计算机取证与司法鉴定概论.docx

计算机取证与司法鉴定概论.docx

《计算机取证与司法鉴定概论.docx》由会员分享，可在线阅读，更多相关《计算机取证与司法鉴定概论.docx（28页珍藏版）》请在冰豆网上搜索。

计算机取证与司法鉴定概论

计算机取证与司法鉴定概论

计算机犯罪是目前破坏性最大的一类犯罪，要打击和遏制这种犯罪，计算机取证与司法鉴定承担着不可取代的作用，这是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科，是当前或不远的将来，我国信息网络安全亟须解决的重要问题，具有鲜明的时代性和创新特点。

由于电子取证、计算机取证和司法鉴定有很多的共同点，所以本书在不引起歧义的情况下，有时并不区分它们。

1.1计算机取证与司法鉴定

1.1.1计算机取证

计算机取证，目前还没有权威组织给出一个统一的定义，很多的专业人士和机构从不同的角度给出了计算机取证的定义。

JuddRobbins是计算机取证方面的一位著名的专家和资深人士，他对计算机取证的定义如下：

“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。

计算机紧急事件响应和取证咨询公司NewTechnologies进一步扩展了该定义：

“计算机取证是对计算机证据的保护、确认、提取和归档的过程”。

取证专家ReithClintMark认为计算机取证可以是“从计算机中收集和发现证据的技术和工具”。

笔者认为计算机取证或计算机法医学（computerforensics）是研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。

此外，还有数字取证（digitalforensics）和电子取证（electronicforensics），这与计算机取证是有所区别的：

计算机取证的主体对象是计算机系统内与案件有关的数据信息，数字取证的主体对象是存在于各种电子设备和计算机系统中与案件有关的数字化数据信息，而电子取证的主体对象是指电子化存储的、能反映有关案件真实情况的数据信息。

1.1.2计算机司法鉴定

司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。

司法鉴定是刑事诉讼制度中的重要一环，长期以来，由于缺乏有关的法律规范，司法鉴定的混乱在一定程度上影响了法院对案件的审理。

公、检、法、司各有各的司法鉴定机构，社会鉴定机构也未纳入统一管理，自审自鉴，多重鉴定，鉴定结论模糊，鉴定缺乏统一的标准问题突出，妨害了司法鉴定的客观性、独立性、公正性。

2005年2月28日《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》的颁布对解决司法鉴定长期以来存在的问题，加强对鉴定人和鉴定机构的管理，维护司法鉴定的独立性，具有重要意义。

《决定》对我国司法鉴定体制进行了改革，规定公安、安全、检察和军队的侦查机关根据侦查工作的需要设立的鉴定机构，不得面向社会接受委托从事司法鉴定业务；人民法院和司法行政部门不得设立鉴定机构；司法鉴定由在司法机关注册的鉴定机构进行，这是一种独立的第三方中介机构，鉴定机构无级别，受理案件无地域限制，实行鉴定人负责制，独立、公正地服务社会，收取报酬。

1.1.3计算机取证与司法鉴定的研究现状

1．国外的研究概况

1984年美国FBI成立了计算机分析响应组（ComputerAnalysisandResponseTeam，CART），20世纪90年代创立的国际计算机证据组织（www.ioce.org）就是要保护国家之间在计算机证据处理方法和实践上的一致性，保证从一个国家收集的数字证据能在另外一个国家使用。

1998年成立了数字证据工作组（www.swgde.org），该工作组在几年前提出了“同行评审期刊”，进而推出国际数字证据期刊（www.ijde.org）。

2000年左右，业内许多专家逐渐意识到由于取证理论的匮乏所带来的种种问题，因此又开始对取证程序及取证标准等基本问题进行研究，并提出了几种典型的取证过程模型，即基本过程模型（basicprocessmodel）、事件响应过程模型（incidentresponseprocessmodel）、法律执行过程模型（lawenforcementprocessmodel）、过程抽象模型（abstractprocessmodel）和其他过程模型。

