隨著計算機使用的普及,各類犯罪案件中涉及計算機的頻率愈發增加,無論是何種案件幾乎都與幾台,幾十台甚至上百台計算機有關聯性。要在短時間內從海量的數據中提取有用的信息,其關鍵在於解決各種不同接口的轉換問題。而這樣龐大的工作量,縱是水平再高的計算機取證專家,也會陷入心有餘而力不足的尷尬境地。在這種情況下,只有依靠具有專業的數據取證設備和取證軟體的實驗室,才能解決這樣龐大的數據處理工作。因此,可兼容各種接口,能高效處理海量信息,並使多人協同合作的取證實驗室遂被人們研發。
基本介紹
- 中文名:取證實驗室
- 外文名:forensics laboratory
- 相關書籍:《電子數據取證》
- 相關學科:電子取證
- 代表實驗室:中國科學院高能所網路安全實驗室
電子取證,電子取證的含義,電子取證的套用需求,取證實驗室的建設,硬體系統,軟體系統,課程教材,實驗教材,取證實驗室的操作流程,法律鑑定和鑑定要求,檢查材的接收與克隆,制定鑑定方案,分析鑑定,空間性分析,時間性分析,相關性分析,結構分析和粒度分析,數據分析和代碼分析,
電子取證
電子取證的含義
隨著計算機犯罪個案數字不斷上升和犯罪手段的數位化,蒐集電子證據的工作成為提供重要線索及破案的關鍵。恢復已被破壞的計算機數據及提供相關的電子資料證據就是電子取證。
電子取證的套用需求
隨著網路商務套用的快速發展,網際網路違法犯罪不斷增長。有數據顯示2013年中國網民在網際網路上損失近1500億,截止2013年12月,我國網民規模達到6.18億,這就意味著2014年中國網民每人平均損失達243元,打擊網路犯罪的局勢迫在眉睫,此外,電子取證技術還套用在司法取證方面以及金融保險等領域的信息安全保障工作。
取證實驗室的建設
硬體系統
硬體系統包括計算機取證實訓平台、電子介質高速複製設備、現場勘查設備、手機取證設備以及各種接口操作的硬碟燈。通過各類設備的互相配合使用和轉化等操作,可以完成各種教學目標下的取證實驗課程,能夠從不用角度對取證技術進行巨觀的了解和掌握,進而為下一階段的學習以及在未來工作崗位上的實戰套用奠定基礎。
軟體系統
軟體系統包括動態虛擬仿真取證系統、電子數據分析系統、密碼破解軟體等各種計算機取證分析軟體。在計算機取證硬體平台的基礎上,通過這些軟體的配合使用,可以完成大部分計算機數據分析工作流程。學生在學習、使用取證分析軟體過程中,能夠學會利用取證技術進行案件線索查找和案件性質分析的技能,從而提高學生處理網路取證案件的實際套用能力,以適應公安機關網路安全保衛工作的實戰需求。
課程教材
在計算機取證實驗室的總體建設中,在實驗室相關承建公司的幫助和配合下,實驗室也較好地完成了課程教材的建設工作。專任教師從實戰角度並結合實驗室軟硬體設備對計算機取證課程的實驗教學內容進行了設計。課程教材包括計算機取證和電子數據分析的理論基礎、各種常見專用硬體的介紹、多種常見取證分析軟體的講解、重要取證分析軟體的詳細使用方法和使用技巧以及模擬計算機案件的流程化教學。課程教材的建設遵循圖文並茂、通俗易懂的原則,並在教師教授和學生學習相關取證課程的過程中,做到同步授課,同步實驗。
實驗教材
由於計算機取證與電子數據分析技術是一門理論與實踐結合相當緊密的課程,因而實驗教材的建設也成為實驗室建設中非常重要的一環,專任教師對實驗室教材也進行了設計。實驗教材完整,順暢,試驗項目經過詳細設計,並涉及到這種取證設備和軟體。實驗案例覆蓋了電子無證檢驗鑑定的所有流程和方法,學生在實驗室中就能充分了解計算機取證技術在公安實戰中的重要作用。
取證實驗室的操作流程
法律鑑定和鑑定要求
進行計算機取證與分析鑑定, 必須嚴格按照法律規定,緊緊圍繞鑑定要求。
檢查材的接收與克隆
為了確保鑑定過程中硬碟原有數據的完整性不會被破壞和修改,接收檢材後需通過硬碟複製機將檢材硬碟中的內容複製到備份硬碟中。 由於這種複製是位對位的複製,檢材硬碟中的內容會在備份硬碟中完全地反映出來,不會丟失、遺漏,也不會被修改,這樣就可以保證通過對備份硬碟的操作達成鑑定工作。使用克隆件來進行計算機證據鑑定,注意加上數字簽名和MD5檢驗,以證明原始計算機證明並沒有改變,並且整個鑑定過程可以重現證據分析過程中不得故意篡改存儲媒介中的數據,對於可能造成數據變化的操作需要記錄鑑定人員實施的操作以及可能造成的影響。
制定鑑定方案
根據案情的案點製作詳細的計畫,以便有方法、有步驟地對計算機證據進行鑑定。該環節至關重要,但是也極容易被忽視。 可以利用提取的電子證據來綜合分析並確定罪犯之間相互關聯的犯罪動機、 行動、相互作用和時間安排。 在不同的計算機犯罪現場匯總起來的電子證據可以用來推斷犯罪嫌疑人在何時、何地,採用何種方式做了什麼事情。
分析鑑定
空間性分析
個別案例由於涉及存在多個犯罪現場且不同現場犯罪程度不同等問題,僅依據以計算機磁碟為中心的鑑定分析一般不能說明犯罪的全部活動。此時則需將案件中的電子證據融合推理,再進行空間性分析。
時間性分析
由於作業系統保存檔案和資料夾的創建時間、最後一次修改時間及其訪問時間,此外一些套用軟體還在檔案、日誌和資料庫中嵌入日期時間信息,創建事件的時間表能夠幫助分析人員識別事件的形態和異常情況,弄清犯罪的經過並引導其他證據的來源。
相關性分析
用來確定犯罪之間犯罪的組成,它們的位置和相互關係。
結構分析和粒度分析
按照證據結構和粒度的大小來進行分析。
數據分析和代碼分析
掃描檔案類型,通過對比各類檔案的特徵,將各類檔案分類,以便搜尋案件線索.熟悉各種工具軟體。 恢復被刪除的數據,在數據殘留區尋找有價值的檔案碎片,對硬碟反格式化等,尋找案件線索的蛛絲馬跡。
鑑定結論和出庭
經過近 7 年的發展,傳統取證實驗室網路架構存在的問題已經非常突出,重點表現在以下幾個方面:
(1)乙太網的傳輸的模式,運動性能受網路性能和陣列性能的制約嚴重;
(2)傳輸平台採用吉比特網路共享式的,傳輸性能元不能達到要求,多人同時使用速度慢,不能滿足分析單項工作的需求;
(3)硬碟容量發展很快,把硬碟做成鏡像檔案,耗費時間長,對存儲空間需求巨大,投資越來越大並且越來越不具備可行性;
隨著“雲”的概念不斷推出,電子數據取證實驗室已將關注點由實驗室的內部能力轉向轄區內資源共享、轄區遠程“會診”,在嚴格的認證和遠程傳輸安全條件 下將實驗室的觸角向下級甚至更下一級的管控“末稍”延伸。網路版取證大師、取證塔、取證池等將成為 “雲”的“經脈”和“骨架”。
