（信息与通信工程专业论文）计算机取证系统中的电子证据防篡改研究.pdf

摘要 摘要 随着信息技术的快速发展和广泛应用，与计算机相关的犯罪案件频频出现。 如何最大限度的获取计算机中的电子证据，以及如何对计算机电子证据进行有效 的保全、鉴定，越来越受到人们的关注和重视。研究电子证据的定义、特性、证 明力，制定电子证据相关的法律规范和流程标准，有效打击计算机犯罪，不仅需 要法学界人士的努力，还需要计算机领域相关人员的实践和探索。 本论文重点就计算机取证实施后，如何进行电子证据的保全进行讨论，以期 为司法实践提供有关的证据支持，同时为相关部门制订电子证据标准提供参考。 在研读了计算机学科、法学、侦查学大量文献的基础上，本文首先对计算机 取证技术和电子证据的产生、发展、现状和未来研究的趋势做出了总结性描述； 对计算机取证的定义、原则、技术以及电子证据的定义、特性、审查标准做了综 述性阐述；对已实现的计算机取证系统进行了简单介绍。在理论上，本文研究了 可用于电子证据防篡改系统实现的相关密码算法以及身份认证和访问控制理论。 考虑到电子证据的最终用途是呈交法庭以帮助定案，其证据的采集、审查、认定 具有特殊的要求，为此结合实践工作中的情况，制定了电子证据的管理策略，并 给出了管理策略在技术层面上实现的具体方法。在研究了这些理论和技术的基础 上，本文对电子证据防篡改系统进行了总体设计：使用门限身份认证方法确保电 子证据的提交、查阅、删除等过程有多人参于和监督；使用多重签名技术保证电 子证据的完整性、真实性和不可抵赖性；使用基于角色的访问控制限制用户权限； 使用审计方法对电子证据防篡改系统的日志进行记录，对非授权行为进行监控和 报警；使用备份方法在系统故障、电子证据文件出错等情况下进行数据恢复。最 后对涉及到的相关密码算法进行了实现。 关键字：计算机取证、电子证据、数字签名、防篡改 a b s t r a c t a b s t r a c t a l o n gw i t ht h er a p i dd e v e l o p m e n ta n dw i d ea p p l i c a t i o no fi n f o r m a t i o nt e c h n o l o g y , c r i m ec a s e sr e l a t e dt oc o m p u t e r sh a v eb e e no c c u r r i n ga ta ni n c r e a s i n g l yf r e q u e n tr a t e i t i st h e r e f o r eo fg r e a t e ra t t e n t i o na n di m p o r t a n c et oo b t a i nt h ee l e c t r o n i ce v i d e n c e sf r o m c o m p u t e r s ，a n dt oh a v ee f f e c t i v es a v i n ga n de v a l u a t i o n sf o rt h e s ee l e c t r o n i ce v i d e n c e s i i la d d i t i o nt ot h ee f f o r tf r o mt h ej u r i s p r u d e n t i a lc i r c l e i ta l s or e l i e so nt h e p r a c t i c ea n d e x p l o r a t i o no f t h ei t 矗e l d st os t u d yt h ed e f i n i t i o n c h a r a c t e r i s t i c sa n dp r o b a t i v ef o r c eo f t h ee l e e t r o n i ce v i d e n c e s ，a n dt of o r m u l a t er e l a t e d l e g a lr e g u l a t i o n sa n dp r o c e s s s t a n d a r d s ，s oa st oe f f e c t i v e l yc o m b a ta g a i n s tc o m p u t e rc r i m e s t l i st h e s i sh a sad e t a i l e dr e v i e wo nt h ee l e c t r o n i ce v i d e n c e sa f t e rt h e i rb e i n g o b t a i n e d ，a i m i n gt op r o v i d ee v i d e n c es u p p o r tt oj u r i d i c a lp r a c t i c e ，a n dt os e r v ea sa r e f e r e n c ef o rt h es t i p u l a t i o no fs t a n d a r d so fe l e c t r o n i