信息犯罪与计算机取证

6.1.2 保全分类
1．文件证据保全 主要有两大类，其一是存储于计算机硬盘、 软盘、移动存储器及内存缓冲中的系统日 志文件、数据文件、临时文件等数字信息； 其二是来自于计算机网络的犯罪证据，包 括实时获取的网络通信设备、路由交换设 备的日志，网络安全设备如防火墙日志文 件、IDS系统日志文件，IIS服务器日志文 件、FTP服务器日志文件和杀毒软件日志 文件等。

图6-6 硬盘拷贝机示例
（3）存储卡拷贝机 存储卡拷贝机专用于对可移动便携式存 储介质进行复制，其复制过程可以独立 作业，无须连接计算机。 当前国内外市面上出现了较多类型的存 储卡拷贝设备。

图6-7 存储卡拷贝机示例
3．镜像注意要点
（1）应确保目标硬盘的容量大； （2）应确保支持常用接口类型，如 IDE、SCSI、PCMCIA等； （3）应确保在取证之前完全擦除目标 盘中的残余数据，避免该残余数据影响 证据的分析和取信程度。


（4）由于事前无法预知涉案机器的具 体外设情况等，故在实Leabharlann Baidu的取证过程中， 应尽量选取可支持多种存储类型的取证 工具箱，即应考虑把支持软盘、ZIP软 盘、CD-R等多种存储介质都整合进工 具箱。
6.2.2 数字签名技术
数字签名（Digital Signature，DA） 在ISO7498-2标准中定义为： 附加在数据单元上的一些数据，或是对 数据单元所作的密码变换，这种数据和 变换允许数据单元的接收者用以确认数 据单元来源和数据单元的完整性，并保 护数据，防止被人（例如接收者）进行 伪造。

2. 保全原则 电子证据属于高科技证据，它以二进制 的数据格式存储于计算机硬盘或其他数 字设备的存储器上，具有较高的易篡改 性，故不能直接进入诉讼证明领域。

（1）存储电子证据的方法是否科学， 存储介质是否可靠； （2）存储的电子证据是否加密，是否 遭受未经授权的接触。 （3）存储电子证据的人员是否具有资 质。

2．硬件设备保全
在司法取证时，由于案情的特殊要求， 需要对含有犯罪证据的各类存储设备中 的全部涉案内容进行完全保存。 常见的电子证据存储设备包括：计算机 主机系统、移动电子设备和其他类型的 数字化设备等。

（1）计算机主机系统 （2）移动电子设备

◦ ◦ ◦ ◦ ◦ ◦
CF卡 SD卡 SM卡 XD卡 记忆棒 PC卡
1．镜像定义 磁盘镜像，也称磁盘映像，是在两个或 多个磁盘或磁盘子系统上生成同一个数 据的镜像视图的信息存储过程。

2．镜像工具 （1）磁盘镜像软件 目前常用的磁盘镜像软件种类较多，如 Ghost、R-Drive Image、DiskImage、 SafeBack、Linux dd、SnapBack DatArrest等，根据镜像软件的应用领 域可分为通用型和专业型两类。
6.1.3 保全方法

1. 封装 封装是指执法人员到犯罪或入侵现场进 行实际勘查，封存相关计算机硬件设备、 各种打印结果，以及内部工作人员的工 作日志、磁盘介质等。 2. 备份 备份是指采用适当的存储介质对包含犯 罪行为的电子证据制作副本，用于取证 人员后期对证据进行分析和评估。
缺陷：

① 通用型 Ghost、DiskImage和R-Drive Image 等在一般的电脑备份时使用较多，该类 型软件最大特点是具有出色的磁盘数据 备份和硬盘复制功能。磁盘镜像文件可 实现对硬盘、分区或逻辑磁盘的逐位拷 贝，以防止数据文件丢失。

图6-1 Norton Ghost软件备份界面
图6-2 DiskImage软件操作界面

目前常用的电子证据保全方法是： 运用磁盘镜像技术将硬盘中所有数据按 其物理存放格式进行完全备份，并对收 集的含有犯罪证据的数字信息或设备采 取实物管理加软件加密相结合的方式进 行完整性保护。

6.2 保全技术原理

6.2.1 磁盘镜像技术 将一个存储装置里的数据完整复制到另 一个装置中。 要达到真正意义上的镜像，必须做到磁 盘信息的原相复制，只有通过逐位拷贝， 才能够建立整个驱动器映像的文件，以 确保得到所有的数据。
首先，传统保全方法的可靠性主要取决 于人员的可靠性以及保全过程、程序的 规范性等因素，因此主观因素对证据保 全的影响较大，任何一点纰漏都会影响 电子证据的真实性和完整性； 其次，传统方法的实施成本较高且缺乏 有效监管，许多电子证据可能在无意或 有意之中遭到了破坏和修改，间接影响 和禁锢了电子证据的诉讼功效。

1．Hash签名 Hash签名是最主要的签名方法，也称为 “哈希函数”，“数字摘要法（Digital Digest）”是一种证明数字数据是否经过 未授权修改的方法，也称单向散列算法。 典型的哈希算法为MD5（ Message Digest），表示消息摘要。它对输入数据 以512位分组，通过对输入的消息进行运 算，最后产生128位散列值，即4个32位 字的级联。
图6-3 R-DriveImage软件操作界面
② 专业型 Linux dd、SnapBack、SafeBack是三 款专业镜像软件，常用于司法取证实践。

图6-4 Linux DD程序操作界面
图6-5 SnapBack软件操作界面
（2）硬盘拷贝机 又称硬盘复制机、硬盘克隆机，是实际 司法过程中对嫌疑犯使用过的计算机进 行取证的常用工具。 与SafeBack等磁盘镜像软件不同，硬 盘拷贝机不是基于软件的，不需要先建 立数据源（例如一个硬盘）的映象文件， 再把映象文件恢复到相似的介质中（例 如另一个硬盘）。
信息犯罪与计算机取证
第六章 电子证据保全
本章重点内容

电子证据保全的概念、方法，以及相关 技术原理。
本章学习要求：

通过本章学习，掌握不同类型电子证据 的保全方法，理解磁盘映像技术、数字 签名与时间戳技术的原理及优缺点。
6.1 电子证据保全概述
6.1.1 保全概念和原则 1. 保全概念 电子证据保全是指以某种形式将收集到 的电子证据保存和固定下来，加以妥善 保管，以便相关司法人员、律师或技术 人员，在分析、认定案件事实时使用。