您的位置:360文档中心› 电子数据取证技术研究与应用

电子数据取证技术研究与应用

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

或计算机信息系统运行过程中产生的,以其记录内容来证明案件 其 删 除、修 改 后 ,它 既不可 逆转 ,也很难 留下痕 迹 。因此 ,同其 明案件事实的证明性文件的过程。电子物证取证包括计算机及所
有 与数 字 技术 相 关 的取 证 领域 。
电子数据或信息是以 “ 比特”的形式存在 的,是非连续的,数据
机 的信 息指令 操作 类 的操作 后 ,应 返 回主机 一个 包含 不修 改任 何 证据获取、证据分析和证据表达。 证据获取阶段的工作是固定证据 。电子证据容易修改,一旦 重 要访 问信 息的 回复 。 ( ) iu 2 L nx硬盘 数据镜 像采 集 。此 方法 的数据 采集 可按 以下 决定需 要获 取 电子证 据 ,应该 首先 进行Leabharlann Baidu证据 固定 ,防止 有用证 据 1将 的丢 失 ,在 本 阶段要 求将 电子 证据 的状 态 固定起来 ,使 之在 后续 步 骤操 作 : ) 接受 数据 取证 的硬盘 连接 到预 置 的专用 计算 机上 ; ) 直接 将原硬 盘 的数据 采集 到 目标硬 盘上 。 分析 、陈述 过程 中不会 改变 , 比如 展示 原始 证据和 固定后证 据 的 2 通 过光 盘启动 计 算机 ,
手 机 、P A 盘 、路 由器等 电子设 备 中存在 的 ,以 电子技 术为 基 传送 和 运输 方便 ,可 以反复 重现 ,作 为证 据 易于 使用 、便 于操 作 D 、U ( )电子 证据 取证 原 则 三 基于 以上特 点 ,为确 保 电子证 据 可信 、准 确 、完整 并符 合 相 关 的法律 法 规 ,对 电子证 据 的收 集和 审查 判 断都 有严格 的要求 , 电子 数据 取 证必 须遵 循 以下主 要原 则 :
自一个主机 的读指令操作类的操作后,应通过读操作返回请求的 并把请求的数据返回给主机的操作 。写保护器在收到一个来 自主
息提 取 出来 ,本文 以电子证 据 的载体 之一—— 硬 盘 为例 ,研究 分 数据 。读 指令 操作 可包括 :从 某个 存储 介质 的特 定位 置请 求数据
析电子数据取证过程。 对一个电子证据的取证一般包括三个阶段:
计算机光盘软件与应用
信息技术应用研究
C m u e D S fw r n p l c t o s o p t r C o t a e a d A p a n i i 2 1 年第 1 01 3期
电子数据取证技术研究与应用
胡 银 萍
(同济大 学软 件 学院 ,上 海
209 0 0 2)
— —
4 ——
计算机光盘软件与应用
2 1 年第 1 01 3期 C mu e DS f w r n p l c t O s o p t rC o t a ea dA p ia i n 信息技术应用研究
