网络窃密案的电子证据检验.pdfVIP

近年来我国信息化的建设和发展日益深化 ，计算机 西九江，初步判断这是一起有预谋、有计划的攻击行为。 和网络已随处可见 ；与此同时，国际和国内政治、经济斗 按照这条线索，公安机关迅速出动，很快锁定并抓获了犯 争形势日趋复杂，各类敌对势力和犯罪团伙利用网络对我 罪嫌疑人许某 ，并在许某的住所查获了台式机和笔记本电 加紧进行渗透破坏活动。在这样的背景下，网络窃密案已 脑各1台、手机2部、移动硬盘4个、优盘4个、各式存储 成为一种常见的犯罪类型。利用计算机网络窃取、非法提 卡8个，以及银联卡3张。在讯问中，许某对网络攻击行 供国家秘密案件一般针对国防军工、科研机构、政府部门 为供认不讳，但是声称其纯粹出于兴趣爱好，没有任何其 等国家要害单位的计算机信息系统，一旦得手，往往具有 他 目的。 极强的破坏性 ，对国家安全会造成严重伤害。由于这类案 为查清许某窃密的事实和被窃信息的最终流向，专 具有隐蔽眭、智能性强的特点，侦查和取证难度较大。因 案组将收集的原始检材送往西安政治学院刑事科学技术实 此，尽管国家安全部门、公安机关等执法机构对这类案件 验室委托检验，并提出三点要求： 高度重视，但在实际工作当中，由于这类案件涉及较多的 ①鉴定检材中嫌疑人实施网络攻击使用的软件工 专业技术问题，在证据的提取、分析和鉴定上存在较多障 具； 碍 。成为办案中亟待突破的瓶颈。下面笔者就参与的一起 ②嫌疑人是否具有实施网络攻击的动机 ，即是否如 网络窃密案的取证和分析过程，谈谈自己的心得体会，以 其声称的 “纯粹出于兴趣爱好”； 期达到抛砖引玉的作用。 ④嫌疑人是否获取了涉密信息。 根据对案情的基本了解和委托单位的要求，我们立 一 、 案情简介 即对涉案的计算机及存储介质开展了检验工作。 2008年3月，某军工研究所的网络安全人员在工作 二、严格按技术规程获取镜像 中发现，其单位内部的上网计算机连续几天受到网络攻 击，立即向保卫处报案。保卫处接报案后，首先对遭受攻 获取检材镜像是将原始检材进行完全复制、生成镜 击的计算机进行技术分析 ，发现所有的攻击源lP都来 自江 像文件用于检测分析的过程，它是开展电子证据检验的第 PoliceTechnology 201O年1月 31 一 步，也是确保后续正确开展检测 分析工作的前提条件。在制作镜像 文件过程中，我们充分考虑了检材 与镜像文件内容的一致性、镜像数 据的可靠性和完整性。 首先，通过专用硬件设备对检 材进行镜像克隆，确保原始检材内 图1在检材中发现 了r大量的黑客资料和软件工具 容与镜像内容的一致性。镜像的数据如与原始检材内容不 是软件本身自带的日志和输出文件，我们发现嫌疑人经常 同，必会影响检测结果，我们采用硬盘复制机对原始检材 使用这些软件在互联网上操作，由此可以断定嫌疑人确实 进行了逐扇区、逐字节复制，通过其SHA256电子指纹系 在用这些软件实施网络攻击。经过仔细甄别，我们总共提 统确保了复制过程100％准确且不可逆，完全符合司法取 取了嫌疑人经常使用的23个软件工具，包括端口扫描 证要求。 器、木马生成器及木马Jr--／-~、键盘记录器等。在查看嫌疑