咨詢電話:0571-88904011
服務熱線:400-675-9388
業內新聞

三分鐘帶你快速看懂電子數據取證!| 打擊網絡犯罪必備知

發布時間:2017-08-30     來源:華軍數據恢復中心     [打印]

       今天,小編決定帶大家“入行”電子數據取證行業,看看網絡犯罪案件的依據是怎么來的。說不定,一個不小心你就成了專家呢。

        

       經過WannaCry勒索病毒事件,網絡犯罪已經史無前例地成為了大眾焦點,如何懲治這些在網絡中的違法之人是大家都關心的問題。本文旨在揭開電子數據取證的神秘面紗,用最簡單的語言和方式讓大家了解網絡犯罪在法律面前是如何“伏法”的,若有描述不當之處,還請各位取證專家不吝指教。

 

       為打擊網絡犯罪而生的電子數據取證,是計算機學科與法學學科交叉的一門學科,而這門學科還可能涉及到邏輯學、密碼學、數據學等等,確實是個難度較大、對取證人員的素質要求較高的行業。(但誰說咱們就不行呢?)

 

一、 什么是取證?

 

常規取證:有調查取證權的組織或個人為了查明案件事實的需要,向有關單位或個人依法進行調查和收集證據。

 

要理解取證,我們首先要知道一個概念:

 

物質交換原理

 

       又稱為“洛卡德物質交換原理”,這個原理指出:犯罪的過程實際上是一個物質交換的過程,作案人作為一個物質實體在實施犯罪的過程中總是跟各種各樣的物質實體發生接觸和互換關系;因此,犯罪案件中物質交換是廣泛存在的,是犯罪行為的共生體,這是不以人的意志為轉移的規律

 

       簡單來說,就是兩個對象接觸就一定會交換物質并在對方處留下痕跡

 

       形象地說,如果你打我一巴掌,我的臉上會留下你的手印、汗漬、劃痕等,而你的手上也會有我的皮膚組織、汗漬等,這樣一來通過證據的吻合度是可以判斷出究竟是誰打了我(真不明白為什么要舉這么個例子……)

 
 

       電子數據同樣遵循這個原理,網絡罪犯也會留下“手印”,但這個痕跡只有專業的取證人員才能看得到。物質交換原理是電子數據取證的理論基礎,而取證就是尋找各種犯罪交換后留下的痕跡作為證據的活動

 

二、電子數據就是電子證據嗎?

 

是的!

       1991年,在美國召開的第一屆國際計算機調查專家會議上首次提出“計算機證據(Computer Evidence)”的概念,隨之有更多的名稱如“電子證據”、“數字證據”、“電子物證”等讓人迷茫不已。后來我國的訴訟法將“電子數據”列為證據類型,由此統一了名稱。也就是說,在取證行業里所說的電子數據,就是指的電子證據

 

       小編查閱了不少中外資料,發現對于電子數據的定義并沒有一個完全一致的說法。

美國國家司法機關(NIJ)的定義:“Digital evidence is information stored or transmitted in binary form that may be relied on in court.”

 

《人民檢察院電子證據鑒定程序規則》:“電子證據是指由電子信息技術應用而出現的各種能夠證明案件真實情況的材料及其衍生物”。

 

       等等等等。但大體上沒有太多差別,因此小編結合了劉浩陽主編的《電子數據取證》一書,將定義內容歸納如下,方便大家理解:

 

“電子數據”定義

1. 數字形式的數據(信息)

2. 能夠證明案件的的真實情況


       好,那么電子數據究竟在哪里獲得?

       這就到了大家熟悉的部分了——電子數據的載體。說白了,就是你現在拿著的手機!當然還不止于此,所有能夠儲存電子數據的設備都能算,電腦、平板、數碼相機、路由器、GPS、復印機、打印機……(省略一千字)

 

三、電子數據取證是個什么過程?

