计算机取证与司法鉴定(第二版)课件01-概论.ppt

1、教材计算机取证与司法鉴定.清华大学出版社,2009,2.(978-7-302-19345-6)主编：麦永浩 孙国梓 许榕生 戴士剑课程主要内容1 计算机取证与司法鉴定理论基础(6 学时)2 Windows/Unix/Linux系统的计算机取证和司法鉴定(8 学时)3 网络取证与司法鉴定(6 学时)4 木马取证与司法鉴定(4 学时)5 手机取证与司法鉴定(4 学时)6 计算机取证与司法鉴定案例(4 学时)主讲：孙国梓2022年10月29日主要内容计算机取证与分析鉴定的相关概念计算机取证与分析鉴定的历史、发展计算机取证与分析鉴定内容计算机取证与分析鉴定模型、过程及策略计算机取证与分析鉴定面临的难题

2、和解决方法数字证据的定义数字证据(Digital Evidence)：法庭上可能成为证据的以二进制形式存储或传送的信息。原始数字证据(Original Digital Evidence)：查封犯罪现场时，获得的相关物理介质及其存储的数据对象。数字证据副本(Duplicate Digital Evidence)：原始物理介质上获取的所有数据对象的精确拷贝。拷贝(COPY)：独立于原始物理介质，精确再现数据对象中的信息。相关概念数字证据的定义目前，国内法学界多数学者将数字证据定义为：在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。我们将数字证据理解为：在计算机等电子设

3、备中存在或运行中产生的以及在网络中存在和产生的以其记录的内容来证明案件事实的电磁记录物。相关概念数字证据的特点数字证据作为一种可以证明案件事实的证据形式和法庭上的证据，与传统证据一样，数字证据必须是：可信的准确的完整的使法官信服的符合法律法规，能够为法庭所接受的相关概念数字证据的特点与传统证据相比，数字证据具有如下特点：无形性高科技性易破坏性表现形式的多样性相关概念数字证据的来源主要有两个方面：一是来自主机等电子设备的，另一方面是来自网络的。数字证据主要来源于主机系统，包括系统日志文件、备份介质、入侵者残留物（如程序、脚本、进程、内存映像）、交换区文件、临时文件、硬盘未分配的空间(一些刚刚被删

4、除的文件可以在这里找到)、系统缓冲区、打印机及其它设备的内存等。来自网络的数字证据包括防火墙、入侵检测以及其它网络工具产生的记录和日志信息等。相关概念计算机取证的定义现在很多人将计算机取证也称为数字取证、电子取证，但严格意义上来讲，这种提法是不恰当的。英文翻译：计算机取证的翻译是ComputerForensics、数字取证的翻译是DigitalForensics、电子取证的翻译是ElectronicForensics，因此三者是有区别的三者的取证主体对象是不完全相同的：计算机取证的主体对象是计算机系统内与犯罪案例有关的数据信息；数字取证的主体对象是存在于各种电子设备和网络中的数字化的与犯罪案例

5、有关的数据信息；而电子取证的主体对象是指存储的电子化的、能反映有关案件真实情况的数据信息。相关概念计算机取证的定义关于计算机取证，目前还没有权威组织给出一个统一的定义，很多的专业人士和机构从不同的角度给出了计算机取证的定义。Judd Robbins是计算机取证方面的一位著名的专家和资深人士，他对计算机取证的定义如下:“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。计算机紧急事件响应和取证咨询公司New Technologies进一步扩展了该定义:“计算机取证是对计算机证据的保护、确认、提取和归档的过程”。中国科学院高能物理研究所研究员许榕生教授则认为，计

6、算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。相关概念计算机取证的定义以上的定义都有一个明显的共同点，取证的目标是计算机系统，然而，随着信息技术的发展，计算机取证的取证目标不再仅仅是计算机系统，还有网络系统和其它的电子设备因此，计算机取证是指通过收集计算机系统、网络系统以及其它电子设备中以数字化的信息编码形式出现的与案件有关的信息，对其进行保存、分析鉴定和出示，用来证明犯罪活动的过程。相关概念计算机取证的原则2000年3月，计算机证据国际组织IOCE着手规划关于获取数字证据的相关原则，依据1999年在伦敦召开的国际高技术

