電子數(shù)據(jù)取證與數(shù)據(jù)質(zhì)量控制_第1頁(yè)
電子數(shù)據(jù)取證與數(shù)據(jù)質(zhì)量控制_第2頁(yè)
電子數(shù)據(jù)取證與數(shù)據(jù)質(zhì)量控制_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

電子數(shù)據(jù)取證與數(shù)據(jù)質(zhì)量控制

手機(jī),尤其是智能手機(jī),已經(jīng)成為人們?nèi)粘I钪胁豢苫蛉钡囊徊糠帧6诜ㄍタ茖W(xué)領(lǐng)域,由于手機(jī)中往往包含很多重要的信息,世界各地的執(zhí)法機(jī)構(gòu)已經(jīng)越來(lái)越意識(shí)到手機(jī)取證的重要性以及它如何影響調(diào)查結(jié)果。一、手機(jī)電子數(shù)據(jù)證據(jù)的檢查電子數(shù)據(jù)取證是法庭科學(xué)的一個(gè)分支,專(zhuān)注于恢復(fù)和調(diào)查駐留在電子或數(shù)字設(shè)備中的原始數(shù)據(jù)。隨著新功能和應(yīng)用程序被整合到移動(dòng)電話中,存儲(chǔ)在設(shè)備上的信息量不斷增長(zhǎng)。移動(dòng)電話成為便攜式數(shù)據(jù)載體,它們可以跟蹤用戶的所有活動(dòng)信息。隨著移動(dòng)電話在人們的日常生活和犯罪活動(dòng)中越來(lái)越普遍,從手機(jī)獲取的數(shù)據(jù)成為與刑事,民事案件有關(guān)的寶貴證據(jù)來(lái)源,如移動(dòng)設(shè)備通話記錄和GPS數(shù)據(jù)用于幫助調(diào)查2010年在紐約時(shí)代廣場(chǎng)發(fā)生的爆炸事件。當(dāng)前,在電子數(shù)據(jù)取證調(diào)查中,基本都會(huì)包含移動(dòng)設(shè)備的取證。手機(jī)取證是電子數(shù)據(jù)取證的一個(gè)分支,其主要目標(biāo)是恢復(fù)和調(diào)查手機(jī)中的數(shù)據(jù)。電子數(shù)據(jù)取證要符合規(guī)范和流程,因此在取證過(guò)程中要限定和證明使用特定的取證技術(shù)或方法。對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行合理的法證檢查的主要原則是不得修改原始證據(jù)。這對(duì)移動(dòng)設(shè)備來(lái)說(shuō)非常困難。一些取證工具需要與移動(dòng)設(shè)備通信,因此標(biāo)準(zhǔn)寫(xiě)保護(hù)在取證期間不起作用。其他一些方法有時(shí)需要在提取數(shù)據(jù)之前移除芯片或在手機(jī)上安裝引導(dǎo)加載程序。如果在不更改設(shè)備配置的情況下無(wú)法進(jìn)行檢查或數(shù)據(jù)采集,則額外采用的方法的過(guò)程和更改等動(dòng)作必須進(jìn)行測(cè)試,驗(yàn)證和記錄。遵循適當(dāng)?shù)姆椒ê椭改蠈?duì)檢查移動(dòng)設(shè)備至關(guān)重要,因?yàn)樗梢援a(chǎn)生最有價(jià)值的數(shù)據(jù)。與任何證據(jù)收集一樣,在檢查過(guò)程中不遵循正確的程序可能導(dǎo)致證據(jù)丟失或損壞或使其不再被法庭接受。手機(jī)取證過(guò)程分為三大步驟:扣押設(shè)備,數(shù)據(jù)獲取,數(shù)據(jù)檢查/分析。取證人員在扣押移動(dòng)設(shè)備作為證據(jù)來(lái)源時(shí)會(huì)面臨一些挑戰(zhàn)。在犯罪現(xiàn)場(chǎng),如果發(fā)現(xiàn)移動(dòng)設(shè)備已關(guān)閉,檢查人員應(yīng)將設(shè)備放在法拉第袋(faradaybag)中,以防止設(shè)備自動(dòng)開(kāi)機(jī)時(shí)進(jìn)行更改。