电子取证第一章

计算机犯罪特点

1. 隐蔽性
2. 犯罪主体和手段的智能性
3. 犯罪主体和犯罪对象的复杂性
4. 跨国性
5. 匿名性

计算机犯罪类型

1. 非法侵入计算机信息系统罪
2. 破坏计算机信息系统罪
3. 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪

计算机犯罪形式

1. 数据欺骗，非法篡改输入/输出数据获取个人利益
2. 意大利香肠术，侵吞存款利息余额,积少成多的一种作案手段
3. 特洛依木马 ，表面上来看是正常合适的,但在内部却隐藏秘密指令和非法程序段的程序
4. 冒名顶替，利用别人口令,窃用计算机谋取个人私利的做法
5. 清理垃圾，从计算机系统周围废弃物中获取信息的一种方法
6. 逻辑炸弹，指插入用户程序中的一些异常指令编码,该代码在特定时刻或特定条件下执行破坏作用

电子取证定义

使用被科学推导和证明的方法来保存，收集，验证，识别，分析，解释，记录和呈现从数字来源获得的数字证据，以促进或进一步重建被认为是犯罪的事件，或帮助预测对现有系统存在破坏隐患的未经授权的行为

1. 数字证据是首要的，要客观对待数字证据。
2. 最终目的是还原案情，不单单是为了拿到数据，而是为了分析案情.
3. 文档，非常重要。

数字证据定义

1. 数字证据 (Digital Evidence)：法庭上可能成为证据的以二进制形式存储或传送的信息。
2. 原始数字证据(Original Digital Evidence)：查封犯罪现场时，获得的相关物理介质及其存储的数据对象。
3. 数字证据副本(Duplicate Digital Evidence)：原始物理介质上获取的所有数据对象的精确拷贝。
4. 拷贝(COPY)：独立于原始物理介质，精确再现数据对象中的信息。

数字证据与传统证据区别

1. 计算机数据一直在变
2. 肉眼不可见，需借助工具
3. 收集数据时，可能对原始数据造成严重修改

数字证据特点

1. 数字证据的信息与载体的可分离性
2. 信息的高科技性
3. 数字证据的系统依赖性
4. 脆弱性（与收集数据时严重修改有关？）
5. 隐蔽性
6. 可挽救性

数字证据特点对取证形式的影响

1. 技术要求高，需要取证人员具备较高的专业素质和技能。
2. 系统依赖性，不仅需要收集计算机证据，还需收集与系统稳定性及软件的使用等情况的证明。
3. 可挽救性，寻找硬盘中是否有被删除的证据。
4. 隐蔽性，收集证据的活动要全面，检测是否有隐藏文件
5. 高科技性，收集手段不同，主要分为数据恢复、数据搜索和解密、动态截获等技术。

数字证据要求

1. 可信
2. 准确
3. 完整
4. 法官信
5. 合法

数字证据来源

1. 主机等电子设备 ，包括系统日志文件、备份介质、入侵者残留物（如程序、脚本、进程、内存映像）、交换区文件、临时文件、硬盘未分配的空间(一些刚刚被删除的文件可以在这里找到)、系统缓冲区、打印机及其它设备的内存等
2. 网络 ，包括防火墙、入侵检测以及其它网络工具产生的记录和日志信息等。

数字取证，电子取证，计算机取证区别

1. 英文翻译：计算机取证的翻译是Computer　Forensics、数字取证的翻译是Digital　Forensics、电子取证的翻译是Electronic　Forensics，因此三者是有区别的
2. 主体对象不同：计算机取证：计算机系统内与犯罪案例有关的数据信息。数字取证：各种电子设备和网络中的数字化的与犯罪案例有关的数据信息。电子取证：指存储的电子化的、能反映有关案件真实情况的数据信息。
3. 计算机取证定义：计算机取证是指通过收集计算机系统、网络系统以及其它电子设备中以数字化的信息编码形式出现的与案件有关的信息，对其进行保存、分析鉴定和出示，用来证明犯罪活动的过程。

