计算机取证的计算机取证方法说明
计算机调查取证方式在目前的调查取证中新兴的技术模式,其在目前实践环境下得到相关调查机构的不断重视;计算机取证的方法就是计算机取证过程中涉及的具体措施、具体程序、具体方法。计算机取证的方法非常多,而且在计算取证过程中通常又涉及到证据的分析,取证与分析两者很难完全孤立开来,所以对计算机取证的分类十分复杂,往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类,通常可以分为两类不同性质的取证。一类是来源取证,一类是事实取证。 所谓来源取证,指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中,为了确定犯罪嫌疑人,可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址,则寻找IP地址便是来源取证。这类取证中,主要有IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。IP地址取证主要是利用在互联网中,每一台联网的计算机,在某一时刻都有唯一的全局IP地址。根据在案发现场找到的IP地址信息,进一步确定犯罪嫌疑人的机器,由犯罪人的机器再寻找案件相关人的方法。MAC地址取证主要在一些局域网中或动态分配IP地址网络中,由于IP地址使用有一定的自由,如果哪一个IP地址由谁租用并不清楚时,可以根据物理地址与逻辑地址的关系,找到物理地址,而物理地址也是唯一的,且一般情况下,也比较难以更改。所以MAC地址与特定计算机设备中网卡存在一定的对应关系,可以用来确定来源。电子邮件取证,指的是根据电子邮件头部信息找到发送电子邮件的机器,并根据已锁定的机器找到特定人的取证方法。软件账号取证,指特定软件如果其某个账号与特定人存在一一对应关系时,可以用来证明案件的来源。 事实取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据,例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。文件内容调查指的是在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。使用痕迹调查包括windows运行的痕迹(包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查)、上网记录的调查(缓存、历史记录、自动完成记录、浏览器地址栏下拉网址,Cookies,index.dat文件等等)、Office,realplay和mediaplay的播放列表及其它应用软件使用历史记录。软件功能分析主要针对特定软件和程序的性质和功能进行分析,常见是对恶意代码的分析,确定其破坏性、传染性等特征。此类取证方法通常在破坏计算机信息系统、入侵计算机信息系统、传播计算机病毒行为中经常使用。软件相似性分析是指比较两软件,找出两者之间是否存在实质性相似的证据。此类取证方法主要在软件知识产权相关案件中使用。日志文件分析,指通过系统日志、数据库日志、网络日志、应用程序日志等进行分析发现系统是否存在入侵行为或者其它访问行为的证据。网络状态分析指的是取得特定时刻计算机联网状态。例如网络中哪些机器与本机相连,本机的网络配置、开启了哪些服务、哪些用户登录到本机等信息。网络数据包分析指的是通过分析网络中传输的数据包发现相关证据的过程。网络数据包分析主要发生在实时取证中,是一种综合的取证方法。有时候网络数据包分析也称呼为“网络侦听”。在对网络犯罪实时侦查或“诱惑性”侦查时,往往采取网络侦听的方法发现犯罪嫌疑人的犯罪活动,掌握犯罪的线索,为抓获犯罪嫌疑人提供支持。在常用的证据调查方法体系中,计算机取证作为一项新兴的调查取证方式,有着其极高的专业性和技术性,但一旦有所突破,亦能获得较为明显的证据线索,有效的促进案件的证据整理工作,作为专业的证据调查部,我们不断的总结,掌握熟练的计算机取证技术,更好的为客户提供优质的证据服务;
计算机取证的计算机取证的方式
从技术角度看,计算机取证是分析硬盘,光盘,软盘,Zip磁盘,U盘,内存缓冲和其他形式的储存介质以发现犯罪证据的过程,即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录。多媒体技术的发展,电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。与传统证据一样,电子证据必须是可信、准确、完整、符合法律法规的,是法庭所能够接受的。同时,电子证据与传统证据不同,具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了相应技术设备,电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的,必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。计算机取证要解决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示。可以用做计算机取证的信息源很多,如系统日志,防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活动结束后将自己残留在受害方系统中的“痕迹”擦除掉,如尽量删除或修改日志文件及其他有关记录。但是,一般的删除文件操作,即使在清空了回收站后,如果不是对硬盘进行低级格式化处理或将硬盘空间装满,仍有可能恢复已经删除的文件。
计算机取证与司法鉴定的原则是什么
法律主观:1、 司法鉴定 机构必须是按法律、 法规 、部门规章规定,经过省级以上司法机关审批,取得司法鉴定实施权的法定鉴定机构,或按规定程序委托的特定鉴定机构。 司法鉴定人 必须是具备规定的条件,获得司法鉴定人职业资格的执业许可证的自然人。 2、司法鉴定材料主要是指鉴定对象及其作为被比较的样本(样品)。鉴定对象必须是法律规定的案件中的专门性问题,法律未作规定的专门性问题不能 作为司法鉴定对象。如我国现阶段对司法心理测定(俗称测谎)、气味鉴别(警犬鉴定)等尚未作为法定鉴定对象,其鉴定结论不能作为 证据 。而且鉴定材料的来源 (含提取、保存、运送、监督等)必须符合相关法律规定的要求。 3、鉴定程序合法性,包括司法鉴定的提请、决定与委托、受理、实施、补充鉴定、重新鉴定、专家共同鉴定等各个环节上必须符合 诉讼 法和其他相关法律法规和部门规章的规定。 4、鉴定的步骤、方法应当是经过法律确认的、有效的,鉴定标准要符合国家法定标准或部门(行业)标准。 5、鉴定结果的合法性,主要表现为司法鉴定文书的合法性。鉴定文书必须具备法律规定的文书格式和必备的各项内容,鉴定结论必须符合证据要求和法律规范。 司法鉴定在日常生活中大大小小的案件中发挥着巨大的作用。如果大家对于鉴定的结果不服的话大家也是可以申请重新鉴定的。此外,鉴定的时间则根据工作的复杂程度来决定。 法律客观:《司法鉴定程序通则》第四条 司法鉴定机构和司法鉴定人进行司法鉴定活动;应当遵守法律、法规、规章,遵守职业道德和执业纪律,尊重科学,遵守技术操作规范。 《司法鉴定程序通则》第五条 司法鉴定实行鉴定人负责制度。司法鉴定人应当依法独立、客观、公正地进行鉴定,并对自己作出的鉴定意见负责。司法鉴定人不得违反规定会见诉讼当事人及其委托的人。
