具備三性要求客觀性：保證證據是可信的、準確的關聯(lián)性：保證證據是完整的、使法官信服的合法性：保證證據是符合法律法規(guī)的，即可為法庭所接受的計算機證據的新特性精密性和脆弱易逝性：依托技術存在，技術性要求高，不受主觀因素影響，（但證言可誤傳，書證可誤記）。計算機信息主要以“二進制”表示，以數(shù)字信號的方式存在，其非連續(xù)性使得刪除、剪接等技術上很難查清隱蔽性：在計算機中可存在的范圍廣，易隱藏；信息的“二進制”編碼表示和傳遞，無法直接閱讀，與特定主體的關系難以通過常規(guī)手段確定，必須通過適當?shù)墓ぞ叨嗝叫裕罕憩F(xiàn)形式多樣，如：文本、圖形、動畫、音頻、視頻等多媒體信息的形式出現(xiàn)處理、操作方面的特性：收集迅速、易于保存、占用空間少、容量大、便于傳送、可以反復重現(xiàn)、易于使用、便于操作數(shù)據的“揮發(fā)性”：見書P3表１－１計算機證據與傳統(tǒng)證據的區(qū)別計算機數(shù)據無時無刻不在改變；計算機數(shù)據不是肉眼直接可見的，必須借助適當?shù)墓ぞ撸凰鸭嬎銠C數(shù)據的過程，可能會對原始數(shù)據造成很嚴重的修改，因為打開文件、打印文件等一般都不是原子操作；計算機證據問題是由于技術發(fā)展引起的，因為計算機和電信技術的發(fā)展非常迅猛，所以取證步驟和程序也必須不斷調整以適應技術的進步。計算機取證與計算機犯罪由于計算機犯罪的影響以及計算機取證發(fā)展的歷史，在討論計算機取證的問題時，研究人員往往以打擊計算機犯罪作為目標進行研究。犯罪偵查民事案件國家安全部門、軍事部門由于民事糾紛的當事雙方明確，應用計算機取證技術的場合、關心的問題等可能會有少許不同，而在計算機取證的技術本質上是一致的。計算機取證與計算機犯罪（續(xù)）而國家安全部門、軍事部門人員取證得到的證據不是呈遞給法官而是成為國家領導人、國家安全部門領導、相關軍事部門領導決策相關問題的依據。當然刑事案件、民事糾紛、國家信息安全保障涉及的計算機取證各自的法律規(guī)定的程序肯定會有所不同，從技術層面上看，取證的要求是相同的。所以認為計算機取證只是和計算機犯罪聯(lián)系在一起的看法是不夠準確的，盡管計算機犯罪是人們關注最多的，研究或討論問題也往往以計算機犯罪為例。

與之有關人員？工作與計算機取證技術相關的人員也不只是犯罪偵查人員（警察），還有檢察官、法官、律師、司法鑒定人、專家證人、研究人員、教師、網絡與信息系統(tǒng)安全各類管理人員等。他們對計算機取證技術需要了解的程度和關心的問題會又相當?shù)牟顒e，所以高?？梢詮牟煌慕嵌热ヅ囵B(yǎng)相應的人才。

國外計算機取證歷史及現(xiàn)狀法律的制定：自1976年的FederalRulesofEvidence起，美國出現(xiàn)了如下一些法律解決由電子證據帶來的問題：TheEconomicEspionageActof1996:處理商業(yè)機密竊取問題TheElectronicCommunicationsPrivacyActof1986:處理電子通信的竊聽問題TheComputerSecurityActof1987(PublicLaw100-235):處理政府計算機系統(tǒng)的安全問題國外計算機取證歷史及現(xiàn)狀計算機取證科學(computerforensicscience)主要是在司法機關的需求中應運而生的。早在1984年，F(xiàn)BI的實驗室就開始對計算機取證進行研發(fā)。為了有組織有計劃的解決刑偵人員不斷增長的需求，F(xiàn)BI成立了計算機分析響應組(CART)。國外計算機取證歷史及現(xiàn)狀自從九十年代初，美國聯(lián)邦犯罪調查實驗室的主任們每年都會在華盛頓舉行兩次研討會，就共同關心的問題進行討論。他們共同創(chuàng)建了目前數(shù)字取證領域中享有盛譽的“數(shù)字取證科學工作組(SWGDE)”。國外計算機取證歷史及現(xiàn)狀取證技術：逐漸走向自動化、智能化，政府與各專業(yè)機構均投入巨大人力、物力開發(fā)計算機取證專用工具。國外計算機取證歷史及現(xiàn)狀用于電子數(shù)據證據獲取的工具：如HigherGroundSoftwareInc.的軟件HardDriveMechanic可用于從被刪除的、被格式化的和已被重新分區(qū)的硬盤中獲取數(shù)據。NTI公司的GetFree可從活動的WindowsSwap分區(qū)中恢復數(shù)據，該公司的軟件GetSlack可自動搜集系統(tǒng)中的文件碎片并將其寫入一個統(tǒng)一的文件。國外計算機取證歷史及現(xiàn)狀用于電子數(shù)據證據保全的工具：

