课件一计算机犯罪侦查概述

计算机犯罪侦查概述内容安排一、计算机犯罪的定义和发展二、计算机犯罪的特点和规律三、计算机犯罪的侦查和取证四、计算机犯罪的鉴定和审判五、计算机犯罪的研究和对策一、计算机犯罪的定义和发展计算机犯罪的起源：经济利益军事利益政治利益计算机犯罪的“第一”：世界上第一起有案可查的计算机犯罪1958年发生在美国。美国一家银行的计算机顾问在参观银行的线路转送室时窃得电子资金转送系统的密码。中国第一例计算机犯罪（利用计算机贪污）发生于1986年。1986年，中国第一起“黑客”案。1998年8月21日，自新《刑法》实施以来第一起以“破坏计算机信息系统”罪名实施侦察批捕的刑事犯罪案件。一、计算机犯罪的定义和发展计算机犯罪的定义：美国司法部的定义是：“在导致成功起诉的非法行为中，计算机技术和知识起了基本作用的非法行为。欧洲合作与发展组织对计算机及网络犯罪的定义是：“在自动数据处理过程中，任何非法的、违反职业道德的、未经批准的行为都是计算机犯罪行为”。中国：《中华人民共和国刑法》的第285条、286条、287条。一、计算机犯罪的定义和发展计算机犯罪的广义定义：计算机犯罪是通过非法（未经授权使用）或合法（计算机使用权人）利用计算机和网络系统，采取具有计算机运行特点的手段，侵害了计算机和网络系统的安全运行状态，或者违反计算机或网络安全管理规定，给计算机或网络安全造成重大损失等给社会带来了严重的社会危害，违反了刑事法律，依法应受刑事处罚的行为。利用计算机及网络信息系统进行的犯罪；针对计算机及网络信息系统进行的犯罪；将计算机及网络信息系统作为犯罪场所。一、计算机犯罪的定义和发展计算机犯罪的形式：受网络影响的传统犯罪借助于网络进行的传统犯罪传统犯罪与网络结合而产生的新型犯罪纯粹由网络产生的新型犯罪一、计算机犯罪的定义和发展计算机犯罪的发展：案件数量的发展；手段样式的发展；危害程度的发展；对抗强度的发展；涉案广度的发展。一、计算机犯罪的定义和发展计算机犯罪的发展趋势：危害国家安全的案件持续上升，危害性大。侵犯公私财物的案件呈多发趋势。危害计算机信息网络安全的案件增幅较大。侵犯公民人身权利和民主权利的案件增多。利用计算机制作、复制、传播色情、淫秽物品的案件十分突出。青少年网络犯罪增多。二、计算机犯罪的特点和规律计算机犯罪的特点：计算机犯罪呈组织化、国际化计算机犯罪由单极向多极发展计算机犯罪的犯罪嫌疑人呈低龄化新的计算机犯罪类型不断出现计算机犯罪行为隐蔽性强，侦查取证难二、计算机犯罪的特点和规律计算机犯罪领域不断拓宽：军事领域的计算机犯罪将增加国家事务领域的计算机犯罪不可小视经济领域的计算机犯罪将愈演愈烈公共信息服务业将成为计算机犯罪的重灾区通信领域的计算机诈骗和破坏活动日趋增加网上泄密、窃密将成为涉密犯罪的主要形式针对计算机信息系统的计算机犯罪将逐渐增加利用计算机及网络制作、传播黄色淫秽物品将成为黄毒犯罪的主要形式二、计算机犯罪的特点和规律计算机犯罪的规律：利用&涉及计算机的犯罪；利用&涉及互联网的犯罪；利用&涉及与计算机或互联网技术相关的设施设备的犯罪。三、计算机犯罪的侦查和取证计算机犯罪的侦查：（公安业务）计算机犯罪的取证：现场勘查；证据固定；检验鉴定；报告出据。取证取的含义取-指信息数据的获取.内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库各种存储介质的获取与复制网络信息取证系统;网络远程取证系统;XX信息特殊获取技术;XX侦察工具;网络5％特殊获取1％动态9%静态85%证的含义证-从拿到的信息数据中找出有用的信息与情报。并使用相关证据分析系统深度挖掘和剖析。QQ关联分析；后期分析系统-AN6的使用；关联各种密码破解软件、数据恢复等软件的使用；解密勘察箱软件包证据分析软件-ENCASE/FTK分析静态获取各种存储介质的获取与复制静态网络通讯内容的获取与分析;通过网络远程获取对象数据;内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库动态网络U盘信息特殊获取技术;手机侦察工具;特殊获取硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备目前各种常见的硬盘类型IDE接口的硬盘SATA接口硬盘SCSI接口硬盘IDE3.5”硬盘-用于台式机;IDE2.5”硬盘-用于笔记本;东芝1.8”硬盘-用于笔记本

