電子取證技術有幾大方向
由於電子證據的特殊性,在收集電子證據時,首先需由提供證據單位的計算機操作人員開啟電腦,查詢所需收集的證據。當找到證據時,取證人員應通過顯示器觀察和確認該檔案的形成時間。然後由操作人員開啟檔案,由取證人員確認該檔案系所要收集的證據後,採用相應的方式予以提取固定。下面由小編為你介紹電子取證的相關法律知識。
電子取證技術的三大方向
計算機取證是對計算機犯罪證據的識別獲取、傳輸、儲存、分析和提交認證過程,實質是一個詳細掃描計算機系統以及重建入侵事件的過程。
國內外計算機取證應用發展概況
現在美國至少有70%的法律部門擁 有自己的計算機取證實驗室,取證專家在實驗室內分析從犯罪現場獲取的計算機***和外設***,並試圖找出入侵行為。
在國內,公安部門打擊計算機犯罪案件是近幾年的事,有關計算機取證方面的研究和實踐才剛起步。中科院主攻取證機的開發,浙江大學和復旦大學在研究取證技術、吉林大學在網路逆向追蹤,電子科技大學在網路誘騙、北京航空航天大學在入侵誘騙模型等方面展開了研究工作。但還沒有看到相關的階段性成果報道。
電子取證技術的三大方向
計算機電子取證的侷限性以及面臨的問題
計算機取證的理論和軟體工具是近年來電腦保安領域內取得的重大成就,從計算機取證的軟體和工具實現過程的分析中可以發現,當前計算機取證技術還存在很大侷限性。
從理論上講,計算機取證人員能否找到犯罪證據取決於:有關犯罪證據必須沒有被覆蓋;取證軟體必須能找到這些資料;取證人員能知道這些檔案,並且能證明它們與犯罪有關,從當前軟體的實現情況來看,許多所謂的“取證分析”軟體還僅僅是恢復使用rm或strip命令刪除的檔案。
計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化:
***1*** 反取證技術的發展。反取證就是刪除或隱藏證據使取證調查失效。反取證技術分為3類:資料擦除、資料隱藏和資料加密,這些技術還可以結合起來使用,讓取證工作的效果大打折扣。
***2*** NestWatch、NetTracker、LogSurfer、VBStats,NetLog和Analog等工具可以對日誌進行分析,以得到入侵者的蛛絲馬跡。一些入侵者利用Root Kit***系統後門、木馬程式等***繞開系統日誌,一旦攻擊者獲得了Root許可權,就可以輕易修改或破壞或刪除作業系統的日誌。
計算機電子取證軟體侷限性表現為:
***1*** 目前開發的取證軟體的功能主要集中在磁碟分析上,如磁碟映像拷貝,被刪除資料恢復和查詢等工具軟體開發研製。其它取證工作依賴於取證專家人工進行,也造成了計算機取證等同於磁碟分析軟體的錯覺。
***2***現在計算機取證是一個新的研究領域,許多組織、公司都投入了大量人力進行研究。但沒有統一標準和規範,軟體的使用者很難對這些工具的有效性和可靠性進行比較。也沒有任何機構對計算機取證和工作人員進行認證,使得取證權威性受到質疑。
計算機電子取證發展研究
計算機取證技術隨著黑客技術提高而不斷髮展,為確保取證所需的有效法律證據,根據目前網路入侵和攻擊手段以及未來黑客技術的發展趨勢,以及計算機取證研究工作的不斷深入和改善,計算機取證將向以下幾個方向發展:
電子取證工具向智慧化、專業化和自動化方向發展
計算機取證科學涉及到多方面知識。現在許多工作依賴於人工實現,大大降低取證速度和取證結果的可靠性。在工具軟體的開發上應該結合計算機領域內的其它理論和技術,以代替大部分人工操作。
