电子证据取证技术的研究.docx
- 文档编号:7256793
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:8
- 大小:24.52KB
电子证据取证技术的研究.docx
《电子证据取证技术的研究.docx》由会员分享,可在线阅读,更多相关《电子证据取证技术的研究.docx(8页珍藏版)》请在冰点文库上搜索。
电子证据取证技术的研究
电子证据取证技术的研究
发表时间:
2010-10-3116:
31:
00阅读次数:
502 所属分类:
法学研究
电子证据取证技术的研究
杨永川1李岩2
(1.中国人民公安大学,北京100038;2.宝鸡市公安局,陕西宝鸡721001)
摘要电子证据即为电子数据证据,通常指在计算机或计算机系统运行过程中产生的以其记录内容来证明案件事实的电磁记录物。
电子证据取证包括证据获取、证据分析和证据报告三个过程。
同时,电子证据作为诉讼证据必须具备客观性、关联性、合法性的特征。
"-3前,以数字化形式出现的电子证据对传统的证据形式提出了挑战。
关键词电子证据;取证技术;分析探讨
中图分类号D918.43
0引言
信息社会使我们融入了数字世界,信息网络改变了人们的工作、生活模式。
这种信息载体的革命性变革也引发了诸多法律问题,与计算机相关的诉讼不断出现,一种新的证据形式——电子证据成为人们研究与关注的焦点。
1电子证据的概念和性质
电子证据即为电子数据证据,也被称作计算机证据、数据证据、网上证据等。
电子证据一般理解为电子数据形成的证据,通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
它是现代信息社会产生的新的证据种类。
电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件,毫无疑问它具有一般证据所具有的客观存在性,既是可信的、准确的、完整的、符合法律法规的,同时它又具有自身的特殊性。
掌握了电子证据独特的性质,有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。
电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了高科技含量的技术设备,电子证据就无法保存和传输,所以电子证据的形成具有高科技性;电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息,是通过看不见摸不着的计算机语言记载的,其数据是以磁性介质保存,它又具有无形性;电子数据以“比特”的形式存在,是非连续的,‘改动、伪造不易留下痕迹,数据或信息被人为地篡改后,如果没有可对照的副本、映像文件则难以查清、难以判断,电子证据还表现为易改动性;人为的恶意删除、误操作、电脑病毒、电脑故障等等原因,均有可能造成电子证据的消失,电子证据又呈现易消失性;电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息,其外在表现形式具有多样性;此外,电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。
电子证据的上述性质,决定了其取证过程有别于许多传统的取证方法,它对司法和计算机科学领域都提出了新的研究课题。
作为计算机领域和法学领域的一门交叉科学,电子证据取证正逐渐成为人们研究与关注的焦点。
通过多年的工作实践,我们认识到电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则,要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素,才能保证电子证据的真实性、合法性。
例如,通过IP地址取证,就必须掌握IP地址的特点。
Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。
在Internet上,每一个节点都依靠为惟一的IP地址互相区分和相互联系。
IP地址分为静态地址和动态地址。
对开放了诸如www、FTP、E—mail等服务的主机,通常使用静态地址,以方便用户访问。
静态IP可以通过网络运营商直接查找其物理地址及使用者。
有些用户由于其上网时间和空间的离散性,为其分配一个固定的IP地址(静态IP)将造成IP地址资源的浪费,因此对如拨号上网用户、ADSL用户等,只分配动态IP地址。
这些用户通常会在每次拨通ISP(即网络服务提供商)的主机后,自动获得一个动态的IP地址,该地址不是任意的,而是该ISP申请的网络ID和主机ID的合法区间中的某个地址。
这些用户任意两次连接时的口地址很可能不同,但在每次连接时问内IP地址不变。
对动态IP地址取证,可通过网络运营商的认证系统,找到与之捆绑的帐户,从而确定上网者。
我们也可以通过公安机关公共网络监察部门查找。
依照国家有关法律法规,为保护计算机信息的安全,网络运营商、Intemet服务机构,其IP地址等信息必须在公安机关公共信息网络监察部门备案。
2电子证据的形成
在工作中,我们通常采用国际上通用的程序对有关电子证据提取、固定,然后再将电子证据转化为具有法律效力的证据。
对一个电子证据的取证一般包括三个过程:
证据获取、证据分析和证据报告。
必须用正确的方法进行这些步骤,证据才会被法庭采信。
2.1证据获取
证据获取涉及从涉案计算机的软盘、USB存储器、硬盘等存储媒介,将数据传输到用作检查的计算机上。
要获取目标系统中的所有文件,包括现有的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件、隐藏文件、受到密码保护的文件和加密文件等,尽可能全部恢复发现的删除文件,并保证原有媒介没有遭到改动,以及复制数据和原有数据的一致性。
通常采用Hash算法对原始文件进行运算,得到一个固定长度的数字串,称为报文摘要(MessageDigest),Hash算法是一个不可逆的单向函数。
采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。
文件一旦被修改,就可检测出来,保证了电子证据获取的完整性和惟一性。
在计算机信息系统中,“Delete”这个词并不意味着消灭。
一般地删除文件操作,即使在清空了回收站后,要不是将硬盘低级格式化或将硬盘空间装满,仍可能将“删除”的文件恢复过来。
当一个文件被删除时,计算机把这个文件占有的空间配置给新的数据。
所谓“Delete”是指从目录列表和文件配置桌面上移走,但在被新的数据改写或是被实用软件“擦”去之前,这些文件的全部内容依然保留在硬盘里。
在Windows操作系统下的windowsswap (page)file(一般用户不曾意识到它的存在),大概有20~200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其他任何有关windows会话工作的信息。
另外,在Windows下还存在着fileslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其他潜在的工作会话碎片。
以上这些都可以利用计算机取证软件来收集,作为潜在的证据。
获取包括残留数据在内的所有数据的方法,是从本地电脑的硬盘上拷贝数据时制作镜像拷贝。
2.2证据分析
证据分析是对获取的证据进行数据分析。
分析计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有元可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。
注意开机、关机过程,尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。
分析在磁盘的特殊区域中发现的所有相关数据。
利用磁盘存储空闲空间的数据分析技术进行数据恢复,获取文件被增、删、改、复制前的痕迹。
将收集的程序、数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。
还要注意分析计算机所有者、电子签名、密码、交易记录、回复信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体。
对系统日志的分析是获得证据的一个重要途径。
日志是使系统顺利运行的重要保障,它会告诉我们系统发生了什么和没有发生什么。
UNIX采用了syslog工具来实现此功能,所有在主机上发生的事情都会被记录下来。
syslog已被许多日志系统采纳,它用在许多保护措施中——任何程序都可以通过syslog记录事件。
syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。
它能记录本地事件或通过网络纪录另一个主机上的事件。
syslog依据两个重要的文件:
/sbin/syslogd(守护进程)和ete/syslog.conf配置文件,习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.})。
一个典型的syslog纪录包括生成程序的名字和一个文本信息。
它还包括一个设备和一个行为级别(但不在13志中出现)。
我们常用的Windows2000系统,其日志文件有应用程序日志(AppEvent.EVT)、安全日志(SeeEvent.EVT)、系统日志(SysEvent.EVT)、FTP日志(msftpsvcl)、WWW日志(w3svel)等。
当我们使用探测工具,比如用流光的IPC探测时,会与目标主机建立一个空的连接(无需用户名与密码),而利用这个空的连接,可以得到目标主机上的用户列表。
但同时它也就会在安全日志里迅速地记下探测时所用的用户名、时间等。
同样,用FrP探测后,也会立刻在FrP日志中记下IP、时间、探测所用的用户名和密码等。
只要记下IP后很容易地找到探测者。
Scheduler日志(sehedlgu.txt)也是个重要的日志文件,我们经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。
