首先请大家配合一起做一项课堂实验:首先请大家配合一起做一项课堂实验: 【课堂互动实验准备】 :【课堂互动实验准备】 : 请您以财务造假者的心态书写请您以财务造假者的心态书写 10 笔虚假的“金额数字” 笔虚假的“金额数字” 【本【本讲讲主要内容】主要内容】 内内 容容 课时分配课时分配 (学时)(学时) 授课人授课人 第一讲第一讲 计算机取证:信息技术时代调查取证的新技术:计算机取证:信息技术时代调查取证的新技术: 计算机取证的概念计算机取证的概念 电子证据及其特点电子证据及其特点 信息时代我们所面对的新问题与新挑战信息时代我们所面对的新问题与新挑战 计算机取证的基本原则、理念与基本常识计算机取证的基本原则、理念与基本常识 计算机取证的基本步骤计算机取证的基本步骤 2 2..0 0 张苏彤张苏彤 第第 5 讲:讲: 计算机取证(计算机取证(Computer Forensics)) 张苏彤 中国政法大学民商经济法学院财税金融法研究所中国政法大学民商经济法学院财税金融法研究所 中国政法大学法务会计研究中心中国政法大学法务会计研究中心 sutongzh@ 电子证据的保全电子证据的保全 常见的计算机取证工具常见的计算机取证工具 “取证大师”计算机取证软件简介与演示“取证大师”计算机取证软件简介与演示 取证典型软件简介取证典型软件简介 软件演示软件演示- -1 1:电子文档的加密与解密:电子文档的加密与解密 软件演示软件演示- -2 2:电子文件的“指纹”:电子文件的“指纹”——哈希值哈希值 软件演示软件演示- -3 3:电子数据的恢复:电子数据的恢复 软件演示软件演示- -4 4:计算机取证软件:计算机取证软件——“取证大师”“取证大师” 软件演示软件演示- -5 5:取证软件:取证软件 第二讲第二讲 信息时代调查取证的新方法: 数值分析技术及其信息时代调查取证的新方法: 数值分析技术及其 在经济案件调查中的应用在经济案件调查中的应用 历史的回顾:偶然发现的重要数学规律; 以图表形式表述的奔福德定律理论体系; 对奔福德定律的解释; 适用于奔福德定律的条件; 课堂实验测试; 奔福德定律在舞弊审计中的应用案例; 运用 Excel 电子表格完成奔福德定律相关统计的技巧。
软件演示软件演示- -6 6:财务造假数据的测试:财务造假数据的测试: :数值分析技术数值分析技术 课外作业课外作业 1.01.0 张苏彤张苏彤 本 一、一、 计算机取证的概念计算机取证的概念 第一讲:第一讲: 信息时代调查取证的新技术:计算机取证信息时代调查取证的新技术:计算机取证 ((Computer Forensics)) 计算机取证(计算机取证(Computer Forensics)) Forensic: Relating to or dealing with the application of scientific knowledge to legal problems 【课堂实验】 请在 Google 的图片搜索中输入“Computer Forensics” ,看看搜索的结果: 由上述图片我们可以简单地定义: “计算机取证是借助于专门的技术手段在计算机系统中获取有关电“计算机取证是借助于专门的技术手段在计算机系统中获取有关电子证据并对其进行分析的过程 ”子证据并对其进行分析的过程 ” 我们在此对计算机取证给出完整的定义: 计算机取证是以存在于计算机系统中的电子证据为研究对象, 研究如何法计算机取证是以存在于计算机系统中的电子证据为研究对象, 研究如何法律的框架下, 运用适当的技术手段, 按照既定的规程全面检查计算机系统及其律的框架下, 运用适当的技术手段, 按照既定的规程全面检查计算机系统及其外部设备,对存储在其中的电子证据进行提取、识别、存储、保护、固定、分外部设备,对存储在其中的电子证据进行提取、识别、存储、保护、固定、分析与报告, 并将合法有效的证据提供给法庭, 以解决有关的法律问题的一门融析与报告, 并将合法有效的证据提供给法庭, 以解决有关的法律问题的一门融计算机科学、证据法学、侦查学、证据调查学等学科为一体的一门新兴交叉科计算机科学、证据法学、侦查学、证据调查学等学科为一体的一门新兴交叉科学。
