計算機(jī)取證與司法鑒定(第二版)課件04-過程

1、計算機(jī)取證與分析鑒定技術(shù)(過程)計算機(jī)取證與分析鑒定技術(shù)(過程)主要內(nèi)容準(zhǔn)備設(shè)備密碼破解數(shù)據(jù)恢復(fù)證據(jù)的收集、保存與提供證據(jù)的檢驗、分析與推理主要內(nèi)容準(zhǔn)備針對具體案例制定響應(yīng)計劃計算機(jī)犯罪的特點決定了其取證與分析鑒定的整個過程必然與傳統(tǒng)的犯罪案例有很大的不同。在接到計算機(jī)犯罪報案后，具備取證與分析鑒定資質(zhì)的機(jī)構(gòu)和取證人員應(yīng)及時響應(yīng)，迅速展開調(diào)查工作。調(diào)查等待的時間越長，可回答問題的人忘記答案的可能性就越大，完成系統(tǒng)刑事鑒定復(fù)制所等待的時間也越長，證據(jù)被篡改的可能性就越大，證據(jù)的價值也就越低，同時要制定適當(dāng)?shù)捻憫?yīng)規(guī)劃。準(zhǔn)備針對具體案例制定響應(yīng)計劃計算機(jī)犯罪的特點決定了其取證與分析鑒針對具體案例制定

2、響應(yīng)計劃計算機(jī)犯罪事件的偵查通常是需要特殊技能的復(fù)雜行為，如果沒有經(jīng)過事先規(guī)劃并熟練操作，很可能帶來很多問題。因此必須針對每一個電子犯罪事件目前主要是計算機(jī)或網(wǎng)絡(luò)安全性突發(fā)事件制定具體調(diào)查的問題框架和響應(yīng)策略。準(zhǔn)備針對具體案例制定響應(yīng)計劃計算機(jī)犯罪事件的偵查通常是需要特殊技需解決的問題對待任何一次計算機(jī)犯罪事件，第一響應(yīng)人員，即計算機(jī)犯罪的現(xiàn)場取證人員都必須通過調(diào)查回答這樣一些問題，比如：1、計算機(jī)案件發(fā)生的時間：何時發(fā)現(xiàn)的，何時開始的，持續(xù)了多長時間？2、計算機(jī)案件發(fā)生的地點：范圍是本地，局域網(wǎng)，遠(yuǎn)程？3、涉及人員范圍？4、案件的過程，怎樣實施的？5、案件的嚴(yán)重程度怎樣？6、法律方面的問題是

3、什么？7、如何進(jìn)行修復(fù)并避免以后再次發(fā)生？準(zhǔn)備需解決的問題對待任何一次計算機(jī)犯罪事件，第一響應(yīng)人員，即計算響應(yīng)計劃制定的需求為了盡快找到上述問題的答案，就需要制定一個響應(yīng)計劃。針對如何找到上述問題的答案，響應(yīng)計劃必須規(guī)定具體的方法。如何制定響應(yīng)計劃呢？響應(yīng)計劃應(yīng)該經(jīng)過充分慎重的考慮而產(chǎn)生，應(yīng)根據(jù)危害的嚴(yán)重程度做出規(guī)范的響應(yīng)。在響應(yīng)計劃中，應(yīng)明確規(guī)定涉及哪些人員，包括主管人員；應(yīng)詳細(xì)說明進(jìn)行調(diào)查所需的程序和設(shè)備；在事件管理中，應(yīng)明確規(guī)定犯罪事件發(fā)生時需遵循的程序。準(zhǔn)備響應(yīng)計劃制定的需求為了盡快找到上述問題的答案，就需要制定一個確認(rèn)犯罪事件報告取證人員首先應(yīng)該對犯罪事件報告進(jìn)行確認(rèn)。主要是對事件進(jìn)

