電子取證技術(shù)有幾大方向
電子取證技術(shù)有幾大方向
由于電子證據(jù)的特殊性,在收集電子證據(jù)時,首先需由提供證據(jù)單位的計(jì)算機(jī)操作人員打開電腦,查找所需收集的證據(jù)。當(dāng)找到證據(jù)時,取證人員應(yīng)通過顯示器觀察和確認(rèn)該文件的形成時間。然后由操作人員打開文件,由取證人員確認(rèn)該文件系所要收集的證據(jù)后,采用相應(yīng)的方式予以提取固定。下面由學(xué)習(xí)啦小編為你介紹電子取證的相關(guān)法律知識。
電子取證技術(shù)的三大方向
計(jì)算機(jī)取證是對計(jì)算機(jī)犯罪證據(jù)的識別獲取、傳輸、保存、分析和提交認(rèn)證過程,實(shí)質(zhì)是一個詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過程。
國內(nèi)外計(jì)算機(jī)取證應(yīng)用發(fā)展概況
現(xiàn)在美國至少有70%的法律部門擁 有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室,取證專家在實(shí)驗(yàn)室內(nèi)分析從犯罪現(xiàn)場獲取的計(jì)算機(jī)(和外設(shè)),并試圖找出入侵行為。
在國內(nèi),公安部門打擊計(jì)算機(jī)犯罪案件是近幾年的事,有關(guān)計(jì)算機(jī)取證方面的研究和實(shí)踐才剛起步。中科院主攻取證機(jī)的開發(fā),浙江大學(xué)和復(fù)旦大學(xué)在研究取證技術(shù)、吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤,電子科技大學(xué)在網(wǎng)絡(luò)誘騙、北京航空航天大學(xué)在入侵誘騙模型等方面展開了研究工作。但還沒有看到相關(guān)的階段性成果報(bào)道。
電子取證技術(shù)的三大方向
計(jì)算機(jī)電子取證的局限性以及面臨的問題
計(jì)算機(jī)取證的理論和軟件工具是近年來計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成就,從計(jì)算機(jī)取證的軟件和工具實(shí)現(xiàn)過程的分析中可以發(fā)現(xiàn),當(dāng)前計(jì)算機(jī)取證技術(shù)還存在很大局限性。
從理論上講,計(jì)算機(jī)取證人員能否找到犯罪證據(jù)取決于:有關(guān)犯罪證據(jù)必須沒有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件,并且能證明它們與犯罪有關(guān),從當(dāng)前軟件的實(shí)現(xiàn)情況來看,許多所謂的“取證分析”軟件還僅僅是恢復(fù)使用rm或strip命令刪除的文件。
計(jì)算機(jī)取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化:
(1) 反取證技術(shù)的發(fā)展。反取證就是刪除或隱藏證據(jù)使取證調(diào)查失效。反取證技術(shù)分為3類:數(shù)據(jù)擦除、數(shù)據(jù)隱藏和數(shù)據(jù)加密,這些技術(shù)還可以結(jié)合起來使用,讓取證工作的效果大打折扣。
(2) NestWatch、NetTracker、LogSurfer、VBStats,NetLog和Analog等工具可以對日志進(jìn)行分析,以得到入侵者的蛛絲馬跡。一些入侵者利用Root Kit(系統(tǒng)后門、木馬程序等)繞開系統(tǒng)日志,一旦攻擊者獲得了Root權(quán)限,就可以輕易修改或破壞或刪除操作系統(tǒng)的日志。