2003年，美国犯罪实验室主任协会/实验鉴定委员会（AmericanSocietyofCrimeLaboratoryDirectors/LaboratoryAccreditationBoard,ASCLD/LAB）制定了新的鉴定手册，包含了美国犯罪实验室中为数字证据取证人员制定的标准和准则。

2004年，“英国法学服务”计划建立一个资格专家注册库，2008年有些欧洲组织，包括“欧洲法学研究所（ENFSI）”将为计算机取证人员出版、撰写指南性的检验和报告。

2．国内的研究概况

2005年11月，我国在北京成立了电子取证专家委员会并举办了首届计算机取证技术研讨会，2007年8月，在新疆乌鲁木齐举办了第二届计算机取证技术研讨会。

2005年以来，CCFC计算机取证技术峰会和高峰论坛也非常活跃，举办了三次大型活动。

2007年和2008年，在北京举行的国际反恐警用装备展中，电子取证的软硬件等设备，开始成为亮点。

目前，中科院在网络入侵取证、武汉大学和复旦大学在密码技术、吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面都展开了研究工作。

湖北警官学院在计算机取证和司法鉴定方面的研究工作走在公安院校的前列，2004年8月，开始筹建湖北警官学院电子取证重点实验室，承担了国家、公安部和湖北省的一系列项目，2006年8月依托湖北警官学院电子取证重点实验室，成立了具有司法鉴定资质的湖北丹平司法鉴定所（后改名为湖北三真司法鉴定所），拥有12位国家计算机司法鉴定人，承办了大量的计算机取证和司法鉴定案件。

在国内这个领域已经开始活跃。

1.1.4国内外在该学科领域已经取得的成果和进展

1．国内外动态

20世纪90年代中期，随着Internet等网络技术的发展，以计算机犯罪为主的电子犯罪呈现更加猖獗的势头，司法机关对取证技术及取证工具的需求更加强烈。

由于看好取证产品的广阔市场，许多商家相继推出了许多关于取证的专用产品，如美国GUIDANCE软件公司开发的Encase、美国计算机取证公司开发的DIBS以及英国Vogon公司开发的FlightServer等产品。

由于主要受商家和应用技术的驱动，理论发展比较滞后，标准不统一。

这种趋势导致在调查取证时既没有一致性也没有可依靠的标准，因此急切需要对计算机取证技术的理论和方法进行更深入的研究。

在国内，有关计算机取证方面的研究和实践才刚起步，执法机关对计算机取证工具的应用，多是利用国外一些常用取证工具或者自身技术经验开发的工具，在程序上计算机取证的流程缺乏比较深入的研究，证据收集、文档化和保存不很完善，而且数字证据分析和解释也存在不足，造成电子数字证据的可靠性、有效性、可信度不强。

到目前为止，专门的权威机构对计算机取证机构或工作人员的资质认定还没有形成规范，计算机取证工具的评价标准尚未建立，计算机取证操作规范的执行也有所欠缺。

2．目前国内外在该学科领域已经取得的成果和进展

1）主机电子证据保全、恢复和分析技术

基于主机系统的取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术。

包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。

磁盘映像复制技术：

由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行，所以，磁盘的映像复制技术就显得十分重要和必要。

对于主机系统的取证而言，硬盘是计算机最主要的信息存储介质，一直以来是基于主机取证技术的重要研究内容。

目前国内、外市场上，可进行硬盘数据复制的软硬件产品很多：

有为司法需要而特殊设计的SOLOⅢ、SOLO Ⅱ、MD5、SF-5000专用硬盘取证设备，有适合IT业硬盘复制需要的SONIX、MagicJumBODD-212、SolitairTurbo、Echo硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK、Paraben’sForensicReplicator、Encase；有综合实现硬盘取证和数据分析需要的多功能取证箱，如RoadMASSter Ⅱ、计算机犯罪取证勘查箱（金诺网安）、“天宇”移动介质取证箱（北京天宇晶远）、“网警”计算机犯罪取证勘察箱（厦门美亚）；此外，还有针对无法打开机箱的计算机硬盘专用获取设备，如LinkMasster Ⅱ、“全能拷贝王”、CD-500。

