电子数据取证.docx

电子证据主要指存储于计算机、移动存储设备（SD卡、CF卡、手机卡等）、安防监控系统中的各类存储介质以及网络虚拟空间中的具有能辅助司法机构侦查取证及立案的各类文字、数字、图片、音频等资料。通常情况下，电子证据取证工作都是由专业的司法侦查取证人员来完成，对技术侦查人员的要求和对相关取证设备的掌握要求较高，除了提取恶意破坏存储介质或其他发生严重损害存储设备的情况下，一般在现场通过专业数据拷贝设备就能快速完成，而面对复杂的情况，如前面提到的存储介质发生严重故障，包括硬盘坏道、电机损坏以及视频监控设备遭人为破坏等，则需要的就不只是单单的复制拷贝设备，而需要根据故障的具体情况来选择修复硬盘或镜像文件，甚至开盘换头操作了。而要实现这类故障存储介质的电子证据取证，就必须借助专业的技术、专业的设备、专业的操作环境（开盘需要在百级无尘室内进行），这样才能保证电子证据取证的完整性、安全性以及高效性。目前，我国的电子证据取证水平已经逐渐与国际接轨，相关技术甚至超越世界发达国家水平，领居世界前列，如效率源科技旗下的Data Compass数据恢复指南针、SDII9000 Frensics超级鹰眼服务器及视频分析取证专版、SD Iphone Mobile 苹果手机恢复取证系统等都是国内电子证据取证技术的代表产品。近几年来，随着国内高科技案件的频现，国内的司法机构对电子证据也越来越重视，随着对电子证据取证技术设备的需求也愈发明显，当前，国内已有众多司法取证机构应用了上述效率源厂商研发生产的电子证据取证设备，且取得良好的“技术辅助办案”效果。什么是电子取证技术：电子取证技术包括动态电子取证技术和静态电子取证技术，在司法取证实践中，取证人员经常会面临静态电子取证技术问题。静态电子取证技术是针对可能含有证据的非在线计算机、硬盘、软盘、光盘、存储卡、手机、PDA设备等进行证据获取的技术，包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据过滤、数据挖掘技术等。电子取证技术发展水平：目前，在司法取证工作中，数据恢复常被用于电子证据的搜集提取中，这项技术主要用于把犯罪嫌疑人经过文件删除或者格式化磁盘的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行重新构造，删除文件的操作也仅是在文件头做删除标志，故原有的数据仍然存放在磁盘的空闲块列表中，因此可以通过数据恢复技术加以收集作为潜在的电子证据。电子取证技术相关产品：我国的电子取证技术，当前也取得了不少成绩与进步，其中最常见的数据恢复技术已经可以同全球发达国家的技术相媲美，如我国数据恢复研发企业效率源旗下的“3+1”司法取证方案、SDII9000F视频取证设备更是在国际上备受瞩目，成为目前为止最具代表的电子取证设备。据了解，这类设备目前专供于国内外司法机构、取证单位，对其他行业还未正式开放发售。事实上，从计算机取证软件和工具实现过程的分析中可以发现，当前国内外电子数据取证技术还存在很大局限性。这主要表现在两方面：（1）电子数据取证所面临的入侵者的犯罪手段和犯罪技术的变化。这主要是指反取证技术的发展。反取证技术就是删除或隐藏证据使取证调查失效，包括数据擦除、数据隐藏和数据加密等3类，这些都给取证工作带来新的挑战。（2）电子数据取证技术是一个新的研究领域，致力于专业技术研发的机构还比较少。尽管个别公司投入了大量的人力物力在研究上，但由于国内没有相关的专业技术认证标准，因此不仅使得我国研发公司在获证方面困难重重，也让取证部门在选择工具时缺乏可比性，这就使得取证权威性受到质疑。计算机取证设备对电子证据的获取、分析和发现是打击各种犯罪行为全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。 硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的效率源硬盘复制机Data Copy King、MD5、SF-5000、SOLO II硬盘拷贝机，有适合 IT业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、 Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如 FTK 、 Encase 、 Parabens Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如 Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过 USB 接口、 1394 接口、 PCMCIA 、并口等方式的硬盘获取设备及附件，如 LinkMasster II 、 CloneCard 、 USB WriteProtect 、 Desktop WriteProtect 、“天宇”全能拷贝王等等。