計(jì)算機(jī)電子取證軟件局限性表現(xiàn)為:
(1) 目前開發(fā)的取證軟件的功能主要集中在磁盤分析上,如磁盤映像拷貝,被刪除數(shù)據(jù)恢復(fù)和查找等工具軟件開發(fā)研制。其它取證工作依賴于取證專家人工進(jìn)行,也造成了計(jì)算機(jī)取證等同于磁盤分析軟件的錯覺。
(2)現(xiàn)在計(jì)算機(jī)取證是一個新的研究領(lǐng)域,許多組織、公司都投入了大量人力進(jìn)行研究。但沒有統(tǒng)一標(biāo)準(zhǔn)和規(guī)范,軟件的使用者很難對這些工具的有效性和可靠性進(jìn)行比較。也沒有任何機(jī)構(gòu)對計(jì)算機(jī)取證和工作人員進(jìn)行認(rèn)證,使得取證權(quán)威性受到質(zhì)疑。
計(jì)算機(jī)電子取證發(fā)展研究
計(jì)算機(jī)取證技術(shù)隨著黑客技術(shù)提高而不斷發(fā)展,為確保取證所需的有效法律證據(jù),根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來黑客技術(shù)的發(fā)展趨勢,以及計(jì)算機(jī)取證研究工作的不斷深入和改善,計(jì)算機(jī)取證將向以下幾個方向發(fā)展:
電子取證工具向智能化、專業(yè)化和自動化方向發(fā)展
計(jì)算機(jī)取證科學(xué)涉及到多方面知識。現(xiàn)在許多工作依賴于人工實(shí)現(xiàn),大大降低取證速度和取證結(jié)果的可靠性。在工具軟件的開發(fā)上應(yīng)該結(jié)合計(jì)算機(jī)領(lǐng)域內(nèi)的其它理論和技術(shù),以代替大部分人工操作。
利用無線局域網(wǎng)和手機(jī)、PDA、便攜式計(jì)算機(jī)進(jìn)行犯罪的案件逐年上升,這些犯罪的證據(jù)會以不同形式分布在計(jì)算機(jī)、路由器、入侵檢測系統(tǒng)等不同設(shè)備上,要找到這些工具就需要針對不同的硬件和信息格式做出相應(yīng)的專門的取證工具。
計(jì)算機(jī)電子取證的相關(guān)技術(shù)發(fā)展
從計(jì)算機(jī)取證的過程看,對于電子證據(jù)的識別獲取可以加強(qiáng)動態(tài)取證技術(shù)研究,將計(jì)算機(jī)取證結(jié)合到入侵檢測、防火墻、網(wǎng)絡(luò)偵聽等網(wǎng)絡(luò)安全產(chǎn)品中進(jìn)行動態(tài)取證技術(shù)研究;對于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M(jìn)行加密技術(shù)研究;對于電子證據(jù)的分析,是從海量數(shù)據(jù)中獲取與計(jì)算機(jī)犯罪有關(guān)證據(jù),需進(jìn)行相關(guān)性分析技術(shù)研究,需要高效率的搜索算法、完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。
對入侵者要進(jìn)行計(jì)算機(jī)犯罪取證學(xué)的入侵追蹤技術(shù)研究,目前有基于主機(jī)追蹤方法的Caller ID,基于網(wǎng)絡(luò)追蹤方法的IDIP、SWT產(chǎn)品。有學(xué)者針對網(wǎng)絡(luò)層的追蹤問題,提出基于聚類的流量壓縮算法,研究基于概率的追蹤算法優(yōu)化研究,對于應(yīng)用層根據(jù)信息論和編碼理論,提出采用數(shù)字水印和對象標(biāo)記的追蹤算法和實(shí)現(xiàn)技術(shù),很有借鑒意義。在調(diào)查被加密的可執(zhí)行文件時,需要在計(jì)算機(jī)取證中針對入侵行為展開解密技術(shù)研究,。