ce v i d e n c eb yr e l e v a n td e p a r t m e n t s b a s e do ne x t e n s i v er e f e r e n c ef r o md o c u m e n t a t i o n so fc o m p u t e rs c i e n c e ，l a wa n d i n v e s t i g a t i o n ，t h et h e s i sb e g i n sw i t hag e n e r a ls u m m a r yo ft h eb i r t h , d e v e l o p m e n t , p r e s e n ts i t u a t i o na n dt h ef u t u r et r e n do fc o m p u t e rf o r e n s i c sa n de l e c t r o n i ce v i d e n c e s ， a n dag e n e r a le x p l a n a t i o no nt h ed e f i n i t i o n , p r i n c i p l e sa n dt e c h n o l o g yo fc o m p u t e r f o r e n s i c s ，t h ed e f i n i t i o n , c h a r a c t e r i s t i c s ，a n di n v e s t i g a t i v ec r i t e r i o no fe l e c t r o n i c e v i d e n c e s ，a n d ab r i e fi n t r o d u c t i o no ft h e e x i s t i n gc o m p u t e rf o r e n s i c ss y s t e r n t h e o r e t i c a l l y , t h i sp a p e rs t u d i e sc r y p t o g r a p h i ca l g o r i t h m ，i d e n t i t ya u t h e n t i c a t i o na n d a c c e s se o n t r o lt h e o r yo ft h er e a l i z a t i o no fa n t i t a m p e rs y s t e mo fe l e c t r o n i ce v i d e n c e s c o n s i d e r i n gt h ef a c t t h a tt h eu l t i m a t ep u r p o s eo fc o l l e c t i n ge l e c t r o n i ce v i d e n c e si st o s e r v i c et h et r i a lp r o c e s so fc o u r t ，w i t hs p e c i f i cd e m a n do nt h ec o l l e c t i o n ，i n v e s t i g a t i o n a n da u t h e n t i c a t i o no ft h ee v i d e n c e s ，t h ea u t h o rh a st a k e ni n t oa c c o u n to ft h ep r a c t i c a l e x p e r i e n c et oc o m p i l et h em a n a g e m e n tm e a s u r e so ft h ee l e c t r o n i ce v i d e n c e s ，a n ds o m e d e t a i l e dm e t h o do ft 1 1 e i ra p p l i c a t i o no n at e c h n i c a l l e v e l b a s e do nt h ea b o v em e n t i o n e d r e s e a r c ho ft h e o r ya n dt e c h n o l o g y , t h et h e s i sg i v e sag e n e r a ld e s i g no ft h ep r o t e c t i o n s y s t e mo fe l e c t r o n i ce v i d e n c e a na c c e s sa u t h e n t i c a t i o ns y s t e mi sa p p l i e dt oe n s u r et h a t m o r et h a no n ep e r s o ni si n v o l v e di nt h ep r e s e n t a t i o n ，r e v i e w i n g ，d e l e t ea n ds u p e r v