計算機取證與司法鑒定(第二版)課件01-概論

1、計算機取證技術計算機取證技術教材計算機取證與司法鑒定. 清華大學出版社, 2009, 2. (978-7-302-19345-6)主編：麥永浩 孫國梓 許榕生 戴士劍教材課程主要內(nèi)容1 計算機取證與司法鑒定理論基礎 (6 學時) 2 Windows/Unix/Linux系統(tǒng)的計算機取證和司法鑒定 (8 學時)3 網(wǎng)絡取證與司法鑒定 (6 學時) 4 木馬取證與司法鑒定 (4 學時)5 手機取證與司法鑒定 (4 學時)6 計算機取證與司法鑒定案例 (4 學時)課程主要內(nèi)容1 計算機取證與司法鑒定理論基礎 (6 學時)計算機取證與分析鑒定概論主講：孫國梓2022年10月2日計算機取證與分析鑒定概論

2、主要內(nèi)容計算機取證與分析鑒定的相關概念計算機取證與分析鑒定的歷史、發(fā)展計算機取證與分析鑒定內(nèi)容計算機取證與分析鑒定模型、過程及策略計算機取證與分析鑒定面臨的難題和解決方法主要內(nèi)容計算機取證與分析鑒定的相關概念數(shù)字證據(jù)的定義數(shù)字證據(jù) (Digital Evidence)：法庭上可能成為證據(jù)的以二進制形式存儲或傳送的信息。原始數(shù)字證據(jù)(Original Digital Evidence)：查封犯罪現(xiàn)場時，獲得的相關物理介質及其存儲的數(shù)據(jù)對象。數(shù)字證據(jù)副本(Duplicate Digital Evidence)：原始物理介質上獲取的所有數(shù)據(jù)對象的精確拷貝?？截?COPY)：獨立于原始物理介質，精確再

3、現(xiàn)數(shù)據(jù)對象中的信息。相關概念數(shù)字證據(jù)的定義數(shù)字證據(jù) (Digital Evidence)數(shù)字證據(jù)的定義目前，國內(nèi)法學界多數(shù)學者將數(shù)字證據(jù)定義為：在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。我們將數(shù)字證據(jù)理解為：在計算機等電子設備中存在或運行中產(chǎn)生的以及在網(wǎng)絡中存在和產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。相關概念數(shù)字證據(jù)的定義目前，國內(nèi)法學界多數(shù)學者將數(shù)字證據(jù)定義為：在計數(shù)字證據(jù)的特點數(shù)字證據(jù)作為一種可以證明案件事實的證據(jù)形式和法庭上的證據(jù)，與傳統(tǒng)證據(jù)一樣，數(shù)字證據(jù)必須是：可信的準確的完整的使法官信服的符合法律法規(guī)，能夠為法庭所接受的相關概念數(shù)字證據(jù)的

4、特點數(shù)字證據(jù)作為一種可以證明案件事實的證據(jù)形式和法數(shù)字證據(jù)的特點與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)具有如下特點：無形性高科技性易破壞性表現(xiàn)形式的多樣性相關概念數(shù)字證據(jù)的特點與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)具有如下特點：相關概念數(shù)字證據(jù)的來源主要有兩個方面：一是來自主機等電子設備的，另一方面是來自網(wǎng)絡的。數(shù)字證據(jù)主要來源于主機系統(tǒng)，包括系統(tǒng)日志文件、備份介質、入侵者殘留物（如程序、腳本、進程、內(nèi)存映像）、交換區(qū)文件、臨時文件、硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到)、系統(tǒng)緩沖區(qū)、打印機及其它設備的內(nèi)存等。來自網(wǎng)絡的數(shù)字證據(jù)包括防火墻、入侵檢測以及其它網(wǎng)絡工具產(chǎn)生的記錄和日志信息等。相關概念數(shù)字證據(jù)的

