試論涉及電子證據(jù)的犯罪現(xiàn)場取證調(diào)查

計算機取證期中作業(yè)涉及電子證據(jù)的犯罪現(xiàn)場取證調(diào)查計算機學院信息安全專業(yè)〔3〕組員：何丹、周夢甜、賴江琴〔3、王棟〔1〕20231015試論涉及電子證據(jù)的犯罪現(xiàn)場取證調(diào)查引言隨著信息化社會的到來，越來越多的刑事案件涉及到電子證據(jù)。到達拋磚引玉的目的。一、簡介-----對電子證據(jù)的法律強制回應(yīng)------潛在種類的電子證據(jù)------數(shù)字取證的規(guī)章------取證過程1、對電子證據(jù)的法律強制回應(yīng)-------計算機涉及的犯罪行為可能包括工具、證據(jù)的貯存庫、目標-------很多類型的工作人員參與應(yīng)對犯罪涉及計算機操作系統(tǒng)、調(diào)-------首先回應(yīng)的可能是法律強制中的任何人留意保護電子證據(jù)的損失或篡改2、潛在種類的電子證據(jù)-------電子證據(jù)是指有爭論性價值的通過電子設(shè)備存儲或傳輸?shù)男畔⒑蛿?shù)據(jù)。-------電子證據(jù)之所以潛在〔像指紋、基因證據(jù)〕是由于不能明顯業(yè)的指正去解釋剖析。------電子證據(jù)的脆弱性要的。3、數(shù)字取證的規(guī)章不損害任何證據(jù)！例如不讓業(yè)余人員搜集數(shù)字證據(jù)4、取證過程------搜集：掃瞄、區(qū)分、搜集、證據(jù)文檔------檢驗〔技術(shù)透視〕記錄的內(nèi)容、證據(jù)的狀態(tài)；顯露隱蔽的數(shù)據(jù)；識別相關(guān)的數(shù)據(jù)------分析〔合法的透視〕------報告特地證據(jù)的過程筆記；結(jié)果；牢靠性。二、電子證據(jù)的種類電子證據(jù)是以數(shù)字化信息編碼的形式消滅是以數(shù)字化信息編碼的形式消滅的數(shù)據(jù)表現(xiàn)形式據(jù)收集的傳統(tǒng)方法有較大的區(qū)分。筆者認為，對電子證據(jù)的收集，必需強的證明力。------它常常作為指紋或基因證據(jù)潛藏在同樣的現(xiàn)場------可以輕松快速地跨越國界------它是脆弱的，可以很簡潔地涂改、損毀或銷毀。------有時候會有時間敏感度------因此只有那些具有專長的人應(yīng)當可以處理電子證據(jù)據(jù)捕獲工具常常需要訓練。電子證據(jù)收集的四個步驟；三、在犯罪現(xiàn)場處理電子證據(jù)1、預(yù)備工作 打印對于可以直觀或直接反映或證明案件事實的電子證據(jù)機中的位置〔如存放于那個文件夾中等〕或來源、取證人員等。 拷貝U盤、移動硬盤或光盤U盤，移動硬盤或光盤，確認式不當?shù)染売啥鴮е碌目截惒怀晒蚋腥居胁《镜热〉臅r間并封閉。------拍照、攝像證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。此外，在電子證據(jù)取證過程中，對取證全程進展拍照、攝像，對被固定采集的電子證據(jù)的真實性具有確定的增加作用。------查封、扣押申請執(zhí)法機關(guān)對于涉及案件的電子證據(jù)的載體進展實行查封、扣押，將有關(guān)載體置于執(zhí)法機關(guān)保管之下。之后再對該電子證據(jù)進展分析、解讀。 公證通過公證機構(gòu)以證據(jù)保全公證的方式對有關(guān)電子證據(jù)進展公證有效獵取電子證據(jù)的便捷途徑。------數(shù)據(jù)解析對于不能直接或直觀的證明案件事實的電子證據(jù)狀況下，運用特定的軟件工具，對相關(guān)數(shù)據(jù)進展分析、轉(zhuǎn)化，使得其可以直觀的形態(tài)為人們所認知或了解。 