信息犯罪与计算机取证

• 1.信息安全
  • 信息安全的三种定义p2
    • ISO的
      为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件，软件数据不因偶尔或恶意的原因而受到破坏，更改和泄露
    • 欧盟的
      在既定的密级条件下，网络与信息系统抵御意外或恶意行为的能力。
    • 美国的
      对信息系统以及使用存储和传输的硬件的保护，是所采取的相关政策、认识、培训和教育以及技术等必要的手段。
  • 网络空间包括p3
    • 1.网络空间中 一切数字化信息自身的安全
    • 2.网络信息系统与网络基础设施安全
    • 3.网络空间中数字化社会，数字化自然的运行安全
    • 4.上述网络空间安全问题的引致安全，引致安全存在于社会空间和自然空间
  • 2016年《国家网络空间安全战略》的目标p3.
    以总体国家安全观为指导，贯彻落实创新，协调，绿色，开发，共享的发展理念，增强风险意识和危机意识，统筹国内和国际两个大局以及发展和安全两件大事。积极防御并有效应对，推进网络空间和平，安全，开放，合作有序。维护国家主权，安全，发展利益，实现建设网络强国的战略目标。
  • 信息安全的目标与需求p4
    • 保密性
    • 完整性
    • 可用性
    • 不可否认性
    • 可控性
    • 可认证性
    • 可存活性
    • 可审查性
  • 物理安全面临的威胁p9
    • 自然破坏
    • 人为破坏
    • 环境破坏
  • 什么是蠕虫？p11
    • 答：是一种未经许可而将自身复制到网络节点上的计算机程序
  • 什么是特洛伊木马？p11
    • 答：是一种计算机程序，它可以伪装成合法程序，从事非法活动
  • 通信安全包括p13
    • 无线和有线物理层安全
    • 路由器和交换机安全
    • 协议安全
    • 应用程序安全
  • 安全管理p20
    • 人员培训
    • 规章制度
    • 意识观念
    • 法律法规
• 2.信息犯罪
  • 信息犯罪的定义p25
    信息犯罪是针对信息载体，信息运行，信息内容，信息价值实施的严重危害社会的行为以及信息管理中的重大失职行为。包括信息载体犯罪，信息运行犯罪，信息内容犯罪，信息价值犯罪，信息管理犯罪。
  • 信息犯罪的特征p25
    • 犯罪时间的模糊性
    • 犯罪空间的虚拟性
    • 犯罪运行的数字性
    • 危害区域的跨越性
    • 犯罪现场的复杂性
    • 犯罪手段的多样性
  • 信息犯罪的主要类型p29
    • 与信息基础设施相关的信息犯罪
    • 有信息运行相关的信息犯罪
    • 与信息内容相关的信息犯罪
    • 与信息价值相关的信息犯罪
    • 与信息安全主体失职相关的犯罪
  • 信息犯罪的防范点p31
    • 技术防范
    • 管理防范
    • 思想防范
    • 法律防范
• 5.与信息内容相关的信息犯罪
  • 定义p57
    滥用信息的行为是指非法利用信息危害国家，社会和个人利益，以及为了危害国家，社会，个人利益而制作，传播，使用各种信息工具程序，软件，工具的行为。
  • 特点p58
    • 多种信息交叉融合，复杂化，网络化的犯罪
    • 日益产业化，集团化，全球化的犯罪
  • 与信息内容相关的信息犯罪法律规制述评p63
    • 法律体系不完善，不科学
    • 行政执法效率低
    • 行业自律性不足
    • 网络刑事管辖权不明
• 6.与信息价值相关的信息犯罪
  • 特点p68
    • 犯罪对象扩大化
    • 危害后果多重化
    • 犯罪形式集团化，产业化
  • 与信息价值相关的信息犯罪防控p72
    • 国家层面
      在国家层面上防范与信息价值相关的信息犯罪，主要在于完善刑事立法和加强行政监管
    • 社会层面
      在社会层面上防范信息价值相关的信息犯罪主要在于加强行业自律
    • 个人层面
      在个人层面上防范信息价值相关的信息犯罪主要在于加强思想和道德建设
• 7.计算机取证与相关理论
  • 广义的电子数据证据p76
    是以电子信息存在的，用作证据使用的一切材料及其派生物，或者说借助电子技术或电子设备而形成的一切证据。在概念中突出了电子形式。
  • 狭义的电子数据证据p76
    数字化信息设备中存储，处理，传输，输出的数字化信息形式的证据。在概念中突出了数字化的概念。
  • 从法律角度看电子数据证据应满足证据的三个基本属性p76
    • 合法性
      着眼于取证程序和证据外在的审查
    • 客观性
    • 关联性
  • 电子数据证据与数字证据的辨析p77
    • 电子数据证据有广义和狭义之分，当我们讨论到广义的电子数据证据时，电子数据证据不限于数字证据
    • 当我们谈到狭义的电子数据证据时，可以说电子数据证据基本等同于数字证据
