1、第1页,共111页。课题背景 计算机犯罪简述 计算机取证概念、原则与步骤 国外计算机取证应用现状 国内计算机取证应用现状 取证过程与方法 展望-第2页,共111页。随着社会信息化、网络化大潮的推进,社随着社会信息化、网络化大潮的推进,社会生活中的计算机犯罪由最初的会生活中的计算机犯罪由最初的“小荷才露小荷才露尖尖角尖尖角”到目前的层出不穷,举不胜举,因到目前的层出不穷,举不胜举,因此,电子数据证据的法律效力正在成为学界此,电子数据证据的法律效力正在成为学界关注的焦点。关注的焦点。-第3页,共111页。MooreMoore定律:每定律:每1818个月相同价格的集成电路的处个月相同价格的集成电路的
2、处理能力就会加倍。理能力就会加倍。IntelIntel研制出研制出 纳米纳米 晶体管晶体管 摩尔定律摩尔定律将被推翻将被推翻硅芯片晶体密度提百倍硅芯片晶体密度提百倍 摩尔定律摩尔定律再用再用2020年年CSDN-CSDN-英特尔即将启用远紫外技术英特尔即将启用远紫外技术 摩尔定律摩尔定律再获新发再获新发展展 -第4页,共111页。由最初的手动编制二进制代码到汇编语言、由最初的手动编制二进制代码到汇编语言、高级语言、面向对象的概念、软件工程到高级语言、面向对象的概念、软件工程到UMLUML建模技术,软件开发日益呈现工程化、自建模技术,软件开发日益呈现工程化、自动化趋势,软件的应用范围日益拓展,已
3、成为动化趋势,软件的应用范围日益拓展,已成为社会生活重要组成部分。社会生活重要组成部分。-第5页,共111页。:互联网在中国的发展互联网在中国的发展 CNNICCNNIC的统计的统计:我们的网民总量截至我们的网民总量截至20022002年年7 7月为月为45804580万,上网计算机数量为万,上网计算机数量为16131613万台,万台,CNCN下注册的域名数量是下注册的域名数量是126146126146个。个。WWWWWW站点数站点数(包括(包括.CNCN、.COM.COM、.NET.NET、.ORG.ORG下的网站)下的网站)大约大约293213293213个。个。-第6页,共111页。Co
4、mputer related crimeComputer related crime or or computer aimed crimecomputer aimed crime?广义说:计算机犯罪广义说:计算机犯罪通常是指所有涉及计算通常是指所有涉及计算机的犯罪。如:机的犯罪。如:欧洲经济合作与发展组织的专家认为欧洲经济合作与发展组织的专家认为:“在自动在自动数据处理过程中任何非法的、违反职业道德的、数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。未经过批准的行为都是计算机犯罪。”我国刑法学者有人认为我国刑法学者有人认为:“凡是故意或过失不当使凡是故意或过失不当使用
5、计算机致使他人受损失或有受损失危险的行为用计算机致使他人受损失或有受损失危险的行为,都是计算机犯罪。都是计算机犯罪。”-第7页,共111页。狭义说:计算机犯罪狭义说:计算机犯罪通常是对计算机资产本身通常是对计算机资产本身进行侵犯的犯罪。例如:进行侵犯的犯罪。例如:瑞典的私人保密权法规定瑞典的私人保密权法规定:“未经过批准建立和保存未经过批准建立和保存计算机私人文件计算机私人文件,非法窃取电子数据处理记录或非法篡非法窃取电子数据处理记录或非法篡改、删除记录侵犯个人隐私的行为都是计算机犯罪。改、删除记录侵犯个人隐私的行为都是计算机犯罪。”我国有学者认为我国有学者认为,“计算机犯罪是指利用计算机操作
6、计算机犯罪是指利用计算机操作所实施的危害计算机信息系统所实施的危害计算机信息系统(包括内存数据及程序包括内存数据及程序)安全的犯罪行为安全的犯罪行为”-第8页,共111页。折衷说:计算机本身在计算机犯罪中以折衷说:计算机本身在计算机犯罪中以“犯罪工具犯罪工具”或或“犯罪对象犯罪对象”的方式出现的方式出现,这一概念注重的是计算机这一概念注重的是计算机本身在犯罪中的作用。如:本身在犯罪中的作用。如:德国学者施奈德认为德国学者施奈德认为:“计算机犯罪指的是利用电子计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯
