电子数据鉴定方法和规范探讨.docVIP

电子数据鉴定方法和规范探讨 　　摘要：随着计算机应用与互联网技术的发展，针对服务器调查的案件越来越多。服务器的特殊性决定了它的调查方法与桌面型计算机有着较大的区别，本文针对服务器调查的方法及规范性进行了深入的探讨。 　　关键词：服务器；取证；电子数据；动态仿真取证技术 　　中图分类号：TP393.4 文献标识码：A文章编号：1007-9599 (2010) 09-0000-02 　　Identification and Specification of Electronic Data 　　--Dynamic Identification of Evidence in the Application Server Content 　　Zhang Yang 　　(Xinjiang Police Officerss Academy,Wulumuqi830001,China) 　　Abstract:With the development of computer applications and Internet technology,more cases which aiming at investigating servers were appeared.The survey method has large difference between server and desktop computer because of servers specific characteristics.In this paper,we discuss the methods of server investigation and its normative in-depth. 　　Keyword:Computer forensic;Electronic data;Server;Normative 　　近年来，随着计算机应用与互联网技术的空前发展，对我国的政治、经济、军事、科技、文化等领域产生了深远的影响。它们给人们带来巨大便利的同时，也引发了新犯罪方法和行为，如：网络诈骗、网络色情、网络赌博、黑客攻击等。这给司法鉴定业务增加了新的内容和新的挑战。 　　计算机犯罪总的趋势呈现为形式越来越多样化、手段越来越隐蔽化。从最初的针对财物犯罪发展为对政治、军事、知识产权等多个领域的犯罪；从单机犯罪发展到网络犯罪。计算机犯罪给国家安全和社会稳定造成了严重威胁，严重地危害了我国的政治安全、经济安全和社会安定。因此，对计算机犯罪进行严厉打击是很有必要的。而在打击计算机犯罪过程中很重要一环就是：如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提交给法庭，最大限度地获取计算机犯罪的相关证据，以便将犯罪者绳之以法。 　　一、电子数据鉴定基本原则 　　从广义上讲，电子证据可以定义为借助电子技术、数字化技术和相关设备形成的，能反应案件真实情况的一切电子化信息、记录的物品[1]。对于一台涉案计算机来讲，其主要的存储介质――硬盘就是调查员在鉴定过程中要重点分析调查的物品。 　　纵观国内外电子数据鉴定方法，大多遵循着以下原则： 　　（一）不损害原则。任何执法人员不能采用任何改变嫌疑人计算机或者存储介质中数据的行为。 　　（二）避免使用原始介质原则。调查过程中所有的操作不应在原始介质上进行。在特殊情况下，如需访问原始计算机或存储介质中的数据，该人员必须有能力胜任此操作，并能给出相关解释，说明要访问原始介质的理由。 　　（三）记录所有操作。在调查过程中应记录每个操作过程和方法，第三方能够使用相同的操作取得相同的结果。 　　（四）遵循相关的法律法规。各个国家和地区都有相应的法律和法规，应当根据当地的法律和法规进行电子数据鉴定。 　　二、桌面型计算机的鉴定方法 　　基于上述原则，对于桌面型计算机的调查，通常的采用以下流程： 　　（一）计算源盘的校验值并记录。对源盘进行校验的目的是产生一个能够证明源盘唯一状态的校验值。由于电子数据的脆弱性与特殊性，在对源盘进行校验时，连接源盘的设备必须具有只读的功能，以防止操作过程中对源盘数据的修改。目前校验算法主要有两种，即MD5和SHA-1。 　　（二）对源盘进行位对位的拷贝。为了尽可能减少对源盘的操作，所有的分析过程都应该在副本硬盘上进行，因此制作一个硬盘副本是必须的。这一过程可以使用取证专用的硬盘复制机来完成。 　　（三）封存源盘。源盘是最原始的证据，应对其进行封存并妥善保管，对于每次使用源盘的事件都应进行详细的记录。 　　三、服务器的鉴定方法 　　随着犯罪形式与手段不断发生转变，有些重要证据逐步向网络化发展，这就要求鉴定的对象必须由原来的单机向服务器系统转变。从实际的情况来看，由于不同的服