计算机取证与司法鉴定(第二版)课件04-过程.ppt

1、主要内容准备设备密码破解数据恢复证据的收集、保存与提供证据的检验、分析与推理针对具体案例制定响应计划计算机犯罪的特点决定了其取证与分析鉴定的整个过程必然与传统的犯罪案例有很大的不同。在接到计算机犯罪报案后，具备取证与分析鉴定资质的机构和取证人员应及时响应，迅速展开调查工作。调查等待的时间越长，可回答问题的人忘记答案的可能性就越大，完成系统刑事鉴定复制所等待的时间也越长，证据被篡改的可能性就越大，证据的价值也就越低，同时要制定适当的响应规划。准备针对具体案例制定响应计划计算机犯罪事件的侦查通常是需要特殊技能的复杂行为，如果没有经过事先规划并熟练操作，很可能带来很多问题。因此必须针对每一个电子犯罪

2、事件目前主要是计算机或网络安全性突发事件制定具体调查的问题框架和响应策略。准备需解决的问题对待任何一次计算机犯罪事件，第一响应人员，即计算机犯罪的现场取证人员都必须通过调查回答这样一些问题，比如：1、计算机案件发生的时间：何时发现的，何时开始的，持续了多长时间？2、计算机案件发生的地点：范围是本地，局域网，远程？3、涉及人员范围？4、案件的过程，怎样实施的？5、案件的严重程度怎样？6、法律方面的问题是什么？7、如何进行修复并避免以后再次发生？准备响应计划制定的需求为了尽快找到上述问题的答案，就需要制定一个响应计划。针对如何找到上述问题的答案，响应计划必须规定具体的方法。如何制定响应计划呢？响应

3、计划应该经过充分慎重的考虑而产生，应根据危害的严重程度做出规范的响应。在响应计划中，应明确规定涉及哪些人员，包括主管人员；应详细说明进行调查所需的程序和设备；在事件管理中，应明确规定犯罪事件发生时需遵循的程序。准备确认犯罪事件报告取证人员首先应该对犯罪事件报告进行确认。主要是对事件进行响应之前的考察，需要搜集尽可能多的信息；不要相信任何人，检验每件事；确定危害的严重性和适当的响应，同时保持不连接状态对可疑行为进行评估；对发生的情况、发生方式、严重程度和相关人员进行诊断确定行动过程；确定响应的破坏性，并进行响应。准备取证过程的准备阶段首先，明确案例调查对象。其次，尽早明确取证目标。第三，根据犯罪

4、案例的实际情况准备相应的取证工具及设备，这包括各种软件和硬件工具。第四：审查响应计划中取证需遵循的程序和步骤，并根据现场的实际情况做出适当的调整。准备设备准备取证人员在制定响应计划之后，接下来应该做的工作就是准备取证的设备，根据目前的技术状况，取证设备主要分为以下几种：1取证拷贝机2计算机取证勘查箱3硬盘拷贝光盘准备保护现场取证人员到犯罪现场时若发现计算机等电子设备正在运行，要根据实际情况立即决定是否关机。为避免计算机等电子设备运行时破坏证据，应立即拔掉电子设备的电源线，一般不直接关闭电子设备的电源开关，以避免启动自毁程序或引爆事先安装的炸弹。如果当前的电子设备是一些重要网络系统的关键设备，要

5、考虑到关机可能会造成更大损失。准备保护现场根据实际的现场情况，做如下的工作(1)现场录相、照相，记录现场的原始状态，记录各设备之间的连线状态以及正在运行的计算机屏幕上的显示信息，如果正在运行的程序是在格式化硬盘或删除数据，立即切断电源；(2)对正处于编辑或显示状态的文本、图像证据，应尽可能立即打印输出，并注明打印时间、打印机型号等；(3)制作现场笔录，绘制现场图；准备现场勘查勘查现场的电子设备，分析电子证据的可能存储位置，下面是常见的电子设备中的数字证据。（1）计算机系统（Computer Systems）硬盘及其他存储介质（2）自动应答设备(Answering Machines)（3）数码相