計(jì)算機(jī)取證的另一個迫切技術(shù)問題就是對取證模型的研究和實(shí)現(xiàn),當(dāng)前應(yīng)該開始著手分析網(wǎng)絡(luò)取證的詳細(xì)需求,建立犯罪行為案例、入侵行為案例和電子證據(jù)特征的取證知識庫,有學(xué)者提出采用XML和OEM數(shù)據(jù)模型、數(shù)據(jù)融合技術(shù)、取證知識庫、專家推理機(jī)制和挖掘引擎的取證計(jì)算模型,并開始著手研究對此模型的評價機(jī)制。
計(jì)算機(jī)電子取證的標(biāo)準(zhǔn)化研究
計(jì)算機(jī)取證工具應(yīng)用,公安執(zhí)法機(jī)關(guān)還缺乏有效的工具,僅只利用國外一些常用的取證工具或者自身技術(shù)經(jīng)驗(yàn)開發(fā)應(yīng)用,在程序上還缺乏一套計(jì)算機(jī)取證的流程,提出的證據(jù)很容易遭到質(zhì)疑。對計(jì)算機(jī)取證應(yīng)該制定相關(guān)法律、技術(shù)標(biāo)準(zhǔn),制度以及取證原則、流程、方法等,到目前為止,還沒有專門的機(jī)構(gòu)對計(jì)算機(jī)取證機(jī)構(gòu)或工作人員的資質(zhì)進(jìn)行認(rèn)定。加強(qiáng)對具有取證職能的計(jì)算機(jī)司法鑒定機(jī)構(gòu)的建設(shè),指定取證工具的評價標(biāo)準(zhǔn),對計(jì)算機(jī)取證操作規(guī)范是很必要的。
相關(guān)閱讀:
電子證據(jù)的認(rèn)定
電子證據(jù)的認(rèn)證也就是審查電子證據(jù)是否符合電子證據(jù)認(rèn)定的相關(guān)性,真實(shí)性,合法性等標(biāo)準(zhǔn)。在審判實(shí)踐中主要審查與案件定罪、量刑等相關(guān)的電子證據(jù)的真實(shí)性和合法性。
在審查電子證據(jù)真實(shí)性過程中,首先必須嚴(yán)格審查電子證據(jù)的來源。在證據(jù)采信過程中,主要體現(xiàn)在如下幾個方面:第一,證據(jù)的來源必須是客觀存在的,排除臆造出來的可能性;第二,確定證據(jù)來源的真實(shí)可靠性,根據(jù)電子證據(jù)形成的時間、地點(diǎn)、對象、制作人、制作過程及設(shè)備情況,明確電子證據(jù)所反映的是否真實(shí)可靠,有無偽造和刪改的可能。如網(wǎng)絡(luò)銀行出具的支付、結(jié)算憑據(jù),EDI中心提供的提單簽發(fā)、傳輸記錄,CA認(rèn)證中心提供的認(rèn)證或公證書等就具有相當(dāng)?shù)目煽啃院洼^強(qiáng)的證明力。
其次審查電子證據(jù)的內(nèi)容。結(jié)合電子證據(jù)本身的技術(shù)含量及加密條件、加密方法,判斷電子證據(jù)是否真實(shí)、有無剪裁、拼湊、偽造、篡改等,對于自相矛盾、內(nèi)容前后不一致或不符合情理的電子證據(jù),應(yīng)謹(jǐn)慎審查。
最后根據(jù)唯一性的原則結(jié)合其他證據(jù)進(jìn)行審查分析判斷電子證據(jù)是否真實(shí)。多個連續(xù)的電子證據(jù)經(jīng)過時間空間上的排列、組合之后,應(yīng)同網(wǎng)絡(luò)犯罪行為的發(fā)生、發(fā)展過程和結(jié)果一致,形成一個完整的證明體系,相互印證,所得出的結(jié)論是本案唯一的結(jié)論。如審查有無電子證據(jù)所反映的事實(shí),同有關(guān)書證、物證、證人證言是否互相吻合,是否有矛盾。如果與其他證據(jù)相一致,共同指向同一事實(shí),就可以認(rèn)定其效力,可以作為定案根據(jù),反之則不能作為定案根據(jù)。
看過“電子取證技術(shù)有幾大方向”的人還看過: