1電子取證學(xué)完本課程后，您將能夠描述電子取證的過程描述電子取證的技術(shù)使用電子取證的相關(guān)工具目標(biāo)2目錄31.電子取證概覽2.電子取證過程計算機(jī)犯罪4定義：行為人違反國家規(guī)定，故意侵入計算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對計算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞；制作、傳播計算機(jī)病毒；影響計算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。計算機(jī)犯罪無外乎以下兩種方式：利用計算機(jī)存儲有關(guān)犯罪活動的信息；直接利用計算機(jī)作為犯罪工具進(jìn)行犯罪活動。計算機(jī)犯罪特點5近年來，計算機(jī)犯罪案例呈逐年上升趨勢，且呈現(xiàn)以下特點：手段專業(yè)動機(jī)復(fù)雜、多樣形式隱蔽具有跨國性潛在危害巨大成員多且低齡化計算機(jī)犯罪特點計算機(jī)犯罪動機(jī)6計算機(jī)犯罪的犯罪動機(jī)復(fù)雜、多樣，具體如下：惡作劇報復(fù)利益驅(qū)動揚(yáng)名無知政治目的犯罪動機(jī)閑極無聊又具備一定的技能，總想訪問所有感興趣的站點證明自己的實力，得到同類的尊敬與認(rèn)可被停職，解雇，降職或不公正的待遇，進(jìn)行報復(fù)，后果很可怕正在學(xué)習(xí)計算機(jī)和網(wǎng)絡(luò)，無意中發(fā)現(xiàn)一個弱點漏洞可能導(dǎo)致數(shù)據(jù)摧毀或執(zhí)行誤操作為獲巨額報酬受雇于人，幫人攻入目標(biāo)系統(tǒng)盜竊或篡改信息破壞，竊取情報，信息戰(zhàn)計算機(jī)犯罪形式7計算機(jī)犯罪形式多種多樣，下圖列舉了常見的幾種形式：木馬黑客后門DDoS病毒蠕蟲內(nèi)、外部泄密網(wǎng)絡(luò)犯罪形式電子取證概述8電子證據(jù)（ElectronicEvidence）電子證據(jù)是指在計算機(jī)或計算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄物。電子證據(jù)亦稱為數(shù)字證據(jù)、計算機(jī)證據(jù)。電子證據(jù)文本圖形圖像動畫音頻視頻電子證據(jù)來源9司法實踐中常見的電子證據(jù)可分為三類：與現(xiàn)代通信技術(shù)有關(guān)的電子證據(jù)；與廣播技術(shù)、電視技術(shù)、電影技術(shù)等其他現(xiàn)代信息技術(shù)有關(guān)的電子證據(jù)；與計算機(jī)技術(shù)或網(wǎng)絡(luò)技術(shù)有關(guān)的電子證據(jù)。通信類手機(jī)錄音聊天記錄電傳資料傳真資料電視劇錄像電影廣播、電視、電影類數(shù)據(jù)庫操作記錄瀏覽器緩存記錄網(wǎng)絡(luò)監(jiān)控流量操作系統(tǒng)日志計算機(jī)、網(wǎng)絡(luò)類電子證據(jù)特點10電子證據(jù)必須借助計算機(jī)技術(shù)和存儲技術(shù)等，離開了高科技的技術(shù)設(shè)備，電子證據(jù)無法保存和傳輸。電子證據(jù)不是單一的數(shù)據(jù)、圖像或聲音，而是數(shù)據(jù)、聲音、圖像、圖形、動畫、文本的結(jié)合。由于對計算機(jī)等電子數(shù)字設(shè)備的依賴性，電子證據(jù)的形成、傳輸環(huán)節(jié)容易被破壞，很可能會使電子證據(jù)遭到破壞，無法反映真實情況。運(yùn)用黑客手段入侵電腦網(wǎng)絡(luò)系統(tǒng)，盜用密碼對電子數(shù)據(jù)任意篡改，就會改變電子證據(jù)的本來面目，給證據(jù)認(rèn)定帶來困難。電子證據(jù)是以電子形式存儲在各種電子設(shè)備上的，它以光、電、磁形式存在，不像傳統(tǒng)證據(jù)那樣能為人直接看到聽到接觸到。電子證據(jù)能夠反映的事實是一個動態(tài)連續(xù)的過程，較直觀地再現(xiàn)了現(xiàn)場情景，所以也具有生動形象性。