学 计算机取证对象包括:计算机取证对象包括: 硬硬盘、光盘、移动存储介质、存储卡、、移动终端盘、光盘、移动存储介质、存储卡、、移动终端 … 计算机取证在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计计算机取证在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计 算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法因此,算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法因此, 计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和相计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和相 关的经济犯罪案件,包括网络入侵、盗用知识产权和网络欺骗等关的经济犯罪案件,包括网络入侵、盗用知识产权和网络欺骗等 为什么我们要为什么我们要给在座的各位纪检监察人员讲“计算机取证”?给在座的各位纪检监察人员讲“计算机取证”? 我们先看两个发生在反贪领域的案例我们先看两个发生在反贪领域的案例 案例案例 1:受贿日记账在电脑中现原形:受贿日记账在电脑中现原形 本报讯(通讯员章俊盛 马晓波)近日,浙江省东阳市检察院技术人员运用电脑数据恢复技 术,从已经被删除数据的硬盘上成功恢复了重要信息,为反贪部门收集、固定受贿证据提供技术协助。
今年 5 月, 东阳市检察院立案侦查该市镇乡(街道)财政管理中心单位受贿 14 万元案件, 并 对该财管中心原主任任向东采取了取保候审的强制措施(其患严重的心脏病)检察官在办理该案的过程中,得知该管理中心报账员陈某曾在单位电脑上记录受贿流水日记账,但案发前已删 除了所有记录由于数据已被删除,陈某接受询问时避重就轻,案件没有实质进展 如何取得原始、真实的流水日记账?侦查人员想到可以恢复电脑数据,于是与院技术部门 联手, 向科技要力量 但由于数据被删除的时间较长, 且电脑一直正常使用着, 新建文档极多,给数据恢复带来了难度 为了保证数据恢复的成功率, 东阳市检察院信息技术人员查找了几款可以用于数据恢复的 软件,通过反复模拟试验,挑选出一款恢复成功率较高的软件正式恢复时,为了防止恢复过程对电脑硬盘的原始数据造成二次破坏,技术人员先将数据恢复到备用硬盘上,在不损坏电脑 硬盘原始数据的前提下,恢复了大量的 office 文件在恢复的文件中,技术人员找到了该财管中心现金收支的 Exce1 文件5 月 21 日,陈某看到这些文件后,当场认可了这些电子物证的真实性,并如实交代了受贿款的去向 东阳市检察院相关负责人介绍,发挥技术部门的优势,对关键数据进行恢复,协助反贪部 门收集、固定受贿证据,是信息技术为办案服务,将电子物证应用于提供侦查方向和收集、固定证据的一个有益尝试,该院今后将不断予以完善。