对于数据恢复技术，国际取证专家普遍看好的有取证软件TCT（theCoronor’stoolkit）和Encase等。

但一些安全删除工具删除的数据也会留有痕迹，也称为阴影数据（shadowdata），目前用特殊的电子显微镜一比特一比特地可以恢复写过多次的磁道。

但七次覆盖后数据恢复技术不是很成熟，目前国外，Ontrack公司、Ibas实验室等数据恢复服务公司或机构正在进行研究七次覆盖后的数据恢复技术。

反取证技术：

反取证就是删除或隐藏证据使调查失效，反取证技术分为3类（数据擦除、数据隐藏、数据加密）。

目前针对基于主机系统取证中的反取证而开发的工具不是很多，据报道目前能够综合应用的反取证工具仅是Runefs工具，但技术也不是很成熟。

在当前而言，取证技术还不能完全击败反取证技术，但针对不同类型的反取证技术也开发了一些针对性的工具和应用，主要有需要密码学专业领域知识的密码分析技术和应用；包括口令字典、重点猜测、穷举破解等技术和应用；口令搜索；口令提取；口令恢复等技术的研究和开发的工具应用。

对于数据擦除方面目前有HigherGroundSoftware公司的软件HardDriveMechanic、lazarus工具、在UNIX环境Unrm等工具。

反向工程技术：

反向工程技术用于分析目标主机上可疑程序的作用，从而获取证据。

国外一些科研机构正在进行相关技术的研究，但目前这方面开发的工具还很少。

基于主机系统的取证工具已有很多，但缺乏评价机制和标准。

什么样的证据应该适用什么样的取证工具，进行怎样的操作过程，才能使获取的电子证据具有可靠性、有效性、可信性，制定取证工具的评价标准和取证工作的操作规范，将会是取证工具应用的另一个发展趋势。

2）网络数据捕获与分析、网络追踪

现有的许多用于网络信息数据流捕获的工具（如NetXray、SnifferPro、Lanexplore等）对各种通信协议的分析都相当透彻，但遗憾的是没有将现有的已经相当成熟的数据仓库技术运用到大量的网络数据的分析之中，更没有将其用于网络入侵的分析与取证之中。

数据挖掘是数据仓库技术中最重要也是最成熟的一种技术。

数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。

数据挖掘并不是简单的检索查询调用，而是对数据进行微观、中观、甚至宏观的统计、分析、综合和推理，以指导实际问题的解决，发现事件间的相互关联，甚至利用已有的数据对未来的活动进行预测。

如果我们能够通过对捕获的数据进行知识挖掘与规律发现，监控并预测网络的通信状态并利用捕获的数据结合网络入侵检测系统，分析出网络入侵者的身份、入侵者入侵后的行为，对电子取证将起到不可估量的作用。

信息搜索与过滤技术：

在取证的分析阶段往往使用搜索技术进行相关数据信息的查找，这方面的研究技术主要是数据过滤技术、数据挖掘技术等，目前国外这方面的开发应用的软件种类也比较繁多，如i2公司的AN6等，但需要与中国国情相结合。

网络追踪是电子取证的一个重要手段。

网络追踪方法可分为四类：

（1）基于主机的方法，依靠每一台主机收集的信息实施追踪；

（2）基于网络的方法，依靠网络连接本身的特性（连接链路中应用层的内容不变）实施追踪；

（3）被动式的追踪方法采取监视和比较网络通信流量来追踪；

（4）主动式的方法通过定制数据包处理过程，动态控制和确定同一连接链中的连接。

在进行网络追踪时，突破网络代理定位攻击源是一个很重要的环节。

网络代理一般有HTTP、FTP、Socks、Telnet等代理服务器类型，HTTP、FTP和Telnet代理服务器顾名思义就是分别代理网页浏览、文件传输和远程登录，而Socks是一种可遇不可求的全能代理——前面几种代理服务器所有的功能它都可以实现。

Socks代理分为Socks4和Socks5，Socks4代理只支持TCP协议（传输控制协议），Socks5代理支持TCP和UDP协议（用户数据包协议），还支持各种身份验证机制，服务器端域名解析等。