对计算机取证的分析过程中主要采用的技术包括对比分析与关键字查询,文件特征分析技术,残留数据分析技术,磁盘储存空闲空间的数据分析技术,磁盘后备文件、镜像文件、交换文件、临时文件分析技术,记录文件的分析技术等几类。
EnCase软件在运行时能建立一个独立的硬盘镜像,而它的FastBloc工具则能从物理层阻止操作系统向硬盘上写数据。
因为这个工具能非常仔细对系统进行分析,也可直接在Windows环境下,利用第三方数据分析软件进行分析。
2004年9月陕西省宝鸡市公安局网监处,在查处黄色淫秽网站“乖乖娱乐网”时,就是利用EnCase、finaldata等软件,从涉案的服务器恢复了被删除的数据,并对数据进行分析,最后通过证据的环环相扣,相互印证,破获了此案。
用证据分析能够发现反映案件客观事实的数据,发现各种异常现象或者推断作案人使用的作案工具、作案手法,从而发现作案人是在何时、采取何种手段、从哪些方面对系统进行了哪些侵害,从中选取有价值的侦查线索。
电子信箱是网络世界人们交流的重要工具。
电子邮件也可作为电子证据。
在网上,电子信箱有收费与免费之分。
收费信箱在ISP处均有收发件人的个人资料备案,其电子邮件的收发件人是很容易确认的。
免费邮箱在电子信箱中所占的比重很大,出于各种原因申请表的信息大部分人都是随手填写。
在这种情况下,我们只能根据电子邮件的属性,查找相关的背景资料。
电子邮件等会自动保存发件人的发送时间、邮件地址及发送计算机的IP地址。
这样可以确定是由哪一个IP地址发送和接受的这个IP地址,可以查出是由哪一台计算机在特定的时间发送和接收的,可以查出电子邮件的发送及接收时间,可将使用计算机的人的范围排除到最小,然后结合别的证据予以最终的认定。
2.3证据报告
证据报告是当证据准备好后,做一个列出获取证据、分析证据并说明与案件相关的理由的报告。
它包括目标计算机系统的整体情况,发现的文件结构,数据及隐藏、删除、保护、加密情况,《设备拓扑图》、《原始证据使用记录》、《固定证据清单》、《电子数据鉴定报告》,在调查中发现的其他的相关信息情况,标明提取时间、地点、机器、提取人及见证人,并列出对目标计算机系统的全面分析和追踪结果,给出分析结论。
必要时还需要电子数据鉴定机构出具的检验鉴定结论。
最后以证据的形式按照合法的程序提交。
3电子证据的收集与保全
计算机安全事件发生后对目标系统的分析是静态分析。
随着计算机的广泛应用,这种静态的分析有时无法满足要求。
发展趋势是将计算机取证与网络安全工具和网络体系结构技术相结合,进行动态取证。
整个取证过程将更加系统并具有智能性,也将更加灵活多样。
网上信息是动态数据,我们在电子证据的采集、审查、认定以及案件的侦破中一定要具备专门的训练和掌握专门技能。
电子数据的保全是一种有效的取证方法,一些民事案件中,保全的电子数据作为对方有过错的证据曾被法庭采信。
对网络上的信息进行证据保全,可以利用公证这项特殊的法律手段。
公证人员接到申请后,与当事人一起网上查找,对操作电脑的步骤,包括电脑型号、打开电脑和进入网页的程序以及对电脑中出现的内容进行复制等等进行全程现场监督和记录。
同时,对现场情况进行拍照。
之后,公证人员依照真实合法的原则出具具有法律效力的保全证据公证书。
在某些特定的计算机案件中,如网络遭受黑客攻击,应收集的证据包括:
系统登录文件、应用登录文件、AAA登录文件(比如RADIUS登录)、网络单元登录(Network Elementlogs)、防火墙登录、HIDS事件、NIDS事件、磁盘驱动器、文件备份、电话记录等等。
收集证据时要注意:
在移动或拆卸任何设备之前都要拍照;在信息收集中要至少有两个人,以防止篡改信息;应记录所采取的所有步骤以及对配置设置的任何改变,要把这些记录保存在安全的地方。
也可以通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。
网上聊天记录也可以作为证据。
2001年北京市高级人民法院制定了关于证据的相关规定,确定网络资料可以当作视听资料的证据使用。
因此,聊天记录等可以作为司法证据。
取证的方式,最好以查看源代码并复制出所有内容粘贴到字处理软件中编辑并尽可能不失真地用高档设备打印出来。
如果是声音文件,可记录成文字后打印出来,并保留原声音文件便于将来的庭审质证。
在诉讼之前,可以请公证机关去取证,并作出公证文书;或申请人民法院诉前证据保全。
但法律规定,聊天记录只有由公证处通过合法程序得来,并进行了公证,才可以和原件具有同等效力,也就是说,可以作为证据来使用。
但在现实中往往存在取证难的问题,如密码很难得到,也就很难保全证据。
事实上,由于聊天证据的真伪比一般证据难以辨认,在司法实践中,在其他证据相佐证的情况下,可以作为法院参考,但很少作为独立证据使用。
如今在民事诉讼中,电子证据已经可以作为证明合同关系成立与否的一种有效证据。
《中华人民共和国合同法》第11条规定:
“书面形式是指合同书、信件、数据电文(包括电报、电传、传真、电子数据和电子邮件)等有形地表现所载内容的形式。
”而我国《刑事诉讼法》中,法定证据种类有物证、书证、证人证言、被害人陈述、犯罪嫌疑人被告人供述和辩解、鉴定结论、勘验笔录和视听资料等七种,电子证据尚未被纳入法定的证据形式当中。