须 能够 说 明在 证据 从 最初 的获取 状态 到在 法庭 出现 状态之 间 的任 般 是 以可 启动 光盘 形式 出现 ,取证 人 员可 以利用 可 以启动 的、 不 何 改变 。 因此 ,取证 过程 中 ,应 记录 电子 证据 的相 关操作 ,第 三 会 改写硬 盘数 据 的光盘 启动计 算机 ,将 数据采 集 出来 。 方 应 能根据 之前 记录 的操 作 ,取得 相 同的结果 。其 中 ,分析 数据 ( )Wn o s 盘数据 镜像 采集 。Wn o s 盘数据 镜像 采 1 idw 硬 idw 硬 集 步骤 操作如 下 :1 )拆除将 接 受数据 取证 的硬 盘 ;2 )通 过硬 盘 写 保护 器将接 受数 据取 证 的硬盘 连接 到另 外一 台计算 机上 。利 用 计 算机 应用 软件 复制硬 盘数 据到 目标 硬盘 。 硬 盘写 保护器 是保 护 原硬盘 数据 不被 更改 的设 备 ,写保护 器 与取证 硬盘 的接 口及应 用称 述应 具有 单 向功 能,单 向的方 向必须 是取证 硬盘 向复制机 的 目标硬 盘 ,不可逆 向。写保 护器 在收 到来
摘 要 : 电子数 据取 证技 术是 随 着互联 网的发展 而 出现的 一 门新 兴学科 ,本 文对 电子数 据取 证技 术 的概 念 、特点 、所 应遵循的基本原则进行 了归纳总结。对 电子数据取证 中的证据获取、证据分析等关键技术进行了研 究分析 ,并以硬盘取证 为例 ,详 细讲 解 了 电子物证 采 集 中的硬 件 克隆技 术 和软件 采 集技 术 。
或 信息 被人 为地 篡 改后 ,如 果没 有可 对 照 的副本 、映 像文 件 则难 以查清 、难 以判 断 。 此 外 ,电子 证据 还具 有 收集 迅速 ,易于 保存 , 占用空 间少 ,
等特 点 。
电子数据的定义也有很多种, 简单讲就是指基于计算机应用、
通 信和 现 代化 管理 技术 等 电子 化技 术手 段 形成 包括 文字 、图形 符 号 、数 字 、字 母等 的客 观 资料 ,具 体 主要 是指 在计 算机 、 网络 、 础 ,能够 反 映 电子 设备 运 行状 态 、活动 以及具 体思 想 内容 等事 实 的各类 数 字数 据或 信息 ,如文 本 、 图形 、 图像 、动 画 、音频 及视 频 ,系 统 日志 、防火 墙与 入侵 检测 系 统的 工作 记录 、反 病毒 日志 、 系 统 审计 记录 、 网络监 控 流量 ,操 作系 统 文件 、数 据库 文件 和操 作 记录 、 软件 设置 参数 和 文件 ,完 成特 定 功能 的脚 本文 件或 会话 日志和 实 时聊 天记 录等 。 ( ) 电子证据 特 点 二
1无损害原则。任何执法人员不能采取任何改变嫌疑人计算 . 机或存储介质中数据的行为。 2 避免使用原始证据原则。不要直接对原始证据进行分析, . 在特殊情况下,如需访 问在原始计算机或存储介质中的数据,该
电子证据是新时代的产物 ,综合来看 ,电子证据的特征区别
传统 证据 主 要体 现在 以下五个 方面 的特 点 :
术。