i s i o n a m u l t i p l es i g n a t u r et e c h n o l o g yi su s e dt oe n s u r et h ec o m p l e t e n e s s ，a u t h e n t i c i t ya n d n o n r e p u d i a t i o no ft h ee v i d e n c e s a na u d i tm e t h o d o l o g yi sa d o p t e dt or e c o r dt h el o g so f t h ep r o t e c t i o ns y s t e mo fe l e c t r o n i ce v i d e n c e s ，a n dt oh a d em o n i t o r i n ga n da l a r n la g a i n s t u n a u t h o r i z e da c t i o i l s ab a c k u pi su s e dt op r o v i d ed a t ar e s t o r a t i o nu n d e rc i r c u m s t a n c e s o fs y s t e ma n df i l ef a i l u r e so ft h ee l e c t r o n i ce v i d e n c e s t h et h e s i sc o n c l u d e sw i t ht h e r e a l i z a t i o no ft h ec o v e r e dc r y p t o g r a p h i ca l g o r i t h m k e y w o r d s ：c o m p u t e rf o r e n s i c s ，e l e c t r o n i ce v i d e n c e ，d i g i t a ls i g n a t u r e ，t a m p e r r e s i s t a n c e i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 签名：圈! 互日期：沙罗年r 月舌日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： l 习牙、 导师签名 日期：月西日 第一章绪论 1 1 研究背景和意义 第一章绪论 计算机的广泛使用和互联网的飞速发展给我国政治、经济、军事、科技、文 化、教育、卫生及人民群众的日常生活等各个方面带来了广泛而深远的影响，与 此同时，与计算机相关的各类新型犯罪案件不断涌现。计算机犯罪( c o m p u t e r c r i m e ) 从一开始的以非法获取钱财为目的，发展到现在面向政治、军事、知识产 权等多方面的犯罪；从最初的针对主机的犯罪，到今天的网络犯罪、信息犯罪。 计算机犯罪给国家安全和社会稳定带来了巨大的挑战，极大地影响着我国的政治 稳定、经济安全和社会稳定。 目前，计算机犯罪活动出现越来越多，主要表现为：在计算机系统中安装木 马病毒等窃取用户私密信息，采用拒绝服务等方式恶意攻击网络服务器已达到一 定的私有目的，非法侵犯计算机系统破解重要计算机系统密码，恶意篡改门户网 站政府网站首页以损害相关单位部门形象，通过计算机语音视频以及邮件系统等 进行敲诈、诈骗活动，发布有害国家和社会稳定的言论煽动民众情绪，在互联网 上恶意攻击诽谤造谣以达到诋毁诬陷的目的等等。 计算机犯罪以及其他形式犯罪案件中的大量证据都以数字的形式存在着，并 可通过计算机或网络对其处理、存储和传输，从而出现了计算机取证( c o m p u t e r f o r e n s i c ) 和电子证据( e l e c t r o n i ce v i d e n c e s ) 。从早期的北大研究生状告其同 学利用电子邮件冒名欺骗( 1 9 9 6 年4 月) ，到而后相继发生的“1 7 岁少年利用网 络诈骗案 ( 美国，2 0 0 3 年7 月) 、“国内首例视频软件侵权案北京雷石状告离 职员工复制源代码案件( 2 0 0 4 年4 月) 、“刑事打击私服第一案私架传奇私 服案”( 2 0 0 4 年8 月) 、“熊猫烧香案 ( 2 0 0 7 年2 月) 、“最具网民力量的案件一 一正龙拍虎案”( 2 0 0 8 年) 等等案件中，我们到处可以看到电子证据的身影，也可 以感受到电子证据在处理这些案件中所发挥的作用。 我国著名学者何家弘先生曾经预言，“就司法证明方法的历史而言，人类曾经 从神证时代走入人证时代；又从人证时代走入物证时代。也许， 我们即将走入另一个新的司法证明时代，即电子证据时代川。在法学领域对电子 电子科技大学硕士学位论文 证据的研究越来越受到重视，电子证据已经以一种全新的证据形式被专家学者广 为关注。同样，在计算机学科领域，对计算机取证以及电子证据司法鉴定的技术 方法的研究也越来越受到关注。 电子证据指的是在计算机或计算机系统运行的过程中产生或储存的，以其所 记录的内容来证明案件事实的电磁、光记录物乜3 ，且该记录物具有多种输出表现形 式。