计算机取证概述

原创 2004年09月12日 20:05:00

计算机取证概述<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

  转贴自:中国科学院高能所

 

随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中,与计算机相关的法庭案例(如电子商务纠纷,计算机犯罪等)也不断出现。一种新的证据形式——存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。大量的计算机犯罪——如商业机密信息的窃取和破坏,计算机欺诈,对政府、军事网站的破坏——案例的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点,对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学:计算机取证(Computer Forensics)正逐渐称为人们研究与关注的焦点。
那么什么是计算机取证呢?作为计算机取证方面的一名专业及资深人士,Judd Robbins曾给出了如下的定义:
  l
计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。
 
New Technologies
是一家专业的计算机紧急事件响应和计算机取证咨询公司,进一步扩展了该定义:
    l
计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。
SANS
公司则归结为如下的说法:
    l
计算机取证是使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
   
因此,计算机取证可以是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
   
让我们首先探讨一下电子证据的特点。证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪的标准。在人类的司法证明发展过程中,证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明的转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的转变[1]
   
在很长的历史时期内,物证在司法活动中的运用一直处于随机和分散发展的状态。直到18世纪以后,与物证有关的科学技术才逐渐形成体系和规模,物证在司法证明中的作用也才越来越重要起来。随着科学技术的突飞猛进,各种以人身识别为核心的物证技术层出不穷。例如,继笔迹鉴定法、人体测量法和指纹鉴定法之后,足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充着司法证明的“武器库”。特别是20世纪80年代出现的DNA遗传基因鉴定技术,更带来了司法证明方法的一次新的飞跃。而电子证据的出现,则是对传统证据规则的一个挑战。与传统证据一样,电子证据必须是:
  l
可信的;
  l
准确的;
  l
完整的;
  l
使法官信服的;
  l
符合法律法规的,即可为法庭所接受的;
 
电子证据还具有与传统证据有别的一些特点:
  l
计算机数据无时无刻不在改变;
  l
计算机数据不是肉眼直接可见的,必须借助适当的工具;
  l
搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原子操作;
  l
电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。
 
计算机证据出现在法庭上据悉在我国只是近10年左右的事情,在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱,从1976年的“Federal Rules of Evidence”起,在美国出现了一些法律解决由电子证据带来的问题:
  l The Economic Espionage Act of 1996 
:处理商业机密窃取问题;
  l The Electronic Communications Privacy Act of 1986 
:处理电子通讯的监听问题; 
  l The Computer Security Act of 1987 (Public Law 100-235)
 处理政府计算机系统的安全问题。 
   
我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了一些有关计算机证据的说明,如《关于审理科技纠纷案件的若干问题的规定》,《计算机软件保护条例》等。法庭案例中出现的计算机证据也都比较简单,如电子邮件、程序源代码等不需要使用特殊的工具就能够得到的信息。但随着技术的不断发展,计算机犯罪手段的不断提高,我们1)必须制定相关的法律,2)必须自主开发相关的计算机取证工具,使日益增加的计算机及网络犯罪受到应有的制裁,进一步保护网民或用户的合法权益不受侵害。
   
对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务出现始自于90年代中后期。从近两年的计算机安全技术论坛(FIRST年会)上看,国外计算机取证分析日益成为计算机网络的重点课题。可以预见,计算机取证将是未来几年信息安全领域的研究热点

数字取证技术 :Windows内存信息提取

数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几...
  • zsuhoakd
  • zsuhoakd
  • 2017年04月05日 17:44
  • 697

第1章 计算机、程序和Python概述

Chapter 1
  • u013603102
  • u013603102
  • 2017年01月31日 09:33
  • 118

网络取证原理与实战

网络取证原理与实战 一、分析背景 网络取证技术通过技术手段,提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据,形成证据链,根据证据链对网络犯罪行为进行调查、分析、识别,是解决网络安全问题的有...
  • lcgweb
  • lcgweb
  • 2015年06月09日 14:05
  • 1312

CELLHUNTER手机取证设备简介

CELLHUNTER是全世界最为先进的手机取证利器,为调查人员提供最全面的手机取 证解决方案。它既可以用于犯罪现场也可以用于电子证据实验室做后期的分析取证工 作。作为完整的取证方案,CELLHUN...
  • zhengmeifu
  • zhengmeifu
  • 2013年02月06日 10:35
  • 3467

Java_计算机基础知识

Java_计算机基础知识 01计算机基础知识 计算机 计算机硬件 计算机软件 软件开发 计算机语言 人机交互方式 键盘功能键及快捷键介绍 常用的DOS命令 02 Java语言概述 03 JDK...
  • qq_28511837
  • qq_28511837
  • 2015年05月31日 02:15
  • 522

第一章 计算机系统概述

1.     计算机发展历程 计算机系统由“硬件”和“软件”两大部分组成。 1.1   计算机硬件 1.1.1    硬件的概念 所谓“硬件”,是指计算机的实体部分,它由看得见摸得着的各种...
  • yang1018679
  • yang1018679
  • 2015年05月07日 14:52
  • 617

第一章 计算机网络概述

1.1 三网:电信网络、有线电视网络、计算机网络 计算机网络:用户能够迅速传送数据文件,以及从网络中查找并获取各种有用的资料,包括图像和视频文件。 计算机网络向用户提供的最重要的功能有两个:1、...
  • weixin_40360970
  • weixin_40360970
  • 2018年01月06日 21:07
  • 26

【计算机网络】网络安全知识要点

计算机网络安全知识要点。一、 密码体制1、 对称密码体制:加密和解密的密码相同,由此产生了DES,如果密钥丢失或失窃,则很容易将数据泄露出去。所以对称密码体制的作用仅仅是防止数据被其他人获得。...
  • dongrixinyu
  • dongrixinyu
  • 2017年11月16日 21:43
  • 45

虚拟化之路一:虚拟化概述

虚拟化技术定义广义定义:将任何一种形式的资源抽象成另一种形式的技术。 在计算机中: All computer problems can be solved with another layer o...
  • CoderHattonLiu
  • CoderHattonLiu
  • 2017年01月22日 21:24
  • 482

计算机视觉概述(待续...)

一、什么是计算机视觉?1. 计算机视觉的定义 计算机视觉是一门研究如何使机器“看”的科学,更进一步的说,就是指用摄影机和计算机代替人眼对目标进行识别、跟踪和测量等机器视觉的应用。主要用于模拟人类视...
  • mzpmzk
  • mzpmzk
  • 2017年05月16日 11:15
  • 503
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:计算机取证概述
举报原因:
原因补充:

(最多只允许输入30个字)