這里,法拉第袋專(zhuān)門(mén)設(shè)計(jì)用于將手機(jī)與網(wǎng)絡(luò)隔離。如果手機(jī)被PIN或密碼鎖定或加密,取證人員就要設(shè)法繞過(guò)鎖定或確定訪問(wèn)設(shè)備的PIN。移動(dòng)電話是聯(lián)網(wǎng)設(shè)備,可以通過(guò)不同的機(jī)制發(fā)送和接收數(shù)據(jù),例如電信系統(tǒng),Wi-Fi接入點(diǎn)和藍(lán)牙。因此,如果電話處于運(yùn)行狀態(tài),則犯罪分子可以通過(guò)執(zhí)行遠(yuǎn)程擦除命令安全地擦除存儲(chǔ)在電話上的數(shù)據(jù)。如果手機(jī)是打開(kāi)狀態(tài),應(yīng)將其放入法拉第袋中。如果可能,在將移動(dòng)設(shè)備放入法拉第袋之前,通過(guò)啟用飛行模式并禁用所有網(wǎng)絡(luò)連接(Wi-Fi,GPS,熱點(diǎn)等),將其與網(wǎng)絡(luò)斷開(kāi)以保護(hù)證據(jù)。一旦移動(dòng)設(shè)備被正確扣押,取證人員可能需要若干取證工具來(lái)獲取和分析存儲(chǔ)在移動(dòng)設(shè)備上的數(shù)據(jù)。二、手機(jī)取證給取證人員帶來(lái)的挑戰(zhàn)移動(dòng)設(shè)備是動(dòng)態(tài)系統(tǒng),在提取和分析電子數(shù)據(jù)證據(jù)時(shí)會(huì)給取證人員帶來(lái)很多挑戰(zhàn)。來(lái)自不同制造商的不同型號(hào)的手機(jī)的數(shù)量的快速增加使得難以開(kāi)發(fā)用于檢查所有類(lèi)型的設(shè)備的單個(gè)工具、軟件和方法。隨著技術(shù)的進(jìn)步和新技術(shù)的引入,移動(dòng)設(shè)備不斷發(fā)展。此外,每個(gè)移動(dòng)設(shè)備都設(shè)計(jì)有各種嵌入式操作系統(tǒng)。因此,取證人員需要特殊的知識(shí)和技能來(lái)獲取和分析設(shè)備。移動(dòng)設(shè)備取證面臨的最大挑戰(zhàn)之一是其上的數(shù)據(jù)可以跨多個(gè)設(shè)備訪問(wèn),存儲(chǔ)和同步。由于數(shù)據(jù)是易變的并且可以遠(yuǎn)程快速轉(zhuǎn)換或刪除,因此需要更多的努力來(lái)保存這些數(shù)據(jù)。手機(jī)取證與傳統(tǒng)計(jì)算機(jī)取證不同,給取證人員提出了獨(dú)特的挑戰(zhàn)。取證人員往往很難從移動(dòng)設(shè)備上獲取電子數(shù)據(jù)證據(jù),原因如下:1.新型號(hào)手機(jī)的分類(lèi)市場(chǎng)上充斥著來(lái)自不同制造商的不同型號(hào)的手機(jī)。取證人員可能會(huì)遇到不同類(lèi)型的手機(jī),這些手機(jī)的大小,硬件,功能和操作系統(tǒng)都不同。此外,由于產(chǎn)品開(kāi)發(fā)周期較短,新型號(hào)手機(jī)出現(xiàn)非常頻繁。隨著手機(jī)領(lǐng)域發(fā)展日新月異,取證人員必須適應(yīng)手機(jī)技術(shù)的發(fā)展趨勢(shì),并在手機(jī)取證技術(shù)方面保持最新?tīng)顟B(tài)。2.操作系統(tǒng)多樣。我國(guó)當(dāng)前的系統(tǒng)基于web-中國(guó)與Windows多年來(lái)主導(dǎo)市場(chǎng)的個(gè)人電腦不同,移動(dòng)設(shè)備廣泛使用更多類(lèi)型的操作系統(tǒng),包括Apple的iOS,谷歌的Android,RIM的黑莓操作系統(tǒng),微軟的WindowsMobile,惠普的webOS,諾基亞的Symbian操作系統(tǒng)等,不同的操作系統(tǒng)對(duì)取證工具、取證軟件以及取證人員的專(zhuān)業(yè)技術(shù)水平都有相應(yīng)的要求。