计算机取证常见问题.docx
《计算机取证常见问题.docx》由会员分享,可在线阅读,更多相关《计算机取证常见问题.docx(5页珍藏版)》请在冰豆网上搜索。
计算机取证常见问题
计算机取证常见问题
计算机取证常见问题
1根据现行法律规定及司法实践活动,对于数字证据的来源应审查些什么?
(1)数字证据的来源是否是客观真实的存在,而不是主观臆断的产物。
(2)数字证据收集的主体,时间,地点,过程,对象等是否合法。
(3)数字证据的内容是否真实反映案件事实。
(4)数字证据是否为在正常运行的计算机等设备在正常工作中形成的。
(5)数字证据是否被用户非法输入和控制。
(6)自动生成数字证据的计算机程序是否产生了故障。
2对于数字证据的保全可采用什么样的方法?
(1)凡是将可擦写的原始软件和查获的媒体作为证据的,为了保证其证据的不可变性,应当在现场对所有原始的软件和查获的媒体采取写保护措施,并由现场见证人和当事人签名(盖章)并按指印。
(2)勘查中发现的一切有用证据都要及时固定按照有关规定要求拍摄现场全过程的照片和录像,制作《现场勘查笔录》及现场图,并记录现场照相和录像的内容,数量及现场图的种类和数量。
(3)用打印输出的方式将计算机证据进行文书化,打印后表明提取时间,地点,机器,提取人,见证人,在计算机证据文书化后,统一在文书材料右上角加盖印章并逐项填写。
(4)电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份,作为证据使用的电子数据存储介质应记明案由,对象,内容,录取,复制的时间,地点,规格,类别,存储容量,文件格式等,并复制两个以上的电子数据备份。
(5)妥善保管存储电子数据证据的介质,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀,应使用纸袋装计算机元件或精密设备不能使用塑料袋防止静电消磁,证据要集中保存,以备随时重组试验或展示。
3根据DFRWS框架,从取证过程的角度取证技术分为哪几类?
(1)识别类(判定可能与断言或与突发事件时间相关的项目(Items),成分(Components)和数据。
)
(2)保存类(保证证据状态的完整性,该类技术处理那些与证据管理相关的元素。
)
(3)收集类(提取(Extracting)或捕获(Harvesting)突发事件的项(Items)及其属性(或特征)。
)
(4)检查类(对突发事件的项(Items)及其属性(或特征)进行仔细地查看。
)
(5)分析类(为了获得结论而对数字证据进行融合,关联和同化。
)
(6)呈堂类(客观,有条不紊,清晰,准确地报告事实。
)
4计算机取证人员除了具有司法鉴定人所具有的一般性权利和义务,还具有哪些权利和义务?
权利:
①在取证或鉴定中所涉及的计算机设备中安装软件和硬件,建立新用户。
②使用取证或鉴定所涉及的计算机。
③对取证或鉴定所涉及的计算机及其网络进行监测和扫描。
④能够复制与取证或鉴定工作有关的计算机信息。
义务:
①不能对取证或鉴定所涉及的计算机信息进行删除,修改或破坏。
②在完成取证或鉴定工作后卸载和拆除其安装的软/硬件设备,注销其用户。
不能继续通过其他途径进行监测和扫描。
③遵循取证,鉴定程序规定。
④对作出的取证结果和鉴定结论负责。
5结合我国一般刑事案件取证原则和国内外学者的研究成果,可以总结出适合我国国情的哪些计算机取证原则?