4、行響應(yīng)之前的考察，需要搜集盡可能多的信息；不要相信任何人，檢驗每件事；確定危害的嚴(yán)重性和適當(dāng)?shù)捻憫?yīng)，同時保持不連接狀態(tài)對可疑行為進(jìn)行評估；對發(fā)生的情況、發(fā)生方式、嚴(yán)重程度和相關(guān)人員進(jìn)行診斷確定行動過程；確定響應(yīng)的破壞性，并進(jìn)行響應(yīng)。準(zhǔn)備確認(rèn)犯罪事件報告取證人員首先應(yīng)該對犯罪事件報告進(jìn)行確認(rèn)。準(zhǔn)備取證過程的準(zhǔn)備階段首先，明確案例調(diào)查對象。其次，盡早明確取證目標(biāo)。第三，根據(jù)犯罪案例的實際情況準(zhǔn)備相應(yīng)的取證工具及設(shè)備，這包括各種軟件和硬件工具。第四：審查響應(yīng)計劃中取證需遵循的程序和步驟，并根據(jù)現(xiàn)場的實際情況做出適當(dāng)?shù)恼{(diào)整。準(zhǔn)備取證過程的準(zhǔn)備階段首先，明確案例調(diào)查對象。準(zhǔn)備設(shè)備準(zhǔn)備取證人員在制定響應(yīng)計

5、劃之后，接下來應(yīng)該做的工作就是準(zhǔn)備取證的設(shè)備，根據(jù)目前的技術(shù)狀況，取證設(shè)備主要分為以下幾種：1取證拷貝機(jī)2計算機(jī)取證勘查箱3硬盤拷貝光盤準(zhǔn)備設(shè)備準(zhǔn)備取證人員在制定響應(yīng)計劃之后，接下來應(yīng)該做的工作就是準(zhǔn)保護(hù)現(xiàn)場取證人員到犯罪現(xiàn)場時若發(fā)現(xiàn)計算機(jī)等電子設(shè)備正在運(yùn)行，要根據(jù)實際情況立即決定是否關(guān)機(jī)。為避免計算機(jī)等電子設(shè)備運(yùn)行時破壞證據(jù)，應(yīng)立即拔掉電子設(shè)備的電源線，一般不直接關(guān)閉電子設(shè)備的電源開關(guān)，以避免啟動自毀程序或引爆事先安裝的炸彈。如果當(dāng)前的電子設(shè)備是一些重要網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵設(shè)備，要考慮到關(guān)機(jī)可能會造成更大損失。準(zhǔn)備保護(hù)現(xiàn)場取證人員到犯罪現(xiàn)場時若發(fā)現(xiàn)計算機(jī)等電子設(shè)備正在運(yùn)行，保護(hù)現(xiàn)場根據(jù)實際的現(xiàn)場情

6、況，做如下的工作(1)現(xiàn)場錄相、照相，記錄現(xiàn)場的原始狀態(tài)，記錄各設(shè)備之間的連線狀態(tài)以及正在運(yùn)行的計算機(jī)屏幕上的顯示信息，如果正在運(yùn)行的程序是在格式化硬盤或刪除數(shù)據(jù)，立即切斷電源；(2)對正處于編輯或顯示狀態(tài)的文本、圖像證據(jù)，應(yīng)盡可能立即打印輸出，并注明打印時間、打印機(jī)型號等；(3)制作現(xiàn)場筆錄，繪制現(xiàn)場圖；準(zhǔn)備保護(hù)現(xiàn)場根據(jù)實際的現(xiàn)場情況，做如下的工作準(zhǔn)備現(xiàn)場勘查勘查現(xiàn)場的電子設(shè)備，分析電子證據(jù)的可能存儲位置，下面是常見的電子設(shè)備中的數(shù)字證據(jù)。（1）計算機(jī)系統(tǒng)（Computer Systems）硬盤及其他存儲介質(zhì)（2）自動應(yīng)答設(shè)備(Answering Machines)（3）數(shù)碼相機(jī)(Digit

7、al Cameras)（4）手持電子設(shè)備(Handheld Devices)（5）連網(wǎng)設(shè)備（6）尋呼機(jī)(Pagers)（7）打印機(jī)(Printers)（8）掃描儀(Scanners)（9）其他電子設(shè)備準(zhǔn)備現(xiàn)場勘查勘查現(xiàn)場的電子設(shè)備，分析電子證據(jù)的可能存儲位置，下面概述在計算機(jī)證據(jù)的整個取證過程中，取證設(shè)備能夠?qū)崿F(xiàn)對各類信息存儲介質(zhì)進(jìn)行全面、徹底、快速地取證。使用取證設(shè)備取得的證據(jù)具有較高的證明力。設(shè)備概述在計算機(jī)證據(jù)的整個取證過程中，取證設(shè)備能夠?qū)崿F(xiàn)對各類信息硬盤拷貝機(jī)MD5硬盤拷貝機(jī)MD5硬盤拷貝機(jī)是美國Logicube公司根據(jù)司法部門的特殊需求而設(shè)計的新型計算機(jī)硬盤取證設(shè)備，2004年3月

