第12章计算机犯罪与取证分析.ppt

1、第十二章电脑犯罪和法医学、牙齿章节的主要内容，12.1电脑犯罪，1，电脑犯罪概念一般是指与计算机相关的所有犯罪。协议说：电脑犯罪通常是侵犯电脑资产本身的犯罪。折中说：电脑本身在电脑犯罪中表现为“犯罪工具”或“犯罪对象”的概念，电脑本身关注在犯罪中的作用。从早期外国学者犯罪学的角度提出了电脑犯罪的概念。也有电脑相关犯罪、高科技犯罪、信息犯罪等诸如此类的提法，但没有电脑犯罪这个词那么广泛使用。“电脑犯罪”成为约定俗成的法律术语。(威廉莎士比亚，计算机犯罪，计算机犯罪，计算机犯罪，计算机犯罪，计算机犯罪，计算机犯罪，计算机犯罪)当时网络非常罕见，因此他们提到了独立犯罪。21世纪初，网络成为信息社会中

2、最突出的特征。与此同时，电脑犯罪也发生了巨大的变化，犯罪网络化成为最突出的特征。“网络犯罪”迅速被我国大部分学者接受，成为约定俗成的法律术语。12.1计算机犯罪，2，计算机犯罪的特征(1)时间性。网络犯罪的很大一部分具有跨国地区间的特征，通过电脑、网络等信息设施的强大信息处理和传输功能，犯罪突破了对时间和空间犯罪行为的限制。罪犯在电脑上敲几个按钮，可能会伤害未来某个时间点一千万英里外的目标。12.1电脑犯罪，(2)隐瞒。网络犯罪的对象一般是资讯系统功能或信息资源，通常不会造成有形的物理损害，很难引起人们的警觉。此外，信息网络沟通广泛，处理的信息杨怡很大，处理速度很快，因此，在海洋的信息海洋中发

3、现犯罪的踪迹，就像在大海中捞针一样，困难很大。(3)高智商。电脑犯罪的各种手段中，无论是“特洛伊木马”还是“逻辑炸弹”，都不是以高科技手段实施的，犯罪嫌疑人具有相当丰富的电脑技术知识和熟练的电脑操作技术。12.1电脑犯罪，(4)犯罪的广泛性和严重危害性我国从1986年开始每年至少发生几起或几十起电脑犯罪，到1993年1年为止发生了数百起，近几年利用电脑犯罪的案件每年增加30%。每年发生的直接经济损失近亿元。据日本国家警察厅提供资料显示，2006年日本发生了4425起网络在线犯罪，比去年动机3161起增加了40%，比去年动机前5年增加了3.3倍。这些电脑犯罪中近一半来自欺诈。12.1计算机犯罪，

4、(5)低龄化和内部人员多的我国对某个地方的金融犯罪情况进行了调查，结果显示，犯罪年龄在35岁以下的人占犯罪总数的70%左右。在电脑犯罪中，犯罪主体中的内部人员也占相当大的比例。据相关统计，电脑犯罪的犯罪主体占金融证券业内部人员犯罪的78%。日本电脑游戏行业相对成熟，犯罪分子利用黑客技术潜入游戏公司的电脑内部，经常犯罪。据报道，东京一名14岁男孩潜入游戏公司的电脑，偷了该公司的很多游戏账户。另一名31岁的男子利用伪装安全软件光盘非法获取了一家公司的银杏账户，包括盗马队。12.1电脑犯罪，3，电脑犯罪的犯罪类型示例非法侵入电脑资讯系统犯罪刑法第285条规定，违反国家规定，国有工作，国防建设，高新技

5、术领域电脑资讯系统，3年以下有期徒刑或拘役。12.1电脑犯罪、破坏电脑资讯系统犯罪刑法第286条概括为破坏电脑资讯系统犯罪。主要是：牙齿故意删除、修改、添加、干扰电脑资讯系统功能，这表明电脑资讯系统功能不能正常工作，可能导致严重后果。蓄意处理电脑资讯系统存储、传输的数据、应用程序节目删除、修改、添加操作，并且可能导致严重后果。故意制作和传播计算机病毒等破坏性程序，影响电脑系统的正常运行，可能导致严重后果。12.1计算机犯罪，刑法第287条规定，利用计算机进行金融诈骗、盗窃、贪污、挪用公款、国家秘密犯罪盗窃。利用电脑实施盗窃的行为包括盗窃罪有罪处罚的范围，盗窃罪更是信息时代的特征。例如，在窃取电

6、子资金的情况下，犯罪分子经常利用固定销售系统、现金提款机、自动票据交换所、电子身份证系统等电子资金转帐系统，利用电脑技术修改网络，窃取电子资金账簿。12.1计算机犯罪，4，计算机犯罪的形式(如)意大利香肠技术侵吞存款、余额，少则是一种犯罪手段，是金融系统计算机犯罪的典型类型。牙齿方法类似于偷香肠，每次偷一小块不会引起人们的注意，但累积的数字也相当可观。这种事件在国内外都只有发现、计算机程序修订才能达到犯罪目的，因此直接接触程序的职员经常做。目前，国内多数人为了管理局域网银杏账户，正在制造这种犯罪。12.1电脑犯罪，特洛伊木马“特洛伊木马”源于古希腊传说，据说为了攻陷特洛伊城，在城外故意丢弃特洛

