Windows系统电子物证的检验鉴定

Windows系统电子物证的检验鉴定
摘要：在科技越来越发达的今天，计算机已经进入到人们的生活，而通过计算机进行的犯罪活动也越来越多。

所以，为了保护人民的财产安全，公安机关必须大力发展关于Windows系统的电子取证和对物证的检验鉴定。

本文通过介绍Windows电子系统对物证的提取重点，并就其难点、有利因素和发展前景等问题进行分析，进而提出需要加强的方向，拟为公安机关对网络犯罪案件侦破提供帮助。

关键词：Windows系统；电子物证；检验鉴定
引言
随着科技时代的来临，互联网发展日新月异。

刑事犯罪的方式也不再像从前那样的实物犯罪，愈来愈多的电子犯罪层出不穷。

此时，电子证据将变得愈来愈重要，它会越来越有可能改变人类一直以来的侦破方式和手段，并逐渐从主观成为一种客观物证。

随着改革开放的深入发展，网络犯罪也越来越多，对于Windows电子数据取证的需求也越来越大。

但我国的Windows电子数据取证的发展还没有达到能够有利打击网络犯罪的高度。

本文从几个Windows电子取证的重点方面进行阐述，旨在为网络犯罪案件侦查提供思路。

一、电子物证简介
（一）电子物证的概念
所谓物证是指能够以其外部特征、物质属性、所处位置以及状态证明有关案件真实情况的客观存在。

而电子物证则是通过电子设备、存储介质中的电子数据证明案件事实，此时电子设备或存储介质就应该理解为电子物证。

电子物证具有高科技性、提交形式多样性、数据易变性、存在的广域性四大特点。

（二）电子物证检验的基本原则
为了保证电子物证的法律效率和不被破坏，进行电子物证检验时，有几点需
要相关执法自觉遵守：1.切不可对原始的数据进行直接调查。

电子物证的分析必
须通过生成的镜像进行分析，以免破坏原始数据。

2.检验和分析使用的电子设备
及辅助系统必须保证安全、可信。

以防泄露个人隐私信息。

3.分析人员在分析数
据前必须签名。

以便于以后的可追溯性。

4.必须对检材做必要的保护，连接必须
有记录。

以确保电子数据的真实性和可靠性。

二、Windows系统现场电子物证的获取
（一）固定硬盘
在犯罪分子的Windows系统现场提取中，对计算机进行取证的关键便是保存
有效的电子物证，因为得到固定的电子物证，对一些特殊案件来说，具有举足轻
重的作用。

对硬盘进行固定，采用克隆设备来位对位的克隆硬盘，生成一个克隆
硬盘，其中包含被刻硬盘的所有数据，可同时生成哈希值。

（二）部分文件的固定
部分文件的固定，例如色情网站案件电子物证的获取，只需要固定色情网站
的网页目录以及色情网站的日志即可，无需对硬盘进行全盘固定。

对此，我们需
要提取所有文件的时间信息、计算出所有提取文件的哈希值和计算hash.txt文
件的哈希值。

（三）固定易丢失证据
一般情况下，对系统进行取证需要先关闭系统，然后对硬盘的备份进行分析。

但系统关闭后有一些重要的证据往往会消失，这些证据一般存在于被入侵机器的
寄存器、缓存或内存中，主要包括网络连接情况、正在运行的进程状态等。

这些
证据往往被称为易丢失证据，系统关闭后，这些证据就会全部丢失，而且不可能
恢复。

所以在收集证据的过程中，可以利用netcat通过网络将收集到的证据传
送到司法鉴定工作站上。

然后运行工具包来收集易丢失的证据。

常用的收集工具
有fport、netstat和pslist。

三、Windows系统中电子物证的检验鉴定类型
Windows系统中电子物证的检验鉴定类型有很多，主要有以下几种：Windows
重点目录、浏览器取证、电子邮件取证、回收站取证、聊天应用取证、日志取证等。