8、上市，目前已開始應(yīng)用于各國司法部門。MD5拷貝機(jī)的拷貝速度非常高，經(jīng)實際測試，其最高速度達(dá)到3GB/分鐘。優(yōu)勢：啟動時間短，拷貝精度高、拷貝速度快、拷貝方式多、關(guān)鍵字搜索、USB只讀保護(hù)。不足：實際完成時間較長。設(shè)備硬盤拷貝機(jī)MD5硬盤拷貝機(jī)設(shè)備硬盤拷貝機(jī)Sonix硬盤拷貝機(jī)Sonix是美國Logicube 公司研制的民用型硬盤拷貝機(jī)，2004年6月完成。這種硬盤拷貝機(jī)具有拷貝速度快、適應(yīng)范圍廣、功能多樣、體積小巧等特點。Sonix拷貝機(jī)的拷貝速度最高可達(dá)3.3GB/分鐘，復(fù)制完成80GB硬盤僅需30分鐘。優(yōu)勢：啟動時間短，拷貝速度快、拷貝方式多，SATA硬盤、拷貝無需額外配件、雙向拷貝、磁盤

9、管理。不足：拷貝精度同司法專業(yè)性相比略顯差距，雙向拷貝使用不當(dāng)可能造成意外損失。設(shè)備硬盤拷貝機(jī)Sonix硬盤拷貝機(jī)設(shè)備硬盤拷貝機(jī)ICS Solo2 Forensics硬盤拷貝機(jī)Solo2 Forensics是美國ICS公司研制的司法專用型硬盤取證設(shè)備。從疑犯硬盤到證據(jù)硬盤的拷貝速度可以達(dá)到1.8GB/分鐘，具有CRC32校驗機(jī)制，可確保數(shù)據(jù)優(yōu)勢：拷貝精度高、SCSI接口拷貝、壞扇區(qū)跳過、1.8寸硬盤拷貝、硬盤轉(zhuǎn)接卡品種多。不足：啟動時間相比較長，靈活性不夠。位對位的準(zhǔn)確。設(shè)備硬盤拷貝機(jī)ICS Solo2 Forensics硬盤拷貝機(jī)設(shè)便攜專用機(jī)網(wǎng)警案件取證勘查專用機(jī)（美亞柏科）接口齊全，具有數(shù)

10、據(jù)獲取和分析功能，數(shù)據(jù)只讀。Image MASSter Road MASSter （ICS）優(yōu)勢：硬盤直接拷貝功能，可代替拷貝機(jī)，更換硬盤無需關(guān)機(jī)。不足：CPU、內(nèi)存等計算機(jī)整體配置低，屏幕小。電子證據(jù)取證平臺（天宇晶遠(yuǎn)）優(yōu)勢：拷貝速度快，拷貝方法多樣，可解決電子證據(jù)種類多。不足：設(shè)備較多，攜帶不便。設(shè)備便攜專用機(jī)網(wǎng)警案件取證勘查專用機(jī)（美亞柏科）設(shè)備接口套件雖然目前的硬盤取證機(jī)和便攜式取證箱功能比較齊全，而且大多數(shù)也不再需要專門的接口套件，但是還是有一些取證設(shè)備需要專門的接口套件，因此我們還是需要了解一下一些接口套件的相關(guān)知識。Omin電纜和適配器Desktop WritePROtect適配

