软件逆向在电子取证中的用处
软件逆向分析在电子数据司法鉴定中的应用
钱林松
什么是逆向工程& 起源
?灰盒测试?动态调试?静态分析
?反编译
?反汇编
软件逆向分析
让我们从案例开始
?背景介绍:“淘宝客”
?逆向分析的目的:通过分析样本行为和
技术细节,进而挖掘作者信息,为进一步分析提供条件
?说明:略过加载驱动,文件过滤、网络过滤技术的介绍,直接介绍该样本的关键行为
?将用户拦截、导向到指定页面
?日感染量:1460淘宝客
来源:金山毒霸
样本的行为分析?解密注册表信息及配置文件?样本将拦截的http特征字符串?样本对http流进行的替换?样本最终对用户的影响
行为分析—特征字符串
?该样本内部保存了一组杀毒软件网站常用的HTTP特征字串数组
电子数据取证笔试试卷(2)-1
电子数据取证试题 说明:考试时间100分钟,满分100分,答案写在答题纸上。 一、单选题(共10题,每题2分,共计20分) 1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种 硬盘的理论传输速率最慢? A.S C S I B.I D E C.S A S D.S A T A 2.以下哪种规格是市场上最常见的笔记本硬盘? A.3.5英寸 B.1.8英寸 C.2.5英寸 D.1英寸 3.以下哪种规格不是SCSI硬盘的针脚数? A.50 B.68 C.72 D.80 4.下列哪种接口的存储设备是不支持热插拔的? A.U S B接口 B.E-S A T A接口 C.S A T A接口 D.I D E接口 5.下列哪个选项是无法计算哈希值的? A.硬盘 B.分区 C.文件 D.文件夹 6.下列文件系统中,哪个是Windows 7系统不支持的? A.e x F a t B.N T F S C.H F S D.F A T32 7.下列有关文件的各类时间属性,操作系统是一定不记录的? A.创建时间 B.修改时间 C.访问时间 D.删除时间 8.下列哪种不是常见的司法取证中的硬盘镜像格式? A.G h o B.A F F C.S01 D.001 9.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计 算机开机的标志,该事件所对应的事件编号为: A.5005 B.5006 C.6005 D.6006 10.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的? A.G u i d a n c e B.G e t D a t a C.A c c e s s D a t a D.P a n S a f e 二、多选题(共10题,每题3分,共计30分) 1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A 代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是? A.M始终要晚于C B.M、A、C在Linux系统中也适用 C.M、A、C时间是不能被任何工具修改的,因此是可信的
电子数据取证工作试题
电子数据取证工作试题 电子数据取证工作试题 一、单选 1 CPU 的中文含义是____。 A主机 B中央处理器 C运算器 D控制器 2 DOS命令实质上就是一段____。 A数据 B可执行程序 C数据库 D计算机语言 3 E01的块数据校验采用 A CRC算法 B MD5算法 C SHA-1算法 D SHA-2算法 4 E01证据文件分卷大小默认为 A 4.7G B 600M C 640M D 700M 5 FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是? A 文件已经彻底从硬盘中删除 B 文件已删除,但文件内容首字节被改为十六进制E5 C 还在回收站中,可用取证大师恢复 D文件已删除,但是数据还在,目录项首字节被改为十六进制E5 6 FAT文件系统中通常有多少个FAT表? A 1 B 2 C 3 D 4 7
Linux系统中常见的文件系统是 A Ext2/Ext3/Ext4 B NTFS C FAT32 D CDFS 8 MBR扇区通常最后两个字节十六进制值为(编码次序不考虑) A AA 11 B 11 FF C 55 AA D 66 BB 9 Windows记事本不能保存的文本编码为 A ANSI B RTF C Unicode D UTF-8 10 Windows中的“剪贴板”是________。 A 一个应用程序 B磁盘上的一个文件 C内存中的一个空间 D一个专用文档 11 不属于简体中文编码的是 A Big5 B UFT-8 C Unicode D GB2312 12 操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括()个字节的数据和一些其他信息。 A 64 B 32 C 58 D 512 13 磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。 A 磁道 B 扇区 C族 D磁面 14 磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的 A由外向内从0开始编号 B由外向内从1开始编号 C由内向外从0开始编号 D由内向外从1开始编号 15 当前大多数硬盘采用的寻址方式为 A CHS B LBA C AUTO D LARGE