7、犯罪和取证大会，向其下属机构提交了一份报告，提出了一系列计算机取证的定义和原则。IOCE提交的报告中指出计算机取证应该遵守的一般原则：获取数字证据时，必须保证证据的不变性。进行原始证据处理的取证人员应该经过专业培训。所有与数字证据的获取、访问、存储、传送相关的处理都必须完全归档、妥善保存。个人在拥有与案例相关的数字证据时，必须对其所有在数字证据上所进行的相关操作负责。任何代理机构，在负责提取、访问、保存或传送数字证据时都必须遵守这些原则。相关概念计算机证据的特点及对取证的影响计算机证据与传统证据最本质的区别，也是计算机证据最根本的特点就是计算机证据的记录方式的特殊性，其他特性都受这一根本特性的

8、影响。计算机证据的主要特性如下：计算机证据的信息与载体的可分离性和信息的高科技性计算机证据的系统依赖性脆弱性隐蔽性可挽救性相关概念计算机证据的特点及对取证的影响计算机证据的上述特点对取证和分析鉴定过程产生重大的影响，这主要体现在以下几个方面：计算机证据的收集过程需要较高的技术要求，需要取证人员具备较高的专业素质和技能。计算机证据的系统依赖性决定了收集证据时，不仅需要收集计算机证据，还需收集与系统稳定性及软件的使用等情况的证明。而计算机证据的可挽救性及隐蔽性则决定了收集证据的活动要全面、综合地进行，运用高科技手段检测是否有隐藏文件以及硬盘中是否有被删除的证据。计算机证据的高科技性决定了其收集手段

9、必然与传统证据的收集手段有很大的不同，主要分为数据恢复、数据搜索和解密、动态截获等技术。计算机证据的诸多特点导致了它的取证过程与标准也与传统证据不同，这就要求计算机证据的整个取证过程需有更严格的标准予以规范。相关概念计算机证据分析鉴定的定义当计算机证据收集完毕后，对其进行分析鉴定就成为一项必不可少的工作。计算机证据的鉴定，就是针对收集和保全的计算机数据进行可信性的证明。而计算机证据的分析主要是对已经经过可信性和完整性证明的计算机数据通过查找其数据来源、数据操作的目的、可能造成的危害等方面来寻找犯罪分子的过程。计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。相关概念计算机证据的技术鉴

10、定计算机证据的技术鉴定所承担的责任是对计算机证据的各方面技术状况进行全面的检查，包括对信息真实、可靠、完整、可读性的认定和对文件载体性能的检测。一般从以下几方面进行：可读性鉴定：目的在于确认计算机证据中的内容可以正常读出，没有丢失和差错。可靠性鉴定：主要是针对计算机证据内容的真实性与完整性进行鉴定。无病毒鉴定：确保计算机证据没有受到病毒的侵害。载体状况鉴定：针对计算机证据不同的承载载体进行鉴定，确保承载载体不会出现任何损伤。相关概念计算机证据分析鉴定的标准和方法与书证等其它传统证据一样，计算机证据分析鉴定的最终结果也同样表现为对保存与销毁的选择和对留存证据保管期限的确定。计算机证据的特殊性使得

11、它的保管期限标准、鉴定的标准和方法等各方面都与传统证据有很大的不同，因此应该结合各国的法律针对其做出相应的规定。相关概念计算机证据的归档在计算机证据的取证与分析鉴定过程的最后阶段，应整理最终结果供法庭作为诉讼的证据，这主要涉及对取证的内容、专家分析的结果和评估报告等信息进行归档处理。由于计算机证据的特殊性，在处理计算机证据时，为保证法庭上的可信度，必须对各个步骤的情况进行归档以使证据经得起法庭的质询。相关概念计算机犯罪调查的简史二十世纪四十年代，随着计算机首先在军事和科学工程领域的应用，计算机犯罪已经开始出现，随着计算机技术的迅猛发展，计算机逐步应用到各行各业，以计算机犯罪为主的电子犯罪也呈现