高科技性多樣性脆弱性、易破壞性動態(tài)傳輸性、生動形象性無形性人為性電子證據(jù)特點計算機(jī)取證概念11計算機(jī)取證（ComputerForensics）亦被稱為數(shù)字取證或電子取證。定義：計算機(jī)取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔以及法庭出示的過程。電子取證相關(guān)規(guī)定與標(biāo)準(zhǔn)12美國自1976年的FederalRulesofEvidence起，美國出現(xiàn)了一些法律解決由電子證據(jù)帶來的問題：TheEconomicEspionageActof1976：處理商業(yè)機(jī)密竊取問題；TheElectronicCommunicationsPrivacyActof1986：處理電子通信的竊聽問題；TheComputerSecurityActof1987(PublicLaw100-235)：處理政府計算機(jī)系統(tǒng)的安全問題。IETF早在2002年2月就發(fā)布了RFC3227《電子證據(jù)收集、保管指南》，而ITU則在2009年4月發(fā)布了《電子證據(jù)法案》的草案和《了解網(wǎng)絡(luò)犯罪：針對發(fā)展中國家的犯罪》，并在2012年9月發(fā)布了《了解網(wǎng)絡(luò)犯罪：現(xiàn)象、挑戰(zhàn)和法律相應(yīng)》。IETF國際標(biāo)準(zhǔn)化組織信息安全技術(shù)委員會在2012年10月發(fā)布了《電子證據(jù)識別、收集、獲取和保存指南》(ISO/IEC27037：2012)中國2005年《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》明確要求公安機(jī)關(guān)電子數(shù)據(jù)鑒定人應(yīng)當(dāng)履行并遵守行業(yè)標(biāo)準(zhǔn)和檢驗鑒定規(guī)程規(guī)定的義務(wù)；2006年《公安機(jī)關(guān)鑒定機(jī)構(gòu)登記管理辦法》(公安部令第83號)明確將鑒定機(jī)構(gòu)遵守技術(shù)標(biāo)準(zhǔn)的情況納入公安登記管理部門年度考核的內(nèi)容中；2007年《司法鑒定程序通則》(司法部令第107號)對鑒定人采納技術(shù)標(biāo)準(zhǔn)問題做出了詳細(xì)的要求。國際標(biāo)準(zhǔn)化組織電子取證現(xiàn)狀與趨勢13現(xiàn)狀形勢趨勢現(xiàn)狀1.我國的計算機(jī)普及與應(yīng)用起步較晚，相關(guān)的法律法規(guī)仍不完善；2.學(xué)界對計算機(jī)犯罪的研究也主要集中于計算機(jī)犯罪的特點、預(yù)防對策及其給人類帶來的影響，取證技術(shù)己不能滿足打擊計算機(jī)犯罪、保護(hù)網(wǎng)絡(luò)與信息安全的要求；3.需要自主開發(fā)適合我國國情的、能夠全面檢查計算機(jī)與網(wǎng)絡(luò)系統(tǒng)的計算機(jī)取證的工具與軟件。趨勢1.取證技術(shù)融合其他理論和技術(shù)（如人工智能、機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘理論及信息安全技術(shù)）；2.取證工具的專業(yè)化和自動化；3.在網(wǎng)絡(luò)協(xié)議設(shè)計過程中考慮到未來取證的需要，為潛在的取證活動保留充足信息。目錄141.電子取證概覽2.電子取證過程取證原則15完整性合法性連續(xù)性全面性及時性原則盡早搜集證據(jù)，并保證其沒有受到任何破壞。在證據(jù)被正式提交時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化。整個檢查、取證過程必須是受到監(jiān)督的搜索目標(biāo)系統(tǒng)中的所有文件；全面分析結(jié)果，給出必要的專家證明。在取證檢查中，保護(hù)目標(biāo)計算機(jī)系統(tǒng)，避免發(fā)生任何的改變、數(shù)據(jù)破壞或病毒感染。