电子数据取证理论技能考核试卷C
电子数据取证理论技能考核试卷 姓名:部门:成绩:________________ 一、单项选择题(每题1.5分,共30分) 1.现场拍照一般建议的流程是:( B ) A. 小区入口→房间→楼层、门牌号→主卧→电脑 B. 小区入口→楼层、门牌号→房间→主卧→电脑 C. 小区入口→主卧→房间→楼层、门牌号→电脑 D. 小区入口→电脑→房间→楼层、门牌号→主卧 2.目前主流的硬盘接口,俗称“串口”的为:( D ) A. ZIF B. SAS C. IDE D. SATA 3.以下哪些是属于常见的硬盘接口?( E ) A. IDE B. SATA C. LIF D. SAS E. 以上都是 4.需要一个记录有多数文件的文件签名特征及扩展名的数据库,即:( B ) A. 签名库 B. 文件签名库 C. 文件库 D. 文件属性库 5.文件头部包含了成为( C )的识别信息,同一类型文件的文件头部信息是相同的。 A. 文件头 B. 扩展名 C. 签名 D. 以上答案均不正确 6.IMEI是国际移动设备身份码的缩写,国际移动装备识别码,是由( C )位数字 组成的"电子串码",它与每台手机相对应,理论上该码是全世界唯一的。 A. 14 B. 16 C. 15 D. 18 7.通常情况下,收集数据的获取由现场环境和取证条件而决定,不包括以下哪种情 况?( D ) A、可视化获取 B、逻辑获取 C、物理获取 D、动态获取
8.手机数据物理获取是使用特定的方法或软硬件工具,将手机内部存储空间完整获 取,以便进行后期调查分析,以下不是物理获取方法的是( C ) A. 镜像采集终端获取 B. JTAG获取 C. 动态获取 D. 焊接获取 9.手机无法与分析机正常连接的原因( D ) A、手机驱动问题 B、手机通讯模式问题 C、手机数据线问题 D、以上都是 10.SCSI转换器用于将SCSI硬盘转换为标准( A )接口,从而与主机连接。 A、SATA B、IDE C、SAS D、LIF 11.开盘维修硬盘需要的环境( B ) A、真空室 B、无尘室 C、氧气室 D、自然环境 12.SAS为(),SATA为( B ) A、全双工全双工 B、全双工半双工 C、半双工全双工 D、半双工半双工 13.手机输入PIN码3次都错误,SIM卡会被锁定,此时需要输入( B )码解锁。 A. PIN B. PUK C. PUK2 D. PIN2 14.现场勘验检查程序不包括( D ) A.保护现场 B. 收集证据 C. 提取、固定易丢失数据 D. 智能检索 15.以下哪项不是电子物证技术对象( E ) A. 计算机 B.手机 C.照相机 D. SD卡 E.收音机 F.打印机 二、多项选择题(每题2分,共40分) 1.可以用于证明案件事实的材料,都是证据,证据包括:( ABCD ) A. 物证。 B. 证人证言。 C. 被害人陈述。 D. 试听材料、电子数据。
电子数据取证笔试试卷2 1
精品文档 电子数据取证试题 说明:考试时间100分钟,满分100分,答案写在答题纸上。 一、单选题(共10题,每题2分,共计20分) 1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢? A.SCSI B.IDE C.SAS D.SATA 2.以下哪种规格是市场上最常见的笔记本硬盘? C.2.5英寸英寸B.A.3.5英寸 1.8 D.1英寸 3.以下哪种规格不是SCSI硬盘的针脚数? B.68 C.72 D.A.50 80 4.下列哪种接口的存储设备是不支持热插拔的? B. E-SATA接口 C.SATA接口 D.IDE接口 https://www.360docs.net/doc/2b15196872.html,B接口 5.下列哪个选项是无法计算哈希值的? B.分区 C.文件 D.A.硬盘文件夹 6.下列文件系统中,哪个是Windows 7系统不支持的? A.exFat B.NTFS C.HFS D.FAT32 7.下列有关文件的各类时间属性,操作系统是一定不记录的? B.修改时间 C.A.创建时间访问时间 D.删除时间 8.下列哪种不是常见的司法取证中的硬盘镜像格式? A.Gho B.AFF C.S01 D.001 9.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为: A.5005 B.5006 C.6005 D.6006 10.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的? D.C.A.Guidance B.GetData
