計算機取證期中作業涉及電子證據的犯罪現場取證調查計算機學院信息安全專業〔3〕組員：何丹、周夢甜、賴江琴〔3、王棟〔1〕20231015試論涉及電子證據的犯罪現場取證調查引言隨著信息化社會的到來，越來越多的刑事案件涉及到電子證據。到達拋磚引玉的目的。一、簡介-----對電子證據的法律強制回應------潛在種類的電子證據------數字取證的規章------取證過程1、對電子證據的法律強制回應-------計算機涉及的犯罪行為可能包括工具、證據的貯存庫、目標-------很多類型的工作人員參與應對犯罪涉及計算機操作系統、調-------首先回應的可能是法律強制中的任何人留意保護電子證據的損失或篡改2、潛在種類的電子證據-------電子證據是指有爭論性價值的通過電子設備存儲或傳輸的信息和數據。-------電子證據之所以潛在〔像指紋、基因證據〕是由于不能明顯業的指正去解釋剖析。------電子證據的脆弱性要的。3、數字取證的規章不損害任何證據！例如不讓業余人員搜集數字證據4、取證過程------搜集：掃瞄、區分、搜集、證據文檔------檢驗〔技術透視〕記錄的內容、證據的狀態；顯露隱蔽的數據；識別相關的數據------分析〔合法的透視〕------報告特地證據的過程筆記；結果；牢靠性。二、電子證據的種類電子證據是以數字化信息編碼的形式消滅是以數字化信息編碼的形式消滅的數據表現形式據收集的傳統方法有較大的區分。筆者認為，對電子證據的收集，必需強的證明力。------它常常作為指紋或基因證據潛藏在同樣的現場------可以輕松快速地跨越國界------它是脆弱的，可以很簡潔地涂改、損毀或銷毀。------有時候會有時間敏感度------因此只有那些具有專長的人應當可以處理電子證據據捕獲工具常常需要訓練。電子證據收集的四個步驟；三、在犯罪現場處理電子證據1、預備工作 打印對于可以直觀或直接反映或證明案件事實的電子證據機中的位置〔如存放于那個文件夾中等〕或來源、取證人員等。 拷貝U盤、移動硬盤或光盤U盤，移動硬盤或光盤，確認式不當等緣由而導致的拷貝不成功或感染有病毒等取的時間并封閉。------拍照、攝像證據的提取和固定，以便全面、充分地反映證據的證明作用。此外，在電子證據取證過程中，對取證全程進展拍照、攝像，對被固定采集的電子證據的真實性具有確定的增加作用。------查封、扣押申請執法機關對于涉及案件的電子證據的載體進展實行查封、扣押，將有關載體置于執法機關保管之下。之后再對該電子證據進展分析、解讀。 公證通過公證機構以證據保全公證的方式對有關電子證據進展公證有效獵取電子證據的便捷途徑。------數據解析對于不能直接或直觀的證明案件事實的電子證據狀況下，運用特定的軟件工具，對相關數據進展分析、轉化，使得其可以直觀的形態為人們所認知或了解。 恢復大多數計算機系統都有自動生成備份數據和恢復數據能。因此，當有關電子證據已經被修改、破壞的，可以通過對自動備份數據和已經被處理過的數據證據進展比較、恢復，獵取電子證據，也可以使用一些特地的恢復性軟件或特地設備來恢復2、電子證據固定采集的留意事項集進展目標、方法、步驟上的指導和要求。------電子證據固定采集的具體操作人員實際進展。應在公證機關或中立第三方的工作場所進展。他數碼設備，建議使用公證機關或中立第三方的設備。IP關電子證據的真實性。用于固定相關電子證據的載體應當是干凈的、未受污染的。------在使用非第三方的計算機或電子設備進展電子證據的固定采集時，須由專業人員對該計算機及電子設備進展“清潔性檢查”。所謂“清潔性檢查”是指對相關計算機或電子設備中的軟件系統、功能、配置進展查看或固定，以確保通過該計算機或電子設備所獵取的電子證據的真實性以及數據來源的唯一性。設備、介質等，應當提存原物并伴同電子證據一并固定采集。------某些專業的電子證據取證設備或軟件供給的電子證據固定采集的相關專業技術效勞定采集的一種有效途徑。