電子物證現(xiàn)場(chǎng)取證技術(shù)_第1頁(yè)
電子物證現(xiàn)場(chǎng)取證技術(shù)_第2頁(yè)
電子物證現(xiàn)場(chǎng)取證技術(shù)_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

電子物證現(xiàn)場(chǎng)取證技術(shù)

0電子物權(quán)法上取證的應(yīng)用自1978年中國(guó)實(shí)施改革和開(kāi)放政策,并在新世紀(jì)加入市場(chǎng)經(jīng)濟(jì)(wto)以來(lái),中國(guó)在各個(gè)領(lǐng)域都取得了快速發(fā)展。其中,偵查技術(shù)就發(fā)生了根本性的變化,偵查技術(shù)逐漸發(fā)展成為以信息技術(shù)為主體的專(zhuān)業(yè)的科學(xué)技術(shù),通過(guò)融入信息技術(shù),這就使得偵查的效率變得十分之高,各種犯罪行為也在信息技術(shù)這雙“慧眼”的監(jiān)視下一個(gè)個(gè)被偵破,這也在很大程度上減少了犯罪行為的發(fā)生。因此,可以說(shuō)電子物證現(xiàn)場(chǎng)取證技術(shù)是時(shí)代的進(jìn)步,也是信息技術(shù)發(fā)展到一定階段的重要產(chǎn)物。本文主要對(duì)電子物證的現(xiàn)場(chǎng)取證技術(shù)的相關(guān)內(nèi)容及重要組成部分進(jìn)行了闡述,以及對(duì)電子物證取證及檢驗(yàn)的重要意義以及作用進(jìn)行了論述。具體的方法為主要是對(duì)歐美以及國(guó)內(nèi)的有關(guān)電子物證現(xiàn)場(chǎng)取證技術(shù)方面的資料進(jìn)行了研究,最終得出了電子物證現(xiàn)場(chǎng)取證及檢驗(yàn)的涵義、取證對(duì)象、具體的方法以及特點(diǎn)等方面進(jìn)行了介紹,進(jìn)而得出這樣的結(jié)論:電子物證現(xiàn)場(chǎng)取證技術(shù)關(guān)乎到識(shí)別、發(fā)現(xiàn)、提取、保存、恢復(fù)以及分析鑒定等方面的科學(xué)技術(shù),能夠?yàn)榘讣刹樘峁┍匾淖C據(jù),從而增加了犯罪偵查的效率。1關(guān)關(guān)案件的鎖定和發(fā)現(xiàn)在正式確定目標(biāo)物證之前,要對(duì)其進(jìn)行電子數(shù)據(jù)預(yù)檢,其主要目的就是為了對(duì)相關(guān)案件加以鎖定和發(fā)現(xiàn),以及對(duì)整個(gè)的發(fā)生過(guò)程進(jìn)行事先安排。由于電子數(shù)據(jù)具有很多特點(diǎn),如易復(fù)制、易損壞以及易傳播等特點(diǎn),現(xiàn)場(chǎng)調(diào)查取證的工作人員應(yīng)該加強(qiáng)對(duì)證據(jù)安全的風(fēng)險(xiǎn)意識(shí)進(jìn)行提高,以不斷提高電子數(shù)據(jù)的原始性以及完整性。1.1與案件有關(guān)的電子數(shù)據(jù)的傳遞目前,手機(jī)主要分為3種類(lèi)型,即GSM、CDMA和CDMA/GSM3種類(lèi)型。對(duì)于數(shù)據(jù)的存儲(chǔ)一般使用的是SIM卡、手機(jī)本身帶有的內(nèi)存以及擴(kuò)展卡(或者稱(chēng)為可以替換的存儲(chǔ)卡),此種存儲(chǔ)介質(zhì)的一大特點(diǎn)就是保存了與案件有關(guān)的電子數(shù)據(jù)如通話記錄、信息、記事本、視頻信息等,而這些信息往往都與發(fā)生的案件有很大的聯(lián)系,因此這種渠道來(lái)獲取電子數(shù)據(jù)也是電子物證現(xiàn)場(chǎng)取證的一個(gè)重點(diǎn)內(nèi)容?,F(xiàn)場(chǎng)取證的工作人員能開(kāi)啟手機(jī)對(duì)相關(guān)數(shù)據(jù)進(jìn)行預(yù)檢,在對(duì)手機(jī)進(jìn)行預(yù)檢時(shí),應(yīng)該注意應(yīng)該對(duì)相關(guān)信號(hào)進(jìn)行屏蔽,除了該案件需要對(duì)撥人電話或者發(fā)短信息的人實(shí)施跟蹤。