取证socks5代理服务器

计算机取证与司法鉴定概论计算机犯罪是目前破坏性最大的一类犯罪,要打击和遏制这种犯罪,计算机取证与司法鉴定承担着不可取代的作用,这是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科,是当前或不远的将来,我国信息网络安全亟须解决的重要问题,具有鲜明的时代性和创新特点.
由于电子取证、计算机取证和司法鉴定有很多的共同点,所以本书在不引起歧义的情况下,有时并不区分它们.

1.
1计算机取证与司法鉴定1.
1.
1计算机取证计算机取证,目前还没有权威组织给出一个统一的定义,很多的专业人士和机构从不同的角度给出了计算机取证的定义.
JuddRobbins是计算机取证方面的一位著名的专家和资深人士,他对计算机取证的定义如下:"计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取".
计算机紧急事件响应和取证咨询公司NewTechnologies进一步扩展了该定义:"计算机取证是对计算机证据的保护、确认、提取和归档的过程".
取证专家ReithClintMark认为计算机取证可以是"从计算机中收集和发现证据的技术和工具".
笔者认为计算机取证或计算机法医学(computerforensics)是研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术.
此外,还有数字取证(digitalforensics)和电子取证(electronicforensics),这与计算机取证是有所区别的:计算机取证的主体对象是计算机系统内与案件有关的数据信息,数字取证的主体对象是存在于各种电子设备和计算机系统中与案件有关的数字化数据信息,而电子取证的主体对象是指电子化存储的、能反映有关案件真实情况的数据信息.

1.
1.
2计算机司法鉴定司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动.
司法鉴定是刑事诉讼制度中的重要一环,长期以来,由于缺乏有关的法律规范,司法鉴定的混乱在一定程度上影响了法院对案件的审理.
公、检、法、司各有各的司法鉴定机构,社会鉴定机构也未纳入统一管理,自审自鉴,多重鉴定,鉴定结论模糊,鉴定缺乏统一的标准问题突出,妨害了司法鉴定的客观性、独立性、公正性.
2005年2月28日《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》的颁布对解决司法鉴定长期以来存在的问题,加强对鉴定人和鉴定机构的管理,维护司法鉴定的独立性,具有重要意义.
《决定》对我国司法鉴定体制进行了改革,规定公安、安全、检察和军队的侦查机关根据侦查工作的需要设立的鉴定机构,不得面向社会接受委托从事司法鉴定业务;人民法院和司法行政部门不得设立鉴定机构;司法鉴定由在司法机关注册的鉴定机构进行,这是一种独立的第三方中介机构,鉴定机构无级别,受理案件无地域限制,实行鉴定人负责制,独立、公正地服务社会,收取报酬.

1.
1.
3计算机取证与司法鉴定的研究现状1.
国外的研究概况1984年美国FBI成立了计算机分析响应组(ComputerAnalysisandResponseTeam,CART),20世纪90年代创立的国际计算机证据组织(www.
ioce.
org)就是要保护国家之间在计算机证据处理方法和实践上的一致性,保证从一个国家收集的数字证据能在另外一个国家使用.
1998年成立了数字证据工作组(www.
swgde.
org),该工作组在几年前提出了"同行评审期刊",进而推出国际数字证据期刊(www.
ijde.
org).
2000年左右,业内许多专家逐渐意识到由于取证理论的匮乏所带来的种种问题,因此又开始对取证程序及取证标准等基本问题进行研究,并提出了几种典型的取证过程模型,即基本过程模型(basicprocessmodel)、事件响应过程模型(incidentresponseprocessmodel)、法律执行过程模型(lawenforcementprocessmodel)、过程抽象模型(abstractprocessmodel)和其他过程模型.
2003年,美国犯罪实验室主任协会/实验鉴定委员会(AmericanSocietyofCrimeLaboratoryDirectors/LaboratoryAccreditationBoard,ASCLD/LAB)制定了新的鉴定手册,包含了美国犯罪实验室中为数字证据取证人员制定的标准和准则.
2004年,"英国法学服务"计划建立一个资格专家注册库,2008年有些欧洲组织,包括"欧洲法学研究所(ENFSI)"将为计算机取证人员出版、撰写指南性的检验和报告.

2.
国内的研究概况2005年11月,我国在北京成立了电子取证专家委员会并举办了首届计算机取证技术研讨会,2007年8月,在新疆乌鲁木齐举办了第二届计算机取证技术研讨会.
2005年以来,CCFC计算机取证技术峰会和高峰论坛也非常活跃,举办了三次大型活动.
2007年和2008年,在北京举行的国际反恐警用装备展中,电子取证的软硬件等设备,开始成为亮点.
目前,中科院在网络入侵取证、武汉大学和复旦大学在密码技术、吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面都展开了研究工作.
湖北警官学院在计算机取证和司法鉴定方面的研究工作走在公安院校的前列,2004年8月,开始筹建湖北警官学院电子取证重点实验室,承担了国家、公安部和湖北省的一系列项目,2006年8月依托湖北警官学院电子取证重点实验室,成立了具有司法鉴定资质的湖北丹平司法鉴定所(后改名为湖北三真司法鉴定所),拥有12位国家计算机司法鉴定人,承办了大量的计算机取证和司法鉴定案件.
在国内这个领域已经开始活跃.

1.
1.
4国内外在该学科领域已经取得的成果和进展1.
国内外动态20世纪90年代中期,随着Internet等网络技术的发展,以计算机犯罪为主的电子犯罪呈现更加猖獗的势头,司法机关对取证技术及取证工具的需求更加强烈.
由于看好取证产品的广阔市场,许多商家相继推出了许多关于取证的专用产品,如美国GUIDANCE软件公司开发的Encase、美国计算机取证公司开发的DIBS以及英国Vogon公司开发的FlightServer等产品.
由于主要受商家和应用技术的驱动,理论发展比较滞后,标准不统一.
这种趋势导致在调查取证时既没有一致性也没有可依靠的标准,因此急切需要对计算机取证技术的理论和方法进行更深入的研究.

在国内,有关计算机取证方面的研究和实践才刚起步,执法机关对计算机取证工具的应用,多是利用国外一些常用取证工具或者自身技术经验开发的工具,在程序上计算机取证的流程缺乏比较深入的研究,证据收集、文档化和保存不很完善,而且数字证据分析和解释也存在不足,造成电子数字证据的可靠性、有效性、可信度不强.
到目前为止,专门的权威机构对计算机取证机构或工作人员的资质认定还没有形成规范,计算机取证工具的评价标准尚未建立,计算机取证操作规范的执行也有所欠缺.

2.
目前国内外在该学科领域已经取得的成果和进展1)主机电子证据保全、恢复和分析技术基于主机系统的取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术.
包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等.
磁盘映像复制技术:由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行,所以,磁盘的映像复制技术就显得十分重要和必要.
对于主机系统的取证而言,硬盘是计算机最主要的信息存储介质,一直以来是基于主机取证技术的重要研究内容.
目前国内、外市场上,可进行硬盘数据复制的软硬件产品很多:有为司法需要而特殊设计的SOLOⅢ、SOLOⅡ、MD5、SF-5000专用硬盘取证设备,有适合IT业硬盘复制需要的SONIX、MagicJumBODD-212、SolitairTurbo、Echo硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如FTK、Paraben'sForensicReplicator、Encase;有综合实现硬盘取证和数据分析需要的多功能取证箱,如RoadMASSterⅡ、计算机犯罪取证勘查箱(金诺网安)、"天宇"移动介质取证箱(北京天宇晶远)、"网警"计算机犯罪取证勘察箱(厦门美亚);此外,还有针对无法打开机箱的计算机硬盘专用获取设备,如LinkMassterⅡ、"全能拷贝王"、CD-500.