可用做计算机取证的信息源很多，如系统日志，防火墙与入侵检测系统的工 作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统 文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定 功能的脚本文件、w e b 浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记 录等等。电子证据作为存储在计算机系统中的信息编码，与普通的证据相比有很 大的区别口3 ： ( 1 ) 透明性。肉眼无法看到电子证据，须使用相应的工具软件来查看。 ( 2 ) 高科技性。电子证据的产生、储存和传输，都必须借助于计算机技术、 存储技术、网络技术等，离开了相应技术设备，电子证据就无法保存和传输。 ( 3 ) 易损性。电子证据容易被篡改，也容易收到损坏。 由于电子证据具有特殊性，其有效收集和安全保存是计算机取证中的重要研 究内容。只有在收集并有效保存电子证据的前提下，才能使电子证据顺利通过审查 从而保证该证据具有真实性、完整性、可靠性，最终确保其在法庭诉讼发挥应该 有的证明力。因而保障电子证据的真实性、完整性、可靠性在司法诉讼中具有重 要的现实意义。 认定电子证据的证明力，主要从电子证据生成、存储、传送、收集及在上述 环节中是否被篡改等方面进行检查。研究电子证据的防篡改技术，可以从电子证 据的存储、传输等方面确保电子证据的可靠性，从而保证电子证据的真实性和证 明力。 目前计算机取证技术研究的重点在取证的过程，取证后电子证据的保护问题 讨论的不多，研究电子证据防篡改技术将填补这一空白。电子证据防篡改研究还 将给司法部门立法时提供参考。 2 第一章绪论 1 2 国内外研究现状与未来发展方向 1 2 1 国外研究现状 计算机取证( c o m p u t e rf o r e n s i c ) 这一术语最早出现于1 9 9 1 年在美国召开 的国际计算机专家会议上。此后，国际上对计算机取证课题的研究蓬勃发展，目 前不论是法学上还是计算机取证技术上都已经比较完善和成熟。 在硬件产品方面，美国、英国作为开展电子证据研究最早的国家，目前国际 上广泛应用的计算机法证硬件产品中约有8 0 产自这两个国家。2 0 0 3 2 0 0 6 年间， 是国际电子证据相关硬件产品发展最为鼎盛的时期，各种硬盘复制机速度从1 8 g b 到3 g b 不断攀升，写保护接口从单一的i d e 硬盘接口，到s c s i 、s a t a 、u s b 、火线 种类层出不穷，p c 、m a c 、l i n u x 平台下的取证设备也越来越多。取证分析计算机 各式各样，出现了皮箱型、工控型，服务器型等等。这些产品的大量涌现，对国 际计算机法证技术的发展起到了极大的推动作用。但从2 0 0 6 年开始，国际上各国 计算机法证相关硬件产品发展速度渐趋缓慢，除简单的升级换代之外，没有什么 更有创意的新产品出现。在过去的2 0 0 8 年中，硬盘拷贝方面，l o g i c u b e 公司推出 了s u p e r s o n i x ，一个速度可达6 g b 的硬盘克隆工具；写保护设备方面，i c s 公司 推出了s u p e rd r i v e l o c k 写保护设备，具有全面的接口，同时最新的e s a t a 接口 可以明显的提高速度；d a t a e x p e r t 公司推出的硬盘修复诊断破解设备和效率源公 司推出的d c 指南针对计算机取证人员所遇到的故障硬盘将会有很大的帮助；俄罗 斯e l c o m s o f t 公司推出的g p u 解密加速产品拥有9 6 0 个核心并行处理的能力，可 以轻松解密普通的加密文件。 软件产品方面，最近几年国际上先后推出了一系列的计算机法证分析工具， 如美国g u i d a n c e 公司的e n c a s e 软件，德国x - w a y s 公司的x - w a y sf o r e n s i c s ，韩 国f i n a l d a t a 公司推出的f i n a l f o r e n s i c s ，澳大利亚的n u i x f o r e n s i c d e s t o p 等等。 这些软件都具有相对比较成熟的功能并在某些方面具备较强的处理能力，比如， n u i xf o r e n s i cd e s k t o p 将关注点放在各行业最为重要、最为复杂的电子邮件及办 公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通 过图形方式展示不同用户之间的信件联络关系。 在电子证据保全方面，n t i 公司开发的c r c m d 5 软件可以快速验证一个或多个 文件内容的c r c 值；n t i - d o c 软件可以记录生成时间以及其他属性信息。 3 电子科技大学硕士学位论文 1 2 2 国内研究现状 计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有1 0 年 的历史，相关的法律法规仍很不完善。在我国刑事、民事、行政三大诉讼法中， 并无有关电子证据的规定。