电子证据取证中的推理分析技术.docxVIP

??

?

??

电子证据取证中的推理分析技术

?

?

?

?

?

??

?

?

?

王宁，刘志军，麦永浩

(湖北警官学院信息技术系，湖北武汉430034)

摘要：如何利用断断续续的电子证据线索来确定计算机犯罪之间的相互关联的犯罪动机、行动、相互作用和时间安排是计算机取证人员重现犯罪现场、确定犯罪嫌疑人的关键步骤，本文针对这个问题探讨了电子证据取证中的三种推理分析技术及其应用。

关键词：电子证据；推理分析

TP393.08：A

1电子证据的推理分析技术概述

推理足通过拼接在调查过程中收集来的零碎证据和信息以便更好地判断受害者与罪犯之间所发生的事实真相的系统过程。推理就是将特定的案发现场的犯罪行为汇总起来用来推断是谁及在何时何地、采用何种方法做了什么事情，同时将相互关联的犯罪行为汇总分析，推断案犯的惯用手法、他们对犯罪现场以及受害者的了解和熟悉程度，甚至是他们的犯罪动机。

推理分析过程的核心原则就是：当犯罪分子实施犯罪时，他们会在案发现场留下犯罪痕迹，其基础理论就是Locard交换原理，即当任何两个物体相互接触时，就会产生交叉转移。例如某人通过基于Web的电子邮件服务（如Hotrnail）发送恐吓信息，那么他的WP[来自wwW.lw5u.coM]b浏览器会在硬盘上保存文件、链接和其它信息以及与信息相关的日期时问，取证人员可以在罪犯的硬盘上发现大量的与发送信息相关的信息。同时取证人员也可以在发送信息的web服务器上发现相关的信息，包括访问日志、电子邮件日志、lP地址、浏览器版本、以及可能发现犯罪分子电子邮件帐户中“已发送邮件”文件灾里的所有信息

电子数据犯罪现场的真实性和有肜犯罪现场一样，电子数据犯罪现场也会留下犯罪行为的“蛛丝马迹”，例如在计算机入侵案件凋查中，在入侵检测系统、NPtFlow日志以及其它中间系统中都可能留下犯罪分子的电子数据。取证人员可以通过犯罪分子留下的电子数据进行推理，进而重现犯罪现场、确定犯罪赚疑人。而取证人员获得的确凿电子证据越多，在法庭上给出的证据就越有分量，就能更确定地给出取证人员的结论。因此，利用得到的电子证据进行尽可能完整的推理是公安取证人员进行调查的关键。

2电子证据的推理分析技术

用于推理计算机犯罪的电子证据分为三种类型：时间性推理、相关性推理、功能性推理时问性推理用于识别案发事件的顺序和即时模式，非常有利于推理事件的顺序，因此被用来确定某一时间段事情的证据，也称为时间性证据。相关性推理川于确定犯罪的组成、它们的位置和相互关系（是准、做了什么、何地），被用来确定物体之间或者与犯罪之间关系的证据称为相关性证据。功能性推理用于确定犯罪分子可能是什么（如何做），被用来确定事物运行或应用方式的证据称为功能性证据。

2.1时间性推理分析

取证人员在调查计算机犯罪案件时，对案发时间和案发过程的了解十分需要。对于计算机而言，大多数操作系统保存了文件和文件夹的创建时间、最后一次更改时间以及其访问时间，这些日期时问戳对于确定对计算机进行了何种操作极其重要。除了文件日期时问戳，一些应用软件还在文件、日志和数据库中嵌入了日期时间信息，以便展示在计算机上各种活动的时间，诸如近期访问过的网页。几种主要的时间性推理分析方式如下：

1)时间活动表：建立一个文件创建时间、访问时间和修改时间的事件活动时问表，可以帮助取证人员识别证据模式和证据的不足，以便进一步揭露罪行或者发现其它的证据源。

2)时间柱状图：时间柱状图的时间信息可以突出某些犯罪特征，诸如以大数为横坐标、以小时为纵坐标可以揭示突出罪犯重复的行为模式和反常情况。而用系统时间为横坐标，以日期时间数量为纵坐标可以揭示嫌疑犯使用计算机访问网络资源的情况。

3)坐标网格：用以强调案件发生的特征。诸如在调查犯罪首领利川电子邮件传递信息给其他团伙的案件中，可以以时间、成员及邮件地址建立坐标网格用于确定犯罪计划的开始、实施过程和结束等相关联系。

当然对于取证人员也可以以多种方式建立可视化表示时问信息，以便识别各种特征。

2.2相关性推理分析

在进行网络犯罪调查过程中，确定某对象或某个人与其它相关对象或人的位置是非常重要的，诸如在调查大型计算机诈骗案件时，成千上万的计算机和个人卷入其中，使得追踪各对象之间的关系变得非常困难，创建描述人与计算机之间关系的图表，能够清楚表明已经发生了什么。通过把个人与组织之间的活动关系进行连线，可以显示出资金转帐关系，揭露出诈骗案中最活跃的实体。比较典型的相关性推理应用方法如下：

权重法：将案件中的活动关系进行连线，将权重分配给关系中的每一个连接，然后得出案件的分析结果。权重法对于少量的实体效果是很好的，但随着实体和链路的增加，识别重要的链接是很困难的，而且也会因为人为的因素产生偏差。

基于统计的方法：首先确定案件中收集到的