对于数据恢复技术,国际取证专家普遍看好的有取证软件TCT(theCoronor'stoolkit)和Encase等.
但一些安全删除工具删除的数据也会留有痕迹,也称为阴影数据(shadowdata),目前用特殊的电子显微镜一比特一比特地可以恢复写过多次的磁道.
但七次覆盖后数据恢复技术不是很成熟,目前国外,Ontrack公司、Ibas实验室等数据恢复服务公司或机构正在进行研究七次覆盖后的数据恢复技术.
反取证技术:反取证就是删除或隐藏证据使调查失效,反取证技术分为3类(数据擦除、数据隐藏、数据加密).
目前针对基于主机系统取证中的反取证而开发的工具不是很多,据报道目前能够综合应用的反取证工具仅是Runefs工具,但技术也不是很成熟.
在当前而言,取证技术还不能完全击败反取证技术,但针对不同类型的反取证技术也开发了一些针对性的工具和应用,主要有需要密码学专业领域知识的密码分析技术和应用;包括口令字典、重点猜测、穷举破解等技术和应用;口令搜索;口令提取;口令恢复等技术的研究和开发的工具应用.
对于数据擦除方面目前有HigherGroundSoftware公司的软件HardDriveMechanic、lazarus工具、在UNIX环境Unrm等工具.
反向工程技术:反向工程技术用于分析目标主机上可疑程序的作用,从而获取证据.
国外一些科研机构正在进行相关技术的研究,但目前这方面开发的工具还很少.
基于主机系统的取证工具已有很多,但缺乏评价机制和标准.
什么样的证据应该适用什么样的取证工具,进行怎样的操作过程,才能使获取的电子证据具有可靠性、有效性、可信性,制定取证工具的评价标准和取证工作的操作规范,将会是取证工具应用的另一个发展趋势.

2)网络数据捕获与分析、网络追踪现有的许多用于网络信息数据流捕获的工具(如NetXray、SnifferPro、Lanexplore等)对各种通信协议的分析都相当透彻,但遗憾的是没有将现有的已经相当成熟的数据仓库技术运用到大量的网络数据的分析之中,更没有将其用于网络入侵的分析与取证之中.
数据挖掘是数据仓库技术中最重要也是最成熟的一种技术.
数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程.
数据挖掘并不是简单的检索查询调用,而是对数据进行微观、中观、甚至宏观的统计、分析、综合和推理,以指导实际问题的解决,发现事件间的相互关联,甚至利用已有的数据对未来的活动进行预测.
如果我们能够通过对捕获的数据进行知识挖掘与规律发现,监控并预测网络的通信状态并利用捕获的数据结合网络入侵检测系统,分析出网络入侵者的身份、入侵者入侵后的行为,对电子取证将起到不可估量的作用.

信息搜索与过滤技术:在取证的分析阶段往往使用搜索技术进行相关数据信息的查找,这方面的研究技术主要是数据过滤技术、数据挖掘技术等,目前国外这方面的开发应用的软件种类也比较繁多,如i2公司的AN6等,但需要与中国国情相结合.

网络追踪是电子取证的一个重要手段.
网络追踪方法可分为四类:(1)基于主机的方法,依靠每一台主机收集的信息实施追踪;(2)基于网络的方法,依靠网络连接本身的特性(连接链路中应用层的内容不变)实施追踪;(3)被动式的追踪方法采取监视和比较网络通信流量来追踪;(4)主动式的方法通过定制数据包处理过程,动态控制和确定同一连接链中的连接.
在进行网络追踪时,突破网络代理定位攻击源是一个很重要的环节.
网络代理一般有HTTP、FTP、Socks、Telnet等代理服务器类型,HTTP、FTP和Telnet代理服务器顾名思义就是分别代理网页浏览、文件传输和远程登录,而Socks是一种可遇不可求的全能代理——前面几种代理服务器所有的功能它都可以实现.
Socks代理分为Socks4和Socks5,Socks4代理只支持TCP协议(传输控制协议),Socks5代理支持TCP和UDP协议(用户数据包协议),还支持各种身份验证机制,服务器端域名解析等.
此外,匿名代理还可以实现网络数据流的控制和过滤,以及抗追踪.
目前,代理服务的应用非常广泛,而攻击者为了抵抗追踪,常常使用代理来实施攻击,因此,研究代理技术对实现网络追踪具有重要的意义.

3)主动取证主动取证主要指通过诱骗或攻击性手段获取犯罪证据,目前国外很多研究机构和公司主要致力于蜜罐(honeypot)技术的研究,honeypot主要有两大类型:产品型和研究型.
产品型主要是用来降低网络的安全风险,提供入侵监测能力;研究型主要是用来记录和研究入侵者的活动步骤,使用的工具和方法等.
较大型的研究项目有:致力于部署分布式蜜罐的DistributedHoneypotProject,研究蜜网技术的HoneynetProject.
蜜网研究联盟HoneynetResearchAlliance在此领域有较大影响.
美国已成熟的网络诱骗系统包括BackOfficerFriendly、Specter、Mantrap、Winetd、DTK、CyberCopSting等,这些系统都是以honeypot技术为核心建立的.
国内在网络攻击诱骗方面也有一些研究.
如电子科技大学对业务蜜网系统的有限自动机进行了研究.
也有学者对网络攻击诱骗系统的威胁分析作了部分研究,部分研究人员针对不同的系统建立了各种入侵诱骗模型以及实际的诱骗系统.

4)密码分析密码分析和破解一直是密码学中的一个重要内容,目前国内外非常热衷于密码分析研究,并且取得了一些令人瞩目的成绩.
我国著名的密码学专家、山东大学信息安全研究所所长王小云教授带领的密码研究团队在国家自然科学基金"网络与信息安全"重大研究计划的资金支持下,经过一年多的研究,先后破译了包含MD5与SHA-1在内的系列Hash函数算法.
2005年2月15日,在美国召开的国际信息安全RSA研讨会上,国际著名密码学专家AdiShamir宣布,他收到了来自中国山东大学王小云、尹依群、于红波等三人的论文,本论文描述了如何使得两个不同的文件产生相同的SHA-1散列值,而计算复杂度比以前的方法更低.
这是继2004年8月王小云教授破译MD5之后,国际密码学领域的又一突破性研究成果.

密码分析技术的发展和密码加密技术的发展是分不开的.
目前,密码加密技术的方向向量子密码、生物密码等新一代密码加密技术发展,因此,密码分析技术也会随之进入一个新的领域.
提高密码分析的准确度、减少密码分析消耗的资源也是研究的重点.

目前,由于黑客技术的发展和普及,网络安全受到很大挑战,各种密码算法和标准广泛应用.
在各类信息系统中获取的机密信息很大部分都是经过加密处理的,因而密码分析与破解成为网络信息获取中的一个必须面对的问题.
结合实际的密码应用,通过对密码分析的研究将会大大提高电子取证工作的成效.
密码破解技术将成为一个重要研究热点,应用前景非常可观.

5)电子取证法学研究电子取证涉及计算机科学和法学中的行为证据分析以及法律领域,这是一个新兴领域、交叉领域和前沿领域.
研究的内容是电子数字证据各方面内容的技术细节,分析任何形式电子数字证据的通用方法,对犯罪行为和动机提供一个综合特定技术知识和常用科学方法的系统化分析方法,探讨打击计算机和网络犯罪的法律模式,从而提供一套可行、可操作性的取证实践标准和合法、客观、关联的电子数字证据.