5、來源主要有兩個方面：一是來自主機等電子設備的，另一計算機取證的定義現(xiàn)在很多人將計算機取證也稱為數(shù)字取證、電子取證，但嚴格意義上來講，這種提法是不恰當?shù)摹Ｓ⑽姆g：計算機取證的翻譯是ComputerForensics、數(shù)字取證的翻譯是DigitalForensics、電子取證的翻譯是ElectronicForensics，因此三者是有區(qū)別的三者的取證主體對象是不完全相同的：計算機取證的主體對象是計算機系統(tǒng)內(nèi)與犯罪案例有關的數(shù)據(jù)信息；數(shù)字取證的主體對象是存在于各種電子設備和網(wǎng)絡中的數(shù)字化的與犯罪案例有關的數(shù)據(jù)信息；而電子取證的主體對象是指存儲的電子化的、能反映有關案件真實情況的數(shù)據(jù)信息。相關概念計

6、算機取證的定義現(xiàn)在很多人將計算機取證也稱為數(shù)字取證、電子取計算機取證的定義關于計算機取證，目前還沒有權威組織給出一個統(tǒng)一的定義，很多的專業(yè)人士和機構從不同的角度給出了計算機取證的定義。Judd Robbins是計算機取證方面的一位著名的專家和資深人士，他對計算機取證的定義如下:“計算機取證不過是將計算機調查和分析技術應用于對潛在的、有法律效力的證據(jù)的確定與獲取”。計算機緊急事件響應和取證咨詢公司New Technologies進一步擴展了該定義:“計算機取證是對計算機證據(jù)的保護、確認、提取和歸檔的過程”。中國科學院高能物理研究所研究員許榕生教授則認為，計算機取證是指對能夠為法庭接受的、足夠可靠

7、和有說服性的，存在于計算機和相關外設中的電子證據(jù)的確認、保護、提取和歸檔的過程。相關概念計算機取證的定義關于計算機取證，目前還沒有權威組織給出一個統(tǒng)計算機取證的定義以上的定義都有一個明顯的共同點，取證的目標是計算機系統(tǒng)，然而，隨著信息技術的發(fā)展，計算機取證的取證目標不再僅僅是計算機系統(tǒng)，還有網(wǎng)絡系統(tǒng)和其它的電子設備因此，計算機取證是指通過收集計算機系統(tǒng)、網(wǎng)絡系統(tǒng)以及其它電子設備中以數(shù)字化的信息編碼形式出現(xiàn)的與案件有關的信息，對其進行保存、分析鑒定和出示，用來證明犯罪活動的過程。相關概念計算機取證的定義以上的定義都有一個明顯的共同點，取證的目標是計算機取證的原則2000年3月，計算機證據(jù)國際組織

8、IOCE著手規(guī)劃關于獲取數(shù)字證據(jù)的相關原則，依據(jù)1999年在倫敦召開的國際高技術犯罪和取證大會，向其下屬機構提交了一份報告，提出了一系列計算機取證的定義和原則。IOCE提交的報告中指出計算機取證應該遵守的一般原則：獲取數(shù)字證據(jù)時，必須保證證據(jù)的不變性。進行原始證據(jù)處理的取證人員應該經(jīng)過專業(yè)培訓。所有與數(shù)字證據(jù)的獲取、訪問、存儲、傳送相關的處理都必須完全歸檔、妥善保存。個人在擁有與案例相關的數(shù)字證據(jù)時，必須對其所有在數(shù)字證據(jù)上所進行的相關操作負責。任何代理機構，在負責提取、訪問、保存或傳送數(shù)字證據(jù)時都必須遵守這些原則。相關概念計算機取證的原則2000年3月，計算機證據(jù)國際組織IOCE著計算機證據(jù)