AccessData PanSafe 二、多选题(共10题,每题3分,共计30分) 1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是? A.M始终要晚于C B.M、A、C在Linux系统中也适用 C.M、A、C时间是不能被任何工具修改的,因此是可信的 精品文档. 精品文档 D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变 2.下列关于对位复制的说法中,不正确的是? A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制 B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性 C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致 D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性 3.下列关于现场勘验过操作的说法中,不正确的是? A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。 B.为了固定运行着的计算机的桌面状态,首先应该按键盘的PrtSc键进行截图。 C.对于关机状态下的计算机进行固定时,优先采取对硬盘盘体进行开盘操作的方式。 D.对于关机状态下又无法拆卸硬盘的计算机,应该开机直接查看系统里的数据。 4.下列文件系统中,哪些是Windows的文件系统? A.HFS/HFS+ B.EXT2/3/4 C.NTFS D.FAT16/32 5.下列关于对位复制和创建镜像的说法中,错误的是? A.一般情况下,对位复制时,目标盘容量要等于源盘容量 B.制作DD镜像时,能够将500G源盘的完整DD镜像生成到500G的目标盘中 C.一般情况下,源盘生成的E01镜像,占用的空间小于同一块盘生成的DD镜像 D.用专门的镜像哈希计算工具,计算的同一块硬盘的DD和E01镜像哈希值是相同的 6.当一块硬盘被连接到计算机上时,Windows系统已经为其分配盘符,但双击该盘符提示是否需要格式化磁盘,可能存在的原因是? A.该分区格式为EXT4,Windows系统无法识别 B.该分区已损坏,Windows无法识别
(完整版)电子数据取证标准
电子数据取证标准 随着全球信息化的飞速发展,越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据;此外,在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒, 商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿,截止2013年12月,我国网民规模达到6.18亿,这就意味着2014年中国网民每人平均损失达243元。 电子数据取证技术,是信息安全领域的一个全新分支,逐渐受到人们的重视,它不仅是法学在计算机科学中的有效应用,而且是对现有网络安全体系的有力补充。近年来,我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一,电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。 电子数据取证是一个严谨的过程,因为它需要符合法律诉讼的要求。因此,取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。 我国电子证据的标准化工作起步较晚,但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》(以下简称《决定》)从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定,即“鉴定人和鉴定机构从事司法鉴定业务,应当遵守法律、法规,遵守职业道德和职业纪律,尊重科学,遵守技术操作规范。” 部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》(公 信安[2005]281号)明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定 规程规定的义务;2006年《公安机关鉴定机构登记管理办法》(公安部令第83号)明确 将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中;2007年《司法 鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求,其 第22条规定,“司法鉴定人进行鉴定,应当依下列顺序遵守和采用该专业领域的技术标准 和技术规范:(一)国家标准和技术规范;(二)司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范;(三)该专业领域多数专家认可的技术标 准和技术规范…..”
