（中国人民公安大学）《痕迹鉴定》第12章-网络媒体痕迹鉴定.ppt

1、【中国人民公安大学】名师讲解全国特级教师 江新欢 博士教授痕迹物证鉴定痕迹物证鉴定计算机计算机痕迹物证痕迹物证司法鉴定司法鉴定计算机司法鉴定概述计算机司法鉴定概述1计算机司法鉴定方法计算机司法鉴定方法2计算机司法鉴定内容计算机司法鉴定内容3计算机司法鉴定文书制作计算机司法鉴定文书制作4计算机司法鉴定评价计算机司法鉴定评价 5知识目录知识目录 第一节第一节计算机司法鉴定概述计算机司法鉴定概述一、计算机司法鉴定概念o 几种计算机司法鉴定概念观点n 观点一：计算机司法鉴定是指在诉讼过程中对涉及计算机问题由法庭认可的人员作出的专业判断的活动。n 观点二：计算机司法鉴定是指依法取得有关计算机司法鉴定资格

2、的鉴定机构和鉴定人受司法机关或当事人委托，运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。一、计算机司法鉴定概念o 几种计算机司法鉴定概念观点n 观点三：计算机司法鉴定，其主要内容是运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定。计算机司法鉴定概念内涵o 鉴定的主体应具有一定的资格o 鉴定的客体主要为电子数据o 司法鉴定应符合规定的程序计算机司法鉴定：有计算机司法鉴定资质的鉴定机构与鉴定人，依法接受委托，并运用计算机理论和技术以及其它相

3、关的专门知识对与计算机相关案件的有关内容进行专业判断、鉴定，并出具司法鉴定意见的活动。二、计算机司法鉴定特点o 鉴定主体具有特定性与复合性o 鉴定客体具有动态性、隐蔽性、复杂性o 鉴定技术具有变化性o 某些鉴定结论形成具有局限性计算机司法鉴定特点的理解o 鉴定主体n 鉴定主体应具有法律、计算机以及其他相关专业知识o 鉴定客体n 电子数据易变化、易消失、隐蔽性强o 鉴定技术n 鉴定技术方法需要不断更新o 鉴定结论n 很多鉴定难以形成肯定结论三、计算机司法鉴定分类o 根据计算机系统的不同可分为：n 基于主机的司法鉴定n 基于网络的司法鉴定o 根据电子数据的形态可以分为：n 静态数据的鉴定n 动态数

4、据的鉴定三、计算机司法鉴定分类o 根据司法鉴定特点可分为：n 来源鉴定n 同一鉴定n 内容鉴定n 相似性鉴定n 功能鉴定n 损失鉴定n 复合鉴定 第二节第二节 计算机司法鉴定方法计算机司法鉴定方法一、计算机司法鉴定相关模型o 基本过程模型o 事件响应过程模型o 法律执行过程模型o 过程抽象模型o 其他基本过程模型o 保证安全并进行隔离（secure and isolate）o 对现场信息进行记录（record the scene）o 全面查找证据（conduct a systematic search for evidence）o 对证据进行提取和打包（collect and package

5、evidence）o 维护监督链（maintain chain of custody）事件响应过程模型o攻击预防（Pre-incident Preparation）o事件侦测（Detection of the Incident）o初始响应（Initial Response）o响应策略匹配（Response Strategy Formulation）o备份（Duplication）o调查（Investigation）o安全方案实施（Secure Measure Implementation）o网络监控（Network Monitoring）o恢复（Recovery）o报告（Reporting）o

6、补充（Followup）法律执行过程模型o 准备阶段（Preparation）o 收集阶段（Collection）o 检验阶段（Examination）o 分析阶段（Analysis）o 报告阶段（Reproting）过程抽象模型o 识别o 准备o 策略制定o 保存o 收集o 检验o 分析o 提交FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例FTK取证与分析实例 第三节第三节 计算机司法鉴定内容计算机司法鉴定内容本节主要内容o 来源鉴定o 同一鉴定o 内容鉴定o 相似性鉴定o 功能

