电子数据取证读书笔记
第一章
1.1网络犯罪与网络安全
网络犯罪手段和危害后果已经远超传统犯罪,所以发展网络安全迫在眉睫
1.2电子数据概述
1.电子数据定义
“电子数据”就是“信息数字化过程中形成的以数字形式存在的能够证明案件事实情况的数据”。
2.理论基础
物质交换原理:“两个对象接触时,物质会在这两个对象之间产生交换或者转移。”
3.电子数据的来源
(1)物理存储
传统介质:软盘,硬盘,移动硬盘,磁带等磁介质,光盘等光介质。
新型的物理储存:固态硬盘,手机芯片,闪存(包括U盘,存储卡)等电介质
(2)逻辑存储
电子数据在逻辑状态下,是不同的操作系统,将电子数据以一定编码保存。这些电子数据逻辑存储包括:
-用户文件(电子文档,电子邮件,音/视频文件,日程表,网络访问记录/收藏夹,数据库文件,文本文件等)
-操作系统文件(配置文件,备份文档,Cookies,交换文件,系统文件,隐藏文件,临时文件等)
-保护文件(压缩文件,加密文件,隐藏文件等)
-日志包括系统日志,IDS,防火墙,FTP,WWW和杀毒软件日志
-其它数据区中可能存在的电子数据,例如未分配空间,松弛空间,隐藏分区等
4.电子数据的特点
(1)记录方式的虚拟性(电子数据与传统证据最本质的区别,也是电子数据最根本的特点)
(2)电子数据的易破坏性
(3)电子数据的客观性
1.3电子数据取证概述
1.发展(略)
2.概念:
采用技术手段,获取、分析、固定电子数据作为认定事实的科学
3.应用领域
(1)刑事案件的侦查取证和诉讼
(2)民事案件的举证和诉讼
(3)行政诉讼案件的举证和处理
(4)企业内部调查
4.电子数据取证架构(详略)
证据层
技术层
对象层
基础层
5.电子数据取证与应急响应的区别(详略)
(1)实施主体不同
(2)过程不同
(3)目标不同
6.电子数据取证与公证的区别
(1)应用范围不同
(2)主体不同
7.电子数据取证与数据恢复的区别
数据恢复的目标是数据,而电子数据取证的目标是证据