电子数据取证问题及对策建议
电子数据取证问题及对策建议 [摘要]修改后的刑事诉讼法第48条首次将“电子数据”纳入法定证据范围,并与视听资料同列为第八种刑事证据。实践中在电子证据取证方面存在诸问题须引起重视,通过对其原因分析提出相关对策建议。 [关键词]电子证据;技术人员;取证 为了保证新刑事诉讼法的正确实施,发挥电子证据在证明犯罪中的作用,如何获取电子证据就成为一个重要问题须引起重视。 一、电子证据取证中遇到的问题 从目前司法实践看,职务犯罪日趋隐秘化和高科技化,这为侦查工作带来了很大的难度和挑战,需要检察机关充分运用科技手段,收集电子证据。但由于电子证据是一种新证据,一般侦查人员又不懂这方面技术,因而实践中在电子证据取证方面遇到以下主要问题: 一是技术人员与侦查人员配合不够默契。技术人员与侦查人员分属不同的部门,平时接触少,所以在实际的工作中技术人员与侦查人员配合不很默契。这里所说的“配合”包括外出取证前准备阶段的配合、外出取证过程中的配合、外出取证回来后对数据进行分析时的配合。首先是外出取证前准备阶段的配合问题,如自侦部门在办理案件过程中,如果认为犯罪嫌疑人或有关人员的电脑或者存储设备中存在有关证据需要收集的,就会要求技术人员跟随前往外出收集,但案件的基本情况仍需保密。由于每个现场都有它的特异性,如果事先不告知技术人员,到取证现场后,技术人员往往会出现措手不及或准备不充分的情况,这时就会导致取证效率低、取证效果不理想、更有甚者会导致证据流失的问题。其次是取证过程中的配合问题,由于搜查现场会出现各种各样的突发问题,需要侦查人员与技术人员的默契配合。最后是外出取证回来后对数据进行分析时的配合。技术人员就删除数据进行恢复后,对数据对案件的侦破作用知之甚少。 二是取证中遇到的一些技术难题。随着科技的高速发展,职务犯罪中往往出现一些高新设备和技术,需要技术人员熟悉各种设备,掌握各种技术和知识。只有这样,才能保证技术有效地收集到所需要的电子证据。但从目前司法实践看,由于技术人员的培训不及时,往往难以跟上时代前进的步伐,笔者在实践中就遇到一些技术难题,比如在一次外出取证时,要对犯罪嫌疑人的一台电脑的硬盘作复制键时,但发现机器是处于开机状态的,于是按照规程,直接拔掉机箱后的电源,结果硬盘出现了坏道。另一次是对一台CANON相机的SDRAM卡中的删除数据进行恢复,已知这台相机上存储有5天的照片,相机上的照片只是被误删除了,没有被格式化,而且没有覆盖新数据,但在使用X-WAY、ENCASE、PHOTORECOVER等软件进行恢复时,发现只恢复出前3天的数据,后两天100多张照片没有了。
电子数据取证期末考试题习题及答案
1、说明在Python中常用的注释方式包括哪些? 答:①单行注释:行首# ②多行注释:三个单引号或三个双引号包括要注释的内容 ③编码注释:#coding=utf-8或#coding=gbk ④平台注释:#!usr/bin/python 2、说明在Python中单引号、双引号和三引号之间的区别。 答:①单引号和双引号通常用于单行字符串的表示,也可通过使用\n换行后表示多行字符串②三单引号和三双引号通常用于表示多行字符串以及多行注释,表示多行时无需使用任何多余字符。③使用单引号表示的字符串中可以直接使用双引号而不必进行转义,使用双引号表示的字符同理;三引号中可直接使用单引号和双引号而无需使用反斜杠转转义,三引号表示的字符串中可以输出#后面的内容。 3、说明在Python中的代码a,b=b,a实现了什么功能。答:a,b数值互换 4、Python提供了哪两种基本的循环结构。答:For,while 5、Python中的常用可迭代对象包括哪些? 答:①序列,包括列表、元组、字典、集合及range ②迭代器对象③生成器对象④文件对象 6、Python2.7的标准库hashlib中包含的hash算法包括哪些? 答:MD5,SHA1,SHA256,SHA512。 ?7、在Python编程中,常见的结构化输出文件格式包括哪些。答:Csv,xml,html,json 8、在Python编程中,变量名区分英文字母的大小写,基于值的内存管理方式,使用缩进来体现代码之间的逻辑关系。(√) 9、Python中的lambda函数也就是指匿名函数,通常是在需要一个函数,但是又不想去命名一个函数的场合下使用。(√) 10、在Python中如果需要处理文件路径,可以使用(OS )模块中的对象和方法。 11、在Python中的字符串和元组属于不可变序列,列表、字典、集合属于可变序列。(√) 12、在Python中集合数据类型的所有元素不允许重复。(√) 13、在Python中如何创建只包含一个元素的元组?答:tuple1=(a, ) 14、在Python中字典数据类型的“值”允许重复,“键”不可以重复。(√) 15、说明Python用什么方法操作Excel文件。 答:依靠第三方模块库xlrd、xlwt、xlutils和pyExcelerator等。 Xlrd主要用于读取Excel文件,xlwt主要用来写Excel文件,xlutils结合xlrd可以达到修改Excel 文件的目的,openpyxl可以对Excel文件进行读写操作。 16、说明Python中的异常处理机制except的用法。 