  • 计算机取证的原则p78
    • 及时性原则
    • 操作规范原则
    • 安全性原则
    • 监管原则
    • 可重复，可验证原则
    • 准确性原则
    • 保密原则
  • 计算机取证模型p79
    • 法律执行过程模型
      美国司法部电子犯罪场调查指南中提出
      • 准备阶段
      • 收集阶段
        搜索和收集相关电子数据证据，相关工作可分为保护与评估现场，现场记录归档，收集证据
      • 检验
        检查系统以发现证据
      • 分析
        对上述检查结果进行复审和分析，提取有价值信息
      • 报告
    • 综合取证模型
      Brain Carrier 总结
      • 准备阶段
      • 部署阶段
        提供侦查和确认机制，包括侦查和通报阶段，确认和授权阶段
      • 物理犯罪现场调查阶段
        收集和分析物理证据并重构犯罪行为
      • 数字犯罪现场调查阶段
        收集和深入分析物理调查阶段获取的数字证据
      • 总结阶段
• 8.计算机取证技术及相关标准规范
  • 计算机证据文件格式p85
    原始数据格式（DD）Encase证据文件（E01或Ex01） AFF文件格式
  • 蜜网p89
    他由多台高度受控的蜜罐构成网络，对网络流量进行监控，构成了一种网络体系构架。有更大的监控视角，可以给黑客更大的欺骗性，同时保证网络的高度可控性，属于研究型的高交叉式蜜罐
  • 蜜场p89
    将所有蜜罐都集中部署在一个独立的网络中——蜜场中心，在每个需要进行监控的子网中都部署一个重定向器，重定向器监听对未用地址和端口的非法访问，并将这些访问流重定向到蜜场中心选择相应的密罐或密网，对攻击信息进行响应，上述过程对非法访问者是透明的。
  • 对云主机的案件调查p89
    • 首先要得到云主机服务提供商的支持
    • 获得相应的云主机镜像，关键系统文件及系统日志等
    • 以便从云主机镜像或系统日志中进一步提取相关证据
  • 计算机反取证技术p91
    • 数据摧毁技术
    • 数据加密技术
    • 数据隐藏技术
    • 数据转换技术
    • 数据混淆技术
    • 防止数据创建技术
  • 取证大师p95
    提供电子数据证据固定，分析，报告生成等取证功能。可独立使用，也可嵌入使用，可应用于现场勘验，计算机取证实验室的检验鉴定等不同应用场景。
  • 2016年颁布了《司法鉴定程序通则》p105
    第23条规定，司法鉴定人进行鉴定，应当以下列顺序遵守和采用该专业领域的技术标准，技术规范和技术方法。
    • 国家标准
    • 行业标准和技术规范
    • 该专业领域多数专家认可的技术方法
  • 目前我国与计算机取证相关的技术标准和规范主要有四类p105
    • 国家标准
    • 公共安全行业标准
    • 司法鉴定技术规范
    • CNAS实验室标准
• 9.电子数据证据的发现与收集
  • 日志文件p109
    • 日志文件是Windows操作系统中的一种特殊文件，它记录了Windows操作系统中发生的一切活动，例如各种服务的启动，运行，关闭等重要信息。
    • 一般大小为512kb，如果大小超过这个范围，系统就会报错，并不记录任何日志
  • 类unix系统日志p113
    • 连接时间日志
    • 进程信息统计
    • 错误日志
  • 类unix系统调查角度p115
    • messages
      保存有很多的ASCII文本格式的日志
    • wtmp,utmplogs,ftp
      记录了用户在何时何地远程登陆主机
    • sh_history
      存储有用户痕迹
  • 用户痕迹的特点p118
    只可能填空或简答，不用阐述
    • 无形性
    • 多样性
    • 客观性
    • 易破坏性
    • 隐蔽性
  • 元数据p119
    又称中介数据，也就是数据的数据，包括一些数据的信息，路径信息，文件大小信息等相关信息。
  • 回收站p121
    系统的重要区域，可帮助取证人员调查已删除的信息，recycle.bin是其中一个重要隐藏目录
  • ACPO计算机及电子数据证据指导原则p122
    • 不损害原则
    • 避免使用原始证据原则
    • 记录所做的操作
    • 遵循相关法规
• 10.电子数据证据固定与保全
  • 概念与原则p149
    • 固定与保全概念
      以某种形式将收集的电子数据证据保存和固定下来加以妥善保存，以便司法人员，律师或技术人员，在分析认定案件事实时使用。
    • 固定与保全原则
      • 存储电子数据证据的方法是否科学？存储介质是否可靠？
      • 存储的电子数据证据是否加密？是否遭受未经授权的接触？
