《计算机取证常见问题》由会员分享,可在线阅读,更多相关《计算机取证常见问题(4页珍藏版)》请在金锄头文库上搜索。
1、计算机取证常见问题1 根据现行法律规定及司法实践活动,对于数字证据的来源应审查些什么?(1)数字证据的来源是否是客观真实的存在,而不是主观臆断的产物。(2)数字证据收集的主体,时间,地点,过程,对象等是否合法。(3)数字证据的内容是否真实反映案件事实。(4)数字证据是否为在正常运行的计算机等设备在正常工作中形成的。(5)数字证据是否被用户非法输入和控制。(6)自动生成数字证据的计算机程序是否产生了故障。2 对于数字证据的保全可采用什么样的方法?(1)凡是将可擦写的原始软件和查获的媒体作为证据的,为了保证其证据的不可变性,应当在现场对所有原始的软件和查获的媒体采取写保护措施,并由现场见证人和当事
2、人签名(盖章)并按指印。(2)勘查中发现的一切有用证据都要及时固定按照有关规定要求拍摄现场全过程的照片和录像,制作现场勘查笔录及现场图,并记录现场照相和录像的内容,数量及现场图的种类和数量。(3)用打印输出的方式将计算机证据进行文书化,打印后表明提取时间,地点,机器,提取人,见证人,在计算机证据文书化后,统一在文书材料右上角加盖印章并逐项填写。(4)电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份,作为证据使用的电子数据存储介质应记明案由,对象,内容,录取,复制的时间,地点,规格,类别,存储容量,文件格式等,并复制两个以上的电子数据备份。(5)妥善保管存储电子数据证据的介质,远
3、离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀,应使用纸袋装计算机元件或精密设备不能使用塑料袋防止静电消磁,证据要集中保存,以备随时重组试验或展示。3 根据 DFRWS 框架,从取证过程的角度取证技术分为哪几类?(1)识别类(判定可能与断言或与突发事件时间相关的项目(Items) ,成分(Components)和数据。 )(2)保存类(保证证据状态的完整性,该类技术处理那些与证据管理相关的元素。 )(3)收集类(提取(Extracting)或捕获(Harvesting)突发事件的项( Items)及其属性(或特征) 。 )(4)检查类(对突发事件的项(Items)及其属性(或特征)
4、进行仔细地查看。 )(5)分析类(为了获得结论而对数字证据进行融合,关联和同化。 )(6)呈堂类(客观,有条不紊,清晰,准确地报告事实。 )4 计算机取证人员除了具有司法鉴定人所具有的一般性权利和义务,还具有哪些权利和义务?权利: 在取证或鉴定中所涉及的计算机设备中安装软件和硬件,建立新用户。 使用取证或鉴定所涉及的计算机。 对取证或鉴定所涉及的计算机及其网络进行监测和扫描。 能够复制与取证或鉴定工作有关的计算机信息。义务: 不能对取证或鉴定所涉及的计算机信息进行删除,修改或破坏。 在完成取证或鉴定工作后卸载和拆除其安装的软/硬件设备,注销其用户。不能继续通过其他途径进行监测和扫描。 遵循取证
5、,鉴定程序规定。 对作出的取证结果和鉴定结论负责。5 结合我国一般刑事案件取证原则和国内外学者的研究成果,可以总结出适合我国国情的哪些计算机取证原则?第一,取证合法原则(计算机取证程序必须合法,在取证过程中必须按照合法的程序开展工作;取证的工具必须合法,取证过程中要采取合法的技术手段和工具软件,保证电子证据从收集到分析的合法性;取证人员的资格必须合法,取证人员必须是经过有关部门认可的。 )第二,实事求是原则(实事求是,一切从实际出发,对计算机取证的结果,不能加以推测评估,应完全按照事实给出取证分析结论。 )第三,技术优先原则(为了符合其发展,计算机取证也必须采用先进的技术和工具,在必要的情况下
6、,还要聘请具有专业技术的计算机专家协助工作。 )第四,保密原则(取证人员在取证过程中,应尽量在自己的本职工作范围内进行取证,不查阅与本案无关的其他数据信息,如因工作需要了解了上述信息,应对信息进行严格保密。 )第五,固定保全原则(收集到的电子证据应当妥善保管,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀。 )6 现场情况调查的内容哪几个方面?第一,计算机信息网络工作人员基本情况调查。 (掌握工作人员情况是寻找侦查线索的基础工作,内容有,档案资料是否完整,有无犯罪前科,是否接受过相关的安全教育,录用审查是否合格等。 )第二,犯罪技能调查。 (计算机的高技术性决定了从事犯罪活动必须