目前,在国外取证部门中,包括我国取证的技术应用,主要集中在磁盘分析上,如磁盘映像复制、被删除数据恢复和查找等工具软件开发研制和应用,其他工作依赖于取证专家人工完成,当然也造成了电子取证等同于磁盘分析软件的错觉.
但随着取证领域的不断扩大,取证工具将向着专业化和自动化的方向发展,在未来的几年里取证技术发展和取证工具的开发将会结合人工智能、机器学习、神经网络和数据挖掘技术等,具有更多的信息分析和自动证据发现的功能,以代替目前大部分的人工操作.
同时取证技术也将充分应用实时系统、反向工程技术、软件水印技术、使用更加安全的操作系统等技术.

1.
1.
5计算机取证与司法鉴定的证据效力和法律地位1.
电子数据的证据效力电子数据的证据效力是指保证证据的客观性.
在目前实际受理案件的过程中,电子数据一般需要通过司法鉴定才能成为诉讼的直接证据,在办理涉及电子数据的案件时,需要对提取的电子数据进行检验分析,找出电子数据与案件事实的客观联系,从而确定电子数据的真实性和可信性.
电子数据能否作为证据目前各个国家都持肯定态度.
鉴于我国有关法律规定:"证明案件真实情况的一切事实,都是证据",我国法律也赋予电子数据证据地位.

电子数据的认定和采信:电子数据的采信涉及何种证据能够进入诉讼程序或者其他证明活动的问题.
我国学界的主流意见是,电子数据必须经过关联性、合法性与真实性的检验,才能作为定案的根据.
电子数据的采信要求遵循非歧视原则和"先归类,后认定"原则.
为保证电子证据的证据能力,首先要将电子证据转换为法定证据形式.
中国现行的刑事诉讼法法定的证据方法分成七类,即物证与书证、证人证言、被告人供述、被害人陈述与辩解、鉴定结论、勘验报告和视听材料.
在实际应用中,通常可以将电子证据转换为书证、鉴定结论、勘验报告和视听材料四种证据方法,建议在进行转换时可以依循以下原则进行转换.

(1)需要认定信息的存在性时应当以勘验报告的形式提供数字化证据.
比如在存储媒介中存放淫秽电影,可以通过现场勘验、检查生成勘验报告,在勘验报告中指明通过勘验证实在存储媒介中存储有多少数量的电影.
简单地说,勘验报告在电子数据取证过程中发挥的作用主要是证实嫌疑人的主机上存储有什么内容.

(2)需要通过分析才能形成结论时应当以鉴定结论的形式提供数字化证据.
比如需要通过证据分析证明系统入侵案的攻击者是谁,或者需要通过证据分析证明嫌疑人编辑过某个文档,或者需要通过跟踪分析证实某个木马的功能或来源,这些都是需要通过分析才能够得到结论,因此一般都需要以鉴定结论的形式提供数字化证据.
这时候,电子数据本身可以作为鉴定结论的形式提交.

(3)需要展示电子数据表达的内容时应当将这些内容转换为书证和视听材料.
比如需要展示电子文档中的内容时可以将这些内容打印出来,由证人或者嫌疑人在这些内容上签字形成书证材料,以电子文件形式存储的视听材料也应当直接以视听材料的形式提供作为证据,用户在网站上的登录日志也可以转换为书证.

2.
电子数据的证据力证据力是指证据的合法性.
这就要求证据提取、形成过程依循规定程序.
取证人员在实际工作中应依照规则实施调查取证,以保证数字化证据的证据力.
为了保证电子数据的证据力,应当从以下几个方面加以保证:(1)电子证据的原始性.
原始性的证明可通过自认方式、证人具结方式、推定方式和鉴定方式.
(2)电子数据的完整性.
完整性是考察电子数据证明力的一个特殊指标,完整性有两层含义:一是电子数据本身的完整性;二是电子数据所依赖的计算机系统的完整性.
电子数据完整性是指在现场采集获得的数据没有被篡改,这可通过对数据计算完整性校验码或者对原始证物封存加以保证.

(3)技术手段的科学性.
也就是要求在实施电子数据勘验、检查时使用的软硬件以及相应的勘验、检查流程符合科学原理.
要求使用正版软件,要求取证时使用的软硬件经过科学方法的检测,也要求勘验、检查流程能够经得起现实的考验.

(4)勘验、检查人员操作的可再现特性.
为了保证数字化证据的真实性和完整性,这就要求勘验、检查人员对数字化证据实施的操作应当是可再现的,也就是应当对勘验、检查人员对数字化证据的提取、处理、存储、运输过程有详细的审计记录.

3.
电子数据的证明力保证证明力就是要保证证据与待证事实之间的关联性,也就是证据与结论之间是否符合逻辑.
(1)证据分析原理的科学性和逻辑性.
也就是对电子证据事实分析所依赖的软硬件、技术原理符合科学原理,并且能够经受事实的考验.
要求从证据到结论这一过程符合逻辑,这是推断证据运用是否科学的重要依据.

(2)分析过程的可再现特性.
也就是指根据相同的分析原理、在相同的数字化证据集合上进行分析,任何人只要依循相同的分析规则都能够得到相同的结论.
在实际操作中,这一方面要求数字化证据鉴定人员应当对直接的分析过程提供详细的审计记录,另一方面要求任何其他人根据其提供的审计记录实施相同的操作能够得到相同的分析结论.
检验的结果是否具有稳定不变的特性,是证据科学的首要原则.

1.
1.
6计算机取证与司法鉴定的特点计算机取证与司法鉴定是一门法学与计算机科学紧密结合的边缘科学、交叉科学和新兴科学.
从2001年数字化证据研究工作组(DigitalForensicResearchWorkshop,DFRWS)提出:"数字化法证科学是基于科学原理以及经过科学实践检验的方法,保存、收集、证实、发现、分析、解释、记录和显示数字化设备中存储的数字化证据,以帮助或进一步重构犯罪事件,预先发现恶意的或者有计划的非授权行为"开始,人们便对计算机司法鉴定的法学和科学原理开展了初步的研究,这是电子证据学研究的一个真正的开端.

(1)计算机取证与司法鉴定必须依托于科学原理以及经过科学实践检验的方法.
这就要求我们使用的工具、分析原理是科学的、经过实践检验的.
具体到分析工具而言,就要求使用的电子数据固定、分析工具本身经过实践检验、使用的技术原理符合科学原理和法律要求.

(2)计算机取证与司法鉴定包含发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据等多个步骤.
计算机取证与司法鉴定过程是多个环节构成的技术体系.
(3)计算机取证与司法鉴定的目的是发现案件线索、认定案件事实的科学.
发现案件线索是指通过分析电子数据,发现有助于确定和拓展调查方向的数据.
认定案件事实指通过电子数据分析,出具认定案件主体、客体、主观方面和客观方面的分析结论.
从本质上讲鉴定的目的是认定案件事实和重构犯罪,但是在具体实践中,计算机司法鉴定技术也经常被用于发现案件线索,因此将发现案件线索也纳入到这一定义中.

