电子数据取证.ppt

电子数据取证 一、电子数据取证概述 （一）电子数据取证的概念 电子数据取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。取证对象包括硬盘、软盘、CD\DVD、PDA、手机、存储卡等各种电子数据的存储介质。 （二）电子数据的特点 电子数据的出现，是对传统证据规则的一个挑战。它具有与传统证据有别的一些特点： 计算机数据无时无刻不在改变。 计算机数据不是肉眼直接可见的，必须借助适当的工具。 搜集计算机数据的过程，可能会对原始数据造成严重的修改。 电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。 （三）电子数据取证的基本流程 总体上可分为两个阶段：现场勘查阶段和证据分析阶段 现场勘查阶段：主要任务是获取可能的物理证据，如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。 证据分析阶段：是对获取的存储设备进行深入检查，发现可能的电子证据并生成报告，以便提交给法庭作为诉讼证据。 电子数据取证的基本流程具体可分为七个步骤 1、取证准备 取证人员在前往现场进行勘查取证之前，必须做好充分的准备工作。包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的对象可能包括哪些等。根据所了解的案情，准备前往现场的勘查人员和勘查设备。 电子数据取证的基本流程 2、证据识别 识别现场可能包含证据的设备，如嫌疑人的计算机、打印机、存储介质（软盘、光盘、移动硬盘、U盘、CF卡）、其它电子设备（如PDA、手机、数码相机）。需要注意的是，现在存储介质的形状样式越来越多样化，如U盘，可以做成各种样式，应该注意识别这些被“隐藏”起来的证据。 3、证据收集 收集现场发现的证物并做好记录。 电子数据取证的基本流程 4、证据固定及获取 证据固定的目的，是要保护原始证据不被破坏。如当现场的计算机处于开机状态时，内存信息、屏幕信息、进程信息等关机后就会丢失的易丢失证据，需要将其提取出来进行保存，然后再关机。对于硬盘数据等非易失性数据，也须用硬盘复制机复制下来以便后续分析，从而避免硬盘硬件出现故障或硬盘中的数据被篡改。 电子数据取证的基本流程 5、证据保存 证据保存是将获取的物证进行封装，以便存储和运输。电子证物的封装除了要考虑通常的防潮防震以外，部分证物还应注意防静电或进行信号屏蔽，如开机状态的手机，应立即放入信号屏蔽盒中，以避免新短信或电话呼叫导致覆盖手机内存或SIM卡中的原有信息。 电子数据取证的基本流程 6、证据分析 证据分析过程是借助取证分析软件对获取的电子证据进行深入分析，挖掘出潜在的犯罪证据和线索。功能比较综合的取证软件如Encase、FTK、取证大师等。 7、生成报告 将取证大师结果生成符合规定的报告形式，取证软件本身一般都提供报告的制作和导出功能。 电子数据取证的基本原则 不损害原则 避免使用原始证据 记录所做的操作 遵循相关的法律法规 二、现场勘查流程和注意事项 1、取证准备 现场勘查前的准备主要需考虑以下几方面的问题： 由谁前往现场？ 携带哪些设备？ 记录哪些信息？ 对于调查人员来讲，人身安全是最重要，了解现场所在的位置有助于保障人员安全和证据安全。因此案发地点相关因素必须得到充分的考虑，如：现场是私人公寓还是公共场所的网吧，有哪些信誉好的足球投注网站范围有多大，是否有其他安防措施等。 1、取证准备 现场勘查过程需要记录的信息可制成一个清单列表： 现场布局图 现场人员的详细信息（尤其是计算机设备周围的人员） 计算机设备的详细信息（如制造商、型号、序列号等） 计算机连接的外部设备的详细信息 嫌疑人（或计算机用户）提供的笔录 现场勘查的精确时间 提取的证物清单和说明 2、现场勘查 现场勘查基本操作流程如下图： 准备→现场安保→现场拍照→收集相关证物→处理计算机 ↓ ↙提取系统时间（是）↖ 结束←填写清单←封存证物←介质复制 已关机 ↖提取易丢失数据（否）↙ 收集相关证物