計(jì)算機(jī)取證模型

1、計(jì)算機(jī)取證模型1 、計(jì)算機(jī)取證的目的既然計(jì)算機(jī)證據(jù)取證有諸多困難,為什么還要?jiǎng)谛馁M(fèi)神地進(jìn)行計(jì)算機(jī)取證呢?主要源于兩個(gè)目的:為將來防范類似案件的再度發(fā)生積累素材并找出防范策略;劃分或追究責(zé)任。(1為將來防范類似案件的發(fā)生積累素材在進(jìn)行計(jì)算機(jī)取證的時(shí)候,同時(shí)也要收集那些能夠說明案件是如何發(fā)生的、是如何進(jìn)行的等資料。如果不搞清楚案件是如何進(jìn)行的,案件受害者就仍然存在再次被作案人或類似案件傷害的缺陷和弱點(diǎn),當(dāng)然也就不可能阻止案件繼續(xù)發(fā)生,甚至不能阻止來自同一個(gè)作案人的案件發(fā)生。就像被人騙走了一大筆錢以后,如果沒有搞清楚是如何被騙的,那就有可能還要再次被騙一樣。(2追究和劃分職責(zé)案件發(fā)生以后,作案人和案

2、件受害人雙方都有責(zé)任。作案人要為作案行為所造成的破壞承擔(dān)法律責(zé)任,讓他承擔(dān)法律責(zé)任的唯一有效的方法是把他送上法庭,用大量的證據(jù)證明是他干的,要他承認(rèn)其作案事實(shí),并向他索賠,以便阻止更多的案件發(fā)生。2 、計(jì)算機(jī)證據(jù)的種類在開始計(jì)算機(jī)取證工作之前,一定要了解計(jì)算機(jī)證據(jù)到底有哪些類型,這是非常重要的。如果不了解的話,最后會(huì)發(fā)現(xiàn)花了幾個(gè)星期的時(shí)間和不少的鈔票得到的證據(jù)卻用處不大。本文認(rèn)為計(jì)算機(jī)證據(jù)大體上有以下這些:(1實(shí)物證據(jù)實(shí)物證據(jù)包括所有的那些不需要任何別的輔助說明其它本身就能作證、就能指認(rèn)作案的任何證據(jù)。用電子俗語來說,實(shí)物證據(jù)是那些用取證軟件生成的可以用來出庭作證并且不會(huì)被篡改的表格或清單。(

3、2鑒定證據(jù)鑒定證據(jù)是由證人提供的任何證據(jù)。鑒定證據(jù)會(huì)因證人的作證資質(zhì)可靠性而受到質(zhì)疑,但是在證人有可靠的作證資格資質(zhì)的時(shí)候,鑒定證據(jù)也跟實(shí)物證據(jù)一樣有效。證人的證詞或提供的證明文件可以作為鑒定證據(jù),只要證人他愿意提供并愿意承擔(dān)法律責(zé)任。3、計(jì)算機(jī)取證時(shí)應(yīng)遵循的原則建議為了讓電子證據(jù)被公認(rèn)有用,電子證據(jù)必須有以下特征或特性:(1被法庭認(rèn)可證據(jù)要被法庭認(rèn)可是計(jì)算機(jī)取證的最基本的原則,證據(jù)必須能夠用于法庭或者任何相關(guān)的地方。如果不符合這個(gè)原則,相當(dāng)于花了錢,但是沒有對(duì)作案現(xiàn)場取證。(2與案件有關(guān)聯(lián)如果不能把證據(jù)跟作案活動(dòng)進(jìn)行關(guān)聯(lián),就不能證明任何事情,必須證明證據(jù)與作案活動(dòng)有本質(zhì)的關(guān)聯(lián)。(3完整僅僅顯

4、示一個(gè)人經(jīng)歷了作案過程的證據(jù)是不夠的。不僅要收集那些能夠幫助證明作案人做了什么的證據(jù),從完整的角度考慮,還有必要收集那些能夠證明作案嫌疑人并沒有作案的證據(jù),或者收集那些可能降低證據(jù)可靠性的證據(jù),也就是說要考慮所得到的證據(jù)的可靠程度。與之類似,要采集那些要么證明有罪要么能夠開脫罪責(zé)的證據(jù),非此即彼。比如,如果指證作案嫌疑人在作案時(shí)間作案了,在指證他作案的同時(shí),還要證明為什么不指認(rèn)與之同時(shí)進(jìn)入系統(tǒng)的別的人沒有作案。要進(jìn)行無罪開脫,這也是舉證的重要方面。(4真實(shí)可靠提供的證據(jù)必須毫無疑問,缺鑿、正確、準(zhǔn)確。(5令人信服所出示和提供的證據(jù)必須非常清楚、容易理解和讓法庭信服。當(dāng)法官不懂二進(jìn)制代碼的時(shí)候,

