数字取证技术.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字证据是指任何使用计算机存储和传输的数据, 用于支持和反驳犯罪发生的推测,或者用于表述诸如动 机、犯罪现场等的犯罪关键要素。一般情况数字证据与 电子证据经常交替使用。
计算机工程学院
3
为中华之崛起而读书
第8章 数字取证技术
数字取证主要是对电子证据识别、保存、收集、分 析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、 有法律效力的电子证据的确定与获取,同样它们都是针 对黑客和入侵的,目的都是保障网络的安全。
计算机工程学院
9
为中华之崛起而读书
第8章 数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何破坏; 2.必须保证取证过程中计算机病毒不会被引入到目标计
算机; 3.必须保证“证据连续性”,即在证据被正式提交给法
庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据 的进程是可靠、可复验的等;
3.模糊的证据形式
我国《刑事诉讼法》中明确规定七种形式的证据:物 证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人 供述和辩解;鉴定结论;勘验、检查笔录;视听资料。对 于日益增多的计算机犯罪案件中,只能根据具体的情况把 电子证据作为视听资料、物证或者书证使用,以便让电子 证据具有法律根据,在公安、检察、法院三家认定上也有 不同的看法,从而使得在一些案件中即使抓住了犯罪嫌疑 人,在移送起诉阶段由于对证据的采信上的不同认识而导 致认定的障碍。
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会受到机械或电 磁损害; 6.被取证的对象如果必须运行某些商务程序,只能影响一 段有限的时间; 7.应当尊重不小心获取的任何关于客户代理人的私人信息。
计算机工程学院
10
为中华之崛起而读书
第8章 数字取证技术
计算机工程学院
6
为中华之崛起而读书
第8章 数字取证技术
8.2.2 数字证据存在的问题
1.数字证据只是片断或摘要 计算机在工作时产生数据冗余只是人们操作电脑的一部
分,对于鼠标的电击,键盘的敲打是记录不下来的。所以记 录的数字证据只是片断或摘要。
2.容易被改变 所有的证据都要证明它的真实性和惟一性。而电子数据
从计算机取证技术的发展来看,先后有数字取证 (Digital Forensics)、电子取证(Electric Forensics)、 计算机取证(Computer Forensic)、网络取证(Networks Forensics)等术语。
ቤተ መጻሕፍቲ ባይዱ计算机工程学院
4
为中华之崛起而读书
第8章 数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的
数字证据获取、分析和展示,如数码相机、复印机、传真机甚 至有记忆存储功能的家电产品等。 2. 计算机取证
计算机取证的主要方法有对文件的复制、被删除文件的恢 复、缓冲区内容获取、系统日志分析等等,是一种被动式的事 后措施,不特定于网络环境。 3.网络取证
网络取证更强调对网络安全的主动防御功能,主要通过对 网络数据流、审计、主机系统日志等的实时监控和分析,发现 对网络系统的入侵行为,记录犯罪证据,并阻止对网络系统的 进一步入侵。
计算机工程学院
5
为中华之崛起而读书
第8章 数字取证技术
8.2 电子证据
8.2.1 电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频
等多种信息形式表现出来。证据一经生成,会在计算机 系统、网络系统中留下相关的痕迹或记录并被保存于系 统自带日志或第三方软件形成的日志中,客观真实地记 录了案件事实情况。但由于计算机数字信息存储、传输 不连续和离散,容易被截取、监听、剪接、删除,同时 还可能由于计算机系统、网络系统、物理系统的原因, 造成其变化且难有痕迹可寻。刑事电子证据的特点要求 数字取证应遵循电子证据的特点,严格执行证据规则, 客观、真实、合法,利用专门工具、专业人士取证保证, 司法活动合法、高效、公正。
利用计算机和其他数字产品进行犯罪的证据都以数 字形式通过计算机或网络进行存储和传输,从而出现了 电子证据。电子证据是指以电子的、数字的、电磁的、 光学的或类似性能的相关技术形式保存记录于计算机、 磁性物、光学设备或类似设备及介质中或通过以上设备 生成、发送、接受的能够证明刑事案件情况的一切数据 或信息。
证据的特殊数据信息形式,需要计算机技术和原有的操作系 统环境才能再现数据形式。此外,从目前数字技术来说,所 有的数字记录都很难说明是否是原存储介质中的资料,是否 进行了修改,在证据中很难鉴别。目前的做法多是从旁证上 同电子证据一起形成证据链,认定犯罪事实。
计算机工程学院
7
为中华之崛起而读书
第8章 数字取证技术
计算机犯罪取证(数字取证)也被称为计算机法医学, 是指把计算机看做犯罪现场,运用先进的辨析技术,对电 脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证 据,并据此提起诉讼。它作为计算机领域和法学领域的一 门交叉科学,正逐渐成为人们关注的焦点。
计算机工程学院
2
为中华之崛起而读书
第8章 数字取证技术
第8章 数字取证技术
第8章 数字取证技术
8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
计算机工程学院
1
为中华之崛起而读书
第8章 数字取证技术
8.1 数字取证概述
随着计算机及网络技术的高速发展和广泛应用,利用 计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的 发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为 案件侦破的关键。计算机取证对于起诉这类犯罪行为至关 重要。
计算机工程学院
8
为中华之崛起而读书
第8章 数字取证技术
8.2.3 常见电子设备中的电子证据
电子证据几乎无所不在。如计算机中的内存、硬盘、 光盘、移动存储介质、打印机、扫描仪、带有记忆存储 功能的家用电器等。
