22第二十二章计算机司法鉴定.ppt

第二十二章 计算机司法鉴定 主要内容 计算机司法鉴定概述 计算机司法鉴定方法 计算机司法鉴定内容 计算机司法鉴定文书制作 计算机司法鉴定评价 第一节 计算机司法鉴定概述 一、计算机司法鉴定概念 几种计算机司法鉴定概念观点 观点一：计算机司法鉴定是指在诉讼过程中对涉及计算机问题由法庭认可的人员作出的专业判断的活动。 观点二：计算机司法鉴定是指依法取得有关计算机司法鉴定资格的鉴定机构和鉴定人受司法机关或当事人委托，运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。 一、计算机司法鉴定概念 几种计算机司法鉴定概念观点 观点三：计算机司法鉴定，其主要内容是运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定。 计算机司法鉴定概念内涵 鉴定的主体应具有一定的资格 鉴定的客体主要为电子数据 司法鉴定应符合规定的程序 计算机司法鉴定： 二、计算机司法鉴定特点 鉴定主体具有特定性与复合性 鉴定客体具有动态性、隐蔽性、复杂性 鉴定技术具有变化性 某些鉴定结论形成具有局限性 计算机司法鉴定特点的理解 鉴定主体 鉴定主体应具有法律、计算机以及其他相关专业知识 鉴定客体 电子数据易变化、易消失、隐蔽性强 鉴定技术 鉴定技术方法需要不断更新 鉴定结论 很多鉴定难以形成肯定结论 三、计算机司法鉴定分类 根据计算机系统的不同可分为： 基于主机的司法鉴定 基于网络的司法鉴定 根据电子数据的形态可以分为： 静态数据的鉴定 动态数据的鉴定 三、计算机司法鉴定分类 根据司法鉴定特点可分为： 来源鉴定 同一鉴定 内容鉴定 相似性鉴定 功能鉴定 损失鉴定 复合鉴定 第二节 计算机司法鉴定方法 一、计算机司法鉴定相关模型 基本过程模型 事件响应过程模型 法律执行过程模型 过程抽象模型 其他 基本过程模型 保证安全并进行隔离（secure and isolate） 对现场信息进行记录（record the scene） 全面查找证据（conduct a systematic search for evidence） 对证据进行提取和打包（collect and package evidence） 维护监督链（maintain chain of custody） 事件响应过程模型 攻击预防（Pre-incident Preparation） 事件侦测（Detection of the Incident） 初始响应（Initial Response） 响应策略匹配（Response Strategy Formulation） 备份（Duplication） 调查（Investigation） 安全方案实施（Secure Measure Implementation） 网络监控（Network Monitoring） 恢复（Recovery） 报告（Reporting） 补充（Follow—up） 法律执行过程模型 准备阶段（Preparation） 收集阶段（Collection） 检验阶段（Examination） 分析阶段（Analysis） 报告阶段（Reproting） 过程抽象模型 识别 准备 策略制定 保存 收集 检验 分析 提交 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 FTK取证与分析实例 第三节 计算机司法鉴定内容 本节主要内容 来源鉴定 同一鉴定 内容鉴定 相似性鉴定 功能鉴定 损失鉴定 复合鉴定 一、来源鉴定 所谓来源鉴定，就是根据委托人提供的有关资料，确定机器或软件最初来源的鉴定。 来源鉴定主要用来确定电子数据来源和违法犯罪者机器的地理位置。包括利用IP地址确定来源，利用MAC地址确定来源，利用电子邮件头部地址确定来源等。 Email来源鉴定 Email来源鉴定 二、同一鉴定 同一鉴定指的是根据委托人提供的文档资料，确定文档是否为原始信息；或者根据提供的两份电子文档，确定其是否一致。 三、内容鉴定 内容鉴定主要指鉴定文档内容的真实性、以及对秘密的、隐藏的数据信息进行发现、分析、判断和确定的工作。可以分为文档内容真实性鉴定、存储设备被破坏后的鉴定、加密信息内容的鉴定等。 四、相似性鉴定 相似性鉴定指对两份软件或程序进行比对，检验软件在形成过程中是否存在相似性。相似性鉴定主要在知识产权领域采用。最常见的为软件“实质相似”鉴定。 五、功能鉴定 主要是对计算机软件（主要指那些带破坏性的程序）的功能、特征进行分析、鉴定。 六、损失鉴定 对网络犯罪中涉案