恢復(fù)大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)能。因此，當有關(guān)電子證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進展比較、恢復(fù)，獵取電子證據(jù)，也可以使用一些特地的恢復(fù)性軟件或特地設(shè)備來恢復(fù)2、電子證據(jù)固定采集的留意事項集進展目標、方法、步驟上的指導和要求。------電子證據(jù)固定采集的具體操作人員實際進展。應(yīng)在公證機關(guān)或中立第三方的工作場所進展。他數(shù)碼設(shè)備，建議使用公證機關(guān)或中立第三方的設(shè)備。IP關(guān)電子證據(jù)的真實性。用于固定相關(guān)電子證據(jù)的載體應(yīng)當是干凈的、未受污染的。------在使用非第三方的計算機或電子設(shè)備進展電子證據(jù)的固定采集時，須由專業(yè)人員對該計算機及電子設(shè)備進展“清潔性檢查”。所謂“清潔性檢查”是指對相關(guān)計算機或電子設(shè)備中的軟件系統(tǒng)、功能、配置進展查看或固定，以確保通過該計算機或電子設(shè)備所獵取的電子證據(jù)的真實性以及數(shù)據(jù)來源的唯一性。設(shè)備、介質(zhì)等，應(yīng)當提存原物并伴同電子證據(jù)一并固定采集。------某些專業(yè)的電子證據(jù)取證設(shè)備或軟件供給的電子證據(jù)固定采集的相關(guān)專業(yè)技術(shù)效勞定采集的一種有效途徑。這有助于提高相關(guān)電子證據(jù)的證明力。------電子證據(jù)的脆弱性和易篡改的兩個副本復(fù)制在只能寫入一次的介質(zhì)上〔如非可擦寫光盤，防止被提取到的電子證據(jù)意外被轉(zhuǎn)變。------第三方所作的提取筆錄形式將復(fù)制的時間處理人員、使用軟硬件、復(fù)制過程等事項記錄下來，以確保電子證據(jù)的合法性、真實性、關(guān)聯(lián)性與完整性。------得轉(zhuǎn)變原始證據(jù)或原始數(shù)據(jù)。3、電子證據(jù)的鑒定電子證據(jù)司法鑒定的主體應(yīng)具有確定的資格具備計算機科學網(wǎng)絡(luò)特地學問的人法律、規(guī)律、審計等學問。電子證據(jù)司法鑒定是司法鑒定中較為特別的一類鑒定司法鑒定工作需要提取相應(yīng)的計算機信息關(guān)于其定義，眾說紛紜，筆者認為法鑒定的定義應(yīng)當包含以下幾點：------電子證據(jù)司法鑒定的主體應(yīng)具有確定的資格是具備計算機科學網(wǎng)絡(luò)特地學問的人有法律、規(guī)律、審計等學問。------電子證據(jù)司法鑒定客體的范圍定，對取證過程中取得的證據(jù)鏈進展鑒定等等。從廣義的范圍來說，還包括對電子證據(jù)的提取、分析等內(nèi)容。------電子證據(jù)司法鑒定應(yīng)符合規(guī)定的程序一樣，都要分為申請、托付、受理、實施、出具結(jié)論等階段。由于電子證據(jù)具有脆弱性、易更改性等特點，收集電子證據(jù)的程序合法，程4、全面做好現(xiàn)場記錄現(xiàn)場記錄可將現(xiàn)場狀況永久性保存下來可以為El備的位置。例如鼠標放在計算機左側(cè)，則操作者可能慣用左手操作。運轉(zhuǎn)的聲音，來推斷其是否是在工作。假設(shè)計算機確實是關(guān)閉的，感3600畫面是活動的，例如某項程序正在執(zhí)行，則應(yīng)快速用攝像機將其記錄下來。5、收集和保全電子證據(jù)搜集：證據(jù)的收集，必需針對電子證據(jù)易偽造、具有隱蔽性的特性，才能使電子證據(jù)發(fā)揮更強的證明力。