7、鉴定o 损失鉴定o 复合鉴定一、来源鉴定 o 所谓来源鉴定，就是根据委托人提供的有关资料，确定机器或软件最初来源的鉴定。o 来源鉴定主要用来确定电子数据来源和违法犯罪者机器的地理位置。包括利用IP地址确定来源，利用MAC地址确定来源，利用电子邮件头部地址确定来源等。Email来源鉴定Email来源鉴定二、同一鉴定 o 同一鉴定指的是根据委托人提供的文档资料，确定文档是否为原始信息；或者根据提供的两份电子文档，确定其是否一致。三、内容鉴定 o 内容鉴定主要指鉴定文档内容的真实性、以及对秘密的、隐藏的数据信息进行发现、分析、判断和确定的工作。可以分为文档内容真实性鉴定、存储设备被破坏后的鉴定、加密

8、信息内容的鉴定等。四、相似性鉴定o 相似性鉴定指对两份软件或程序进行比对，检验软件在形成过程中是否存在相似性。相似性鉴定主要在知识产权领域采用。最常见的为软件“实质相似”鉴定。五、功能鉴定 o 主要是对计算机软件（主要指那些带破坏性的程序）的功能、特征进行分析、鉴定。六、损失鉴定 o 对网络犯罪中涉案资产损失进行评估。资产主要指案件涉及的计算机资产、包括无形资产和有形资产。七、复合鉴定 o 复合鉴定指涉及复杂事项的一些特殊鉴定。主要包括计算机会计鉴定、加密数据的鉴定、计算机证据链鉴定等。第四节第四节计算机司法鉴定文书制作计算机司法鉴定文书制作一、计算机司法鉴定文书制作概述 o 司法鉴定文书是司

9、法鉴定机构和司法鉴定人依照法定的条件和程序、运用科学技术和专门知识对诉讼中涉及的专门性问题进行分析，鉴定和判断后出具的记录和反映司法鉴定过程和司法鉴定意见的书面载体。o 计算机司法鉴定文书分为两大类：n 计算机司法鉴定意见书n 计算机司法鉴定报告两种鉴定文书的比较o 计算机司法鉴定意见书是司法鉴定机构和司法鉴定人对委托人提供的电子数据相关材料进行检验、鉴别后出具的记录司法鉴定人专业判断意见的文书。o 计算机司法鉴定报告书是司法鉴定机构和司法鉴定人对委托人提供的电子数据相关材料进行检验后出具的客观反映司法鉴定人的检验过程和检验结果的文书。二、计算机司法鉴定文书主要内容o 封面部分o 正文部分o

10、附件部分 正文部分主要内容o 标题:写明司法鉴定机构的名称和委托的事项。o 编号:写明司法鉴定机构缩略名、年份、专业缩略语、文书性质缩略语及序号。o 基本情况:写明委托人、委托鉴定事项、受理日期、鉴定材料、鉴定日期、鉴定地点、在场人员、被鉴定人等内容。o 检案摘要:写明委托事项涉及案件的简要情况。o 检验过程:写明鉴定的实施过程和科学依据，包括检材处理、鉴定程序、所用技术方法、技术标准和技术规范等内容。正文部分主要内容o 检验结果:写明对委托人提供的鉴定材料进行检验后得出的客观结果o 分析说明:写明根据鉴定材料和检验结果形成鉴定意见的分析、鉴别和判断的过程o 鉴定意见:应当明确、具体、规范，具

11、有针对性和可适用性o 落款:包括司法鉴定人签名处预留空白、司法机构盖章预留空白、写明司法鉴定人的执业证号、文书制作日期等。此处必须由实际参加案件鉴定的有计算机鉴定职业资格的鉴定人员签名，盖鉴定机构公章方有效o 附注:此处写明司法鉴定文书中需要解释的内容。如，检验材料方式是否随鉴定报告一起退回的说明三、计算机司法鉴定文书制作过程o 内容形成o 文书打印o 文书装订o 加盖印章与签字 第五节第五节 计算机司法鉴定评价计算机司法鉴定评价一、计算机司法鉴定评价意义 o 为确保计算机司法鉴定工作符合国家相关法律法规，实现诉讼活动经济有效运行，要求计算机司法鉴定过程和结果达到一定质量水平。为了达到此目的，有必要建立一套控制计算机司法鉴定的控制机制，这种机制核心是计算机司法鉴定的评价。二、计算机司法鉴定评价主要内容o 鉴定人员的评价o 鉴定时间的评价o 鉴定标准的评价o 鉴定程序的评价o 司法文书的评价