7、罪行为。理设备当作作案对象的犯罪行为。”我国学者认为我国学者认为:“计算机犯罪是以计算机为工具或以计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为。计算机资产为对象的犯罪行为。”-第9页,共111页。犯罪形式的隐蔽性犯罪形式的隐蔽性 计算机犯罪一般不受时间和地点限制计算机犯罪一般不受时间和地点限制,可以通过网络可以通过网络大幅度跨地域远程实现大幅度跨地域远程实现,其罪源可来自全球的任何一个其罪源可来自全球的任何一个终端终端,随机性很强。随机性很强。计算机犯罪黑数高。计算机犯罪黑数高。-第10页,共111页。犯罪主体和手段的智能性犯罪主体和手段的智能性 计算机犯罪的各种手段中计算机犯罪的
8、各种手段中,无论是无论是“特洛依木马特洛依木马术术”,还是还是“逻辑炸弹逻辑炸弹”,无一不是凭借高科技手无一不是凭借高科技手段实施的段实施的,而熟练运用这些手段并实现犯罪目的而熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员。计算机操作技能的专业人员。-第11页,共111页。复杂性复杂性 犯罪主体的复杂性。犯罪主体的复杂性。犯罪对象的复杂性。犯罪对象的复杂性。-第12页,共111页。跨国性跨国性网络冲破了地域限制,计算机犯罪呈国际化趋势。因特网网络冲破了地域限制,计算机犯罪呈国际化趋势。因特网络具有络具有
9、“时空压缩化时空压缩化”的特点,当各式各样的信息通过因的特点,当各式各样的信息通过因特网络传送时,国界和地理距离的暂时消失就是空间压缩特网络传送时,国界和地理距离的暂时消失就是空间压缩的具体表现。这为犯罪分了跨地域、跨国界作案提供了可的具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的终端机,就可以通过因能。犯罪分子只要拥有一台联网的终端机,就可以通过因特网到网络上任何一个站点实施犯罪活动。而且,可以甲特网到网络上任何一个站点实施犯罪活动。而且,可以甲地作案,通过中间结点,使其他联网地受害。由于这种跨地作案,通过中间结点,使其他联网地受害。由于这种跨国界、跨地区的作
10、案隐蔽性强、不易侦破,危害也就更大。国界、跨地区的作案隐蔽性强、不易侦破,危害也就更大。-第13页,共111页。匿名性匿名性 罪犯在接受网络中的文字或图像信息的罪犯在接受网络中的文字或图像信息的过程是不需要任何登记,完全匿名,因而过程是不需要任何登记,完全匿名,因而对其实施的犯罪行为也就很难控制。罪犯对其实施的犯罪行为也就很难控制。罪犯可以通过反复匿名登录,几经周折,最后可以通过反复匿名登录,几经周折,最后直奔犯罪目标,而作为对计算机犯罪的侦直奔犯罪目标,而作为对计算机犯罪的侦查,就得按部就班地调查取证,等到接近查,就得按部就班地调查取证,等到接近犯罪的目标时,犯罪分子早已逃之夭夭了。犯罪的目
11、标时,犯罪分子早已逃之夭夭了。-第14页,共111页。损失大,对象广泛,发展迅速,涉及面广损失大,对象广泛,发展迅速,涉及面广 计算机犯罪始于六十年代,七十年代迅速增长,八计算机犯罪始于六十年代,七十年代迅速增长,八十年代形成威胁。美国因计算机犯罪造成的损失已在十年代形成威胁。美国因计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿,甚至上百亿美元,千亿美元以上,年损失达几十亿,甚至上百亿美元,英、德的年损失也达几十亿美元。英、德的年损失也达几十亿美元。我国从我国从19861986年开始每年出现至少几起或几十起年开始每年出现至少几起或几十起计算机犯罪,到计算机犯罪,到19931993年一年就
12、发生了上百起,近年一年就发生了上百起,近几年利用计算机计算机犯罪的案件以每年几年利用计算机计算机犯罪的案件以每年30%30%的速的速度递增,其中金融行业发案比例占度递增,其中金融行业发案比例占61%61%,平均每起,平均每起金额都在几十万元以上,单起犯罪案件的最大金金额都在几十万元以上,单起犯罪案件的最大金额高达额高达14001400余万元,每年造成的直接经济损失近余万元,每年造成的直接经济损失近亿元。亿元。-第15页,共111页。持获利和探秘动机居多持获利和探秘动机居多 全世界每年被计算机犯罪直接盗走的资金达全世界每年被计算机犯罪直接盗走的资金达2020亿美元。亿美元。我国我国2001200
13、1年发现的计算机作案的经济犯罪已达年发现的计算机作案的经济犯罪已达100100余件,余件,涉及金额达涉及金额达17001700万元,在整个计算机犯罪中占有相当万元,在整个计算机犯罪中占有相当的比例。的比例。各种各样的个人隐私、商业秘密、军事秘密等等都成各种各样的个人隐私、商业秘密、军事秘密等等都成为计算机犯罪的攻击对象。侵害计算机信息系统的更为计算机犯罪的攻击对象。侵害计算机信息系统的更是层出不穷。是层出不穷。-第16页,共111页。低龄化和内部人员多低龄化和内部人员多 我国对某地的金融犯罪情况的调查,犯罪的年龄在我国对某地的金融犯罪情况的调查,犯罪的年龄在3535岁岁以下的人占整个犯罪人数的
