电子证据取证中的推理分析技术.pdfVIP

／2IDlo．03 ml doi：10．3969／j．issn．1671—1122．2010．03．008 电子证据取证中的 王宁，刘志军，麦永浩 (湖北警官学院信息技术系，湖北武汉430034) 摘要：如何利用断断续续的电子证据线索来确定计算机犯罪之间的相互关联的犯罪动机、行动、相互作用和时间安排是计 算机取证人员重现犯罪现场、确定犯罪嫌疑人的关键步骤，本文针对这个问题探讨了电子证据取证中的三种推理分析技术及其应用。 关键词：电子证据；推理分析 中图分类号：TP393．08文献标识码：A 1电子证据的推理分析技术概述 事件的顺序和即时模式，非常有利于推理事件的顺序，因此 被用来确定某一时间段事情的证据，也称为时间性证据。相 推理是通过拼接在调查过程中收集来的零碎证据和信 关性推理用于确定犯罪的组成、它们的位置和相互关系(是谁、 息以便更好地判断受害者与罪犯之间所发生的事实真相的系 做了什么、何地)，被用来确定物体之间或者与犯罪之间关系 统过程。推理就是将特定的案发现场的犯罪行为汇总起来 的证据称为相关性证据。功能性推理用于确定犯罪分子可能 用来推断是谁及在何时何地、采用何种方法做了什么事情， 是什么(如何做)，被用来确定事物运行或应用方式的证据称 同时将相互关联的犯罪行为汇总分析，推断案犯的惯用手法、 为功能性证据。 他们对犯罪现场以及受害者的了解和熟悉程度，甚至是他们 2．1时间性推理分析 的犯罪动机。 取证人员在调查计算机犯罪案件时，对案发时间和案发 推理分析过程的杨0原则就是：当犯罪分子实施犯罪时， 过程的了解十分需要。对于计算机而言，大多数操作系统保存 他们会在案发现场留下犯罪痕迹，其基础理论就是Locard交换 了文件和文件夹的创建时间、最后一次更改时间以及其访问 原理，即当任何两个物体相互接触时，就会产生交叉转移。例 时间，这些日期时间戳对于确定对计算机进行了何种操作极 如某人通过基于Web的电子邮件服务如Hotmail泼送恐吓信息， 其重要。除了文件El期时间戳，一些应用软件还在文件、日志 那么他的Web浏览器会在硬盘上保存文件、链接和其它信息以 和数据库中嵌入了日期时间信息，以便展示在计算机上各种活 及与信息相关的日期时间，取证人员可以在罪犯的硬盘上发现 动的时间，诸如近期访问过的网页。几种主要的时间性推理 大量的与发送信息相关的信息。同时取证人员也可以在发送信 分析方式如下： 息的Web服务器上发现相关的信息，包括访问日志、电子邮件 1)时间活动表：建立一个文件创建时间、访问时间和 日志、IP地址、浏览器版本、以及可能发现犯罪分子电子邮件