中华人民共和国合同法、道路交通安全法、电子 签名法对电子证据作了一些规定，电子证据的其他规定散见于最高人民法院、 最高人民检察院、公安部的司法解释和部门性规章，其他部门性、地方性规章和 规范性文件也有涉及。从立法层面考查，虽然我国的电子证据立法并非完全空白， 但尚无任何一级立法对电子证据做出全面规定。与证据法发达的国家相比，我国 的电子证据立法还有明显差距，主要体现在： 1 、电子证据立法表现为多层次法律规范，缺乏体系性，没有系统地对电子证 据问题做出规定，特别是解决电子证据的可采性和证明力问题。 2 、立法思路不清，刚性条款不多。现行电子证据法律规范习惯于用不完全列 举的方式界定电子证据，不清楚电子证据在适用传统证据审查判断标准时面临挑 战的关键和表现方面，法律概念多信息技术术语；立法规范不具有可执行性，刚 性不够。 3 、电子证据规范偏向于指导如何取证，缺乏可采性规则。 在学术界，对计算机犯罪的研究近几年来有了快速的发展。由中国计算机取 证研究组( c f a t ) 组织的第一届中国计算机取证技术峰会h 1 于2 0 0 5 年6 月2 6 日举 行，到目前为止已成功举行了四届。国内各高校、研究机构和企业对计算机取证 的研究不断发展，涌现出了一些开发数字取证工具的企业和相关的取证产品，如 厦门美亚柏科资讯科技有限公司的计算机犯罪取证勘察箱，北京中网安达信息安 全科技有限公司的“网络神捕”综合取证软件系统和“版权卫士 取证系统( 网 络侵权监控与取证系统) 畸1 等等。 在计算机取证发展的同时，国内对于电子证据保全的研究相对要少得多。搜 索c n k i 的文献库，有关电子证据的文献相对较多，但其作者多为法学专业出身， 涉及范围也主要在法学领域内；关于电子证据保全的文献相对较少，且其中只有 一篇文章是来自征查学专业的，其他文献都属于法学领域；从计算机角度出发研 究电子证据保全技术的文献基本没找到。可见，目前国内对电子证据保全技术的 研究还没有受到重视。 应用软件方面，2 0 0 8 年1 月2 5 日，国内出现了首个也是目前唯一的一个电子 证据保全系统伊时代电子证据保全系统。根据其说明文档表示，该软件可实 4 第一章绪论 现合同公证、文件保全、网页取证、屏幕录象等四大功能，可以通过w e b 访问系 统，在线远程存储电子数据，方便地对文本、视频、音频、图片、网页、聊天记 录、电子合同等重要资料进行加密操作，生成证据包。其主要功能包括如下： l 、可同步保全网上购物、竞拍、网游装备交易等的过程记录，保障交易安全； 2 、可实时保全网络小说、音乐、设计的内容和时间，有效证明作品原创； 3 、可在第一时间保全和收集网络侵权( 盗用作品、侵犯名誉权等) 的证据， 捍卫自己权利。 4 、可方便快捷的对企业间的合同协议进行签署公证。 由于未能对该软件进行试用，故对其具体功能实现等不做评论。该软件的出 现一定程度上反映了国内对于电子证据保全的关注。 1 2 3 未来发展方向 “电子证据的司法鉴定是指在诉讼活动中，用科学的技术手段和专业知识对 电子证据进行检验、判定并出具专业的鉴定结论。电子证据要是想在法庭上被认 可，必须要经过这个程序。目前，我们只接受公、检、法机构的委托进行鉴定工 作。嘲正如国家信息中心电子数据鉴定中心副主任叶红所说，电子证据的安全存 储和防篡改将会越来越受到重视。 未来几年内，以下几个方面将成为电子证据取证的发展方向： 1 、在线取证技术。 2 、手机平台获取电子证据。 3 、跨平台取证软件研发。 4 、数据恢复和硬盘恢复技术将不断增强。 5 、硬件方式的只读锁与写保护软件。 6 、以上各要素综合起来的方案。 在未来的几年里，计算机取证将会作为一门新兴学科飞速发展，形成一套系 统的理论。计算机电子证据在我国证据法领域必然将占有一席之地。电子证据的 收集、保存、审查、提交等流程将会得到规范化、标准化的指导，保全和固定工 作在技术上也将不断走向成熟。 5 电子科技大学硕士学位论文 1 3 论文主要工作、创新点及组织结构 1 3 1 论文主要工作和创新点 在实现了计算机取证系统的前提下，为保证电子证据的存储和访问安全，本 文对安全系统架构、口令身份认证、基于角色访问控制技术、数据加解密技术以 及数字签名技术进行了深入的研究，同时对司法上取证规范以及证据法中证据的 保全固定规范进行了学习。 在对以上技术和理论研究的基础上，结合司法上计算机取证和证据鉴定的实 际情况，总结出电子证据的管理策略，对电子证据防篡改系统进行了总体设计和 模块具体设计，并利用n e tf r a m e w o r k 提供的加密类，对相关密码算法部分进行 了实现。 论文主要创新点包括： 结合法学、征查学和证据学的相关理论，提出了在电子证据防篡改系统中设 计门限认证的思想。 针对电子证据采集时需多人同时在场的实际情况，提出在电子证据保存入库 时使用多重数字签名。 为防止电子证据被恶意伪造，提出了对电子证据分类归档，给每个电子证据 分配序列号的策略。 结合司法耿证实际工作情况，针对性的提出二次取证电子证据提交流程和注 意事项。 提出了电子证据防泄密思想和方法，包括电子证据只读、不可修改、拷贝监 控、屏幕监控、打印监控。 设计了电子证据加密的具体流程。 