14、比例:以下的人占整个犯罪人数的比例:19891989年是年是69.9%69.9%,19901990年是年是73.2%73.2%,19911991年是年是75.8%75.8%。其中年龄最小的只。其中年龄最小的只有有1818岁。岁。此外,在计算机犯罪中犯罪主体中内部人员也占有相当此外,在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计,计算机犯罪的犯罪主体集中为的比例。据有关统计,计算机犯罪的犯罪主体集中为金融、证券业的金融、证券业的“白领阶层白领阶层”,身为银行或证券公司,身为银行或证券公司职员而犯罪的占职员而犯罪的占78%78%,并且绝大多数为单位内部的计算,并且绝大多数为单位内部的
15、计算机操作管理人员;从年龄和文化程度看,集中表现为机操作管理人员;从年龄和文化程度看,集中表现为具有一定专业技术知识、能独立工作的大、中专文化具有一定专业技术知识、能独立工作的大、中专文化程度的年轻人,这类人员占程度的年轻人,这类人员占83%83%,案发时最大年龄为,案发时最大年龄为3434岁。岁。-第17页,共111页。巨大的社会危害性巨大的社会危害性 网络的普及程度越高,计算机犯罪的危害也就越大,网络的普及程度越高,计算机犯罪的危害也就越大,而且计算机犯罪的危害性远非一般传统犯罪所能比而且计算机犯罪的危害性远非一般传统犯罪所能比拟,不仅会造成财产损失,而且可能危及公共安全拟,不仅会造成财产
16、损失,而且可能危及公共安全和国家安全。据美国联邦调查局统计测算,一起刑和国家安全。据美国联邦调查局统计测算,一起刑事案件的平均损失仅为事案件的平均损失仅为20002000美元,而一起计算机犯美元,而一起计算机犯罪案件的平均损失高达罪案件的平均损失高达5050万美元。据计算机安全专万美元。据计算机安全专家估算,近年因计算机犯罪给总部在美国的公司带家估算,近年因计算机犯罪给总部在美国的公司带来的损失为来的损失为25002500亿美元亿美元。-第18页,共111页。非法侵入计算机信息系统罪。非法侵入计算机信息系统罪。刑法第刑法第285285条规定条规定,违反国家规定违反国家规定,侵入国有侵入国有事务
17、、国防建设、尖端科学技术领域的计算机信事务、国防建设、尖端科学技术领域的计算机信息系统的息系统的,处三年以下有期徒刑或者拘役。处三年以下有期徒刑或者拘役。-第19页,共111页。破坏计算机信息系统罪。破坏计算机信息系统罪。这一行为刑法第这一行为刑法第286286条概括为破坏计算机信息系统罪。主条概括为破坏计算机信息系统罪。主要表现为要表现为:故意对计算机信息系统功能进行删除、修改、增加、干扰故意对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行造成计算机信息系统不能正常运行,后果严重的行为后果严重的行为;故意对计算机信息系统中存储处理或者传输的数据和故意对计算机信息
18、系统中存储处理或者传输的数据和应用程序进行删除、修改、增加的操作应用程序进行删除、修改、增加的操作,后果严重的行后果严重的行为为;故意制作、传播计算机病毒等破坏性程序故意制作、传播计算机病毒等破坏性程序,影响计算影响计算机系统正常运行机系统正常运行,后果严重的行为。后果严重的行为。-第20页,共111页。刑法第刑法第287287条规定了利用计算机实施金融诈骗、条规定了利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪。利用计盗窃、贪污、挪用公款、窃取国家秘密罪。利用计算机实施盗窃的行为纳入盗窃罪定罪处罚的范围算机实施盗窃的行为纳入盗窃罪定罪处罚的范围,从从而使盗窃罪更具信息时代的特征
19、。而使盗窃罪更具信息时代的特征。如盗窃电子资金如盗窃电子资金,不法分子往往利用电子资金过户系不法分子往往利用电子资金过户系统统,例如定点销售系统例如定点销售系统()、自动存取款机、自动存取款机()自动化票据交换所自动化票据交换所()、电子身、电子身份证系统等提供的便利份证系统等提供的便利,使用计算机技术通过网络修使用计算机技术通过网络修改电子资金帐目改电子资金帐目,窃取电子资金。窃取电子资金。-第21页,共111页。数据欺骗数据欺骗非法篡改输入非法篡改输入/输出数据获取个人利益输出数据获取个人利益,是最普通是最普通最常见的计算机犯罪活动。发生在金融系统的此最常见的计算机犯罪活动。发生在金融系统
