由於電子證據的特殊性,計算機取證的原則步驟有其自身的特點,不同於傳統的取證過程,在取證過程中要特別注意。
實施計算機取證要遵循以下基本原則:
盡早蒐集證據,並保證沒有受到任何破壞,如銷毀或其他方式的破壞,也不能被取證程式本身破壞。
必須保證取證過程中計算機病毒不會被引入目標計算機。
必須保證「證據連續性」(chain of custody),即在證據被正式提交給法庭時必須保證一直能跟蹤證據。
整個檢查、取證過程必須是收到監督的。
必須保證提取出來的可能有用的證據不會受到機械或電磁損壞。
被取證的物件如果必須執行某些商務程式,要確保該程式的執行只能影響一段有限的時間。
在取證過程中,應當尊重不小心獲取的任何關於客戶**人的私人資訊,不能把這些資訊洩漏出去。
這些基本原則對計算機取證的整個過程有指導意義。計算機取證過程一般可劃分為三個階段:獲取、分析和儲存。
獲取階段儲存計算機系統的狀態,以供日後分析。這與從犯罪現場拍攝**、採集指紋、提取血樣或輪胎類似。由於並不知道哪些資料將作為證據,所以這一階段的任務就是儲存所有的電子資料,至少要複製硬碟上所有已分配和未分配的資料,這就是通常所說的映像。
分析階段取得已獲得的資料,然後分析這些資料,確定證據的型別。尋找的證據主要有三種:
使人負罪的證據,支援已知的推測
辨明無罪的證據,同已知的相矛盾
篡改證據,此證據本身和任何推測並沒有聯絡,但是可以證明計算機系統已被篡改而無法用來作證。
此階段包括檢查檔案目錄內容以及恢復已刪除的內容。在這一階段應該用科學的方法根據已發現的證據推出結論。
陳述階段將給出調查所得結論及相應的證據,這以階段應依據政策法規行事,對不同的機構採取不同的方式。比如,在乙個企業調查中,聽眾往往包括普通辯護律師、智囊團和主管人員,可以根據企業的保密法規和公司政策來進行陳述。而在法律機構中,聽眾往往是法官和陪審團,所以需要律師事先評估證據。
根據這三個階段及其注意事項,可以看出,計算機取證工作一般按照一下步驟進行:
保護目標計算機,避免發生任何改變、傷害、資料破壞或病毒感染。
搜尋目標檔案系統中的所有檔案。包括現存的正常檔案,已經被刪除但仍存在於磁碟上(即還沒有被新檔案覆蓋)的檔案,隱藏檔案,受到密碼保護的檔案和加密檔案。
盡可能全部恢復所發現的已刪除檔案。
最大程度顯示作業系統或應用程式使用的隱藏檔案、臨時檔案和交換檔案的內容。
如果可能且法律允許,訪問被保護或加密的檔案內容。
分析在磁碟的特殊區域中發現的所有相關資料。
列印對目標計算機系統的全面分析結果,以及所有可能有用的檔案和被挖掘出來的檔案資料的清單。然後給出分析結論,包括系統的整體情況,已發現的檔案結構、被挖掘出來的資料和作者的資訊,對資訊的任何隱藏、刪除、保護和加密企圖,以及在調查中發現的其他的相關資訊。
給出必需的專家證明和(或)法庭上的證詞。
計算機取證
計算機取證目標 計算機取證要解決的問題是 找出是誰 who 在什麼時間 when 在那裡 where 怎樣地 how 進行了什麼 what 非法活動。以網路入侵為例,具體而言,計算機取證需要解決以下幾個問題 計算機證據 計算機證據幾乎無處不在,但是主要來自 3 個方面 計算機主機系統方面 網路方面 ...
計算機的一般啟動過程
記錄在部落格,僅作為學習歷程筆記。忽略作業系統差異性,作業系統可分為5大型別 1 批處理系統 mvx dos vse 2 分時系統 windows unix mac os xenix 3 實時系統 rt linux rtos vrtx 4 網路作業系統 windows nt netware os 2...
計算機取證技術
計算機取證技術 供稿人 潘巨集 隨著計算機技術的成熟與廣泛應用,以計算機資訊系統為犯罪物件和以計算機為犯罪工具的各類新型犯罪活動越來越猖獗。計算機取證是將計算機調查和分析技術應用於對存在於計算機和相關外圍裝置中 包括網路介質 的潛在的 有法律效力的電子證據的確定與獲取。目前計算機取證技術已成為世界各...