11、器設(shè)備接口套件雖然目前的硬盤取證機(jī)和便攜式取證箱功能比較齊全，而且概述計算機(jī)犯罪具有高科技性，犯罪分子可能利用各種高科技手段對證據(jù)進(jìn)行操作，如將計算機(jī)、文檔或是其它資料進(jìn)行加密。因此，這就要求計算機(jī)犯罪的取證人員必須了解加密、解密的基本知識和常用的一些密碼破解的方法，以便能夠進(jìn)入系統(tǒng)發(fā)現(xiàn)證據(jù)、找到證據(jù)，為后面的各項工作打下良好的基礎(chǔ)。在這一節(jié)我們就重點來探討密碼破解的內(nèi)容。密碼破解概述計算機(jī)犯罪具有高科技性，犯罪分子可能利用各種高科技手段對密碼破解原理密碼學(xué)根據(jù)其研究的范疇可分為密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)和密碼分析學(xué)是相互對立，相互促進(jìn)并發(fā)展的。密碼編碼學(xué)研究密碼體制的設(shè)計，對信息進(jìn)行

12、編碼表示實現(xiàn)隱蔽信息的一門學(xué)問。密碼分析學(xué)是研究如何破解被加密信息的學(xué)問。密碼分析者之所以能夠成功破譯密碼，最根本的原因是明文中有冗余度。密碼破解密碼破解原理密碼學(xué)根據(jù)其研究的范疇可分為密碼編碼學(xué)和密碼分析一般密碼破解方法攻擊或破譯密碼的方法主要有三種: 窮舉攻擊統(tǒng)計分析攻擊數(shù)學(xué)分析攻擊密碼破解一般密碼破解方法攻擊或破譯密碼的方法主要有三種: 密碼破解窮舉攻擊法所謂窮舉攻擊是指密碼分析者采用依次試遍所有可能的密鑰對所獲密文進(jìn)行解密，直至得到正確的明文或者用一個確定的密鑰對所有可能的明文進(jìn)行加密，直至得到所獲得的密文只要有足夠的時間和存儲空間，窮舉攻擊法原則上是可行的但在實際中，計算時間和存儲空

13、間都受到限制，只要密鑰足夠長，這種方法往往不可行密碼破解窮舉攻擊法所謂窮舉攻擊是指密碼分析者采用依次試遍所有可能的密統(tǒng)計分析攻擊法統(tǒng)計分析攻擊是指密碼分析者通過分析密文和明文的統(tǒng)計規(guī)律來破譯密碼。密碼分析者對截獲的密文進(jìn)行統(tǒng)計分析，總結(jié)出其間的統(tǒng)計規(guī)律，并與明文的統(tǒng)計規(guī)律進(jìn)行比較，從中提取出明文和密文之間的對應(yīng)或變換信息。密碼破解統(tǒng)計分析攻擊法統(tǒng)計分析攻擊是指密碼分析者通過分析密文和明文的數(shù)學(xué)分析攻擊法數(shù)學(xué)分析攻擊是指密碼分析者針對加、解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼。密碼破解數(shù)學(xué)分析攻擊法數(shù)學(xué)分析攻擊是指密碼分析者針對加、解密算法的數(shù)分布式網(wǎng)絡(luò)密碼破解網(wǎng)格計算

14、是一種把需要進(jìn)行大量計算的工程數(shù)據(jù)分割成小塊，由多臺計算機(jī)分別計算，在上傳運(yùn)算結(jié)果后再統(tǒng)一合并得出數(shù)據(jù)結(jié)論的技術(shù)。整個計算是由成千上萬個“節(jié)點”組成的“一張網(wǎng)格”。這樣組織起來的“虛擬的超級計算機(jī)”有兩個優(yōu)勢，一個是數(shù)據(jù)處理能力超強(qiáng)；另一個是能充分利用網(wǎng)上的閑置處理能力。分布式網(wǎng)絡(luò)的設(shè)計思想分布式網(wǎng)絡(luò)的密碼破解密碼破解分布式網(wǎng)絡(luò)密碼破解網(wǎng)格計算是一種把需要進(jìn)行大量計算的工程數(shù)據(jù)密碼破解的應(yīng)用部分1CMOS密碼2Windows密碼3文件處理軟件密碼4壓縮文件密碼5采用“*”顯示的密碼6ICQ密碼密碼破解密碼破解的應(yīng)用部分1CMOS密碼密碼破解概述計算機(jī)犯罪的犯罪分子在成功的實施犯罪行為之后，為了