20、的此种计算机犯罪多为内外勾结种计算机犯罪多为内外勾结,串通作案串通作案,由内部人由内部人员修改数据员修改数据,外部人员提取钱款。外部人员提取钱款。-第22页,共111页。意大利香肠术意大利香肠术侵吞存款利息余额侵吞存款利息余额,积少成多的一种作案手段积少成多的一种作案手段,是金融是金融系统计算机犯罪的典型类型。这种方法很像偷吃香肠系统计算机犯罪的典型类型。这种方法很像偷吃香肠一样一样,每次偷吃一小片并不引起人们的注意每次偷吃一小片并不引起人们的注意,但是日积但是日积月累的数目也是相当可观。此类案件在国内外均有发月累的数目也是相当可观。此类案件在国内外均有发现现,因为只有修改计算机程序才能达到其
21、犯罪目的因为只有修改计算机程序才能达到其犯罪目的,故故多为直接接触程序的工作人员所为。目前国内多数为多为直接接触程序的工作人员所为。目前国内多数为局域网管理银行帐目而产生此类犯罪局域网管理银行帐目而产生此类犯罪,因此因此,要警惕采要警惕采用此手段作案的罪犯。用此手段作案的罪犯。-第23页,共111页。特洛依木马特洛依木马“特洛依木马特洛依木马”来源于古希腊传说来源于古希腊传说,相传希腊人相传希腊人为了攻陷特洛依城为了攻陷特洛依城,在城外故意抛下一个木马并在城外故意抛下一个木马并假装撤退假装撤退,特洛依人将木马拖回城内后特洛依人将木马拖回城内后,埋伏在木埋伏在木马内的希腊士兵就打开城门马内的希腊
22、士兵就打开城门,里应外合而将特洛里应外合而将特洛依城攻陷。它是表面上来看是正常合适的依城攻陷。它是表面上来看是正常合适的,但在但在内部却隐藏秘密指令和非法程序段的程序的代名内部却隐藏秘密指令和非法程序段的程序的代名词。词。“特洛依木马特洛依木马”就是用来表示以软件程序为基就是用来表示以软件程序为基础进行欺骗和破坏的方法。础进行欺骗和破坏的方法。-第24页,共111页。冒名顶替冒名顶替利用别人口令利用别人口令,窃用计算机谋取个人私利的做法。在窃用计算机谋取个人私利的做法。在机密信息系统和金融系统中机密信息系统和金融系统中,罪犯常以此手法作案。罪犯常以此手法作案。单用户环境多为内部人员所为单用户环
23、境多为内部人员所为,网络系统则可能为非网络系统则可能为非法渗透。由于人们普遍存在猎奇心理法渗透。由于人们普遍存在猎奇心理,对别人加密程对别人加密程序序,总想解密一睹总想解密一睹,因此用户口令应注意保密和更新因此用户口令应注意保密和更新,且最好不用容易破译的口令密码且最好不用容易破译的口令密码,如电话号码、出生如电话号码、出生日期、人名缩写等。日期、人名缩写等。-第25页,共111页。清理垃圾清理垃圾从计算机系统周围废弃物中获取信息的一种方法。从计算机系统周围废弃物中获取信息的一种方法。由此带来损失的例子并不罕见由此带来损失的例子并不罕见,提醒计算机用户不要随提醒计算机用户不要随便处理所谓废弃物
24、便处理所谓废弃物,因为其中可能含有不愿泄漏的信息因为其中可能含有不愿泄漏的信息资料。资料。-第26页,共111页。逻辑炸弹逻辑炸弹指插入用户程序中的一些异常指令编码指插入用户程序中的一些异常指令编码,该代码在特该代码在特定时刻或特定条件下执行破坏作用定时刻或特定条件下执行破坏作用,所以称为逻辑炸所以称为逻辑炸弹或定时炸弹。弹或定时炸弹。-第27页,共111页。任何材料要成为证据,均需具备三性:任何材料要成为证据,均需具备三性:客观性客观性 关联性关联性 合法性合法性-第28页,共111页。计算机取证专业资深人士计算机取证专业资深人士Judd Robins:Judd Robins:计算机取证不过
25、是简单地将计算机调查和分析技术计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取应用于对潜在的、有法律效力的证据的确定与获取上。上。-第29页,共111页。一家专业的计算机紧急事件响应和计算机一家专业的计算机紧急事件响应和计算机取证咨询公司:取证咨询公司:计算机取证包括了对以磁介质编码信息方式存储的计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。计算机证据的保护、确认、提取和归档。-第30页,共111页。一篇综述文章给出了如下的定义:一篇综述文章给出了如下的定义:计算机取证是使用软件和工具,按照一些预先定计算机取证是使用软件