如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。电子物证目录电子的物证定义 电子物证的特点 1. 1、 高科技性 2. 2、 存储和提交形式多样性 3. 3、 客观实在易变性 4. 4、 存在的广域性 5. 5、 实时准确性 电子物证的表现形式 1. 存在于计算机系统内的： 2. 存在于网络内的： 电子物证勘验提取 1. （1）数据获取 2. （2）数据分析 3. （3）数据破译 4. 电子物证勘验设备介绍 展开 电子的物证定义 电子物证的特点 1. 1、 高科技性 2. 2、 存储和提交形式多样性 3. 3、 客观实在易变性 4. 4、 存在的广域性 5. 5、 实时准确性 电子物证的表现形式 1. 存在于计算机系统内的： 2. 存在于网络内的： 电子物证勘验提取 1. （1）数据获取 2. （2）数据分析 3. （3）数据破译 4. 电子物证勘验设备介绍 展开 编辑本段电子的物证定义电子物证是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。除了具有物证的客观性和可知性之外，电子物证还具有非直观性和多态性、电子物理和诉讼证据的双重属性。电子物证的提取与固定，首先对载有电子物证信息数据的物理实体进行扣押、封存，再采用专门的技术方法对物理实体中的电子信息数据进行提取和固定，形成电子物证。为了维系电子物证的客观真实性，在获取电子物证时，应采用取证专用的数据拷贝机和电子物证勘验取证技术（如，SDII服务器恢复系统、效率源DCK等），附加上时间戳信息数据，一次性提取和固定介质载体中的全部电子物证信息。 编辑本段电子物证的特点与传统证据相比较，电子物证有以下五个特点： 1、 高科技性电子物证的高科技性使取证变得便捷和高效，具体表现为收集电子物证快速，保存和固定电子物证便利（电子物证信息量虽大，却占用很小的物理空间并易于保存）。但要求取证技术人员具备与电子物证相关的技术专业知识与技能，并配备SDII服务器恢复系统等专业的电子物证勘验取证设备。 2、 存储和提交形式多样性电子物证以文本、图形、图像、动画、音频、视频等多种信息形成、存储于计算机硬盘、软盘、光盘、磁带等设备及介质中的，其生成和还原却离不开相关的计算机等电子设备。电子物证的提交形式相应地表现为文书、计算机硬盘、光盘等介质，因而具有与书证、视听资料、物证等证据种类相同或相似的表现形式，并随着科技成果的不断增加，电子物证的提交形式将会更加多样化。 3、 客观实在易变性电子物证一经生成必然会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志（系统日志、安全日志等）或第三方软件形成的日志中，客观真实地记录了案件事实情况，但由于计算机数字信息存储、传输不连续和离散，容易被截取、监听、剪接、删除，同时还可能由于计算机系统、网络系统、物理系统的原因，造成其变化且难有痕迹可寻。因此在进行电子物证勘验提取时，必须配备专业的数据恢复设备以保证电子物证的绝对完整、准确。 4、 存在的广域性电子物证因行为人使用网络的种类不同或目的不同而存在于局域网或互联网中，而在遍布全球的互联网中的各地网络服务商提供的服务器就会留有电子物证。基于电子物证的这一特性，使人们对电子物证所在地的认识有了新突破，因而，取证活动将常常不局限于一地区、一国界，且由于各地区、各国分属不同的法域，对电子物证的法律规定自然存在差异，必然带来取证的障碍和冲突。 5、 实时准确性计算机及网络的使用，是一个实时产生电子物证的过程，除了使用者操作下形成的电子物证外，还存在计算机及网络针对使用者的操作活动自动记录的相关电子物证，特别是网络中电子物证都是实时形成的，并可以通过取证获得具体、详细而准确的时间记载以及变化情况。即使遭到人为篡改或系统故障等外在因素的破坏，仍可以使用SDII服务器恢复系统等专业电子物证勘验设备，通过数据恢复手段进行电子物证的恢复、固定和提取。电子物证的这一特性决定了他具有其它证据种类难以比肩的优越性。