這樣做的主要的原因就是手機(jī)處于一種全開(kāi)放的在線工作狀態(tài),這就可能會(huì)發(fā)生隨時(shí)將信息泄漏出去的現(xiàn)象,而且短信也可能會(huì)被刪除或是被泄漏出去,而這些被泄漏出去的信息往往和案件有很大的關(guān)系。因此,筆者認(rèn)為,應(yīng)該加強(qiáng)對(duì)手機(jī)信息加以保護(hù),以避免手機(jī)信息的外泄而影響了案件的快速偵查。1.2電子數(shù)據(jù)的屬性對(duì)檢測(cè)結(jié)果的影響現(xiàn)場(chǎng)的調(diào)查取證人員為了對(duì)運(yùn)行中的檢驗(yàn)設(shè)備以及設(shè)備中的電子數(shù)據(jù)進(jìn)行預(yù)檢,一般都會(huì)按照常規(guī)的方式進(jìn)行開(kāi)機(jī)查閱,然后對(duì)系統(tǒng)中的相關(guān)文件加以瀏覽,那么這樣做的壞處就是很有可能對(duì)所儲(chǔ)存的電子數(shù)據(jù)的有關(guān)屬性進(jìn)行了改變,電子數(shù)據(jù)的屬性改變了,就會(huì)帶來(lái)一定的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)主要包括如下幾個(gè)方面:改變了系統(tǒng)中的文件時(shí)間屬性,對(duì)于Windows各個(gè)系統(tǒng)的影響是不同的,其中對(duì)于Windows98系統(tǒng)而言,會(huì)造成約為300個(gè)文件屬性的改變,對(duì)于Windows2000系統(tǒng),一般會(huì)造成約為500個(gè)文件屬性發(fā)生改變,如果此案件要涉及到電腦開(kāi)機(jī)時(shí)間的取證與檢驗(yàn),那么勢(shì)必會(huì)導(dǎo)致取證及檢驗(yàn)的條件發(fā)生重要的扭變。因此,可以說(shuō)現(xiàn)場(chǎng)取證調(diào)查工作人員不要對(duì)處于關(guān)機(jī)狀態(tài)下的設(shè)備中硬盤(pán)的電源,拔下硬盤(pán)數(shù)據(jù)線,將BIOS的引導(dǎo)設(shè)備修改為軟盤(pán),阻斷被預(yù)檢的硬盤(pán)啟動(dòng)系統(tǒng),之后采用專(zhuān)用的系統(tǒng)啟動(dòng)盤(pán)(如專(zhuān)用的Encase啟動(dòng)盤(pán))重新啟動(dòng)系統(tǒng)。2在關(guān)閉和收集相關(guān)設(shè)備時(shí),應(yīng)注意以下幾點(diǎn)2.1各類(lèi)設(shè)備的存儲(chǔ)對(duì)于涉案實(shí)體對(duì)象封存收繳,是一種獲取物證十分重要的方式。當(dāng)前時(shí)期下,涉案實(shí)體對(duì)象主要分為四個(gè)方面,即存儲(chǔ)的介質(zhì)、文檔、電子設(shè)備及其他資料。其中,存儲(chǔ)介質(zhì)主要有以下幾個(gè)方面,即硬盤(pán)、軟盤(pán)、U盤(pán)、光盤(pán)、磁帶以及各類(lèi)存儲(chǔ)卡等,上述這些設(shè)備可以存儲(chǔ)相關(guān)的數(shù)據(jù)。電子設(shè)備主要包括PC機(jī)等、mp4、手機(jī)、數(shù)碼設(shè)備、集線器、路由器、磁帶機(jī)以及數(shù)據(jù)線等,這些設(shè)備可以對(duì)電子物證進(jìn)行外在的反映。文檔以及其他資料主要包括計(jì)算的程序方面的內(nèi)容以及各種設(shè)備的用戶(hù)手冊(cè)、打印的各類(lèi)文檔資料等。上述設(shè)備主要是對(duì)電子數(shù)據(jù)進(jìn)行記錄。