26、和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有义的程序全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。关计算机犯罪的证据。-第31页,共111页。综合:综合:计算机取证是指对能够为法庭接受的、足够可计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。子证据的确认、保护、提取和归档的过程。-第32页,共111页。计算机数据无时无刻不在改变;计算机数据无时无刻不在改变;计算机数据不是肉眼直接可见的,必须借助适计算机数据不是肉眼直接可见的,必须借助适当的工具;
27、当的工具;搜集计算机数据的过程,可能会对原始数据造成很严搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原重的修改,因为打开文件、打印文件等一般都不是原子操作;子操作;电子证据问题是由于技术发展引起的,因为计算机电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。也必须不断调整以适应技术的进步。-第33页,共111页。法律的制定:法律的制定:自自19761976年的年的Federal Rules of EvidenceFederal Rule
28、s of Evidence起,美起,美国出现了如下一些法律解决由电子证据带来的问题:国出现了如下一些法律解决由电子证据带来的问题:The Economic Espionage Act of 1996:The Economic Espionage Act of 1996:处理商业机密处理商业机密窃取问题窃取问题 The Electronic Communications Privacy Act of The Electronic Communications Privacy Act of 1986:1986:处理电子通信的窃听问题处理电子通信的窃听问题 The Computer Security
29、 Act of 1987(Public Law The Computer Security Act of 1987(Public Law 100-235):100-235):处理政府计算机系统的安全问题处理政府计算机系统的安全问题-第34页,共111页。取证技术:取证技术:逐渐走向自动化、智能化,政府与各专业机逐渐走向自动化、智能化,政府与各专业机构均投入巨大人力、物力开发计算机取证专用工构均投入巨大人力、物力开发计算机取证专用工具。具。-第35页,共111页。用于电子数据证据获取的工具:用于电子数据证据获取的工具:如如Higher Ground Software Inc.Higher Gro
30、und Software Inc.的软件的软件Hard Hard Drive Mechanic Drive Mechanic 可用于从被删除的、被格式化的可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。和已被重新分区的硬盘中获取数据。NTINTI公司的公司的GetFreeGetFree可从活动的可从活动的Windows SwapWindows Swap分区中恢复数据分区中恢复数据,该公司的软件,该公司的软件GetSlackGetSlack可自动搜集系统中的文件可自动搜集系统中的文件碎片并将其写入一个统一的文件。碎片并将其写入一个统一的文件。-第36页,共111页。用于电子数据证据保
31、全的工具:用于电子数据证据保全的工具:Guidance Software Guidance Software公司生产的硬件设备公司生产的硬件设备FastblocFastbloc可用可用于于WindowsWindows操作系统下计算机媒质内容的快速镜像,操作系统下计算机媒质内容的快速镜像,NTINTI的软件系统的软件系统CRCMd5CRCMd5可用于在计算机犯罪调查过程中可用于在计算机犯罪调查过程中保护已搜集来的电子证据,保证其不被改变,也可以保护已搜集来的电子证据,保证其不被改变,也可以用于将系统从一台计算机迁移到另一台计算机时保障用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该
