电子数据取证
第二章 电子数据取证的基本原则
01 电子数据取证的基本原则
1.1 IOCE提出的计算机取证原则
(1)取证过程必须符合规定和标准;
(2)获取证据时所采用的方法不能改变原始证据;
(3)与取证相关的人员必须经过专门培训;
(4)完整地记录对证据的获取、访问、存储或传输的过程,并对这些记录妥善保存以便随时查阅;
(5)每一名保管电子数据证据的人员必须对其针对该电子数据证据的任何行为负责;
(6)任何负责获取、访问、存储或传输电子数据证据的机构有责任遵循这些原则。
1.2 ACPO提出的计算机取证原则
原则1:不损害原则(完整性原则)
任何执法人员不能采取任何改变嫌疑人计算机或存储介质中数据的行为
原则2:避免使用原始证据原则
在特殊情况下,如需访问在原始计算机或存储介质中的数据,该人员必须有能力胜任此操作,并能给出相关解释,说明要访问原始证据的理由
原则3: 记录所作的操作(录像)
调查过程中,应记录电子证据的相关操作,第三方应能根据之前记录的操作, 取得相同的结果
原则4:遵循相关的法律法规(合法性原则)
各个国家及地区都有相应的法律法规,应根据当地法律法规来进行电子数据取证
02 电子数据取证规则
2.1 我国的电子数据取证规则
2005年2月,公安部《计算机犯罪现场勘验与电子证据检查规则》
2005年3月,公安部《公安机关电子数据鉴定规则》
2007年8月,司法部《司法鉴定程序通则》
2010年8月,两高一部《关于办理网络赌博犯罪案件适用法律若干问题的意见》
2014年5月,两高一部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》
2016年9月,两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
2019年1月,公安部颁布《公安机关办理刑事案件电子数据取证规则》
【 关于办理刑事案件收集提取和审查判断电子数据若干问题的规定】
2016.9.20两高一部发布,自2016.10.1起施行
一、一般规定
二、电子数据的收集与提取
三、电子数据的移送与展示
四、电子数据的审查与判断
五、附 则
涉及的重点问题
1.电子数据的界定。
2.保护电子数据完整性的方法。
3.电子数据的取证原则。
4.电子数据冻结。
5.电子数据检查。
6.电子数据真实性的审查与判断。
【 公安机关办理刑事案件电子数据取证规则】
2019年01月02日发布,自2019年2月1日起施行
第一章 总 则
第二章 收集提取电子数据
第三章 电子数据的检查和侦查实验
第四章 电子数据委托检验与鉴定
第五章 附 则
国际电子数据取证标准
ISO/IEC 27037:2012 — Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence (电子证据的鉴别、收集、获取及保全指引)
ISO/IEC 27041:2015— Information technology — Security techniques — Guidelines on assuring suitability and adequacy of incident investigative methods (FDIS)(事件调查方法的适用性指引)
ISO/IEC DIS 27042 -Information technology – Security techniques – Guidelines for the analysis and interpretation of digital evidence (电子证据分析及解释指引)
ISO/IEC 27043:2015 — Information technology — Security techniques —Incident investigation principles and processes 事件调查原则及流程
ISO/IEC 27050 — Information technology — Security techniques — Electronic discovery 电子发现
ISO/IEC 30121:2015 — Information technology —Governance of digital forensic risk framework 电子取证风险框架的管理
我国的电子数据取证标准
GB (国家标准)
电子物证数据搜索检验规程(GB/T 29362-2012)
电子物证数据恢复检验规程(GB/T 29360-2012)
电子物证文件一致性检验规程(GB/T 29361-2012)
