電子取證特性及電子取證方法

1、電子取證特性及電子取證方法信息社會(huì)使我們?nèi)谌肓藬?shù)字世界，信息網(wǎng)絡(luò)改變了人們的工作、生活模式。這種信息載體的革命性變革也引發(fā)了諸多法律問(wèn)題，與計(jì)算機(jī)相關(guān)的訴訟不斷出現(xiàn)，一種新的證據(jù)形式電子證據(jù)成為人們研究與關(guān)注的焦點(diǎn)。電子證據(jù)即為電子數(shù)據(jù)證據(jù)，也被稱(chēng)作計(jì)算機(jī)證據(jù)、數(shù)據(jù)證據(jù)、網(wǎng)上證據(jù)等。電子證據(jù)一般理解為電子數(shù)據(jù)形成的證據(jù)，通常是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。它是現(xiàn)代信息社會(huì)產(chǎn)生的新的證據(jù)種類(lèi)。電子證據(jù)的承載介質(zhì)是包括硬盤(pán)、軟盤(pán)、光盤(pán)等在內(nèi)的計(jì)算機(jī)軟、硬件，毫無(wú)疑問(wèn)它具有一般證據(jù)所具有的客觀(guān)存在性，既是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，同時(shí)它

2、又具有自身的特殊性。掌握了電子證據(jù)獨(dú)特的性質(zhì)，有助于我們?cè)诠残畔⒕W(wǎng)絡(luò)安全監(jiān)察工作中解決和排除涉及電子證據(jù)的收集、審查、質(zhì)證、采信等方面的困難和障礙。電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸，都必須借助于計(jì)算機(jī)技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等，離開(kāi)了高科技含量的技術(shù)設(shè)備，電子證據(jù)就無(wú)法保存和傳輸，所以電子證據(jù)的形成具有高科技性；電子證據(jù)實(shí)質(zhì)上是一堆按編碼規(guī)則處理成的“0”和“1”的二進(jìn)制信息，是通過(guò)看不見(jiàn)摸不著的計(jì)算機(jī)語(yǔ)言記載的，其數(shù)據(jù)是以磁性介質(zhì)保存，它又具有無(wú)形性；電子數(shù)據(jù)以“比特”的形式存在，是非連續(xù)的，改動(dòng)、偽造不易留下痕跡，數(shù)據(jù)或信息被人為地篡改后，如果沒(méi)有可對(duì)照的副本、映像文件則難以查清、難以判斷，電

3、子證據(jù)還表現(xiàn)為易改動(dòng)性；人為的惡意刪除、誤操作、電腦病毒、電腦故障等等原因，均有可能造成電子證據(jù)的消失，電子證據(jù)又呈現(xiàn)易消失性；電子證據(jù)綜合了符號(hào)、編碼、文本、圖形、圖像、動(dòng)畫(huà)、音頻及視頻等多種媒體信息，其外在表現(xiàn)形式具有多樣性；此外，電子證據(jù)還具直觀(guān)性強(qiáng)、收集迅速、易于保存、傳送方便、占用空間少、復(fù)制后可反復(fù)重現(xiàn)、便于操作等特性。電子證據(jù)的上述性質(zhì)，決定了其取證過(guò)程有別于許多傳統(tǒng)的取證方法，它對(duì)司法和計(jì)算機(jī)科學(xué)領(lǐng)域都提出了新的研究課題。作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交叉科學(xué)，電子證據(jù)取證正逐漸成為人們研究與關(guān)注的焦點(diǎn)。電子證據(jù)取證應(yīng)遵循及時(shí)性、合法性、全面性、專(zhuān)業(yè)人士取證、潛在證人協(xié)助、利用

4、專(zhuān)門(mén)技術(shù)工具等原則，要考慮電子證據(jù)的生成、電子證據(jù)的傳送與接收、電子證據(jù)的存儲(chǔ)、電子證據(jù)的收集這四個(gè)方面的因素，才能保證電子證據(jù)的真實(shí)性、合法性。在快播一案中，我們第一次接觸電子數(shù)據(jù)取證，印象最深刻的就是電子證據(jù)對(duì)系統(tǒng)的依賴(lài)性使得在收集電子證據(jù)時(shí)，不能僅收集電子證據(jù)，還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明。因?yàn)殡娮幼C據(jù)的真實(shí)程度和能證性很大程度上取決于所依賴(lài)系統(tǒng)的質(zhì)量和性能等方面的因素，只有借助于高靈敏度、高性能、高質(zhì)量的技術(shù)設(shè)備，才能獲得高度真實(shí)和能證性強(qiáng)的電子證據(jù)。如果電子證據(jù)的內(nèi)容使用質(zhì)量低劣、性能極差的設(shè)備記錄下來(lái)的，就不能反映案件事實(shí)發(fā)生的全過(guò)程，；即使是高質(zhì)量的設(shè)備，如果使用

