纵观国内外网络犯罪现状,网络犯罪活动的突出表现为:
利用网络编造、传播虚假信息、造谣、诽谤或者传播有害信息、煽动颠覆国家政权、破
坏国家主权、利用网络窃取、泄露国家秘密、情报;
非法侵人信息系统,采取获取、修改或破坏系统功能或窃取数据信息等手段,实施非法控制,造成数据丢失或网络瘫痪;
提供专门用于人侵、非法控制信息系统的程序、工具,利用漏洞攻击信息系统及通信网络,致使信息系统及通信网络停止服务等,危害信息系统安全;
利用网络侵犯知识产权,传播盗版;
在网络上建立**秽网站、网页,提供**秽站点链接服务,或者传播**秽信息;
利用网络进行诈骗、盗窃、侵占、挪用、贪污等犯罪,给国民经济造成损失。
尤为严重的是,网络犯罪已经从最初的仅是针对普通人群的犯罪,发展为针对社会经济,政治稳定、国家安全等多个领域的犯罪。从单机单人犯罪,发展到现在的网络有组织、有针对性犯罪,其犯罪手段和危害后果远超传统犯罪。木马僵尺网络、钓鱼网站等传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈,智能家居、工业控制系统、车联网等新兴技术产业面临严峻网络安全威胁。
1.2电子数据的概述
1.电子数据的定义
电子信息技术应用而出现的各种能证明案件真实情况的材料及其派生物。
2013年1月1日施行的《中华人民共和国刑事诉讼法》第四十八条首次将”电子数据”列为证据类型。2.电子数据的理论基础
埃德蒙·洛卡德提出的物质交换原理认为”两个对象接触时,物质会在这两个对象之间产生交换或者转移。”
3.电子数据的来源
电子数据的来源众多,包括电子文档,即时聊天记录,网络浏览记录,电子邮件,数字图像,数字图像,数字音视频,数据库,内存信息,系统日志等,其种类与网络技术和电子设备的发展同步增加中。
4.电子数据的特点
记录方式的虚拟性,电子数据的易破坏性,电子数据的客观性
1.3电子数据取证概述
1.电子数据取证的概念
“采用技术手段,获取,分析,固定电子数据作为认定事实的科学”。
2.电子数据取证的应用领域
刑事案件的侦查取证和诉讼,民事案件的举证和诉讼,行政诉讼案件的举证和处理,企业内部调查。
3.电子数据取证框架
4.电子数据与应急响应的区别
实施主体不同,过程不同,目标不同
5.电子数据取证与数据恢复的区别
数据恢复是“通过技术手段,将保存在存储介质上丢失的电子数据进行复原技术”。
数据恢复的目标是数据,而电子数据取证的目标是证据。
1.4电子数据取证面临的困难
1.信息安全观念落后
2.法律法规的滞后
3.取证机构和人才的匮乏
4.产业发展不均衡
1.5电子数据取证人员的职业素质要求
1.取证技术与意识
2.法律素养
3.职业道德
1.6电子数据取证的发展趋势
1.新型介质的取证分析
2.执业主体的延伸
3.系统化的取证方向
第二章 电子数据取证基础知识 2.1计算机基础知识
现代计算机普遍采用冯·诺依曼计算机理论,即采用二进制形式表示数据和指令。计算机系统由运算器,存储器,控制器,输入设备,和输出设备五大部分组成。
电子数据取证中,可能会遇到以下几种计算机设备:
1.个人计算机
(1)台式机
(2)一体机
(3)笔记本电脑
2.服务器
3.移动终端
2.2计算机硬件知识
1.内存
内存(内部储存器),是CPU,显卡或者其他内置板卡可以直接寻址的存储空间,存储速率快是它最大的特点。
2.外存
外部存储设备即外存,主要包括磁存储器(机械硬盘),电存储器(固态硬盘,U盘,存储卡)和光存储器(光盘)。
2.3存储介质基础知识
1.机械硬盘
(1)机械硬盘的物理结构
(2)机械硬盘的逻辑结构
2.闪存
U盘和固态硬盘
3.存储器指标
(1)存储器容量
(2)数据传输率
(3)数据接口
2.4网络基础知识
1.网络分类
广域网,城域网,局域网
2.网络体系结构
osi参考模型,tcp/ip协议族
3.网络协议
tcp协议 uop协议 ip协议 http协议
2.5操作系统
MacOS Unix/linux iOS Phone
2.6数据组织
1.数据组织的常识
硬盘在存储数据之前,一般需经过低级格式化,分区,高级格式化三个步骤之后才能使用。硬盘经过三个步骤的处理,将建立一定的逻辑数据结构。高级格式化后,我分配由于数据不可能全部占满空间,因此产生了松弛区和未分配空间。
2.MBR分区结构
分区形式一般有3种即主分区,扩展分区和非DOS分区。
3.文件系统
(1)FAT文件系统
(2)NTFS文件系统
2.7数制
1.数制
数制也称计数制,是用一组固定的符号和统一的规则来表示数值的方法。人们通常采用的有十进制,二进制,八进制和十六进制等
2.数制间的转换
由于大多数取证工具都是以十六进制来表示二进制的,二进制和十六进制的相互转换比较重要。
二进制转十六进制的权值,并且是从高位往低位记:8,4,2,1。二进制数要转换为十六进制,可以以4位为一段,分别利用8421算法转换为十六进制。
2.8数据的储存单元
二进制位 字节 字 字长 存储单元 地址
2.9数据获取
1.数据获取
相对于普通的拷贝,数据获取有更为严格的要求,一般可分为镜像数据获取,逻辑数据获取,易失性数据获取等。
镜像,又叫克隆,指逐比特位进行复制,以产生的镜像数据与原始数据完全一致。
证据文件
2.数字校验
(1)数据的固定
(2)哈希对比
2.10文件过滤
1.基于文件扩展名的过滤
2.基于关键词和通配符的文件过滤
3.基于哈希的文件过滤