3.)測(cè)試特征為數(shù)據(jù)和隱私現(xiàn)代移動(dòng)設(shè)備平臺(tái)包含許多內(nèi)置安全功能,可以保護(hù)用戶數(shù)據(jù)和隱私。這些特征在手機(jī)取證過(guò)程中會(huì)成為障礙。例如,某些手機(jī)設(shè)備具有從硬件層到軟件層的默認(rèn)加密機(jī)制。取證人員可能需要突破這些加密機(jī)制以從設(shè)備中提取數(shù)據(jù)。4.組合工具的使用市面上移動(dòng)設(shè)備種類(lèi)繁多,單個(gè)取證工具可能不支持所有設(shè)備或執(zhí)行所有必需的功能,因此需要使用組合工具。而且為特定手機(jī)選擇合適的工具可能很困難,有時(shí)需要專(zhuān)門(mén)定制特殊的工具、軟件才能獲取某些數(shù)據(jù)。5.)可能在手機(jī)不發(fā)生即使移動(dòng)設(shè)備看起來(lái)處于關(guān)閉狀態(tài),后臺(tái)進(jìn)程仍可能運(yùn)行。例如,在大多數(shù)手機(jī)中,即使手機(jī)關(guān)機(jī),鬧鐘仍然有效。從一個(gè)狀態(tài)突然轉(zhuǎn)換到另一個(gè)狀態(tài)可能導(dǎo)致數(shù)據(jù)丟失或修改。6.反取樣技術(shù)問(wèn)題反取證技術(shù)如數(shù)據(jù)隱藏,數(shù)據(jù)混淆,數(shù)據(jù)偽造和安全擦除,使得電子數(shù)據(jù)的調(diào)查更加困難。7.證據(jù)的動(dòng)態(tài)性質(zhì)電子數(shù)據(jù)證據(jù)可能有意或無(wú)意地被輕易改變。例如,瀏覽手機(jī)上的應(yīng)用程序可能會(huì)改變?cè)搼?yīng)用程序在設(shè)備上存儲(chǔ)的數(shù)據(jù)。8.意外中斷手機(jī)提供重置所有配置的功能。取證時(shí)意外重置設(shè)備可能會(huì)導(dǎo)致數(shù)據(jù)丟失。9.設(shè)備更改問(wèn)題更改設(shè)備的可能方法可能包括移動(dòng)應(yīng)用程序數(shù)據(jù),重命名文件以及修改制造商的操作系統(tǒng)。在這種情況下,應(yīng)考慮用戶或者嫌疑人的專(zhuān)業(yè)知識(shí)。10.返回密碼如果設(shè)備受密碼保護(hù),則取證人員需要想辦法訪問(wèn)設(shè)備而不會(huì)損壞設(shè)備上的數(shù)據(jù)。11.藍(lán)牙及紅外通信移動(dòng)設(shè)備通過(guò)蜂窩網(wǎng)絡(luò),Wi-Fi網(wǎng)絡(luò),藍(lán)牙和紅外線進(jìn)行通信。由于設(shè)備通信可能會(huì)改變?cè)O(shè)備數(shù)據(jù),因此在扣押設(shè)備后應(yīng)消除設(shè)備繼續(xù)通信的可能性。12.病毒或特洛伊木馬設(shè)備可能包含惡意軟件或惡意程序,例如病毒或特洛伊木馬。這樣的惡意程序可能試圖通過(guò)有線接口或無(wú)線接口感染其他設(shè)備,因此取證時(shí)需格外小心。13.手機(jī)證據(jù)的屬性要求,應(yīng)遵循以下基本原則移動(dòng)設(shè)備可能涉及犯罪,可能跨越地理邊界,為了解決這些涉及多地區(qū)管轄的問(wèn)題,取證人員應(yīng)了解犯罪的性質(zhì)和相關(guān)區(qū)域法律知識(shí)。手機(jī)證據(jù)屬于證據(jù)的范疇,因此手機(jī)證據(jù)也必須具備證據(jù)的客觀性、合法性、關(guān)聯(lián)性這三個(gè)基本屬性。因此,在手機(jī)取證過(guò)程中,還需嚴(yán)格遵循取證合法原則,取證及時(shí)原則,取證備份原

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論