电子证据源不确定性问题研究.pdfVIP

Ol1-03 ■ 究 王宁，刘志军，麦永浩 (湖北警官学院。湖北武汉 430034) 摘 要：相对确定的电子证据源有助于公安机关对计算机犯罪案件在侦查方向上的把握和法院对电子证 据的采纳。本文首先介绍了当前常用的几种电子证据源判断技术和方法，对此进行了分析，并探讨了在理论 和实践上如何加强对 电子证据源不确定 问题的研究。 关键词：计算机取证；电子证据；证据源；不确定性 中图分类号：TP393．08 文献标识码：A 文章编号：1671—1122(2011)03—0034—03 ElectronicEvidenceSourceUncertaintiesofResearch WANGNing，LIUZhi-jun，MAIYong—hao (HubeiUniversityofPolice,WuhanHubei430034，China) Abstract：Relatieelectronic evidence sourceshelpsthepublic security organscomputercrimesin investigationonthedirectionofgraspandcourttoelectronicevidenceofadoption．Thispaperfirstlyintroducesthe currentofseveralnormalelectronicevidencesourcejudgmenttechnologiesandmethods，thearticleanalysesand discusseshtetheoryna dpracticeonhow tostrengthenthesourceofuncertaintyofelectronicevidenceresearchof hteproblem． Keywords：computerforensics；electronicevidence；evidencesources；uncertainty 1常用的技术和方法 1．1直接法 在许多计算机犯罪案件中，电子证据取证和分析人员很容易地推断出近似的电子证据源。以相互联系的证据为基础，根据事 实或经验做出猜测并认定电子证据的证据源。 例如在全国首例网站联盟诈骗案中，分析嫌疑人主观上是否有故意诈骗意图，客观上是否有诈骗行为，选择服务器目录文件和 数据库文件作为电子证据源。分析目录文件中的色情页面的网页源代码和URL指向链接，分析数据库文件中的存储的视频等数据， 结果显示该网站联盟提供服务与自身承诺的服务具有不一致性，主观上存在故意诈骗动机；分析目录文件中的色情页面的网页源代 码和URL指向链接，分析数据库文件中的资金数据，揭示了网站联盟、运营商 (sP)、CP以及会员网站站长的利润分配方式 J【。 1。2权重法 另一种对电子证据源认定的方法是权重法。随着搜索范围的扩大，电子证据类型的增多，潜在电子证据源的增多，有时取 证人员无法物理上接近包含证据的系统，需要远程收集证据，在这段时间内证据极易可能被破坏。例如 Internet上数据、web页 面和Usenet消息等在任何时间内都有可能被更改或删除，计算机入侵者也经常删除Et志文件。为了更可靠性地评估电子证据源， 为了建立全面的电子证据源，取证人员有时建立数字证据图，根据经验为不同的电子证据源赋予一定的权重，通过综合权重计 算得出相对确定的证据源。 1．3Casey确定性级别模型 数据 (信息)是从许多来源收集起来的(数字或非数字的)，数据必须融合到一起才能提供所需的结论。但随着证据源实体和 链路数量的增加，电子证据之间联系的复杂性变大，网络状态是经常变化的，干扰和破坏是不可避免的，用权重法识别评估电子 证据源的确定性程度便会变得很困难。Casey 根据电子证据依附的计算机系统