32、公司的软件系统的完整性。该公司的软件SEIZEDSEIZED可用于保证用户可用于保证用户无法对正在被调查的计算机或系统进行操作。无法对正在被调查的计算机或系统进行操作。-第37页,共111页。用于电子数据证据分析的工具:用于电子数据证据分析的工具:这类工具中最著名的是这类工具中最著名的是NTINTI公司的软件系统公司的软件系统Net Net Threat AnalyzerThreat Analyzer。该软件使用人工智能中的模式识该软件使用人工智能中的模式识别技术,分析别技术,分析SlackSlack磁盘空间、未分配磁盘空间、自由磁盘空间、未分配磁盘空间、自由空间中所包含的信息,研究交换文件、
33、缓存文件、临空间中所包含的信息,研究交换文件、缓存文件、临时文件及网络流动数据,从而发现系统中曾发生过的时文件及网络流动数据,从而发现系统中曾发生过的EmailEmail交流、交流、InternetInternet浏览及文件上传下载等活动浏览及文件上传下载等活动,提取出与生物、化学、核武器等恐怖袭击、炸,提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国弹制造及性犯罪等相关的内容。该软件在美国9.119.11事件的调查中起到了很大的作用。事件的调查中起到了很大的作用。-第38页,共111页。用于电子数据证据归档的工具:用于电子数据证据归档的工具:如如NTINTI公
34、司的软件公司的软件NTI-DOCNTI-DOC可用于自动记录电子数据可用于自动记录电子数据产生的时间、日期及文件属性。产生的时间、日期及文件属性。-第39页,共111页。结论:结论:针对计算机取证的全部活动而言,美国的各研究机构与针对计算机取证的全部活动而言,美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取、公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程,各研究机构与公司也都在保全、分析和归档的过程,各研究机构与公司也都在进一步优化现有的各种工具,提高利用工具进行电子进一步优化现有的各种工具,提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度,进
35、证据搜集、保全、鉴定、分析的可靠性和准确度,进一步提高计算机取证的自动化和智能化。但目前还没一步提高计算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。软件来源的工具。-第40页,共111页。我国的计算机普及与应用起步较晚,有关计算机取证的我国的计算机普及与应用起步较晚,有关计算机取证的研究与实践工作也仅有研究与实践工作也仅有1010年的历史,相关的法律法规年的历史,相关的法律法规仍很不完善,学界对计算机犯罪的研究也主要集中于仍很不完善,学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其
36、给人类带来的影响计算机犯罪的特点、预防对策及其给人类带来的影响。目前法庭案例中出现的计算机证据都比较简单,多。目前法庭案例中出现的计算机证据都比较简单,多是文档、电子邮件、程序源代码等不需特殊工具就可是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步,计算机犯罪的水以取得的信息。但随着技术的进步,计算机犯罪的水平也在不断提高,目前的计算机取证技术己不能满足平也在不断提高,目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求,自主打击计算机犯罪、保护网络与信息安全的要求,自主开发适合我国国情的、能够全面检查计算机与网络系开发适合我国国情的、能够全面检查
37、计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。统的计算机取证的工具与软件已经迫在眉睫。-第41页,共111页。尽早搜集证据,并保证其没有受到任何破坏尽早搜集证据,并保证其没有受到任何破坏必须保证必须保证“证据连续性证据连续性”(有时也被称为(有时也被称为“chain of custodychain of custody”),),即在证据被正式提交给法庭时,必须能够说明在证据从即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。最好是没有任何变化。整个检查、取证过程必须
