❶ 通常進行計算機系統犯罪取證的方法有哪幾種
一、計算機犯罪的定義
我國公安部定義:計算機犯罪是以計算機為工具或以計算機資源位對象實施的犯罪行為。《中華人民共和國刑法》規定了四個罪名:一是非法入侵計算機信息系統罪;二是破壞計算機信息系統功能罪;三是破壞計算機信息系統數據、應用程序罪,四是製作、傳播計算機病毒等破壞性程序罪。具體為《刑法》第285條和第286條。以上是典型性計算機犯罪,另外還有非典型計算機犯罪,即利用計算機進行的其他犯罪或准計算機犯罪,就是指既可以用信息科學技術實施也可以用其他方法實施的犯罪,在《刑法》第287條中舉例並規定的利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪。
二、計算機犯罪的主要手段
計算機的犯罪手段隨著計算機技術的發展不斷推陳出新,技術含量越來越高,案件的偵破難度越來越大,計算機犯罪常用的手段如下:
1.義大利香腸術
這種計算機犯罪是採用不易被察覺的方法,使對方自動做出一連串的細小讓步,最後達到犯罪的目的,這是典型的金融系統計算機犯罪。
2.盜竊身份
盜竊身份主要是指通過某種方法竊取用戶身份,享用用戶身份的許可權,從而可以以授權用戶的身份進入計算機操作系統,進行各種破話操作。破解用戶密碼是盜用用戶身份的最常用方法。
3.活動天窗
所謂活動天窗就是指程序設計者為了對軟體進行調試和維護,在設計程序時設置在計算機軟體中的「後門」程序,通過「後門」黑客可以繞過程序提供的正常安全性檢查而進入計算機軟體系統,並且可能法制木馬程序,達到其入侵的目的。
4.計算機病毒
計算機病毒的破壞能力是絕對不可小覷的,輕則導致應用程序無法正常使用,丟失尚未保存的臨時數據,嚴重的可能導致系統癱瘓,並且丟失所有數據,甚至可以損壞計算機硬體。
5.數據欺騙
數據欺騙是指非法篡改計算機輸入、處理和輸出過程中的數據或者輸入虛假數據,以這樣的方法實現犯罪目的,這是一種相對簡單的計算機犯罪手段。
三、計算機取證的定義和步驟
關於計算機取證的定義還沒有權威組織給出確切的定義。著名的計算機專家Judd Robbins對計算機取證的定義是:「計算機取證不過是將計算機調查和分析技術應用於潛在的、有法律效力的證據的確定與獲取」。計算機取證實際上就是對計算機犯罪的證據進行獲取、保存、分析和出示的法律規范和科學技術,即對計算機證據的保護、提取和歸檔的過程。
在司法鑒定的實施過程中的計算機取證的基本步驟如下:
1.案件受理
案件受理是調查機關了解案情、發現證據的重要途徑,是調查活動的起點,是依法開展工作的前提和基礎。受理案件時,要記錄案情,全面的了解潛在的與案件事實相關的電子證據。
2.保護現場
首先要凍案件現場的計算機系統,保護目標計算機,及時地維持計算網路環境的狀態,保護數碼設備和計算機設備等作案工具中的線索痕跡,在操作過程中必須避免發生任何更改系統設置、硬體損壞、數據破壞或病毒感染的情況發生,避免電子證據遭到破壞或丟失。
3.收集證據
主要收集以下數據信息:計算機審核記錄(包括使用者賬號、IP地址、使用和起止時間等)、客戶登錄資料(包括申請賬號時填寫的姓名、電話、地址等基本資料)、犯罪事實資料(證明該犯罪事實存在的數據資料,包括文本文件、屏幕截屏、原始程序等)。
4.固定證據
固定證據可以保證電子證據的完整性和客觀性。首先對電子證據的存儲要選用適當的存儲介質,並且要進行原始的鏡像備份。因為電子證據的實質是電磁信號,如果消磁便無法挽回,所以電子證據在運輸和保管的過程中不應靠近磁性物質,不可放置在有無線電接收設備的汽車內,不能放置在高溫或低溫的環境中,要放置在防潮、乾燥的地方,非相關人員不得操作存放電子證據的設備。
5.分析證據
在進行數據分析之前要將數據資料備份以保證數據的完整性,要對硬碟、U盤、PDA內存、存儲卡等存儲介質進行鏡像備份,必要時還要重新製作數據備份材料,分析電子證據時應該對備份資料進行非破壞性分析,使用數據恢復的方法將刪除、修改、隱藏的電子證據盡可能的進行恢復,然後再在恢復的資料中分析查找證據。
6.證據歸檔
應當把電子證據的鑒定結果進行分類歸檔保存,以供法庭訴訟時使用,主要包括對電子證據的檢查內容:涉及計算機犯罪的時間、硬碟的分區情況、操作系統和版本;取證時,數據信息和操作系統的完整性、計算機病毒評估情況、文件屬性、電子證據的分析結果和評估報告等信息。
四、計算機取證的主要技術
如今犯罪分子所採用的技術手段越來越多樣,相對的計算機取證技術也在不斷的提升,也加入了很多的先進技術。
1.主機取證技術
研究計算機犯罪發生後主機取證的有關技術,如計算機硬碟高速拷貝技術,就是主要研究讀寫硬碟數據的相關協議、高速介面技術、數據容錯技術、CRC-32簽名校驗技術等。文檔碎片分析技術主要是研究根據已經獲得的數據編寫風格推斷出作者的分析技術、根據文件的碎片推斷出其格式的技術。數據恢復技術主要研究把遭到破壞的數據或由於硬體原因丟失的數據或因誤操作丟失的數據還原成正常數據。
2.網路數據取證技術
主要是研究對網路信息數據流進行實時捕獲,通過數據挖掘技術把隱藏在網路數據中的有用數據分析並剝離出來,從而有效定位攻擊源。因為網路傳輸的數據包能被共享信道的所有主機接收,因此可以捕捉到整個區域網內的數據包,一般從鏈路層捕獲數據,按照TCP/IP的結構進行分析數據。無線網路的數據分析和一般乙太網一樣,逐層進行剝離。另外網路追蹤技術是指發現攻擊者後如何對其進行定位,研究快速定位和跟蹤技術。
3.主動取證技術
主動取證技術是當前取證技術研究的重點內容,如入侵取證系統可以對所監聽網段的數據進行高效、完整的記錄,記錄被取證主機的系統日誌,防止篡改,保證數據的原始性和不可更改性,達到對網路上發生的事件完全記錄。入侵取證系統在網路中是透明的,它就像攝像機一樣完整記錄並提供有效的網路信息證據。
隨著計算機及網路的不斷發展,我們的工作生活都逐步趨向網路化、無紙化、數字化,在享受這些便利的同時,滋生了越來越多的計算機犯罪。計算機犯罪在我國已呈現逐年上升的勢頭,並且智力難度越來越大,令人欣慰的是國家法律法規正在逐步完善,計算機犯罪取證技術不斷提高,從一定程度上遏制了計算機犯罪的發展。