答:①except:#捕获所有异常 except:<异常名>:#捕获指定异常 except:<异常名1,异常名2):#捕获异常1或异常2 except:<异常名>,<数据>:#捕获指定异常及其附加的数据 except:<异常名1,异常名2>:<数据>:#捕获异常名1或异常名2及附加的数据库②一般使用try:……except:……进行异常处理,try子句中的代码块放置可能出现异常的语句,except子句中的代码块处理异常。 Try: try块#被监控的语句 except Exception[as reason]: except块#处理异常的语句 ③try:……except:……else结构④try:……except:……finally结构 ⑤try:……except:……except:……else:……finally……结构
电子数据取证原则与步骤
电子数据取证原则与步骤 电子物证检材提取有二种基本形式:提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物,或者是电子设备内含有大量与案件相关的信息,就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时,应考虑同时提取该计算机的外围硬件,如打印机、磁盘驱动器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明犯罪的证据,或者电子信息是非法占有的,这时候电子物证检材提取的焦点是电子设备内的电子信息内容,而不是硬件本身。提取电子信息物证检材通常有二种选择:复制电子设备储存的所有电子信息,或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要决定。 网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。如果一个计算机网络涉及犯罪活动,电子数据证据通常分布在多台计算机中,应尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验,一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。 第一节电子数据取证原则 电子数据取证的原则:1.尽早地搜集整理证据,能够得到第一手的信息,并尽可能地做到取证的过程公正和公开; 2.不要破坏或改变证据,尽可能少的改变系统状态,在不对原有物证进行任何改动或损坏的前提下获取证据; 3.证明所获取的证据和原有的数据是相同的;4.在不改变数据的前提下对其进行分析;5.在取证时使用的软件应是合法的。 为此,在进行电子物证检验的过程中,要采取以下做法来保证原证据不被改变或损坏: 1.尽早收集证据,以防原证据被改变或计算机系统状态被改变;
电子数据取证工作试题
电子数据取证工作试题 一、单选 1 CPU 的中文含义是____。 A主机 B中央处理器 C运算器 D控制器 2 DOS命令实质上就是一段____。 A数据 B可执行程序 C数据库 D计算机语言 3 E01的块数据校验采用 A CRC算法 B MD5算法 C SHA-1算法 D SHA-2算法 4 E01证据文件分卷大小默认为 A 4.7G B 600M C 640M D 700M 5 FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是?
A 文件已经彻底从硬盘中删除 B 文件已删除,但文件内容首字节被改为十六进制E5 C 还在回收站中,可用取证大师恢复 D文件已删除,但是数据还在,目录项首字节被改为十六进制E5 6 FAT文件系统中通常有多少个FAT表? A 1 B 2 C 3 D 4 7 Linux系统中常见的文件系统是 A Ext2/Ext3/Ext4 B NTFS C FAT32 D CDFS 8 MBR扇区通常最后两个字节十六进制值为(编码次序不考虑) A AA 11 B 11 FF C 55 AA D 66 BB 9 Windows记事本不能保存的文本编码为 A ANSI B RTF C Unicode D UTF-8 10 Windows中的“剪贴板”是________。 A 一个应用程序 B磁盘上的一个文件 C内存中的一个空间 D一个专用文档 11 不属于简体中文编码的是
A Big5 B UFT-8 C Unicode D GB2312 12 操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括()个字节的数据和一些其他信息。 A 64 B 32 C 58 D 512 13 磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。 A 磁道 B 扇区 C族 D磁面 14 磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的A由外向内从0开始编号 B由外向内从1开始编号 C由内向外从0开始编号 D由内向外从1开始编号 15 当前大多数硬盘采用的寻址方式为 A CHS B LBA C AUTO D LARGE 16 断电会使原存信息消失的存储器是____。 A RAM B 硬盘
