未来的公安必备电子武器--犯罪取证系统.ppt

“中华人民共和国公安系统未来必备的强大网络电子组合式武器库” 基于FIPA(The Foundation for Intelligent Physical Agents)引擎的取证流程智能决策系统 调查取证简介 证据保存与分析 取证工具介绍 详细证据 计算机调查取证的定义 计算机调查取证可以简单说是一门有关计算机操作系统和文件结构的应用科学和分析技术，用来寻找潜在法庭证据的过程。 为什么证据很重要? 在互联网世界，证据是一切 。 证据可以推断事实 。 法庭调查是基于证据的。 谁需要计算机调查取证？ 受害者 ! 法律执行者 保险公司 最终法律系统 谁可能是受害者？ 法庭调查取证分析的目的 确定肇事者的身份 识别肇事者犯罪轨迹 引导受害者实现损失评估 保护证据以便法庭上使用 磁盘调查取证 网络调查取证 电子邮件调查取证 互联网调查取证 源代码调查取证 磁盘调查取证 磁盘调查取证是指获得和分析储存在物理介质上数据的过程 。 包括对隐藏和已删除数据的恢复 包括识别谁是文件和消息的创建者 梅利莎病毒：该病毒首先感染通用模板：Nor_ mal.DOT文件，并修改Windows注册表项： HKEY_CURRENTUSER\Software\Microsoft\Office，将其增加表项： Melis_ sa?，并给其赋值为：…by Kwyjibo 网络调查取证 网络调查取证是检查网络通讯的过程。它包括 ： 案发相关的通讯记录分析 网络监控的实时分析 SNIFFER 实时跟踪 电子邮件调查取证 电子邮件调查取证是通过研究电子邮件来源及其内容，查找证据的过程。 它包括识别实际邮件、消息的实际发送者和接收者，及其内容、时间和地点。有时，有关性别歧视、种族和宗教偏见内容及其它非法活动常常和电子邮件捆绑在一起。 互联网调查取证 互联网调查取证是查明特定用户使用因特网资源的地点和时间的过程 。 源代码调查取证 源代码调查取证可以用来判断软件所有者和软件责任人。 它不是仅仅检查实际的源代码。 它检查软件完整的开发过程，包括开发程序，检查开发时间表，文档检查，和源代码修改。 技术进展 计算机专业人员倍增 世界网络化程度已经大大加强了，虽然绝大多数的用户仍然是匿名的 使用加密手段的现象已经很普遍 网络带宽已经加大，而成本正逐渐下降 磁盘价格正下降，而容量却越来越大 网络上的数据越来越多 技术进展 爱因斯坦曾经说过 ： “技术进展就像是病态犯罪者手中的一把斧头 .” 技术进展 计算机既是工具也是目标 手段 数据仓库 一些计算机罪犯使用计算机时和通常情况下使用方法是一样的。 今日计算机犯罪特点 可以逃避惩罚 追求轰动效果 公众态度冷漠 犯罪很容易 什么是计算机犯罪？ 计算机犯罪中技术扮演着重要的、通常是必须的角色。 计算机是： 攻击的目标 攻击中使用的工具 用来储存犯罪活动相关的数据 计算机犯罪类型 未授权访问 拒绝服务 勒索 偷窃 破坏 侦察 计算机骗子 盗用 侵犯版权 伪造 网络骗子—“欺骗性的站点” SEC骗子和STOCK操控 儿童色情文学 围捕和折磨 信用卡骗子和盗用者 当前计算机调查取证的议题 国内司法鉴定系统还没有做好处理高技术犯罪的准备 缺乏训练有素的调查人员和分析人员 缺乏调查取证标准 太多的数据 ! 大磁盘和磁盘队列 高速网络连接 高时间相关性 当前计算机调查取证的议题 证据收集和检查不能和下列政策法规相冲突： : 宪法 国家安全法 行政诉讼法 调查取证过程 准备 保护 映像 检查 文档化 准备 对介质分析/检查的授权进行确认 . 确认分析的目的并且清楚的定义所期望的结果 保证有足够的干净介质用来镜像（比如，在使用前确定没有病毒，没有重要的文件等。） 保证用来分析的所有软件工具都已经过检验，并且被广泛用来实施调查取证工作。 法律综述 保护 保护证据的完整性。 要必威体育官网网址到最后一刻。 HASH保护 多人证明 映像 使用磁盘镜像软件来镜像目标介质，并确认它。 当对目标介质进行分析时，务必使用已制作的介质镜像；决不可以用实际的目标介质。 检查 操作系统 服务 应用程序/处理过程 硬件 记录文件/日志文件 文件系统 检查 (续) 已删除的文件/隐藏文件/NTFS流 软件 加密软件 共享/许可 密码文件 SIDS 网络结构体系/信任关系 文档 文档是一切 证据标签 保管链 证据管理 证据 四个步骤, 证据保护 记住我们的”最优证据”和“保管链