這有助于提高相關電子證據的證明力。------電子證據的脆弱性和易篡改的兩個副本復制在只能寫入一次的介質上〔如非可擦寫光盤，防止被提取到的電子證據意外被轉變。------第三方所作的提取筆錄形式將復制的時間處理人員、使用軟硬件、復制過程等事項記錄下來，以確保電子證據的合法性、真實性、關聯性與完整性。------得轉變原始證據或原始數據。3、電子證據的鑒定電子證據司法鑒定的主體應具有確定的資格具備計算機科學網絡特地學問的人法律、規律、審計等學問。電子證據司法鑒定是司法鑒定中較為特別的一類鑒定司法鑒定工作需要提取相應的計算機信息關于其定義，眾說紛紜，筆者認為法鑒定的定義應當包含以下幾點：------電子證據司法鑒定的主體應具有確定的資格是具備計算機科學網絡特地學問的人有法律、規律、審計等學問。------電子證據司法鑒定客體的范圍定，對取證過程中取得的證據鏈進展鑒定等等。從廣義的范圍來說，還包括對電子證據的提取、分析等內容。------電子證據司法鑒定應符合規定的程序一樣，都要分為申請、托付、受理、實施、出具結論等階段。由于電子證據具有脆弱性、易更改性等特點，收集電子證據的程序合法，程4、全面做好現場記錄現場記錄可將現場狀況永久性保存下來可以為El備的位置。例如鼠標放在計算機左側，則操作者可能慣用左手操作。運轉的聲音，來推斷其是否是在工作。假設計算機確實是關閉的，感3600畫面是活動的，例如某項程序正在執行，則應快速用攝像機將其記錄下來。5、收集和保全電子證據搜集：證據的收集，必需針對電子證據易偽造、具有隱蔽性的特性，才能使電子證據發揮更強的證明力。------依法收集電子證據網頁;偽造的電子信件等等，偵查人員就必需推斷其內容的真實性。收集中除了遵循刑事訴訟法對取證的規定外特點嚴格依據法律規定的程序進展體，必需有見證人在場等。------全面收集電子證據收集電子證據時必需對一樣內容的證據全部收集的原始狀態具有重要作用。收集電子證據的同時要收集存儲的載體CPU、MAC收集電子證據同時要收集與電子證據相關聯的電子程序軟件的證據時應當同時記錄電子證據所處的操作系統呈現。收集電子證據同時要收集與電子證據相關聯的收集電子證據的據會因形不成證據鏈而失去證明力的放置地點、連接網絡狀況、各接口的連接狀況、計算機的IP地址等相關外部信息。6、正確扣押電子證據等;留意安全，例如，存放時應當遠離強磁場、高溫、高壓、靜電等，使用時應當留意對計算機病毒的檢測。進展公證。7、科學固定電子證據電子證據由于簡潔被偽造、刪除、篡改，故科學固定電子證據是只有在文件較多不便利現場打印的狀況下，才可以單獨使用拷貝方式。印過程中修改文件。打印完畢后，可以依據書證的固定方法，予以固等)。承受拷貝方式固定電子證據進展檢查。首先進展病毒檢測，然后翻開文件檢查拷貝的質量過檢測覺察病毒，則應領先消毒，后翻開文件檢查。制作檢查筆錄。無論實行哪種取證方式，在固定證據后，應當現括:案由、參與檢查的人員姓名及職務、檢查的簡要過程，主要包括檢查時間、地點及檢查挨次等、檢查中消滅的問題及解決方法察院)的電子數據作為對方有過錯的證據曾被法庭采信開電腦和進入網頁的程序以及對電腦中消滅的內容進展復制等等進展全程現場監視和記錄。同時，法律效力的保全證據公證書。