信息安全技术 存储介质数据恢复服务要求(GB/T 31500-2015)
GA (公共安全行业标准)
电子数据法庭科学鉴定通用方法(GA/T 976-2012)
电子证据一致性检验方法(SPPD-C-2-2009)(最高检司法鉴定中心实验室)
电子数据证据现场获取通用规范(SF/Z JD0400002-2015)(司法鉴定技术规范,司法部司法鉴定管理局发布)
鉴定的标准一共分了三级,也就是国家技术标准、行业标准,还有该专业领域多数专家认可的方法。有国家标准的适用国家标准,没有国家标准有行业标准,适用行业标准,这两个都没有的情况下,才采用专家认可的方法。这个也是在审查过程当中要关注到的。
GBT29360-2012 - 电子物证数据恢复检验规程
GBT29361-2012 - 电子物证文件一致性检验规程
GBT29362-2012 - 电子物证数据搜索检验规程
GAT757-2008 程序功能检验方法
GAT828-2009电子物证软件功能检验技术规范
GAT829-2009_电子物证软件一致性检验技术规范
GAT1069-2013_电子物证手机检验技术规范
GAT1070-2013_法庭科学计算机开关机时间检验技术规范
GAT1071-2013法庭科学电子物证Windows操作系统日志检验技术规范
GAT1170-2014移动终端取证检验方法
GAT1172-2014电子邮件检验技术规范
GAT1173-2014即时通讯记录检验技术方法
GAT1174-2014电子现场数据现场获取通用方法
【 案例】
案件背景:2020年5月xx日,公诉机关指控梁某某、沈某某组织偷越国(边)境罪一案,在广西某某县人民法院公开开庭审理。
电子证据:本案中,公诉机关向法庭举出一份《电子证据检查笔录》和近400页的微信截图打印件,欲证明梁某某、沈某某在微信当中事先合谋,组织15名境外人员偷越国(边)境,并由沈某某转账38.41万元给梁某某作为报酬。
法庭质证:作为沈某某的辩护人,辩护人根据《公安机关办理刑事案件电子数据取证规则》的规定,对上述两份证据发表了质证意见,提出证据中存在16个方面的不当之处……
破绽1:搜查人员不当,主体不合法。
破绽2:搜查没有见证人,程序不合法。
破绽3:扣押清单上没有标明扣押手机的串号记载不合法。
破绽4:没有当场封存原始介质,封存不合法。
破绽5:没有保管手续和送检笔录,故其保管、储存不合法。
破绽6:证据的同一性不能确保(扣押笔录没有载明手机串号)
破绽7:提取的电子证据检查笔录没有见证人。
破绽8:提取电子数据全程没有录音录像。
破绽9:没有按照电子数据提取程序和流程来提取(少附件)。
破绽11:对涉案的电子数据没有进行哈希值的校检。没有做同一性的检测不合法。
……
结果:
辩方认为本案当中,由于搜查、扣押、保管、提取等一系列程序违法,本案提取的电子数据不能作为定案证据,恳请法庭排除或不采信。
法庭决定延期一个月之后,再行审理,辩护人也表示尊重和服从法庭的决定。
启示:
电子数据取证一定要遵循相关法律规范和技术标准!
03 电子数据取证的一般流程
3.1 电子数据取证的流程
(1)电子数据证据的发现,通过侦查和现场勘查收集最原始的证据。
(2)电子数据证据的固定 ,保证现场勘查和侦察获得的数据的完整性和真实性。
(3)电子数据证据的提取,本质上说就是从众多的未知和不确定性中找到确定性的东西。
(4)电子数据证据的分析,证实信息的存在、信息的来源及信息传播途径,重构犯罪行为、动机及嫌疑人特征。
(5)电子数据证据的表达,把获取的相关证据按照法庭的要求以一定的格式客观、准确地报告事实。
04 电子数据现场勘查
4.1 电子数据现场勘查概述
1、计算机犯罪现场勘查的原则
勘查现场的第一原则是尊重事实;
首先,(对于勘查的结果,无论是否有利于公安部门的工作开展,我们都应该尊重客观事实。)
其次,认真细致的进行勘查工作,善于发现隐蔽的线索和证据。
(计算机犯罪的现场往往非常复杂,线索和证据都非常隐蔽 。)
第三,在勘查现场发现了线索和证据之后,提取过程一定要符合科学的要求和法律的有关规范。
最后,整个勘查工作过程,要严格按照公安机关对于现场勘查工作的有关规定,填写相关法律文书,保证整个案件办理过程的规范有效。
2、计算机犯罪现场勘查的任务
(1)发现、固定、提取与犯罪相关的电子数据及其他证据
(2)进行现场调查访问,制作和存储现场信息资料
(3)判断案件性质,分析犯罪过程,确定侦查方向和范围,为侦查破案、刑事诉讼提供线索和证据。
3、计算机犯罪现场勘查的要求
(1)应当注意保护公民人身安全,尽量避免或者减少财产损失。
(2)应当遵循依法、安全、及时、客观、全面、细致的原则