12、越来越多的势头。到了二十世纪七十年代，在美国，人们已经意识到，由于计算机证据不同于传统证据的特殊性，应该把利用计算机进行的计算机入侵和计算机诈骗作为一种新的犯罪形式，并通过了相关的法律。二十世纪八十年代，加拿大、澳大利亚、英国等国政府相继制订了类似的法律。上世纪九十年代，Internet 的商用化及万维网（World Wide Web，简称WWW）的发展使Internet得到了广泛的普及，大量的用户都访问它。全球网络中的犯罪焦点也超越了简单的计算机入侵，犯罪行为更加具有破坏性。相关概念计算机犯罪调查的简史针对日益增长的计算机犯罪，二十世纪八十年代到九十年代早期，美国执法机构开始合作制定培训计划

13、，以增强自己处理这些问题的能力。接下来，美国及其他国家相继建立了国家、区域中心和本地执法部门内部的数字证据的实验室，形成了金字塔式的结构。第一响应员具有基本的收集和检验技能来处理大多数案件，区域实验室的处理更高级的案件，处理大多数具有挑战性案件的国家级中心负责研究、开发可以在区域和本地水平使用的工具。取证技术和电子犯罪的高速发展，已经促使出现了新的职业需求：数字犯罪现场技术员收集数字证据的人员；检验员处理已获得的证据；数字调查员分析所有的现存证据并得出案件分析结果。相关概念几个典型的计算机犯罪案例案例一：1995年，国外的某银行遭到一群苏骇客入侵，损失一千万元。除了金钱的损失以外，其后遗症是，

14、有六家对手银行，立刻锁定该银行的前二十大客户，游说他们转换银行，这些银行所持的理由是他们的计算机系统比较安全。相关概念几个典型的计算机犯罪案例案例二：两个中国大陆的网络骇客入侵银行的网络系统，窃取人民币260,000元。据报导指出，这两个骇客是郝氏兄弟，哥哥郝某，是某工商银行的会计，管理该银行的网络系统。他们用不同的户名在该银行的某分行开了十六个帐户，并且在银行计算机终端机植入一个控制的装置。后来，他们利用该装置，将虚拟存款720,000人民币电汇进入银行帐户内。之后，他们成功地从该银行的八个分行领出真实的钞票人民币260,000元。后来这两名骇客被江苏省的杨州法院判处有罪。相关概念计算机取证

15、与分析鉴定发展的历史国外的研究概况国内的研究概况历史、发展目前的发展情况当前的技术状况1）单机与其它电子设备取证2）网络取证3）分析鉴定技术一些常用的取证工具1）实时响应工具2）取证复制工具3）取证分析工具历史、发展未来发展的趋势取证的领域不断扩大，取证的工具向着专业化和自动化发展与其他理论和技术的融合取证的标准化分析鉴定技术的发展趋势历史、发展电子科学与法学的结合电子科学与法学的结合计算机取证与分析鉴定技术的发展历程告诉我们：这门科学是为了打击计算机犯罪，获取法庭上的计算机证据而发展起来的，然而要想成为法庭上可以接受的认定犯罪事实的证据，计算机证据就必须具有足够的法律效力，并且计算机证据是被

16、法律认可的证据形式。内容计算机取证与分析鉴定的产生背景计算机犯罪是最近才出现的犯罪行为，且具有很多与传统证据不同的特点，这给计算机证据的获取、分析与鉴定带来了极大的挑战。计算机取证学(computer forensics)作为计算机科学、法学和刑事侦查学的交叉学科应运而生。世界各国相继展开了这方面的研究工作，随着计算机和网络技术的发展，取证领域已经由计算机主机系统扩大到网络系统以及其它电子设备内容计算机证据的法律效力国外对计算机证据作为证据的认定联合国电子商务示范法第九条第一款指出：在任何法律程序中，在应用有关证据的任何规则时，如果涉及一条数据电文作为证据的可接受性，就不能以它仅仅是一条数据电

17、文为理由予以拒绝，更不能在当它是提供者在合理情况下所能提供的最好证据时，仅以它不是原初形式为理由加以否认。美国、加拿大、新加坡等国的立法机关都对计算机证据进行了立法来对计算机证据的取证、分析鉴定等工作加以规范，而且这些国家的法律基本上是把计算机证据作为一个独立的证据种类。内容计算机证据的法律效力我国的相关法律对计算机证据的认定我国在1991年的民事诉讼法中，第六十三条关于证据的种类里，只规定了七种证据类型，即：物证、书证、视听资料、证人证言、当事人陈述、鉴定结论以及勘验检查笔录。而其余两大诉讼法的情况也是如此，这使得法庭在采用计算机证据这种证据形式时存在一定的法律空白。最高人民法院关于民事诉讼