6、机(Digital Cameras)（4）手持电子设备(Handheld Devices)（5）连网设备（6）寻呼机(Pagers)（7）打印机(Printers)（8）扫描仪(Scanners)（9）其他电子设备准备概述在计算机证据的整个取证过程中，取证设备能够实现对各类信息存储介质进行全面、彻底、快速地取证。使用取证设备取得的证据具有较高的证明力。设备硬盘拷贝机MD5硬盘拷贝机MD5硬盘拷贝机是美国Logicube公司根据司法部门的特殊需求而设计的新型计算机硬盘取证设备，2004年3月上市，目前已开始应用于各国司法部门。MD5拷贝机的拷贝速度非常高，经实际测试，其最高速度达到3GB/分钟。

7、优势：启动时间短，拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、USB只读保护。不足：实际完成时间较长。设备硬盘拷贝机Sonix硬盘拷贝机Sonix是美国Logicube 公司研制的民用型硬盘拷贝机，2004年6月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。Sonix拷贝机的拷贝速度最高可达3.3GB/分钟，复制完成80GB硬盘仅需30分钟。优势：启动时间短，拷贝速度快、拷贝方式多，SATA硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。不足：拷贝精度同司法专业性相比略显差距，双向拷贝使用不当可能造成意外损失。设备硬盘拷贝机ICS Solo2 Forensics硬盘

8、拷贝机Solo2 Forensics是美国ICS公司研制的司法专用型硬盘取证设备。从疑犯硬盘到证据硬盘的拷贝速度可以达到1.8GB/分钟，具有CRC32校验机制，可确保数据优势：拷贝精度高、SCSI接口拷贝、坏扇区跳过、1.8寸硬盘拷贝、硬盘转接卡品种多。不足：启动时间相比较长，灵活性不够。位对位的准确。设备便携专用机网警案件取证勘查专用机（美亚柏科）接口齐全，具有数据获取和分析功能，数据只读。Image MASSter Road MASSter（ICS）优势：硬盘直接拷贝功能，可代替拷贝机，更换硬盘无需关机。不足：CPU、内存等计算机整体配置低，屏幕小。电子证据取证平台（天宇晶远）优势：拷贝

9、速度快，拷贝方法多样，可解决电子证据种类多。不足：设备较多，携带不便。设备接口套件虽然目前的硬盘取证机和便携式取证箱功能比较齐全，而且大多数也不再需要专门的接口套件，但是还是有一些取证设备需要专门的接口套件，因此我们还是需要了解一下一些接口套件的相关知识。Omin电缆和适配器Desktop WritePROtect适配器设备概述计算机犯罪具有高科技性，犯罪分子可能利用各种高科技手段对证据进行操作，如将计算机、文档或是其它资料进行加密。因此，这就要求计算机犯罪的取证人员必须了解加密、解密的基本知识和常用的一些密码破解的方法，以便能够进入系统发现证据、找到证据，为后面的各项工作打下良好的基础。在这

10、一节我们就重点来探讨密码破解的内容。密码破解密码破解原理密码学根据其研究的范畴可分为密码编码学和密码分析学。密码编码学和密码分析学是相互对立，相互促进并发展的。密码编码学研究密码体制的设计，对信息进行编码表示实现隐蔽信息的一门学问。密码分析学是研究如何破解被加密信息的学问。密码分析者之所以能够成功破译密码，最根本的原因是明文中有冗余度。密码破解一般密码破解方法攻击或破译密码的方法主要有三种:穷举攻击统计分析攻击数学分析攻击密码破解穷举攻击法所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文或者用一个确定的密钥对所有可能的明文进行加密，直至得到所获得的密文

11、只要有足够的时间和存储空间，穷举攻击法原则上是可行的但在实际中，计算时间和存储空间都受到限制，只要密钥足够长，这种方法往往不可行密码破解统计分析攻击法统计分析攻击是指密码分析者通过分析密文和明文的统计规律来破译密码。密码分析者对截获的密文进行统计分析，总结出其间的统计规律，并与明文的统计规律进行比较，从中提取出明文和密文之间的对应或变换信息。密码破解数学分析攻击法数学分析攻击是指密码分析者针对加、解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。密码破解分布式网络密码破解网格计算是一种把需要进行大量计算的工程数据分割成小块，由多台计算机分别计算，在上传运算结果后再统一合并得出数

12、据结论的技术。整个计算是由成千上万个“节点”组成的“一张网格”。这样组织起来的“虚拟的超级计算机”有两个优势，一个是数据处理能力超强；另一个是能充分利用网上的闲置处理能力。分布式网络的设计思想分布式网络的密码破解密码破解密码破解的应用部分1CMOS密码2Windows密码3文件处理软件密码4压缩文件密码5采用“*”显示的密码6ICQ密码密码破解概述计算机犯罪的犯罪分子在成功的实施犯罪行为之后，为了逃避司法机关的打击，必然会尽可能的毁灭犯罪证据，对计算机等电子设备中的数据进行删除，使得侦查人员不能得到想要的数据。数据在删除或丢失之后，为了向法庭提供可靠、强有力的证据，取证人员就必须对计算机证据的

13、相关数据进行恢复，这也促使了数据恢复技术的产生和发展。数据恢复数据丢失的原因在现实生活中，造成数据丢失的原因有很多，既有客观的自然因素，也有人为因素。1客观的自然因素2人为因素3数据丢失后必须注意的问题数据恢复数据恢复的基本原理1什么是数据恢复数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据，即恢复至它本来的“面目”。数据存储的相关知识回顾一些数据存储的知识、硬盘的数据以及操作系统的启动流程数据恢复使用各种恢复软件和工具对丢失或不可访问的数据进行再现的过程。数据恢复数据恢复的方法目前，常用的数据恢复方法有以下三种利用系统自身的还原功

14、能恢复数据使用专业的数据恢复软件恢复数据软件和硬件相结合进行数据恢复这些方法各有各的优点，何时使用哪种方法，要根据数据被破坏的程度和数据恢复的目的，具体问题具体分析。数据恢复常用的数据恢复工具1On track公司的EasyRecovery2FinalData3Search and Recover数据恢复数据恢复案例MBR修复实例DBR及FAT恢复实例DATA恢复实例数据恢复概述计算机证据的取证人员在破解密码进入计算机系统和将犯罪分子删除的数据恢复之后，下面要做的工作就是对计算机等电子设备或网络中的数据进行收集了，然而，计算机证据不同于传统证据的众多特点会对计算机证据的收集、保存等各个环节产生

15、很大的影响，使得计算机证据的收集和保存有其独特的特点。证据收集/保存/提供计算机证据的收集计算机证据的收集与传统证据有很大的差异，这主要体现在以下几个方面：1对计算机证据收集人员的相关要求2计算机证据的收集对象及范围3计算机证据收集须注意的事项证据收集/保存/提供计算机证据的保存与提供任何一个证据在收集成功之后，都要面临如何进行妥善保存的问题，主要是要确保证据在保存的过程中没有被修改，仍然可以对犯罪事实进行强有力的证明。为了确保计算机证据的真实性和完整性，对计算机证据这种不同于传统证据的证据形式，其保存的重要性、特殊性及保存方法与传统证据也有很大的不同。1保证证据的真实性和完整性的重要性2计算

16、机证据不同于传统证据保存的特殊性3证据保全方法和注意事项证据收集/保存/提供概述计算机证据在收集、保存之后，接下来就是要对其进行鉴定、分析与推理主要是从中分析与犯罪有关的信息，为准确的锁定犯罪分子提供依据这也是整个计算机取证过程中最为重要的部分。证据检验/分析/推理计算机证据的鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证的难点之一是证明取证人员所搜集到的证据没有改变过，而计算机证据又恰恰具有易修改和易损毁的特点。采用形成所谓的证据监督链的技术和方法，电子指纹技术是常用的技术，它也被称为数字指纹，其对象可以是单个的文件，也可以是整张软盘或者硬盘。时间戳也是取证工作中非常有用的技术，

17、必将成为一种有效的证据鉴定方法。它是对数字对象进行登记来提供注册后特定事物存在于特定日期的时间和证据。证据检验/分析/推理计算机证据的分析计算机证据的分析是整个取证过程的核心与关键。证据分析的内容包括：分析计算机的类型、采用的操作系统是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。该计算机证据要与其他证据相互印证、相互联系起来综合分析。同时，要注意计算机证据能否为侦破该案提供其他线索或确定可能的作案时间和罪犯。证据检验/分析/推理计算机证据的推理计算机证据在获得、鉴定和分析结束之后，接下来就是对计算机证据进行合理的推理，这主要是指根据已经获得的

18、证据和初步分析的结果来推测犯罪分子的犯罪动机、犯罪手段以及可能造成的严重危害，以便为下面的证据跟踪提供依据。在计算机证据的推理这个阶段，要求相关的取证分析人员具备扎实的理论知识和丰富的实践经验，能够对计算机证据进行合理的推理，得出正确的结果。证据检验/分析/推理证据跟踪随着计算机犯罪技术手段的升级，事件发生后对目标系统的静态分析已经无法满足要求，发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合，进行动态取证。整个取证过程将更加系统化并具有智能性，也将更加灵活多样。对于在取证期间犯罪还在不断进行的系统，采用入侵检测系统对网络攻击进行监测是十分必要的，也可以通过采用相关的设备

19、或设置陷阱跟踪捕捉犯罪嫌疑人。证据检验/分析/推理结果提交打印对目标系统的全面分析和追踪结果，然后给出分析结论：系统的整体情况发现的文件结构、数据、作者的信息对信息的任何隐藏、删除、保护、加密企图在调查中发现的其他相关信息标明提取时间、地点、机器、提取人及见证人以证据的形式按照合法的程序提交给司法机关证据检验/分析/推理计算机证据的有效性计算机证据的有效性，即合法性问题，是指计算机证据是否合法，能否成为法庭上认定犯罪事实的有力证据以及法官是否会接受提供的计算机证据的问题。计算机证据要想成为法庭上的有效证据，必须具备以下各点：第一，计算机证据的收集主体必须符合有关法律的规定。第二，证据的形式必须

20、符合有关法律的规定。第三，证据的提取方法、收集程序、分析和使用过程必须符合法律的有关规定，不能违反法律的规定，不能侵犯他人的合法权利。第四，分析得到的证据，必须具有关联性和客观性。证据检验/分析/推理计算机取证与分析鉴定工具目前的取证分析工具倾向于同时具有数据收集及分析的功能，常用的取证分析工具主要有1 EnCase2FTK3The Coroners Toolkit（TCT工具包）工具包）4Forensix5New Technologies inc.（NTI）证据检验/分析/推理本章小结本章主要是介绍计算机取证的整个流程是如何进行的，首先是提出针对一个具体的计算机犯罪案例应该先制定详细的响应计

21、划，对调查对象、取证目标以及取证的程序进行详细的说明。响应计划制定之后，取证人员应保护犯罪现场并对犯罪现场进行认真的勘查，以熟悉现场的各种环境和了解现场的各种电子设备的使用，为下面的取证做好准备工作。介绍了计算机取证与分析鉴定设备，主要分为硬盘拷贝机、便携式专用机和接口套件介绍了密码破解的基本原理、一般密码的破解方法和分布式密码的破解思想，在密码破解的应用部分则是具体介绍了经常使用的CMOS密码、Windows密码、文件处理软件密码、压缩文件密码、采用星号显示的密码以及ICQ密码的破解方法。总结本章小结介绍了数据恢复的相关知识，主要是数据丢失的原因、数据之所以能够恢复的原理、数据恢复的方法和经

22、常使用的数据恢复的软件并给出了数据恢复的案例。探讨了计算机证据的收集、保存等问题，对计算机证据的收集主体、收集范围和注意事项进行了详细的说明，而计算机证据的特殊性使得它的保存也与传统证据不同，本章对此也进行了叙述。在最后一节是对计算机证据的鉴定、分析、推理、跟踪、结果提交和证据的有效性等内容进行了论述，在本章的最后则是介绍了几种经常使用的分析工具。总结思考问题1.计算机取证的响应计划应该包括哪些内容？2.密码破解的方法主要有哪几种，各有什么特点？3.分布式网络密码破解系统具有什么特点？4.在自己的计算机上设置CMOS密码，使用书中的破解方法进行破解，关于破解CMOS密码，还有哪些更好的方法？5 数据丢失的原因有哪些，数据丢失之后我们应该注意哪些问题？6.计算机硬盘分为哪五部分，各部分完成怎样的功能？7.目前常用的数据恢复方法主要有哪几种，各适用于什么情况下的数据恢复？8.在计算机证据的收集过程中，须遵循什么样的规则？9.在计算机证据的保全过程中，须遵循什么样的规则？10.计算机证据的鉴定主要解决怎样的问题，应该使用什么样的技术？11.计算机证据分析的内容是什么？单主机的取证过程是如何进行的？12.计算机证据要想成为法庭上的有效证据必须具备哪些条件？思考