从电子数据取证说起.pptx

,盘石软件（上海）有限公司,从电子数据取证说起 培训中心 皮浩,E-Mail：,皮 浩,PhoneMobile：186 169 11128,QQ：873813208 WeChat：Stevenpi,关于我,,盘石软件（上海）有限公司,典型案例,电子数据与电子证据,流程与规范,法律法规,CONTENTS,目录,你有多了解电子数据取证？,“只读”在取证中的意义是什么，怎样确保只读？比较一下只读（read only）、写保护（write protect）、虚拟写（write block） 取证中的硬盘复制与日常的文件拷贝有何本质区别？ 硬盘克隆和硬盘镜像有何异同？各自的优缺点分别是什么？ 哈希（HASH）在取证中的意义？有哪些常见的算法？哈希值有哪些特点和应用？怎样破解或逆推出原始内容？ 删除的数据为什么可以被恢复？,为何谈论电子数据？,为何谈论电子数据？,电子数据的量级,电子数据取证的意义,早期的计算机犯罪属于高科技犯罪类型，随着信息技术和网络发展，很多的常规案件中也越来越多的要求从电子数据中分析证据信息。,为何谈论电子数据？,电子数据在罪案中出现计算机犯罪： 对象型 工具型,电子数据是什么？,电子数据（electronic data） 是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料。 特点 具有无形性、多样性、隐蔽性、客观真实性、易破坏性、易于保存、传输方便、可反复重现等特性。,电子数据,常规可见的电子数据,硬盘中储存的电子数据： 文档资料、电子表格 应用程序、数据库资料等 多媒体的数码档案： （照片，影片，音乐或图像等） 服务器运行的记录： 网页服务器日志，代理服务器日志 防火墙日志 档案传输 (FTP)服务器日志 数据库记录等 经由互联网传递的信息： 电子邮件 SMS短讯、MMS多媒体短讯 网上购物、游戏、聊天记录等,电子数据存在哪？,硬盘、移动存储介质、软盘、磁带、光盘、各类存储卡等,计算机、服务器、调制解调器、网卡、集线器、交换机、路由器、手机、数码相机、寻呼机、电子记事本、打印机、扫描仪、磁带机等,电子数据,设备类,介质类,电子数据存储,怎样成为电子证据？,“以电子形式存在的、用作证据使用的证据材料及其派生物；或是借助电子技术或电子设备而形成的证据”叫做电子数据证据，简称电子证据。 电子数据要成为证据，必须具备证据的三性： 合法性 客观性 关联性,电子证据,电子证据的分类,模拟信号电子证据与数字信号电子证据 原始电子证据和传来电子证据 生成证据、存储证据与混合证据 直接电子证据和间接电子证据,模拟信号电子证据与数字信号电子证据,模拟信号电子证据： 通过信息中的某些特征的具体数值或量来记录电子信息内容。 数字信号电子证据： 通过信号的离散状态的各种可能组合所赋予的各种数值或其他信息的方法来承载电子信息的内容。 当然，数字信号从最原始的信号层次上来看，其实也是某种模拟信号量，只不过是对其进行了数字化处理。,原始电子证据和传来电子证据,联合国国际贸易法委员会： “功能等同法”只要能证明数据电文是计算机储存或接受的信息就能满足证据法对原件的要求。 美国立法对“原始电子证据”的主流观点： 存储在计算机内、能准确反映出打印物或其他输出物的数据； 当电子证据表现为副本时，制作者或发行者意图使其同文书本身具有同等效力。,生成证据、存储证据与混合证据,生成证据： 完全由计算机等设备自动生成的证据。它是完全基于计算机等设备内部命令运行的，其中并没有掺杂人的主观意志。 存储证据： 计算机储存输入的信息而形成的证据。 混合证据： 计算机录入者输入信息后再根据计算机内部指令运行而得到的证据。,直接电子证据和间接电子证据,直接电子证据： 能够单独直接证明案件主要事实的电子证据。 间接电子证据： 不能单独直接证明案件主要事实，必须与其他证据结合形成证据链才能证明案件主要事实的电子证据。,直接电子证据和间接电子证据,“印证证明”原理 在我国证据法学中，认定案件的事实必须由若干份证据构成一个相互印证的体系，即“孤证不能定案”原则。 试用范围 刑事诉讼法 民事诉讼法 在特定案件中，电子证据作为孤证也可以定案。,电子证据的特性,观点一：无形性、多样性、客观真实性、易破坏性等特征 观点二：还具有收集迅速，易于保存、传输，占用空间少，可以反复重现，易于使用、审查、核对，便于操作等特点 观点三：双重性、多媒体性、隐蔽性、易保管、传输方便、可反复重现、便于使用等特征 观点四：技术含量高、易被伪造和篡改、复合性、间接性等特性，无形性、易收集性、易保存性、可以反复重现等特性,电子证据原始性保护,只读的含义： Read Only（只读） Write Protect（写保护） Write Block（虚拟写）,传统的硬盘介质,名目繁多的硬件 不同的存储介质,新兴的存储介质,智能设备,磁盘复制,克隆的定义： 逐磁道、逐扇区 物理级的数据精确复制 能获得所有文件，且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。