《计算机取证与司法鉴定概论》由会员分享,可在线阅读,更多相关《计算机取证与司法鉴定概论(20页珍藏版)》请在金锄头文库上搜索。
1、第 1 章计算机取证与司法鉴定概论计算机犯罪是目前破坏性最大的一类犯罪,要打击和遏制这种犯罪,计算机取证与司法鉴定承担着不可取代的作用,这是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科,是当前或不远的将来,我国信息网络安全亟须解决的重要问题,具有鲜明的时代性和创新特点。由于电子取证、计算机取证和司法鉴定有很多的共同点,所以本书在不引起歧义的情况下,有时并不区分它们。1.1 计算机取证与司法鉴定1.1.1 计算机取证计算机取证,目前还没有权威组织给出一个统一的定义,很多的专业人士和机构从不同的角度给出了计算机取证的定义。Judd Robbins 是计算机取证方面的一位著名的专家和资深人
2、士,他对计算机取证的定义如下:“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。计算机紧急事件响应和取证咨询公司New Technologies 进一步扩展了该定义:“计算机取证是对计算机证据的保护、确认、提取和归档的过程”。取证专家 Reith Clint Mark 认为计算机取证可以是“从计算机中收集和发现证据的技术和工具” 。笔者认为计算机取证或计算机法医学(computer forensics)是研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。此外,还有数字取证(digital forensics)和电子取证(electr
3、onic forensics) ,这与计算机取证是有所区别的:计算机取证的主体对象是计算机系统内与案件有关的数据信息,数字取证的主体对象是存在于各种电子设备和计算机系统中与案件有关的数字化数据信息,而电子取证的主体对象是指电子化存储的、能反映有关案件真实情况的数据信息。1.1.2 计算机司法鉴定司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问计算机取证与司法鉴定2题进行鉴别和判断并提供鉴定意见的活动。司法鉴定是刑事诉讼制度中的重要一环,长期以来,由于缺乏有关的法律规范,司法鉴定的混乱在一定程度上影响了法院对案件的审理。公、检、法、司各有各的司法鉴定机构,社会鉴定机构也
4、未纳入统一管理,自审自鉴,多重鉴定,鉴定结论模糊,鉴定缺乏统一的标准问题突出,妨害了司法鉴定的客观性、独立性、公正性。2005 年 2 月 28 日全国人民代表大会常务委员会关于司法鉴定管理问题的决定的颁布对解决司法鉴定长期以来存在的问题,加强对鉴定人和鉴定机构的管理,维护司法鉴定的独立性,具有重要意义。 决定对我国司法鉴定体制进行了改革,规定公安、安全、检察和军队的侦查机关根据侦查工作的需要设立的鉴定机构,不得面向社会接受委托从事司法鉴定业务;人民法院和司法行政部门不得设立鉴定机构;司法鉴定由在司法机关注册的鉴定机构进行,这是一种独立的第三方中介机构,鉴定机构无级别,受理案件无地域限制,实行
5、鉴定人负责制,独立、公正地服务社会,收取报酬。1.1.3 计算机取证与司法鉴定的研究现状1国外的研究概况1984 年美国 FBI 成立了计算机分析响应组(Computer Analysis and Response Team,CART) ,20 世纪 90 年代创立的国际计算机证据组织(www.ioce.org)就是要保护国家之间在计算机证据处理方法和实践上的一致性,保证从一个国家收集的数字证据能在另外一个国家使用。1998 年成立了数字证据工作组(www.swgde.org) ,该工作组在几年前提出了“同行评审期刊” ,进而推出国际数字证据期刊(www.ijde.org) 。2000 年左右
6、,业内许多专家逐渐意识到由于取证理论的匮乏所带来的种种问题,因此又开始对取证程序及取证标准等基本问题进行研究,并提出了几种典型的取证过程模型,即基本过程模型(basic process model) 、事件响应过程模型( incident response process model) 、法律执行过程模型(law enforcement process model) 、过程抽象模型(abstract process model)和其他过程模型。2003 年,美国犯罪实验室主任协会/实验鉴定委员会(American Society of Crime Laboratory Directors/La
7、boratory Accreditation Board, ASCLD/LAB)制定了新的鉴定手册,包含了美国犯罪实验室中为数字证据取证人员制定的标准和准则。2004 年, “英国法学服务”计划建立一个资格专家注册库,2008 年有些欧洲组织,包括“欧洲法学研究所(ENFSI) ”将为计算机取证人员出版、撰写指南性的检验和报告。2国内的研究概况2005 年 11 月,我国在北京成立了电子取证专家委员会并举办了首届计算机取证技术研讨会,2007 年 8 月,在新疆乌鲁木齐举办了第二届计算机取证技术研讨会。2005 年以来,CCFC 计算机取证技术峰会和高峰论坛也非常活跃,举办了三次大型活动。20
8、07 年和2008 年,在北京举行的国际反恐警用装备展中,电子取证的软硬件等设备,开始成为亮点。目前,中科院在网络入侵取证、武汉大学和复旦大学在密码技术、吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面都展开了研究工作。湖北警官学院在计算机取证和司法鉴定方面的研究工作走在公安院校的前列,第 1 章 Error! No text of specified style in document.32004 年 8 月,开始筹建湖北警官学院电子取证重点实验室,承担了国家、公安部和湖北省的一系列项目,2006 年 8 月依托湖北警官学院电子取证重点实验室,成立了具有司