9、的特點及對取證的影響計算機證據(jù)與傳統(tǒng)證據(jù)最本質的區(qū)別，也是計算機證據(jù)最根本的特點就是計算機證據(jù)的記錄方式的特殊性，其他特性都受這一根本特性的影響。計算機證據(jù)的主要特性如下：計算機證據(jù)的信息與載體的可分離性和信息的高科技性計算機證據(jù)的系統(tǒng)依賴性脆弱性隱蔽性可挽救性相關概念計算機證據(jù)的特點及對取證的影響計算機證據(jù)與傳統(tǒng)證據(jù)最本質的區(qū)計算機證據(jù)的特點及對取證的影響計算機證據(jù)的上述特點對取證和分析鑒定過程產(chǎn)生重大的影響，這主要體現(xiàn)在以下幾個方面：計算機證據(jù)的收集過程需要較高的技術要求，需要取證人員具備較高的專業(yè)素質和技能。計算機證據(jù)的系統(tǒng)依賴性決定了收集證據(jù)時，不僅需要收集計算機證據(jù)，還需收集與系統(tǒng)穩(wěn)

10、定性及軟件的使用等情況的證明。而計算機證據(jù)的可挽救性及隱蔽性則決定了收集證據(jù)的活動要全面、綜合地進行，運用高科技手段檢測是否有隱藏文件以及硬盤中是否有被刪除的證據(jù)。計算機證據(jù)的高科技性決定了其收集手段必然與傳統(tǒng)證據(jù)的收集手段有很大的不同，主要分為數(shù)據(jù)恢復、數(shù)據(jù)搜索和解密、動態(tài)截獲等技術。計算機證據(jù)的諸多特點導致了它的取證過程與標準也與傳統(tǒng)證據(jù)不同，這就要求計算機證據(jù)的整個取證過程需有更嚴格的標準予以規(guī)范。相關概念計算機證據(jù)的特點及對取證的影響計算機證據(jù)的上述特點對取證和分計算機證據(jù)分析鑒定的定義當計算機證據(jù)收集完畢后，對其進行分析鑒定就成為一項必不可少的工作。計算機證據(jù)的鑒定，就是針對收集和保

11、全的計算機數(shù)據(jù)進行可信性的證明。而計算機證據(jù)的分析主要是對已經(jīng)經(jīng)過可信性和完整性證明的計算機數(shù)據(jù)通過查找其數(shù)據(jù)來源、數(shù)據(jù)操作的目的、可能造成的危害等方面來尋找犯罪分子的過程。計算機證據(jù)的分析主要分為對主機數(shù)據(jù)的分析和對網(wǎng)絡數(shù)據(jù)的分析。相關概念計算機證據(jù)分析鑒定的定義當計算機證據(jù)收集完畢后，對其進行分析計算機證據(jù)的技術鑒定計算機證據(jù)的技術鑒定所承擔的責任是對計算機證據(jù)的各方面技術狀況進行全面的檢查，包括對信息真實、可靠、完整、可讀性的認定和對文件載體性能的檢測。一般從以下幾方面進行：可讀性鑒定：目的在于確認計算機證據(jù)中的內(nèi)容可以正常讀出，沒有丟失和差錯?？煽啃澡b定：主要是針對計算機證據(jù)內(nèi)容的真實

12、性與完整性進行鑒定。無病毒鑒定：確保計算機證據(jù)沒有受到病毒的侵害。載體狀況鑒定：針對計算機證據(jù)不同的承載載體進行鑒定，確保承載載體不會出現(xiàn)任何損傷。相關概念計算機證據(jù)的技術鑒定計算機證據(jù)的技術鑒定所承擔的責任是對計算計算機證據(jù)分析鑒定的標準和方法與書證等其它傳統(tǒng)證據(jù)一樣，計算機證據(jù)分析鑒定的最終結果也同樣表現(xiàn)為對保存與銷毀的選擇和對留存證據(jù)保管期限的確定。計算機證據(jù)的特殊性使得它的保管期限標準、鑒定的標準和方法等各方面都與傳統(tǒng)證據(jù)有很大的不同，因此應該結合各國的法律針對其做出相應的規(guī)定。相關概念計算機證據(jù)分析鑒定的標準和方法與書證等其它傳統(tǒng)證據(jù)一樣，計算計算機證據(jù)的歸檔在計算機證據(jù)的取證與分析

