电子数据取证 一、电子数据取证概述 (一)电子数据取证的概念电子数据取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。取证对象包括硬盘、软盘、CDDVD、PDA、手机、存储卡等各种电子数据的存储介质。 (二)电子数据的特点电子数据的出现,是对传统证据规则的一个挑战。它具有与传统证据有别的一些特点: 计算机数据无时无刻不在改变。 计算机数据不是肉眼直接可见的,必须借助适当的工具。 搜集计算机数据的过程,可能会对原始数据造成严重的修改。 电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。 (三)电子数据取证的基本流程总体上可分为两个阶段:现场勘查阶段和证据分析阶段 现场勘查阶段:主要任务是获取可能的物理证据,如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。 证据分析阶段:是对获取的存储设备进行深入检查,发现可能的电子证据并生成报告,以便提交给法庭作为诉讼证据。电子数据取证的基本流程具体可分为七个步骤 1、取证准备取证人员在前往现场进行勘查取证之前,必须做好充分的准备工作。
包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的对象可能包括哪些等。根据所了解的案情,准备前往现场的勘查人员和勘查设备。 电子数据取证的基本流程 2、证据识别识别现场可能包含证据的设备,如嫌疑人的计算机、打印机、存储介质(软盘、光盘、移动硬盘、U盘、CF卡)、其它电子设备(如PDA、手机、数码相机)。需要注意的是,现在存储介质的形状样式越来越多样化,如U盘,可以做成各种样式,应该注意识别这些被“隐藏”起来的证据。 3、证据收集收集现场发现的证物并做好记录。 电子数据取证的基本流程 4、证据固定及获取证据固定的目的,是要保护原始证据不被破坏。如当现场的计算机处于开机状态时,内存信息、屏幕信息、进程信息等关机后就会丢失的易丢失证据,需要将其提取出来进行保存,然后再关机。对于硬盘数据等非易失性数据,也须用硬盘复制机复制下来以便后续分析,从而避免硬盘硬件出现故障或硬盘中的数据被篡改。 电子数据取证的基本流程 5、证据保存证据保存是将获取的物证进行封装,以便存储和运输。电子证物的封装除了要考虑通常的防潮防震以外,部分证物还应注意防静电或进行信号屏蔽,如开机状态的手机,应立即放入信号屏蔽盒中,以避免新短信或电话呼叫导致覆盖手机内存或SIM卡中的原有信息。
电子数据取证的基本流程 6、证据分析证据分析过程是借助取证分析软件对获取的电子证据进行深入分析,挖掘出潜在的犯罪证据和线索。功能比较综合的取证软件如、FTK、取证大师等。 7、生成报告将取证大师结果生成符合规定的报告形式,取证软件本身一般都提供报告的制作和导出功能。 电子数据取证的基本原则 不损害原则 避免使用原始证据 记录所做的操作 遵循相关的法律法规 二、现场勘查流程和注意事项1、取证准备现场勘查前的准备主要需考虑以下几方面的问题: 由谁前往现场? 携带哪些设备? 记录哪些信息?对于调查人员来讲,人身安全是最重要,了解现场所在的位置有助于保障人员安全和证据安全。因此案发地点相关因素必须得到充分的考虑,如:现场是私人公寓还是公共场所的网吧,搜索范围有多大,是否有其他安防措施等。 