此外，匿名代理还可以实现网络数据流的控制和过滤，以及抗追踪。

目前，代理服务的应用非常广泛，而攻击者为了抵抗追踪，常常使用代理来实施攻击，因此，研究代理技术对实现网络追踪具有重要的意义。

3）主动取证

主动取证主要指通过诱骗或攻击性手段获取犯罪证据，目前国外很多研究机构和公司主要致力于蜜罐（honeypot）技术的研究，honeypot主要有两大类型：

产品型和研究型。

产品型主要是用来降低网络的安全风险，提供入侵监测能力；研究型主要是用来记录和研究入侵者的活动步骤，使用的工具和方法等。

较大型的研究项目有：

致力于部署分布式蜜罐的DistributedHoneypotProject，研究蜜网技术的HoneynetProject。

蜜网研究联盟HoneynetResearchAlliance在此领域有较大影响。

美国已成熟的网络诱骗系统包括BackOfficerFriendly、Specter、Mantrap、Winetd、DTK、CyberCopSting等，这些系统都是以honeypot技术为核心建立的。

国内在网络攻击诱骗方面也有一些研究。

如电子科技大学对业务蜜网系统的有限自动机进行了研究。

也有学者对网络攻击诱骗系统的威胁分析作了部分研究，部分研究人员针对不同的系统建立了各种入侵诱骗模型以及实际的诱骗系统。

4）密码分析

密码分析和破解一直是密码学中的一个重要内容，目前国内外非常热衷于密码分析研究，并且取得了一些令人瞩目的成绩。

我国著名的密码学专家、山东大学信息安全研究所所长王小云教授带领的密码研究团队在国家自然科学基金“网络与信息安全”重大研究计划的资金支持下，经过一年多的研究，先后破译了包含MD5与SHA-1在内的系列Hash函数算法。

2005年2月15日，在美国召开的国际信息安全RSA研讨会上，国际著名密码学专家AdiShamir宣布，他收到了来自中国山东大学王小云、尹依群、于红波等三人的论文，本论文描述了如何使得两个不同的文件产生相同的SHA-1散列值，而计算复杂度比以前的方法更低。

这是继2004年8月王小云教授破译MD5之后，国际密码学领域的又一突破性研究成果。

密码分析技术的发展和密码加密技术的发展是分不开的。

目前，密码加密技术的方向向量子密码、生物密码等新一代密码加密技术发展，因此，密码分析技术也会随之进入一个新的领域。

提高密码分析的准确度、减少密码分析消耗的资源也是研究的重点。

目前，由于黑客技术的发展和普及，网络安全受到很大挑战，各种密码算法和标准广泛应用。

在各类信息系统中获取的机密信息很大部分都是经过加密处理的，因而密码分析与破解成为网络信息获取中的一个必须面对的问题。

结合实际的密码应用，通过对密码分析的研究将会大大提高电子取证工作的成效。

密码破解技术将成为一个重要研究热点，应用前景非常可观。

5）电子取证法学研究

电子取证涉及计算机科学和法学中的行为证据分析以及法律领域，这是一个新兴领域、交叉领域和前沿领域。

研究的内容是电子数字证据各方面内容的技术细节，分析任何形式电子数字证据的通用方法，对犯罪行为和动机提供一个综合特定技术知识和常用科学方法的系统化分析方法，探讨打击计算机和网络犯罪的法律模式，从而提供一套可行、可操作性的取证实践标准和合法、客观、关联的电子数字证据。

目前，在国外取证部门中，包括我国取证的技术应用，主要集中在磁盘分析上，如磁盘映像复制、被删除数据恢复和查找等工具软件开发研制和应用，其他工作依赖于取证专家人工完成，当然也造成了电子取证等同于磁盘分析软件的错觉。

但随着取证领域的不断扩大，取证工具将向着专业化和自动化的方向发展，在未来的几年里取证技术发展和取证工具的开发将会结合人工智能、机器学习、神经网络和数据挖掘技术等，具有更多的信息分析和自动证据发现的功能，以代替目前大部分的人工操作。

