第8章-数字取证技术.ppt

第8章 数字取证技术 8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具 8.1 数字取证概述 随着计算机及网络技术的高速发展和广泛应用，利用计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为案件侦破的关键。计算机取证对于起诉这类犯罪行为至关重要。 计算机犯罪取证（数字取证）也被称为计算机法医学，是指把计算机看做犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学，正逐渐成为人们关注的焦点。 利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据。电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。 数字证据是指任何使用计算机存储和传输的数据，用于支持和反驳犯罪发生的推测，或者用于表述诸如动机、犯罪现场等的犯罪关键要素。一般情况数字证据与电子证据经常交替使用。 数字取证主要是对电子证据识别、保存、收集、分析和呈堂，从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。 从计算机取证技术的发展来看，先后有数字取证（Digital Forensics）、电子取证（Electric Forensics）、计算机取证（Computer Forensic）、网络取证（Networks Forensics）等术语。 1．电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示，如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。 3．网络取证 网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流、审计、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。 8.2 电子证据 8.2.1 电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。证据一经生成，会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中。 但由于计算机数字信息存储、传输不连续和离散，容易被截取、监听、剪接、删除，同时还可能由于计算机系统、网络系统、物理系统的原因，造成其变化且难有痕迹可寻。刑事电子证据要求数字取证应遵循电子证据的特点，严格执行证据规则，客观、真实、合法，利用专门工具、专业人士取证保证。 8.2.2 数字证据存在的问题 1.数字证据只是片断或摘要 计算机在工作时产生数据冗余只是人们操作电脑的一部分，对于鼠标的电击，键盘的敲打是记录不下来的。所以记录的数字证据只是片断或摘要。 2.容易被改变 所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。目前的做法多是从旁证上同电子证据一起形成证据链，认定犯罪事实。 3.模糊的证据形式 我国《刑事诉讼法》中明确规定七种形式的证据：物证、书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定结论；勘验、检查笔录；视听资料。对于日益增多的计算机犯罪案件中，只能根据具体的情况把电子证据作为视听资料、物证或者书证使用，以便让电子证据具有法律根据，在公安、检察、法院三家认定上也有不同的看法，从而使得在一些案件中即使抓住了犯罪嫌疑人，在移送起诉阶段由于对证据的采信上的不同认识而导致认定的障碍。 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的