电子数据取证技术
第一章 电子数据取证技术概述
01 网络犯罪及其主要特点
1.1 计算机犯罪与网络犯罪
计算机犯罪的概念:
狭义的计算机犯罪概念是指利用计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全的犯罪行为。
广义的计算机犯罪概念可概括为以计算机信息系统为工具或者以计算机信息系统为侵害对象(物理性破坏除外)而实施的危害社会、并应受到刑罚处罚的行为。
图片: 
网络犯罪的概念:
行为人运用计算机技术,借助于网络对其系统或信息进行攻击,破坏或利用网络进行其他犯罪的总称。简言之,网络犯罪是针对和利用网络进行的犯罪,网络犯罪的本质特征是危害网络及其信息的安全与秩序。
1.2 常见的网络犯罪形式
网络犯罪的形式:
1.窃用计算机系统,散布破坏性病毒、逻辑炸弹或者放置后门程序的犯罪。
2.通过入侵,偷窥、复制、更改或者删除计算机信息实施的犯罪。
3.利用网络诈骗、教唆实施的犯罪。
4.通过网络侮辱、诽谤与恐吓实施的犯罪。
5.借助网络色情传播实施的犯罪。污等犯罪。
1.3 网络犯罪的特点
网络犯罪的特点:
1.犯罪主体低龄化
2.犯罪方法智能化
3.犯罪行为隐蔽化
4.犯罪结果扩散化
5.犯罪目的牟利化
6.犯罪组织团伙化
网络犯罪猖獗的原因:
1.互联网自身的缺陷
2.计算机使用者安全意识淡薄,计算机安全防范技术落后
3.黑客软件的泛滥
4.黑客精神对网络犯罪者的深远影响
5.贪图网络犯罪带来的巨大收益
6.多数国家对网络犯罪打击不力
7.取证困难
02 电子数据的概念
2.1 电子证据与电子数据
电子证据:
类似概念首次提出:第一届国际计算机调查专家会议(IACIS),计算机证据:可以识别、恢复、提取、保存并形成报告并使之成为法律证据的电子形式存储的信息
电子证据(网安)、电子物证(刑侦)
《人民检察院电子证据鉴定程序规则》:电子证据,是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其派生物。
定义:电子证据是经由一定的电子设备和技术生成的、以数字形式经过编码后出现的、用以存储并记载相关信息且可反映特定案情的所有类型的数字化的记录和信息。
概念的从属关系:
电子数据:
电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
(《关于办理刑事案件收集提取与审查判断电子数据若干问题的规定》)
2.2 电子数据的常见类型
2.3 现行法律对电子数据的认可
我国的相关法律对电子数据的认定
2012年至2014年,民事、刑事、行政三大诉讼法正式将电子数据证据作为独立的诉讼证据之一,最高法、最高检、公安部和司法部正式认可电子数据证据。
电子数据正式纳入《刑事诉讼法》
2012年3月14日,全国人大会议审议通过了刑诉法修正案草案,新《刑事诉讼法》于2013年1月1日起正式实施。是我国法律首次将“电子数据”列入证据类型之中。
新《刑事诉讼法》第五章第四十八条明确规定:可以用于证明案件事实的材料,都是证据。 证据包括:
(一)物证;
(二)书证;
(三)证人证言;
(四)被害人陈述;
(五)犯罪嫌疑人、被告人供述和辩解;
(六)鉴定意见;
(七)勘验、检查、辨认、侦查实验等笔录;
(八)视听资料、电子数据。
2012年8月31日通过第十一届全国人民代表大会常务委员会第二十八次会议,决定对《中华人民共和国民事诉讼法》作如下修改,并于2013年1月1日正式生效。
将第六十三条修改为:“证据包括:
当事人的陈述;
书证;
物证;
视听资料;
电子数据;
证人证言;
鉴定意见;
勘验笔录。
证据必须查证属实,才能作为认定事实的根据。相应地将第一百二十四条、第一百七十一条中的“鉴定结论”修改为“鉴定意见”。
2016年9月,最高人民法院、最高人民检察院 、公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的通知,10月1日正式执行。
电子数据包括但不限于下列信息、电子文件:
(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。
2.4 电子数据的特点
电子数据的真实性问题
原始性 vs 真实性
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第二十二条 对电子数据是否真实,应当着重审查以下内容:
(四)电子数据如有增加、删除、修改等情形的,是否附有说明;
例:残缺数据的数据恢复,可能需要修改,增加结构信息,但不影响真实性。
03 电子数据取证
3.1 电子数据取证的概念及特点
电子数据取证(Digital Forensics):
经过资格认定的专业人员基于计算机科学原理和技术,按照法律规定的程序发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子证据,找出与案件事实之间的客观关系,确定其证明力并提供鉴定意见的活动。
