第2章 计算机犯罪现场.pptVIP

第四节 计算机犯罪现场勘查方法 一、现场勘查前的准备 到达现场之前，初步确定所需工具和技术手段。 进行现场取证时至少应有两名懂得计算机技术的侦察人员在场。 必要时可邀请计算机问题的专家参与案件的现场勘查工作，并承担相应必威体育官网网址责任。 准备调查所需的工具。包括可能用到的五金工具、线缆、软件、计算机设备、专用设备等。 对于某些较为敏感的案件，要邀请至少一位了解计算机知识的人，在勘查和取证的过程中做见证人，但切记在勘查过程中，不能参与任何意见！ 第四节 计算机犯罪现场勘查方法 二、勘查工具的准备 软件：操作系统软件及启动盘、专用工具软件（包括数据恢复软件、诊断软件和清除病毒软件、密码识别软件、易失数据提取软件等）； 硬件：查看可移动存储设备的便携式计算机；拷贝数据的外接硬盘或其它移动存储设备、各类线缆、接口转换器、电源、打印机、多口读卡器、专用勘查设备（如硬盘只读锁、克隆机等）； 第四节 计算机犯罪现场勘查方法 其它： 要用无磁性拆卸、维修工具； 贮装证据的防静电袋，其它包装和运输用品； 文档工具，如电缆标签、可粘贴便签、编写证据编号的标签纸、记录本、封条、绘制现场图的文具等； 钉书机、印泥、防静电手套、鞋套等; 拍摄现场的摄像机、照相机等。 第四节 计算机犯罪现场勘查方法 三、勘查方案的制定 1. 向报案人、案件发现人、受害人等有关人员详细询问案情。 做到尽可能多的获取该计算机系统信息，考虑可能遇到的问题、困难及解决办法； 了解系统: 包括系统结构、硬件类型性能指标，软件类型、名称及版本，网络通信设备（如：调制解调器等）的类型等。 第四节 计算机犯罪现场勘查方法 2. 是否有安全系统及注意安全系统的类型，是否能够获得系统文件的密码，如果试图做未经授权的访问，是否有陷阱会摧毁信息。系统的确切位置，可能存放证据的位置范围等； 第四节 计算机犯罪现场勘查方法 3. 对于每一个独特的系统都有其独特的脆弱性和特殊性，在不能保证有适当的技能去进行勘查时，一定要向有专门技能的人员咨询，包括受害人、顾问、证人、计算机信息系统软件和硬件的供货商、计算机安全系统的设计者。 4. 在充分调查研究的基础上根据犯罪行为属于操作类或程序类，制定勘查计划，明确取证目标、勘查方向和勘查设备的使用，统一指挥，明确分工，组织协调。 第四节 计算机犯罪现场勘查方法 四、计算机外部现场勘查 除一般案件现场所需勘查内容外，检查现场各种磁记录物、书面材料、主机工作状态、显示器所显示的内容、系统外部设备的状态等内容，以及系统所固有的各种输出痕迹特征，各种线路（电源线、电话线、数据线、光纤等）接入的详细位置、状态。并做详细记录，必要时用图示记录； 第四节 计算机犯罪现场勘查方法 从全景到局部对整个现场照像。任何对环境的改变应在照像之后进行。 对计算机系统各个侧面及部件拍照要有记录。注意设备序号等可识别特征。注意拍摄各部件的连接情况（线缆两头贴标签，先贴后照）。 不要为照像而移动或拆卸机器。如有些镜头无法拍到，可推后拍摄。 第四节 计算机犯罪现场勘查方法 五、系统和存储介质的勘查 1. 记录计算机系统运行状态、参数、屏幕显示信息，存储介质中的数据以及系统中记录的近期使用过的文件信息要认真提取； 2. 勘查过程中，必须严格遵守计算机设备的操作规程，了解操作的副作用，并把采取的各步骤及遇到的情况记录成文，以便对操作结果作出合理解释； 第四节 计算机犯罪现场勘查方法 3. 一般情况下，不要使用被调查的计算机信息系统的任何硬件或者软件工具。 4. 勘查人员要对所有与案件有关的计算机信息系统的硬件、文件资料、磁盘等做标记，注意搜寻包含用户标识和密码的文件资料。收集上机记录和工作日志，封存程序备份、数据备份和各种打印结果及一切相关证据。 第四节 计算机犯罪现场勘查方法 5. 现场勘查中要清楚，要完整的拷贝所获取的文件，并打印出介质中的文件目录、属性、生成时间、后缀等特征； 6. 在不具备访问涉案计算机信息系统技能的情况下，执行勘查中应聘请可靠专家协助，防止操作中的任何疏忽或者错误造成证据丢失。聘请的计算机专家只参与勘查人员组织的相关工作，并承担必威体育官网网址任务。 7. 对不能停止运行的计算机信息系统，要在短时间内完成现场电子数据的备份工作。 第四节 计算机犯罪现场勘查方法 第五节 易失数据的提取 一、关于勘查重点 １. 对于非法编写、制作、散布、传播某些文档内容的，要针对相应软件进行详细调查。 如word文档、写字板文档、画图软件编辑制作的图片、excel表格、html格式的超文本（网页）等。 2. 对于使用计算机在网上与其他犯罪嫌疑人或非涉案人员勾通联络的，要重点对其： 网页浏览器（IE、TE、TT、NE