5、無法把存儲(chǔ)器里面的大塊的二進(jìn)制代碼拿來作證據(jù)。如果以法庭能夠真正了解的格式化的形式提交證據(jù),還要指出或證明或揭示這些被格式化了的內(nèi)容與原來的二進(jìn)制代碼之間的直接關(guān)系,否則沒有任何辦法向法官證明證據(jù)不是捏造的。4、計(jì)算機(jī)取證的注意事項(xiàng)遵循以上提出的五個(gè)建議規(guī)則,就可以開始正確地取證了,但是本文建議要遵循以下的注意事項(xiàng):(1不對(duì)原始數(shù)據(jù)進(jìn)行任何處理,或者將對(duì)原始數(shù)據(jù)的處理處置降低到力所能及的程度。(2對(duì)曾經(jīng)做過的任何改動(dòng)給出說明,并詳細(xì)記錄和保留對(duì)這些改動(dòng)的說明。(3遵循計(jì)算機(jī)取證的五個(gè)原則既然計(jì)算機(jī)取證工作有五條原則可以遵循,那就必須遵循他們。如果沒有遵循,結(jié)果可能就是浪費(fèi)了時(shí)間和金錢。遵循計(jì)算

6、機(jī)取證的這些原則,對(duì)于成功地完成取證工作是至關(guān)重要的。(4不要超過自己的認(rèn)知范圍(5遵照相關(guān)的法律法規(guī)開展工作,要獲得進(jìn)行操作的許可,比如獲準(zhǔn)以后才進(jìn)行寫入(得到寫的許可。(6盡量精確地獲取系統(tǒng)的印象(鏡像(7做好驗(yàn)證證據(jù)的準(zhǔn)備(8確保所有行動(dòng)能夠再現(xiàn)(9努力盡快地完成取證工作(10按照從容易變化的證據(jù)到固定不變的證據(jù)這樣的順序開展取證工作(11在著手取證之前不要關(guān)機(jī)(12不要在受害系統(tǒng)上運(yùn)行任何程序5 、通常的取證步驟在收集和分析證據(jù)時(shí),有四個(gè)步驟應(yīng)該遵守。需要說明,這僅僅是一個(gè)普遍原則,有時(shí),必須對(duì)所碰到的具體情況單獨(dú)制定針對(duì)性的取證步驟。(1識(shí)別證據(jù)要區(qū)分證據(jù)和數(shù)據(jù)塊,為達(dá)到區(qū)分的目的,

7、有必要知道什么是數(shù)據(jù),他們是存放在什么地方是如何存放的,做到這一點(diǎn)后,就能夠確定最好的方法去提取和保存發(fā)現(xiàn)的證據(jù)。(2保存證據(jù)發(fā)現(xiàn)的證據(jù)必須盡量以其原有的形態(tài)保存,在這個(gè)期間發(fā)生的任何變化必須記錄在案并進(jìn)行說明(3分析證據(jù)必須對(duì)儲(chǔ)存的證據(jù)進(jìn)行分析然后抽取相關(guān)的信息去再現(xiàn)案件發(fā)生的各個(gè)事件過程,一定要確定由有足夠資質(zhì)的人來做分析工作。(4展示證據(jù)展示所取得的計(jì)算機(jī)證據(jù)所表示的意思是至關(guān)重要的,否則得到的證據(jù)一點(diǎn)沒用,要做到即使一個(gè)一點(diǎn)技術(shù)背景知識(shí)都沒有的人也能夠承認(rèn)所使用的技術(shù)正確、可信和易懂,好的展示方式能夠達(dá)到這個(gè)目的。6 、取證步驟現(xiàn)在有了足夠的信息來描述或指導(dǎo)取證操作步驟了,再說一遍,這