SATA3.5”硬盘-用于台式机;SATA2.5”硬盘-用于笔记本;SCSI68针-用于服务器SCSI80针-用于服务器复制IDE/SATA硬盘最快的复制机最高复制速度IDE6G/分钟；实测目前硬盘4.3G/分钟；支持SATA/IDE硬盘位对位进行复制；独创的单键式操作,使用方便；超强的容错能力，适合针对有缺陷硬盘的证据复制；提供DDImage复制方式；提供MD5验证；支持IDESATA硬盘。DC-8101(公安部立项)只需要复制IDE/SATA，希望提供DD-Image方式。

使用什么样的复制设备？工作中遇到的问题：

经常遇到SCSI硬盘要复制；

在现场工作时担心停电对复制工作的影响；

最高克隆速度IDE3.3G/分钟，SCSI1.1G/分钟具有100%的复制（位对位）功能；为了降低现场工作时间提供快速复制功能。提供电源后备功能,提高可靠性,适合特殊工作；独创的单键式操作,使用十分方便；超强的容错能力,克服了国外克隆的弱点。DC8200所有硬盘都能够复制的复制机开机后系统会自动置于COPY模式

而且不再有任何确认提示按下“START”按钮１次，开始克隆……适合进现场的要求．适合特殊工作，不容易出错操作方便,支持所有类型硬盘DC8200/CD200支持所有类型硬盘的复制(配合转换器)后备电池功能-特殊工作专用后备电池将提供两小时的连续工作时间在无外接电源的情况下,提供连续复制4个80G硬盘,2个160G硬盘;取消取证时对电源环境的依赖,提高复制系统工作可靠性取证时,可以暂时离开现场,在移动中不间断复制工作国外常见复制产品LogicubeMD5ICSSOLO-III以上复制方案的特点需要拆卸出硬盘进行复制工作．不适合复制难拆卸的笔记本和现场时间紧迫的环境！静态获取各种存储介质的获取与复制静态网络通讯内容的获取与分析;通过网络远程获取对象数据;U盘信息特殊获取技术;手机侦察工具;特殊获取硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备

