电子数据取证引入
概念¶
电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据
特点¶
- 计算机数据无时无刻不在改变。
- 计算机数据不是肉眼直接可见的,必须借助适当的工具。
- 搜集计算机数据的过程,可能会对原始数据造成严重的修改。
- 电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。
基本流程¶
总体上可分为两个阶段 现场勘查阶段 和 证据分析阶段
现场勘查阶段¶
主要任务是获取可能的物理证据,如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。
证据分析阶段¶
对获取的存储设备进行深入检查,发现可能的电子证据并生成报告,以便提交给法庭作为诉讼证据。
基本具体流程¶
- 取证准备 取证人员在前往现场进行勘查取证之前,必须做好充分的准备工作。包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的对象可能包括哪些等。根据所了解的案情,准备前往现场的勘查人员和勘查设备。
- 证据识别 识别现场可能包含证据的设备,如嫌疑人的计算机、打印机、存储介质(软盘、光盘、移动硬盘、U盘、CF卡)、其它电子设备(如PDA、手机、数码相机)。需要注意的是,现在存储介质的形状样式越来越多样化,如U盘,可以做成各种样式,应该注意识别这些被“隐藏”起来的证据。
- 证据收集 收集现场发现的证物并做好记录。
- 证据固定及获取 证据固定的目的,是要保护原始证据不被破坏。如当现场的计算机处于开机状态时,内存信息、屏幕信息、进程信息等关机后就会丢失的易丢失证据,需要将其提取出来进行保存,然后再关机。对于硬盘数据等非易失性数据,也须用硬盘复制机复制下来以便后续分析,从而避免硬盘硬件出现故障或硬盘中的数据被篡改。
- 证据保存 证据保存是将获取的物证进行封装,以便存储和运输。电子证物的封装除了要考虑通常的防潮防震以外,部分证物还应注意防静电或进行信号屏蔽,如开机状态的手机,应立即放入信号屏蔽盒中,以避免新短信或电话呼叫导致覆盖手机内存或SIM卡中的原有信息。
- 证据分析 证据分析过程是借助取证分析软件对获取的电子证据进行深入分析,挖掘出潜在的犯罪证据和线索。功能比较综合的取证软件如Encase、FTK、取证大师、火眼等。
- 生成报告 将取证大师等软件结果生成符合规定的报告形式,取证软件本身一般都提供报告的制作和导出功能。
基本原则¶
- 不损害原则
- 避免使用原始证据
- 记录所做的操作
- 遵循相关的法律法规
取证类别¶
存储介质的载体¶
- 计算机取证
- 手机取证
- 物联网取证
- 云取证
- 网络取证
数据归属的类别¶
- 内存取证
- 数据库取证
- 视频取证
- 图像取证
- 邮件取证
- 密码破解
- 数据可视化分析
常见电子数据取证装备¶
- 硬盘复制机
- 取证工作站、取证一体机
- 免拆机取证系统
- 计算机取证: 计算机取证分析软件、动态仿真系统
- 手机取证: 手机取证分析、手机解锁、手机仿真、手机芯片取证
- 多媒体取证: 图片取证、视频取证
- 密码破解
- 综合数据分析等
计算机取证装备及软件¶
国外¶
| 厂商 | 代表产品 | 影响力 | 网站 |
|---|---|---|---|
| Guidance Software | 只读锁:T35u/T35es/T8/T9等 硬盘复制机:TD1/TD2/TD3/TX1 | 高 | www.guidancesoftware.com |
| Logicube | 硬盘复制机:Dossier/Falcon/Talon | 高 | www.logicube.com |
| Digital Intelligence | 只读锁:Tableau系列 取证工作站:FRED系列 | 高 | www.digitalintelligence.com |
| ICS | 只读锁:Super DriveLock 硬盘复制机:SOLO5 | 中 | www.ics-iq.com |
| ATOLA | 硬盘复制机:ATOLA Insight | 中 | www.atola.com |