,镜像的定义： 硬盘to文件 DD，E01，AFF 镜像文件包含所有文件，包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。,磁盘复制,多路并行复制,极速硬盘复制机 取证一体机,多通道复制,复制的意义： 保存原始证据 制作检验用的精确拷贝 镜像数据法律上与原始证据等同 检验可在备份数据上进行，降低了在原证据盘上检验带来的风险。 数据镜像产生的数字指纹（HASH），可对原证据盘进行检验前后数据是否发生变化进行对比，有利于法庭质证。,磁盘复制,数据擦除-DOD标准,依据DOD规范，对硬盘做七次擦除。 1. 一个字节的随机数，覆盖硬盘所有可以寻址的位置 2. 上一次的字节取反，覆盖硬盘所有可以寻址的位置 3. 随机数覆盖硬盘所有可以寻址的位置 4. 一个字节的随机数，覆盖硬盘所有可以寻址的位置 5. 上一次的字节取反，覆盖硬盘所有可以寻址的位置 6. 随机数覆盖硬盘所有可以寻址的位置 7. 用零覆盖硬盘所有可以寻址的位置,数据擦除-BMB擦除,依据BMB21-2007规范，对硬盘做六次擦除。 1. 用零覆盖硬盘所有可以寻址的位置 2. 用二进制0x01覆盖硬盘所有可以寻址的位置 3. 随机数覆盖硬盘所有可以寻址的位置 4. 随机数覆盖硬盘所有可以寻址的位置 5. 随机数覆盖硬盘所有可以寻址的位置 6. 用零覆盖硬盘所有可以寻址的位置,哈希（HASH）,Hash算法：Hash算法，又称Hash函数 Hash种类：MD5、SHA-1、SHA-256等等 MD5是由国际著名密码学家麻省理工大学的Ronald Rivest教授于1991年设计的。 SHA-1是由美国专门制定密码算法的标准机构美国国家标准技术研究院（NIST）与美国国家安全局（NSA）设计。 HASH值：任何文件可用散列算法创建一个HASH值,两个内容完全一致的文件其HASH值相同 两个同名文件内容稍有差异HASH值不同 具有不可逆性，不能通过HASH值恢复源文件内容 HASH应用：电子签名、数据安全，文件一致性检验等,哈希（HASH）,文件1副本,文件2,MD5,32位字母、数字序列（相同）,32位字母、数字序列（不同）,文件内容 M D5输出,The suspects name is john,The suspects name is joan,c52f34e4a6ef3dce4a7a4c573122a039,c1d99b2b4f67d5836120ba8a16bbd3c9,文件1,哈希（HASH）,存储介质出现损伤、人员误操作、操作系统本身故障造成数据 不可见、无法读取、丢失时，工程师通过特殊的手段来使这些数据可被读取的过程。,数据恢复,Dc1.doc De2.xls Info2.dat,数据恢复,数据恢复,你现在有多了解电子数据取证？,“只读”在取证中的意义是什么，怎样确保只读？比较一下只读（read only）、写保护（write protect）、虚拟写（write block） 取证中的硬盘复制与日常的文件拷贝有何本质区别？ 硬盘克隆和硬盘镜像有何异同？各自的优缺点分别是什么？ 哈希（HASH）在取证中的意义？有哪些常见的算法？哈希值有哪些特点和应用？怎样破解或逆推出原始内容？ 删除的数据为什么可以被恢复？,,盘石软件（上海）有限公司,典型案例,电子数据与电子证据,流程与规范,法律法规,CONTENTS,目录,电子数据立法历程,两个证据规定 两高司法解释 两大诉讼法,两个证据规定中的电子证据,2010年5月30日，最高人民法院、最高人民检察院、公安部、国家安全部和司法部联合发布的关于办理死刑案件审查判断证据若干问题的规定（简称办理死刑案件证据规定）和关于办理刑事案件排除非法证据若干问题的规定（简称非法证据排除规定）中，明确使用了“电子证据”这一术语，并对其审查进行了规定。,两个证据规定中的电子证据,办理死刑案件证据规定 第二十九条 对于电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等电子证据，应当主要审查以下内容： （一）该电子证据存储磁盘、存储光盘等可移动存储介质是否与打印件一并提交； （二）是否载明该电子证据形成的时间、地点、对象、制作人、制作过程及设备情况等； （三）制作、储存、传递、获得、收集、出示等程序和环节是否合法，取证人、制作人、持有人、见证人等是否签名或者盖章； （四）内容是否真实，有无剪裁、拼凑、篡改、添加等伪造、变造情形； （五）该电子证据与案件事实有无关联性。 对电子证据有疑问的，应当进行鉴定。 对电子证据，应当结合案件其他证据，审查其真实性和关联性。,两高司法解释,最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释 2011年6月20日最高人民法院审判委员会第1524次会议、2011年7月11日最高人民检察院第十一届检察委员会第63次会议通过，2011年9月1日起施行。