2.2運(yùn)行中使用的問(wèn)題對(duì)于開(kāi)機(jī)狀態(tài)的設(shè)備而言,一般不能對(duì)其進(jìn)行簡(jiǎn)單的處理,大部分人都會(huì)將電源直接關(guān)閉進(jìn)行收繳封存,如果按照這樣做的話,勢(shì)必會(huì)使得重要的數(shù)據(jù)受到破壞以及丟失,且對(duì)后續(xù)的數(shù)據(jù)分析以及取證檢驗(yàn)增加更大的技術(shù)難度。例如一個(gè)正在運(yùn)行的應(yīng)用系統(tǒng),將電源關(guān)閉之后,可能會(huì)造成兩個(gè)方面的不良后果:1)使得內(nèi)存中處于動(dòng)態(tài)運(yùn)行的程序以及文件的相關(guān)數(shù)據(jù)大量丟失,這樣就會(huì)使得屏幕上所顯示的全部信息不能很好地重現(xiàn);2)各種存儲(chǔ)介質(zhì)中的相關(guān)數(shù)據(jù)即使能夠進(jìn)行很好的克隆和備份,但是對(duì)于需要在實(shí)際運(yùn)行中分析檢驗(yàn)的專(zhuān)用系統(tǒng),重新搭建系統(tǒng)運(yùn)行環(huán)境,則很有可能會(huì)遇到系統(tǒng)啟動(dòng)密碼,文件加密、應(yīng)用系統(tǒng)運(yùn)行時(shí)需要支持的各種工具軟件的安裝等。3電子物證現(xiàn)場(chǎng)取證的具體方法當(dāng)現(xiàn)場(chǎng)調(diào)查取證的工作人員在進(jìn)行現(xiàn)場(chǎng)取證時(shí),由于受到各種外界條件的影響以及限制,根本無(wú)法對(duì)正在運(yùn)行的系統(tǒng)進(jìn)行停止處理或者對(duì)設(shè)備封存收繳,尤其是在面對(duì)某些專(zhuān)用的應(yīng)用系統(tǒng),例如金融、醫(yī)療以及大型的網(wǎng)站等,對(duì)系統(tǒng)進(jìn)行停止運(yùn)行勢(shì)必會(huì)對(duì)被調(diào)查部門(mén)或者是用戶(hù)正常的工作秩序造成一定程度的影響或是傷害,它們會(huì)承受經(jīng)濟(jì)上的巨大損失以及風(fēng)險(xiǎn),但是對(duì)于現(xiàn)場(chǎng)調(diào)查取證的工作人員而言,對(duì)相關(guān)的電子數(shù)據(jù)實(shí)施靜態(tài)或是動(dòng)態(tài)的分析,面對(duì)巨大的存儲(chǔ)數(shù)據(jù),一是對(duì)其分析相當(dāng)耗時(shí);二是令人難以承受。所以,筆者認(rèn)為,現(xiàn)場(chǎng)調(diào)查的工作人員應(yīng)該選擇那些物理存儲(chǔ)介質(zhì)中的電子數(shù)據(jù),當(dāng)前時(shí)期下,隨著信息技術(shù)以及其他各類(lèi)技術(shù)的快速發(fā)展,對(duì)電子數(shù)據(jù)的獲取主要采用的技術(shù)方法是對(duì)物理存儲(chǔ)介質(zhì)的實(shí)體鏡像以及邏輯進(jìn)行復(fù)制。目前各國(guó)普遍使用的保存數(shù)據(jù)的方法為物理存儲(chǔ)介質(zhì)的實(shí)體鏡像,同時(shí)它也是世界各個(gè)國(guó)家司法鑒定機(jī)構(gòu)普遍認(rèn)為最好的取證方式之一。物理存儲(chǔ)介質(zhì)的實(shí)體鏡像,可以實(shí)現(xiàn)對(duì)整個(gè)物理存儲(chǔ)介質(zhì)進(jìn)行逐步的整體復(fù)制,對(duì)于在這個(gè)過(guò)程中所復(fù)制的目標(biāo)數(shù)據(jù)不僅包括操作系統(tǒng)中可以進(jìn)行訪問(wèn)的正常數(shù)據(jù)文件,而且還包括了操作系統(tǒng)不能進(jìn)行識(shí)別的已經(jīng)被刪

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論