15、逃避司法機(jī)關(guān)的打擊，必然會盡可能的毀滅犯罪證據(jù)，對計算機(jī)等電子設(shè)備中的數(shù)據(jù)進(jìn)行刪除，使得偵查人員不能得到想要的數(shù)據(jù)。數(shù)據(jù)在刪除或丟失之后，為了向法庭提供可靠、強(qiáng)有力的證據(jù)，取證人員就必須對計算機(jī)證據(jù)的相關(guān)數(shù)據(jù)進(jìn)行恢復(fù)，這也促使了數(shù)據(jù)恢復(fù)技術(shù)的產(chǎn)生和發(fā)展。數(shù)據(jù)恢復(fù)概述計算機(jī)犯罪的犯罪分子在成功的實施犯罪行為之后，為了逃避司數(shù)據(jù)丟失的原因在現(xiàn)實生活中，造成數(shù)據(jù)丟失的原因有很多，既有客觀的自然因素，也有人為因素。1客觀的自然因素2人為因素3數(shù)據(jù)丟失后必須注意的問題數(shù)據(jù)恢復(fù)數(shù)據(jù)丟失的原因在現(xiàn)實生活中，造成數(shù)據(jù)丟失的原因有很多，既有客數(shù)據(jù)恢復(fù)的基本原理1什么是數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)就是把遭受破壞、或由硬件缺陷

16、導(dǎo)致不可訪問或不可獲得、或由于誤操作等各種原因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)，即恢復(fù)至它本來的“面目”。數(shù)據(jù)存儲的相關(guān)知識回顧一些數(shù)據(jù)存儲的知識、硬盤的數(shù)據(jù)以及操作系統(tǒng)的啟動流程數(shù)據(jù)恢復(fù)使用各種恢復(fù)軟件和工具對丟失或不可訪問的數(shù)據(jù)進(jìn)行再現(xiàn)的過程。數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)的基本原理1什么是數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)的方法目前，常用的數(shù)據(jù)恢復(fù)方法有以下三種利用系統(tǒng)自身的還原功能恢復(fù)數(shù)據(jù)使用專業(yè)的數(shù)據(jù)恢復(fù)軟件恢復(fù)數(shù)據(jù)軟件和硬件相結(jié)合進(jìn)行數(shù)據(jù)恢復(fù)這些方法各有各的優(yōu)點，何時使用哪種方法，要根據(jù)數(shù)據(jù)被破壞的程度和數(shù)據(jù)恢復(fù)的目的，具體問題具體分析。數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)的方法目前，常用的數(shù)據(jù)恢復(fù)方法有以下三種數(shù)據(jù)恢復(fù)常用的數(shù)

17、據(jù)恢復(fù)工具1On track公司的EasyRecovery2FinalData3Search and Recover數(shù)據(jù)恢復(fù)常用的數(shù)據(jù)恢復(fù)工具1On track公司的EasyReco數(shù)據(jù)恢復(fù)案例MBR修復(fù)實例DBR及FAT恢復(fù)實例DATA恢復(fù)實例數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)案例MBR修復(fù)實例數(shù)據(jù)恢復(fù)概述計算機(jī)證據(jù)的取證人員在破解密碼進(jìn)入計算機(jī)系統(tǒng)和將犯罪分子刪除的數(shù)據(jù)恢復(fù)之后，下面要做的工作就是對計算機(jī)等電子設(shè)備或網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行收集了，然而，計算機(jī)證據(jù)不同于傳統(tǒng)證據(jù)的眾多特點會對計算機(jī)證據(jù)的收集、保存等各個環(huán)節(jié)產(chǎn)生很大的影響，使得計算機(jī)證據(jù)的收集和保存有其獨特的特點。證據(jù)收集/保存/提供概述計算機(jī)證據(jù)的