7、伊木马，假装撤退，将特洛伊木马拖到城里，然后在特洛伊木马内埋伏的希腊士兵打开城门，内外合并，攻陷了特洛伊城。(威廉莎士比亚，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊，特洛伊)表面上正常但内部是隐藏秘密指示和非法程序段的程序的代名词。基于远程控制的黑客工具，具有很强的隐蔽性和危险性。12.1电脑犯罪，冒充他人口令，盗用电脑谋取个人私利的方法。由于猎奇心理普遍存在，想解密别人的加密程序，所以用户密码要注意秘密和更新，最好不要使用容易破解的密码，如电话号码、出生日期、人名缩写等。例如，1990年七月，某市建设银行城北分行办公室的储蓄员前某，趁电脑运营者在值班期间

8、不在时，盗用了牙齿电脑运营者的代码，利用电脑偷偷支出了2万韩元存款者存款。12.1电脑犯罪，熊猫烧香湖北省公安厅于二月12日宣布，湖北省网络审计师对“熊猫烧香”病毒制作的传播进行了一举一动调查。这是我国破获的国内第一个制作计算机病毒替代方案。2006年末，“熊猫烧香”病毒及其变种在我国互联网上大规模爆发，以多种方式传播和感染的所有节目文件都换成熊猫，手里拿着三种茄子香，牙齿病毒也有窃取用户游戏账户、QQ账户等的功能。李俊解释说，2006年十月16日，通过“熊猫烧香”病毒的编制，在网络上广泛传播，以自己销售、别人代售的方式向网络内的120多人进行病毒销售，非法赚取了10多万韩元利润。目前，李准等

9、8名犯罪嫌疑人被刑事拘留。12.1电脑犯罪，逻辑炸弹是指在特定时间点或特定条件下插入到充当破坏的用户程序中的异常命令代码，因此被称为逻辑炸弹或定时炸弹。逻辑炸弹没有“传染性”牙齿。比较典型的逻辑炸弹的一个例子是1996年上海市胜达实业公司呼叫台主电脑系统受损的事件。牙齿公司工程师张某因对工作的不满而产生报复心理，离职时在电脑系统中安装了逻辑炸弹。牙齿破坏性程序是在当年六月二十九日牙齿特定时间激活的，导致系统瘫痪，硬盘分区表丢失了破坏、系统管理可执行文件和用户配置文件数据，造成了无法估量的损失。，12.1电脑犯罪，12.2.1电脑取证概述1，电脑取证定义电脑取证是指法庭可接受的、充分可靠且有说服

10、力的电脑和相关外围设备上存在的电子证据的确认、保护、提取和归档过程。12.2电脑取证，2，电脑证据电脑证据是电脑或电脑系统运行时生成的，是指记录事件事实的传记、磁、光等各种记录物中存储的数据信息。电脑证据出现在法庭上，在我国几乎只有10年左右。我国有关电脑法医学的研究和实践还处于初期阶段，只有部分法律法规涉及部分电脑证据，如有关科技争端案件审理的几个茄子问题的规定、电脑软件保护条例等。12.2电脑法医学，电脑屏幕上电脑证据的表现多种多样。特别是多媒体技术的出现综合了文本、图形、图像、动画、音频和视频等多种形式。在作为证据的共同要求中，电脑证据和传统证据一样准确完整，必须符合法律规定，才能被法庭

11、接受。由于电脑证据的特殊性，收集、保护、分析和展示的方法成为司法和计算机科学领域的新研究课题。12.2电脑法医学，3，电脑证据与传统证据的区别电脑证据与传统证据的最大区别是脆弱性、破坏可能性、隐蔽和郑智薰直观。不依靠一定的环境，牙齿证据似乎是看不见的，摸不到的。传统的证据(如文件)可以直接观察到，然后不能轻易改变，或者改变后会留下一定的痕迹。12.2电脑法医学，电脑法医收集、保存、分析并提出电脑犯罪的证据，实际上是扫描电脑系统并重建入侵事件的过程。法医学家应该努力保存尽可能多的犯罪信息。犯罪证据可以存在于多种位置，包括系统日志、数据档案、存储、交换区、隐藏档案、可用磁盘空间、打印机缓存、网络数

