电子数据鉴定方法与规范探讨——动态取证技术在服务器内容鉴定的应用
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
近 年来 ,随着 计算 机应 用与 互联 网技 术 的空前 发展 ,对 我 国 的政 治、经 济、 军事 、科技 、文 化等 领域 产生 了深 远 的影 响。它 们 给人 们带来 巨大 便利 的 同时 , 引发 了新犯罪 方法 和行 为 , : 也 如 网络诈骗 、 网络色 情 、网络 赌博 、黑 客攻 击等 。这给 司法 鉴定 业 务 增加 了新 的内容和 新 的挑战 。 计算机 犯 罪总 的趋 势 呈现 为形 式越 来越 多样 化 、手段 越来越 隐蔽 化 。从 最初 的针对 财 物犯 罪发 展为对 政 治 、军事 、知 识产权 等多个 领域 的犯 罪 ;从 单 机犯 罪发展 到 网络犯 罪 。计算 机犯 罪给 国家安 全和社 会稳 定造 成 了严重 威胁 ,严 重地 危害 了我 国 的政 治 安 全 、经 济 安全和 社会 安定 。 因此 ,对计 算机 犯罪进 行严 厉打 击 是 很有 必要 的 。而 在打 击计 算机 犯罪 过程 中很 重要 一环就 是 :如 何 将犯罪 者 留在计 算机 中 的 “ 痕迹 ”作为 有效 的诉讼 证据 提交 给 法庭 ,最 大 限度地 获取计 算机 犯罪 的相 关证 据 , 以便 将犯 罪者 绳 之 以法 。 电子数 据鉴 定基本 原则 从 广义 上讲 , 电子证据 可 以定义 为借 助 电子技 术 、数字 化技 术 和相 关设 备形成 的 ,能 反应案 件真 实情 况 的一切 电子化 信 息 、 记 录 的物 品 。对于 一 台涉 案计 算机 来讲 ,其主 要 的存储 介质一 硬 盘就 是调 查员在 鉴定 过程 中要 重点 分析 调查 的物 品。 纵观 国 内外 电子数据 鉴定 方法 ,大 多遵 循着 以下原 则 : ( )不损 害原 则 。任何 执法 人 员不 能采用 任何 改变 嫌疑 人 一 计算 机或 者存储 介质 中数据 的行 为 。 ( )避免 使用 原始介 质 原则 。调查 过程 中所 有 的操作 不应 二 在 原始 介质上 进行 。在 特殊 情况 下 ,如需 访 问原始 计算 机或 存储 介 质 中的数据 ,该 人员 必须 有能 力胜 任此操 作 ,并 能给 出相 关解 释 ,说 明要访 问原始 介质 的理 由。
( 新疆警 官高等专科学校 ,新疆鸟鲁木齐
80 0 ) 3 0 1
摘 要 :随着计 算机 应 用与互联 网技 术 的发展 ,针 对服 务 器调查 的案 件越 来越 多。服务 器 的特殊性 决 定 了它的调 查方 法与 桌 面型计算机 有 着较 大的 区别 ,本文 针对服 务 器调 查的 方法及 规 范性进 行 了深入 的探 讨 。
sr eswe e a pe r dThe s v y meho s l gedi e e ebewe n sr e d d s tp o e v r r p ae . ur e t d ha a f rnc t e e v ra e ko c mpue e a e o e v rss c fc r n trb c us fs r e’ pe ii c a a trsisI i a e , ic st t d fsr e e tg to d i o m aiei — e h. h rc e tc . t sp p rwed sus i nh hemeho so e v ri nv si ai na t n r tv n d pt n s Ke ywo d: mpue 0 e i : e to i aaSe e ; o ai r Co trf rnscElcr n cd t ; r rN r t v m ve
一
、Βιβλιοθήκη Baidu
—
操 作 ,所有 的分 析过 程都 应 该在 副本硬 盘上 进行 , 因此制 作一 个 硬 盘 副本是 必须 的。这 一过程 可 以使用 取证 专用 的硬 盘 复制机 来 完成。 ( )封存 源盘 。源盘 是 最原 始 的证据 ,应对 其进 行封 存 并 三 妥善 保 管,对 于每 次使 用源 盘 的事件 都应进 行 详细 的记录 。 三 、服务 器 的鉴定 方法 随着犯 罪形 式 与手 段不 断发 生转 变 ,有些 重要 证据 逐步 向 网 络 化 发展 ,这就 要 求鉴 定的对 象 必须 由原来 的单机 向服 务器系 统 转 变 。从实 际 的情 况来看 , 由于不 同的服务 器所 提供 的服 务 内容 不 尽相 同 ,其鉴 定方 法也 与桌 面型 计算 机 的鉴定 方法 有着 较大 的 区别 。下面 将针对 各种 服 务器 内容 的鉴 定方法 进行 相应 的探 讨 。 般情况 下 , 务器 的类 型可根据 其提供 的服务进 行分类 ,常 服 见 的有 :文件服 务器 、 e 服 务器 、邮件 服务器 、数据库 服务器等 。 Wb 由于服 务器 的类 型 的区别 ,调 查方 法则 需要跟 随服 务器 类 型而转 变 ,大致 可 以划 分为 :静 态调查 、动态 调查 、动静 结合调 查 。 ( )静态 调查 一 所 谓 的静态 调查 就是 利用 计算 机取 证 软件 、数据 恢 复软件 等 工 具对 介质 中存 储 的文件 及碎 片信 息进 行分 析 、恢 复并提 取涉 案 的内容 。其操 作规 范 与桌 面型 计算 机 的调查 方式基 本 相 同。这种 调 查方 法主 要适用 于文 件服 务器 鉴 定,如 FP服务 器等 。 T ( )动 态调 查 二 由于 有些 服务 器存储 是 结构化 数据 , 带有特 定 的数据 结构 , 它 不是 以简 单的文 本 或文 档存 储 的,这 种类 型 的数据 则需 要利用 原 有 的服 务器 环境 才 能解析 并读 取其 中的 内容 ,对 于 这一类 型数 据 的调查 方法 通常 称之 为动 态调 查 。这种 方法 适用 于 邮件服 务器 、 数据 库服 务器 、网站服 务器 等 的 内容 鉴定 。
关键词 :服 务 器 ;取证 ;电子数 据 ;动 态仿真取 证技 术
中 图分 类号 :T 3 3 P 9. 4
文 献标识 码 :A
文章 编号 :10 — 59 ( 00 0 — 0 5 0 07 99 2 1 ) 9 06 — 2
I n i c to nd Sp cfc to fEl c r ni t de tf a i n a e i a i n o e t o c Da a i i
计 算机 光盘 软件 与应用
2 1 年 第 9期 00 C mu e D S fw r n p lc t o s o p t rC o t a ea dA p i a i n 工程 技 术
电子数据鉴定方法与规范探讨
一
动 态取 证 技 术 在 服 务 器 内容 鉴 定 的应 用
张 杨
— —
Dy a i d n i c to fEv d n ei h p i a i n Se v rCo tn n m cI e tf ai n o i e c t eAp lc to r e n e t i n
Zh n n a g Ya g
( iin oi f es c d myWuu q 8 0 0 ,h a Xn a gP leOf r’A a e , l j c i s c mu i 3 0 1C i ) n
A b t a tW ih t e eo m e to omp e p ia in nd I tm e e h l ymo e c s swhih i ig a n si tn s r c : t he d v lp n fc utra plc to s a n e tt c noog , r a e c am n tive t ig ga