案例案例 2:重庆丰都镇财政所所长何坪贪污公款案:重庆丰都镇财政所所长何坪贪污公款案 重庆市丰都县检察院日前在破获一起高额贪污案时也成功运用数据恢复以及计算机取证 技术锁定证据在犯罪嫌疑人烧毁发生额近 3 亿元会计账簿及原始凭证以期隐瞒罪行的情况 下,丰都县检察院利用数据恢复、计算机取证技术在已经被删除证据的电脑上恢复了相关数据,成功的以贪污罪对犯罪嫌疑人原重庆丰都一镇财政所所长何坪提起公诉,并判处十年有 期徒刑 上述案例中的办案人员实际上运用了计算机取证中的数据恢复数据恢复技术 数据恢复数据恢复是指通过技术手段,将存储介质上丢失的电子数据进行抢救和重新恢复的过程 【课堂实验-1】 :数据恢复软件演示 数据恢复软件 R-Studio v6.1 演示: http://www.data-recovery- 计算机取证在反腐败领域中可以发挥重要的作用计算机取证在反腐败领域中可以发挥重要的作用 在当今信息技术高度发展的今天,网络、电脑、智能、数码相机、平板电脑、电子邮件、微博、 、优盘、移动硬盘、光盘等充斥我国的工作与生活的方方面面现代信息技术在带给我们极大便利,彻底改变了我们的生活的同时,也给违纪违法的当事人实施违法违纪活动提供了极大的便利,他们可以 用电脑和智能存储有关的“账册”与记录、利用网络上的电子邮件和等通信设备沟通信息。
我们经常可以发现我们的当事人包里的笔记本电脑不离身,智能不离手,随身携带的还有数码 相机、平板电脑、 优盘、移动硬盘当事人的这些电子设备中一定往往隐藏着不少与案件相关的证据资料起获当事人所携带的这些电子设备并对其中的相关信息进行提取与分析,会有效地取得案件的相关证据与线索,极大地帮助我们办理有关的案件 那么如何对隐藏在当事人电子设备中的信息进行提取、解密、恢复、识别、存储、保护、固定、分 析与报告就是我们今天要给大家介绍的“计算机取证”所研究的内容 从纪检监察的调查角度看,调查取证的数据分析来源从纪检监察的调查角度看,调查取证的数据分析来源: 家庭电脑(台式机\笔记本\苹果电脑) 智能(高端 iphone, Samsung Galaxy); 移动存储介质(优盘\移动硬盘\数码设备 ipod,itouch) 平板电脑(ipad) 第三方服务商提供的数据(话单记录、银行帐户往来信息记录、房产信息、工商注册登记信息等) 通过计算机我们能提取哪些对纪检工作相关的数据通过计算机我们能提取哪些对纪检工作相关的数据? 即时通讯(如 \MSN\Skype 等); 电子邮件(Outlook\Foxmail 等); 上网记录(个人上网的各种行为以及在各种论坛上发的帖子; 社交网络(微博\博客等); 网购的记录(订单、网上支付的记录、网上物流的记录) ; 网上银行资金出入的记录( 受贿与行贿资金流向的痕迹) ; 通过和平板电脑能提取哪些对调查工作相关的数据通过和平板电脑能提取哪些对调查工作相关的数据? 即时通讯与社交网络 (微博、 飞信、 翼聊、 -朋友圈等) ; 邮件\上网记录\地址位置信息等) ; 拍照的图片; 即时通讯(如 \MSN\Skyp 等); 电子邮件(Outlook\Foxmail 等); 通过上网的记录及在各种论坛上发的帖子; 地址位置信息(通过对 GPS\Wi-Fi\基站信息的分析,可通过了解曾经该人员去过哪些地方); 话单关联人的通话记录(行贿的相关可疑人员) 计算机取证主要是围绕电子证据进行的。
计算机取证主要是围绕电子证据进行的 计算机取证要解决的重要问题是对电子证据如何进行收集、如何保护、如何分析和如何展示 二、电子证据及其特点二、电子证据及其特点 (一)电子证据的概念(一)电子证据的概念 电子证据划分为广义与狭义两种电子证据划分为广义与狭义两种 广义的电子证据,是指以电子信息技术及其设备存储、处理、传输、输出广义的电子证据,是指以电子信息技术及其设备存储、处理、传输、输出的,用以证明案件事实的一切材料及其派生物的,用以证明案件事实的一切材料及其派生物 狭义的电子证据主要是指,以数字的形式记录、产生、存储于计算机的存狭义的电子证据主要是指,以数字的形式记录、产生、存储于计算机的存储器或外部存储介质中的, 可以为人或计算机或相关设备读取或接受, 能够证储器或外部存储介质中的, 可以为人或计算机或相关设备读取或接受, 能够证明。