同时也使实时犯罪线索搜集与其它取证活动成为可能并富有成效。 编辑本段电子物证的表现形式电子物证实质是电子的、电磁的、光学的、磁性的等相似性能的信息或数据信息，经输出设备显示为人们所能识别的文字、符号、图形、图像、动画、音频、视频等各种信息形式。体现于计算机及其网络的电子物证形式表现为： 存在于计算机系统内的：统日志文件 备份介质； 入侵者残留物：如程序、脚本、进程、内存映像； 交换区文件； 临时文件； 硬盘未分配的空间（一些刚刚被删除的文件可以在这里找到）； 系统缓冲区。 存在于网络内的：防火墙日志； IDS日志； 其它网络工具所产生的记录和日志等。 上述证据形式是从技术角度简单归纳的取证对象，从法律和技术双重的角度将取证对象可分为，数据电文证据、附属信息证据和系统环境证据（具体含义和分类意义详见前文学理分类），刑事电子物证的取证活动应针对每一案件事实，分别明确取证的数据电文证据，附属信息证据和系统环境证据的内容和范围，前述三个相关联的证据构成了一份完整的证明体系，确保电子物证具有真实性和可靠性。 编辑本段电子物证勘验提取电子物证勘验提取通常会用下几种方法： （1）数据获取一是对计算机系统数据和文件的安全拷贝技术。这种技术主要研究如何在全面获取数据的同时，避免对原始介质进行破坏和干扰。二是对被删除被破坏的电子物证进行数据恢复。主要包括对已删除文件的恢复、重建技术；对slack磁盘空间、未分配空间、缓存和自由空间的信息发掘技术；对交换文件、缓存文件、临时文件的复原技术；对阴影技术的重新获取技术等。 （2）数据分析一是日志分析技术。通过日志分析，可以了解系统受到了哪些攻击，以及哪些远程主机访问了该主机。这可以帮助侦查人员确定作案时间以及作案过程；二是根据已获得的文件或数据的词、语法和写作（编程）风格，推断出其可能的作者。这对于确定有害程序的原始作者极为重要。 （3）数据破译主要包括：数据解密技术、密码破译技术；对电子介质中被保护信息的强行访问技术等。 据统计，目前英国警察局、法国内务部、印度警察局、印度海军等全球电子物证勘验提取技术较发达的机构，都在使用SDII服务器恢复系统、效率源DCK等一些大型的精密电子物证勘验设备，一方面可以节约高科技人员成本，另一方面大型精密设备的使用可以最大限度的避免可能造成的取证失误，最快速、高效、完整的提取电子物证。 电子物证勘验设备介绍SDII服务器恢复系统是全球最大的存储载体数据恢复研发机构-美国SecuData公司，于2010年度研发的一款世界级的专业服务器数据恢复、视频数据恢复系统，也是全球唯一同时支持服务器SAS/SCSI存储载体的电子物证勘验恢复系统。现由国家高新技术企业、全球专业数据恢复研发机构效率源科技引入中国，中国企事业单位将亲身体验到SecuData带来的世界级高智能数据恢复安全产品与高端悉心服务。 独有的电子物证勘验恢复系统 SDII服务器SAS/SCSI电子物证勘验恢复系统是在服务器数据恢复系统的平台上加入公安司法行业所需要的电子证据获取、固定、分析功能，特别是针对中国警方目前广泛使用的“天网监控”恢复取证，“用友财务”“金碟财务”系统恢复取证进行了特别优化，达到最佳支持率，同时可无缝兼容ENCASE/FTK/XWAYS等所有司法取证分析软件； 特别支持公安执法部门SAS/SCSI存储介质/天网视频监控/电子物证获取恢复利器 服务公安部门打击经济犯罪、刑事犯罪、黑恶势力犯罪、网络犯罪；构建平安社会 采用工业级硬盘仓设计，目标物证存储无需连接线 windows友好界面，一体工控键盘设计，操作简单 电子物证技术目录电子物证技术 电子物证的提取有两种基本形式 1. 提取硬件物证检材 2. 电子信息物证检材 电子物证检验鉴定专用软件 展开 电子物证技术就是对在利用电子载体进行违法犯罪活动中的各种证据进行收集、固定、审查和确认，它包括涉案计算机现场勘查、搜查与扣押、网络监控、邮件监控、技术鉴定等多种活动技术。 电子物证提取设备效率源DCK电子物证的提取有两种基本形式提取硬件物证检材司法机关在利用电子物证提取设备进行电子物证提取时，必须确保电子物证的原始性、真实性和合法有效性。 电子信息物证检材执法过程中的目标存储证物（硬盘、U盘、CF卡、FLASH存储），由于各种原因（物理故障：磁头损坏、电机损坏、磁盘坏道、电路损坏等；逻辑故障：误删除、误克隆、误格式化、病毒攻击等）导致目标数据丢失、破坏情况广泛存在，必须有相关数据恢复、计算机取证技术平台完成目标电子物证数据的提取分析，于是构建针对缺陷存储全方位的数据恢复、计算机取证解决方案迫在眉睫。