1.
1.
7计算机取证与司法鉴定的业务类型通常计算机取证与司法鉴定业务可以根据不同的目的具体分为以下几类(不限于):(1)认定信息的存在性.
也就是认定在特定的存储媒介上存储有特定的信息,如对于有害信息案件,通常需要对存储媒介进行分析,认定该存储媒介上存在有害信息.
(2)认定信息的量.
比如对于制作传播淫秽物品案件,通常需要对存储媒介进行分析,认定存在淫秽信息的数量和点击的数量.
(3)认定信息的同一性和相似性.
也就是通过信息的比对、统计分析,认定两个信息具有同一性或相似性.
比如在传播电子物品导致侵犯知识产权案件中,通常需要对有关的电子信息进行比对分析.
(4)认定信息的来源.
也就是通过分析信息的传播渠道、生成方法、时间信息等认定信息的最初源头.
比如认定网上某个帖子是否为某个特定的嫌疑人张贴,认定某个图片是否由某台数码相机拍摄的,认定某个源代码和计算机程序的作者.

(5)认定程序的功能.
也就是通过对程序进行静态分析和动态分析,认定程序具有特定的功能.
比如对恶意代码和木马进行分析,认定其具有盗窃信息、远程控制的功能.
比如对病毒代码进行分析,认定其具有自我复制功能.
比如对于在电子设备或软件中植入逻辑炸弹案件,需要通过分析认定该程序在满足特定的条件下具备特定的破坏功能.

(6)认定程序的同一性和相似性.
比如对于游戏是否侵犯知识产权案件,可通过对程序进行比对分析,认定两个程序在功能上具有同一性、相似性.
(7)重构犯罪事件(crimescenereconstruction).
这通常包括:一是对犯罪的主体进行认定,也就是通过分析重构犯罪嫌疑人特征,这通常称为犯罪嫌疑人画像(criminalprofiling).
比如通过分析描绘嫌疑人的技术水平、爱好,推测其年龄等特征.
二是对犯罪主观方面进行认定.
也就是认定嫌疑人实施该犯罪行为是故意还是过失.
比如有国外学者研究统计分析技术,认定嫌疑人主机上的儿童色情图片是由嫌疑人故意下载存储的还是不慎从网络上下载的,以帮助认定是否构成犯罪.
三是对犯罪的客观方面进行认定.
这主要是通过分析认定什么人、什么时间、实施了什么行为.
比如认定某个特定的嫌疑人,在特定的时间对特定的目标实施了网络攻击.
四是对犯罪的客体进行认定.
比如对于传播恶意代码实现大规模入侵的案件,通常需要对攻击的范围、规模进行认定,以认定攻击造成破坏的程度.

计算机取证与司法鉴定是一门永不停止发展的学科,新型的各种犯罪形式还会逐步对计算机取证与司法鉴定技术提出新的需求.
1.
2计算机取证与司法鉴定原则证据是案件的"灵魂"和核心,调查取证与司法鉴定是调查人员为查明案件事实真相,依照法定程序进行调查、发现、取得和保全等一切与案件事实有关证据材料的活动.
计算机取证与司法鉴定作为调查高科技犯罪、解决网络纠纷等司法活动的主要过程,必须在法律规范下,利用科学验证的方式发现、固定、提取、分析证据材料,获取符合证据的可采标准的电子证据以及可以用其重构违法犯罪过程,是案件调查的最终目标及作为法庭诉讼的依据.
美国打击网络不法行为的总统工作小组在2002年3月提交的报告《电子前线:滥用网络之不法行为带来的挑战》中指出:当前执法机构面对的最大挑战之一便是如何处理电子证据问题,这种挑战还将日趋严峻,因为计算机取证与司法鉴定已经成为任何一次调查活动的一部分.

1.
2.
1国内外的计算机取证与司法鉴定原则评介电子证据的生成、存储、传输等各个环节依赖于信息技术,具有许多与传统证据明显不同的特性,因而决定了对电子证据的调查获取除了要遵循传统的取证与司法鉴定原则外,还必须遵循特定的原则和程序,以保证所调查获取的电子证据符合可采性标准.
计算机取证与司法鉴定结合了法学和信息技术等多门学科,因而需要从这些学科的不同角度及其相互关系等方面进行计算机取证与司法鉴定原则的研究.

1.
国外的计算机取证与司法鉴定原则美国等发达国家早于20世纪80年代开始研究计算机取证与司法鉴定原则,在取证与司法鉴定思想、理论、技术、方法等方面取得了不少成果.
有的国家或组织很早就着手开发制定相关的法律原则,主要是在对传统取证与司法鉴定手段的修订中,逐步建立或完善电子证据的搜查、扣押、实时收集等取证与司法鉴定措施,但在司法实践还存在不足,还需要不断地进行调整.
如美国宪法第四修正案中规定,公民的文件同其人生、财产一样,不受非法搜查、扣押,需要经过批准才能实施搜查、扣押,但对于存在于多个司法管辖区域内的电子证据,则因需要分别申请批准文件、耗时过长而延误收集电子证据的有利时机,而可能收集不到全部的电子证据.
《法国刑事诉讼法典》第三编"预审管辖"的第二节"电讯的截留"之第100条规定了截留电讯的措施,但没有明确规定电讯截留是否可以适用于计算机网络通信等.
而在有关电子证据的搜查、扣押等取证与司法鉴定措施的国际法律文件中,最值得借鉴的是2001年通过、2004年生效的欧洲理事会《关于网络犯罪的公约》,该《公约》的第19条规定了搜查、扣押存储的计算机数据等措施,虽然比较完善,但它不能直接用于犯罪调查,而只是为各缔约方在设立相应的电子证据扣押、搜查等取证与司法鉴定措施时,必须规定的基础内容或最低立法标准.
各缔约方可以根据本国特殊的法律制度、文化背景,设立本国的搜查、扣押电子证据的取证与司法鉴定措施.

2.
国内现行的计算机取证与司法鉴定原则一直以来,国内学术界对电子证据的界定、法律地位等问题尚无定论,造成的不确定性直接体现在相关的调查取证与司法鉴定原则中,如有一种观点将电子证据界定为"电子数据、存储媒介和电子设备",另一种观点则认为待鉴定的对象是指"以数字化形式存储、处理、传输的数据".
对操作对象界定的局限性,导致了证据检查、收集等各个阶段的操作要求存在不足,而且证据检查和收集仅仅是案件调查的部分阶段,并不是调查取证与司法鉴定的整个过程,同时计算机取证与司法鉴定的原则、证据的分析等阶段还缺乏相应的法律规定,一定程度上影响了司法实践活动.
因此,在明确界定电子证据、确立其独立的法律地位的基础上,有必要制定完善的取证与司法鉴定原则,包括计算机取证与司法鉴定应遵循的原则、计算机取证与司法鉴定的实施标准,以规范计算机取证与司法鉴定程序,保证获取的电子证据的可采性.

1.
2.
2计算机取证与司法鉴定原则证据是诉讼的关键,取证与司法鉴定是必经的司法过程,获取具有可采性的证据是取证与司法鉴定的主要目的,通过调查取证与司法鉴定人员进行具体的取证与司法鉴定行为来实现这一目的.
以原则规范计算机取证与司法鉴定,是保证电子证据可采性的关键.
目前,由加拿大、法国、德国、英国、意大利、日本、俄罗斯和美国的计算机取证与司法鉴定研究人员组成的G8小组提出的六条原则是国际上最权威的计算机取证与司法鉴定原则:必须应用标准的取证与司法鉴定过程;获取证据时所采用的任何方法都不能改变原始证据;取证与司法鉴定人员必须经过专门培训;完整地记录证据的获取、访问、存储或传输的过程,并妥善保存这些记录以备随时查阅;每位保管电子证据的人员必须对其在该证据上的任何行为负责;任何负责获取、访问、存储或传输电子证据的机构有责任遵循以上原则.
公安部、最高人民检察部、最高人民法院规定了有关勘验、提取、扣押、保管、分析电子数据等取证与司法鉴定环节的原则与程序,部分省、市也对电子商务数据如何存储、备份、恢复等方面提出了有益的建议,但这些法律规范偏向于指导如何提取电子证据,各种方法应遵循什么法律原则均很少涉及且尚未统一,使得在司法实践中进行取证与司法鉴定时缺乏整体的指导思想,各个环节之间不能有效地衔接,严重影响了电子证据的可采性和证据链条的完整性.

