数字取证技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从计算机取证技术的发展来看,先后有数字取证 (Digital Forensics)、电子取证(Electric Forensics)、 计算机取证(Computer Forensic)、网络取证(Networks Forensics)等术语。
计算机工程学院
4
源自文库
为中华之崛起而读书
第8章 数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的
利用计算机和其他数字产品进行犯罪的证据都以数 字形式通过计算机或网络进行存储和传输,从而出现了 电子证据。电子证据是指以电子的、数字的、电磁的、 光学的或类似性能的相关技术形式保存记录于计算机、 磁性物、光学设备或类似设备及介质中或通过以上设备 生成、发送、接受的能够证明刑事案件情况的一切数据 或信息。
计算机工程学院
9
为中华之崛起而读书
第8章 数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何破坏; 2.必须保证取证过程中计算机病毒不会被引入到目标计
算机; 3.必须保证“证据连续性”,即在证据被正式提交给法
庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据 的进程是可靠、可复验的等;
计算机工程学院
8
为中华之崛起而读书
第8章 数字取证技术
8.2.3 常见电子设备中的电子证据
电子证据几乎无所不在。如计算机中的内存、硬盘、 光盘、移动存储介质、打印机、扫描仪、带有记忆存储 功能的家用电器等。
在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
数字证据获取、分析和展示,如数码相机、复印机、传真机甚 至有记忆存储功能的家电产品等。 2. 计算机取证
计算机取证的主要方法有对文件的复制、被删除文件的恢 复、缓冲区内容获取、系统日志分析等等,是一种被动式的事 后措施,不特定于网络环境。 3.网络取证
网络取证更强调对网络安全的主动防御功能,主要通过对 网络数据流、审计、主机系统日志等的实时监控和分析,发现 对网络系统的入侵行为,记录犯罪证据,并阻止对网络系统的 进一步入侵。
计算机工程学院
6
为中华之崛起而读书
第8章 数字取证技术
8.2.2 数字证据存在的问题
1.数字证据只是片断或摘要 计算机在工作时产生数据冗余只是人们操作电脑的一部
分,对于鼠标的电击,键盘的敲打是记录不下来的。所以记 录的数字证据只是片断或摘要。
2.容易被改变 所有的证据都要证明它的真实性和惟一性。而电子数据
计算机工程学院
5
为中华之崛起而读书
第8章 数字取证技术
8.2 电子证据
8.2.1 电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频
等多种信息形式表现出来。证据一经生成,会在计算机 系统、网络系统中留下相关的痕迹或记录并被保存于系 统自带日志或第三方软件形成的日志中,客观真实地记 录了案件事实情况。但由于计算机数字信息存储、传输 不连续和离散,容易被截取、监听、剪接、删除,同时 还可能由于计算机系统、网络系统、物理系统的原因, 造成其变化且难有痕迹可寻。刑事电子证据的特点要求 数字取证应遵循电子证据的特点,严格执行证据规则, 客观、真实、合法,利用专门工具、专业人士取证保证, 司法活动合法、高效、公正。
3.模糊的证据形式
我国《刑事诉讼法》中明确规定七种形式的证据:物 证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人 供述和辩解;鉴定结论;勘验、检查笔录;视听资料。对 于日益增多的计算机犯罪案件中,只能根据具体的情况把 电子证据作为视听资料、物证或者书证使用,以便让电子 证据具有法律根据,在公安、检察、法院三家认定上也有 不同的看法,从而使得在一些案件中即使抓住了犯罪嫌疑 人,在移送起诉阶段由于对证据的采信上的不同认识而导 致认定的障碍。
证据的特殊数据信息形式,需要计算机技术和原有的操作系 统环境才能再现数据形式。此外,从目前数字技术来说,所 有的数字记录都很难说明是否是原存储介质中的资料,是否 进行了修改,在证据中很难鉴别。目前的做法多是从旁证上 同电子证据一起形成证据链,认定犯罪事实。
计算机工程学院
7
为中华之崛起而读书
第8章 数字取证技术
第8章 数字取证技术
第8章 数字取证技术
8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
计算机工程学院
1
为中华之崛起而读书
第8章 数字取证技术
8.1 数字取证概述
随着计算机及网络技术的高速发展和广泛应用,利用 计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的 发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为 案件侦破的关键。计算机取证对于起诉这类犯罪行为至关 重要。
计算机犯罪取证(数字取证)也被称为计算机法医学, 是指把计算机看做犯罪现场,运用先进的辨析技术,对电 脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证 据,并据此提起诉讼。它作为计算机领域和法学领域的一 门交叉科学,正逐渐成为人们关注的焦点。
计算机工程学院
2
为中华之崛起而读书
第8章 数字取证技术
数字证据是指任何使用计算机存储和传输的数据, 用于支持和反驳犯罪发生的推测,或者用于表述诸如动 机、犯罪现场等的犯罪关键要素。一般情况数字证据与 电子证据经常交替使用。
计算机工程学院
3
为中华之崛起而读书
第8章 数字取证技术
数字取证主要是对电子证据识别、保存、收集、分 析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、 有法律效力的电子证据的确定与获取,同样它们都是针 对黑客和入侵的,目的都是保障网络的安全。
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会受到机械或电 磁损害; 6.被取证的对象如果必须运行某些商务程序,只能影响一 段有限的时间; 7.应当尊重不小心获取的任何关于客户代理人的私人信息。