38、是受到监督的,也就是说,由原告委派整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。的专家的监督。-第42页,共111页。在取证检查中,保护目标计算机系统,避免发生任何的在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染。改变、伤害、数据破坏或病毒感染。搜索目标系统中的所有文件。包括现存的正常文件,已经被搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,删除但仍存在于磁盘上(即还没有被新文件
39、覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。隐藏文件,受到密码保护的文件和加密文件。全部(或尽可能)恢复发现的已删除文件。全部(或尽可能)恢复发现的已删除文件。-第43页,共111页。最大程度地显示操作系统或应用程序使用的隐藏文件、临时最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。文件和交换文件的内容。如果可能并且如果法律允许,访问被保护或加密文件的内容如果可能并且如果法律允许,访问被保护或加密文件的内容。-第44页,共111页。分析在磁盘的特殊区域中发现的所有相关数据分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:。特殊区域至少包括下
40、面两类:所谓的未分配磁盘空间所谓的未分配磁盘空间虽然目前没有被使用,但可能虽然目前没有被使用,但可能包含有先前的数据残留。包含有先前的数据残留。文件中的文件中的“slackslack”空间空间如果文件的长度不是簇长度的如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据。信息,可能是有用的证据。-第45页,共111页。打印对目标计算机系统的全面分析结果,然后给出分析打印对目标计算机系统的全面分析结果,
41、然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息。,以及在调查中发现的其它的相关信息。给出必需的专家证明。给出必需的专家证明。-第46页,共111页。注:注:如上计算机取证原则及步骤都是基于一种静态的视点,即事如上计算机取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋
42、势段的提高,这种静态的视点已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。有智能性,也将更加灵活多样。-第47页,共111页。数据获取技术包括:数据获取技术包括:对计算机系统和文件的安全获取技术,避免对原始介质进行对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰;任何破坏和干扰;对数据和软件的安全搜集技术;对磁盘或其它存储介质的安对数据和软件的安全搜集技术;对磁盘或其它存储
43、介质的安全无损伤备份技术;全无损伤备份技术;对已删除文件的恢复、重建技术;对已删除文件的恢复、重建技术;-第48页,共111页。数据获取技术包括:数据获取技术包括:对磁盘空间、未分配空间和自由空间中包含的信息的发掘技对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;术;对交换文件、缓存文件、临时文件中包含的信息的复对交换文件、缓存文件、临时文件中包含的信息的复原技术;原技术;计算机在某一特定时刻活动内存中的数据的搜集技术;计算机在某一特定时刻活动内存中的数据的搜集技术;网络流动数据的获取技术等。网络流动数据的获取技术等。-第49页,共111页。数据分析技术:在已经获取的数据流或信息流中数
44、据分析技术:在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括:据分析技术,具体包括:文件属性分析技术;文件属性分析技术;文件数字摘要分析技术;文件数字摘要分析技术;日志分析技术;日志分析技术;-第50页,共111页。数据分析技术:数据分析技术:根据已经获得的文件或数据的用词、语法和写作(编程)根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者的分析技术;风格,推断出其可能的作者的分析技术;发掘同一事件的不同证据间的联系的分析技术;发掘同一事件的不同证据间的联系的分析技术;数据解密技术;数据解
