电子证据鉴定.pptVIP

主要内容 一、鉴定情况介绍 二、电子物证的基础知识 三、电子物证检验 四、案例介绍 五、手机检验 六、BT案件讨论 类特征和个体特征 传统刑事检验可通过“类特征”和“个体特征”，使范围缩小或达到统一认定。在电子物证检验同样可利用“类特征”和“类特征”。 类特征：一组对象所具有的属性。在相似特征的基础上给数据对象分类。 个体特征：展示的属性属于一个分类。可以把一个对象同所有其他相似的对象区分开来的显著差异。 在数字照片上的特殊标记可以确定是用了扫描仪还是数码相机，在通过个体特征就可能确定某一型号的扫描仪或数码相机，在范围缩小后还可能确定是哪个设备。 数字照片上的一条线或许会和一台特定的平板扫描仪上的玻璃划痕相一致。 用MD5哈希值可查找或比较相同的文件。比文件名和文件大小更方便更可靠。 各种情况下的获取 在线取证 动态易失信息 快速勘察 加密分区、磁盘 离线取证 Raid 没有接口 任何情况下的复制 功能描述 1、系统信息、密码信息和用户活动记录（41类） 2、内存信息复制 3、硬盘复制 4、分区复制 系统信息 操作系统信息 登录信息 进程信息 网络文件信息 服务信息 活动登录会话信息 TCP/IP端口信息 最后登录用户信息 混杂模式端口检测 网络协议统计信息 网络活动连接 NETBIOS统计信息 网络接口信息 路由信息 用户密码、用户活动信息 SAM数据库中的口令哈希 拨号网络密码 常见邮件软件密码 即时通讯软件密码 网络密码 BIOS 密码 导出系统信息界面 内存信息复制界面 硬盘复制界面 分区复制界面 离线取证 如何正确综合分析工具 1、熟练掌握其优点和缺点。 2、对比其检验结果。 3、检验之前正确测试其功能。 Windows系统检验 USB移动设备 人工数据分析与恢复 1、十六进制编辑器。 2、Encase分析工具。 如何书写鉴定结论 犯罪现场技术人员、检验人员和调查人员必须相互协作将证据整合在一起分析并得出案件正确的分析结果。 科学的事实从属法律事实，和科学事实不同法律是可以谈判的。 刑事诉讼的证据标准是“排除合理怀疑”，民事诉讼的证据标准是“可能性的权衡”。 使用可信的检验方法和技术来确保电子物证的处理、分析和报告是可靠和客观的，鉴定结论一般使用中性语言来描述和解释。调查过程中的排除法不应该主观推测，而应让电子物证本身“说话”更重要。 四、案例介绍 * * * * * * * * * * * * * * * * * * * * * * * * AccessData is pleased to have a reputation of cooperation. We work with a variety of hardware and software vendors. For write blockers we support and work with Tableau, ICS, and Logicube. Guidance has partnered with Weibetech * For hand-held devices we have partnered with Logicube and ICS These units have hard disk in them, like this MD5 unit has a 500GB drive and is attached to a system and the data dumps right to it. This Solo-II unit can write to two drives simultaneously. 假设: 涉案电脑是第一台种子电脑在互联网上利用BT分发有关影片。 子假设1: 涉案电脑曾经被用来复制有关影片到电脑中。 子假设2: 电脑中的BT程序用复制影片建立torrent挡案。 BT 案件的法证过程 (1) 子假设3: 建立了的torrent挡案被发放到有关新闻组中。 子假设4: 建立了的torrent挡案被激活令电脑接触追踪伺服器。 子假设5: 电脑和追踪伺服器维持连线。 BT 案件的法证过程 (2) 涉案电脑曾经被用来复制有关影片到电脑中 子假设1 现场发现有关影片光盘 电脑发现有关影片档案 光盘上的影片档案与电脑内的大小相同 光盘上的影片档案与电脑内的hash值相同 光盘上的影片档案与电脑内的播放内容相似 光盘上的影片档案“修改时间”等于电脑内的影片档案“修改时间” 电脑上的影片档案“修改时间”早于 “创建时间” 电脑中的BT程序用来复制影