9、法鉴定资质的湖北丹平司法鉴定所(后改名为湖北三真司法鉴定所) ,拥有 12 位国家计算机司法鉴定人,承办了大量的计算机取证和司法鉴定案件。在国内这个领域已经开始活跃。1.1.4 国内外在该学科领域已经取得的成果和进展1国内外动态20 世纪 90 年代中期,随着 Internet 等网络技术的发展,以计算机犯罪为主的电子犯罪呈现更加猖獗的势头,司法机关对取证技术及取证工具的需求更加强烈。由于看好取证产品的广阔市场,许多商家相继推出了许多关于取证的专用产品,如美国 GUIDANCE 软件公司开发的 Encase、美国计算机取证公司开发的 DIBS 以及英国 Vogon 公司开发的Flight Se
10、rver 等产品。由于主要受商家和应用技术的驱动,理论发展比较滞后,标准不统一。这种趋势导致在调查取证时既没有一致性也没有可依靠的标准,因此急切需要对计算机取证技术的理论和方法进行更深入的研究。在国内,有关计算机取证方面的研究和实践才刚起步,执法机关对计算机取证工具的应用,多是利用国外一些常用取证工具或者自身技术经验开发的工具,在程序上计算机取证的流程缺乏比较深入的研究,证据收集、文档化和保存不很完善,而且数字证据分析和解释也存在不足,造成电子数字证据的可靠性、有效性、可信度不强。到目前为止,专门的权威机构对计算机取证机构或工作人员的资质认定还没有形成规范,计算机取证工具的评价标准尚未建立,计
11、算机取证操作规范的执行也有所欠缺。2目前国内外在该学科领域已经取得的成果和进展1)主机电子证据保全、恢复和分析技术基于主机系统的取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术。包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。磁盘映像复制技术:由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行,所以,磁盘的映像复制技术就显得十分重要和必要。对于主机系统的取证而言,硬盘是计算机最主要的信息存储介质,一直以来是基于主机取证技术的重要研究内容。目前国内、外市场上,可进行硬盘数据复制的软硬件产品很多:有为司法需要而特殊设计的 SOLO 、SOLO
12、 、MD5、SF-5000 专用硬盘取证设备,有适合 IT 业硬盘复制需要的SONIX、Magic JumBO DD-212、Solitair Turbo、Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如 FTK、Parabens Forensic Replicator、Encase ;有综合实现硬盘取证和数据分析需要的多功能取证箱,如 Road MASSter、计算机犯罪取证勘查箱(金诺网安) 、 “天宇”移动介质取证箱(北京天宇晶远) 、 “网警”计算机犯罪取证勘察箱(厦门美亚) ;此外,还有针对无法打开机箱的计算机硬盘专用获取设备,如LinkMasster 、 “
13、全能拷贝王 ”、CD-500 。计算机取证与司法鉴定4对于数据恢复技术,国际取证专家普遍看好的有取证软件 TCT(the Coronors toolkit)和 Encase 等。但一些安全删除工具删除的数据也会留有痕迹,也称为阴影数据(shadow data) ,目前用特殊的电子显微镜一比特一比特地可以恢复写过多次的磁道。但七次覆盖后数据恢复技术不是很成熟,目前国外,Ontrack 公司、Ibas 实验室等数据恢复服务公司或机构正在进行研究七次覆盖后的数据恢复技术。反取证技术:反取证就是删除或隐藏证据使调查失效,反取证技术分为 3 类(数据擦除、数据隐藏、数据加密) 。目前针对基于主机系统取证
14、中的反取证而开发的工具不是很多,据报道目前能够综合应用的反取证工具仅是 Runefs 工具,但技术也不是很成熟。在当前而言,取证技术还不能完全击败反取证技术,但针对不同类型的反取证技术也开发了一些针对性的工具和应用,主要有需要密码学专业领域知识的密码分析技术和应用;包括口令字典、重点猜测、穷举破解等技术和应用;口令搜索;口令提取;口令恢复等技术的研究和开发的工具应用。对于数据擦除方面目前有 Higher Ground Software 公司的软件Hard Drive Mechanic、lazarus 工具、在 UNIX 环境 Unrm 等工具。反向工程技术:反向工程技术用于分析目标主机上可疑程
15、序的作用,从而获取证据。国外一些科研机构正在进行相关技术的研究,但目前这方面开发的工具还很少。基于主机系统的取证工具已有很多,但缺乏评价机制和标准。什么样的证据应该适用什么样的取证工具,进行怎样的操作过程,才能使获取的电子证据具有可靠性、有效性、可信性,制定取证工具的评价标准和取证工作的操作规范,将会是取证工具应用的另一个发展趋势。2)网络数据捕获与分析、网络追踪现有的许多用于网络信息数据流捕获的工具(如 NetXray、SnifferPro、Lanexplore 等)对各种通信协议的分析都相当透彻,但遗憾的是没有将现有的已经相当成熟的数据仓库技术运用到大量的网络数据的分析之中,更没有将其用于
16、网络入侵的分析与取证之中。数据挖掘是数据仓库技术中最重要也是最成熟的一种技术。数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。数据挖掘并不是简单的检索查询调用,而是对数据进行微观、中观、甚至宏观的统计、分析、综合和推理,以指导实际问题的解决,发现事件间的相互关联,甚至利用已有的数据对未来的活动进行预测。如果我们能够通过对捕获的数据进行知识挖掘与规律发现,监控并预测网络的通信状态并利用捕获的数据结合网络入侵检测系统,分析出网络入侵者的身份、入侵者入侵后的行为,对电子取证将起到不可估量的作用。信息搜索与过滤技术:在取证的分析阶段往往使用搜索技术进行相关数据信息的查找,这方面的研究技术主要是数据过滤技术、数据挖掘技术等,目前国外这方面的开发应用的软件种类也比较繁多,如 i2 公司的 AN6 等,但需要与中国国情相结合。网络追踪是电子取证的一个重要手段。网络追踪方法可分为四类:(1)基于主机的方法,依靠每一台主机收集的