12、据区和柜台、用户进程存储库、堆栈、档案缓冲区、文件系统本身。12.2电脑取证，1，电脑取证的三个阶段获取阶段：获取阶段存储电脑系统的状态，以供将来分析。在分析阶段：获取分析阶段获得的数据，然后分析该数据以确定证据类型。提交结果：打印对目标电脑系统的综合分析结果，然后分析结论。12.2电脑法医学，2，电脑取证的一般阶段保护目标电脑系统。避免更改、伤害、数据破坏或病毒感染。搜索目标系统上的所有文件。包含现有的常规档案、已删除但仍保留在磁盘上的档案(即未用新文件复盖的档案)、隐藏档案、密码保护的档案和加密文件。恢复发现的已删除文件。显示操作系统或应用程序使用的隐藏档案、临时档案和更换档案的内容。12

13、.2访问电脑法医学、受保护或加密文件的内容。发现分析磁盘的特殊区域中的宝贵数据。打印目标电脑系统的综合分析结果和所有有用档案和挖掘的档案数据的列表。提供必要的专家证明和法庭的证词。12.2电脑取证，3，电脑取证分类1)静态取证静态取证实质上是在很多未知的不确定性中寻找确定性。使原始数据表成为可以通过数据恢复、不完整的数据提取、解码、密码分析、过滤等技术理解的抽象数据。静态法医学在过去几年的实际工作中发挥了非常重要的作用。例如，被称为中外“马加爵事件”，静态法医在这些事件的调查和鉴定工作中发挥了决定性作用。，12.2电脑取证，静态取证例如：2004年三月15日，因室友杀人引起的公安部A级通缉犯马

14、可作被海南省三亚市逮捕。电脑取证技术在这次成功的逮捕中发挥了非常重要的作用。公安技术侦察员通过电脑取证技术将搜查范围锁定在三亚市内。发现检查结果显示，宿舍马可作中使用的旧电脑硬盘经过格式化三次，技术人员通过专业软件恢复了硬盘数据。通过硬盘上存档的大量信息过滤，发现在出埃及前三天基本上收集了有关海南省的信息，尤其是三亚市的旅行、交通和房地产相关信息。正是这样的线索，警察把警力重点放在三亚市防御上，最终获得了逮捕的成功。12.2电脑取证，2)动态取证，即动态取证技术，即网络取证技术的概念深深地印在一线公安干警的脑海中。特别是公安部对“网络赌博”和“网络色情”进行管制后，纯粹的静态取证技术对网络实时

15、犯罪深感无助，12.2电脑取证，电脑取证预备流程，12.2.2电脑取证技术1，技术热点问题：数据收集技术资料分析技术数据恢复技术取证和证据分析工具的开发经常是人工智能， 1)数据收集技术电脑系统和文件的安全收集技术数据和软件安全收集技术磁盘或其他存储介质的安全无损备份技术恢复和重建已删除文件的技术挖掘磁盘空间、未分配空间和自由空间内包含的信息的技术交换档案、缓存档案、临时文件中包含的信息的还原技术在特定时间点计算机活动内存中的数据收集技术网络流数据收集技术等，12.2电脑法医学，2)数据分析技术是已获取的数据流或信息流中的关键字文件属性分析技术文件数字摘要分析技术日志分析技术根据已经获得的档案

16、或数据的单词、语法和写(编程)样式，推断可能作者的分析技术。同一事件的徐璐发掘不同证据之间联系的分析技术。数据密码分析技术密码分析技术电子介质中受保护信息的强制访问技术等。12.2电脑法医学，3)数据恢复技术，删除档案时恢复档案损坏时恢复硬盘加密或转换时恢复档案加密后密码分析文件系统方法的用户密码不足；格式化后硬盘数据恢复，12.2电脑取证，1)电脑取证技术仍然存在很大的局限性。电脑取证理论和软件等是近年来在计算机安全领域取得的重大成果。但是在实际法医学过程中。我们发现，当前的电脑法医学技术仍然有很大的局限性。例如：有关犯罪的电子证据必须不能复盖，证物必须能找到牙齿数据，并能知道它所代表的内容

17、等。但是，从当前软件实现的角度来看，许多法医学分析软件删除的所有文件都无法恢复。正是因为技术局限性。让一些罪犯认为可以有机可乘。所以随着法医学技术的迅速发展。反法医这一技术也悄然出现。2，反取证技术简介，12.2电脑取证，2)反取证技术分类，反取证技术是删除或隐藏证据，使取证调查无效。反证技术主要分为数据删除、数据隐藏和数据加密三类茄子。牙齿技术也可以一起使用，使取证工作变得困难。数据擦除是最有效的反证方法。它消除了所有的证据。由于远视数据不存在，无法进行自然验证。但是，通常，删除文件后，即使在清空回收站后硬盘低级格式化或硬盘空间未满的情况下，也可以恢复“删除”的文件。要完全清除硬盘上的档案、日志记录等，必须使用专用数据擦除工具。12.2电脑法医学，数据隐藏仅在证明者不知道在哪里找到证据的情况下有效。为了避免法医学，罪犯将暂时不能删除的文件伪装为其他类型的文件，或将其隐藏在图形或音乐文件中。更改文件扩展名是最简单的数据隐藏方法之一。