1 3 2 论文组织结构 本文共分为六章，各章节内容安排如下： 第一章介绍了本文的研究背景、研究意义、国内外相关研究现状以及未来的 发展方向，并简要的说明了论文的主要工作、创新点和论文组织结构。 第二章对计算机取证和电子证据的相关重要概念做了综述性介绍，并对目前 电子证据面临的问题进行了总结，最后对已实现的计算机取证系统进行了简单介 6 第一章绪论 绍。 第三章分析研究了电子证据防篡改的相关技术。重点研究了密码学技术中的 哈希算法、门限算法、数字签名算法和r b a c 访问控制模型。 第四章有针对性的设计了电子证据防篡改管理策略，包括多入签名、设置序 列号、门限身份认证、设置只读不可修改、拷贝监控、打印监控等策略，并给出 了技术上实现的方法。 第五章对电子证据防篡改系统进行了整体设计。首先介绍系统的总体框架， 再分别详述了系统中身份管理模块、访问控制模块、数据安全模块、审计备份模 块的功能和流程设计。最后对系统中使用到的d e s 算法、m d 5 算法、数字签名算法 进行了实现。 第六章总结了全文的要点，并给出了下一步工作方向。 7 电子科技大学硕士学位论文 2 1 计算机取证 第二章计算机取证和电子证据 打击和遏制计算机犯罪行为，维护社会的公正、公平需要依靠法律的保障， 法庭遵循法律条文执行审判需要证据的支持。计算机取证( c o m p u t e rf o r e n s i c ) 为解决民事纠纷和打击计算机犯罪提供科学的方法和手段，可以提供法庭需要的 合适证据。 2 1 1计算机取证定义和原则 计算机取证是一个涉及法学、刑事侦查学、计算机科学等学科的交叉学科， 在进行计算机取证的相关司法实践过程中，常常需要对相关问题从相关法律、侦 查方法、取证规范、取证技术等多个角度进行思考。目前对其尚无统一、准确的 定义。 l e eg a r b e r 在其发表的论文c o m p u t e rf o r e n s i c s ：h i g h - t e c hl a we n f o r c e m e n t 中称，计算机取证是“分析硬盘、光盘、软盘、z i p 和j a z z 磁盘、内存缓冲以及 其他形式的存储介质以发现犯罪证据的过程。 哺1 权威专家j u d dr o b b i n s 关于计算机取证的解释如下：计算机取证是将计算机 调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取n 1 。 计算机紧急事件响应组c e r t 和取证咨询公司n t i ( n e wt e c h n o l o g i c s i n c o r p o r a t e d ) 进一步扩展了该定义：计算机取证包括了对以磁介质编码信息方 式存储的电子证据的保护、确认、提取和归档。嘲 s a n s 公司则归结为：计算机取证是使用软件和工具，按照一些预先定义的程 序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。阻1 中科院高能物理研究所的许榕生教授形象的对计算机取证进行了解释：计算 机取证与真实生活中的侦探工作很相似，即当一个案件发生后，需要展开系列 的调查工作：首先，保护和隔离现场；然后，拍照并作记录；同时，开始调查并 收集和整理所有能发现的证据；最后，完成整个的科学取证分析过程。璐1 结合以上权威人士关于取证的定义，参考计算机取证本身的特性，综合起来 第二章计算机取证和电子证据 概括如下：计算机取证是指结合计算机以及相关学科如侦查学、法学等理论和技 术以获得计算机相关的电子证据，使得客观事实得以确定的过程。计算机取证包 括电子证据的确定、收集、保护、分析、归档以及法庭出示等环节。 计算机取证应当遵循如下规则n 阳： 1 、合法性。计算机取证的最终目的是将获得的电子证据提交法庭，作为证明 某个事实的依据。取证的每个流程步骤都必须符合法律的规定，这要求取证人员 要具有法律知识，按照符合法律规范的程序获取并提交证据。证据收集过程的合 法性是保证证据有效性的前提，只有获取了合法、确实、充分的电子证据才能有 效认定案件的基本事实，才能准确地依照法律条文，追究相关人员以及犯罪嫌疑 人的法律责任。 2 、及时性。应当尽快的收集电子证据，以确保证据在采集时没有被破坏。这 项规则说明获取电子证据具有时效性。 3 、准确性。计算机取证人员在获取证据的过程中，应当充分利用科学的方法 和技术手段，以保证获取的电子证据的真实性和准确性。 4 、保证“证据连续性”( c h a i no fc u s t o d y ，也称为证据链) 。要求将电子证 据从获取生成之后到提交法庭作为审判依据的过程中产生的任何变化都有记录和 说明。 5 、整个检查、取证的过程必须受到监督。证据的产生、收集、检查等过程中， 必须由对立方或第三方监督整个过程，以保证电子证据的可信。比如由原告指派 计算机专家去做调查和取证的工作，一般都应该有被告或第三方派出相关专家进 行监督。 6 、冗余备份。计算机取证后获得的电子证据在保存时应该有两个或两个以上 的拷贝。原始证据应当保存在特别的地点由专人负责看管，拷贝可用于相关人员 对电子证据进行调查和分析。 7 、硬件环境应确保安全可靠。电子证据保存的硬件环境和其他重要物品保管 一样应该是安全可靠的，如防火防盗等。 