7、有相应的技能。 )第三,作案动机调查。 (如果明确犯罪动机,很容易确定侦查或调查对象。 )第四,计算机信息网络系统安全管理情况调查。 (内容:工作人员工作职责划分是否妥当,工作关系是否协调,工作过程有无监督,牵制机制,外部人员出入控制是否严格,个噢你做环境中是否存在密码泄露,是否存在渗透的可能,是否存在利用工作人员疏漏获取信息进行犯罪的可能。 )第五,特殊人员调查。 (有时把一般操作人员有无作案能力,有无作案条件,有无反常表现等作为特殊人员进行调查,根据计算机信息网络系统犯罪活动实际情况而定。 )第六,外围人员调查。 (对非计算机信息网络系统工作人员,但有作案技能,有可能获取作案机会的外围人员
8、也应纳入调查范围。 )第七,有无内外勾结作案迹象的调查。 (对于不存在外部人员单独作案的犯罪案件,应重点调查内外勾结串谋的内应,这样侦查方向既明确又容易突破。 )第八,周围环境调查。 (主要内容是调查通信线路有无窃听装置,附近有无定向天线,有无可疑现象等。 )7 电子数据可采用哪些保存方法?第一,将电子数据做备份,将数据复制到其他存储介质当中。 (电子数据的备份一般应当将存储介质中的内容按其物理存放格式(如逐扇区,包括坏扇区)进行备份。 )第二,妥善保管存储电子数据的介质,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀。 (使用纸袋装电子元件或精密设备,不能使用塑料袋,防止静电消
9、磁,证据要集中保存,以备随时重组,实验或展示。 )8 计算机取证中证据分析类的通用工具有哪些?1 )文件浏览器(这类工具是专门用来查看数据文件的阅读工具。 )2 )图片检查工具(ThumbsPlus 是一个功能很全面的进行图片检查的工具。 )3 )文本搜索工具(DtSearch 是一个用于文件搜索的串配工具,该工具支持基于检索的快速匹配方式。 )4 )磁盘分区检测工具(分区检测工具为检测硬盘的分区结构提供了可视化的效果。 )5 )数据库分析与挖掘工具(数据库分析与挖掘工具可对调查的数据进行分类,聚类,相关性分析等操作。 )6 )介质与文件系统分析工具(NTI 公司软件系统 Net Threat
10、 Analyzer 使用人工智能中的模式识别技术,分析 slack 磁盘空间以及未分配磁盘空间,自由空间中所包含的信息。 )7 )流量嗅探和协议分析工具(Ethereal 能在 UNIX 和 Windows 系统中运行,能捕捉通过网络的流量并进行分析,能重构诸如上网和访问网络文件等行为。 )8 )日志分析工具(AWStats 是最近发展很快的一个基于 Peal 的 Web 日志分析工具,可运行在 GUN/Linux 上或 Windows 上,分析的日志直接支持 Apache 格式和 IIS 格式。 )9 Incase 取证工具具有什么特性?1 )识别功能(文件特征识别及分析功能,分析并证实文件
11、签名,发现那些为了隐藏内容而改名的文件。 )2 )保存功能(口令保护任何证据快以控制保管链。 )3 )分析功能(分析所有种类硬盘和可移动媒体的文件及文件夹结构。 )4 )显示功能(显示完整的驱动器映像,包括隐藏的和未分区的磁盘空间,并按关键字搜索。 )5 )提供脚本功能(Encase 在脚本中设定好需要搜索的关键字和特征代码,对证据硬盘全盘分析,以避免遗漏某些重要数据,提高分析处理的效率。 )10 电子证据的取证复制技术有哪些?1 )标准复制技术(Windows 系统下的标准复制技术是指利用系统 GUI 界面的复制,剪切,粘贴,或者利用命令行的 copy,Xcopy 等方式从被调查主机上复制证
12、据到目标存储设备上。)2 )物理镜像技术(物理镜像是指对被调查存储设备执行物理级的逐扇区,逐位拷贝,也被称为比特流复制。 )3 )快照技术(快照技术指的是快速完成数据对象在某一时间点的静态映像,存储快照创建一个数据“指针”的单独的集合,可以作为其他主机的一个卷或者文件系统来安装,并可以为原始数据提供一个接近实况数据的拷贝。 )11 在 UNIX 系统下,内容数据分析时常用工具 grep 和 find 的命令语法格式和功能是什么?grep 命令作用是在指定文件中搜索特定的内容,并将含有这些内容的行进行标准输出。命令语法格式是 grep【选项】 【查找模式】 【文件名 1,文件名 2,】find 命令用于在指定的目录结构中搜索文件名,并执行指定的操作。命令语法格式是 find【目录】 【选项】 【表达式】12 unix 系统下普遍使用的复制和镜像工具 dd arp/pio dump 的功能是什么?dd 是一个传统的硬盘取证镜像工具,可以对指定分区的所有空间的信息进行复制,包括未使用空间的信息。tar/cpio 是磁盘归档命令,UNIX 可以用它将许多文件打包到一起,形成一个档案文件,以便归档。Dump 为备份工具程序,可将目录或整个文件系统备份至指定的设备,或备份成一个大文件。
