《电子数据取证技术》课件）_第9章.pptx

;;9.1;9.1.1网络取证的特殊性

相对于传统的电子数据取证，网络取证是一个新兴的取证领域，随着互联网技术的的不断发展，网络取证的需求量在不断加大，其重要性不言而喻。同时，由于网络技术不断推陈出新，网络犯罪的表现形式也在不断变化，给我们取证人员带来了较大难度。那么，网络取证自身存在哪些不同点呢？这个问题本章将会从网络取证的概念、特点、难点几个角度来进行阐述。;1.网络取证的概念

计算机取证是指对存在于计算机及相关外部设备中的计算机犯罪证据进行确定、获取、分析和提取，以及在法庭出示的过程。计算机取证涵盖了法学、计算机科学和刑事侦查学等诸多学科，在取证的过程中，还需要根据取证的标准和方法进行相关的流程控制，这些在前面章节内均已详细阐述。计算机网络取证是计算机取证的一个重要分支，有别于计算机单机取证的是，网络取??是借助于已构建好的网络环境，对存在于本地计算机或网络存储介质中的计算机犯罪证据进行确定、获取、分析和提取。网络取证的内容主要涉及两个方面：一是来源取证，指的是取证目的主要是确定犯罪嫌疑人及其所在位置，取证内容主要包括IP地址、MAC地址、电子邮件信箱、软件帐号等；二是事实取证，指的是取证目的不是为了查明犯罪嫌疑人是谁，而是要确定犯罪实施的过程和具体内容，取证内容主要包括文件内容调查、使用痕迹调查、日志文件分析、网络状态和数据包的分析等。;2.网络取证的特点

网络电子证据是通过网络进行传输的网络数据，其存在形式是电磁或电子脉冲。与传统证据一样，网络电子证据必须是可信的、准确的、完整的、符合法律法规的证据。但由于网络电子证据的存在形式依赖于网络传输协议，缺乏可见的实体。采用不同的传输协议，网络电子证据的格式及传输方式就会不同。因此，网络电子证据必须通过专门工具和技术来进行正确的提取和分析，使之具备证明案件事实的能力。网络电子证据具有以下特点：;（2）存储介质的电子性;（1）表现形式的多样性。虽然网络电子证据均是以二进制数据格式存储、传输，但它超越了所有传统的证据形式，可以以文本、图形、图像、动画、音频、视频等多种信息形式存储于计算机硬件及网络设备等介质中；

（2）存储介质的电子性。网络电子证据依据计算机技术和通信技术产生，以电子信息形式存储在特定的电子介质上。离开了高科技含量的技术设备，电子证据就无法保存和传输，同时电子证据必须依赖于相应的设备及软件才能重现；;（3）准确性。网络电子证据信息的记录方式为二进制信号，具有非常好的可靠性，不像痕迹、颗粒等物证存在自然衰减、灭失的问题，也不会受到感情、经验等主观因素影响，能准确地反映整个事件的完整过程；

（4）脆弱性。网络电子证据同时也是脆弱的。因为它的载体是电磁介质，可以被破坏者以任何手段修改且不易留下痕迹，还容易受到电磁攻击。另外，有些网络电子证据是流动的，会随着时间的推移而消失，不能被重现。网络电子证据的这种特点，使得网络罪犯的作案行为更容易，事后追踪和复原更困难；;（5）海量性。随着网络带宽的不断增加，计算机系统和网络中每天产生的数据复杂而庞大，如何在海量的数据中判断出与案件关联的、反映案件客观事实的电子证据是一项艰巨任务；

（6）广域性。网络犯罪现场范围一般南犯罪嫌疑人使用网络的大小而决定，小至一问办公室内的局域网，大到可以延伸到世界范围的任何一个角落。网络的便利性使得网络犯罪跨越省界、国界都是很容易做到的，这给网络取证工作带来很大的挑战。;3.网络取证的难点

随着计算机网络技术的发展，犯罪嫌疑人采用的技术越来越高明，要侦破此类案件，需要依赖特定的技术装备并要求侦查人员具备较高的计算机水平。目前，我国大部分地区还未配备受过专业训练并掌握相关侦破技术的侦查人员，现有办案人员缺乏计算机网络知识。这些因素导致计算机网络取证工作在侦查和取证方面，都存在着一定的困难。;计算机网络犯罪主体多种多样，犯罪手段花样翻新，犯罪行为隐蔽性强，而且作案时间短、传播速度快、不易被人发现。由于犯罪现场留下的痕迹是“数字化”痕迹，计算机网络犯罪现场也不像传统犯罪现场那么明确。这些无疑会加大侦查计算机网络犯罪案件的难度。以笔者曾参与的多起侵害公私财产为目的的计算机网络犯罪案件来看，犯罪嫌疑人在虚拟的网络空间中，可以利用计算机网络技术在不同的时间和地点进行犯罪活动，或采用DDOS（分布式拒绝服务）技术对类似网吧这样的公共上网场所实施攻击以致其网络瘫痪；或采用网页挂马技术，在捕获大量肉机（受人非法控制的具有最高管理权限的远程电脑）的同时，窃取了大量个人网银帐号、公司帐务等敏感隐私信息。而有些企业的网络技术人员和负责人在发现网络入侵事件后，担心损害企业在用户心目中的形象，对所受到的网络攻击隐瞒不报或自行重建系统排除故障了事，这样往往破坏了犯罪嫌疑人留下的犯罪证据，延误了侦查破案时机。;计算机系统内各种数