5、時(shí)介質(zhì)超過(guò)了其本身的性能程度也會(huì)出現(xiàn)差誤和失真。因此，對(duì)電子證據(jù)存在的系統(tǒng)和技術(shù)設(shè)備的性能及可靠程度，必要時(shí)需要系統(tǒng)管理人員、證據(jù)制作人就相關(guān)情況作出證明。其次，電子證據(jù)的脆弱性可能導(dǎo)致證據(jù)被篡改、破壞及復(fù)制，這就要求對(duì)在收集電子證據(jù)時(shí)一定要保證收集的證據(jù)符合可采性的要求，一般而言，要求收集的電子證據(jù)是原件。英美證據(jù)法的最佳證據(jù)規(guī)則就要求在證明書(shū)面文件（包括錄音、照片或者X光片等）的內(nèi)容時(shí)，除非有例外情況，當(dāng)事人必須出示原件作為證據(jù)，這一規(guī)則同樣適用于電子證據(jù)。但就電子證據(jù)而言，復(fù)制件也是可以作為證據(jù)使用的。因?yàn)樵O(shè)立最佳證據(jù)規(guī)則的最初目的在于防止錯(cuò)誤或欺詐行為，理由主要是書(shū)面文件復(fù)制件的精確性

6、不高，但對(duì)于可以精確復(fù)制的電子證據(jù)來(lái)說(shuō)，復(fù)制件與其本身具有相同效力，完全可以將其視為原件。美國(guó)聯(lián)邦證據(jù)規(guī)則第1001條對(duì)原件的解釋就是:“文件或錄音的原件即該文字或錄音資料本身，或者由制作人或簽發(fā)人使其具有與原件同等效力的副本、復(fù)本。照片的原件包括底片或任何由底片沖洗出來(lái)的照片等。如果數(shù)據(jù)儲(chǔ)存在電腦或類(lèi)似設(shè)備中，任何從電腦中打印或輸出的能準(zhǔn)確反映有關(guān)數(shù)據(jù)的可讀物均為原件?！痹⒉槐厝皇窃募驍?shù)據(jù)本身，只要是能夠準(zhǔn)確反映電子文件或數(shù)據(jù)內(nèi)容的輸出物都可以被視為原件。依此種解釋?zhuān)诓痪哂蟹梢?guī)定的例外情況下，最佳證據(jù)規(guī)則并不構(gòu)成電子證據(jù)在訴訟中應(yīng)用的障礙，最佳證據(jù)規(guī)則完全適用于電子證據(jù)。我國(guó)關(guān)于

7、行政訴訟證據(jù)若干問(wèn)題的規(guī)定第64條也對(duì)電子郵件等新類(lèi)型證據(jù)作出規(guī)定:“以有形載體固定或顯示的電子數(shù)據(jù)交換、電子郵件以及其他數(shù)據(jù)資料，其制作情況和真實(shí)性經(jīng)過(guò)對(duì)方當(dāng)事人確認(rèn)，或以公證等其他有效方式予以證明的，與原件具有同等的證明效力。”關(guān)于民事訴訟證據(jù)的若干規(guī)定第22條規(guī)定:“調(diào)查人員調(diào)查收集計(jì)算機(jī)數(shù)據(jù)或者錄音、錄像等視聽(tīng)資料的，應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體。提供原始載體確有困難的，可以提供復(fù)制件。提供復(fù)制件的，調(diào)查人員應(yīng)當(dāng)在調(diào)查筆錄中說(shuō)明其來(lái)源和制作經(jīng)過(guò)?！痹俅危娮幼C據(jù)的可挽救性及隱蔽性，決定了收集電子證據(jù)的活動(dòng)要全面、綜合地進(jìn)行，運(yùn)用高科技手段檢測(cè)是否有隱藏文件及硬盤(pán)中是否有被刪除