      • 存储电子数据证据的人员是否具有资质？
  • 固定与保全分类p150
    • 文件证据固定与保全
    • 硬件设备证据固定与保全
• 11.电子数据恢复
  • 定义p161
    通过技术手段对保存在一堆产品硬盘存储卡MP3等设备上丢失的电子数据进行抢救和恢复的技术一般分为软件恢复技术和硬件恢复技术。
  • 硬盘故障p161
    • 硬盘软故障
      包括误删除，误格式化，误克隆，坏道，误分区等
    • 硬盘硬故障
      磁头损坏，电路故障，固件损坏等
  • 硬盘接口p163
    sata,scsi,ide,sas,m.2,usb
  • 低级格式化p166
    硬盘出厂前必须对硬盘进行低级格式化
    低级格式化是对硬盘最彻底的初始化方式，原来保护的数据将全部丢失
  • 恢复软件p201
    • easy recovery
    • Dataexplore
    • winhex
      xways公司的磁盘数据取证工具
    • pc3000
      俄罗斯 ACE公司的专业修复硬盘综合工具
    • 恢复大师
      美亚
    • R-studio
      加拿大数据恢复软件
• 12.电子数据证据相关理论
  • 电子数据归档和保存应做到p212
    • 一，为原始介质或司法鉴定复制品填写并贴上恰当证据标签
    • 二，将每一项最优证据记录在证据日志中
    • 三，鉴定时尽可能在所得证据的司法鉴定副本上进行
    • 四，证据管理员应该确保为证据选用适当的存储介质进行原始的镜像备份，并保证所有的证据在规定日期进行处理。
  • 取证分析工具p215

    

• 13.计算机司法鉴定
  • 定义p237
    计算机司法鉴定，是指有计算机司法鉴定资格的鉴定机构或鉴定人，依法接受委托，并运用算机理论和技术以及其他相关的专门知识，对计算机相关案件有关内容进行专业判断，鉴定，并出具鉴定意见的活动。
  • 特点p238
    • 鉴定主体具有特定性与复合性
    • 鉴定客体具有动态性，隐蔽性，复杂性
    • 鉴定技术具有变化性
    • 某些计算机司法鉴定意见的形成具有局限性
  • 基于证据发现的计算机司法鉴定内容p240
    • 数据内容分析
      • 乱码分析
      • 加密信息分析
      • 密码破解分析
      • 隐藏数据发现
    • 数据恢复
      • 物理故障恢复
      • 软件层面恢复
      • 物理信号恢复
    • 数据检索与固定
    • 数据来源分析
  • 司法鉴定程序p243
    • 申请
    • 决定
    • 委托
    • 受理
    • 实施
    • 出具鉴定意见
  • 不符合鉴定条件的情形p245
    • 委托鉴定事项超出本机构司法鉴定业务范围的
    • 发现鉴定材料不真实，不完整，不充分或者取得方式不合法的
    • 鉴定用途不合法或违背社会公德的
    • 鉴定要求不符合司法鉴定职业规则或相关鉴定技术规范的
    • 鉴定要求超出本机构技术条件和鉴定能力的
    • 委托人就同一鉴定事项，同时委托其他司法鉴定机构进行鉴定的
    • 其他不符合法律法规规章规定的情形
  • 司法鉴定意见书制作的一般规则p250
    • 表述简洁性原则
    • 过程完整性原则
    • 结果可重现原则
  • 影响计算机司法鉴定质量的问题p252
    • 难以处理鉴定效率，鉴定准确性两者的关系
    • 鉴定程序合法性与合理性难以保障
    • 鉴定可重复性难以保障
  • 计算机司法鉴定管理与质量控制的主要内容p254
    • 内部管理与外部监督相结合原则
    • 多方面，多层面控制原则
      • 对鉴定人员的管理
      • 对鉴定进度的管理
      • 鉴定质量的管理
      • 对鉴定风险的管理
      • 对鉴定材料移交的管理
• 14.新时代计算机取证面临的新技术和新问题p265
  • 技术层面的困境
    • 取证工具的落后，开发有滞后性
    • 云安全问题的困扰
  • 制度层面的困境
    • 大管辖问题
    • 专家系统缺失
    • 认证平台的缺位
  • 证据法层面的困境
    • 大数据客观性问题
      大数据所涉及数据量规模巨大，大数据赋予我们宏观层面上的洞察力，对客观性存在冲击
    • 举证责任的问题
      一般主张人很难拿到数据资料
    • 证据种类问题
      如果大数据得出的结论作为证据出现，那么如何验证
      如果大数据本身作为证据，那尚且可以用大数据方法来验证其有效性
  • 思维模式层面的困境
    • 颠覆了传统侦查思维
    • 大数据分析结果司法适用的考虑
      未实施的行为即做出惩罚，这不仅不符合无罪推定原则，也不符合法律评价的是人的行为这一基本法学理念。