電腦鑑識簡單來說,系指利用科技與嚴謹的檢查程式,自計算機系統或其它類似的存儲媒體中,查找罪行相關物證或間接物證。對於電腦鑑識專家來說,必需要能夠了解嫌疑犯世故的程度,懂得對方在信息專業方面的認知多寡,如果我們不清楚嫌疑犯的程度時,先將對方視為專家,並假設對方已經為有電腦鑑識之可能,做好事前準備。待鑑識的已引導設備是否要關機以方便運送,或是保持引導狀態以避免變更原始數據,如同一把兩面刃的刀一樣,各有優劣。沒有關機的電腦,是不方便運送的,此外還有嫌疑犯啟動程式以銷毀重要數據的問題;但另一方面,關閉電腦後,諸如存儲器內部可能存有的重要密碼等易消失的數據,隨著關機便灰飛煙滅,其中的取決是一門臨場判斷的學問。
基本介紹
- 中文名:電腦鑑識
- 外文名:Computer forensics
- 學科:信息安全
- 定義:從計算機系統取證
- 套用:司法
- 目的:收集證據
簡介,電子證據,數據分析,步驟,
簡介
隨著信息技術的不斷發展,計算機越來越多地參與到人們的工作與生活中,與計算機相關的法庭案例(如電子商務糾紛,計算機犯罪等)也不斷出現。一種新的證據形式——存在於計算機及相關外圍設備(包括網路介質)中的電子證據逐漸成為新的訴訟證據之一。大量的計算機犯罪—如商業機密信息的竊取和破壞,計算機欺詐,對政府、軍事網站的破壞——案例的取證工作需要提取存在於計算機系統中的數據,甚至需要從已被刪除、加密或破壞的檔案中重獲信息。電子證據本身和取證過程的許多有別於傳統物證和取證的特點,對司法和計算機科學領域都提出了新的挑戰。作為計算機領域和法學領域的一門交叉科學:電腦鑑識,或稱計算機取證,使用軟體和工具,按照一些預先定義的程式全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據,包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。
電子證據
計算機取證基本圍繞電子證據展開。電子證據是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄物。電子證據的表現形式是多樣的,尤其是多媒體技術的出現,使電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息,這種以多媒體形式存在的計算機證據幾乎涵蓋了所有傳統證據類型。 與傳統證據一樣,電子證據必須是可信的、準確的、完整的、符合法律法規的。電子證據還具有以下特點 :
1)脆弱性 :由於數據自身的特點導致電子證據易被修改,且不易留痕跡 ;
2)無形性 :計算機數據必須藉助於輸出設備才能呈現結果 ;
3)高科技性 :證據的產生、傳輸、保存都要藉助高科技含量的技術與設備 ;
4)人機互動性 :電子證據的形成,在不同的環節上有不同的操作人員參與,它們在不同程度上都可能影響電子證據的最終結果 ;
5)電子證據是由計算機和電信技術引起的,由於其它技術的不斷發展,所以取證步驟和程式必須不斷調整以適應技術的進步。
電子證據的來源很多,主要有系統日誌、IDS、防火牆、FTP、反病毒軟體日誌、系統的審計記錄、網路監控流量、電子信箱、作業系統和資料庫的臨時檔案或隱藏檔案,資料庫的操作記錄,硬碟驅動的交換(Swap)分區、Slack 區和空閒區,軟體設定,完成特定功能的腳本
檔案,Web 瀏覽器數據緩衝,書籤、歷史記錄或會話日誌、實時聊天記錄等等。 電子證據的獲取方法包括數字鑑定、數據檢查、數據對比、數據保護、數據分析和證據抽取。而這些方法的實施將貫穿整個計算機取證過程。
數據分析
電子取證要求取證和分析數據的信息網路系統,以及其輔助的設備必須安全、可靠,從取證系統或裝置中只獲取原始數據,不做分析,整個信息獲取過程要儘可能不被干擾、覆蓋,或破壞原始信息和環境,在對原始數據進行分析前,需對原始數據進行數字簽名。 所以在數據分析前要做證據固定,取得鏡像證據檔案,然後再對鏡像證據檔案進行數據分析。取證人員能否找到犯罪證據關鍵在於 :
1)有關犯罪證據的數據必須沒有被破壞或篡改 ;
2)取證軟體必須能找到這些數據 ;
3)取證人員能知道這些檔案,並且能證明它們與犯罪有關。實際過程中遇到的問題往往是我們得到的大量數據中,重要的證據往往並不是顯性存在的,可能已被刪除或篡改。取證
人員面對這樣的問題就必須首先對證據檔案做數據恢復。
步驟
1)取證準備,這個過程要對取證環境和條件作客觀性分析;
2)現場勘查及證據固定,這個過程必須保證證據獲取的合法性;
3)數據分析及證據提取,這個過程需要對獲取的數據進行分析找出與案件相關能夠證明犯罪事實的數據,即要保證數據與案件的關聯性;
4)證據的呈遞,這個過程要對所獲取的電子證據進行鑑定,從而保證證據對犯罪定性的有效。