由于文章篇幅有限，本文简单介绍前2种取证。

（一）Windows重点目录
Windows的系统目录，不同版本的存放的位置不同，所以取证前要先了解Windows的版本。

但系统目录一旦安装完成后便不可更改位置。

重点目录中包含
几个部分。

1用户目录。

这个目录是在Windows 9x/NT之后的版本中出现的，用户目录
中包含了很多重要文档。

比如用户发送目录的指向，通过研究这些指向，可以知
道用户经常使用的文件存储位置。

2交换文件。

交换文件是在系统内存溢出后，系统会生成一个交换文件来暂
时存储数据，以释放部分内存来进行应用。

3休眠文件。

当计算机进入休眠状态后，系统内存会转移到内存文件中，当
系统再次被唤醒后，系统会迅速进去而不需要重新加载。

（二）浏览器取证
为了使读者更好的理解浏览器取证过程，下面以IE浏览器为例。

因为IE是Windows系统的内置浏览器，因此大多数网络用户都会用到IE浏览器。

关于浏览
器取证，要注意以下几点：
1上网访问历史记录。

IE浏览器会将用户访问过的所有站点的URL地址记录
到用户配置文件夹下History.IE5文件夹中，并根据时间进行排序列出所有站点。

通常可以通过注册表取证工具读取到文件节点
Software\Microsoft\Internet Explorer\TypedURLaps找到相应的信息。

2缓存。

IE浏览器为了加快打开网页的速度，系统会将最近浏览过的内容保
存到本地缓存中，当用户再次打开这个URL地址时，就不需要从远端的服务器上
下载文件，就可以直接从本地的缓存中读取。

IE浏览器的缓存数据通常保存在用
户配置文件下的Local Settings\Temporary Internet Files文件夹中。

不
过用户也可以自行修改缓存的位置。

3收藏夹。

顾名思义，收藏夹就是用户对于网页进行收藏，以便于下次直接
打开而不需要输入URL地址。

IE浏览器收藏夹的存储路径为
Software\Microsoft\Windows\Current
Version\Explorer\Shell Folders\Favorites。

四、Windows电子物证检验的难点及有利因素
（一）Windows电子物证检验的难点
由于Windows电子取证具有表现形式多样性与复杂性、依赖介质性与无形性、易传播性等特点，所以其操作具有很大的局限性。

可以在下面几点看出：1.由于
电子技术发展日新月异，电子取证需要随着科技的进步不断更新出新的技术。

同
时也因为犯罪份子的网络犯罪形式多样，所以电子取证技术也需要灵活多变。

2.
通过现场取证得到的电子证据很容易损坏，再者说证据在保存或运输过程中，因
为其特殊性，也可能收到破坏。

3.电子物证检验需要在现场进行一系列的操作，
不同于在日常的工作环境中，这些额外因素都有可能给检验造成意想不到的困扰。

（二）Windows电子物证检验的有利因素
Windows电子物证检验的有利因素可以分为一下几点：1.当犯罪份子刻意破
坏电子数据时，在一定条件下可以通过工具进行数据的恢复。

2.现阶段网络犯罪
越来越多，而网络犯罪一般是通过Windows系统进行，所以Windows取证将成为
打击网络犯罪的重要工具。

3.通过计算哈希值等办法可以检验电子数据是否被修改，大大降低的案件的错判。

4.可以精确的复制原始电子数据，复制而成的镜像
与原始电子数据完全相同，制作成镜像后进行检验，避免了对原始数据的破坏。

五、Windows电子物证的检验的发展前景和方向
（一）Windows电子物证的发展前景
科技不断发展，犯罪手法也变得多种多样，利用Windows犯罪可能会成为一种趋势，这时电子物证的检验将对与打击犯罪扮演越来越重要的角色。

尤其近年来犯罪成功率最高的就是网络诈骗等，一些中老年人对于网络的不熟悉以及安全意识的缺乏，很容易上当受骗，而且这类案件的侦破率也不尽人意。

探究其原因就是证据的缺乏，而Windows电子物证的检验鉴定技术可以从根本上解决证据的问题，同时也可以为侦查提供必要的线索。

（二）Windows电子物证的发展方向
Windows电子物证检验可以从一下几点作为发展方向：1.新型介质的取证分析。

近年来手机和平板电脑等无线终端设备陆续出现，而这些终端系统中有一部分使用的也是Windows系统，这便开拓了取证的领域。

2.执业主体的延伸，除了专业的鉴定部门来做Windows电子检验。

也可以推广企业、高校等来参与到检验鉴定当中，这样可以大大节约警力的运用。

3.系统化的取证方向。

社会在进步，犯罪手法也在不断升级变化，所以需要多个部门的配合，形成一条系统化的检验鉴定流水线，通过多个部门的配合和相互监督，让检验鉴定更快更可靠。

参考文献
[1]吴若冰,姚志刚.网络诈骗案件中电子物证取证的相关思考[L].法制博览,2020,(24):115-116.
[2]徐青林,杨华.电子物证检验的数据分析方法与应用[L].电子技
术,2020.49(06):188-189.
[3]余绯.网络诈骗案件中电子物证取证的相关探究[L].法制与社
会,2020,(16):87-88.。