第二节电子数据取证步骤
一、保护现场和现场勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础。冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。绘制犯罪现场图、网络拓扑图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。
必须保证“证据连续性”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。
整个检查、取证过程必须是受到监督的。也就是说最好所有调查取证工作,都应该有其他方委派的专家的监督。
积极要求证人、犯罪嫌疑人配合协作,从他们那里了解操作系统、用户名口令、储存数据的硬盘位置、文件目录等等。
二、分析数据
分析数据是取证的核心和关键。分析电子数据的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前系统的网络环境。注意开机、关机过程,尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。
分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。
检验该计算机的用户名、电子签名、密码、交易记录、邮件信箱、邮件发送服务器的日志、上网IP等计算机特有信息。
结合全案其他证据进行综合审查。注意该电子数据证据要同其他证据相互印证、相互联系起来综合分析;同时,要注意证据能否为侦破该案提供其他线索或确定可能的作案时间、犯罪人;审查数据备份以及有否可恢复的其他数据。
三、追踪
上面提到的取证步骤是基于静态的,即事件发生后对目标系统的静态分析。随着犯罪技术手段升级,这种静态的分析已经无法满足要求,发展趋势是将取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。
对某些特定案件,如网络遭受黑客攻击,应收集的证据包括:系统登录文件、应用登录文件、网络日志、防火墙登录、磁盘驱动器、文件备份、电话记录等等。
当在取证期间犯罪还在不断的入侵计算机系统,采用入侵检测系统对网络攻击进行监测是十分必要的,或者通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。
四、提交结果
通过全面分析结果,给出分析结论:整体情况,发现的文件结构、数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图以及在调查中发现的其他的相关信息。标明提取时间、地点、机器、提取人及见证人。
第三节计算机取证工作中的现场勘查
现场勘查是刑侦破案工作的第一步,也是重要环节之一。这项工作做得充分,可以为今后破案工作打下了基础,否则可能造成不必要的周折,甚至无法破案。现场勘查工作核心和重点是要保留下现场原始资料和数据,做到宁多勿缺。在进行计算机取证现场勘查时,主要
33
完成以下一些工作:
(一)首先用录像机和照相机设备将现场情况进行记录,并保护现场 先对整个犯罪现场进行拍摄,然后逐步靠近可疑的电子设备,直到能够清楚地拍摄到该设备的前后两面,重点拍摄整个现场情况、机器的屏幕状态、外接设备情况、网络连接情况、一些特殊性序列号和标志。
在拍摄过程中应该保持系统各种电缆的连接。在某些情况下需要断开电源再进行拍摄,并记录下当时设备的状态(开关状态、屏幕状态等)。同时绘制犯罪现场图、网络拓扑图,为今后模拟和犯罪现场还原提供直接依据。
同时,保护现场,防止犯罪嫌疑人、调查人员故意或无意破坏现场的证据。 (二)提取计算机易失性数据
计算机易失性数据是指经过一段时间、关闭电源或者计算机重新启动后可能改变或丢失的信息。
要用相机拍照、屏幕抓屏、打印等方式记录以下信息: ?屏幕上正在编辑或浏览的文档内容
?正在浏览的网页信息,网页上用户名、个人资料信息 ?当前网络连接状态,此时上网的IP地址、MAC地址 ?计算机内存中的内容
?系统时间、日期和时区信息 注意:
1.要正确判断计算机开机状态。如果计算机已经打开,不要关闭计算机,不要关闭计算机上的任何窗口和软件。如果计算机没有打开,不要打开计算机。
2.不要打开计算机上的任何文件、运行任何程序。