13、鑒定過程的最后階段，應整理最終結果供法庭作為訴訟的證據(jù)，這主要涉及對取證的內(nèi)容、專家分析的結果和評估報告等信息進行歸檔處理。由于計算機證據(jù)的特殊性，在處理計算機證據(jù)時，為保證法庭上的可信度，必須對各個步驟的情況進行歸檔以使證據(jù)經(jīng)得起法庭的質詢。相關概念計算機證據(jù)的歸檔在計算機證據(jù)的取證與分析鑒定過程的最后階段，計算機犯罪調查的簡史二十世紀四十年代，隨著計算機首先在軍事和科學工程領域的應用，計算機犯罪已經(jīng)開始出現(xiàn)，隨著計算機技術的迅猛發(fā)展，計算機逐步應用到各行各業(yè)，以計算機犯罪為主的電子犯罪也呈現(xiàn)越來越多的勢頭。到了二十世紀七十年代，在美國，人們已經(jīng)意識到，由于計算機證據(jù)不同于傳統(tǒng)證據(jù)的特殊性，

14、應該把利用計算機進行的計算機入侵和計算機詐騙作為一種新的犯罪形式，并通過了相關的法律。二十世紀八十年代，加拿大、澳大利亞、英國等國政府相繼制訂了類似的法律。上世紀九十年代，Internet 的商用化及萬維網(wǎng)（World Wide Web，簡稱WWW）的發(fā)展使Internet得到了廣泛的普及，大量的用戶都訪問它。全球網(wǎng)絡中的犯罪焦點也超越了簡單的計算機入侵，犯罪行為更加具有破壞性。相關概念計算機犯罪調查的簡史二十世紀四十年代，隨著計算機首先在軍事和計算機犯罪調查的簡史針對日益增長的計算機犯罪，二十世紀八十年代到九十年代早期，美國執(zhí)法機構開始合作制定培訓計劃，以增強自己處理這些問題的能力。接下來，

15、美國及其他國家相繼建立了國家、區(qū)域中心和本地執(zhí)法部門內(nèi)部的數(shù)字證據(jù)的實驗室，形成了金字塔式的結構。第一響應員具有基本的收集和檢驗技能來處理大多數(shù)案件，區(qū)域實驗室的處理更高級的案件，處理大多數(shù)具有挑戰(zhàn)性案件的國家級中心負責研究、開發(fā)可以在區(qū)域和本地水平使用的工具。取證技術和電子犯罪的高速發(fā)展，已經(jīng)促使出現(xiàn)了新的職業(yè)需求：數(shù)字犯罪現(xiàn)場技術員收集數(shù)字證據(jù)的人員；檢驗員處理已獲得的證據(jù)；數(shù)字調查員分析所有的現(xiàn)存證據(jù)并得出案件分析結果。相關概念計算機犯罪調查的簡史針對日益增長的計算機犯罪，二十世紀八十年幾個典型的計算機犯罪案例案例一：1995年，國外的某銀行遭到一群蘇駭客入侵，損失一千萬元。除了金錢的損

16、失以外，其后遺癥是，有六家對手銀行，立刻鎖定該銀行的前二十大客戶，游說他們轉換銀行，這些銀行所持的理由是他們的計算機系統(tǒng)比較安全。相關概念幾個典型的計算機犯罪案例案例一：相關概念幾個典型的計算機犯罪案例案例二：兩個中國大陸的網(wǎng)絡駭客入侵銀行的網(wǎng)絡系統(tǒng)，竊取人民幣260,000元。據(jù)報導指出，這兩個駭客是郝氏兄弟，哥哥郝某，是某工商銀行的會計，管理該銀行的網(wǎng)絡系統(tǒng)。他們用不同的戶名在該銀行的某分行開了十六個帳戶，并且在銀行計算機終端機植入一個控制的裝置。后來，他們利用該裝置，將虛擬存款720,000人民幣電匯進入銀行帳戶內(nèi)。之后，他們成功地從該銀行的八個分行領出真實的鈔票人民幣260,000元。