计算机工程学院
10
为中华之崛起而读书
第8章 数字取证技术
计算机工程学院
4
源自文库
为中华之崛起而读书
第8章 数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的
利用计算机和其他数字产品进行犯罪的证据都以数 字形式通过计算机或网络进行存储和传输,从而出现了 电子证据。电子证据是指以电子的、数字的、电磁的、 光学的或类似性能的相关技术形式保存记录于计算机、 磁性物、光学设备或类似设备及介质中或通过以上设备 生成、发送、接受的能够证明刑事案件情况的一切数据 或信息。
计算机工程学院
9
为中华之崛起而读书
第8章 数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何破坏; 2.必须保证取证过程中计算机病毒不会被引入到目标计
算机; 3.必须保证“证据连续性”,即在证据被正式提交给法
庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据 的进程是可靠、可复验的等;
计算机工程学院
8
为中华之崛起而读书
第8章 数字取证技术
8.2.3 常见电子设备中的电子证据
电子证据几乎无所不在。如计算机中的内存、硬盘、 光盘、移动存储介质、打印机、扫描仪、带有记忆存储 功能的家用电器等。
在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
数字证据获取、分析和展示,如数码相机、复印机、传真机甚 至有记忆存储功能的家电产品等。 2. 计算机取证
计算机取证的主要方法有对文件的复制、被删除文件的恢 复、缓冲区内容获取、系统日志分析等等,是一种被动式的事 后措施,不特定于网络环境。 3.网络取证
网络取证更强调对网络安全的主动防御功能,主要通过对 网络数据流、审计、主机系统日志等的实时监控和分析,发现 对网络系统的入侵行为,记录犯罪证据,并阻止对网络系统的 进一步入侵。
计算机工程学院
6
为中华之崛起而读书
第8章 数字取证技术
8.2.2 数字证据存在的问题
1.数字证据只是片断或摘要 计算机在工作时产生数据冗余只是人们操作电脑的一部
分,对于鼠标的电击,键盘的敲打是记录不下来的。所以记 录的数字证据只是片断或摘要。
2.容易被改变 所有的证据都要证明它的真实性和惟一性。而电子数据
计算机工程学院
5
为中华之崛起而读书
第8章 数字取证技术
8.2 电子证据
8.2.1 电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频
等多种信息形式表现出来。证据一经生成,会在计算机 系统、网络系统中留下相关的痕迹或记录并被保存于系 统自带日志或第三方软件形成的日志中,客观真实地记 录了案件事实情况。但由于计算机数字信息存储、传输 不连续和离散,容易被截取、监听、剪接、删除,同时 还可能由于计算机系统、网络系统、物理系统的原因, 造成其变化且难有痕迹可寻。刑事电子证据的特点要求 数字取证应遵循电子证据的特点,严格执行证据规则, 客观、真实、合法,利用专门工具、专业人士取证保证, 司法活动合法、高效、公正。
3.模糊的证据形式
我国《刑事诉讼法》中明确规定七种形式的证据:物 证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人 供述和辩解;鉴定结论;勘验、检查笔录;视听资料。对 于日益增多的计算机犯罪案件中,只能根据具体的情况把 电子证据作为视听资料、物证或者书证使用,以便让电子 证据具有法律根据,在公安、检察、法院三家认定上也有 不同的看法,从而使得在一些案件中即使抓住了犯罪嫌疑 人,在移送起诉阶段由于对证据的采信上的不同认识而导 致认定的障碍。
证据的特殊数据信息形式,需要计算机技术和原有的操作系 统环境才能再现数据形式。此外,从目前数字技术来说,所 有的数字记录都很难说明是否是原存储介质中的资料,是否 进行了修改,在证据中很难鉴别。目前的做法多是从旁证上 同电子证据一起形成证据链,认定犯罪事实。
计算机工程学院
7
为中华之崛起而读书
第8章 数字取证技术
第8章 数字取证技术
第8章 数字取证技术
8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
计算机工程学院
1
为中华之崛起而读书
第8章 数字取证技术
8.1 数字取证概述
随着计算机及网络技术的高速发展和广泛应用,利用 计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的 发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为 案件侦破的关键。计算机取证对于起诉这类犯罪行为至关 重要。
计算机犯罪取证(数字取证)也被称为计算机法医学, 是指把计算机看做犯罪现场,运用先进的辨析技术,对电 脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证 据,并据此提起诉讼。它作为计算机领域和法学领域的一 门交叉科学,正逐渐成为人们关注的焦点。
计算机工程学院
2
为中华之崛起而读书
第8章 数字取证技术
数字证据是指任何使用计算机存储和传输的数据, 用于支持和反驳犯罪发生的推测,或者用于表述诸如动 机、犯罪现场等的犯罪关键要素。一般情况数字证据与 电子证据经常交替使用。
计算机工程学院
3
为中华之崛起而读书
第8章 数字取证技术
数字取证主要是对电子证据识别、保存、收集、分 析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、 有法律效力的电子证据的确定与获取,同样它们都是针 对黑客和入侵的,目的都是保障网络的安全。
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会受到机械或电 磁损害; 6.被取证的对象如果必须运行某些商务程序,只能影响一 段有限的时间; 7.应当尊重不小心获取的任何关于客户代理人的私人信息。
计算机工程学院
10
为中华之崛起而读书
第8章 数字取证技术