8、的證據(jù)，或依當(dāng)事人舉證，可確認(rèn)或推知文件曾在該存儲(chǔ)介質(zhì)中存放，但之后又被刪除，則可以對(duì)其運(yùn)用相關(guān)技術(shù)恢復(fù)。對(duì)于恢復(fù)刪除文件的證明力，應(yīng)大于未被刪除的文件。因電子證據(jù)的這種特點(diǎn)，取證主體在取證時(shí)是不應(yīng)只局限于已發(fā)現(xiàn)和收集的證據(jù)，還要對(duì)磁盤(pán)中已被刪除但可恢復(fù)的文件進(jìn)行收集，以盡可能地查明案件事實(shí)。在看過(guò)了幾個(gè)案例之后，我們通過(guò)作業(yè)和實(shí)驗(yàn)的形式，進(jìn)一步的了解了電子取證的技術(shù)。理解了電子取證過(guò)程中的各個(gè)技術(shù)細(xì)節(jié)。為保證涉案計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)證據(jù)的原始完整性，應(yīng)在備份完成后，封存涉案的計(jì)算機(jī)及其相關(guān)的設(shè)備。其中包括各種打印結(jié)果、存儲(chǔ)介質(zhì)、工作日志等。對(duì)不能停止運(yùn)行的計(jì)算機(jī)系統(tǒng)，如果要求必須在短時(shí)間內(nèi)恢復(fù)運(yùn)

9、行則應(yīng)采用鏡像備份，并將系統(tǒng)的狀態(tài)及環(huán)境等進(jìn)行詳細(xì)的記錄。 刑事偵查人員和計(jì)算機(jī)作業(yè)技術(shù)人員一同收集一切與案件有關(guān)資料，清理現(xiàn)場(chǎng)，提取證據(jù)，進(jìn)行關(guān)聯(lián)分析。 同時(shí)創(chuàng)建時(shí)間表，排除犯罪嫌疑人和劃定重點(diǎn)嫌疑人，各時(shí)間段日志文件的記錄事件，刑事偵查人員調(diào)查和詢(xún)問(wèn)知情人、犯罪嫌疑人分析時(shí)間性信息，并要求犯罪嫌疑人提供計(jì)算機(jī)系統(tǒng)相關(guān)的所有信息。 利用一些支持軟件和對(duì)備份的數(shù)據(jù)來(lái)分析案件發(fā)生前后系統(tǒng)的狀態(tài)、日志記錄以及數(shù)據(jù)的情況，提交分析結(jié)果。目前，計(jì)算機(jī)取證所面臨的問(wèn)題是入侵者的犯罪手段和犯罪技術(shù)的變化，計(jì)算機(jī)犯罪取證還需要更高的技術(shù)。包括數(shù)據(jù)復(fù)制技術(shù)、信息加密技術(shù)、電子證據(jù)復(fù)原技術(shù)、數(shù)據(jù)截取技術(shù)、數(shù)字簽

10、名和數(shù)字時(shí)間戳技術(shù)等。 數(shù)據(jù)復(fù)制包括數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照、攝像等。如，具有視聽(tīng)資料的證據(jù)，可以采用拍照、攝像的方法對(duì)取證全程進(jìn)行拍照、攝像，增加證明力、防止翻供。案發(fā)后，通過(guò)數(shù)據(jù)鏡像將備份迅速恢復(fù)到另一臺(tái)主機(jī)上，在映像上進(jìn)行分析工作要比在原件上操作更安全。 信息加密是信息安全的主要措施之一，是通過(guò)密鑰技術(shù)，來(lái)保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性。數(shù)據(jù)加密技術(shù)是所有網(wǎng)絡(luò)上通信安全所依賴(lài)的基本技術(shù)。有三種方式：鏈路加密方式、節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密方式和端對(duì)端加密方式。鏈路加密方式是一般網(wǎng)絡(luò)通信安全主要采取這種方式。鏈路加密方式把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文每一個(gè)比特進(jìn)行加密。不但