第一,取证合法原则(计算机取证程序必须合法,在取证过程中必须按照合法的程序开展工作;取证的工具必须合法,取证过程中要采取合法的技术手段和工具软件,保证电子证据从收集到分析的合法性;取证人员的资格必须合法,取证人员必须是经过有关部门认可的。
)
第二,实事求是原则(实事求是,一切从实际出发,对计算机取证的结果,不能加以推测评估,应完全按照事实给出取证分析结论。
)
第三,技术优先原则(为了符合其发展,计算机取证也必须采用先进的技术和工具,在必要的情况下,还要聘请具有专业技术的计算机专家协助工作。
)
第四,保密原则(取证人员在取证过程中,应尽量在自己的本职工作范围内进行取证,不查阅与本案无关的其他数据信息,如因工作需要了解了上述信息,应对信息进行严格保密。
)
第五,固定保全原则(收集到的电子证据应当妥善保管,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀。
)
6现场情况调查的内容哪几个方面?
第一,计算机信息网络工作人员基本情况调查。
(掌握工作人员情况是寻找侦查线索的基础工作,内容有,档案资料是否完整,有
3)文本搜索工具(DtSearch是一个用于文件搜索的串配工具,该工具支持基于检索的快速匹配方式。
)
4)磁盘分区检测工具(分区检测工具为检测硬盘的分区结构提供了可视化的效果。
)
5)数据库分析与挖掘工具(数据库分析与挖掘工具可对调查的数据进行分类,聚类,相关性分析等操作。
)
6)介质与文件系统分析工具(NTI公司软件系统NetThreatAnalyzer使用人工智能中的模式识别技术,分析slack磁盘空间以及未分配磁盘空间,自由空间中所包含的信息。
)
7)流量嗅探和协议分析工具(Ethereal能在UNIX和Windows系统中运行,能捕捉通过网络的流量并进行分析,能重构诸如上网和访问网络文件等行为。
)
8)日志分析工具(AWStats是最近发展很快的一个基于Peal的Web日志分析工具,可运行在GUN/Linux上或Windows上,分析的日志直接支持Apache格式和IIS格式。
)
9Incase取证工具具有什么特性?
1)识别功能(文件特征识别及分析功能,分析并证实文件签名,发现那些为了隐藏内容而改名的文件。
)
2)保存功能(口令保护任何证据快以控制保管链。
)
3)分析功能(分析所有种类硬盘和可移动媒体的文件及文件夹结构。
)
4)显示功能(显示完整的驱动器映像,包括隐藏的和未分区的磁盘空间,并按关键字搜索。
)
5)提供脚本功能(Encase在脚本中设定好需要搜索的关键字和特征代码,对证据硬盘全盘分析,以避免遗漏某些重要数据,提高分析处理的效率。
)
10电子证据的取证复制技术有哪些?
1)标准复制技术(Windows系统下的标准复制技术是指利用系统GUI界面的复制,剪切,粘贴,或者利用命令行的copy,Xcopy等方式从被调查主机上复制证据到目标存储设备上。
)
2)物理镜像技术(物理镜像是指对被调查存储设备执行物理级的逐扇区,逐位拷贝,也被称为比特流复制。
)
3)快照技术(快照技术指的是快速完成数据对象在某一时间点的静态映像,存储快照创建一个数据“指针”的单独的集合,可以作为其他主机的一个卷或者文件系统来安装,并可以为原始数据提供一个接近实况数据的拷贝。
)
11在UNIX系统下,内容数据分析时常用工具grep和find的命令语法格式和功能是什么?
grep命令作用是在指定文件中搜索特定的内容,并将含有这些内容的行进行标准输出。
命令语法格式是grep【选项】【查找模式】【文件名1,文件名2,…】
find命令用于在指定的目录结构中搜索文件名,并执行指定的操作。
命令语法格式是find【目录】【选项】【表达式】
12unix系统下普遍使用的复制和镜像工具ddarp/piodump的功能是什么?
dd是一个传统的硬盘取证镜像工具,可以对指定分区的所有空间的信息进行复制,包括未使用空间的信息。
tar/cpio是磁盘归档命令,UNIX可以用它将许多文件打包到一起,形成一个档案文件,以便归档。
Dump为备份工具程序,可将目录或整个文件系统备份至指定的设备,或备份成一个大文件。
升级会员 