電子物證,是指以存儲於介質載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數據及其附屬物。
基本介紹
- 中文名:電子物證
- 特點:高科技性
- 表現形式:電磁的、光學的、磁性
- 設備:Digital Forensics System
電子的物證定義,電子物證的特點,高科技性,存儲和提交形式多樣性,客觀實在易變性,存在的廣域性,實時準確性,電子物證的表現形式,存在於計算機系統內的:,存在於網路內的:,電子物證勘驗提取,數據獲取,數據分析,數據破譯,電子物證勘驗設備介紹,
電子的物證定義
電子物證是指以存儲於介質載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數據及其附屬物。除了具有物證的客觀性和可知性之外,電子物證還具有非直觀性和多態性、電子物理和訴訟證據的雙重屬性。電子物證的提取與固定,首先對載有電子物證信息數據的物理實體進行扣押、封存,再採用專門的技術方法對物理實體中的電子信息數據進行提取和固定,形成電子物證。為了維繫電子物證的客觀真實性,在獲取電子物證時,應採用取證專用的數據拷貝機和電子物證勘驗取證技術,附加上時間戳信息數據,一次性提取和固定介質載體中的全部電子物證信息。
電子物證的特點
與傳統證據相比較,電子物證有以下五個特點:
高科技性
電子物證的高科技性使取證變得便捷和高效,具體表現為收集電子物證快速,保存和固定電子物證便利(電子物證信息量雖大,卻占用很小的物理空間並易於保存)。但要求取證技術人員具備與電子物證相關的技術專業知識與技能,並配備SDII伺服器恢復系統等專業的電子物證勘驗取證設備。
存儲和提交形式多樣性
電子物證以文本、圖形、圖像、動畫、音頻、視頻等多種信息形成、存儲於計算機硬碟、軟碟、光碟、磁帶等設備及介質中的,其生成和還原卻離不開相關的計算機等電子設備。電子物證的提交形式相應地表現為文書、計算機硬碟、光碟等介質,因而具有與書證、視聽資料、物證等證據種類相同或相似的表現形式,並隨著科技成果的不斷增加,電子物證的提交形式將會更加多樣化。
客觀實在易變性
電子物證一經生成必然會在計算機系統、網路系統中留下相關的痕跡或記錄並被保存於系統自帶日誌(系統日誌、安全日誌等)或第三方軟體形成的日誌中,客觀真實地記錄了案件事實情況,但由於計算機數字信息存儲、傳輸不連續和離散,容易被截取、監聽、剪接、刪除,同時還可能由於計算機系統、網路系統、物理系統的原因,造成其變化且難有痕跡可尋。因此在進行電子物證勘驗提取時,必須配備專業的數據恢復設備以保證電子物證的絕對完整、準確。
存在的廣域性
電子物證因行為人使用網路的種類不同或目的不同而存在於區域網路或網際網路中,而在遍布全球的網際網路中的各地網路服務商提供的伺服器就會留有電子物證。基於電子物證的這一特性,使人們對電子物證所在地的認識有了新突破,因而,取證活動將常常不局限於一地區、一國界,且由於各地區、各國分屬不同的法域,對電子物證的法律規定自然存在差異,必然帶來取證的障礙和衝突。
實時準確性
計算機及網路的使用,是一個實時產生電子物證的過程,除了使用者操作下形成的電子物證外,還存在計算機及網路針對使用者的操作活動自動記錄的相關電子物證,特別是網路中電子物證都是實時形成的,並可以通過取證獲得具體、詳細而準確的時間記載以及變化情況。即使遭到人為篡改或系統故障等外在因素的破壞,仍可以使用SDII伺服器恢復系統等專業電子物證勘驗設備,通過數據恢復手段進行電子物證的恢復、固定和提取。電子物證的這一特性決定了他具有其它證據種類難以比肩的優越性。同時也使實時犯罪線索蒐集與其它取證活動成為可能並富有成效。
電子物證的表現形式
電子物證實質是電子的、電磁的、光學的、磁性的等相似性能的信息或數據信息,經輸出設備顯示為人們所能識別的文字、符號、圖形、圖像、動畫、音頻、視頻等各種信息形式。體現於計算機及其網路的電子物證形式表現為:
