计算机犯罪与取证技术.docVIP

计算机犯罪与取证技术 　　伴随着计算机网络普及程度的提高，利用计算机网络的犯罪活动越来越多，并且越来越严重，这已经是个不争的事实。计算机犯罪将是21世纪破坏性最大的一类犯罪，要严厉打击和遏制这种犯罪，完善法律法规和提高取证技术是非常必要的。 　　一、计算机犯罪的定义 　　我国公安部定义：计算机犯罪是以计算机为工具或以计算机资源位对象实施的犯罪行为。《中华人民共和国刑法》规定了四个罪名：一是非法入侵计算机信息系统罪;二是破坏计算机信息系统功能罪;三是破坏计算机信息系统数据、应用程序罪，四是制作、传播计算机病毒等破坏性程序罪。具体为《刑法》第285条和第286条。以上是典型性计算机犯罪，另外还有非典型计算机犯罪，即利用计算机进行的其他犯罪或准计算机犯罪，就是指既可以用信息科学技术实施也可以用其他方法实施的犯罪，在《刑法》第287条中举例并规定的利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪。 　　二、计算机犯罪的主要手段 　　计算机的犯罪手段随着计算机技术的发展不断推陈出新，技术含量越来越高，案件的侦破难度越来越大，计算机犯罪常用的手段如下： 　　1.意大利香肠术 　　这种计算机犯罪是采用不易被察觉的方法，使对方自动做出一连串的细小让步，最后达到犯罪的目的，这是典型的金融系统计算机犯罪。 　　2.盗窃身份 　　盗窃身份主要是指通过某种方法窃取用户身份，享用用户身份的权限，从而可以以授权用户的身份进入计算机操作系统，进行各种破话操作。破解用户密码是盗用用户身份的最常用方法。 　　3.活动天窗 　　所谓活动天窗就是指程序设计者为了对软件进行调试和维护，在设计程序时设置在计算机软件中的“后门”程序，通过“后门”黑客可以绕过程序提供的正常安全性检查而进入计算机软件系统，并且可能法制木马程序，达到其入侵的目的。 　　4.计算机病毒 　　计算机病毒的破坏能力是绝对不可小觑的，轻则导致应用程序无法正常使用，丢失尚未保存的临时数据，严重的可能导致系统瘫痪，并且丢失所有数据，甚至可以损坏计算机硬件。 　　5.数据欺骗 　　数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或者输入虚假数据，以这样的方法实现犯罪目的，这是一种相对简单的计算机犯罪手段。 　　三、计算机取证的定义和步骤 　　关于计算机取证的定义还没有权威组织给出确切的定义。著名的计算机专家Judd Robbins对计算机取证的定义是：“计算机取证不过是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定与获取”。计算机取证实际上就是对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术，即对计算机证据的保护、提取和归档的过程。 　　在司法鉴定的实施过程中的计算机取证的基本步骤如下： 　　1.案件受理 　　案件受理是调查机关了解案情、发现证据的重要途径，是调查活动的起点，是依法开展工作的前提和基础。受理案件时，要记录案情，全面的了解潜在的与案件事实相关的电子证据。 　　2.保护现场 　　首先要冻案件现场的计算机系统，保护目标计算机，及时地维持计算网络环境的状态，保护数码设备和计算机设备等作案工具中的线索痕迹，在操作过程中必须避免发生任何更改系统设置、硬件损坏、数据破坏或病毒感染的情况发生，避免电子证据遭到破坏或丢失。 　　3.收集证据 　　主要收集以下数据信息：计算机审核记录（包括使用者账号、IP地址、使用和起止时间等）、客户登录资料（包括申请账号时填写的姓名、电话、地址等基本资料）、犯罪事实资料（证明该犯罪事实存在的数据资料，包括文本文件、屏幕截屏、原始程序等）。 　　4.固定证据 　　固定证据可以保证电子证据的完整性和客观性。首先对电子证据的存储要选用适当的存储介质，并且要进行原始的镜像备份。因为电子证据的实质是电磁信号，如果消磁便无法挽回，所以电子证据在运输和保管的过程中不应靠近磁性物质，不可放置在有无线电接收设备的汽车内，不能放置在高温或低温的环境中，要放置在防潮、干燥的地方，非相关人员不得操作存放电子证据的设备。 　　5.分析证据 　　在进行数据分析之前要将数据资料备份以保证数据的完整性，要对硬盘、U盘、PDA内存、存储卡等存储介质进行镜像备份，必要时还要重新制作数据备份材料，分析电子证据时应该对备份资料进行非破坏性分析，使用数据恢复的方法将删除、修改、隐藏的电子证据尽可能的进行恢复，然后再在恢复的资料中分析查找证据。 　　6.证据归档 　　应当把电子证据的鉴定结果进行分类归档保存，以供法庭诉讼时使用，主要包括对电子证据的检查内容：涉及计算机犯罪的时间、硬盘的分区情况、操作系统和版本;取证时，数据信息和操作系统的完整性、计算机病毒评估情况、文件属性、电子证据的分析结果和