提供火线400/800/USB2.0接口支持不卸硬盘，对硬盘快速复制提供DD镜像功能，镜像文件可以直接由ENCASE、FTK进行分析；适合案件勘察。支持不卸硬盘,对硬盘特定目录/特定文件复制。适合案件侦察。不卸硬盘进行复制的复制机现场特定数据获取设备DC-8500/CD-500DC-8500/CD-500USB1.1/2.0启动光盘对方计算机火线Ａ，Ｂ复制速度：平均1-1.8G/分钟；可以通过笔记本的端口连接火线B的端口，数据复制速度最高可以达到2Ｇ/分钟;CD-500组成部分1394A,BUSB连接线1394通讯卡系统启动光盘电源试配器CD-500复制设备兼容性DC-8500/CD-500提供的接口:FireWire800(1394B)FireWire400(1394A)USB2.0/1.1DC-8500/CD-500支持的系统:Windows95Windows98WindowsmeWindows2000WindowsNTWindowsXPWindowsServer2003DC-8600多功能取证分析系统系统组成DC-8600复制设备DC-8600启动光盘在线取证离线取证系统特点不拆机复制硬盘支持磁盘阵列获取易丢失数据提取取证流程监管功能DC-8600在线取证系统个人关键信息提取离线取证不拆机复制硬盘支持磁盘阵列获取提供硬盘完全复制功能；提供DD-Image方式；提供MD5、SHA1验证功能；提供特定文件复制功能-（磁盘阵列）DC-8600启动菜单硬盘复制功能复制功能擦除功能散列计算功能专门复制MAC苹果系统的复制机苹果笔记本计算机如何复制？计算机以及MAC操作系统结构与普通运行windows系统的PC机完全不同，因此DC8600/8500无法工作。MAC-500苹果机调查取证系统MAC-500苹果机调查取证系统提供硬盘位对位完全复制功能；复制速度快，实际工作速度已经超过4.3G/分钟；兼容性好，支持G3、G4、G5等类型的各种计算机；提供MD5验证功能，与数据单向复制功能，符合电子取证规范；支持多种接口1394B，1394A，USB2.0/1.1；提供对目标计算机具备多个硬盘的分次复制功能；系统操作简单，提供了免交互式的盲操作方法；体积小便于携带；世界上最小的硬盘复制机便于携带,可以藏在口袋中；不仅支持硬盘对硬盘的复制，同时也支持不拆机复制硬盘。微型多功能硬盘复制机CD-150以上设备体积偏大，特殊场合无法带进去，是否可以有一种设备综合以上两种复制功能？微型多功能硬盘复制机CD-150硬盘对硬盘复制速度可以达到2.5G/分钟；不拆机复制功能，支持特定数据复制与DDImage复制方式；提供USB2.0/1394A两种接口，调查人员可以直接连接复制硬盘进行分析。静态获取各种存储介质的获取与复制静态硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备光盘复制设备DC-8300用于快速复制对象的介质用于后期分析；复制速度：CDROM1-5分钟DVD5-8分钟适用於多种光盘格式；操作简单支持一键复制功能；问题：现场有多种格式的光盘，比如MAC格式的光盘是否有简单有效的方式将其都复制下来？各种存储卡的复制-只读读卡器

12合一多功能只读读卡器只读读卡器+计算机+ENCASE禁止使用数码伴侣之类的产品进行复制或直接在存储卡上进行各种分析工作;问题：工作中经常遇到各种存储卡，如何在保证司法有效性的情况下完全复制？静态获取各种存储介质的获取与复制静态硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备手机/PDA数据获取套件SIM卡信息提取:能够有效的取出SIM卡中存放的号码记录信息,并可以找出被删除的号码;获取TDMA/CDMA手机中存放的加密手机簿信息;提取各种GSM手机中存放的各种信息;手机簿,短消息,WAP文件….问题：如何固定与提取手机中的各种数据？支持设备类型Nokia(GSMandTDMA)LG(CDMA,GSM)Sony-EricssonMotorolaSiemensSamsung(CDMA,GSM)Symbian

GSMSIMCards1.Palmthrough5.4

2.WindowsCE/Pocket3.PC/Mobile5.04.BlackBerry4.x5.Symbian6.0

6.EPOC16/32手机PDA包含硬件与分析软件两个部分。手机/PDA数据获取套件静态获取各种存储介质的获取与复制静态硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备新型现场取证专用计算机“网探”电子数据取证专用机DC-8000pro问题：在现场有各种各样的综合情况，例如各种类型的硬盘与存储介质。是否可以快速预览各种电子证据？技术优势提供全功能的只读专用取证接口;IDE/SATA/SCSI只读;USB/存储卡只读;可以有效的防止他国人员反取证手段的实施;可以有效保护存储介质的完整性,对方无法察觉只读锁的作用-配合笔记本在现场使用的最佳方案保证司法有效性；不留痕迹；SCSI硬盘只读保护锁IDE硬盘只读保护锁12合一多功能只读读卡器电子数据现场取证设备CyberBlockSATA/SCSI只读锁功能：可以通过1394B/A或者通过USB2.0/1.0连接分析计算机；可以根据用户的需要设置为只读保护或者允许读写SCSI硬盘只读锁SATA硬盘只读锁USB2.0/1.11394B1394B1394A证据硬盘接口硬盘电源接口硬盘只读锁CyberBlock-USBCyberBlockUSB设备是基于硬件的写保护设备，用于各种USB存储设备的取证调查工作。该设备提供USB2.0与FireWire400两种接口连接到分析计算机上。并兼容目前各种取证专用软件，以及各种工具软件。