17、后來這兩名駭客被江蘇省的楊州法院判處有罪。相關概念幾個典型的計算機犯罪案例案例二：相關概念計算機取證與分析鑒定發(fā)展的歷史國外的研究概況國內(nèi)的研究概況歷史、發(fā)展計算機取證與分析鑒定發(fā)展的歷史國外的研究概況歷史、發(fā)展目前的發(fā)展情況當前的技術狀況1）單機與其它電子設備取證2）網(wǎng)絡取證3）分析鑒定技術一些常用的取證工具1）實時響應工具2）取證復制工具3）取證分析工具歷史、發(fā)展目前的發(fā)展情況當前的技術狀況歷史、發(fā)展未來發(fā)展的趨勢取證的領域不斷擴大，取證的工具向著專業(yè)化和自動化發(fā)展與其他理論和技術的融合取證的標準化分析鑒定技術的發(fā)展趨勢歷史、發(fā)展未來發(fā)展的趨勢取證的領域不斷擴大，取證的工具向著專業(yè)化和自動

18、電子科學與法學的結合計算機取證與分析鑒定技術的發(fā)展歷程告訴我們：這門科學是為了打擊計算機犯罪，獲取法庭上的計算機證據(jù)而發(fā)展起來的，然而要想成為法庭上可以接受的認定犯罪事實的證據(jù)，計算機證據(jù)就必須具有足夠的法律效力，并且計算機證據(jù)是被法律認可的證據(jù)形式。內(nèi)容電子科學與法學的結合計算機取證與分析鑒定技術的發(fā)展歷程告訴我計算機取證與分析鑒定的產(chǎn)生背景計算機犯罪是最近才出現(xiàn)的犯罪行為，且具有很多與傳統(tǒng)證據(jù)不同的特點，這給計算機證據(jù)的獲取、分析與鑒定帶來了極大的挑戰(zhàn)。計算機取證學(computer forensics)作為計算機科學、法學和刑事偵查學的交叉學科應運而生。世界各國相繼展開了這方面的研究工作

19、，隨著計算機和網(wǎng)絡技術的發(fā)展，取證領域已經(jīng)由計算機主機系統(tǒng)擴大到網(wǎng)絡系統(tǒng)以及其它電子設備內(nèi)容計算機取證與分析鑒定的產(chǎn)生背景計算機犯罪是最近才出現(xiàn)的犯罪行計算機證據(jù)的法律效力國外對計算機證據(jù)作為證據(jù)的認定聯(lián)合國電子商務示范法第九條第一款指出：在任何法律程序中，在應用有關證據(jù)的任何規(guī)則時，如果涉及一條數(shù)據(jù)電文作為證據(jù)的可接受性，就不能以它僅僅是一條數(shù)據(jù)電文為理由予以拒絕，更不能在當它是提供者在合理情況下所能提供的最好證據(jù)時，僅以它不是原初形式為理由加以否認。美國、加拿大、新加坡等國的立法機關都對計算機證據(jù)進行了立法來對計算機證據(jù)的取證、分析鑒定等工作加以規(guī)范，而且這些國家的法律基本上是把計算機證據(jù)