2 精确性。电子数据在传输、存储过程中,基本不会发生错 .
误 ,且很 少 能受 到主 观 因素 的影 响 ,因为 计算 机把 它 要处 理 的任 何文 字 、 图像 、声音 等都 转换 成 二进 制码 ,其 一经 形成 便始 终保 持最 初 、最原 始 的状 态 ,精确 性相 对 于其 它任 何形 式 的数据 是无
料、物证等证据种类相 同或相似 的表现形式,能够更加直观、清
晰 、生动 、完 整地 反 映待证 事 实及 其形 成 的过程 ,表 现 形式 上具
有较 强 的复合 性 。
4 脆弱性 。由于电子数据是以磁或光信号的形式存在 的,对 .
它 证据 相 比, 电子 证据 更容 易被 破坏 和修 改 。 5易 破坏 性 。 电子证据 极 容易 被篡 改 、伪造 、破 坏或 毁 灭 , .
1 高科 技性 。 电子证 据 的产 生 、存储 和传 输都 是 以计 算机 技 人 员必 须有 能 力胜任 此 操作 ,并 能给 出相关 解释 ,说 明要访 问原 _
术 、存储技术 、通信技术、网络技术等高科技为基础的,离开了 始证 据 的理 由。
相 应 的技 术设 备 , 电子证据 就 无法保 存 和传 输 。 3 完整 记录 操作 过 程原 则 。在证 据被 正式 提 交给法 庭 时 ,必 .
HuYi p n n ig
( co l f ot aeE gn ei ,o  ̄i nv ri ,h n h i 0 0 2C i ) S h o o f r n i r gT n i st S a g a S w e n U e y 2 0 9 ,hn a
Ab t a tE e t n cDaaF rn i s t e d v lp n f e I tme n meg n e d s i l et ep p rte c n e t sr c : lcr i o t o e s , ht e eo me t e ta d e r ig an w icp i , a e o c p c wi h ot n h n h h o lc r nc d t n v d n e o lci n tc n q e ,h r ce i iss o l ol w h a i r cp e r e s mmai e , e f ee to i aa a d e ie c c l t e h i u s a a tr t , u d f l e o c sc h o t e b s p i i ls we u c n r dt z h e i e c t d c de e t n cd t lcr n cd t r v d n eo i e e ,vd n ea a y i d oh r e c n l g s ac vd n eir u e lcr i aOf e t i a a f i e c f v d n ee i e c l ss no o a e o oe e n n a te y t h o o y r e r h k e e a d a ay i a d h r vd n ef r e a l,ea ld e i e c o lce n e e to i ad r e a d s f r l nn e h o o y n n lss , ad e i e c , x mp ed t i v d n e c l t d i lc nc h r wa n o t e co i g tc n l g n o e e r wa a q ii o . c u s in t
的计算机系统和辅助软件必须安全、可信。 4 遵循法律法规原则。 . 各个国家及地区都有相应的法律法规,
应 根据 当地法律 法规 来进 行 电子取证 。 二 、电子 证据 取证 过程及 应用 在许 多计 算机 化的产 品中都会 存 有 电子证据 ,也 有许 多形 式 的存 储介 质 , 括移 动 电话 、 D 、硬 盘、光 盘 , 至 网线、电缆、 包 PA 甚 空气 中也 能携 带数 字信 息 ,通过 适 当的设 备 ,就 能将 这些 数字 信
K e w o dsElcr ni a ;ornsc ; ide ea i bl; i e c ay i y r : e to cd t F e isEv nc val eEv d n ea lss a a n
当前 ,全球 已步入信息化时代,随着计算机网络技术的迅速
发展 和 普及 , 网络 安全 问题 日益 突 出 。而对 一切 违 法犯 罪活 动 的 诉 讼 都 是 围绕证 据 的收集 和 审查 展 开 ,网络 违法 犯罪 活 动 的特 点 决定 了 电子 数据 取证 的重 要 性 , 电子数据 取 证技 术是 计算 机 学与 法 学 、刑 法 学相 互交 叉 的一 门新 兴学 科 ,是伴 随着 信 息 网络技 术 的 发展 以及 网络 违 法 犯 罪 这 一 新 的犯 罪 形 式 出现 而 出现 的新 技
语伦 比的 。
3 复合性 ,电子 证据 不仅 可 以为 单一 媒体 形式 ,还 可 以为文 . 本 、图形 、 图像 、动 画 、音频 、视 频 等多种 信 息形 成 、存储 于计 算机 硬盘 、U 盘 、光 盘 、存储 卡等 介质 中 ,具有 与 书证 、视 听 资

电子 数 据取 证技 术概 述
关. 词 : 电子数 据 ;取证 ;证 据获 取 ;证 据分 析 - 【
中图分类号:T 3 1 P 9
文献标识码 :A
文章鳊号 :10— 59(0 1 3 0 0— 3 0 7 9 9 2 1 )1- 04 0
Elc r n cDa aFo e sc c n l g s a c n p ia i n e to i t r n i sTe h o o y Re e r h a d Ap l to c
( )概 念 一 目前 ,对 电子数据 取 证还 没有 统 一 、准确 的定义 。参 考一 般 取 证 的含 义 ,关注 电子物 证取 证 本质 层面 的 意义 ,综 合起 来说 , 电子 数据 取证 是指 按 照严 格 的法律 程 序和 技术 程序 ,对 在 计算 机 事 实 的 电磁记 录物 进行 收 集和 分析 ,形 成 具有 法律 效力 、可 以证
相关文档
最新文档