8 、加强管理。电子证据载体如磁盘、光盘、移动硬盘等在移交、保管、开封、 拆卸等过程中须由侦查人员和保管人员共同完成，参于每一个环节的人员须首先 检查电子证据的真实性和完整性，同时进行拍照，并制作详细的记录，最后由参 与人员共同签名确认。 9 电子科技大学硕士学位论文 2 1 2 计算机取证技术和步骤 计算机取证的过程具有复杂性和多样性，这使得相关技术也显得复杂和多样。 依据计算机取证的过程，涉及到的相关技术大体如下： ( 1 ) 电子证据监测技术 所谓电子证据检测技术，就是指对涉及安全的保密单位以及有安全保障需要 的计算机实现安装监控软件，实时对此类计算机进行监测。或是对可疑计算机通 过远程注入或网络监控等手段，监测该计算机的行为。当出现问题时，将监测到 的日志以及该计算机中相关数据文件提取出来作为电子证据。 ( 2 ) 物理证据获取技术 物理证据获取技术，是指通过访问物理介质如硬盘、移动盘等直接获取与涉 及案件相关的原始证据。获取到的原始证据再通过调查、分析、审核等步骤，最 终保存为电子证据。所以说获取物理证据是整个计算机取证过程的基础。获取物 理证据时，一个重要的原则就是确保对目标计算机中的原始证据不会产生任何改 动和破坏。在调查中应保证】： 不要改变原始记录； 不要在作为证据的计算机上执行无关的程序； 不要给犯罪者销毁证据的机会； 详细记录所有的取证活动； 妥善保存得到的物证。 从目标计算机中获取原始电子证据是一项复杂的工程，这是因为电子证据分 散于计算机系统的各个地方，且具有易损易篡改的性质。电子证据可能存在的系 统位置如下：系统日志、系统注册表文件、寄存器、内存、磁盘、隐藏文件、系 统缓存、堆栈、文件缓冲区以及文件系统本身等等位置。所涉及到的技术大体有： 镜像技术、注册表访问技术、内存访问技术、数据恢复技术、文件读写技术、时 间同步( t i m es y n c h r o n i z a t i o n ) 等等。 ( 3 ) 电子证据收集技术 电子数据收集技术是指按照规定的程序步骤，使用授权的软硬件设备，对已 收集到的数据进行有效保存，并在保存时对数据做一些相关的处理，然后将这些 数据通过安全的渠道从目标计算机传输到取证人员的存储介质中。这个过程需要 可靠的传输技术( 目前主要采用加解密技术) 、无损压缩技术、数据删减和数据恢 复技术等。 1 0 第二章计算机取证和电子证据 ( 4 ) 电子证据保存技术 在计算机取证过程中，应当对取证后产生的电子证据及整套的取证流程规范 进行保护。只有这样，才能保证电子证据的真实性、完整性和安全性。使用的技 术主要有对取证服务器的网络进行物理隔离、加密技术、访问控制技术等。 ( 5 ) 电子证据处理及鉴定技术 电子证据处理指对已收集的电子数据证据进行过滤、模式匹配、隐藏数据挖 掘等的预处理工作。在预处理的基础上，对处理过的数据进行数据统计、数据挖 掘等分析工作，试图对攻击者的攻击时间、攻击目标、攻击者身份、攻击意图、 攻击手段以及造成的后果给出明确并且符合法律规范的说明。 ( 6 ) 电子证据提交技术 依据法律程序，以法庭可接受的证据形式提交电子证据及相应的文档说明。 综上所述，计算机取证是由包括法学、侦查学、计算机科学等多种科技范畴 组合而成的边缘科学。 计算机取证分为静态取证和动态取证( 即监控) ，一般情况下讨论静态取证， 其主要步骤如下： ( 1 ) 确保目标计算机的安全，包括物理上计算机硬件的安全以及计算机中操 作系统及相关应用软件的安全。取证时应尽量避免对目标计算机进行任何改动， 防止原始数据收到破坏，降低电子证据的证明力。 ( 2 ) 对目标计算机中的所有文件进行遍历，遍历对象包括系统中的普通文件、 系统回收站中的文件、系统注册表、系统日志文件、系统临时文件、隐藏受保护 文件等等。 ( 3 ) 对磁盘上可以恢复的文件全部进行数据恢复。 ( 4 ) 在授权的前提下，对加密文件进行解密后查看其内容。 ( 5 ) 分析在磁盘的特殊区域( 如未分配磁盘空间、文件中的s l a c k 空间) 中 发现的所有相关数据。 ( 6 ) 打印对目标计算机系统的全面分析结果，以及所有可能有用的文件和被 挖掘出来的文件数据的清单。然后给出分析结论，包括系统的整体情况，已发现 的文件结构、被挖掘出来的数据和作者的信息，对信息的任何隐藏、删除、保护 和加密企图，以及在调查中发现的其他的相关信息。 ( 8 ) 给出专家证明。 电子科技大学硕士学位论文 2 2电子证据 2 2 1电子证据定义 电子证据这一概念目前尚无权威的解释，一般情况下，电子证据指的是与电 子技术相关的、以电子介质为存储媒介、用于证明某个案件事实的一种特殊证据 类型，通常指的是计算机中产生的或存储于计算机中的数据文件。在我国法律上 对电子证据的界定目前还没有针对性的条文，只能把电子证据归纳为一种介于物 证与书证之间的证据类型。 2 2 2 电子证据特性 证据指的是认定案件事实真相的一切事实，对法官正确判定是否有罪具有举 足轻重的作用。电子证据指的是通过电子形式表现出来的、可以证明案件真实情 况的一切物质。和普通证据相比，电子证据在具备作为证据基本的条件如符合法 律规范、可信性、准确性、完整性、不可否认性的基础上，还具有以下特有的性 质： 数字性。