3.有些网页或正在编辑的文档内容较多,要采用多次拍照、抓屏的办法固定证据。 (三)进行采集指纹、足迹等传统的现场勘查工作 (四)封存计算机
?在提取易失性数据后,首先要直接拔掉电源。
?在封存前,记录下该计算机信息系统和相关设备的连接状态。
?拆卸计算机及其连接设备。拆卸设备时,每一对连接点分别粘上相应标签,标以相同序号。同时,为每个设备编号,记录设备型号等参数。
?用一次性封条将机箱和各接口封起来,注明提取时间、地点、设备编号等信息,加盖单位公章。
(五)收集、封存现场其它证物
?其它计算机外部存储介质,如移动硬盘、光盘、U盘、MP3、MP4、各种存储卡等,特殊存储介质还要找到其配套的读取设备和说明书。
?数码相机、数码摄像机、数码录音笔等 ?移动电话和PDA
?上机记录、工作日志、各种打印结果等 ?各种传统证物
(六)对不能停止运行的计算机系统的做法 对不能停止运行的系统,要在短时间内完成对系统现场数据的备份工作,恢复系统运行。这种备份不是文件一级的备份,而是将磁盘中所有数据按其物理存放格式(如:逐扇区,包括坏扇区)进行备份。对某些特定案件(如ISP招受黑客攻击),将系统日志文件和审计记录进行备份,以便于日后分析。
(七)询问主要当事人
34
在现场勘查同时,要询问主要当事人,了解案件发生前后的情况,包括计算机信息系统的运行状态、有什么异常现象、做过那些操作等。但在询问过程中,要注意不要泄露掌握的情况。高科技犯罪一个主要的特点是内部人员作案较多,因此,询问的当事人也许就是犯罪嫌疑人。
思考题:
1.电子数据取证的原则是什么?
2.在进行电子物证检验的过程中,应采取哪些做法来保证原证据不被改变或损坏? 3.电子数据的取证步骤是什么?
4.在进行计算机取证现场勘查时,主要完成哪几方面工作?
5.什么是计算机易失性数据?在进行计算机取证现场勘查时,如何提取计算机易失性数据?提取易失性数据时要注意什么?
6.在进行计算机取证现场勘查时,如何封存计算机?
7.在进行计算机取证现场勘查时,除了被调查的计算机,还要注意收集哪些证物?
35
第六章 常用电子物证检验技术方法与规范
学习目的和要求:掌握特定电子数据的检验、数据搜索、Windows系统中删除数据的检验、软件功能的检验、文件一致性检验、软件一致性检验、数码相机照片属性检验的技术方法与规范。
在检验电子设备或存储介质中的电子信息内容时,使用的技术方法包括直接读取文件、筛选文件、恢复文件等。直接读取文件是在与生成电子信息相同的硬件和软件环境中读取检材信息内容;筛选文件是使用专门程序,根据案件性质和调查情况,从检材内大量文件中筛选出与案件相关的文件;恢复文件是使用专用软件恢复存储介质中被删除的文件。
电子设备硬件和软件性能检验的方法是通过运行硬件和软件系统,试验和检测系统的各项性能和状况。与电子信息内容检验的结果表达相似,这类检验的鉴定文书是叙述测试结果,并叙述测试方法、内容、条件和程序等。
电子物证真实性检验采用的方法随检材类型和检验目的不同而变化,但其检验方法的基本原理与传统物证检验方法相似。
电子信息同一认定检验的技术方法原理与传统物证检验相同,即比较电子信息的特异特征,判断检材和样本是否相同或同源。本章给出了常见的几种电子物证检验技术方法与规范。
第一节 特定电子数据的检验
本方法适用于操作系统可见的数据文件的检验,送检对象为数据硬盘。检验方法是借助系统本身提供的“命令”、“Windows资源管理器”等工具查找、查看。查找时可依据特定数据的关键字(如文档文件中的具体内容,程序文件中的具体代码等)、文件建档时间等参数,对送检硬盘进行搜索。
一、仪器设备 (一)硬件
计算机、存储设备接口。 (二)软件
1.操作系统:Windows、UNIX、Linux
2.软件工具:QuickViewPlus(Windows系统),命令行工具(UNIX系统) 二、操作步骤
(一)检材和样本编号
对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照
将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份
原则上应将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。
(四)数据检验
1.将备份后的目标存储设备接到(放入)鉴定计算机上; 2.对于WINDOWS操作系统,使用QuickViewPlus进行检验; 3.对于UNIX系统,通过命令行工具进行检验。
36