(3)应当严格遵守保密规定,不得擅自发布刑事案件现场有关情况,泄露国家秘密、商业秘密、个人隐私。
4、人员要求
(1)指挥员。
(2)公安机关现场勘验检查人员(2人以上)。
(3)聘请具有专业知识的人员。
(4)见证人(1-2人)。
(5)其他人员。
5、工具配备要求
必备工具:
(1)摄像机、照相机。
(2)拆机工具。
(3)标签。
(4)笔记本。
(5)防静电物证袋。
(6)记号笔。
(7)无线电信号屏蔽袋
(8)防静电手套。
(9)移动取证工作站。
(10) 移动硬盘。
(11)封条。
(12)警戒带。
(13)手电筒。
(14)物证存储箱。
选备工具:
(1)电子数据存储介质写保护设备。
(2)高速硬盘复制机。
(3)空白硬盘。
(4)网线。
(5)在线取证工具。
(6)便携式打印机。
(7)取证分析软件。
(8)其他设备。
6、相关技术要求
写保护技术
写保护技术主要是用于电子数据取证过程中,保护原始存储介质中的数据不被篡改,遵循国际上电子数据取证指导原则(ACPO)中的不损害原则。
技 术 应 用 : 电 子 证 据 只 读 锁 (Forensic Bridge/Write Blocker) 及硬盘复制机 (Duplicator)。
只读技术(写保护),保护原始电子数据不被篡改,通过硬件或软件实现。
只读锁
U盘写保护
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect = DWORD 1(set) ,0 (clear)
接口转化技术
只读锁、硬盘复制机等取证设备接口比较有限,主要支持常见的介质接口, 一些少见的接口,如MicroSATA、ZIF、LIF、miniSATA等均需要通过转 换接口技术进行转换。
数据复制技术
电子数据取证通常需要能使用精确的数据复制技术,将原始介质中的所有扇区 中的每个位(bit)都能精确复制到目标介质中。此外,通常还要求数据复制能将 DCO/HPA等不可见磁盘区域的数据精确复制出来。
克隆与镜像技术
生成副本,等同于原始检材。
证据固定技术
证据固定是电子数据取证中重要的一个环节,证据固定通常需要借助数据复制、 数据镜像、数据校验等技术来实现。
形式
数据复制(硬盘复制机)
数据镜像(只读锁+取证软件)
数据校验 (MD5/SHA-1等)
电磁信号屏蔽技术
具有无线通讯功能的手机、移动终端容易收到远程控制或原始信息被新接收信 息覆盖,因此,通常还需要对现场扣押的手机、移动终端等设备进行电磁信号 的屏蔽。
屏蔽方式
电磁信号屏蔽袋(Faraday Bag)
电磁信号屏蔽盒
电磁信号屏蔽室(Faraday Room)
信号干扰器
数据提取技术
文件提取、动态易丢失数据提取(内存数据、系统进程、网络通讯、各种应用程序及操作 系统保存的密码等)
数据提取方式
内存镜像(内存数据)
系统状态获取(系统进程、网络通讯)
注册表解析(应用程序及操作系统保存的密码)
4.2 电子数据现场勘查
“计算机犯罪现场勘验与电子证据检查规则” (公信安[2005]161号)
(一)勘查前的准备工作
(二)保护现场
(三)寻找证据源
(四)证据的检查、固定和封存
(五)分析取证
(六)证据整理、归档
(一)勘查前的准备工作
获得法律授权
案件信息和嫌疑人信息
电子数据存储的环境
确定取证策略
确定取证人员
确定使用的取证设备
确定取证目标,决定哪些设备或数据应该被获取
(二)寻找证据源
打印机、扫描仪、电话机、传真机等现代办公设备
数码相机、数码摄像机,包括各种摄像、视频采集、可视电话等设备
智能家电等物联网设备
【案例】奔驰车高速失控巡航失控时速120公里狂飙不止
2018.3.14晚上,河南焦作车主薛先生驾驶奔驰200L轿车,在连霍高速上开启定速巡航后,发现车辆失控,只能以时速120公里的速度继续飞驰,狂奔一个小时,大约跑了一百公里,在河南、陕西两省高速交警紧急施救以及奔驰售后指导下,奔驰车在失控近一小时、约一百公里后,终于安全停下。
3月16日,奔驰方面称,第一时间联系薛先生并安排专业人员赶赴现场了解情况;同时,奔驰还立即成立专家技术小组对所描述情况进行调查。
2018.5.27凌晨,奔驰方面公布了今年3月14日“失控”的奔驰车检测结果。
《北京中机车辆司法鉴定中心司法鉴定意见书》,对该机构所出具的鉴定意见表示充分尊重和认同。
司法鉴定意见书认定,涉事车辆制动系统工作正常,无故障,巡航系统工作正常,无故障,综合认定2018年3月14日车辆在连霍高速相关路段行驶过程中不存在失控情况。
观点
各类案件都有电子证据
侦查和技术密不可分
技术人员要有侦查思维
侦查人员要懂电子证据和网络侦查(电子数据意识—电子数据作为证据或侦查线索)
【案例】 这电脑是谁的?