18、取證人員在破解密碼進(jìn)入計算機(jī)系統(tǒng)和將犯罪分子計算機(jī)證據(jù)的收集計算機(jī)證據(jù)的收集與傳統(tǒng)證據(jù)有很大的差異，這主要體現(xiàn)在以下幾個方面：1對計算機(jī)證據(jù)收集人員的相關(guān)要求2計算機(jī)證據(jù)的收集對象及范圍3計算機(jī)證據(jù)收集須注意的事項證據(jù)收集/保存/提供計算機(jī)證據(jù)的收集計算機(jī)證據(jù)的收集與傳統(tǒng)證據(jù)有很大的差異，這主計算機(jī)證據(jù)的保存與提供任何一個證據(jù)在收集成功之后，都要面臨如何進(jìn)行妥善保存的問題，主要是要確保證據(jù)在保存的過程中沒有被修改，仍然可以對犯罪事實進(jìn)行強(qiáng)有力的證明。為了確保計算機(jī)證據(jù)的真實性和完整性，對計算機(jī)證據(jù)這種不同于傳統(tǒng)證據(jù)的證據(jù)形式，其保存的重要性、特殊性及保存方法與傳統(tǒng)證據(jù)也有很大的不同。1保證證據(jù)

19、的真實性和完整性的重要性2計算機(jī)證據(jù)不同于傳統(tǒng)證據(jù)保存的特殊性3證據(jù)保全方法和注意事項證據(jù)收集/保存/提供計算機(jī)證據(jù)的保存與提供任何一個證據(jù)在收集成功之后，都要面臨如概述計算機(jī)證據(jù)在收集、保存之后，接下來就是要對其進(jìn)行鑒定、分析與推理主要是從中分析與犯罪有關(guān)的信息，為準(zhǔn)確的鎖定犯罪分子提供依據(jù)這也是整個計算機(jī)取證過程中最為重要的部分。證據(jù)檢驗/分析/推理概述計算機(jī)證據(jù)在收集、保存之后，接下來就是要對其進(jìn)行鑒定、分計算機(jī)證據(jù)的鑒定計算機(jī)證據(jù)的鑒定主要是解決證據(jù)的完整性驗證。計算機(jī)取證的難點之一是證明取證人員所搜集到的證據(jù)沒有改變過，而計算機(jī)證據(jù)又恰恰具有易修改和易損毀的特點。采用形成所謂的證據(jù)監(jiān)

20、督鏈的技術(shù)和方法，電子指紋技術(shù)是常用的技術(shù)，它也被稱為數(shù)字指紋，其對象可以是單個的文件，也可以是整張軟盤或者硬盤。時間戳也是取證工作中非常有用的技術(shù)，必將成為一種有效的證據(jù)鑒定方法。它是對數(shù)字對象進(jìn)行登記來提供注冊后特定事物存在于特定日期的時間和證據(jù)。證據(jù)檢驗/分析/推理計算機(jī)證據(jù)的鑒定計算機(jī)證據(jù)的鑒定主要是解決證據(jù)的完整性驗證。計算機(jī)證據(jù)的分析計算機(jī)證據(jù)的分析是整個取證過程的核心與關(guān)鍵。證據(jù)分析的內(nèi)容包括：分析計算機(jī)的類型、采用的操作系統(tǒng)是否為多操作系統(tǒng)或有無隱藏的分區(qū)；有無可疑外設(shè)；有無遠(yuǎn)程控制、木馬程序及當(dāng)前計算機(jī)系統(tǒng)的網(wǎng)絡(luò)環(huán)境。該計算機(jī)證據(jù)要與其他證據(jù)相互印證、相互聯(lián)系起來綜合分析。同

21、時，要注意計算機(jī)證據(jù)能否為偵破該案提供其他線索或確定可能的作案時間和罪犯。證據(jù)檢驗/分析/推理計算機(jī)證據(jù)的分析計算機(jī)證據(jù)的分析是整個取證過程的核心與關(guān)鍵。計算機(jī)證據(jù)的推理計算機(jī)證據(jù)在獲得、鑒定和分析結(jié)束之后，接下來就是對計算機(jī)證據(jù)進(jìn)行合理的推理，這主要是指根據(jù)已經(jīng)獲得的證據(jù)和初步分析的結(jié)果來推測犯罪分子的犯罪動機(jī)、犯罪手段以及可能造成的嚴(yán)重危害，以便為下面的證據(jù)跟蹤提供依據(jù)。在計算機(jī)證據(jù)的推理這個階段，要求相關(guān)的取證分析人員具備扎實的理論知識和豐富的實踐經(jīng)驗，能夠?qū)τ嬎銠C(jī)證據(jù)進(jìn)行合理的推理，得出正確的結(jié)果。證據(jù)檢驗/分析/推理計算機(jī)證據(jù)的推理計算機(jī)證據(jù)在獲得、鑒定和分析結(jié)束之后，接下來證據(jù)跟蹤