8、僅僅是一種參考指導(dǎo),要根據(jù)具體的情況選擇性地參考。(1找到證據(jù)確定想要找的證據(jù)都儲(chǔ)存在哪里,用一個(gè)清單不僅可以幫助你取證還能用來幫助你多次核對(duì)要找的證據(jù)都在那里。(2找到相關(guān)的數(shù)據(jù)一旦發(fā)現(xiàn)了證據(jù),必須確定跟案件到底有哪些關(guān)系,通常會(huì)出些錯(cuò)誤或者走偏或者太過,但是必須盡快完成取證工作。(3制定一個(gè)容易變化的順序?yàn)閿?shù)據(jù)發(fā)生變化的難易程度編制一個(gè)順序,既然已經(jīng)知道了到底要獲取哪些數(shù)據(jù),就可以編制一個(gè)取證順序,按照數(shù)據(jù)會(huì)發(fā)生變化的難易程度來編寫,編寫好以后,遵循這個(gè)順序開展取證工作就可以盡量減少有效有價(jià)數(shù)據(jù)或證據(jù)的流失。(4排除那些可能引起數(shù)據(jù)變動(dòng)的外部因素避免原始數(shù)據(jù)發(fā)生變化是非常重要的。要盡量避免

9、對(duì)證據(jù)的改動(dòng),因?yàn)樗麄儗⒂兄谙鄬?duì)精確地鏡像系統(tǒng)。雖然工作非常細(xì)心,但是如果將系統(tǒng)從網(wǎng)絡(luò)上斷開,由于作案人有可能留下死亡開關(guān)····總的來說,要努力做好力所能及的事情。(5取證現(xiàn)在可以使用正確的工具開始進(jìn)行取證了,在進(jìn)行的時(shí)候,要對(duì)自己所取得的證據(jù)進(jìn)行反復(fù)的評(píng)估,有可能發(fā)現(xiàn)或許遺失了什么重要的東西,要經(jīng)常確認(rèn)是否都得到了應(yīng)該獲取的證據(jù)。(6作好取證記錄,記錄每件事情取證過程和所得到的證據(jù)后期有可能會(huì)受到質(zhì)疑,所以,一定要對(duì)取證過程進(jìn)行詳細(xì)的記錄,記錄下曾經(jīng)做過的每件事情,這是很重要的。(7時(shí)間戳,數(shù)字簽字和標(biāo)識(shí)過的語句都很重要,不要遺失任何東西。(8避免

10、感染-管理規(guī)程一旦取證工作結(jié)束,證據(jù)必須遠(yuǎn)離感染源(被病毒感染或者改動(dòng),原件不能用來進(jìn)行案件測試-只能用效驗(yàn)過的拷貝件,這不僅能夠確保原始數(shù)據(jù)不受感染,還能夠確保測試者能夠進(jìn)行多次測試甚至是危險(xiǎn)的毀滅性的測試。當(dāng)然,任何測試都必須在未受感染的獨(dú)立的未聯(lián)入網(wǎng)絡(luò)的主機(jī)上進(jìn)行-不能因?yàn)槁?lián)入網(wǎng)絡(luò)為作案人的程序提供上網(wǎng)機(jī)會(huì)引出更多的麻煩,不能給作案人的程序有任何可乘之機(jī)。7 、進(jìn)行取證分析一旦成功地收集到數(shù)據(jù),必須進(jìn)行分析以便抽取想要在法庭上展示的證據(jù)并努力再現(xiàn)到底曾經(jīng)發(fā)生了什么事情就像在經(jīng)常提到的那樣,要確保完整地記錄下了所做的每一件事情,要準(zhǔn)備回答可能被問到的問題,要確保所演示的結(jié)果一定能夠從所演示的過程中得到。(1對(duì)時(shí)間的分析為了再現(xiàn)導(dǎo)致系統(tǒng)崩潰的事件發(fā)生的先后順序,必須能夠重新排列出時(shí)間序列。這會(huì)特別的困難,當(dāng)案件發(fā)生的時(shí)候時(shí)鐘延遲的報(bào)告和不一樣的時(shí)間段會(huì)引起大量的混亂(2法律效果分析和備份最好有一個(gè)專門的主機(jī)用來開展分析和備份工作這個(gè)用來進(jìn)行測試的主機(jī)應(yīng)該確保是安全的,干凈的并且是與網(wǎng)絡(luò)隔離的,在開展分析測試工作的時(shí)候既不要受到別的程序的干擾,也不要危害到別的系統(tǒng)。一旦這樣的系統(tǒng)得到了,就可以開始分析備份的證據(jù)了。一旦有了這樣的系統(tǒng),即使出了一些小錯(cuò)誤也不會(huì)引起大的問題,必要的時(shí)候重新存儲(chǔ)一下就行了。記住我們提出的取證要訣,用