計算機犯罪特點

隱蔽性

犯罪主體和手段的智能性

犯罪主體和犯罪對象的復雜性

跨國性

匿名性

計算機犯罪類型

非法侵入計算機信息系統罪

破壞計算機信息系統罪

利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密罪

計算機犯罪形式

數據欺騙，非法篡改輸入/輸出數據獲取個人利益

意大利香腸術，侵吞存款利息余額,積少成多的一種作案手段

特洛依木馬 ，表面上來看是正常合適的,但在內部卻隱藏秘密指令和非法程序段的程序

冒名頂替，利用別人口令,竊用計算機謀取個人私利的做法

清理垃圾，從計算機系統周圍廢棄物中獲取信息的一種方法

邏輯炸彈，指插入用戶程序中的一些異常指令編碼,該代碼在特定時刻或特定條件下執行破壞作用

電子取證定義

使用被科學推導和證明的方法來保存，收集，驗證，識別，分析，解釋，記錄和呈現從數字來源獲得的數字證據，以促進或進一步重建被認為是犯罪的事件，或幫助預測對現有系統存在破壞隱患的未經授權的行為

數字證據是首要的，要客觀對待數字證據。

最終目的是還原案情，不單單是為了拿到數據，而是為了分析案情.

文檔，非常重要。

數字證據定義

數字證據 (Digital Evidence)：法庭上可能成為證據的以二進制形式存儲或傳送的信息。

原始數字證據(Original Digital Evidence)：查封犯罪現場時，獲得的相關物理介質及其存儲的數據對象。

數字證據副本(Duplicate Digital Evidence)：原始物理介質上獲取的所有數據對象的精確拷貝。

拷貝(COPY)：獨立于原始物理介質，精確再現數據對象中的信息。

數字證據與傳統證據區別

計算機數據一直在變

肉眼不可見，需借助工具

收集數據時，可能對原始數據造成嚴重修改

數字證據特點

數字證據的信息與載體的可分離性

信息的高科技性

數字證據的系統依賴性

脆弱性（與收集數據時嚴重修改有關？）

隱蔽性

可挽救性

數字證據特點對取證形式的影響

技術要求高，需要取證人員具備較高的專業素質和技能。

系統依賴性，不僅需要收集計算機證據，還需收集與系統穩定性及軟件的使用等情況的證明。

可挽救性，尋找硬盤中是否有被刪除的證據。

隱蔽性，收集證據的活動要全面，檢測是否有隱藏文件

高科技性，收集手段不同，主要分為數據恢復、數據搜索和解密、動態截獲等技術。

數字證據要求

可信

準確

完整

法官信

合法

數字證據來源

主機等電子設備 ，包括系統日志文件、備份介質、入侵者殘留物（如程序、腳本、進程、內存映像）、交換區文件、臨時文件、硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到)、系統緩沖區、打印機及其它設備的內存等

網絡 ，包括防火墻、入侵檢測以及其它網絡工具產生的記錄和日志信息等。

數字取證，電子取證，計算機取證區別

英文翻譯：計算機取證的翻譯是Computer　Forensics、數字取證的翻譯是Digital　Forensics、電子取證的翻譯是Electronic　Forensics，因此三者是有區別的

主體對象不同：計算機取證：計算機系統內與犯罪案例有關的數據信息。數字取證：各種電子設備和網絡中的數字化的與犯罪案例有關的數據信息。電子取證：指存儲的電子化的、能反映有關案件真實情況的數據信息。

計算機取證定義：計算機取證是指通過收集計算機系統、網絡系統以及其它電子設備中以數字化的信息編碼形式出現的與案件有關的信息，對其進行保存、分析鑒定和出示，用來證明犯罪活動的過程。

取證的原則

證據的不變性

取證人員應該經過專業培訓

對數字證據的處理都必須完全歸檔、妥善保存。

處理數據的人應對操作負責

取證的流程

獲取數據

提取數據

分析數據

可視化

計算機取證與鑒定分析的模型

基本過程模型（Basic Process Model）

獲取數據保證安全并進行隔離(secure and isolate)

對現場信息進行記錄(record the scene)

全面查找證據(conduct a systematic search for evidence)

對證據進行提取和打包(collect and package evidence)

維護證據監督鏈(maintain chain of custody) 。

1999年由Farmer和Venema提出，是按照傳統取證流程對數字取證進行了約束與規范，但是該模型中并沒有具體針對哪一類數字證據進行相關規定。提出的取證過程粒度較粗，沒有把事件的準備作為取證過程的一個階段。

事件響應過程模型（Incident Response Process Model）

攻擊預防階段(Pre-incident Preparation):事先進行相關培訓，并準備好所需的數字取證設備。

事件偵測階段(Detection of the Incident):識別可疑事件

初始響應階段(Initial Response):證實攻擊事件己經發生，須盡快收集易丟失的證據(volatile evidence).

響應策略匹配(Response Strategy Formulation):依據現有的經驗確定響應策略。

備份(Duplication):產生系統備份

調查((Investigation):調查系統以便識別攻擊者身份、攻擊手段及攻擊過程。

安全方案實施(Secure Measure Implementation):對被偵察的系統進行安全隔離。

網絡監控(Network Monitoring):監視網絡以便識別攻擊。

恢復(Recovery):將系統恢復到初始狀態，并合理設置安全設施。

報告(Reporting):記錄相應的步驟及補救的方法。

補充(Follow-up):對響應過程及方法進行回顧審查，并進行適當的調整。

這一模型具體明確的提出了“攻擊預防階段”，這一概念的提出成為專業取證方法區別與非專業的關鍵步驟，但改模型中占比重最大的系統分析僅占了1/11，而且“攻擊預防階段”也僅提到了攻擊預防中的如“事先準備取證工具及設備，熟練取證技能，不斷學習新技術以便應對突發事件”的“操作準備階段”，沒有能夠從系統架構的角度進行分析。

法律執行過程模型（Law Enforcement Process Model）

準備階段(Preparation)在調查前，準備好所需設備和工具

收集階段(Collection):搜索和定位電子證據。

檢驗(Examination):對可能存在于系統中的證據進行校驗與分析。

分析(Analysis):對檢驗分析的結果進行復審和再分析，提取與對案件偵破有價值的信息。

報告(Reporting):對案件的分析檢驗結果匯總提交

此過程模型基于標準的物理犯罪(Physical Crime)現場調查過程模型。這個指南對不同類型的電子證據以及對其安全處理的不同方法進行了說明，然后由于它的面向對象是一直從事物理犯罪取證（非數字取證）的司法人員，重點在于滿足他們的需求，對系統的分析涉及較少

過程抽象模型（An abstract Process Model）

過程抽象模型對特定方法的取證過程進行抽象，抽象的結果產生了具有普遍意義的數字取證程序，既能使得傳統的物理取證知識應用與數字取證中，又能使數字取證程序的研究真正由計算機取證與司法鑒定擴展到數字取證，為數字取證技術基本方法和原理進一步研究奠定了良好的基礎，使數字取證的研究又邁上了一個新臺階。

取證技術發展

主機取證技術

1.現場證據多媒體傳輸技術的研究。
2.計算機硬盤高速硬復制技術的研究。
3.常見格式文檔碎片的分析解讀技術的研究。
4.隱形文件識別和提取技術的研究。

網絡取證技術

1.IPv4/IPv6網絡信息捕獲和分析技術
2.網絡代理與網絡追蹤

主動取證技術

1.邊界進入技術以及信息獲取技術
2. 蜜罐技術
3. 密碼分析與破解技術研究

總結

以上是生活随笔為你收集整理的电子取证第一章的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。