面对巨大的基于缺陷存储介质的数据恢复、计算机取证漏洞，人们开始越来越关注针对存储物理故障前提下的电子物证技术，其中基于原厂工业级指令的缺陷存储数据恢复、计算机取证技术成为了司法电子物证领域的新技术聚焦。 自2006年起我国在公安、检查、经侦、刑侦、网监等陆续从开始关注相关尖端数据恢复、计算机取证技术对于电子物证取证特殊能力，数据恢复、计算机取证技术体系凭借稳定性、安全性和功能性，在我国司法领域逐渐获得了极高的认知度，我国公安、检查、经侦、刑侦、网监等多个部门先后装配组建了符合各自实际情况的数据恢复、计算机取证技术电子物证保障体系，并取得丰硕成果，相关的尖端数据恢复、计算机取证设备逐渐成为司法电子物证领域的有效利器。在国家相关司法部门的大力支持下，国家级高新技术企业，全球唯一集研发、生产、销售于一体的数据恢复、计算机取证权威研发机构-效率源科技（英译：Salvationdata），曾经先后发布了硬盘固件修复及数据恢复、计算机取证工具HD Doctor、Data Compass高智能数据恢复一体设备、FLASH数据恢复大师等全球领先数据恢复、计算机取证设备，并且先后协助公安部第一研究所、广东省公安厅、广州市公安局、湖北检察院、成都检察院等多个部门成功部署了多套专属数据恢复、计算机取证电子物证技术体系。历经十年，效率源（Salvationdata）数据恢复、计算机取证技术及品牌已在全球五大洲共60多个国家进行市场覆盖，曾为美国联邦调查局、土耳其警察局、意大利警察局、英国曼彻斯特司法鉴定所等多个司法部门圆满构建相关尖端数据恢复、计算机取证技术体系，成为全球缺陷电子物证数据恢复、计算机取证技术首屈一指的权威力量。 电子物证检验鉴定专用软件 电子物证检验鉴定专用软件1、检验鉴定流程监管软件 全程记录实验室各个鉴定工作站的工作情况，记录每一台鉴定工作站鉴定分析的过程，包括屏幕抓屏录像、系统进程监控、键盘鼠标监控、形成鉴定监管的报告，并能够再现取证的过程。 平台硬件 检验鉴定流程监管系统记录服务器：单个intel E5504 CPU，内存4G，2个1000M网络接口 1个500G /SAS硬盘。 1000兆网络交换机:智能交换机、三层、26口10Mbps /100Mbps/ 1000Mbps 、全双工/半双工自适应 、VLAN支持、QOS支持、可网管。 电子数据鉴定工作站: 4台工作站，要求酷睿四核Q9400 CPU，内存2G，250G硬盘，HD3650/512独立显卡，22寸显示器，1000M网络接口。 2、勘查软件 提供电子证据固定、分析、报告生成等取证功能； 提供自动取证功能，通过简单的选取，就能够实现取证功能的选择，并能够按照选取的功能进行分析工作； 具备静态取证功能，可以对接入的硬盘进行取证分析； 具备动态取证功能，可以对开机状态下的计算机进行在线分析； 具备视频分帧调查功能，在调查视频过程中，可以对视频的内容按照时间定义进行分帧，方便查看； 分析结果能够自动打包并且生成报告，报告内容以IE形式提交； 软件要求免安装，即插即用，可以方便的在不同计算机中使用，并且不用安装在本地。 支持QQ删除记录恢复及反取证软件检测技术； 获得多项中华人民共和国国家知识产权局的发明专利。 获得多项中华人民共和国国家知识产权局的发明专利。计算机司法鉴定目录计算机司法鉴定的范围 计算机司法鉴定的措施 电子证据的取证技术 计算机司法鉴定是指依法取得有关计算机司法鉴定资格的鉴定机构和鉴定人受司法机关或当事人委托，运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。 司法部2000年11月29日颁布的司法鉴定执业分类规定（试行）1第十三条规定，计算机司法鉴定：运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定。 编辑本段计算机司法鉴定的范围从理论上讲，计算机鉴定人员能否找到犯罪证据取决于：有关犯罪证据必须没有被覆盖；取证软件必须能找到这些数据；鉴定人员能知道这些文件，并且能证明它们与犯罪有关。因此，计算机司法鉴定范围是具有局限性的，它一般集中于对计算机内的存储的数据进行鉴定，有时也包括对计算机中软件、程序进行功能性鉴定，对取证过程中取得的证据链进行鉴定。其中计算机内的数据包括各种存储介质以及通过网络实时传输的数据。