查看: 1957|回复: 25

计算机取证的一般步骤

[复制链接]
发表于 2012-11-18 08:32:48 | 显示全部楼层 |阅读模式
由于电子证据的特殊性,计算机取证的原则步骤有其自身的特点,不同于传统的取证过程,在取证过程中要特别注意。
    实施计算机取证要遵循以下基本原则:

尽早搜集证据,并保证没有受到任何破坏,如销毁或其他方式的破坏,也不能被取证程序本身破坏。

必须保证取证过程中计算机病毒不会被引入目标计算机。

必须保证“证据连续性”(Chain Of Custody),即在证据被正式提交给法庭时必须保证一直能跟踪证据。

整个检查、取证过程必须是收到监督的。

必须保证提取出来的可能有用的证据不会受到机械或电磁损坏。

被取证的对象如果必须运行某些商务程序,要确保该程序的运行只能影响一段有限的时间。

在取证过程中,应当尊重不小心获取的任何关于客户代理人的私人信息,不能把这些信息泄漏出去。

    这些基本原则对计算机取证的整个过程有指导意义。计算机取证过程一般可划分为三个阶段:获取、分析和保存。

    获取阶段保存计算机系统的状态,以供日后分析。这与从犯罪现场拍摄照片、采集指纹、提取血样或轮胎类似。由于并不知道哪些数据将作为证据,所以这一阶段的任务就是保存所有的电子数据,至少要复制硬盘上所有已分配和未分配的数据,这就是通常所说的映像。

    分析阶段取得已获得的数据,然后分析这些数据,确定证据的类型。寻找的证据主要有三种:

使人负罪的证据,支持已知的推测

辨明无罪的证据,同已知的相矛盾

篡改证据,此证据本身和任何推测并没有联系,但是可以证明计算机系统已被篡改而无法用来作证。

此阶段包括检查文件目录内容以及恢复已删除的内容。在这一阶段应该用科学的方法根据已发现的证据推出结论。

陈述阶段将给出调查所得结论及相应的证据,这以阶段应依据政策法规行事,对不同的机构采取不同的方式。比如,在一个企业调查中,听众往往包括普通辩护律师、智囊团和主管人员,可以根据企业的保密法规和公司政策来进行陈述。而在法律机构中,听众往往是法官和陪审团,所以需要律师事先评估证据。

    根据这三个阶段及其注意事项,可以看出,计算机取证工作一般按照一下步骤进行:

保护目标计算机,避免发生任何改变、伤害、数据破坏或病毒感染。

搜索目标文件系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。

尽可能全部恢复所发现的已删除文件。

最大程度显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。

如果可能且法律允许,访问被保护或加密的文件内容。

分析在磁盘的特殊区域中发现的所有相关数据。

打印对目标计算机系统的全面分析结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单。然后给出分析结论,包括系统的整体情况,已发现的文件结构、被挖掘出来的数据和作者的信息,对信息的任何隐藏、删除、保护和加密企图,以及在调查中发现的其他的相关信息。

给出必需的专家证明和(或)法庭上的证词。
[/td][/tr]
[/table]


1752 该用户已被删除
发表于 2012-11-21 00:54:54 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2012-11-21 15:19:17 | 显示全部楼层
不错不错,我喜欢看  
发表于 2012-11-26 15:34:17 | 显示全部楼层
这个贴好像之前没见过  
发表于 2012-11-26 20:26:28 | 显示全部楼层
不错不错.,..我喜欢  
发表于 2012-11-28 04:12:17 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-12-4 03:48:16 | 显示全部楼层
呵呵,支持一下哈  
发表于 2014-12-26 17:05:46 | 显示全部楼层
我帮你 喝喝  
发表于 2015-1-26 23:12:02 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2015-2-28 22:10:04 | 显示全部楼层
说嘛1~~~想说什么就说什么嘛~~  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则