在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
计算机工程学院
3
为中华之崛起而读书
第8章 数字取证技术
数字取证主要是对电子证据识别、保存、收集、分 析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、 有法律效力的电子证据的确定与获取,同样它们都是针 对黑客和入侵的,目的都是保障网络的安全。
计算机工程学院
9
为中华之崛起而读书
第8章 数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何破坏; 2.必须保证取证过程中计算机病毒不会被引入到目标计
算机; 3.必须保证“证据连续性”,即在证据被正式提交给法
庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据 的进程是可靠、可复验的等;
3.模糊的证据形式
我国《刑事诉讼法》中明确规定七种形式的证据:物 证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人 供述和辩解;鉴定结论;勘验、检查笔录;视听资料。对 于日益增多的计算机犯罪案件中,只能根据具体的情况把 电子证据作为视听资料、物证或者书证使用,以便让电子 证据具有法律根据,在公安、检察、法院三家认定上也有 不同的看法,从而使得在一些案件中即使抓住了犯罪嫌疑 人,在移送起诉阶段由于对证据的采信上的不同认识而导 致认定的障碍。
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会受到机械或电 磁损害; 6.被取证的对象如果必须运行某些商务程序,只能影响一 段有限的时间; 7.应当尊重不小心获取的任何关于客户代理人的私人信息。
计算机工程学院
10
为中华之崛起而读书
第8章 数字取证技术
计算机工程学院
6
为中华之崛起而读书
第8章 数字取证技术
8.2.2 数字证据存在的问题
1.数字证据只是片断或摘要 计算机在工作时产生数据冗余只是人们操作电脑的一部
分,对于鼠标的电击,键盘的敲打是记录不下来的。所以记 录的数字证据只是片断或摘要。
2.容易被改变 所有的证据都要证明它的真实性和惟一性。而电子数据
从计算机取证技术的发展来看,先后有数字取证 (Digital Forensics)、电子取证(Electric Forensics)、 计算机取证(Computer Forensic)、网络取证(Networks Forensics)等术语。
ቤተ መጻሕፍቲ ባይዱ计算机工程学院
4
为中华之崛起而读书
第8章 数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的
数字证据获取、分析和展示,如数码相机、复印机、传真机甚 至有记忆存储功能的家电产品等。 2. 计算机取证
计算机取证的主要方法有对文件的复制、被删除文件的恢 复、缓冲区内容获取、系统日志分析等等,是一种被动式的事 后措施,不特定于网络环境。 3.网络取证
网络取证更强调对网络安全的主动防御功能,主要通过对 网络数据流、审计、主机系统日志等的实时监控和分析,发现 对网络系统的入侵行为,记录犯罪证据,并阻止对网络系统的 进一步入侵。
计算机工程学院
5
为中华之崛起而读书
第8章 数字取证技术
8.2 电子证据
8.2.1 电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频
等多种信息形式表现出来。证据一经生成,会在计算机 系统、网络系统中留下相关的痕迹或记录并被保存于系 统自带日志或第三方软件形成的日志中,客观真实地记 录了案件事实情况。但由于计算机数字信息存储、传输 不连续和离散,容易被截取、监听、剪接、删除,同时 还可能由于计算机系统、网络系统、物理系统的原因, 造成其变化且难有痕迹可寻。刑事电子证据的特点要求 数字取证应遵循电子证据的特点,严格执行证据规则, 客观、真实、合法,利用专门工具、专业人士取证保证, 司法活动合法、高效、公正。
利用计算机和其他数字产品进行犯罪的证据都以数 字形式通过计算机或网络进行存储和传输,从而出现了 电子证据。电子证据是指以电子的、数字的、电磁的、 光学的或类似性能的相关技术形式保存记录于计算机、 磁性物、光学设备或类似设备及介质中或通过以上设备 生成、发送、接受的能够证明刑事案件情况的一切数据 或信息。
证据的特殊数据信息形式,需要计算机技术和原有的操作系 统环境才能再现数据形式。此外,从目前数字技术来说,所 有的数字记录都很难说明是否是原存储介质中的资料,是否 进行了修改,在证据中很难鉴别。目前的做法多是从旁证上 同电子证据一起形成证据链,认定犯罪事实。
计算机工程学院
7
为中华之崛起而读书
第8章 数字取证技术
计算机犯罪取证(数字取证)也被称为计算机法医学, 是指把计算机看做犯罪现场,运用先进的辨析技术,对电 脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证 据,并据此提起诉讼。它作为计算机领域和法学领域的一 门交叉科学,正逐渐成为人们关注的焦点。
计算机工程学院
2
为中华之崛起而读书
第8章 数字取证技术
第8章 数字取证技术
第8章 数字取证技术
8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
计算机工程学院
1
为中华之崛起而读书
第8章 数字取证技术
8.1 数字取证概述
随着计算机及网络技术的高速发展和广泛应用,利用 计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的 发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为 案件侦破的关键。计算机取证对于起诉这类犯罪行为至关 重要。
计算机工程学院
8
为中华之崛起而读书
第8章 数字取证技术
8.2.3 常见电子设备中的电子证据
电子证据几乎无所不在。如计算机中的内存、硬盘、 光盘、移动存储介质、打印机、扫描仪、带有记忆存储 功能的家用电器等。
在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。