电子证据存储于电子元器件和磁性介质上，对这些电子数据的操作 反映在硬件上只是电子的正负或者磁性介质的磁极发生了改变，故获取电子证据 需要通过特定的方法，和获取普通证据的方法完全不一样。 技术性。电子证据的生成、保存和传输以及证据采集、分析和审查都需要通 过计算机学科中的相关技术手段才能完成，对技术的要求比较高。 脆弱性。计算机中的数据文件容易受到外界因素比如磁场、电源电压等影响 而出现丢失、损坏等现象，同时，这些数据文件也会被使用者轻而易举的进行修 改而不留下任何痕迹。因此，电子证据具有不可靠性。在证据收集的过程中，要 充分考虑电子证据的这一特性，确保采集到的信息完整可靠。 多样性。虽然计算机中硬盘上存储的数据以o 和1 二进制来表示，但计算机 系统中的数据文件表现具有多样性，从而决定了电子证据的多样性，包括普通文 本文件、o f f i c e 文件、视频文件、音频文件等等。在审查这些电子证据时，需要 采用不同的方法才能查阅其内容，故需要指定不同的规则。 人机交互性。计算机中生成的数据文件和日志记录都是在人的操作下完成的， 不同权限的操作人员将产生不同的数据文件和记录，也可以对已有的数据文件进 1 2 第二章计算机取证和电子证据 行不同程度的修改和删除。因此，保证电子证据的完整性和可靠性需要对使用计 算机的相关人员制定完善的管理制度和监督规则，同时技术上需要实行严格的权 限控制。 复合性。电子证据的复合性指的是和普通证据具有的“证据链 一样， 电子 证据的存在位置必然不止一个地方，并且计算机系统中的相关文件可以串连起来 以证明整个事实真相。这些电子证据在收集时，按照相关的法律规定组合形成的 证据，包含多个原始证据的内容，具有复合性。 2 2 3 证明力审查 电子证据的证明力可以从可靠性、完整性、充分性三方面来审查。 可靠性 在证据学理论中，要保证某个证据的可靠性，需要在电子证据从产生到提交 的任何一个环节都确保每个操作安全可靠，一般采用增加辅助证据如拍照、截图 等方法来证明这些操作可靠，以形成证据链。参考确定普通证据的方法，法庭应 结合以下因素对电子证据的可靠性做出综合评判。 1 、生成，存储，传递，保存电子证据的方法和环境。 ( 1 ) 电子证据的生成环节，即必须考虑用来作为证据的电子证据是怎样产生 形成的。比如，用作电子证据的数据文件最初的形成是否是按一般程序自动产生 或是人为输入产生的；系统自动产生的数据是否可靠，能否用作证据；人为输入 产生的数据文件执行者在执行输入时是否遵循了规定程序；有无恶意伪造数据文 件以造成混淆视听的行为；计算机系统是否受到其他因素比如黑客、病毒等的干 扰等等。 ( 2 ) 电子证据的存储环节，即必须充分考虑电子证据的存储安全，比如电子证 据的存储环境、存储媒介必须安全；负责存储的操作人员需要确保公正、公平、 不受外界干扰；电子证据的存储方法需要具有科学性；存储之后的电子证据在提 交法庭前有否遇到外泄、非授权访问等等。 ( 3 ) 电子证据的传输环节，即需要确保电子证据从采集现场传输到证据库的过 程的安全。这个过程涉及到具体的操作人员、数据传输的信道安全、发送接受电 子证据所采用的方法的科学性等等。 ( 4 ) 电子证据的收集环节，必须明确电子证据的采集者，该采集者是否具有法 定授权，证据采集者和整个案件除了公务本身是否还有潜在的其他关系；整个取 1 3 电子科技大学硕士学位论文 证采集证据的过程是否确实遵循了遵守了法定程序；证据采集的技术方法是否具 有科学性等等。 ( 5 ) 电子证据在前面的几个步骤中必须确定是否有过修改，即需保证电子证据 没有经过任何伪造、篡改，如果是综合系统中信息而产生的电子证据，需对产生 的方法原理以及原始数据文件在系统中的所处位置加以说明。 2 、电子证据在采集后传输到证据库时采用的技术手段是否科学，能否保证安 全。 3 、取证过程中的补充证据，如截屏、拍照等，以及参于取证过程的相关人员 出示的取证报告和证词。 4 、取证人员对被取证计算机系统是否熟悉。 5 、可能对取证和电子证据的生成产生干扰的其他原因。 完整性 完整性( i n t e g r i t y ) 指的是数据信息在非授权的情况下不能被任何人以任何 方式修改，即数据信息在存储、传输、访问等过程中不能被恶意的增加、减少、 改变、伪造信息内容，在每一个流程后数据信息内容能保持原始性。完整性是一 种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和 正确传输。 对于证据的完整性，需要从以下几个方面来审查。 1 、如电子证据自生成之后，其内容信息没有发生过任何变动，证明该证据存 在完整性。特别的，对电子证据按照规定程序进行适当的操作，比如增加电子签 名、添加校验码等，不会对其完整性产生影响。 2 、电子证据如果存在下列情况，可以推断该电子证据具备完整性：电子证据 所在的计算机系统或者相关设备在任何时候都处于正常运转状态，或者这些系统 和设备虽然没有正常运行，但以上状态对产生电子证据、采集电子证据不产生干 扰；由第三方在正常的工作中按照正常程序执行取证后获取的证据；由对立方列 举出的电子证据，但该证据在证明案件事实时对该方不利。 充分性审查 充分性指的是电子证据的证明力可以证明涉及案件中需要证明的事实真相。 证据的充分性原则是对定案证