2016.05.27 南京XX公司网络盗窃案,在四川雅安一公司内抓捕犯罪嫌疑人,扣押一HP笔记本电脑,里面提取到重要涉案证据,但是无人认领此电脑。
现场勘验之 物人建链
确认物证对应的所有人、使用人
★无主物品要及时封存,为人体生物信息鉴定提供条件
手机要尽可能收集锁屏密码。
(三)证据的固定与保全
涉及计算机案件现场的现场取证,首先处理可能很快消失的物理或电子数据。设法保全及记录/照像。
拍照:计算机所在位置、开关机情况、外设连接情况、网络连线情况等。(截屏软件、屏幕录像)
保全:对复制的电子数据利用Hash算法计算校验值。
只读锁
截图软件的使用
屏幕录像
信息摘要技术:将大容量信息“压缩”成一个固定较小长度的大整数。
MD5:128bit,16字节,32个16进制字符
SHA1:160bit
(四)收集提取电子数据
易失性数据的获取:现场取证,首先处理可能很快消失的电子数据。电子数据的获取过程就是提取和固定的过程。
在线获取是指在现场不关闭电子设备的情况下直接提取和固定电子系统中的数据。
远程勘验可以看成是一种特殊的犯罪现场取证。应当采用照相、截屏、录像等方式记录远程勘验过程中提取、生成电子证据等关键步骤。
易失性数据提取
现场取证,首先处理可能很快消失的电子数据。
(1)屏幕信息
(2)内存信息
(3)剪贴板数据
(4)应用程序
(5)加密容器
(6)硬件连接方式
(7)计算机时间
在线提取
只要条件许可,就应当将数据备份后带到实验室进行分析取证。
对已经开着的计算机不要随便关掉,对关着的计算机不要打开【现场、密码、加密分区、破坏性程序】。
远程勘验
远程勘验。是指通过网络对远程目标系统实施勘验,以提取、固定远程目标系统的状态和存留的电子数据。
制作《固定电子证据清单》
制作《远程勘验工作记录》
注意:修改登陆密码,防止同伙销毁证据
远程勘查前必须进行的两件事
删除浏览器临时文件 历史记录 Cookie 保存的密码和网页表单信息。
(IE:工具 – Internet选项)
删除浏览器临时文件 历史记录 Cookie 保存的密码和网页表单信息。
打开windows系统命令行程序,运行tracert命令,对URL进行路由跟踪。
前述案例:网络环境的真实性认定
(五)现场勘验检查工作记录
现场勘验检查笔录
固定电子证据清单
封存电子证据清单
勘验检查照片记录表
现场勘验记录签名
封存电子证据清单
下列封存原始存储介质规范的是
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。
电脑的电缆和连接处都要标记。
关于办理刑事案件收集提取和审查判断电子数据若干问题的规定
封存电子数据原始存储介质,应当保证在不解除封存状态的情况下,无法增加、删除、修改电子数据。封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
封存手机等具有无线通信功能的存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。注意关闭闹钟和定时开机功能。
固定电子证据清单
现场勘验记录签名
扫一扫
991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