由于网络的无国界性,不同国家在法律、道德和意识形态上存在差异,取证与司法鉴定原则取决于不同的证据使用原则.
不同的国家、组织根据各自的出发点,制定的取证与司法鉴定原则虽然不完全相同,但大体都是为保证获取的证据的合法性、客观性和关联性.
因此,计算机取证与司法鉴定的原则应该包括以下几个方面.

1.
依法取证与司法鉴定原则计算机取证与司法鉴定不仅要保证取证与司法鉴定实体合法,还要保证取证与司法鉴定程序合法.
任何证据的有效性和可采性都取决于证据的客观性、与案件事实的关联性和取证与司法鉴定活动的合法性,取证与司法鉴定活动的要件构成是指参与取证与司法鉴定活动全过程、决定或影响取证与司法鉴定结果的各个方面或因素,包括取证与司法鉴定的主体、对象、手段和过程四个要素,只有保证取证与司法鉴定"四要素"同时合法,才能保证获取的证据合法.

1)主体合法取证与司法鉴定主体是案件证据的主要提交者,随着在案件中承担举证责任的地位不同,取证与司法鉴定主体也会有所不同.
我国《民事诉讼法》、《行政诉讼法》对取证主体没有严格的规定,加之电子证据与取证与司法鉴定方法的特殊性,因此取证与司法鉴定主体必须具有相应的资格,才能依法完成电子证据的发现、收集、保全等取证与司法鉴定活动.
电子证据的取证与司法鉴定主体首先必须具备法定的取证与司法鉴定资格,只有具备合法的调查取证与司法鉴定身份,才能执行相应的取证与司法鉴定活动.
由于电子证据的技术特性,取证与司法鉴定人员稍有疏忽都有可能造成重要的数据信息丢失的后果.
鉴于计算机取证与司法鉴定是一门技术性非常强的交叉科学,要求调查人员具备相当的信息技术并不现实,因而调查机关聘请具有法定资格的计算机取证与司法鉴定专家协助调查取证与司法鉴定是弥补此缺陷的有效方法.
如取证与司法鉴定专家通过对获取电子证据的困难程度和最终的可能结果的分析,提出获取该证据的合理建议,制定相应的计划、步骤;协助搜查、扣押电子设备,寻找潜在的电子证据,从技术的角度确保证据的真实性和完整性;恢复被删除的电子证据并加以分析、鉴别;作为专家证人出庭作证,说明电子证据收集、分析过程的可靠性,解释相关技术问题,并接受对方当事人和律师的质询;对电子证据的专门技术问题做出鉴定结论;并在整个取证与司法鉴定过程中起到监督作用等.
因而计算机取证与司法鉴定的主体应该包括合法的调查人员和具有法定资格、"有案在册"的计算机取证与司法鉴定专家.

2)对象合法为保证所有人、权利人的隐私不被侵犯,计算机取证与司法鉴定的对象应该是受攻击、被入侵、被利用实施犯罪行为的计算机、网络系统或涉案的电子设备,尤其要注意在检查计算机系统、网络环境、数码相机等电子设备中的信息时,只有被怀疑与案件事实有关联的信息才能作为被取证调查的对象.
此外,为保护与案件无关的人员的权利,还需要确定电子信息存储的位置、状态、方法等作为取证与司法鉴定的对象范围.
此外,调查取证时,电子设备的所有人、权利人应该在场.
电子证据通常存储在硬盘、光盘等大容量的存储介质中,必须在海量的数据中区分哪些是与证明案件事实有关联的信息,哪些是无关数据,哪些是由犯罪者留下的犯罪记录"痕迹".
对于与案件事实无关的数据,不能进行任意地取证,以免侵犯所有人或权利人的隐私权、商业秘密等合法权益.

3)手段合法计算机取证与司法鉴定的手段主要包括取证与司法鉴定人员通过手工直接取证(即物理取证)和通过特制的信息系统(即工具取证)进行取证两种.
物理取证即传统取证,要求取证人员符合技术操作规范,工具取证是针对电子证据的技术特性对物理取证的补充,不仅要符合物理取证的上述条件,取证所使用的工具和程序等必须通过国家有关主管部门的评测.

取证与司法鉴定手段非法势必导致电子证据的可信度大大降低,因此在计算机取证与司法鉴定过程中不得采取窃录、非法定位、非法监听、非法搜查、扣押等措施或方式,不得使用未经审核验证合格的程序获取证据,不得通过非法软件验证电子证据.
取证与司法鉴定活动的每个环节都应该遵循的标准程序,采取的手段应该符合法律的要求.

4)过程合法取证与司法鉴定过程中,应该遵守相应的取证与司法鉴定活动规范.
在不对原有证物进行任何改动或损害的前提下获取证据;证明所获得的证据和原有的数据是相同的;在不改变数据的前提下对其进行分析;采用人证、书证和音像资料等传统证据形式验证电子证据的合法性;要坚持及时将一些电子信息转换为书证;要利用传统的音视频采集工具对取证与司法鉴定过程进行全程记录;两个合法的取证人员同时在场取证等.
电子证据只要存有一丝一毫的怀疑,就必须通过合法的鉴定机构对其进行鉴定,使之转换为合法的证据.
此外,整个取证与司法鉴定过程必须受到监督,以保证取证与司法鉴定过程的合法性.
2.
无损取证与司法鉴定原则证据材料必须能够客观、真实地反映案件事实,才能成为有效地诉讼证据.
我国诉讼法规定,在提交物证、书证时若提交原件确有困难,可以提交复制品或副本.
对于存储介质中的电子信息,基本上不存在传统意义上直观可视的"原件",目前司法实践中使用的均是原始存储介质中电子信息的"克隆"形式.
由于电子信息的复制技术不会造成信息内容的损失,同时可以保证信息在存储介质中的保存位置不变,因此只要复制的内容与生成时原始存储介质上的内容完全相同,就应视为原件,即电子证据具有客观性.

电子证据依赖于一定的环境而存在,与存储介质不可分离,对存储介质、系统环境的任何操作均可能改变电子信息的属性,即使打开可疑计算机或电子设备这种基本操作,都会改变设备的系统日志信息,极可能损毁将来需要用以证明案件事实的证据材料.
为了防止由于对涉案设备、系统的操作而损毁某些电子证据,造成证据收集的不充分,计算机取证与司法鉴定中不能对涉案设备、系统进行任何修改操作,以维护涉案设备、运行环境等全部信息的完整状态,是保证获取的电子证据客观性的前提和基础.

实施取证与司法鉴定活动,应该始终保证电子证据的无损状态.
例如在收集存储介质中的电子证据时,应该采用镜像工具(如Safeback、SnapBack、DatArret等)以字符流镜像的方式对存储介质中的所有数据信息进行备份,在以后的分析、鉴定等取证与司法鉴定环节中只能对备份数据进行操作,必要时可将备份的数据恢复到原始状态,作为分析、鉴定数据的原始参考标准,使得分析、鉴定的结果具有可信性,保证电子证据的客观性.