20、作為一個獨立的證據(jù)種類。內(nèi)容計算機證據(jù)的法律效力國外對計算機證據(jù)作為證據(jù)的認定內(nèi)容計算機證據(jù)的法律效力我國的相關法律對計算機證據(jù)的認定我國在1991年的民事訴訟法中，第六十三條關于證據(jù)的種類里，只規(guī)定了七種證據(jù)類型，即：物證、書證、視聽資料、證人證言、當事人陳述、鑒定結論以及勘驗檢查筆錄。而其余兩大訴訟法的情況也是如此，這使得法庭在采用計算機證據(jù)這種證據(jù)形式時存在一定的法律空白。最高人民法院關于民事訴訟證據(jù)的若干規(guī)定（2001年）作為民事證據(jù)的權威司法解釋，其第二十二條對電子證據(jù)做出了如下規(guī)定：“調查人員調查收集計算機數(shù)據(jù)或者錄音、錄像等視聽資料的，應當要求被調查人提供有關資料的原始載體?！弊?/p>

21、高人民法院關于行政訴訟證據(jù)若干問題的規(guī)定（2002年）其第十二條規(guī)定：“根據(jù)行政訴訟法第三十一條第一款第（三）項的規(guī)定，當事人向人民法院提供計算機數(shù)據(jù)或者錄音、錄像等視聽資料?！蔽覈?999年的合同法第十一條規(guī)定：書面形式是指合同書、信件和數(shù)據(jù)電文（包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內(nèi)容的形式?？梢?，這些法律都對計算機證據(jù)做出了相應的認定，認為計算機證據(jù)具有法律效力。內(nèi)容計算機證據(jù)的法律效力我國的相關法律對計算機證據(jù)的認定內(nèi)容計算機證據(jù)的法律定位視聽資料說書證說多種類型說獨立證據(jù)說計算機證據(jù)應該是一種獨立的證據(jù)（1）書證與計算機證據(jù)有很大的區(qū)別（2）有些計算機記

22、錄并不具備可視聽的特點（3）計算機證據(jù)不同于傳統(tǒng)證據(jù)的特點決定了在證明力及真實性認定方面，計算機證據(jù)應有獨特的審查判斷標準內(nèi)容計算機證據(jù)的法律定位視聽資料說內(nèi)容計算機取證與分析鑒定的模型主機與其它電子設備取證與分析鑒定系統(tǒng)模型基本過程模型（Basic Process Model）事件響應過程模型(Incident Response Process Model)法律執(zhí)行過程模型(Law Enforcement Process Model)過程抽象模型(An Abstract Process Model)網(wǎng)絡取證與分析鑒定系統(tǒng)模型模型、過程及策略計算機取證與分析鑒定的模型主機與其它電子設備取證與分

23、析鑒定系計算機取證與分析鑒定的過程 取證前的準備：制定響應計劃，準備相應的設備、文件以及標準。 保護現(xiàn)場和現(xiàn)場勘查：這一步主要是物理證據(jù)的獲取，為下面的各個環(huán)節(jié)打下基礎。 獲取證據(jù)：針對具體的現(xiàn)場環(huán)境，采用最合適的方法獲得相關證據(jù)。 鑒定證據(jù)：主要是針對證據(jù)的完整性進行驗證。 分析證據(jù)：對證據(jù)進行詳細的分析與推理，這也是整個計算機取證與分析鑒定過程的核心和關鍵。 進行追蹤：根據(jù)分析結果進行動態(tài)跟蹤。 提交結果和歸檔：將結果進行整理并進行歸檔處理。模型、過程及策略計算機取證與分析鑒定的過程 取證前的準備：制定響應計劃，準計算機取證與分析鑒定的安全策略計算機證據(jù)的特殊性使得它的取證與分析鑒定的整個過程與傳統(tǒng)證據(jù)有很大的不同，為了確保計算機證據(jù)的有效性和可信性，計算機取證與分析鑒定需遵循以下的安全策略保留信息計劃響應開展培訓加速調查防止匿名保護證據(jù)模型、過程及策略計算機取證與分析鑒定的安全策略計算機證據(jù)的特殊性使得它的取證面臨的主要難題技術上面臨的問題意識上面臨的問題法律上面臨到問題面臨的難題和解決方法面