电子取证技术–概述
其知识内容涉及到法律、侦查学、计算机科学等,知识构成以计算机科学的有关学科知识为主体,按照相关法律法规的要求和侦查工作的原则规范,从计算机取证工作的实际需要出发,对这些知识进行了有机整合。
一:取证目标:
计算机取证要解决的问题是:试图找出是淮(Who) 、在什么时间(When)、从(在)哪里(where)、怎样地(How)进行了什么(What)(非法)活动。
攻击者什么时间进入系统,停留了多长时间?攻击者是如何进入系统的?
攻击者做了些什么?
攻击者得到了什么信息?
如何找到、并证明攻击者是现实中的某个具体行为人?
被害者的损失情况怎么样?攻击者的行为动机是什么?
二:电子数据取证相关定义
- “计算机证据”“电子证据”“电子物证”“数字证据”
- 目前,国内法学界多数学者将数字证据定义为∶在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
- 我们将电子证据理解为∶在计算机等电子设备中存在或运行中产生的以及在网络中存在和产生的以其记录的内容来证明案件事实的电磁记录物。
- 数字证据作为一种可以证明案件事实的证据形式和法庭上的证据,与传统证据一样,数字证据必须是︰
- 可信的
- 准确的
- 完整的
- 使法官信服的
- 符合法律法规,能够为法庭所接受的
- 与传统证据相比,数字证据具有如下特点∶
- 无形性
- 高科技性
- 易破坏性
- 表现形式的多样性
- 电子数据取证︰**使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关犯罪的证据。**通过收集计算机系统、网络系统以及其它电子设备中以数字化的信息编码形式出现的与案件有关的信息,对其进行保存、分析鉴定和出示,用来证明犯罪活动的过程。
三:电子数据
电子数据的来源:
-
计算机硬盘中储存的电子数据:
文档资料、电子表格
应用程序、数据库资料等 -
多媒体的数码档案:
照片,影片,音乐或国像等 -
服务器或工作站的工作纪录:
网页服务器纪录,代理服务器纪录
防火墙纪录,档案传输(FTP)服务器纪录数据库服务器纪录等
-
经由互联网传递的电子信息:
电子邮件
SMS短讯、MMS多媒体短讯网上购物、游戏、聊天记录等
四:电子证据的特点及对取证的影响
-
电子证据与传统证据最本质的区别就是电子证据的记录方式的特殊性。
-
电子证据的主要特性如下︰
- 电子证据的信息与载体的可分离性和信息的高科技性
- 电子证据的系统依赖性
- 脆弱性
- 隐蔽性
- 可挽救性
-
主要体现在以下几个方面︰
- 电子证据的收集过程舒要较高的技术要求,需要取证人员具备较高的专业素质和技能。
- 电子证据的系统依赖性决定了收集证据时,不仅需要收集电子证据,还需收集与系统稳定性及软件的使用等情况K证明而电子证据的可挽救性及隐蔽性则决定了收集证据的活动要全面、综合地进行,运用高科技手段检测是否有隐藏文件以及硬盘中是否有被删除的证据
- 电子证据的高科技性决定了其收集手段必然与传统证据的收集手段有很大的不同,主要分为数据恢复、数据搜索和解密、动态截获等技术。
- 电子证据的诸多特点导致了它的取证过程与标准也与传统证据不同,这就要求电子证据的整个取证过程需有更严格的标准予以规范。
五:电子数据取证的原则
2000年3月,计算机证据国际组织IOCE指出计算机取证应该遵守的一般原则:
- 获取数字证据时,必须保证证据的不变性。
- 进行原始证据处理的取证人员应该经过专业培训。
- 所有与数字证据的获取、访问、存储、传送相关的处理都必须完全归档、妥善保存。
- 个人在拥有与案例相关的数字证据时,必须对其所有在数字证据上所进行的相关操作负责。
- 任何代理机构,在负责提取、访问、保存或传送数字证据时都必须遵守这些原则。
六:总结
-
电子证据的定义。
在计算机等电子设备中存在或运行中产生的以及在网络中存在和产生的以其记录的内容来证明案件事实的电磁记录物。
-
简述电子数据取证的定义
使用软件和工具,按照一些预先定义的程序全面地检查计算机系统,以提取和保护有关犯罪的证据。
-
.电子证据的特点
- 电子数据的虚拟性
- 电子数据的易破坏性
- 电子数据的客观性