计算机取证的重要性是很显然的。
除了没电脑的家庭个人之外,有电脑的家庭个人,还有几乎所有的公司、事业单位、政府机关、组织,要保存自己的信息,同时有选择地给他人共享。
除了手机数量国内是全球第—之外,网民数量亦在全球第一。
因此,移动智能终端,和网站服务器,是网民经常使用和光顾的所在。几乎第一概念、第一时间,就会联想到“三网合一”。即电信移动网,电视网,计算机网络。
手机看电视的同时,可以以此为平台进行用户之间的交互。计算机网络中的专网,主要涉及各种能源网络是非常值得关注的。
那么,面对如此复杂的计算环境和用户环境,计算机取证有什么轨迹可寻呢?
第一,数据和用户的关联性。此用户,既可包括具体的个人和群体,又指使用帐号密码者,是虚拟的用户的概念,后者的核心是以其操作行为为取向的。
法律讲究“责任、权利、义务”,就必须要将责任锁定到具体的用户及其行为。
但这是非常困难的。
再阐明,就是要用证据证明:“这一计算机相关联的行为,是这一用户所作”。
第二,存储组织。
1、可能你即使读取到硬盘和U盘上的数据,都不能作为法庭证据。要证明获取手段是合法的,并且要证明获取的正是所需。
2、不管是用已有的程序,还是用自行编写的程序获取硬盘数据,都首先必须证明该程序合法、正确。
3、这类程序都是承载在现有的计算机操作系统之上的。要理解这些内容。至少对EXE文件结构要充分了解。
4、犯事都是用某种能够运行的智能程序所为,对此种智能程序要建立历史数据库(既保存各种不同的版本),能够搭建犯罪现场的平台;同时,要有回溯机制,这样才能一步步进行分析。
5、硬盘的证据数据都是犯事程序所为,必须证明这一点。
6、硬盘的证据数据都是犯事者使用或者利用犯事程序所为,也必须证明这一点。
这即是开宗明义所提的“关联性”。
第三,日期和时间。
记叙文记叙事件时,都有“HOW,WHY,WHAT,WHO,WHERE,WHEN,WHOM”这些因素,如果不能确认这些证据数据的时间,是不行的。
只有按照操作系统组织的数据,才会有日期和时间。包括建立时间,最新修改时间。
象操作系统UNIX,还有文件的主要的授权信息,如拥有者,读者,写者,执行者。
第四、需要充分、深入地利用操作系统。
可以用旁证的方法。既作同样的操作,产生同类型的数据。
第五、程序。
1、犯事者是利用程序,取证者同样是利用相关的程序,而受害者可能也是利用这一程序。
2、这种程序对取证必须证明是安全的。
第六、数据比较与识别。
1、自然会涉及到数据的比较。
2、要由程序来做。
3、要认证这类程序本身至少不会破坏证据数据,即编程分析时,必须保证证据数据的完整性。
4、程序必须是“必须且只须的”,不能有冗余。由于这种证据处理程序是可能要经过试探的,所以很难。而且,试编证据处理程序肯定主要是对证据数据的复本进行的,没有任何迹象能够保证在真正对硬盘和U盘的证据数据进行分析处理时,不会损坏证据,造成无可挽回的后果。
5、数据比较时,程序比较时,如果不能完全相等的情况。
第七、数据的组织。
1、数据本身的结构。
2、保证证据数据获取的完整性,最好能够证明完整的民事行为或刑事行为。
3、数据存储在什么存储体系中。
4、数据的文件格式。需要什么功能和性能、及需求说明书限定的程序才能打开,包括读和写的有序和无序集合。
5、数据的物理形式。
6、数据的保护,即使是诉讼完毕之后,数据也要保存一段时间。
7、将证据数据备份的方式的有效性和合法性。
扫一扫
2352
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