电子数据取证的特点:
1.介质依赖性使得电子数据的取证源头增加了不确定性。
2.高度精确复制性难以确定原件与复件的区别。
3.取证的手段与技术问题。
4.电子数据在取证时很可能会侵犯公民的隐私。
3.2 电子数据取证的发展
国外电子数据取证的发展概况
美国:
美国是最早从事电子数据取证的国家,其技术发展具有代表性。
五个时期:
1985年以前的孕育期
1985-1995前后的婴儿期
1995-2005的童年期
2005-2010的青春期
2010年至今的成熟期
国外电子数据取证的发展概况
英国:
比较早开展取证研究,特别是在和恐怖分子的斗争中很有经验。
澳大利亚:
近年来的研究很有成效,2008年年初开始组织e-forensics国际会议。
韩国:
早在1995年,韩国就组建了“黑客”侦查队,积极开展工作,此后分别于1997年和1999年建立了计算机犯罪侦查队和网络犯罪侦查队,并于2000年成立了网络恐怖监控中心,由此韩国成为了“网络侦查强国”。 各国纷纷派人前去学习或请韩国人协助取证。
国内电子数据取证的发展概况:
2000年5月,公安部确立了以办理计算机犯罪案件为主线,以电子数据证据为核心,以计算机犯罪侦查为主要内容开展专门技术研究
计算机取证研究列入课题项目,出现一批早期的研究论文和文章。(2003-2005)
中国计算机法证技术峰会(CCFC, China Computer Forensics Conference)主要以介绍追踪国际发展趋势、介绍最新发展为主要目标。
电子取证技术快速发展,相关公司及产品相继面市。
立法
2001年,我国正式引入计算机取证的概念,2012年至2014年,民事、刑事、行政三大诉讼法正式将电子数据证据作为独立的诉讼证据之一,最高法、最高检、公安部和司法部正式认可电子数据证据。
技术的发展
计算机取证技术
新型智能终端取证技术
云存储系统取证技术
可穿戴设备取证技术
3.3 电子数据取证工具
计算机取证软件
EnCase (Guidance Software)、FTK (AccessData)、X-Ways Forensic、i2 Analyst’s Notebook、取证大师(Forensics Master)
手机取证软件
Paraben-Device Seizure 、Microsystem-XRY、Logicube-CELLDEK、Guidance-EnCase Neutrino、AccessData-FTK Mobile Phone Examiner (MPE)、PandoraBox、CellBrite、DC-4501手机取证系统
EnCase:
美国Guidance Software公司的取证产品
EnCase是全球众多执法部门和IT安全专业人士广泛使用的计算机犯罪取证软件
EnCase是计算机犯罪调查取证的综合平台,灵活性较高,支持二次开发
有效保证电子证据的完整性、可信性、准确性
Forensic Toolkit(FTK)
AccessData 公司的FTK取证分析系统,目前世界上最为流行的取证分析系统之一
与EnCase相比,FTK的使用简便,并且提供较强的密码文件收集及破解功能,目前已被美国司法界定位为密码提取的标准工具
包含组件:FTK、FTK Imager、Registry Viewer、PRTK、DNA、Mobile Phone Examiner 等
取证大师
取证大师是国内应用最广、功能最强大的电子数据取证综合分析系统
主要面向基层执法人员开发的智能型电子数据取证分析软件,将自动取证、搜索、报告生成等功能集成于一体,操作简单、分析全面、把取证工作智能化、对调查人员技术需求门槛低,是电子数据取证人员必备的分析系统。
WinHex
是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理的高级工具。
支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复
可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
Decode
快速解析系统时间的软件
Md5Checker
硬件工具
硬盘复制机
支持SATA/IDE 硬盘位对位进行复制
提供DD Image 复制方式
提供MD5 验证
SATA/SCSI只读锁
功能:
基于硬件的写保护设备,用于存储设备的取证调查工作
可以根据用户的需要设置为只读保护或者允许读写
国内外取证软件对比
国外取证软件优势
文件系统等底层技术支持较多,较好
支持较多国外应用软件的调查
国际化支持,支持多语言的调查
国外取证软件劣势
虽有中文版本,但词语翻译不准确,不易理解
对中文的搜索支持及显示仍然有待完善
不支持中国本地化软件的调查(如微信、QQ等)
易用性较差,调查人员需经过系统培训才能熟练使用