取证的原则

1. 证据的不变性
2. 取证人员应该经过专业培训
3. 对数字证据的处理都必须完全归档、妥善保存。
4. 处理数据的人应对操作负责

取证的流程

1. 获取数据
2. 提取数据
3. 分析数据
4. 可视化

计算机取证与鉴定分析的模型

基本过程模型（Basic Process Model）

1. 获取数据保证安全并进行隔离(secure and isolate)
2. 对现场信息进行记录(record the scene)
3. 全面查找证据(conduct a systematic search for evidence)
4. 对证据进行提取和打包(collect and package evidence)
5. 维护证据监督链(maintain chain of custody) 。

1999年由Farmer和Venema提出，是按照传统取证流程对数字取证进行了约束与规范，但是该模型中并没有具体针对哪一类数字证据进行相关规定。提出的取证过程粒度较粗，没有把事件的准备作为取证过程的一个阶段。

事件响应过程模型（Incident Response Process Model）

1. 攻击预防阶段(Pre-incident Preparation):事先进行相关培训，并准备好所需的数字取证设备。
2. 事件侦测阶段(Detection of the Incident):识别可疑事件
3. 初始响应阶段(Initial Response):证实攻击事件己经发生，须尽快收集易丢失的证据(volatile evidence).
4. 响应策略匹配(Response Strategy Formulation):依据现有的经验确定响应策略。
5. 备份(Duplication):产生系统备份
6. 调查((Investigation):调查系统以便识别攻击者身份、攻击手段及攻击过程。
7. 安全方案实施(Secure Measure Implementation):对被侦察的系统进行安全隔离。
8. 网络监控(Network Monitoring):监视网络以便识别攻击。
9. 恢复(Recovery):将系统恢复到初始状态，并合理设置安全设施。
10. 报告(Reporting):记录相应的步骤及补救的方法。
11. 补充(Follow-up):对响应过程及方法进行回顾审查，并进行适当的调整。

这一模型具体明确的提出了“攻击预防阶段”，这一概念的提出成为专业取证方法区别与非专业的关键步骤，但改模型中占比重最大的系统分析仅占了1/11，而且“攻击预防阶段”也仅提到了攻击预防中的如“事先准备取证工具及设备，熟练取证技能，不断学习新技术以便应对突发事件”的“操作准备阶段”，没有能够从系统架构的角度进行分析。

法律执行过程模型（Law Enforcement Process Model）

1. 准备阶段(Preparation)在调查前，准备好所需设备和工具
2. 收集阶段(Collection):搜索和定位电子证据。
3. 检验(Examination):对可能存在于系统中的证据进行校验与分析。
4. 分析(Analysis):对检验分析的结果进行复审和再分析，提取与对案件侦破有价值的信息。
5. 报告(Reporting):对案件的分析检验结果汇总提交

此过程模型基于标准的物理犯罪(Physical Crime)现场调查过程模型。这个指南对不同类型的电子证据以及对其安全处理的不同方法进行了说明，然后由于它的面向对象是一直从事物理犯罪取证（非数字取证）的司法人员，重点在于满足他们的需求，对系统的分析涉及较少

过程抽象模型（An abstract Process Model）

过程抽象模型对特定方法的取证过程进行抽象，抽象的结果产生了具有普遍意义的数字取证程序，既能使得传统的物理取证知识应用与数字取证中，又能使数字取证程序的研究真正由计算机取证与司法鉴定扩展到数字取证，为数字取证技术基本方法和原理进一步研究奠定了良好的基础，使数字取证的研究又迈上了一个新台阶。

取证技术发展

主机取证技术

1.现场证据多媒体传输技术的研究。
2.计算机硬盘高速硬复制技术的研究。
3.常见格式文档碎片的分析解读技术的研究。
4.隐形文件识别和提取技术的研究。

网络取证技术

1.IPv4/IPv6网络信息捕获和分析技术
2.网络代理与网络追踪

主动取证技术

1.边界进入技术以及信息获取技术
2. 蜜罐技术
3. 密码分析与破解技术研究