虽然电子证据的法律地位及其效力,目前在法律上仍无明文规定,但其作为证据已经出现在司法机关办理的各类犯罪案件中,却是不争的事实。
涉及刑事案件的电子数据,只要是按相关规则采集,经过电子数据鉴定后认定的,可以作为刑事案件的电子证据。
由于电子证据的特点不同于传统的七类证据,其在电子交易中的作用,其他任何证据形式都无法取代。
可以肯定,在不久的将来,电子证据将成为一种独立的证据类型,并将被确定其应有的证明力。
4电子证据的采信
电子证据作为诉讼证据,同样应该具备三个最基本的特征:
客观性、关联性、合法性。
这种新形态的证据必须运用电子技术进行发现、提取、检验、鉴定,并结合技术上的指标进行审查判断。
如果这种技术上的运用失去具有法律效力的证据准则的“支持”,将导致在诉讼中审查和采信电子证据无法可依,很难在司法程序中发挥效力。
因为能作为证据使用和这个证据能不能被法庭肯定是两个概念,在电子证据的认证过程中,什么样的电子数据可以作为证据,什么样的电子证据可以被法庭采信,是我们在取证工作中面I临的新课题。
我们知道,电子证据大多是人们直接通过输入设备输入的一种贮存记录,它不像传统手写记录那样有较为明显的笔迹特征,不能够通过传统的笔录鉴定方法来确定制作人的身份;由于网上没有用真实姓名的习惯,通过制作或传输电子数据所用的网名等,并不能认定制作人或者传输人;网上的电子证据很容易被篡改或者伪造,因而在技术上不能排除由其他人制作或者传输了这些计算机证据的可能性。
因此要证明电子证据具有形式上的真实性,就要从形成计算机证据依赖的环境数据(环境证据)人手。
如电子数据的来源,输入、处理、输出、安全等等方面,建立完整的电子证据鉴证规则,公安部制定的《电子数据鉴定规则(试行)》,就是要解决电子证据的前置性问题,证明电子证据具有形式上的真实性,这是保证电子证据具有证据能力的先决条件。
此外,为保证电子证据本身的可信性,保障对方当事人有反询问权,除了鉴证规则,电子证据的采信还涉及到另一项重要规则,即针对供述证据的传闻法则。
它的基本思想是,对于含有陈述或者制作人“意思表示”的证据,原则上要求陈述者或者意思表示人出庭以言词的方式作证。
电子证据按照形成方式一般可分为:
一是计算机存储记录(Computer--storedRecords),它要具有可采性的先决条件是必须具有可信性的保障要件。
通过手写输入的以电子形式表现的文件,如电子邮件、字处理文件、聊天信息等等计算机存储记录是人类意志的机械客观的记录,因而是一种典型的传闻证据。
二是计算机生成记录(Computer--generated Records),它是计算机程序的运行结果,并不包含人为的陈述。
其最大特点是完全基于计算机等设备的内部命令运行的,没有掺杂人的任何意志。
例如用户登录信息、计算机系统运行13志等。
这类证据的可信性依赖于操作系统的稳定性,与人的主观输入资料没有任何关系,因此不会发生传闻问题,不适用于传闻规则。
三是计算机衍生记录(DerivedEvidence),它同时包含了两者的构成要素。
这类证据兼有上述两种证据的性质,所以对其可采性和证明力的判断要复杂得多。
5结语
随着计算机信息系统的广泛应用,电子证据必将成为一种新的证据类型,然而,对于电子证据这一新生事物来说,还有许多问题尚待解决。
例如,目前国内学术界在对电子证据的研究上,法学专家和计算机专家没能很好地沟通协作,各自局限在本专业领域内进行研究,这不利于电子证据系统理论的形成和完善;目前国内还没有经过法庭和认证机构认证的电子证据取证工具,所利用的取证工具大多只是从网上下载的一些工具软件。
当然,这些问题都是暂时的,在广大有识之士的努力下,电子证据及其取证技术的研究必将取得丰硕成果。
电子证据的取证技术也必将紧密结合传统证据形式的取证技术,互相促进,共同发展,在未来的司法实践中发挥越来越重要的作用。
参考文献
[1]常怡,王健.论电子证据的独立地位.法学论坛,2004,1.
[2]许康定.电子证据基本问题分析.法学评论,2002,3.
[3]李学军.电子数据与证据.证据学论坛,2001,2.
[4]刘品新.论电子证据的定位.法商研究,2002,4.
[5]张斌.“凤鸣网”案中电子淫秽图片的鉴证和传闻问题.证据学论坛,2004,9.
[6]DickBussiere.计算机取证有效遏制网络犯罪.中国计算机报,2002,84.
[7]公安部.电子数据鉴定规则(试行).
(责任编辑陈晓明)
电子证据取证技术的研究
作者:
杨永川,李岩
作者单位:
杨永川(中国人民公安大学,北京,100038),李岩(宝鸡市公安局,陕西,宝鸡,721001)
刊名:
中国人民公安大学学报(自然科学版)
英文刊名:
JOURNALOFCHINESEPEOPLE'SPUBLICSECURITYUNIVERSITYSCIENCEANDTECHNOLOGY
年,卷(期):
2005,11
(1)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 证据 取证 技术 研究
![提示](https://static.bingdoc.com/images/bang_tan.gif)