利用無線區域網和手機、PDA、行動式計算機進行犯罪的案件逐年上升,這些犯罪的證據會以不同形式分佈在計算機、路由器、入侵檢測系統等不同裝置上,要找到這些工具就需要針對不同的硬體和資訊格式做出相應的專門的取證工具。
計算機電子取證的相關技術發展
從計算機取證的過程看,對於電子證據的識別獲取可以加強動態取證技術研究,將計算機取證結合到入侵檢測、防火牆、網路偵聽等網路安全產品中進行動態取證技術研究;對於系統日誌可採用第三方日誌或對日誌進行加密技術研究;對於電子證據的分析,是從海量資料中獲取與計算機犯罪有關證據,需進行相關性分析技術研究,需要高效率的搜尋演算法、完整性檢測演算法優化、資料探勘演算法以及優化等方面的研究。
對入侵者要進行計算機犯罪取證學的入侵追蹤技術研究,目前有基於主機追蹤方法的Caller ID,基於網路追蹤方法的IDIP、SWT產品。有學者針對網路層的追蹤問題,提出基於聚類的流量壓縮演算法,研究基於概率的追蹤演算法優化研究,對於應用層根據資訊理論和編碼理論,提出採用數字水印和物件標記的追蹤演算法和實現技術,很有借鑑意義。在調查被加密的可執行檔案時,需要在計算機取證中針對入侵行為展開解密技術研究,。
計算機取證的另一個迫切技術問題就是對取證模型的研究和實現,當前應該開始著手分析網路取證的詳細需求,建立犯罪行為案例、入侵行為案例和電子證據特徵的取證知識庫,有學者提出採用XML和OEM資料模型、資料融合技術、取證知識庫、專家推理機制和挖掘引擎的取證計算模型,並開始著手研究對此模型的評價機制。
計算機電子取證的標準化研究
計算機取證工具應用,公安執法機關還缺乏有效的工具,僅只利用國外一些常用的取證工具或者自身技術經驗開發應用,在程式上還缺乏一套計算機取證的流程,提出的證據很容易遭到質疑。對計算機取證應該制定相關法律、技術標準,制度以及取證原則、流程、方法等,到目前為止,還沒有專門的機構對計算機取證機構或工作人員的資質進行認定。加強對具有取證職能的計算機司法鑑定機構的建設,指定取證工具的評價標準,對計算機取證操作規範是很必要的。
相關閱讀:
電子證據的認定
電子證據的認證也就是審查電子證據是否符合電子證據認定的相關性,真實性,合法性等標準。在審判實踐中主要審查與案件定罪、量刑等相關的電子證據的真實性和合法性。
在審查電子證據真實性過程中,首先必須嚴格審查電子證據的來源。在證據採信過程中,主要體現在如下幾個方面:第一,證據的來源必須是客觀存在的,排除臆造出來的可能性;第二,確定證據來源的真實可靠性,根據電子證據形成的時間、地點、物件、製作人、製作過程及裝置情況,明確電子證據所反映的是否真實可靠,有無偽造和刪改的可能。如網路銀行出具的支付、結算憑據,EDI中心提供的提單簽發、傳輸記錄,CA認證中心提供的認證或公證書等就具有相當的可靠性和較強的證明力。
其次審查電子證據的內容。結合電子證據本身的技術含量及加密條件、加密方法,判斷電子證據是否真實、有無剪裁、拼湊、偽造、篡改等,對於自相矛盾、內容前後不一致或不符合情理的電子證據,應謹慎審查。
最後根據唯一性的原則結合其他證據進行審查分析判斷電子證據是否真實。多個連續的電子證據經過時間空間上的排列、組合之後,應同網路犯罪行為的發生、發展過程和結果一致,形成一個完整的證明體系,相互印證,所得出的結論是本案唯一的結論。如審查有無電子證據所反映的事實,同有關書證、物證、證人證言是否互相吻合,是否有矛盾。如果與其他證據相一致,共同指向同一事實,就可以認定其效力,可以作為定案根據,反之則不能作為定案根據。
”的人還看過: