计算机取证
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证概述
一、背景
计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍,与计算机有关的犯罪也越来越多。要打击并遏制犯罪,执法机关必须依照法律的要求获取证据,特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关,计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。
计算机取证的目的就是要通过分析计算机和网络活动,从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色,在计算机中都会留下大量与犯罪有关的数据,进而依据有关科学与技术原理和方法找到证明某个事实的证据。
由于计算机技术应用的深入,计算机取证逐步发展为数字取证。
(一)数字取证的定义
数字取证是从计算机取证逐步发展而来。
Lee Garber在IEEE Security发表的文章中认为,计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过
程。
计算机取证资深专家Judd Robbins给出如下定义,计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。
计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义,计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。
SANS公司认为,计算机取证是使用软件和工具,按照一些预定的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
我国的陈龙等人认为,计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。
(二)计算机司法鉴定的定义
司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分,而计算机取证的概念要丰富,除计算机司法鉴定的内容外,还要包括对犯罪现场的勘查,如证据的发现、提取、保存、运输等。
(三)数字证据
在司法活动中,证据是法官判定罪与非罪的依据。人类司法活动中,证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主证明的转变。
在很长的历史时期,物证在司法活动中运用一直处于随机和分散发展的状态。直到18世纪以后,与物证有关的科学技术才逐渐形成体系和规模,物证在司法证明中的作用也越来越重要。随着科学技术的发展,各种以人身识别为核心的物证技术层出不穷,继笔记鉴定法、人体测量法和指纹鉴定法之后,足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充司法证明的“武器库”。特别是,20世纪80年代以来的DNA遗传基因鉴定技术更带来司法证明方法的一次飞跃。计算机证据的出现也为司法证明方法带来新的进步。
计算机证据是指以计算机形式存在的、用作证据使用的一切材料及其派生物,或者说是借助计算机生成的一切证据。相关的术语有电子证据、网络证据、数字证据等。
计算机证据和电子证据的区别:两者有千丝万缕的联系,却不尽相同。有时候,计算机证据的外延要大于电子证据,因为以机械式计算机、光学计算机、生物计算机为基础的证据只能从“功能”上等同的角度临时到桌电子证据处理,
显然不是典型的计算机证据。有时候,电子证据在外延上也可能大于计算机证据,如固定电话机是基于模拟电子技术而制成的通信工具,它所录制的电话资料就属于电子证据而不属于计算机证据。
国外在计算机取证的基础上提出了数字取证,相应地也有数字证据,这一术语也得到比较普遍的人可。
一般来讲,以计算机科学为背景的人多使用计算机证据或数字证据,而法律界多使用电子证据。虽然计算机证据、电子证据在概念和外延上有一定的差异,但一般而言可以不严格区分。因此,在本文中计算机证据、数字证据和电子证据不加区分。
任何材料要成为证据,均需具备三个特性:客观性、关联性、合法性。因此,计算机证据与传统证据一样,必须是可信的、准确地、完整的,使法官信服,符合法律规定,为法庭所认可。
计算机证据与传统证据相比的新特性有:
1.计算机证据同时具有较高的精密性和脆弱易逝性。一方面计算机证据以技术为依托,很少受主观因素的影响,能够避免其他证据的一些弊端,如证言的误传,书证的误记等。另一方面计算机信息是二进制表示的,以数字信号的方式存在,而数字信号是非连续的,故意或因为差错对计算机进行的变更、删除、剪接、监听等,从技术上讲很难查清。
2.计算机证据具有较强的隐蔽性。计算机证据在计算机系统中可存在的范围很广,使证据很容易被隐藏。同时,计算机证据以二进制形式编码,无法直接阅读。一切信息都由编码表示并传递、存储,使计算机证据与特定主体之间的关联使用常规手段难以确定。因此,计算机证据使用肉眼无法直接解读,必须借助适当的工具。
3.计算机证据具有多媒体性。计算机证据的形式是多样的,它综合了文本、图形、图像、动画、音频、视频等多媒体信息,几乎涵盖了几乎所有的传统证据类型。
二、计算机取证的历史
计算机取证科学主要是在执法机关的实践需求中应用而生的,1984年,美国FBI实验室就开始研究计算机取证,为有组织有计划地解决对刑侦人员不断增长的需求,成立了计算机分析响应组CART(THE COMPUTER ANALYSIS AND REPOSE TEAM)。20世纪90年代,美国联邦犯罪调查实验室的主任每年在华盛顿举行2次研讨,创建了目前数字取证领域享有盛誉的“数字取证科学组”(SWGDE)。
计算机取证发展中影响较大的事件有:
1984年,美国FBI建立的计算机分析与响应组CART。
1993年,举办第一届计算机取证国际会议,First International Conference on Computer Evidence held。