LCD液晶屏用于显示设备的厂家、模式、串号、以及各种其他关于该USB存储设备的详细技术信息。取证专用多用途电源DC-1000DC-1000可以方便的为各种计算机取证设备提供更为有效的直流电源供应。该设备可以起到UPS的作用，从而可以在现场使用各种硬盘取证设备而不用担心现场是否有电。适合各种硬盘复制设备,例如:SF5000、MD5、SOLO2、DC-8500、DC-8600、CD-150等复制机使用。DC-8750多功能只读设备含有USB2.0、火线800、火线400三种即插即用的传输方式有可移动的硬盘盒，方便硬盘的随时更换,不易出错。有直观的屏幕显示，可以观看设备使用情况和使用状态（只读/读写）针对各种硬盘设计的只读/读写双功能设备问题：分析场所固定，是否有更加简单易用不容易出错的只读设备，配合各种分析计算机工作？台式DC-8750的应用方式各种类型硬盘SCSI/IDE/2.5/2/1.83U嵌入模块式DC-87503U模块取证实验室用新型设备FL-150系列取证实验室用新型设备FL-200pro系列动态取证各种存储介质的获取与复制静态网络通讯内容的获取与分析;通过网络远程获取对象数据;网络内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库动态U盘信息特殊获取技术;手机侦察工具;特殊获取动态取证三种方式在线动态取证DC-8600使用ATT2000完全仿真计算机处于开机状态拿到对方计算机拿到对方硬盘使用ATT3000虚拟仿真仿真取证调查场景在线动态取证DC-8600在线动态取证DC-8600动态取证步骤内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库动态个人关键信息提取IE自动提交的用户名/密码？邮箱用户名/密码？各种通信软件用户名/密码？Windows口令破解启动对方计算机如何在分钟级实现快速破解如何保证证据有效性;取证内容可重复再现ATT-2000动态仿真取证系统

完全仿真破解Windows口令U-747DC-8900硬盘仿真器;

通过光盘启动对方计算机；可以在分钟级破解Windows口令第一步：密码破解WINDOWS口令高速破解特性该高速破解系统，实现了对Windows口令的高速、可靠破解。其特点是：高速Windows口令平均破解时间2-5分钟,极限破解时间不超过25分钟可靠Windows口令破解成功率高达99.99%基于时间换空间的密码破解方法。是一种有效的高速破解方法破解效率用户Windows口令由26英文字母（包括大小写）、10位数字和35位特殊字符组成破解时间:2’15”破解时间:21’58”ATT-2000破解vs穷举破解口令由26英文字母（包括大小写）和10位数字组成、35位特殊字符，每一位的可能性为26+26+10+35=97密文空间计算公式为：97n+97n-1+97n-2+