1、取证准备现场勘查过程需要记录的信息可制成一个清单列表: 现场布局图 现场人员的详细信息(尤其是计算机设备周围的人员) 计算机设备的详细信息(如制造商、型号、序列号等) 计算机连接的外部设备的详细信息 嫌疑人(或计算机用户)提供的笔录 现场勘查的精确时间 提取的证物清单和说明 2、现场勘查 现场勘查基本操作流程如下图: 准备→现场安保→现场拍照→收集相关证物→处理计算机↓↙提取系统时间(是)↖ 结束←填写清单←封存证物←介质复制已关机↖提取易丢失数据(否)↙ 收集相关证物收集相关证物时,除了涉案的计算机主机外,还必须收集相关的外部设备和证物,并仔细检查现场周边设施是否有遗弃或已破坏的存储介质及其它证物,如: 笔记本计算机电源适配器 外置软驱或光驱 手持设备(如手机、PDA、**导航仪)及其充电器 各种连接线 移动存储设备(如U盘、移动硬盘……) 计算机周边的相关物品(非电子相关的物品可能包含案件相关的重要信息,如便笺,已打印文档等) 现场周边的相关设施 处理计算机的原则 当计算机处于开机状态,不要立即关机关闭计算机的原则是尽可能降低数据丢失的可能性,通常采取直接断开计算机电源的方式。
如果是正常关机,可能导致硬盘中数据被部分覆盖或丢失。如果计算机处于开机状态,就要采取措施提取易丢失数据,如内存数据,桌面信息、进程信息、网络连接信息、加载模块信息、路由表信息等,因为这些信息在计算机关机后将会丢失。 处理计算机的原则 当计算机处于关机状态,不要轻易开机如果计算机处于关机状态,则不要启动该计算机,请先通过拍照或录像的方式记录计算机所有线缆及设备的连接状态。然后打开机箱,拔下硬盘数据线和电源线,并开启计算机,按相应的快捷键进入BIOS,记录当前计算机BIOS中显示的系统日期和时间,检查该时间是否与当前时间一致,如果不一致,应记录该时间与当前标准时间的差异,在后续的取证分析过程中应该考虑系统时间设置的差异。 三、现场勘查设备 1、只读锁只读锁的功能是阻止计算机向连接到只读锁的只读接口上的存储介质写入任何数据,从而起到保护原证据介质不被修改,符合司法有效性的要求。 2、硬盘复制机如何保证原始存储介质中的电子数据不被破坏?目前主流的技术手段就是利用专门的介质复制设备将原始存储介质中的电子数据完全复制下来,后续取证分析过程都是基于副本进行。DC-高速硬盘复制机是功能最多最全面的硬盘复制机,该设备支持对多种接口的硬盘和数据存储卡进行数据复制和取证分析,同时拥有只读锁功能、不拆机硬盘复制功能、在线检查取证功能。
具有复制速度快、功能全面、按键式操作方便、设备轻巧等优点。 3、DC-8800 取证魔方“取证魔方”是一款高效集成的现场勘查取证综合一体化设备。该设备采用全球领先的高速硬盘复制、批量快速取证、自动取证分析和动态仿真取证技术。同时提供了符合司法有效性的写保护功能,使得现场证据固定、电子数据取证分析工作简单快捷,大大提高现场勘查取证人员的效率,简化操作步骤,有利于规范现场勘查取证流程,实现现场取证的标准化。 四、取证分析软件取证大师( )就是为了更好地解决国外取证软件的不足而研发的一款功能全面、操作简单、符合国内调查取证特点的电子数据分析系统。该系统采用“自动”的取证模式完成证据分析及生成报告的整个过程,在保证司法有效性的前提下,弥补了国外取证软件的不足,大大简化了软件操作,适合各阶层的取证调查人员使用。 取证大师的功能自动取证功能是取证大师软件最具特色的功能,一步到位地完成除关键词搜索以外的几乎所有的取证分析功能,自动生成并导出报告。 1、即时通讯记录解析取证大师软件能够分析的即时通讯记录包括:腾讯QQ、新浪UC、网易泡泡、移动飞信、阿里旺旺淘宝版、阿里旺旺贸易通等。
同时还支持对腾讯QQ、Skype已删除的聊天记录信息进行解析。 取证大师的功能 2、上网记录调查取证大师的上网记录解析功能用于提取IE、和浏览器中的上网记录信息,包括网页缓存、历史记录等。 3、客户端邮件解析取证大师软件支持对通过 、 和Fox mail邮件客户端收发的邮件进行自动解析。 取证大师的功能 4、加密文件检测加密文件调查通常是取证调查工作的重点,重要信息总是以加密的形式保存的。文件加密后,无法通过正常方式打开或通过取证软件查看文件的内容,如通过文本视图查看或进行关键词搜索。取证大师软件支持对多种类型的加密文件进行解密处理。 取证大师的功能 5、反取证软件检测反取证软件检测是取证大师一个特有的功能,用于检测对象硬盘中是否使用了虚拟容器、突网工具、数据擦除或信息隐写等反取证软件,为进一步查找相关证据
