计算机证据.ppt

电子数据证据 任何材料要成为证据，均需具备三性： 客观性 关联性 合法性 计算机取证（电子取证）定义 计算机取证专业资深人士Judd Robins: 计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。 计算机取证（电子取证）定义 一家专业的计算机紧急事件响应和计算机取证咨询公司： 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 计算机取证（电子取证）定义 一篇综述文章给出了如下的定义： 计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 计算机取证（电子取证）定义 综合： 　　　计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 电子证据与传统证据的区别 计算机数据无时无刻不在改变； 计算机数据不是肉眼直接可见的，必须借助适当的工具； 搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作； 电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。 国外计算机取证历史及现状 法律的制定： 自1976年的Federal Rules of Evidence起，美国出现了如下一些法律解决由电子证据带来的问题： The Economic Espionage Act of 1996:处理商业机密窃取问题 The Electronic Communications Privacy Act of 1986:处理电子通信的窃听问题 The Computer Security Act of 1987(Public Law 100-235):处理政府计算机系统的安全问题 国外计算机取证历史及现状 取证技术： 　　　逐渐走向自动化、智能化，政府与各专业机构均投入巨大人力、物力开发计算机取证专用工具。 国外计算机取证历史及现状 ?? 用于电子数据证据获取的工具： 如Higher Ground Software Inc. 的软件Hard Drive Mechanic 可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree可从活动的Windows Swap分区中恢复数据，该公司的软件GetSlack可自动搜集系统中的文件碎片并将其写入一个统一的文件。 国外计算机取证历史及现状 用于电子数据证据保全的工具： Guidance Software公司生产的硬件设备Fastbloc可用于Windows操作系统下计算机媒质内容的快速镜像，NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据，保证其不被改变，也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作。 国外计算机取证历史及现状 ? 用于电子数据证据分析的工具： 这类工具中比较著名的是NTI公司的软件系统Net Threat Analyzer。该软件使用人工智能中的模式识别技术，分析磁盘空间、未分配磁盘空间、自由空间中所包含的信息，研究交换文件、缓存文件、临时文件及网络流动数据，从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动，提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国9.11事件的调查中起到了很大的作用。 国外计算机取证历史及现状 用于电子数据证据归档的工具： 如NTI公司的软件NTI-DOC可用于自动记录电子数据产生的时间、日期及文件属性。 国外计算机取证历史及现状 结论： 针对计算机取证的全部活动而言，美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程，各研究机构与公司也都在进一步优化现有的各种工具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度，进一步提高计算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。 国内计算机取证历史及现状 我国的计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有10年的历史，相关的法律法规仍很不完善，学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。 目前法庭案例中出现的计算机证据都比较简单，多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步，计算机犯罪的水平也在不断提高，目前的计算机取证技术己不能满足打击计算机犯罪、保护网络