电子证据实质是存储在电磁介质中的电磁信息,受到外界磁场的影响有可能被消磁而损失原始证据,对于收集到的电子证据应妥善保管,采取远离高磁场、高温环境,避免静电、潮湿、灰尘和挤压等措施,以保证电子证据的客观完整状态.
因此计算机取证与司法鉴定的每个步骤、采取的每个措施等各个环节都应该遵循无损取证与司法鉴定原则,确保获取的证据符合可采性.

3.
全面取证与司法鉴定原则全面取证与司法鉴定原则,体现在调查机关在取证与司法鉴定过程中应该尽可能地全面调查取证与司法鉴定,使获取的证据相互印证,形成完整的证据链条.
通常,单个电子证据诉讼定案的情况很少,案件往往包含多个用以诉讼的证据,每一个证据从不同的层面与案件具有某种关联,如账户、密码可以确定嫌疑人;电子邮件可以认定敲诈信息;系统日志可以证明作案时间等,这些电子证据组成一条完整的证据链以证明案件的全部事实.
调查人员往往会忽视海量信息中一些细微的数据信息,但现代信息技术环境下这样的证据又非常之多.
因而在计算机取证与司法鉴定时,一定要认真分析电子证据的来源并进行全方位、多角度的取证与司法鉴定,在确保证据与案件事实关联的基础上,将获取的所有电子证据结合案件的其他类型证据,相互印证,排除矛盾的电子证据,最终组成完整的证据链,才能达到胜诉的目的.
所以,全面取证与司法鉴定原则应该成为计算机取证与司法鉴定的一个重要原则,对形成可采的证据链条具有不可忽视的作用.

4.
及时取证与司法鉴定原则电子证据基本上是在信息系统运行过程中自动、实时生成的,系统经过一段时间的运行很可能会造成信息系统的变化,如网络的审核记录、系统日志、进程通信信息都会或多或少有所变化,则这些数据信息不再能如实反映案件的事实.
因而电子证据的获取具有一定的时效性,确定取证对象后,应该尽早搜集证据,保证其没有受到任何破坏和损失.
从电子数据形成到获取,相隔的时间越久,越容易引起电子数据的变化.
例如,IP地址经常被用来确定涉案计算机设备的方位,但这种"网络号码"却不像身份证号一样与所有者存在固定的标识关系.
例如,某一计算机连接网络后被分配了一个IP地址,该计算机退出网络后,此IP地址极有可能被分配给新连接网络的其他计算机.
因此,及时取证与司法鉴定可以保证电子数据作为证据的客观性,维持电子数据与案件事实的关联性.

1.
2.
3国外的计算机取证过程模型计算机取证与司法鉴定技术主要分为主机与其他电子设备取证、网络取证这两种形式.
因此,分析计算机取证与司法鉴定的模型也从这两个方面进行.
1.
主机与其他电子设备取证与司法鉴定系统模型20世纪90年代后期,业内专家逐渐意识到由于计算机取证基本理论和基本方法的研究滞后所带来的种种弊端,计算机取证与司法鉴定的整个过程既没有一致性也没有可依据的统一标准,使得计算机取证的可操作性较差,而且极易遭到法庭上法官的质疑.
因此,专家又开始对取证程序及取证标准等计算机取证中的基本问题进行更深入地研究,并提出了以下5种典型的取证过程模型:1)基本过程模型(basicprocessmodel)Farmer和Venema是这一时期最早开始对数字取证基本理论进行研究的专家,1999年在他们主办的计算机分析培训班上提出了一些基本的取证过程.
这个模型包含以下的一些基本取证步骤:"保证安全并进行隔离(secureandisolate),对现场信息进行记录(recordthescene),全面查找证据(conductasystematicsearchforevidence),对证据进行提取和打包(collectandpackageevidence),维护监督链(maintainchainofcustody)".
他们的研究为这一时期的数字取证发展起到了领航和奠基的作用,但他们提出的取证过程粒度较粗,没有把事件发生前的取证准备作为取证过程的一个阶段,所开发的取证工具(TheCoroner'sToolkit,TCT)运行在UNIX平台,在其他平台上没有实践性的工作,也没有提出具体的应用方法,他们的研究还只是处于初级阶段.
2)事件响应过程模型(incidentresponseprocessmodel)2001年,ChrisProsise和KevinMandia在IncidentResponse:InvestigatingComputerCrime一书中提出了事件响应过程模型的概念,这一模型分为以下各个阶段:攻击预防阶段(pre-incidentpreparation)、事件侦测阶段(detectionoftheincident)、初始响应阶段(initialresponse)、响应策略匹配(responsestrategyformulation)、备份(duplication)、调查(investi-gation)、安全方案实施(securemeasureimplementation)、网络监控(networkmonitoring)、恢复(recovery)、报告(reporting)、补充(follow-up).
这一模型考虑的比较全面、具体,明确提出了攻击预防(pre-incidentpreparation)的概念,并将其作为取证程序的一个基本步骤,而且对各类典型平台(如Windows2000/NT、UNIX、Cisco路由器等)都提供了详细的使用原则和应用方法.
"攻击预防阶段(pre-incidentpreparation)"概念的提出,成为专业取证方法区别于非专业的关键步骤.
但在他们设计的模型中,本应在整个取证过程中占比重最大的系统分析仅占了1/11,而且"攻击预防阶段"也仅提到了攻击预防中的如"事先准备取证工具及设备,熟练取证技能,不断学习新的技术以便应对突发事件"的"操作准备阶段",没有能够从系统架构的角度进行分析.

3)法律执行过程模型(lawenforcementprocessmodel)2001年美国司法部(TheU.
S.
DepartmentofJustice,DOJ)在《电子犯罪现场调查指南》中提出了一个计算机取证程序调查模型.
此模型分为准备阶段(preparation)、收集阶段(collection)、检验(examination)、分析(analysis)、报告(reporting)共五个阶段.
这个指南对不同类型的电子证据以及对其安全处理的不同方法都进行了说明,然而由于它的面向对象是一直从事物理犯罪取证(非数字取证)的司法人员,重点在于满足他们的需要,对于系统的分析涉及较少.

4)过程抽象模型(abstractprocessmodel)在数字取证基本理论和基本方法研究中,过程抽象模型的研究被认为具有里程碑的作用,比较有代表性的研究成果有以下两种.
(1)AIRFORCE过程抽象模型:美国空军研究院通过对以前方法的总结,逐渐意识到在特定技术和特定方法细节上的研究无法总结出普遍的取证方法,同时发现各种不同的取证过程模型都存在共同的特性,因此可将这些模型抽象为一个通用的模型.
由此,他们对特定方法的取证过程进行抽象,抽象的结果产生了具有普遍意义的数字取证程序,这种研究既能使得传统的物理取证知识应用于数字取证中,又能使数字取证程序的研究真正由计算机取证扩展到数字取证,为数字取证技术基本方法和基本原理的进一步研究奠定了良好的基础,使数字取证的研究又迈上了一个新台阶.
这一模型分为识别(identification)、准备(preparation)、策略制定(approachstrategy)、保存(preservation)、收集(collection)、检验(examination)、分析(analysis)、提交(presentation)等8个阶段.
但这个模型提出的"检验"和"分析"名称的相似使得这两个阶段常被混淆,而且这个模型在具体的应用中实用性较差.

(2)DOJ过程抽象模型:美国司法部DOJ也提出类似的过程抽象模型,该模型包含收集(collection)、检验(examination)、分析(analysis)、报告(reporting)等过程.
DOJ对各种电子设备中可能存在的证据类型、潜在的存储位置和犯罪类型进行了分类整理,这种在不同电子设备上,对各种类型的潜在证据的识别和定位的研究是数字取证科学基本理论的又一次发展,它为进一步开发具有普遍意义的数字取证程序及标准奠定了良好的基础,使得调查人员遵照数字取证标准,采用普遍的数字取证方法,采取由一般到特殊的科学过程对具体案件进行调查成为可能.
尽管DOJ在这方面的研究工作刚刚开始,但真正触及了数字取证研究的核心部分.
但这个模型也使用了"检验"和"分析"这两个常被混淆的阶段来识别和提取数字证据,且实用性较差.

