计算机网络取证和调查科学研究.docVIP

计算机网络取证和调查科学研究 　　摘要：认为针对计算机犯罪，现代的调查是对电子证据进行智能相关性分析，并发掘同一事件不同证据之间的联系；而证据分析又包括电子数据证据的分析、对收集的数据和备份进行查找、分折、归类，以及犯罪现场重建等。提出犯罪现场重建是计算机网络犯罪调查的重要部分。通过理论和实验分析，将取证科学应用到网络犯罪调查上，并以P2P网络调查作为例子，分析如何通过调查取证来寻找数据的第一个上传者。认为只有将恰当的法证科学适时应用到电子证据取证调查中，才能够更好地重构犯罪场景，还原案件真相并实现法律正义。 　　关键词：电子证据；调查；法证科学；犯罪现场重构 　　1 计算机法证的概况 　　1.1 电子证据与取证调查 　　人们常把由计算机制作的文件和计算机活动日志当作电子证据。根据香港特别行政区的《证据条例》第22A条[1]，一项由计算机制作的文件的陈述，由在有关计算机的运作或有关活动的管理方面身居要职的人，依法签署的证明书依法证明后，则可在任何刑事法律程序中，接纳为该陈述内所述任何事实的表面证据。该证明书对由计算机制作的文件的制作方式予以描述，并在有关法律程序关系的范围内，说明该文件的性质及内容。 　　现代的计算机网络罪行更为复杂[2-4]。犯罪分子不仅窜改计算机记录，还用计算机来存储他们的数据，例如：非法金融交易和地址簿。此外，犯罪分子还利用互联网作为犯罪平台，例如分布式拒绝服务攻击、网络拍卖诈欺、分享受版权保护的作品等。现代计算机网络犯罪的主要特点是专业性强、有组织、并利用网络。 　　传统的计算机法证取证技术，已无法应对当今的计算机网络犯罪。现代的调查是对电子证据进行智能相关性分析，并发掘同一事件不同证据之间的联系。现代的分析证据是指对电子数据证据的分析，对收集的数据和备份进行查找、分折、归类等。 　　1.2 计算机法证的发展 　　计算机法证成立于20世纪70年代，其发展阶段可分为：婴儿期、儿童期和青春期。婴儿期为1985―1995年，儿童期为1995―2005年，青春期为2005―2010年[6-9]。计算机法证的研究重点是资料恢复，其中最主要是数据恢复、密码恢复和文件恢复[10]技术。数据恢复指恢复已被移走或删除的电子逻辑或物理数据，例如一个破碎的硬盘；密码恢复指处理受密码保护的原始数据，如密码加密的文件；文件恢复则尝试从硬盘内的数据块的片段恢复删除的文件。目前，文件恢复技术在计算机法证工作中，是一个主要的工作内容，例如手机的数据恢复[11]。 　　传统的法证主要集中在识别和重建。识别包括指纹、DNA和毒品。指纹和DNA被用来识别特定的人，而毒品分析用于确定毒品的化学成分。识别的目的是用来判断样品是否来自一个特定的对象，诸如人或毒品。重建[12]则包括犯罪现场重建与弹道重建。犯罪现场重建指试图重建在犯罪现场所发生的事件，例如重现一宗谋杀案如何发生；而弹道的重建被用来重建从枪炮发射的子弹的轨迹。 　　计算机法证与传统法证相似，它们都试图解答一些问题，如：发生了什么事情？当事人是谁？什么时间、什么地点、如何发生的？这件事情发生的动机是什么？ 　　2 计算机法证犯罪现场重建 　　在香港特别行政区及世界各地，藏有儿童色情物品是一种犯罪行为。香港地区某犯罪嫌疑人被指控藏有儿童色情物品，警方查获计算机一台。 　　2.1 犯罪现场重建过程 　　为了进行计算机法证分析，警方按标准的程序检查检获的计算机。这些标准程序基于确立的计算机采证程序，并产生法证克隆、计算哈希算法值、扫描计算机病毒等等。在标准的计算机采证过程后，计算机法证鉴定人将会分析检获的计算机硬盘驱动器，并收集电子证据。对于儿童色情物品的案件，电子证据便是儿童色情图片和动态影像。所以第一步是寻找在计算机内储存的儿童色情图片和动态影像，这些会包括：现存的儿童色情图片和动态影像、恢复删除的儿童色情图片和动态影像。图1显示了恢复删除的文件。 　　执法人员已为儿童色情图片和动态影像建立哈希值数据库，计算机法证鉴定人便不需要阅览个别的儿童色情图片和动态影像。相反，计算机法证鉴定人只需要把计算机里面的文件的哈希值与数据库比较。图2显示出根据该文件的创建时间和最后写入的时间的事件恢复过程。 根据这两个时间戳，文件在2005年2月22日上午12时37分09秒被复制到当前位置。 　　计算机法证鉴定人试图从文件中包含的关于文档的信息，例如创建者、修改的日期和其他细节，和其他计算机活动日志和电子证据，去重建产生该儿童色情图片和动态影像的经过。例如2004年1月4日，疑犯从互联网下载童色情图片和动态影像，并使用信用卡号码 0000-1111-2222-3333 在网上支付，然后在2009年8月5日备份到外部媒体。 　　图3显示了犯罪现场重建，犯罪嫌疑人在200