如：软盘、硬盘、优盘、 ZIP 盘、 JAZ 盘、磁带、磁光盘、 CDROM 、 CDR 、 CDRW 、 DVD 、 MO 、 CF 卡、 MS 卡、 SD 卡、 MMC 卡等，网络硬盘、电子邮箱等；对软件、程序的功能鉴定包括是否为盗版软件、是否存在软件侵权行为等。鉴定文件格式包括电子表格、 Word 文档、数据库、文本文件、日志文件、电子邮件、图片、视频文件、声音文件、交换文件、临时文件等。 编辑本段计算机司法鉴定的措施1.专业数据复制，保持数据的原始性。取证分析的数据是被分析机器上数据的原始逐位比特复制来的，对原始数据不做直接分析。 2.保持数据在分析和传递过程中的完整性。专业数据取证计算机，确保分析软硬件环境不会改变分析的数据，数据传递过程中数据没有改变。 3.保持证据的连续性。如果确实需要改变数据，必须保证证据的连续性，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化。 4.取证过程的可认证性。也就是说，整个过程是受到监督的，由鉴定人员所做的所有调查取证工作都应该受到由其他方委派的专家的监督。 5.取证过程和结论的可重现性。由于电子证据的特殊性，任何取证分析的结果或结论可以在另外一名鉴定人员的操作下重现。 编辑本段电子证据的取证技术（一）一般取证技术 一般取证技术是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有： 1.打印。对网络犯罪案件在文字内容上有证明意义的情况下，可以直接将有关内容打印在纸张上的方式进行取证。 2.拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先，鉴定人员应当检验所准备的软盘、活动硬盘或光盘，确认没有病毒感染。 3.拍照、摄像。如果该证据具有视听资料的证据意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。 4.制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定，也是一种固定证据的方式。 5.查封、扣押。对于涉及案件的证据材料、物件，为了防止有关当事人进行损毁、破坏，可以采取查封、扣押的方式，将有关材料置于司法机关保管之下。 6.公证。由于电子证据极易被破坏、一旦被破坏又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。 （二）复杂取证技术 复杂取证是指需要专业鉴定人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取，如被加密或是被人为删改、破坏的情况下，如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括： 1.解密。所需要的证据已经被行为人设置了密码，隐藏在文件中时，就需要对密码进行解译。在找到相应的密码文件后，请鉴定人员选用相应的解除密码口令软件。 2.恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理程序组成，一般是较难篡改的。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。可使用的工具包括效率源Data Compass数据指南针、Flash数据恢复大师、Data Copy King等。 3.测试。电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试。 所有的分析都是在复制的硬盘上进行的，复制以及取证过程的每一步骤，取证系统都会进行 MD5 的校验，如果每次的校验值一致，那么就证明在取证过程中没有修改电子数据。 计算机取证求助编辑百科名片计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。目录简介 什么是计算机取证 计算机取证的方式 计算机取证方法说明 1. 1来源取证 2. 2事实取证 计算机取证目标 计算机取证的基本理念 计算机取证常用工具 计算机取证的原则 如何进行计算机取证 计算机取证的取证步骤 计算机取证的过程 如何分析电子证据 计算机电子证据的证明力 展开 简介 什么是计算机取证 计算机取证的方式 计算机取证方法说明 1. 1来源取证 2. 2事实取证 计算机取证目标 计算机取证的基本理念 计算机取证常用工具 计算机取证的原则 如何进行计算机取证 计算机取证的取证步骤 计算机取证的过程 如何分析电子证据 计算机电子证据的证明力 展开 编辑本段简介计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。 