|
|
由于电子证据的特殊性,计算机取证的原则步骤有其自身的特点,不同于传统的取证过程,在取证过程中要特别注意。
实施计算机取证要遵循以下基本原则:
尽早搜集证据,并保证没有受到任何破坏,如销毁或其他方式的破坏,也不能被取证程序本身破坏。
必须保证取证过程中计算机病毒不会被引入目标计算机。
必须保证“证据连续性”(Chain Of Custody),即在证据被正式提交给法庭时必须保证一直能跟踪证据。
整个检查、取证过程必须是收到监督的。
必须保证提取出来的可能有用的证据不会受到机械或电磁损坏。
被取证的对象如果必须运行某些商务程序,要确保该程序的运行只能影响一段有限的时间。
在取证过程中,应当尊重不小心获取的任何关于客户代理人的私人信息,不能把这些信息泄漏出去。
这些基本原则对计算机取证的整个过程有指导意义。计算机取证过程一般可划分为三个阶段:获取、分析和保存。
获取阶段保存计算机系统的状态,以供日后分析。这与从犯罪现场拍摄照片、采集指纹、提取血样或轮胎类似。由于并不知道哪些数据将作为证据,所以这一阶段的任务就是保存所有的电子数据,至少要复制硬盘上所有已分配和未分配的数据,这就是通常所说的映像。
分析阶段取得已获得的数据,然后分析这些数据,确定证据的类型。寻找的证据主要有三种:
使人负罪的证据,支持已知的推测
辨明无罪的证据,同已知的相矛盾
篡改证据,此证据本身和任何推测并没有联系,但是可以证明计算机系统已被篡改而无法用来作证。
此阶段包括检查文件目录内容以及恢复已删除的内容。在这一阶段应该用科学的方法根据已发现的证据推出结论。
陈述阶段将给出调查所得结论及相应的证据,这以阶段应依据政策法规行事,对不同的机构采取不同的方式。比如,在一个企业调查中,听众往往包括普通辩护律师、智囊团和主管人员,可以根据企业的保密法规和公司政策来进行陈述。而在法律机构中,听众往往是法官和陪审团,所以需要律师事先评估证据。
根据这三个阶段及其注意事项,可以看出,计算机取证工作一般按照一下步骤进行:
保护目标计算机,避免发生任何改变、伤害、数据破坏或病毒感染。
搜索目标文件系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。
尽可能全部恢复所发现的已删除文件。
最大程度显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。
如果可能且法律允许,访问被保护或加密的文件内容。
分析在磁盘的特殊区域中发现的所有相关数据。
打印对目标计算机系统的全面分析结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单。然后给出分析结论,包括系统的整体情况,已发现的文件结构、被挖掘出来的数据和作者的信息,对信息的任何隐藏、删除、保护和加密企图,以及在调查中发现的其他的相关信息。
给出必需的专家证明和(或)法庭上的证词。
[/td][/tr]
[/table]
|
|
窥视卡
雷达卡
发表于 2012-11-18 08:32:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2012-11-21 00:54:54
发表于 2012-11-21 15:19:17