11、對(duì)數(shù)據(jù)報(bào)文正文加密，而且把路由信息、校驗(yàn)和等控制信息全部加密。端對(duì)端加密方式由發(fā)送方加密的數(shù)據(jù)在沒(méi)有到達(dá)最終目的地接受節(jié)點(diǎn)之前是不被解密的，加解密只是在源、目的節(jié)點(diǎn)進(jìn)行。端對(duì)端加密方式是將來(lái)的發(fā)展趨勢(shì)。 電子證據(jù)復(fù)原即對(duì)不同程度上數(shù)據(jù)的破壞所進(jìn)行的恢復(fù)，及不可見(jiàn)區(qū)域數(shù)據(jù)的恢復(fù)。大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫(kù)安全系統(tǒng)還會(huì)為數(shù)據(jù)庫(kù)準(zhǔn)備專(zhuān)門(mén)的備份。這些系統(tǒng)一般是由專(zhuān)門(mén)的設(shè)備、專(zhuān)門(mén)的操作管理組成，較難篡改。因此，當(dāng)發(fā)生計(jì)算機(jī)犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞時(shí)，可以通過(guò)對(duì)自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過(guò)的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。 數(shù)據(jù)截取是

12、指在犯罪者進(jìn)行計(jì)算機(jī)犯罪的同時(shí)，偵查人員利用某些技術(shù)把犯罪證據(jù)進(jìn)行截獲的技術(shù)。數(shù)據(jù)截取就是通過(guò)傳輸介質(zhì)進(jìn)行截取，數(shù)據(jù)傳輸分為有線(xiàn)傳輸和無(wú)線(xiàn)傳輸，在有線(xiàn)傳輸中采用網(wǎng)絡(luò)監(jiān)聽(tīng)，網(wǎng)絡(luò)監(jiān)聽(tīng)需要主機(jī)網(wǎng)卡設(shè)置為混雜模式，主機(jī)就能接受本網(wǎng)段內(nèi)在統(tǒng)一物理通道上傳輸?shù)乃行畔?，?lái)獲取本某次通信中的信息。常用的工具由Sniffer、TCP Dump。無(wú)線(xiàn)傳輸通道的截獲是通過(guò)電磁波捕獲。通過(guò)對(duì)捕獲的證據(jù)進(jìn)行分析作為犯罪證據(jù)。 進(jìn)行數(shù)據(jù)欺騙所采取的手段主要是陷阱和偽裝等。通過(guò)構(gòu)造一個(gè)虛擬等系統(tǒng)、服務(wù)或環(huán)境誘騙攻擊者對(duì)其發(fā)起進(jìn)攻。這種方式多用于網(wǎng)絡(luò)攻擊中的證據(jù)的獲取，在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在這里記錄下攻擊

13、者完整的攻擊流程、路徑等取得證實(shí)攻擊或入侵行為的有力證據(jù)。蜜罐和迷網(wǎng)就是廣泛使用的陷阱工具。 數(shù)字簽名和數(shù)字時(shí)間戳都可以證明數(shù)據(jù)有效性的內(nèi)容。通常要進(jìn)行時(shí)間標(biāo)記的信息內(nèi)容包括：被調(diào)查機(jī)器的硬盤(pán)的映像文件、關(guān)機(jī)前被保留下來(lái)的所有信息、在收集證據(jù)過(guò)程中得到的證據(jù)、在可疑機(jī)器上得到的調(diào)查結(jié)果、調(diào)查人員每天得到的副本等。 掃描技術(shù)可分為主機(jī)掃描和網(wǎng)絡(luò)掃描。端口掃描技術(shù)和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的兩種核心技術(shù)，并且廣泛運(yùn)用于當(dāng)前較成熟的網(wǎng)絡(luò)掃描器中，如Superscan和X-scan。端口掃描是通過(guò)與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽(tīng)或運(yùn)行狀態(tài)的服務(wù)。漏洞掃描通常是在端口掃描的

14、基礎(chǔ)上，對(duì)得到的信息進(jìn)行相關(guān)處理，進(jìn)而檢測(cè)出目標(biāo)系統(tǒng)存在的安全漏洞。通過(guò)學(xué)習(xí)電子取證技術(shù)這門(mén)課，我看到了信息安全在實(shí)際生活中的一個(gè)運(yùn)用方向，我對(duì)此很有興趣，并且在下學(xué)期的課程中選擇了信息安全法律法規(guī)。希望對(duì)這一領(lǐng)域有更加深刻的了解。B13040635靖世銘several group number, then with b ± a, =c,c is is methyl b two vertical box between of accurate size. Per-23 measurement, such as proceeds of c values are equal and equal to the design value, then the vertical installation accurate. For example a, b, and c valueswhile on horizontal vertical erro