 

       明白了取證和電子數據的概念,接下來我們聊聊兩者的結合。

 

       前面提到了,關于電子數據的定義難以統一,那么說到電子數據取證的流程就更是眾說紛紜。在這里,小編給大家一個簡單粗暴的理解范本,學術定義還請參考各權威機構的文獻。

 

       就不舉例各家的定義了,根據小編自己的理解,電子數據取證的過程可以用一句話概括:

 

       把數字形式的證據轉化為報告形式的過程。

 

       但是,這個轉化形式的過程卻涉及法律標準、技術手段、工具使用等等多領域復雜的內容,那可不是幾句話能說得清楚的。本文重點是整體了解電子數據取證,至于細節我們以后慢慢深究。

 

下圖是電子數據取證過程步驟:

 

證據收集

 

       證據收集這個步驟也是爭議的一個焦點:究竟要不要算在取證過程中?因為現場收集證據一般被看作是警察的職責。

 

       小編之所以把它歸進來,一是想告訴大家完整的流程,二是認為證據收集的過程會影響后面的取證結果,因此應該被納為取證的環節之一

 

       首先我們要知道電子數據的脆弱性,它很容易被破壞:病毒、刪除、覆蓋等都會導致電子數據改變和丟失。因此在現場收集證據的時候,常規收集物證的警察可能會在不知情的情況下改變了關鍵的證據(比如切斷電源)或者遺漏了重要的證據,甚至是保存電子證據不當

 

       鑒于電子證據的特殊性,現場必須要專業的取證人員給予指導和協助,才能最大程度上地保存所有的證據,因此這也應該是取證人員要參與的環節——始于取證對象的鎖定和收集

 

數據獲取

 

       在收集完了所有證據后,接下來就得把無形的電子證據從有形的設備中獲取出來。說起來是給數據換個地方存儲,但實施起來卻是個不簡單的過程。

 

我們要考慮到這兩點:

1. 轉儲過程是否會改變原始設備上的原始數據?(證據一旦被改變了就沒有法律效應了)

2. 怎么證明你在轉儲過程中沒有改變任何數據?

 

       這就涉及到“鏡像”和“寫保護”的概念了,這兩個概念就是專門解決以上兩個問題的,后期我們還會分別介紹這兩個概念的原理以及需要使用的工具。

 

數據分析

 

       獲取到數據后,分析是找到罪證的關鍵。要從各種信息數據中找到嫌疑人與犯罪事實之間的聯系,其中涉及到的專業技術和取證工具就更多了,不同案件要用到的分析方法也不同,這需要調動取證人員綜合能力,靠的是經驗積累。

 

       數據分析中的技術點每一個都能作為一個單獨的課題來研究很久,這是取證的重中之重,敬請期待我們高階的各項專題干貨吧。

 

報告撰寫

 

       將整個取證過程以日志的形式詳細記錄下來,尤其是能證明犯罪事實的關鍵證據。

 

四、電子數據取證的目標

 

       電子數據取證的終極目標是:為法庭審判提供合法的證據。

 

       為實現這個終極目標,取證人員可能會設置一些小目標,如:恢復數據、破解密碼等等。但是這些小目標只是取證的技術手段之一,找到犯罪證據才是核心。因此,取證人員不會單單囿于一個技術點的突破上,而是會從邏輯出發,分析尋找證據。只要能夠合法地找到完整的證據鏈,可以為法庭提供有說服力的報告,這個過程就算圓滿完成

 

       總之,如今的生活,電子數據幾乎參與到了方方面面直至每個細節,你想得到或想不到的地方都存在關于你的電子數據,這些電子數據能客觀記錄許多你不曾留意的信息,所以才能夠給嫌疑人一錘定音,成為定罪的關鍵依據。

 

參考文獻

[1] 劉浩陽, 李錦. 劉曉宇, 等. 電子數據取證[M].  北京:清華大學出版社, 2015.

[2] 孫波, 孫玉芳. 張相峰, 等. 電子數據取證研究概述[J]. 計算機科學, 2005, 32(2).

[3] 王玲, 錢華林. 計算機取證技術及其發展趨勢[J]. 軟件學報, 2003, 14(9).

[4] Gary Palmer. A Road Map for Digital Forensics Research[R]. NewYork, 2001.

[5] Technical Working Group for ECSI. Electronic Crime Scene Investigation: A Guide for First Responders[R]. U.S. Department of Justice.

網站地圖 |  關于我們 |  合作伙伴 |  快遞運輸 |  Copyright @ 2013-2023 杭州華軍科技有限公司, All rights reserved.
杭州華軍科技有限公司 版權所有 浙ICP備15017254號-2

AV人摸人人人澡人人超碰下载