电脑鉴识

科技工作者之家  |   2020-11-17 18:07

电脑鉴识简单来说,系指利用科技与严谨的检查程序,自计算机系统或其它类似的存储媒体中,查找罪行相关物证或间接物证。对于电脑鉴识专家来说,必需要能够了解嫌疑犯世故的程度,懂得对方在信息专业方面的认知多寡,如果我们不清楚嫌疑犯的程度时,先将对方视为专家,并假设对方已经为有电脑鉴识之可能,做好事前准备。待鉴识的已引导设备是否要关机以方便运送,或是保持引导状态以避免变更原始数据,如同一把两面刃的刀一样,各有优劣。没有关机的电脑,是不方便运送的,此外还有嫌疑犯启动程序以销毁重要数据的问题;但另一方面,关闭电脑后,诸如存储器内部可能存有的重要密码等易消失的数据,随着关机便灰飞烟灭,其中的取决是一门临场判断的学问。

简介随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中,与计算机相关的法庭案例(如电子商务纠纷,计算机犯罪等)也不断出现。一种新的证据形式——存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的诉讼证据之一。大量的计算机犯罪—如商业机密信息的窃取和破坏,计算机欺诈,对政府、军事网站的破坏——案例的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程的许多有别于传统物证和取证的特点,对司法和计算机科学领域都提出了新的挑战。作为计算机领域和法学领域的一门交叉科学:电脑鉴识,或称计算机取证,使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据,包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。

电子证据计算机取证基本围绕电子证据展开。电子证据是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。 与传统证据一样,电子证据必须是可信的、准确的、完整的、符合法律法规的。电子证据还具有以下特点 :

1)脆弱性 :由于数据自身的特点导致电子证据易被修改,且不易留痕迹 ;

2)无形性 :计算机数据必须借助于输出设备才能呈现结果 ;

3)高科技性 :证据的产生、传输、保存都要借助高科技含量的技术与设备 ;

4)人机交互性 :电子证据的形成,在不同的环节上有不同的操作人员参与,它们在不同程度上都可能影响电子证据的最终结果 ;

5)电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

电子证据的来源很多,主要有系统日志、IDS、防火墙、FTP、反病毒软件日志、系统的审计记录、网络监控流量、电子邮箱、操作系统和数据库的临时文件或隐藏文件,数据库的操作记录,硬盘驱动的交换(Swap)分区、Slack 区和空闲区,软件设置,完成特定功能的脚本

文件,Web 浏览器数据缓冲,书签、历史记录或会话日志、实时聊天记录等等。 电子证据的获取方法包括数字鉴定、数据检查、数据对比、数据保护、数据分析和证据抽取。而这些方法的实施将贯穿整个计算机取证过程。

数据分析电子取证要求取证和分析数据的信息网络系统,以及其辅助的设备必须安全、可靠,从取证系统或装置中只获取原始数据,不做分析,整个信息获取过程要尽可能不被干扰、覆盖,或破坏原始信息和环境,在对原始数据进行分析前,需对原始数据进行数字签名。 所以在数据分析前要做证据固定,取得镜像证据文件,然后再对镜像证据文件进行数据分析。取证人员能否找到犯罪证据关键在于 :

1)有关犯罪证据的数据必须没有被破坏或篡改 ;

2)取证软件必须能找到这些数据 ;

3)取证人员能知道这些文件,并且能证明它们与犯罪有关。实际过程中遇到的问题往往是我们得到的大量数据中,重要的证据往往并不是显性存在的,可能已被删除或篡改。取证

人员面对这样的问题就必须首先对证据文件做数据恢复1。

步骤1)取证准备,这个过程要对取证环境和条件作客观性分析;

2)现场勘查及证据固定,这个过程必须保证证据获取的合法性;

3)数据分析及证据提取,这个过程需要对获取的数据进行分析找出与案件相关能够证明犯罪事实的数据,即要保证数据与案件的关联性;

4)证据的呈递,这个过程要对所获取的电子证据进行鉴定,从而保证证据对犯罪定性的有效。

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所