8、打包和轉移電子證據四、電子設備數字取證工具箱：便攜式根本硬件工具：螺絲刀，起子，鉗子，防水的、穩定的塑料證據袋標簽和不行消退的標記驅動媒體：DOS啟動、光盤啟動、USB設備啟動、軟件啟動電纜：USB、火線、CAT5直流、電線帶有工具和手提電腦集成拍攝功能或能與PC機連接的PDA〔為保護硬盤上的內容不受破壞〕行李推車電源板、配電盤記錄簿手套USB為獵取數據的取證平臺〔例如，專業工具〕專業取證工具：美國Logicube公司〔〕“://logicube/“://logicube/主流硬盤拷貝系統使用在〔IT部門〕支持各種各樣的驅動借口和連接的設備：IDE(IntegratedDeviceElectronicsSATA(SerialAdvancedTechnologyAttachment)串行ATA接口標準、SAS〔statisticalanalysissystem〕SCIC(smallcomputersysteminterface)小型計算機系統接口、USB(UniversalSerialBus)通用串行總線構架1、建立你的搜尋參數什么樣類型的證據，是否是照片，文檔，區議會，電子郵件等；其次還要知道用戶〔嫌疑人〕的計算機技能水平；取證所涉及的不同種硬件，包括電腦系統版本，以及關聯的掌上電腦，手機，手表等；取證相關的軟件；另外，還要考慮是否要搜集其他形式的證據，如指紋，〔分協議，拓撲??〕〔ISP〕〔包括用戶的ID，密碼，是否加密等〕，取證現場是否裝有定時炸彈等問題。2、現場的治理調查首先要留意保持完整的數據收集過程差，或者停頓。此外，還要對相關的設備作一些必要的評估工作。對2、找出計算機中的可疑數據DragonDictation語音識別軟件Windows系統的語音識別程序必要，我們還可以實行強制行手段，決不允許他們再次接觸電腦。3、保護現場為了保護現場，以備必要時恢復現場，我們要對現場進展拍照。目前我們通常使用數碼相機來對現場進展拍攝。而作為證據的照片，都會經過真偽的區分前方可成為有效證據性。在現場，我們需要拍攝正在開啟的電腦屏幕，特別是系統時間。再也不是一個考慮的因素，所以可以盡可能多的拍攝好現場。4、斷開外把握斷開外部的把握，主要指移除網絡連接。這包括線戶環路，有線/衛星的調至解調器。有可能可疑的數據正在被存儲到遠程的系統上。無線連接可能比較難處理，由于它們不明顯，無線I/F可能被納入電腦機箱，尤其是在筆記本電腦上。另外，還要留意家庭網絡，有可能證據就是存放在某個位置。5、處理下載假設系統有跡象顯示該用戶正在下載文件要拍下整個下載的過程。6、計算機斷電中。同時，我們還要考慮具體的操作系統腦。7、確定操作系統因此要確定操作系統的版本MacWindowsUnix系統，硬件的特定操作系統〔手機，掌上電腦〕等。不同的版本，必需要有適宜的工具和程序，以避開不準確拷貝。對此，我們將來還可能用到更先進的工具。8、保存正在運行的程序的相關數據假設觀看某個程序正在運行(例如,在運行程序條)，我們是馬上導致數據的喪失。從而我們要了解計算機內存工作的原理及其本質。電而遭到破壞。9、保存內存中的數據(VM據存儲到貯存硬盤空間。數據流在虛擬機和RAMRAM禁用虛擬機，由于有大量的RAM〔例如2GB〕。我們可以用特地保存RAM于手機和掌上電腦，但是它們依靠電池供電的性內來存儲數據。10、在現場處理的具體操作系統常用的操作系統有：微軟操作系統，從Windows3.11到XP，麥金塔，Unix/Linux操作系統，特別工具用于PDA〔例如，棕櫚，視窗CE〕。11、筆記本電腦拔下筆記本電腦的電源插座，它會馬上切換到電池電源。因此，絲。我們需要留意的是，要使用套袋防止靜電，及裝運筆記本電腦電池。12、拆卸電腦拆卸電腦極為重要的是保證每臺計算機都可以被重組合完全〔即完畢哪臺計算機和端口行標記。六、現場記錄附加證據的保護在計算機取證的過程中有多少外圍設備需要我們扣押查封呢？查令中條款，依法扣押搜查令中授權的設備；其次，是依據說容問題。有時候，不起眼的外圍設備中會隱蔽重要的取證線索和資料?！部赡芘臄z有犯罪現場或有關嫌疑人的照片、玩耍機〔例如XboxPS、掃描儀〔檢查電子掃描iPods〔可以裝載電腦的數據和操作環境、計算器〔具有格外大的內存。其他證據。例如：一些紙質便簽、文件；數字存儲媒介〔磁質帶中的具體內容等等。以前提到過的較為明顯的設備，例如：掌上電腦、手機手表。較為小巧的USB變萬化，在取證時難以覺察。運輸前的預備工作OIC在