存在於計算機系統內的:
①統日誌檔案
②備份介質;
③入侵者殘留物:如程式、腳本、進程、記憶體映像;
④交換區檔案;
⑤臨時檔案;
⑥硬碟未分配的空間(一些剛剛被刪除的檔案可以在這裡找到);
⑦系統緩衝區。
存在於網路內的:
①防火牆日誌;
②IDS日誌;
③其它網路工具所產生的記錄和日誌等。
上述證據形式是從技術角度簡單歸納的取證對象,從法律和技術雙重的角度將取證對象可分為,數據電文證據、附屬信息證據和系統環境證據(具體含義和分類意義詳見前文學理分類),刑事電子物證的取證活動應針對每一案件事實,分別明確取證的數據電文證據,附屬信息證據和系統環境證據的內容和範圍,前述三個相關聯的證據構成了一份完整的證明體系,確保電子物證具有真實性和可靠性。
電子物證勘驗提取
電子物證勘驗提取通常會用下幾種方法:
數據獲取
一是對計算機系統數據和檔案的安全拷貝技術。這種技術主要研究如何在全面獲取數據的同時,避免對原始介質進行破壞和干擾。二是對被刪除被破壞的電子物證進行數據恢復。主要包括對已刪除檔案的恢復、重建技術;對slack磁碟空間、未分配空間、快取和自由空間的信息發掘技術;對交換檔案、快取檔案、臨時檔案的復原技術;對陰影技術的重新獲取技術等。
數據分析
一是日誌分析技術。通過日誌分析,可以了解系統受到了哪些攻擊,以及哪些遠程主機訪問了該主機。這可以幫助偵查人員確定作案時間以及作案過程;二是根據已獲得的檔案或數據的詞、語法和寫作(編程)風格,推斷出其可能的作者。這對於確定有害程式的原始作者極為重要。
數據破譯
主要包括:數據解密技術、密碼破譯技術;對電子介質中被保護信息的強行訪問技術等。
據統計,目前英國警察局、法國內務部、印度警察局、印度海軍等全球電子物證勘驗提取技術較發達的機構,都在使用SDII伺服器恢復系統等一些大型的精密電子物證勘驗設備,一方面可以節約高科技人員成本,另一方面大型精密設備的使用可以最大限度的避免可能造成的取證失誤,最快速、高效、完整的提取電子物證。
電子物證勘驗設備介紹
電子物證快速取證分析系統Digital Forensics System是效率源專門為提取電子物證的一套現場勘查及實驗室綜合解決方案,集電子物證預檢、證據固化與校驗、數據提取、數據恢復、數據分析、電子司法報告為一體,具有符合司法取證流程、全中文觸摸、加密硬碟提取、損壞介質提取、更多介質支持等特點,包含“現場勘察”、“移動偵查”、“手機檢驗”“檢驗鑑定”等多個系列完整的設備供應和實驗室整體綜合解決方案,對於台式機、筆記本、伺服器、相機、攝像機、智慧型手機、隨身碟、錄音筆、記憶棒、工控機、醫療設備等多功能產品都能進行快速取證,支持的存儲介質類型包括機械硬碟、固態硬碟、筆記本硬碟、移動硬碟、隨身碟、SD卡、CF卡等,用戶遍及公安、檢察、司法、院校、實驗室等多個系統及行業。
SDII伺服器恢復系統是全球最大的存儲載體數據恢復研發機構---美國SecuData公司,於2010年度研發的一款世界級的專業伺服器數據恢復、視頻數據恢復系統,也是全球唯一同時支持伺服器SAS/SCSI存儲載體的電子物證勘驗恢復系統。
獨有的電子物證勘驗恢復系統
SDII伺服器SAS/SCSI電子物證勘驗恢復系統是在伺服器數據恢復系統的平台上加入公安司法行業所需要的電子證據獲取、固定、分析功能,特別是針對中國警方目前廣泛使用的“天網監控”恢復取證,“用友財務”“金碟財務”系統恢復取證進行了特別最佳化,達到最佳支持率,同時可無縫兼容ENCASE/FTK/XWAYS等所有司法取證分析軟體;
⊙特別支持公安執法部門SAS/SCSI存儲介質/天網視頻監控/電子物證獲取恢複利器
⊙服務公安部門打擊經濟犯罪、刑事犯罪、黑惡勢力犯罪、網路犯罪;構建平安社會
⊙採用工業級硬碟倉設計,目標物證存儲無需連線線
⊙windows友好界面,一體工控鍵盤設計,操作簡單