| Accessdata | FTK、DNA、Summation等系列 | 中 | www.accessdata.com |
| X-Ways | 取证分析软件:X-Ways Forensics | 高 | www.x-ways.net |
| Magnet | 电子数据取证综合分析工具:AXIOM | 高 | www.magnetforensics.com |
国内¶
| 厂商 | 代表产品 | 影响力 | 网站 |
|---|---|---|---|
| 美亚柏科 | 只读锁:DC-7800系列等 硬盘复制机:DC-8200PRO/DC-8103 取证一体机:取证魔方 取证工作站:取证塔、手机塔等 | 高 | www.300188.cn |
| 奇安信 | 盘古石系列取证分析产品 | 高 | www.qianxin.com |
| 上海弘连 | 火眼、网镜、网探、雷电APP分析等 | 高 | www.forensix.com |
| 杭州平航 | 手机取证PK250、计算机取证系列产品 | 高 | www.pinghang.com.cn |
| 四川效率源 | 数据恢复设备、手机取证及计算机取证设备、取证实验室设备 | 高 | www.xlysoft.cn |
| 厦门兴百邦 | 取证神探、取证前锋、仿影仿真、手机解锁大师、手机神探等 | 中 | www.binarydata.cn |
| 深圳云帆赢通 | IEDF手机Root及镜像系统、手机芯片取证设备 | 中 | www.szyfyt.com |
开源取证软件¶
- AUTOPSY Autopsy是一款开源取证分析工具,可用于院校开展取证教学及取证研究。国外也有执法部门将其用于实战使用。
- Digital Forensics Framework(DFF) DFF是以专用API为基础的一个开源计算机取证平台,具有GPL许可证。它是一个灵活的模块化系统,可以辅助你的数据调查取证工作。
法律法规¶
行业标准¶
- GB/T 29360-2012 电子物证数据恢复检验规程
- GA/T 978-2012 网络游戏私服检验技术方法
- GB/T 29361-2012 电子物证文件一致性检验规程
- GA/T 1069-2013法庭科学电子物证手机检验技术规范
- GB/T 29362-2012 电子物证数据搜索检验规程
- GA/T 1070-2013法庭科学计算机开关机时间检验技术规范
- GA/T 754-2008 电子数据存储介质复制工具要求及检测方法
- GA/T 1071-2013法庭科学电子物证Windows操作系统日志 检验技术规范
- GA/T 755-2008 电子数据存储介质写保护设备检测方法
- GA/T 1770-2014 《移动终端取证检验方法》
- GA/T 756-2008 数字化设备证据数据发现提取固定方法
- GA/T 1771-2014 《芯片相似性比对检验方法》
- GA/T 757-2008 程序功能检验方法
- GA/T 1772-2014 《电子邮件检验技术方法》
- GA/T 825-2009 电子物证数据搜索检验技术规范
- GA/T 1773-2014 《即时通讯记录检验技术方法》
- GA/T 826-2009 电子物证数据恢复检验技术规范
- GA/T 1774-2014 《电子证据数据现场获取通用方法》
- GA/T 827-2009 电子物证文件一致性检验技术规范
- GA/T 1775-2014 《软件相似性检验技术方法》
- GA/T 828-2009 电子物证软件功能检验技术规范
- GA/T 1776-2014 《网页浏览器历史数据检验技术方法》
- GA/T 829-2009 电子物证软件一致性检验技术规范
- 《计算机犯罪现场勘验与电子证据检查规则》(公信安 〔2005〕161号)
- GA/T 976-2012 电子数据法庭科学鉴定通用方法
- 《公安机关电子数据鉴定规则》(公信安〔2005〕281号)
- GA/T 977-2012 取证与鉴定文书电子签名
- GB/T 29360-2023 法庭科学 电子数据恢复检验规程
- GB/T 29361-2023 法庭科学 电子数据文件一致性检验规程
- GB/T 29362-2023 法庭科学 电子数据搜索检验规程