18、证据的若干规定（2001年）作为民事证据的权威司法解释，其第二十二条对电子证据做出了如下规定：“调查人员调查收集计算机数据或者录音、录像等视听资料的，应当要求被调查人提供有关资料的原始载体。”最高人民法院关于行政诉讼证据若干问题的规定（2002年）其第十二条规定：“根据行政诉讼法第三十一条第一款第（三）项的规定，当事人向人民法院提供计算机数据或者录音、录像等视听资料。”我国1999年的合同法第十一条规定：书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。可见，这些法律都对计算机证据做出了相应的认定，认为计算机证据具有法律效力。内容

19、计算机证据的法律定位视听资料说书证说多种类型说独立证据说计算机证据应该是一种独立的证据（1）书证与计算机证据有很大的区别（2）有些计算机记录并不具备可视听的特点（3）计算机证据不同于传统证据的特点决定了在证明力及真实性认定方面，计算机证据应有独特的审查判断标准内容计算机取证与分析鉴定的模型主机与其它电子设备取证与分析鉴定系统模型基本过程模型（Basic Process Model）事件响应过程模型(Incident Response Process Model)法律执行过程模型(Law Enforcement Process Model)过程抽象模型(An Abstract Process M

20、odel)网络取证与分析鉴定系统模型模型、过程及策略计算机取证与分析鉴定的过程 取证前的准备：制定响应计划，准备相应的设备、文件以及标准。保护现场和现场勘查：这一步主要是物理证据的获取，为下面的各个环节打下基础。获取证据：针对具体的现场环境，采用最合适的方法获得相关证据。鉴定证据：主要是针对证据的完整性进行验证。分析证据：对证据进行详细的分析与推理，这也是整个计算机取证与分析鉴定过程的核心和关键。进行追踪：根据分析结果进行动态跟踪。提交结果和归档：将结果进行整理并进行归档处理。模型、过程及策略计算机取证与分析鉴定的安全策略计算机证据的特殊性使得它的取证与分析鉴定的整个过程与传统证据有很大的不同

21、，为了确保计算机证据的有效性和可信性，计算机取证与分析鉴定需遵循以下的安全策略保留信息计划响应开展培训加速调查防止匿名保护证据模型、过程及策略面临的主要难题技术上面临的问题意识上面临的问题法律上面临到问题面临的难题和解决方法解决方法不断完善和发展计算机取证与分析鉴定技术加强相关人员取证和分析鉴定技能的培训加强计算机取证与分析鉴定的相关立法面临的难题和解决方法本章小结本章首先介绍了计算机取证与分析鉴定技术的基本概念，包括数字证据的定义、特点和来源，计算机取证的定义、原则以及其对取证的影响，分析鉴定的定义，然后对计算机取证与分析鉴定技术的历史、现状和未来的发展趋势进行了简要的回顾和展望，并且分析了

22、计算机证据实际应用中存在的法律难题及对策接着提出了计算机证据与分析鉴定的模型、过程和安全策略，重点对业内专家在二十世纪九十年代提出的五种典型的取证模型进行了论述最后对计算机取证与分析鉴定技术面临的技术上、意识上、司法上的难题进行了剖析，并提出了相应的解决方法总结思考问题1.数字证据的定义、特点和来源是什么？2.简述计算机取证的特点及对取证造成的影响。3.如何对计算机证据进行技术鉴定？4.计算机取证与分析鉴定技术未来的发展趋势主要有哪些？5.目前单机取证和网络取证主要有哪些技术手段？6.计算机取证与分析鉴定这门学科是在怎样的背景下产生的？7.针对目前计算机证据的法律定位进行讨论，您认为将计算机证据归为传统证据中的某一类或者是某几类的混合这一说法合适吗？为什么？8.试对主机取证的五种模型进行简述，并比较各种模型的优缺点。9.基于模糊专家系统的网络取证模型各个部件都完成哪些功能？10.计算机取证与分析鉴定整个过程是如何进行的？11.计算机取证与分析鉴定的安全策略有哪些？12.计算机取证与分析鉴定目前面临哪些主要问题？应该如何进行解决？思考