------依法收集電子證據(jù)網(wǎng)頁;偽造的電子信件等等，偵查人員就必需推斷其內(nèi)容的真實性。收集中除了遵循刑事訴訟法對取證的規(guī)定外特點嚴格依據(jù)法律規(guī)定的程序進展體，必需有見證人在場等。------全面收集電子證據(jù)收集電子證據(jù)時必需對一樣內(nèi)容的證據(jù)全部收集的原始狀態(tài)具有重要作用。收集電子證據(jù)的同時要收集存儲的載體CPU、MAC收集電子證據(jù)同時要收集與電子證據(jù)相關(guān)聯(lián)的電子程序軟件的證據(jù)時應(yīng)當同時記錄電子證據(jù)所處的操作系統(tǒng)呈現(xiàn)。收集電子證據(jù)同時要收集與電子證據(jù)相關(guān)聯(lián)的收集電子證據(jù)的據(jù)會因形不成證據(jù)鏈而失去證明力的放置地點、連接網(wǎng)絡(luò)狀況、各接口的連接狀況、計算機的IP地址等相關(guān)外部信息。6、正確扣押電子證據(jù)等;留意安全，例如，存放時應(yīng)當遠離強磁場、高溫、高壓、靜電等，使用時應(yīng)當留意對計算機病毒的檢測。進展公證。7、科學固定電子證據(jù)電子證據(jù)由于簡潔被偽造、刪除、篡改，故科學固定電子證據(jù)是只有在文件較多不便利現(xiàn)場打印的狀況下，才可以單獨使用拷貝方式。印過程中修改文件。打印完畢后，可以依據(jù)書證的固定方法，予以固等)。承受拷貝方式固定電子證據(jù)進展檢查。首先進展病毒檢測，然后翻開文件檢查拷貝的質(zhì)量過檢測覺察病毒，則應(yīng)領(lǐng)先消毒，后翻開文件檢查。制作檢查筆錄。無論實行哪種取證方式，在固定證據(jù)后，應(yīng)當現(xiàn)括:案由、參與檢查的人員姓名及職務(wù)、檢查的簡要過程，主要包括檢查時間、地點及檢查挨次等、檢查中消滅的問題及解決方法察院)的電子數(shù)據(jù)作為對方有過錯的證據(jù)曾被法庭采信開電腦和進入網(wǎng)頁的程序以及對電腦中消滅的內(nèi)容進展復(fù)制等等進展全程現(xiàn)場監(jiān)視和記錄。同時，法律效力的保全證據(jù)公證書。8、打包和轉(zhuǎn)移電子證據(jù)四、電子設(shè)備數(shù)字取證工具箱：便攜式根本硬件工具：螺絲刀，起子，鉗子，防水的、穩(wěn)定的塑料證據(jù)袋標簽和不行消退的標記驅(qū)動媒體：DOS啟動、光盤啟動、USB設(shè)備啟動、軟件啟動電纜：USB、火線、CAT5直流、電線帶有工具和手提電腦集成拍攝功能或能與PC機連接的PDA〔為保護硬盤上的內(nèi)容不受破壞〕行李推車電源板、配電盤記錄簿手套USB為獵取數(shù)據(jù)的取證平臺〔例如，專業(yè)工具〕專業(yè)取證工具：美國Logicube公司〔〕“://logicube/“://logicube/主流硬盤拷貝系統(tǒng)使用在〔IT部門〕支持各種各樣的驅(qū)動借口和連接的設(shè)備：IDE(IntegratedDeviceElectronicsSATA(SerialAdvancedTechnologyAttachment)串行ATA接口標準、SAS〔statisticalanalysissystem〕SCIC(smallcomputersysteminterface)小型計算機系統(tǒng)接口、USB(UniversalSerialBus)通用串行總線構(gòu)架1、建立你的搜尋參數(shù)什么樣類型的證據(jù)，是否是照片，文檔，區(qū)議會，電子郵件等；其次還要知道用戶〔嫌疑人〕的計算機技能水平；取證所涉及的不同種硬件，包括電腦系統(tǒng)版本，以及關(guān)聯(lián)的掌上電腦，手機，手表等；取證相關(guān)的軟件；另外，還要考慮是否要搜集其他形式的證據(jù)，如指紋，〔分協(xié)議，拓撲??〕〔ISP〕〔包括用戶的ID，密碼，是否加密等〕，取證現(xiàn)場是否裝有定時炸彈等問題。