5)其他过程模型由美国空军研究院、美国信息战督导/防御局共同资助的计算机取证组织——数字取证研究组(DigitalForensicsResearchWorkshop,DFRW)是由学术界领导的第一个较大规模的、致力于数字取证基本理论及方法研究的联盟组织.
目前在学术界存在的最大问题是在数字取证领域研究过程中既没有标准的数字取证分析过程及协议,也没有标准的术语.
在2001年8月7日到8日在纽约召开的DFRW的第一届年会上,这个工作组提出了一个初步的计算机取证科学的基本框架,框架包括"证据识别、证据保存、证据收集、证据检验、证据分析、证据保存和提交".
基于这个框架,科技界可以对数字取证基本理论和基本方法进一步的发展和完善.
DFRW的创立对于学术界在数字取证领域中的发展方向的定位,凝聚发展力量起到了推动作用.

2.
网络取证与司法鉴定系统模型与主机取证有很大的不同,网络取证主要通过对网络数据流、审计迹、主机系统日志等的实时监控和分析,发现对网络系统的入侵行为,自动记录犯罪证据,并阻止对网络系统的进一步入侵.
网络取证同样要求对潜在的、有法律效力的证据的确定与获取,但从当前的研究和应用来看,更强调对网络的动态信息收集和网络安全的主动防御.

目前较多的是对网络取证技术或系统框架的研究,还几乎没有完整的网络取证系统.
FESNF是由Jun-SunKim等人开发的一个基于模糊专家系统的网络取证系统.
FESNF由6个组件组成,其结构如图1-1所示.
图1-1基于模糊专家系统的网络取证系统结构图网络流分析器组件:主要完成网络流的捕获和分析.
它要求捕获所有的网络流,以保证数据的完整性.
分析器应用规则对捕获的网络流进行重组,数据包分类的规则是协议相同的和时间连续的.
知识库组件:存储模糊推理引擎所使用的模糊规则.
模糊化组件:应用为每个语义变量的模糊集所定义的隶属函数,确定每个模糊集中输入值的隶属度.
模糊推理引擎组件:当所有的输入值被模糊化为各自的语义变量,模糊推理引擎访问模糊规则库,进行模糊运算,导出各语义变量的值.
规则的前件用"最小"运算,后件用"最大"运算.
反模糊化组件:运用"最小-最大"运算产生输出值,作为取证分析器的输入.
取证分析器:判断捕获的数据包是否存在攻击,它的主要功能是收集数据、分析相关信息,并且生成数字证据.
如果反模糊化组件的输出值在0.
9~0.
1之间,则取证分析器确认为存在对网络的攻击,并自动从当前的重组包中生成数字证据.

1.
3计算机取证与司法鉴定的实施1.
3.
1实施步骤国内对计算机取证与司法鉴定过程标准化的研究还没有形成一个较完整的体系,目前的研究主要集中在取证与司法鉴定的实施方面.
涉及电子证据的调查提取同样应遵循传统证据调查提取的原则、步骤,但由于电子证据自身的物理特性和技术特征,又决定了计算机取证与司法鉴定同传统取证与司法鉴定有所区别,如犯罪现场、收集分析证据材料、采用的技术工具、调查人员构成等方面都存在差异.
计算机取证与司法鉴定的实施及其有区别于传统证据调查的环节主要包括以下方面.

1.
受理案件受理案件是调查机关了解案件、发现证据的重要途径,是调查活动的起点,是依法开展工作的前提和基础.
因此受理案件可以算是展开计算机取证与司法鉴定工作的准备阶段.
调查机关在受理案件时,要详细记录案情,全面地了解潜在的与案件事实相关的电子证据材料,如涉案的计算机系统、打印机等电子设备的情况,尤其是IP地址、域名、网络运行状况、设备的日常使用管理、受害方和犯罪嫌疑人的信息技术水平和虚拟现场.

2.
保护涉案现场任何一个案件的现场都是犯罪"痕迹"集中的地点,是搜集证据的首要场所,对计算机等高科技犯罪案件也不例外.
计算机网络将地理位置上分散的计算机连接在一起,利用网络环境实施攻击、入侵计算机系统、网络欺诈、网络侵权等案件时,犯罪嫌疑人往往利用自己、别人或网吧里的计算机实施攻击、入侵网络上的其他计算机,向网络上用户散布欺诈信息等犯罪行为,证据材料通常遗留在网络中,因此涉及计算机网络的案件现场较之传统案件现场更复杂,目前,在诉讼过程中起到关键作用的大部分证据,是受到破坏影响的计算机系统、网络环境中的数据资料,因而有学者把电子证据所处的虚拟现场分为单机现场和网络现场.
还有专家把计算机犯罪案件的现场根据不同情况进行分类,例如按现场在计算机案件发展过程中所处的地位和作用分为主体现场和关联现场,按计算机案件的形成过程分为预备犯罪现场、实施犯罪现场和掩盖犯罪现场,按犯罪现场有无变动和性质分为原始现场、变动现场、伪造现场和伪装现场等.
因此以犯罪嫌疑人实施犯罪行为的场所为标准,将涉案的现场分为犯罪嫌疑人实施犯罪行为的"作案现场"、网络环境中可能存有证据线索的"关联现场"和造成犯罪后果的"发案现场".

计算机取证与司法鉴定时,首要之事是冻结作案现场和发案现场的计算机系统,保护目标计算机系统,及时地维持计算机网络环境的状态,保护诸如录音机、数码相机、计算机设备等作案工具中的线索痕迹,如键盘、打印机、相机上留下的作案人的指纹,网络连线等设备外观的情况等,在操作过程中务必避免发生任何更改系统设置、硬件损坏、数据破坏或病毒感染的情况发生,以免破坏电子证据的客观性或造成证据的丢失.
目前的计算机犯罪基本上由内部人员实施,或者由外部人员通过网络实施,只要犯罪嫌疑人有所察觉,就会立即采取手段销毁证据,因此涉案现场一旦确定,必须迅速加以保护,进行检查.

3.
收集电子证据对于计算机犯罪,通常需要收集的证据资料主要来自涉案的计算机系统、网络管理者与ISP商(网络服务提供商).
系统、网络管理者与ISP商的配合,显然会是计算机犯罪调查成功的重要因素.
在此期间,主要注意收集以下数据信息:计算机审核记录,包括使用者账号、IP地址、起止时间及使用时间等;客户登录资料,包括申请账号时填写的姓名、联络电话、地址等基本资料;犯罪事实资料,即证明该犯罪事实存在的数据资料,包括文本、屏幕界面、原始程序等,如侵权著作、淫秽画面等.

研究分析本案是属于何种犯罪类型,了解犯罪嫌疑人的职业身份、动机目的和犯罪手法等,例如计算机系统日志文件能产生审计痕迹,记录下任何重要的网络活动,包括使用者进入计算机的时间,所取用的资料、档案、程序,进行过哪些操作,何时离开系统以及哪些行为被拒绝等操作.
依据这些"电子指纹",就可以找出究竟是何人所为,使用者是来自系统内部还是外部.

