取证实验室

科技工作者之家  |   2020-11-17 18:06

随着计算机使用的普及,各类犯罪案件中涉及计算机的频率愈发增加,无论是何种案件几乎都与几台,几十台甚至上百台计算机有关联性。要在短时间内从海量的数据中提取有用的信息,其关键在于解决各种不同接口的转换问题。而这样庞大的工作量,纵是水平再高的计算机取证专家,也会陷入心有余而力不足的尴尬境地。在这种情况下,只有依靠具有专业的数据取证设备和取证软件的实验室,才能解决这样庞大的数据处理工作。因此,可兼容各种接口,能高效处理海量信息,并使多人协同合作的取证实验室遂被人们研发。

电子取证电子取证的含义随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。

电子取证的应用需求随着网络商务应用的快速发展,互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿,截止2013年12月,我国网民规模达到6.18亿,这就意味着2014年中国网民每人平均损失达243元,打击网络犯罪的局势迫在眉睫,此外,电子取证技术还应用在司法取证方面以及金融保险等领域的信息安全保障工作。

取证实验室的建设硬件系统硬件系统包括计算机取证实训平台、电子介质高速复制设备、现场勘查设备、手机取证设备以及各种接口操作的硬盘灯。通过各类设备的互相配合使用和转化等操作,可以完成各种教学目标下的取证实验课程,能够从不用角度对取证技术进行宏观的了解和掌握,进而为下一阶段的学习以及在未来工作岗位上的实战应用奠定基础。

软件系统软件系统包括动态虚拟仿真取证系统、电子数据分析系统、密码破解软件等各种计算机取证分析软件。在计算机取证硬件平台的基础上,通过这些软件的配合使用,可以完成大部分计算机数据分析工作流程。学生在学习、使用取证分析软件过程中,能够学会利用取证技术进行案件线索查找和案件性质分析的技能,从而提高学生处理网络取证案件的实际应用能力,以适应公安机关网络安全保卫工作的实战需求。

课程教材在计算机取证实验室的总体建设中,在实验室相关承建公司的帮助和配合下,实验室也较好地完成了课程教材的建设工作。专任教师从实战角度并结合实验室软硬件设备对计算机取证课程的实验教学内容进行了设计。课程教材包括计算机取证和电子数据分析的理论基础、各种常见专用硬件的介绍、多种常见取证分析软件的讲解、重要取证分析软件的详细使用方法和使用技巧以及模拟计算机案件的流程化教学。课程教材的建设遵循图文并茂、通俗易懂的原则,并在教师教授和学生学习相关取证课程的过程中,做到同步授课,同步实验。

实验教材由于计算机取证与电子数据分析技术是一门理论与实践结合相当紧密的课程,因而实验教材的建设也成为实验室建设中非常重要的一环,专任教师对实验室教材也进行了设计。实验教材完整,顺畅,试验项目经过详细设计,并涉及到这种取证设备和软件。实验案例覆盖了电子无证检验鉴定的所有流程和方法,学生在实验室中就能充分了解计算机取证技术在公安实战中的重要作用。1

取证实验室的操作流程法律鉴定和鉴定要求进行计算机取证与分析鉴定, 必须严格按照法律规定,紧紧围绕鉴定要求。

检查材的接收与克隆为了确保鉴定过程中硬盘原有数据的完整性不会被破坏和修改,接收检材后需通过硬盘复制机将检材硬盘中的内容复制到备份硬盘中。 由于这种复制是位对位的复制,检材硬盘中的内容会在备份硬盘中完全地反映出来,不会丢失、遗漏,也不会被修改,这样就可以保证通过对备份硬盘的操作达成鉴定工作。使用克隆件来进行计算机证据鉴定,注意加上数字签名和MD5检验,以证明原始计算机证明并没有改变,并且整个鉴定过程可以重现证据分析过程中不得故意篡改存储媒介中的数据,对于可能造成数据变化的操作需要记录鉴定人员实施的操作以及可能造成的影响。

制定鉴定方案根据案情的案点制作详细的计划,以便有方法、有步骤地对计算机证据进行鉴定。该环节至关重要,但是也极容易被忽视。 可以利用提取的电子证据来综合分析并确定罪犯之间相互关联的犯罪动机、 行动、相互作用和时间安排。 在不同的计算机犯罪现场汇总起来的电子证据可以用来推断犯罪嫌疑人在何时、何地,采用何种方式做了什么事情。

分析鉴定空间性分析个别案例由于涉及存在多个犯罪现场且不同现场犯罪程度不同等问题,仅依据以计算机磁盘为中心的鉴定分析一般不能说明犯罪的全部活动。此时则需将案件中的电子证据融合推理,再进行空间性分析。

时间性分析由于操作系统保存文件和文件夹的创建时间、最后一次修改时间及其访问时间,此外一些应用软件还在文件、日志和数据库中嵌入日期时间信息,创建事件的时间表能够帮助分析人员识别事件的形态和异常情况,弄清犯罪的经过并引导其他证据的来源。

相关性分析用来确定犯罪之间犯罪的组成,它们的位置和相互关系。

结构分析和粒度分析按照证据结构和粒度的大小来进行分析。

数据分析和代码分析扫描文件类型,通过对比各类文件的特征,将各类文件分类,以便搜索案件线索.熟悉各种工具软件。 恢复被删除的数据,在数据残留区寻找有价值的文件碎片,对硬盘反格式化等,寻找案件线索的蛛丝马迹。2

鉴定结论和出庭

经过近 7 年的发展,传统取证实验室网络架构存在的问题已经非常突出,重点表现在以下几个方面:

(1)以太网的传输的模式,运动性能受网络性能和阵列性能的制约严重;

(2)传输平台采用吉比特网络共享式的,传输性能元不能达到要求,多人同时使用速度慢,不能满足分析单项工作的需求;

(3)硬盘容量发展很快,把硬盘做成镜像文件,耗费时间长,对存储空间需求巨大,投资越来越大并且越来越不具备可行性;

随着“云”的概念不断推出,电子数据取证实验室已将关注点由实验室的内部能力转向辖区内资源共享、辖区远程“会诊”,在严格的认证和远程传输安全条件 下将实验室的触角向下级甚至更下一级的管控“末稍”延伸。网络版取证大师、取证塔、取证池等将成为 “云”的“经脉”和“骨架”。3

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所