3.4 电子数据取证面临的困难
信息安全观念落后
没有保护“虚拟现场”的概念,有的不报案,有的急于恢复服务。
法律法规的滞后
法律法规条文零散不成体系,使得电子取证面临无法可依的困境,阻碍电子取证工作的开展
取证机构和人才的匮乏
电子数据鉴定机构的数量供不应求,电子数据取证人员缺乏理论基础和实践能力。
古今中外的取证专家
中国法医学可追溯到古代(如唐宋等年代)
古今中外的取证专家:宋慈、狄仁杰、包拯、福尔摩斯、李昌钰
华人神探
李昌钰(Henry Chang-Yu Lee),1938年出生于江苏如皋,美籍华人、刑事 鉴识专家、李昌钰获得了800多项荣誉,如美国鉴识科学学会颁发的鉴识科学领 域的最高荣誉奖—刑事领域杰出服务奖、美国法庭科学学会颁发的杰出成就奖、 国际鉴识学会终身荣誉奖、世界杰出华人奖等。
知名案件:
• 肯尼迪总统被杀案
• 尼克松“水门事件”
• 克林顿桃色案
• 911事件
• 美国橄榄球明星辛普森杀妻案
• 南斯拉夫种族屠杀万人案
• 吕秀莲“3·19枪击案”
3.4 电子数据取证面临的困难
电子数据取证人员的素质要求
知识要求
侦查学知识
信息技术知识
法律知识
能力要求
正确处置涉及电子数据的犯罪现场
掌握应用电子数据取证技术
正确使用电子数据取证工具
明确勘验电子数据的程序与步骤
检验常见的电子数据
明确电子数据证据的证据能力和证明力
正确使用电子数据证据
3.5 电子数据取证相关证书
EnCE-美国EnCase认证调查员
EnCase Certified Examiner,简称EnCE,一般翻译为“EnCase认证调查员”,由美国知 名电子数据取证厂商Guidance Software (NASDAQ: GUID) 组织开展,是国际上最具影响 力的计算机取证认证,广泛被全球执法部门、企业(如四大会计师事务所、咨询及调查机构) 认可。
获得EnCE认证的调查员已具备计算机调查取证技能且能熟练使用EnCase取证软件开展综合的计算机调查取证工作。
考试费用:300美元,需通过上机理论考试和实践考试。
ACE-美国AccessData认证调查员
AccessData Certified Examiner,简称ACE,是由知名取证软件FT K(Forensic Toolkit)生产商美国AccessData公司推出的计算机取证的企业认证。
ACE是目前国外认可度较为高的计算机取证认证之一,其主要考察参加人员的FTK系列软件的应用能力
自2014年起,ACE认证的相关事宜改由与AccessData相关联的Syntricate公司运营。目前,ACE考试有英文、中文和西班牙文三种版本,可以免费考试,但要求考生具备FTK取证软件。
ISC2 CCFP- 美国ISC2认证电子取证专家
美国ISC2机构的CCFP电子取证认证专家,要求举办丰富的信息技术专业知识,展示个人在电子取证技术和流程、实践标准、法律及道德原则等方面的卓越呢能力,可保障数字证据的准确性、完整性和可靠性。
认证要求:拥有四年制大学学士学位,在6大领域知识的3个范畴拥有3年全职工作经验(无学士学位者需要6年工作经验);承诺准手ISC2职业道德规范,按ISC2要求完成鉴证 (Endorsement)流程,每3年为一个续证周期)
X-PERT-德国X-Ways认证专家
X-PERT专家认证,是德国X-Ways公司为X-Ways Forensics软件用户推出的一个认证考试。
X-PERT专家认证不仅可以证明证书获得者是一名非常熟悉软件的高级用 户,更表明他具有计算机取证的充足实战经验、深入理解电子数据取证领域的全方位知识, 包括数据存储知识、操作系统数据结构、文件类型、文件格式、文件系统、哈希和字符集 等各方面知识。此证书足以证明他是一个有足够能力、高效的分析人员,会利用所掌握的 技能判断在不同的情况下使用哪些最合适的功能完成手中的不同的取证分析任务。
其它认证
GCFE, GIAC Certified Forensic Examiner (SANS)
GCFA, GIAC Certified Forensic Analyst (SANS)
GNFA, GIAC Network Forensic Analyst (SANS)
GASF, GIAC Advanced Smartphone Forensics (SANS)
CCME, Cellebrite Certified Mobile Examiner (Cellebrite)
CHFI, Computer Hacking Forensic Investigator(EC-Council)
CCE, Certified Computer Examiner
CFCE, Certified Forensic Computer Examiner
扫一扫
1696
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
