电子数据取证技术PPT课件（共12章）第9章网络取证技术.pptxVIP

第9章 网络取证技术9.1 网络取证概述9.2 网络实时取证与分析9.3 网络非实时取证与分析9.1 网络取证概述　网络取证对于电子数据取证来说，其重要性毋庸置疑。在现阶段的涉网违法犯罪打击过程中，涉网电子证据的比例在逐年增加，尤其是网络新技术和新应用的不断涌现，对涉网电子数据的提取固定提出了更高的要求。从涉网电子数据取证的技术来说，主要分实时性网络取证和非实时性网络取证两种，实时性网络取证主要是对正在传输过程中的电子数据进行提取分析，非实时性网络取证主要是对网络行为的相关痕迹进行提取和固定。9.1.1 网络取证的特殊性　相对于传统的电子数据取证，网络取证是一个新兴的取证领域。随着互联网技术的不断发展，网络取证的需求量在不断加大，其重要性不言而喻。同时，由于网络技术不断推陈出新，网络犯罪的表现形式也在不断变化，因此给取证人员带来了较大难度。　　　1. 网络取证的概念　计算机取证是指对存在于计算机及相关外部设备中的计算机犯罪证据进行确定、获取、分析和提取，以及在法庭出示的过程。计算机取证涵盖法学、计算机科学和刑事侦查学等诸多学科，在取证过程中还需要根据取证的标准和方法进行相关的流程控制，这些在前面章节中均已详细阐述。网络取证是计算机取证的一个重要分支，有别于计算机单机取证，网络取证是指借助于已构建好的网络环境，对存在于本地计算机或网络存储介质中的计算机犯罪证据进行确定、获取、分析和提取的过程。　　网络取证的内容主要涉及两个方面：　　一是来源取证，指取证目的主要是确定犯罪嫌疑人及其所在位置，取证内容主要包括IP地址、MAC地址、电子邮件信箱、软件账号等；　　二是事实取证，指取证目的不是查明犯罪嫌疑人是谁，而是要确定犯罪实施的过程和具体内容，取证内容主要包括文件内容调查、使用痕迹调查、日志文件分析、网络状态和数据包分析等。　　2. 网络电子证据的特点　网络电子证据是通过网络进行传输的网络数据，其存在形式是电磁或电子脉冲。与传统证据一样，网络电子证据必须是可信的、准确的、完整的、符合法律法规的证据。但由于网络电子证据的存在形式依赖于网络传输协议，缺乏可见的实体，采用不同的传输协议，其格式及传输方式就会不同。因此，网络电子证据必须通过专门工具和技术来进行正确的提取和分析，使之具备证明案件事实的能力。　　网络电子证据具有以下特点：　(1) 表现形式的多样性。　(2) 存储介质的电子性。　(3) 准确性。　(4) 脆弱性。　(5) 海量性。　(6) 广域性。　　3. 网络取证的难点　随着计算机网络技术的发展，犯罪嫌疑人采用的技术越来越高明，要侦破此类案件，需要依赖特定的技术装备并要求侦查人员具备较高的计算机水平。目前，我国大部分地区还未配备受过专业训练并掌握相关侦破技术的侦查人员，现有办案人员缺乏计算机网络知识。这些因素导致计算机网络取证工作在侦查和取证方面都存在着一定的困难。　　计算机网络犯罪主体多种多样，犯罪手段花样翻新，犯罪行为隐蔽性强，而且作案时间短、传播速度快、不易被人发现。由于犯罪现场留下的痕迹是数字化痕迹，计算机网络犯罪现场也不像传统犯罪现场那么明确，这些无疑会加大侦查计算机网络犯罪案件的难度。以本书作者曾参与的多起侵害公私财产为目的的计算机网络犯罪案件来看，犯罪嫌疑人在虚拟的网络空间中，可以利用计算机网络技术在不同的时间和地点进行犯罪活动，或采用DDoS(Distributed Denial of Service，分布式拒绝服务)技术对类似网吧这样的公共上网场所实施攻击以致其网络瘫痪；或采用网页挂马技术，在捕获大量“肉机”(受人非法控制的具有最高管理权限的远程计算机)的同时，窃取大量个人网银账号、公司账务等敏感隐私信息。而有些企业的网络技术人员和负责人在发现网络入侵事件后，担心损害企业在用户心目中的形象，对所受到的网络攻击隐瞒不报或自行重建系统排除故障了事，这样往往破坏了犯罪嫌疑人留下的犯罪证据，延误了侦查破案时机。　　计算机系统内各种数据资料形态各异，使人不易察觉到计算机系统内发生的变化。侦查人员在计算机网络犯罪现场对本地计算机硬盘或其他网络存储介质进行取证时，可能误入犯罪嫌疑人设计好的圈套，收集到被篡改的证据；另外，由于目前计算机网络取证技术尚未成熟，存在局限性，犯罪嫌疑人由此采用了一些反取证技术，如数据擦除、数据隐藏和数据加密，只需敲击几下键盘，在很短时间内就可以销毁犯罪记录，这些都大大增加了对计算机网络犯罪进行调查取证的难度。9.1.2 常见网络协议介绍　简单来说，协议就是计算机与计算机之间通过网络实现通信时达成的一种约定。就如两个人对话，双方都必须能听得懂对方的语言，或者两者之间有一种双方都会意的沟通方式，如果两者之间没有这样的约定，那么就会出现“鸡同鸭讲”的情况，双方无法沟通。计算机通信也是如此，为