45、密技术;密码破译技术;密码破译技术;对电子介质中的被保护信息的强行访问技术等。对电子介质中的被保护信息的强行访问技术等。-第51页,共111页。计算机取证技术进一步与信息安全技术相结合。计算机取证技术进一步与信息安全技术相结合。在网络协议设计过程中考虑到未来取证的需要,为潜在的在网络协议设计过程中考虑到未来取证的需要,为潜在的取证活动保留充足信息。(如取证活动保留充足信息。(如 Recursive session token Recursive session token protocol used in computer forensics and TCP tracebackprotocol
46、 used in computer forensics and TCP traceback)取证工具的开发往往结合人工智能、机器学习、神经取证工具的开发往往结合人工智能、机器学习、神经网络和数据挖掘技术。网络和数据挖掘技术。-第52页,共111页。关于数据恢复原理:关于数据恢复原理:微机系统,大多采用微机系统,大多采用FATFAT、FAT32FAT32或者或者NTFSNTFS三种文件系统。以三种文件系统。以FATFAT文件系统为例,数据文件写到基于该系统的磁盘上以后,会文件系统为例,数据文件写到基于该系统的磁盘上以后,会在目录入口和在目录入口和FATFAT表中记录相应信息。目录入口保留我们通常
47、表中记录相应信息。目录入口保留我们通常通过资源管理器等工具能看到的文件信息,如文件名称、大通过资源管理器等工具能看到的文件信息,如文件名称、大小、类型等,它还保留了该文件在小、类型等,它还保留了该文件在FATFAT表(表(File Allocation File Allocation Table Table 文件分配表)中相应记录项的地址;而文件分配表)中相应记录项的地址;而FATFAT表记录了该表记录了该文件在磁盘上所占用的各个实际扇区的位置。当我们从磁盘文件在磁盘上所占用的各个实际扇区的位置。当我们从磁盘上删除一个文件(并从上删除一个文件(并从WindowsWindows提供的回收站中清除
48、,下同)提供的回收站中清除,下同)后,该文件在目录入口中的信息就被清除了,在后,该文件在目录入口中的信息就被清除了,在FATFAT表中记录表中记录的该文件所占用的扇区也被标识为空闲,但其实这时保存在的该文件所占用的扇区也被标识为空闲,但其实这时保存在磁盘上的实际数据并未被真正清除;只有当其他文件写入,磁盘上的实际数据并未被真正清除;只有当其他文件写入,有可能使用该文件占用的扇区时(因为它们已被标识为空闲有可能使用该文件占用的扇区时(因为它们已被标识为空闲),该文件才会被真正覆盖掉。),该文件才会被真正覆盖掉。-第53页,共111页。文件被删除或系统被格式化时的恢复:文件被删除或系统被格式化时的
49、恢复:一般的来说,文件删除仅仅是把文件的首字节,改为一般的来说,文件删除仅仅是把文件的首字节,改为E5HE5H,而而并并 不破坏本身,因此可以恢复。但由于对不连续文件要恢复不破坏本身,因此可以恢复。但由于对不连续文件要恢复文件文件 链,由于手工交叉恢复对一般计算机用户来说并不容易链,由于手工交叉恢复对一般计算机用户来说并不容易,用工具处理,如可用,用工具处理,如可用Norton UtilitiesNorton Utilities,可以用他来查找可以用他来查找。另外,。另外,RECOVERNT RECOVERNT 等工具,都是等工具,都是 恢复的利器。特别注意的恢复的利器。特别注意的是,千万不要
50、在发现文件丢失后,在是,千万不要在发现文件丢失后,在 本机安装什么恢复工具本机安装什么恢复工具,你可能恰恰把文件覆盖掉了。特别是,你可能恰恰把文件覆盖掉了。特别是 你的文件在你的文件在C C盘的情盘的情况下,如果你发现主要文件被你失手清掉了况下,如果你发现主要文件被你失手清掉了 ,(比如你按,(比如你按SHIFTSHIFT删除),你应该马上直接关闭电源,用软盘删除),你应该马上直接关闭电源,用软盘 启动进行启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。误格恢复或把硬盘串接到其他有恢复工具的机器处理。误格 式化式化的情况可以用等工具处理。的情况可以用等工具处理。-第54页,共111页。文件