编辑本段什么是计算机取证计算机取证（Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即： 获取、保存 分析 出示 提供的证据必须可信 ; 计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。 编辑本段计算机取证的方式从技术角度看，计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录。多媒体技术的发展，电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。与传统证据一样，电子证据必须是可信、准确、完整、符合法律法规的，是法庭所能够接受的。同时，电子证据与传统证据不同，具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了相应技术设备，电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的，必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。计算机取证要解决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示。 可以用做计算机取证的信息源很多，如系统日志，防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。为了防止被侦查到，具备高科技作案技能犯罪嫌疑人，往往在犯罪活动结束后将自己残留在受害方系统中的“痕迹”擦除掉，如尽量删除或修改日志文件及其他有关记录。但是，一般的删除文件操作，即使在清空了回收站后，如果不是对硬盘进行低级格式化处理或将硬盘空间装满，仍有可能恢复已经删除的文件。 编辑本段计算机取证方法说明计算机调查取证方式在目前的调查取证中新兴的技术模式，其在目前实践环境下得到相关调查机构的不断重视；计算机取证的方法就是计算机取证过程中涉及的具体措施、具体程序、具体方法。计算机取证的方法非常多，而且在计算取证过程中通常又涉及到证据的分析，取证与分析两者很难完全孤立开来，所以对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证。一类是来源取证，一类是事实取证。 1来源取证所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址，则寻找IP地址便是来源取证。这类取证中，主要有IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。 IP地址取证主要是利用在互联网中，每一台联网的计算机，在某一时刻都有唯一的全局IP地址。根据在案发现场找到的IP地址信息，进一步确定犯罪嫌疑人的机器，由犯罪人的机器再寻找案件相关人的方法。 MAC地址取证主要在一些局域网中或动态分配IP地址网络中，由于IP地址使用有一定的自由，如果哪一个IP地址由谁租用并不清楚时，可以根据物理地址与逻辑地址的关系，找到物理地址，而物理地址也是唯一的，且一般情况下，也比较难以更改。所以MAC地址与特定计算机设备中网卡存在一定的对应关系，可以用来确定来源。 电子邮件取证，指的是根据电子邮件头部信息找到发送电子邮件的机器，并根据已锁定的机器找到特定人的取证方法。 软件账号取证，指特定软件如果其某个账号与特定人存在一一对应关系时，可以用来证明案件的来源。 2事实取证事实取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据，例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。 文件内容调查指的是在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。 使用痕迹调查包括windows运行的痕迹（包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查）、上网记录的调查（缓存、历史记录、自动完成记录、浏览器地址栏下拉网址，Cookies，indexdat文件等等）、Office，realplay和mediaplay的播放列表及其它应用软件使用历史记录。 