同时取证技术也将充分应用实时系统、反向工程技术、软件水印技术、使用更加安全的操作系统等技术。

1.1.5计算机取证与司法鉴定的证据效力和法律地位

1．电子数据的证据效力

电子数据的证据效力是指保证证据的客观性。

在目前实际受理案件的过程中，电子数据一般需要通过司法鉴定才能成为诉讼的直接证据，在办理涉及电子数据的案件时，需要对提取的电子数据进行检验分析，找出电子数据与案件事实的客观联系，从而确定电子数据的真实性和可信性。

电子数据能否作为证据？

目前各个国家都持肯定态度。

鉴于我国有关法律规定：

“证明案件真实情况的一切事实，都是证据”，我国法律也赋予电子数据证据地位。

电子数据的认定和采信：

电子数据的采信涉及何种证据能够进入诉讼程序或者其他证明活动的问题。

我国学界的主流意见是，电子数据必须经过关联性、合法性与真实性的检验，才能作为定案的根据。

电子数据的采信要求遵循非歧视原则和“先归类，后认定”原则。

为保证电子证据的证据能力，首先要将电子证据转换为法定证据形式。

中国现行的刑事诉讼法法定的证据方法分成七类，即物证与书证、证人证言、被告人供述、被害人陈述与辩解、鉴定结论、勘验报告和视听材料。

在实际应用中，通常可以将电子证据转换为书证、鉴定结论、勘验报告和视听材料四种证据方法，建议在进行转换时可以依循以下原则进行转换。

（1）需要认定信息的存在性时应当以勘验报告的形式提供数字化证据。

比如在存储媒介中存放淫秽电影，可以通过现场勘验、检查生成勘验报告，在勘验报告中指明通过勘验证实在存储媒介中存储有多少数量的电影。

简单地说，勘验报告在电子数据取证过程中发挥的作用主要是证实嫌疑人的主机上存储有什么内容。

（2）需要通过分析才能形成结论时应当以鉴定结论的形式提供数字化证据。

比如需要通过证据分析证明系统入侵案的攻击者是谁，或者需要通过证据分析证明嫌疑人编辑过某个文档，或者需要通过跟踪分析证实某个木马的功能或来源，这些都是需要通过分析才能够得到结论，因此一般都需要以鉴定结论的形式提供数字化证据。

这时候，电子数据本身可以作为鉴定结论的附件形式提交。

（3）需要展示电子数据表达的内容时应当将这些内容转换为书证和视听材料。

比如需要展示电子文档中的内容时可以将这些内容打印出来，由证人或者嫌疑人在这些内容上签字形成书证材料，以电子文件形式存储的视听材料也应当直接以视听材料的形式提供作为证据，用户在网站上的登录日志也可以转换为书证。

2．电子数据的证据力

证据力是指证据的合法性。

这就要求证据提取、形成过程依循规定程序。

取证人员在实际工作中应依照规则实施调查取证，以保证数字化证据的证据力。

为了保证电子数据的证据力，应当从以下几个方面加以保证：

（1）电子证据的原始性。

原始性的证明可通过自认方式、证人具结方式、推定方式和鉴定方式。

（2）电子数据的完整性。

完整性是考察电子数据证明力的一个特殊指标，完整性有两层含义：

一是电子数据本身的完整性；二是电子数据所依赖的计算机系统的完整性。

电子数据完整性是指在现场采集获得的数据没有被篡改，这可通过对数据计算完整性校验码或者对原始证物封存加以保证。

（3）技术手段的科学性。

也就是要求在实施电子数据勘验、检查时使用的软硬件以及相应的勘验、检查流程符合科学原理。

要求使用正版软件，要求取证时使用的软硬件经过科学方法的检测，也要求勘验、检查流程能够经得起现实的考验。

（4）勘验、检查人员操作的可再现特性。

为了保证数字化证据的真实性和完整性，这就要求勘验、检查人员对数字化证据实施的操作应当是可再现的，也就是应当对勘验、检查人员对数字化证据的提取、处理、存储、运输过程有详细的审计记录。