22、隨著計算機(jī)犯罪技術(shù)手段的升級，事件發(fā)生后對目標(biāo)系統(tǒng)的靜態(tài)分析已經(jīng)無法滿足要求，發(fā)展趨勢是將計算機(jī)取證與入侵檢測等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)技術(shù)相結(jié)合，進(jìn)行動態(tài)取證。整個取證過程將更加系統(tǒng)化并具有智能性，也將更加靈活多樣。對于在取證期間犯罪還在不斷進(jìn)行的系統(tǒng)，采用入侵檢測系統(tǒng)對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測是十分必要的，也可以通過采用相關(guān)的設(shè)備或設(shè)置陷阱跟蹤捕捉犯罪嫌疑人。證據(jù)檢驗/分析/推理證據(jù)跟蹤隨著計算機(jī)犯罪技術(shù)手段的升級，事件發(fā)生后對目標(biāo)系統(tǒng)的結(jié)果提交打印對目標(biāo)系統(tǒng)的全面分析和追蹤結(jié)果，然后給出分析結(jié)論：系統(tǒng)的整體情況發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、作者的信息對信息的任何隱藏、刪除、保護(hù)、加密企圖在調(diào)查中發(fā)現(xiàn)的

23、其他相關(guān)信息標(biāo)明提取時間、地點、機(jī)器、提取人及見證人以證據(jù)的形式按照合法的程序提交給司法機(jī)關(guān)證據(jù)檢驗/分析/推理結(jié)果提交打印對目標(biāo)系統(tǒng)的全面分析和追蹤結(jié)果，然后給出分析結(jié)論計算機(jī)證據(jù)的有效性計算機(jī)證據(jù)的有效性，即合法性問題，是指計算機(jī)證據(jù)是否合法，能否成為法庭上認(rèn)定犯罪事實的有力證據(jù)以及法官是否會接受提供的計算機(jī)證據(jù)的問題。計算機(jī)證據(jù)要想成為法庭上的有效證據(jù)，必須具備以下各點：第一，計算機(jī)證據(jù)的收集主體必須符合有關(guān)法律的規(guī)定。第二，證據(jù)的形式必須符合有關(guān)法律的規(guī)定。第三，證據(jù)的提取方法、收集程序、分析和使用過程必須符合法律的有關(guān)規(guī)定，不能違反法律的規(guī)定，不能侵犯他人的合法權(quán)利。第四，分析得到的

24、證據(jù)，必須具有關(guān)聯(lián)性和客觀性。證據(jù)檢驗/分析/推理計算機(jī)證據(jù)的有效性計算機(jī)證據(jù)的有效性，即合法性問題，是指計算計算機(jī)取證與分析鑒定工具目前的取證分析工具傾向于同時具有數(shù)據(jù)收集及分析的功能，常用的取證分析工具主要有1 EnCase2FTK3The Coroners Toolkit（TCT工具包）4Forensix5New Technologies inc.（NTI）證據(jù)檢驗/分析/推理計算機(jī)取證與分析鑒定工具目前的取證分析工具傾向于同時具有數(shù)據(jù)本章小結(jié)本章主要是介紹計算機(jī)取證的整個流程是如何進(jìn)行的，首先是提出針對一個具體的計算機(jī)犯罪案例應(yīng)該先制定詳細(xì)的響應(yīng)計劃，對調(diào)查對象、取證目標(biāo)以及取證的程序進(jìn)行詳細(xì)的說明。響應(yīng)計劃制定之后，取證人員應(yīng)保護(hù)犯罪現(xiàn)場并對犯罪現(xiàn)場進(jìn)行認(rèn)真的勘查，以熟悉現(xiàn)場的各種環(huán)境和了解現(xiàn)場的各種電子設(shè)備的使用，為下面的取證做好準(zhǔn)備工作。介紹了計算機(jī)取證與分析鑒定設(shè)備，主要