软件功能分析主要针对特定软件和程序的性质和功能进行分析，常见是对恶意代码的分析，确定其破坏性、传染性等特征。此类取证方法通常在破坏计算机信息系统、入侵计算机信息系统、传播计算机病毒行为中经常使用。 软件相似性分析是指比较两软件，找出两者之间是否存在实质性相似的证据。此类取证方法主要在软件知识产权相关案件中使用。 日志文件分析，指通过系统日志、数据库日志、网络日志、应用程序日志等进行分析发现系统是否存在入侵行为或者其它访问行为的证据。 网络状态分析指的是取得特定时刻计算机联网状态。例如网络中哪些机器与本机相连，本机的网络配置、开启了哪些服务、哪些用户登录到本机等信息。 网络数据包分析指的是通过分析网络中传输的数据包发现相关证据的过程。网络数据包分析主要发生在实时取证中，是一种综合的取证方法。有时候网络数据包分析也称呼为“网络侦听”。在对网络犯罪实时侦查或“诱惑性”侦查时，往往采取网络侦听的方法发现犯罪嫌疑人的犯罪活动，掌握犯罪的线索，为抓获犯罪嫌疑人提供支持。 在常用的证据调查方法体系中，计算机取证作为一项新兴的调查取证方式，有着其极高的专业性和技术性，但一旦有所突破，亦能获得较为明显的证据线索，有效的促进案件的证据整理工作，作为专业的证据调查部，我们不断的总结，掌握熟练的计算机取证技术，更好的为客户提供优质的证据服务； 1 编辑本段计算机取证目标计算机取证的目标 ： 使调查的结果能够经受法庭的检查。 编辑本段计算机取证的基本理念应该从一开始就把计算机作为物证对待，在不对原有物证进行任何改动或损坏的前提下获取证据； 证明你所获取的证据和原有的数据是相同的； 在不改动数据的前提下对其进行分析； 务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因。 编辑本段计算机取证常用工具计算机取证常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具 编辑本段计算机取证的原则计算机取证的主要原则有以下几点： 首先，尽早搜集证据，并保证其没有受到任何破坏； 其次，必须保证“证据连续性”（有时也被称为“chain of custody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化； 最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。 编辑本段如何进行计算机取证根据电子证据的特点，在进行计算机取证时，首先要尽早搜集证据，并保证其没有受到任何破坏。在取证时必须保证证据连续性，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。特别重要的是，计算机取证的全部过程必须是受到监督的，即由原告委派的专家进行的所有取证工作，都应该受到由其他方委派的专家的监督。计算机取证的通常步骤如下。 (1)保护目标计算机系统。计算机取证时首先必须冻结目标计算机系统，不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。 (2)确定电子证据。在计算机存储介质容量越来越大的情况下，必须根据系统的破坏程度，在海量数据中区分哪些是电子证据，哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据，确定这些记录的存放位置和存储方式。 (3)收集电子证据。 记录系统的硬件配置和硬件连接情况，以便将计算机系统转移到安全的地方进行分析。 对目标系统磁盘中的所有数据进行镜像备份。备份后可对计算机证据进行处理，如果将来出现对收集的电子证据发生疑问时，可通过镜像备份的数据将目标系统恢复到原始状态。 用取证工具收集的电子证据，对系统的日期和时间进行记录归档，对可能作为证据的数据进行分析。对关键的证据数据用光盘备份，也可直接将电子证据打印成文件证据。 利用程序的自动搜索功能，将可疑为电子证据的文件或数据列表，确认后发送给取证服务器。 对网络防火墙和入侵检测系统的日志数据，由于数据量特别大，可先进行光盘备份，保全原始数据，然后进行犯罪信息挖掘。 各类电子证据汇集时，将相关的文件证据存入取证服务器的特定目录，将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。 (4)保护电子证据 对调查取证的数据镜像备份介质加封条存放在安全