電子取證過程16根據(jù)電子證據(jù)的特點，在進(jìn)行計算機(jī)取證時，首先要盡早搜集證據(jù)，并保證其沒有受到任何破壞。取證工作一般按照下面步驟進(jìn)行：保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)保護(hù)現(xiàn)場17取證時首先必須凍結(jié)目標(biāo)計算機(jī)系統(tǒng)，不給犯罪嫌疑人破壞證據(jù)的機(jī)會。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。證據(jù)被正式提交時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化，當(dāng)然最好是沒有任何變化。特別重要的是，計算機(jī)取證的全部過程必須是受到監(jiān)督。保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)獲取證據(jù)18搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件。取證工具：硬件工具軟件工具保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)硬件取證工具(1)19硬盤復(fù)制機(jī)：因為取證過程不允許對硬盤進(jìn)行直接操作，硬盤復(fù)制機(jī)能夠?qū)τ脖P內(nèi)容做鏡像，從而保證不會修改硬盤內(nèi)的數(shù)據(jù)。硬盤只讀鎖：用于阻止硬盤的寫入通道，有效的保證存儲介質(zhì)中的數(shù)據(jù)在獲取和分析過程中不會被修改，從而保證數(shù)據(jù)的完整性。硬盤復(fù)制機(jī)硬盤只讀鎖硬件取證工具(2)20取證一體機(jī)：基于拷貝克隆，讀取，銷毀于一體的取證設(shè)備。取證塔：具有手機(jī)取證分析，手機(jī)鏡像，手機(jī)芯片鏡像和介質(zhì)取證等功能。介質(zhì)修復(fù)設(shè)備：支持對電子硬盤、機(jī)械硬盤、鏡像文件、U盤、TF卡等各種電子數(shù)據(jù)存儲介質(zhì)的修復(fù)。取證一體機(jī)取證塔介質(zhì)修復(fù)設(shè)備軟件取證工具21為了更好的用于研究和調(diào)查，開發(fā)人員創(chuàng)建了多樣的計算機(jī)取證工具。具體分類如下：圖片檢查工具ThumbsPlus反刪除工具HetmanUneraserCD-ROM工具CD-RDiagnostics文本搜索工具dtSearch驅(qū)動器映像程序SafeBackSnapBack、Ghost、DD磁盤擦除工具DiskScrub取證軟件軟件取證工具舉例22EnCase是一個完全集成的基于Windows界面的取證應(yīng)用程序，其功能包括：數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、數(shù)據(jù)預(yù)覽、建立案例、建立證據(jù)文件、保存案例等。電子取證相關(guān)技術(shù)23電子取證相關(guān)技術(shù)：網(wǎng)絡(luò)數(shù)據(jù)包分析取證；日志取證技術(shù)；蜜罐取證技術(shù)；隱蔽代碼取證技術(shù)；數(shù)據(jù)挖掘技術(shù)等。新型取證技術(shù)：芯片取證；云取證；物聯(lián)網(wǎng)取證；邊信道攻擊取證。數(shù)據(jù)包分析取證24抓包工具及特點：工具名稱使用環(huán)境特點TcpdumpLinux采集過濾WiresharkLinux&Windows采集過濾SleuthKitLinux采集過濾，流重組，數(shù)據(jù)關(guān)聯(lián)ArgusLinux采集過濾，日志分析SniffersLinux&Windows網(wǎng)絡(luò)流量、數(shù)據(jù)包分析芯片取證25JointTestActionGroup（聯(lián)合測試行動組）分析：通過芯片內(nèi)部的TAP（TestAccessPort，測試訪問端口）訪問分析處理器的內(nèi)部寄存器，即使在手機(jī)損壞的情況下，也能對芯片進(jìn)行取證。圖中紅色框區(qū)域為手機(jī)芯片，使用分析工具可以對損壞的手機(jī)芯片取證。