2、現(xiàn)場的治理調(diào)查首先要留意保持完整的數(shù)據(jù)收集過程差，或者停頓。此外，還要對相關(guān)的設(shè)備作一些必要的評估工作。對2、找出計算機中的可疑數(shù)據(jù)DragonDictation語音識別軟件Windows系統(tǒng)的語音識別程序必要，我們還可以實行強制行手段，決不允許他們再次接觸電腦。3、保護現(xiàn)場為了保護現(xiàn)場，以備必要時恢復(fù)現(xiàn)場，我們要對現(xiàn)場進展拍照。目前我們通常使用數(shù)碼相機來對現(xiàn)場進展拍攝。而作為證據(jù)的照片，都會經(jīng)過真?zhèn)蔚膮^(qū)分前方可成為有效證據(jù)性。在現(xiàn)場，我們需要拍攝正在開啟的電腦屏幕，特別是系統(tǒng)時間。再也不是一個考慮的因素，所以可以盡可能多的拍攝好現(xiàn)場。4、斷開外把握斷開外部的把握，主要指移除網(wǎng)絡(luò)連接。這包括線戶環(huán)路，有線/衛(wèi)星的調(diào)至解調(diào)器。有可能可疑的數(shù)據(jù)正在被存儲到遠程的系統(tǒng)上。無線連接可能比較難處理，由于它們不明顯，無線I/F可能被納入電腦機箱，尤其是在筆記本電腦上。另外，還要留意家庭網(wǎng)絡(luò)，有可能證據(jù)就是存放在某個位置。5、處理下載假設(shè)系統(tǒng)有跡象顯示該用戶正在下載文件要拍下整個下載的過程。6、計算機斷電中。同時，我們還要考慮具體的操作系統(tǒng)腦。7、確定操作系統(tǒng)因此要確定操作系統(tǒng)的版本MacWindowsUnix系統(tǒng)，硬件的特定操作系統(tǒng)〔手機，掌上電腦〕等。不同的版本，必需要有適宜的工具和程序，以避開不準確拷貝。對此，我們將來還可能用到更先進的工具。8、保存正在運行的程序的相關(guān)數(shù)據(jù)假設(shè)觀看某個程序正在運行(例如,在運行程序條)，我們是馬上導致數(shù)據(jù)的喪失。從而我們要了解計算機內(nèi)存工作的原理及其本質(zhì)。電而遭到破壞。9、保存內(nèi)存中的數(shù)據(jù)(VM據(jù)存儲到貯存硬盤空間。數(shù)據(jù)流在虛擬機和RAMRAM禁用虛擬機，由于有大量的RAM〔例如2GB〕。我們可以用特地保存RAM于手機和掌上電腦，但是它們依靠電池供電的性內(nèi)來存儲數(shù)據(jù)。10、在現(xiàn)場處理的具體操作系統(tǒng)常用的操作系統(tǒng)有：微軟操作系統(tǒng)，從Windows3.11到XP，麥金塔，Unix/Linux操作系統(tǒng)，特別工具用于PDA〔例如，棕櫚，視窗CE〕。11、筆記本電腦拔下筆記本電腦的電源插座，它會馬上切換到電池電源。因此，絲。我們需要留意的是，要使用套袋防止靜電，及裝運筆記本電腦電池。12、拆卸電腦拆卸電腦極為重要的是保證每臺計算機都可以被重組合完全〔即完畢哪臺計算機和端口行標記。六、現(xiàn)場記錄附加證據(jù)的保護在計算機取證的過程中有多少外圍設(shè)備需要我們扣押查封呢？查令中條款，依法扣押搜查令中授權(quán)的設(shè)備；其次，是依據(jù)說容問題。有時候，不起眼的外圍設(shè)備中會隱蔽重要的取證線索和資料?！部赡芘臄z有犯罪現(xiàn)場或有關(guān)嫌疑人的照片、玩耍機〔例如XboxPS、掃描儀〔檢查電子掃描iPods〔可以裝載電腦的數(shù)據(jù)和操作環(huán)境、計算器〔具有格外大的內(nèi)存。其他證據(jù)。例如：一些紙質(zhì)便簽、文件；數(shù)字存儲媒介〔磁質(zhì)帶中的具體內(nèi)容等等。以前提到過的較為明顯的設(shè)備，例如：掌上電腦、手機手表。較為小巧的USB變?nèi)f化，在取證時難以覺察。運輸前的預(yù)備工作OIC在