…+

972+

971(其中n为口令位数)硬件条件为：以奔腾四Intel3.0CPU，512M内存假设以13000000次/秒（一千三百万）进行SHA-1或DESHASH峰值计算口令位数密文空间所需时间ATT-2000所需时间678245778969616.7（小时）30分钟以内7807982844781131726.5（小时）…………….1465283627746060761447760407693.8E14年个人关键信息的提取与完全仿真DC-8900（内置硬盘）对象硬盘对象计算机用于仿真重建计算机运行环境-方便举证可立即查看证据，直观地调查；放置在嫌疑硬盘和主机之间的高速缓存，可直接启动原计算机,实施任何操作,不修改原计算机存储介质的内容。－保证司法有效性读读写写IE访问记录的信息提取嫌疑人工作界面的完全操作最近打开文件的记录提取由于是完全仿真所以可实现冒用对方网络身份易丢失数据提取取证流程监管功能个人关键信息提取对方计算机处于开机状态，如何提取网络通讯状态、内存、进程状态等数据？IE自动提交的用户名/密码？邮箱用户名/密码？各种通信软件用户名/密码？如何保证司法有效性？在线调查取证在线取证离线取证对方处于开机状态的取证系统不拆机复制硬盘支持磁盘阵列获取易丢失数据提取取证流程监管功能DC-8600在线取证系统个人关键信息提取DC-8600的动态取证部分易丢失数据提取取证流程监管功能个人关键信息提取硬盘复制（动态）特定文件复制（动态）硬盘复制（静态）DC-8600的动态取证部分易丢失数据提取一、提取易丢失数据目标计算机的系统信息；目标计算机当前运行的程序;目标计算机当前的内存一、提取易丢失数据目标计算机的系统信息；计算机的系统信息包括：当前用户信息TCP/UDP端口信息网络连接状态（IP、MAC等信息）其它系统信息；DC-8600的动态取证部分易丢失数据提取DC-8600的动态取证部分个人关键信息提取WINDOWS系统帐户文件的获取EFS文件明文IE自动完成的各种个人登陆信息FTP登录过的用户名/口令Web登录站点的用户名/口令MSN、Yahoo即时聊天系统帐户口令Outlook、Foxmail等邮件系统帐户口令DC-8600的动态取证部分个人关键信息提取DC-8600的动态取证部分快速搜索指定文件、自动提取特定文件、提取特定文件的相关信息（时间、路径等）；快速搜索所有被加密的OFFICE文件、RAR、ZIP等文件；硬盘复制（动态）特定文件复制（动态）在对方开机的情况下将硬盘内容完整备份一份DC-8600的动态取证部分特定数据复制硬盘复制（在线）加密文件复制DC-8600的动态取证部分忠实记录所有操作过程与所有动作.与提取的证据数据一同形成有效的证据保存于目标盘。取证流程监管动态取证三种方式在线动态取证DC-8600使用ATT2000完全仿真计算机处于开机状态拿到对方计算机拿到对方硬盘使用ATT3000虚拟仿真仿真取证调查场景在线动态取证DC-8600在线动态取证DC-8600系统设计目标各种文件文件碎片EFS加密数据个人敏感信息个人私钥证书系统工作环境仿真取证静态取证系统硬件环境各种系统服务硬件环境的模拟运行各种系统服务的启动Windows口令破解与EFS明文获取各种曾经在该计算机中出现过的文件,网页历史,各种加密文件个人密钥明文证书私钥明文个人桌面信息的完全掌握加密文件的明文依赖系统服务与硬件驱动的应用程序取证ATT-3000支持以下方式的仿真目标物理硬盘;目标硬盘镜像文件（DDimage格式）;目标系统快照；支持Windows95/98/2000/XP/2003/vista操作系统的仿真；语言包括：简体中文版、英文版、繁体中文版、韩文版、日文版、多国语言版等；Windows系统版本包括Server、Professional、HomeEdition等；系统功能:硬盘镜像数据硬盘完整复制通过SU27,U757获取的系统快照系统快照文件证据文件*.E01…..个人桌面信息主机历史纪录网络历史纪录个人敏感信息EFS、注册表个人邮件纪录……完全仿真并启动所有服务仿真并提供对方所有个人信息所有服务；例如：SQLSERVERIIS……所有设备驱动；完全仿真对方计算机仿真系统网络取证各种存储介质的获取与复制静态网络通讯内容的获取与分析;通过网络远程获取对象数据;网络内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库动态U盘信息密取技术;手机侦察工具;密取如果对方防范意识很强，无法拿到硬盘？？1.如果对方固定于某范围进行网络活动,如何获取其相关网络信息?

网络信息取证系统-网络实时信息的拦截;2.如果对方活动地点不不固定或