GuidanceSoftware公司生產的硬件設備Fastbloc可用于Windows操作系統(tǒng)下計算機媒質內容的快速鏡像，NTI的軟件系統(tǒng)CRCMd5可用于在計算機犯罪調查過程中保護已搜集來的電子證據，保證其不被改變，也可以用于將系統(tǒng)從一臺計算機遷移到另一臺計算機時保障系統(tǒng)的完整性。該公司的軟件SEIZED可用于保證用戶無法對正在被調查的計算機或系統(tǒng)進行操作。國外計算機取證歷史及現(xiàn)狀用于電子數(shù)據證據分析的工具：這類工具中最著名的是NTI公司的軟件系統(tǒng)NetThreatAnalyzer。該軟件使用人工智能中的模式識別技術，分析Slack磁盤空間、未分配磁盤空間、自由空間中所包含的信息，研究交換文件、緩存文件、臨時文件及網絡流動數(shù)據，從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的Email交流、Internet瀏覽及文件上傳下載等活動，提取出與生物、化學、核武器等恐怖襲擊、炸彈制造及性犯罪等相關的內容。該軟件在美國9.11事件的調查中起到了很大的作用。國外計算機取證歷史及現(xiàn)狀用于電子數(shù)據證據歸檔的工具：如NTI公司的軟件NTI-DOC可用于自動記錄電子數(shù)據產生的時間、日期及文件屬性。國外計算機取證歷史及現(xiàn)狀結論：針對計算機取證的全部活動而言，美國的各研究機構與公司所開發(fā)的工具主要覆蓋了電子數(shù)據證據的獲取、保全、分析和歸檔的過程，各研究機構與公司也都在進一步優(yōu)化現(xiàn)有的各種工具，提高利用工具進行電子證據搜集、保全、鑒定、分析的可靠性和準確度，進一步提高計算機取證的自動化和智能化。但目前還沒有能夠全面鑒定電子數(shù)據證據設備來源、地址來源、軟件來源的工具。國內計算機取證歷史及現(xiàn)狀結論：我國的計算機普及與應用起步較晚，有關計算機取證的研究與實踐工作也僅有10年的歷史，相關的法律法規(guī)仍很不完善，學界對計算機犯罪的研究也主要集中于計算機犯罪的特點、預防對策及其給人類帶來的影響。目前法庭案例中出現(xiàn)的計算機證據都比較簡單，多是文檔、電子郵件、程序源代碼等不需特殊工具就可以取得的信息。但隨著技術的進步，計算機犯罪的水平也在不斷提高，目前的計算機取證技術己不能滿足打擊計算機犯罪、保護網絡與信息安全的要求，自主開發(fā)適合我國國情的、能夠全面檢查計算機與網絡系統(tǒng)的計算機取證的工具與軟件已經迫在眉睫。國內發(fā)展情況學術和技術研討方面重要事件2004年11月，北京：首屆中國計算機取證技術研討會主辦：北京人民警察學院中國科學院軟件研究所北京市公安局網絡信息安全監(jiān)察處有來自全國各地的近100名代表參加此次會議。中國科學院、中國人民大學法學院等專家以及來自企業(yè)的技術人員和公安系統(tǒng)的專業(yè)人員就計算機取證技術的研究現(xiàn)狀和發(fā)展趨勢、計算機取證技術的需求與應用以及電子證據立法的現(xiàn)狀與前瞻等問題作了專題報告。研討會匯集了32篇論文，印刷了論文集。

這次研討會對計算機取證技術的理論與實踐的研究產生積極的影響，推動了我國計算機取證技術的發(fā)展。計算機取證國內外發(fā)展情況國內發(fā)展情況學術和技術研討方面的重要事件2005年4月1日，北京（北京人民警察學院）：成立中國電子學會計算機取證專家委員會

2005年4月1日，在北京人民警察學院成立了中國電子學會計算機取證專家委員會，并召開工作會議。來自中國電子學會、公安部、信息產業(yè)部、中國科學院、北京大學、清華大學、中國人民大學、武漢大學、廈門大學、北京市國家安全局、北京市公安局和國內企業(yè)界的專家、學者和技術人員共計30余人參加了成立大會。2007年6月2—3日，中國電子學會計算機取證專家委員會再次在北京人民警察學院召開工作會議，調整了專家委員會成員，并就知識產權保護和網絡欺詐中的計算機取證問題進行學術研討計算機取證國內外發(fā)展情況國內發(fā)展情況學術和技術研討方面的重要事件2005年，成立中國計算機取證技術研究組中國計算機取證技術研究組（ChinaComputerForensicsResearchTeam）是一個由計算機信息安全、計算機取證技術愛好者自發(fā)組成的一個技術團體。自2005年成立，每年在國內舉辦“中國計算機取證技術峰會(年會)”CCFC（ChinaComputerForensicsConference)