通常,犯罪分子在作案后可能会彻底删除或者混淆证据以隐藏犯罪行为,而且计算机系统中的某些事件,如正在进行的文件修改、已经发生的进程中断、内部进程通信和内存的使用情况等,或许不会在被攻击的系统中留下事后线索.
因而需要实时取证,以获取全面充分的证据,支持调查人员得出具有较强确定性的结论.
目前越来越多的网络侵权、网络欺诈等网络犯罪需要这类实时、动态数据信息来证明案件事实,事后静态的取证与司法鉴定方法不能获取这类实时证据,因此要采用动态搜集证据方法获取系统、设备的实时状态,以构成能够客观、完整地反映犯罪实施过程的证据链.
在证据收集过程中,收集直接关系案件事实的数据信息自不待言,但是也不能忽视诸如数码相片的数字信息证据、网络环境参数、各硬件之间的连接情况等细节信息的收集.

由于电子证据的删改性,根据无损取证与司法鉴定原则,应由调查人员或是聘请的取证与司法鉴定专家对原始存储介质进行备份,以保证电子证据的客观真实性.
同时备份过程应当由嫌疑人、被害人或在场人共同确认,以免日后对证据的可采性滋生争议.

目前有些受害方携带计算机主机、硬盘、计算机主机等可疑证物到调查机关报案,受害方为保护自己的隐私、商业秘密等信息,对电子邮件、硬盘内容等进行了删改操作,致使电子证据材料的客观性遭到破坏,无法保证其可采性,通常会受到嫌疑人或检察机关、法院的质疑,不能被作为诉讼证据使用.
又如一起在知识产权界引起争议的案件中,专门研究知识产权法的专家学者在状告某公司在互联网上不经同意连载他们的作品、侵犯其著作权之时,却也被某公司指称其代理人在向调查机关提供侵权的电子证据时,未经授权、擅自使用了该公司的"某阅读软件"被反诉非法使用软件.

4.
固定与保管电子证据由于电子证据的删改性,为保护证据的完整性、客观性,必须对电子证据进行固定和保管,考虑到有些案例可能要花上两三年时间来解决,因此首先应用适当的储存介质(如massstorage、DVD或CD-ROM)进行原始的镜像备份.
电子证据内容实质是电磁信号,极为脆弱,如经消磁即无法回复,因此搬运、保管电子证据时不应靠近磁性物品防止被磁化,提取的磁性存储介质,必须妥善地保存在纸袋或纸盒内,置于防碰撞的位置,不可只以纸袋或塑料袋封存;对于计算机和磁性存储介质,不可放置在安有无线电接收设备的汽车内,不能放置于温度过高或过低的环境中;另外存储介质如磁带或磁盘发霉或潮湿,即难以读取其存储的记录内容,因而应将电子证据放置在防潮、干燥的地方;对获取的电子证据采用安全措施进行保护,非相关人员不准操作存放电子证据的设备;不可轻易删除或修改与证据无关的文件,以免引起有价值的证据文件的永久丢失.

5.
分析电子证据分析前必须先将证据资料备份以完整保存证据,尤其是应该将硬盘、U盘、闪存、PDA内存、数码相机的存储卡等存储介质进行镜像备份,即"克隆",必要时还可以重新制作备份证据材料,分析电子证据时应该对备份资料进行非破坏性分析,即通过一定的数据恢复方法将嫌疑人删除、修改、隐藏的证据进行尽可能的恢复,在恢复出来的文件资料中分析查找线索或证据.

6.
归档电子证据应整理取证与司法鉴定的结果并进行分类归档保存,以供法庭作为诉讼证据,主要包括对涉案电子设备的检查结果;涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本;使用取证与司法鉴定技术时,数据信息和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及对电子证据的分析结果和评估报告等所有相关信息.
尤其值得注意的是,在计算机取证与司法鉴定的过程中,为保证证据的可信度,必须对取证与司法鉴定各个步骤的情况进行记录、归档,包括搜集证据的时间、地点、人员、方法以及理由等,以使证据经得起法庭的质询.

1.
3.
2计算机证据的显示与质证任何证据都必须在法庭上进行出示,接受法庭上法官及当事人的质询,直至无异议才能被各方接收,成为判定犯罪嫌疑人有罪与否的证据.
计算机证据也必须在法庭上进行显示和接受质询,但是由于计算机证据的特殊性,使得计算机证据在法庭上进行显示及质询也与传统证据有很大的不同.

1.
计算机证据的显示证据显示(discovery或disclose),又称证据展示、证据再现、证据先悉.
其基本含义是庭审调查前在双方当事人之间相互获取有关案件的信息.
《布莱克辞典》将之定义为"了解原先所不知道、揭露和展示原先隐藏起来的东西.
"《民诉证据若干规定》将此定义为证据交换,并在第37~40条中作了相应规定.

2.
计算机证据的质证质证是指在法庭审判过程中由案件的当事人就法庭上所出示的证据采取辨认、质疑、说明、辩论等形式进行对质核实,以确认其证明力的诉讼活动.
它涉及质证模式选择、质证的范围和方式等问题.
例如,在民事、行政案件的庭审中,当事人及其代理人对双方的证人、鉴定人进行交叉询问、诘问等;在刑事案件的庭审中,控方(包括公诉人、自诉人和被害人及其代理人)可以对被告方的证人、鉴定人进行诘问,辩方(包括被告人及其辩护人)也可以对控方证人、鉴定人进行诘问.

1.
4计算机取证与司法鉴定的发展趋势及分析目前,计算机取证与司法鉴定研究方向和主要研究内容包括主机取证、信息网络证据保全和分析技术、网络数据捕获与分析、网络代理与网络追踪、主动取证技术、密码分析技术、网络违法犯罪证据保全、计算机数据恢复及信息指纹勘查、信息网络数据鉴定技术及标准体系、信息加密及加密信息破解、网络反窃密等专业和技术,涉及侦察与监控技术、现代物证技术、信息情报技术、现场处置技术等.

1.
4.
1主机证据保全、恢复和分析技术1.
现场电子证据分析技术以及现场记录技术的研究主要研究信息网络数据证据犯罪发生后取证的有关技术,如:如何妥善处理目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染,并保证准确无误的从信息存储设备中将信息网络数据提出.
包括数据获取技术、文件属性分析技术、文件数字摘要分析技术、日志分析技术、现场勘查技术、硬盘检查和镜像技术、磁盘映像复制技术、加密解密技术和口令获取、信息搜索与过滤技术、逆向工程技术、信息网络数据鉴定技术及标准体系等.
存在的主要难点有:系统格式化后文件控制块的获取技术、日志格式的分析、磁盘映像副本中坏道的处理、加密硬盘的处理技术等.

2.
现场证据多媒体传输技术的研究主要研究虚拟专用网(VirtualPrivateNetwork,VPN)数据传输技术、多媒体数据压缩与解压缩技术、多媒体输入与输出技术等.
存在的主要难点有:VPN传输过程中的数据加密方法的实现、VPN的隧道协议的实现.
3.
SCSI存储设备只读接口技术的研究主要研究SCSI多接口技术、通道技术等.
其中存在的难点有SCSI数据传输协议的研究、多通道技术的实现.
4.
计算机硬盘高速硬拷贝技术的研究主要研究读写硬盘数据的相关协议、高速接口技术、数据容错技术、CRC-32签名校验技术等.
目前存在的难点有:磁盘坏道的读写问题、CRC-32签名校验的实现.
5.
常见格式文档碎片的分析解读技术的研究主要研究根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能作者的分析技术、根据文件控制块(记录块)的碎片推断出其可能的格式的技术.
目前存在的难点主要是文档碎片的获取技术.