損壞的手機(jī)分析工具界面動態(tài)仿真26動態(tài)仿真：類似使用模擬器對手機(jī)進(jìn)行仿真，還原聊天記錄，群聊討論等信息，可以提取聊天軟件的文件，分析轉(zhuǎn)發(fā)量，影響范圍，信息源頭等。下圖是使用工具模擬手機(jī)的實際運(yùn)行環(huán)境，查看電子紅包記錄。保全證據(jù)27證據(jù)保全直接關(guān)系到證據(jù)的法律效力，符合法律手續(xù)的保全技術(shù)，其真實性和可靠性才有保障。證據(jù)保全技術(shù)：加密技術(shù)；數(shù)字信封、數(shù)字簽名技術(shù)；數(shù)字證書技術(shù)；時間戳。保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)證據(jù)保全技術(shù)28取證過程中避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況，確保證據(jù)出示時仍是初始狀態(tài)。對稱加密：DES、3DES、AES非對稱加密：DH、RSA、DSA數(shù)字信封非對稱密鑰中的公鑰實現(xiàn)信息完整性驗證的技術(shù)。數(shù)字簽名利用私鑰實現(xiàn)信息的不可抵賴。數(shù)字證書綁定了公鑰及其持有者的真實身份，這些信息是經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中。加密技術(shù)數(shù)字信封、簽名時間戳數(shù)字證書它的提出主要是為用戶提供一份電子證據(jù)，以證明用戶的某些數(shù)據(jù)的產(chǎn)生時間。鑒定證據(jù)29解決證據(jù)的完整性驗證和確定其是否符合可采用標(biāo)準(zhǔn)。鑒定標(biāo)準(zhǔn)電子數(shù)據(jù)鑒定的關(guān)聯(lián)性電子數(shù)據(jù)鑒定的客觀性電子數(shù)據(jù)鑒定的合法性保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)電子證據(jù)鑒定原則30作為一種特殊的科學(xué)技術(shù)活動，電子數(shù)據(jù)鑒定有其具體的原則要求。鑒定原則合法原則獨立原則監(jiān)督原則要求電子數(shù)據(jù)司法鑒定在業(yè)務(wù)范圍、鑒定程序和技術(shù)標(biāo)準(zhǔn)上的規(guī)范化和制度化電子數(shù)據(jù)司法鑒定人在不受外界干擾的情況下，獨立表達(dá)鑒定意見電子數(shù)據(jù)司法鑒定需要監(jiān)督機(jī)制，包括偵查人員監(jiān)督和社會監(jiān)督分析證據(jù)31證據(jù)分析技術(shù)：在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語，分析事件的關(guān)聯(lián)性。具體包括：密碼破譯，數(shù)據(jù)解密；文件屬性分析；數(shù)字摘要分析；日志分析技術(shù)；反向工程等。保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)進(jìn)行追蹤32隨著計算機(jī)犯罪技術(shù)手段的升級，取證已與入侵檢測等網(wǎng)絡(luò)安全工具相結(jié)合，進(jìn)行動態(tài)取證，追蹤的目的是找到攻擊源。取證追蹤技術(shù)：日志分析：操作系統(tǒng)日志；防火墻日志；應(yīng)用軟件日志等。設(shè)置陷阱（蜜罐）；可以通過采用相關(guān)的設(shè)備跟蹤捕捉犯罪嫌疑人。保護(hù)現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)取證追蹤技術(shù)33黑客通常使用數(shù)據(jù)加密，log清理，Sniffer，跳板，堡壘主機(jī)等方式隱藏或清理入侵痕跡，因此掌握入侵的信息進(jìn)行取證十分必要，通常使用的追蹤技術(shù)如下：Ping、netstat、tracert、nslookup

命令；數(shù)據(jù)包分析；日志分析；鏈路測試；數(shù)據(jù)包記錄；