3．电子数据的证明力

保证证明力就是要保证证据与待证事实之间的关联性，也就是证据与结论之间是否符合逻辑。

（1）证据分析原理的科学性和逻辑性。

也就是对电子证据事实分析所依赖的软硬件、技术原理符合科学原理，并且能够经受事实的考验。

要求从证据到结论这一过程符合逻辑，这是推断证据运用是否科学的重要依据。

（2）分析过程的可再现特性。

也就是指根据相同的分析原理、在相同的数字化证据集合上进行分析，任何人只要依循相同的分析规则都能够得到相同的结论。

在实际操作中，这一方面要求数字化证据鉴定人员应当对直接的分析过程提供详细的审计记录，另一方面要求任何其他人根据其提供的审计记录实施相同的操作能够得到相同的分析结论。

检验的结果是否具有稳定不变的特性，是证据科学的首要原则。

1.1.6计算机取证与司法鉴定的特点

计算机取证与司法鉴定是一门法学与计算机科学紧密结合的边缘科学、交叉科学和新兴科学。

从2001年数字化证据研究工作组（DigitalForensicResearchWorkshop，DFRWS）提出：

“数字化法证科学是基于科学原理以及经过科学实践检验的方法，保存、收集、证实、发现、分析、解释、记录和显示数字化设备中存储的数字化证据，以帮助或进一步重构犯罪事件，预先发现恶意的或者有计划的非授权行为”开始，人们便对计算机司法鉴定的法学和科学原理开展了初步的研究，这是电子证据学研究的一个真正的开端。

（1）计算机取证与司法鉴定必须依托于科学原理以及经过科学实践检验的方法。

这就要求我们使用的工具、分析原理是科学的、经过实践检验的。

具体到分析工具而言，就要求使用的电子数据固定、分析工具本身经过实践检验、使用的技术原理符合科学原理和法律要求。

（2）计算机取证与司法鉴定包含发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据等多个步骤。

计算机取证与司法鉴定过程是多个环节构成的技术体系。

（3）计算机取证与司法鉴定的目的是发现案件线索、认定案件事实的科学。

发现案件线索是指通过分析电子数据，发现有助于确定和拓展调查方向的数据。

认定案件事实指通过电子数据分析，出具认定案件主体、客体、主观方面和客观方面的分析结论。

从本质上讲鉴定的目的是认定案件事实和重构犯罪，但是在具体实践中，计算机司法鉴定技术也经常被用于发现案件线索，因此将发现案件线索也纳入到这一定义中。

1.1.7计算机取证与司法鉴定的业务类型

通常计算机取证与司法鉴定业务可以根据不同的目的具体分为以下几类（不限于）：

（1）认定信息的存在性。

也就是认定在特定的存储媒介上存储有特定的信息，如对于有害信息案件，通常需要对存储媒介进行分析，认定该存储媒介上存在有害信息。

（2）认定信息的量。

比如对于制作传播淫秽物品案件，通常需要对存储媒介进行分析，认定存在淫秽信息的数量和点击的数量。

（3）认定信息的同一性和相似性。

也就是通过信息的比对、统计分析，认定两个信息具有同一性或相似性。

比如在传播电子物品导致侵犯知识产权案件中，通常需要对有关的电子信息进行比对分析。

（4）认定信息的来源。

也就是通过分析信息的传播渠道、生成方法、时间信息等认定信息的最初源头。

比如认定网上某个帖子是否为某个特定的嫌疑人张贴，认定某个图片是否由某台数码相机拍摄的，认定某个源代码和计算机程序的作者。

（5）认定程序的功能。

也就是通过对程序进行静态分析和动态分析，认定程序具有特定的功能。

比如对恶意代码和木马进行分析，认定其具有盗窃信息、远程控制的功能。

比如对病毒代码进行分析，认定其具有自我复制功能。

比如对于在电子设备或软件中植入逻辑炸弹案件，需要通过分析认定该程序在满足特定的条件下具备特定的破坏功能。

（6）认定程序的同一性和相似性。

比如对于游戏是否侵犯知识产权案件，可通过对程序进行比对分析，认定两个程序在功能上具有同一性、相似性。

（7）重构犯罪事件（cr