,第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”： （一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的； （二）获取第（一）项以外的身份认证信息五百组以上的； （三）非法控制计算机信息系统二十台以上的； （四）违法所得五千元以上或者造成经济损失一万元以上的； （五）其他情节严重的情形。 实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”： （一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的； （二）其他情节特别严重的情形。 明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。,两高司法解释,第二条 具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”： （一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的； （二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的； （三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。,两高司法解释,两高司法解释,第三条 提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”： （一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的； （二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的； （三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的； （四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的； （五）违法所得五千元以上或者造成经济损失一万元以上的； （六）其他情节严重的情形。,刑事诉讼法,2012年3月15日全国人大通过了刑事诉讼法修正案，国家主席胡锦涛签署第五十五号主席令予以公布，该法已从2013年1月1日起施行。,民事诉讼法,年月日第十一届全国人民代表大会常务委员会第二十八次修订的民事诉讼法，也已从2013年1月1日起施行。,电子数据与视听资料,视听资料 1982年试行民事诉讼法所创设的七种法定证据形式之一。 从技术角度来看，“视听资料”其实是“电子数据”的一种。 专门的鉴定类别：声纹、真实性、同一性等。 电子数据 音视频图片等多媒体文件是电子数据的众多形式之一。 证明案件的证据信息。 鉴定手段：提取、恢复、元数据分析、隐写识别等。,CNAS规范,CNAS: 中国合格评定国家认可委员会（China National Accreditation Service for Conformity Assessment，CNAS）是根据中华人民共和国认证认可条例的规定，由国家认证认可监督管理委员会批准设立并授权的国家认可机构。 统一负责对认证机构、实验室和检查机构等相关机构的认可工作。 人、机、料、法、环,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,CNAS-CL27 解读,,盘石软件（上海）有限公司,典型案例,电子数据与电子证据,流程与规范,法律法规,CONTENTS,目录,案情回顾,2013年11月18日，北京市海淀区文化委员会从位于北京市海淀区的北京网联光通技术有限公司查获快播公司托管的服务器四台。后北京市公安局从上述四台服务器中提取了25175个视频文件进行鉴定，认定其中属于淫秽视频的文件为21251个。 2014年4月，公安机关接到群众举报及相关部门移交的深圳快播科技有限公司涉嫌传播淫秽物品牟利犯罪线索后，公安部高度重视，实行挂牌督办。在前期深入侦查的基础上，公安部部署北京、广东等地公安机关统一行动，依法查扣了一批服务器、电脑等涉案工具，先后抓获10余名涉案人员。 2016年1月8日，“快播”传播淫秽物品牟利案 在北京市海淀区人民法院开庭审理。,证据瑕疵一：现场勘验,拍照（现场物品） 录像 截屏 扣押清单,证据瑕疵二：证据固定,服务器硬盘/数据固定 保护原始证据 只读 复制 HASH,证据瑕疵三：检材,服务器 根据IP地址证明服务器的唯一性 IP地址可以修改的 有一台服务器损坏了 硬盘 描述“日立硬盘一块，容量1T” 应该包括品牌、型号、序列号、容量、外观照片 原始证据是否被“污染” 涉黄视频文件