电子数据取证
电子数据取证成为信息安全产业的新引擎 计算机和网络技术的迅速普及大大改变了人们的生活和生产方式,人们在享受计算机和互联网所带来的便利的同时,也面临着大量有关电子数据的安全问题,如网络信息窃取、木马病毒、网络色情、网络诈骗等等。计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件,不法分子不但可以将计算机等电子设备做为违法犯罪的目标,而且也可以将其做为实施违法犯罪的工具,所造成的危害也越来越大。 近年来在西方一些发达国家,计算机犯罪每年都在翻番,成为十分严重的社会问题。据报道美国计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿至上百亿美元。英国、德国在这方面的年损失也达几十亿美元。为了对付计算机犯罪,美国去年在网络保安工作上花费了60亿美元,英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。 我国于1986年首次发现计算机犯罪案件,进入90年代,随着我国计算机应用和普及程度的提高,涉及电子数据的违法犯罪案件呈迅猛增长态势,涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。据公安部公布的信息显示,2005年,我国刑事案件的数量为4,648,401件,2006年为4,744,136件,2007年为4,807,517件,每年呈递增趋势。据统计,这些案件中有50%的案件涉及计算机系统或网络中的电子数据,每年就有超过240万起案件需要进行电子数据取证,这里还不包括民事案件的数量。随着社会信息化水平的提高,涉及电子数据的案件在总案件中的比例还将不断提高。 如何防范侵害计算机及网络系统中的电子数据的行为,获取与之相关的电子证据,将不法分子绳之以法,已成为司法和计算机科学领域中亟待解决的重要课题。作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。 与传统的指纹、笔迹、DNA等取证对象所不同的是,电子数据取证的对象是虚拟空间的电子数据。计算机硬盘、U盘、手机、数码相机等设备中存储的电子数据,往往会遇到存储介质被损坏、数据被删除等情况无法读取,必须通过电子数据取证技术进行恢复、提取和分析,从而客观、真实地反映存储介质中的电子
手机电子数据取证固定与确认都很重要
手机电子数据取证固定与确认都很重要 作者:彭劲荣(重庆市江北区人民检察院),来源于检察日报 在司法实践中,手机作为物证和电子数据存储源的地位越来越突出,利用专业手段提取电子数据的手机取证工作在侦查犯罪中的作用日渐重要。但手机取证还存在思想认识不够、程序不规范等问题,亟须予以完善。 一、提高认识,将手机取证作为常规性侦查工作来抓。在审查案件过程中,经常发现犯罪嫌疑人、被害人和证人在笔录中陈述通过手机、QQ、短信、微信等方式进行联系,但案卷中没有相关的手机电子数据材料予以印证。手机电子数据作为电子证据的一种,具有很大的易变性,容易因人为或环境因素而变化和灭失,一旦错过时机可能造成重要证据流失。因此,侦查人员必须及时做好手机的扣押及电子数据的提取固定工作。 二、规范程序,确保手机取证形式合法内容客观真实。手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中存储的信息是以电子数据形式存在的,从证据分类上看属于修改后刑诉法第48条第1款第(八)项新增的“电子数据”。对电子数据的提取和固定是一项专业性很强的工作,在目前的侦查实践中相关取证程序还需规范。 1、手机电子数据提取应当分阶段进行。作为通讯工具的手机,本身
是重要的物证,其品牌、型号、规格等物理属性对于案件事实具有一定的证明作用。而手机内的短信、通话记录等电子信息是电子数据,能够对案件的事实起到证明作用。因此,对于手机及手机内的电子数据应当分阶段提取,即首先依照物证收集程序对手机进行提取,然后依照电子数据的收集程序对手机电子数据进行提取,二者不能混同和互相替代。 2.手机电子数据应当由专业人员提取。手机是高科技通讯设备,特别是智能手机的功能已堪比电脑,具有较高的技术水平。手机电子数据具有自动生成性、易变性等特征,很容易被修改、删除,非专业人士无法进行识别和恢复,而且即使提取到也易被犯罪嫌疑人或辩护人提出质疑。如在郑某强奸案中,侦查人员以拍照方式提取了犯罪嫌疑人郑某案发后发给被害人的悔过短信,该短信在来源处只显示了“郑某”的姓名,没有附带显示电话号码。在法庭审理阶段,郑某及辩护人辩解该短信不具有客观性,指出该短信不是其所发送,可能系侦查人员将来源于其他人的短信篡改后显示为“郑某”,法庭认为该条短信具有瑕疵不予采信。这提醒侦查人员扣押手机后,应当送交技术部门或者委托通信公司的专业人员提取电子数据,以保证手机电子数据得到全面、客观收集,被损毁、修改的数据信息能够被正确识别和恢复。 3.手机电子数据的呈现形式应当规范。电子数据是以电子方式存储,具有无形性的特点,必须转化为可以再现的形式才能对案件事实起到