2007年6月2—3日，中國電子學會計算機取證專家委員會再次在北京人民警察學院召開工作會議，調整了專家委員會成員，并就知識產權保護和網絡欺詐中的計算機取證問題進行學術研討。計算機取證國內外發(fā)展情況國內發(fā)展情況學術和技術研討方面重要事件2007年7月，新疆烏魯木齊：第二屆中國計算機取證技術研討會主辦：中國電子學會計算機取證專家委員會、中國科學院軟件研究所、新疆警官高等專科學校，北京人民警察學院有來自全國各地的近60名代表參加此次會議。交流計算機證據的發(fā)現(xiàn)、提取、傳輸和分析技術交流計算機取證工作的原則和程序交流計算機取證學的發(fā)展和學科建設交流網絡反恐研究交流知識產權保護領域的計算機取證技術研討會匯集了26篇論文，印刷了論文集。計算機取證國內外發(fā)展情況法律法規(guī)意識證據收集是審查和運用證據的前提，只有取得合法、確實、充分的證據我們才能準確地認定案件事實，才能正確地使用法律、追究違法人員和犯罪嫌疑人的法律責任。合法地收集計算機證據？依照法定程序提取證據準確不出差錯？計算機取證的主要原則盡早搜集證據，并保證其沒有受到任何破壞必須保證“證據連續(xù)性”（有時也被稱為“chainofcustody”），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當然最好是沒有任何變化。整個檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監(jiān)督。計算機取證（技術）計算機取證（技術）面臨的問題在我國，相關的法律法規(guī)很不完善《電子簽名法》的實施；目前法庭案例中出現(xiàn)的計算機證據都比較簡單，多是文檔、電子郵件、程序源代碼等不需特殊工具就可以取得的信息法律法規(guī)意識不強

證據收集是審查和運用證據的前提，只有取得合法、真實、充分的證據，才能準確地認定案件事實，才能正確地使用法律追究違法人員和犯罪嫌疑人的法律責任何謂合法地收集計算機證據？即依照法定程序提取證據。準確不出差錯？計算機犯罪與計算機取證

計算機取證（技術）計算機取證（技術）展望我國計算機（數(shù)字）取證技術與產品等從引進、代理到自身設計，差距還比較大，主要是我國的企業(yè)規(guī)模小，資本投入不足，產品質量和品種還不多（手機取證）課題研究已經全方位開展，我國科研人員在操作系統(tǒng)的可取證研究、以及可能在BIOS芯片取證方面推出了自主創(chuàng)新的研究成果，但目前缺乏較為集中的數(shù)字取證科研團隊（證據保存、反取證技術）計算機取證技術的研究有鮮明的國家特點，即國家的性質、法律和制度對于計算機取證技術的研究均具有一定的影響和制約。照搬照抄國外的計算機取證技術和工具的做法是不可取的。結合中國國情的計算機（數(shù)字）取證探索值得大力提倡（版權保護）計算機犯罪與計算機取證計算機取證學科建設計算機學科、法學、偵查學、司法鑒定等交叉形成的新學科應具備的知識和技能計算機類知識：計算機或信息安全專業(yè)的相關基本知識課程、計算機網絡與通信技術、信息安全技術、密碼學、操作系統(tǒng)（Windows、Linux、Unix等）法學刑司類知識：憲法與行政法學、民商法學、刑法學、訴訟法學（民事、刑事、行政）、證據學、偵查學、物證技術學、司法鑒定概論、犯罪學綜合交叉類知識：信息法學、電子商務、電子政務、相關信息技術法律法規(guī)、電子簽名法、電子商務法、軟件知識產權和網絡版權保護、計算機取證（技術）等計算機取證學科建設計算機取證的總體目標在調查之初由相關權益人或責任人確定。最好是先制定預案，明確什么情況下完成什么目標明確Who：找出誰When：在何時Where：在何地How：怎樣（如何）地What：進行了什么（非法）活動如：攻擊者是誰、何時進入系統(tǒng)、停留多長時間、做了哪些事情、得到哪些信息、動機如何、受害者損失如何計算機取證的目標計算機取證的主要原則在取證檢查中，保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據破壞或病毒感染。搜索目標系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件。全部（或盡可能）恢復發(fā)現(xiàn)的已刪除文件。計算機取證的主要原則最大程度地顯示操作系統(tǒng)或應用程序使用的隱藏文件、臨時文件和交換文件的內容。如果可能并且如果法律允許，訪問被保護或加密文件的內容。

計算機取證的基本步驟分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關數(shù)據。特殊區(qū)域至少包括下面兩類：①所謂的未分配磁盤空間——雖然目前沒有被使用，但可能包含有先前的數(shù)據殘留。②文件中的“slack”空間——如果文件的長度不是簇長度的整數(shù)倍，那么分配給文件的最后一簇中，會有未被當前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據。計算機取證的基本步驟打印對目標計算機系統(tǒng)的全面分析結果，然后給出分析結論：系統(tǒng)的整體情況，發(fā)現(xiàn)