(一)取证技术之于电子数据
电子数据取证工作主要是围绕电子数据进行的。通俗点讲,电子数据指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。[1]电子数据取证技术是一切能够用于电子数据取证工作的技术总和,电子数据取证技术可以看作对电子设备中可能涉案的电子数据进行发现、提取、保全、分析检验和报告生成的过程中所采用的一切技术手段。电子数据取证技术和电子数据之间关系紧密。
(1)电子数据的产生、存储和传输都必须借助于计算机技术、存储技术、网络技术等。首先,电子数据是在电子设备如计算机或计算机系统运行过程中产生的电磁记录,我们所谓的电子数据其实质上只是一堆按编码规则处理成的“0”和“1”二进制串,这种二进制串能够被计算机读懂,而人使用高级语言或者输入信息,计算机是读不懂的,必须经过数字化的转换过程生成二进制的机器语言。因此,对于这种看不见摸不着,具有内在无形性二进制数据,必须借助取证技术或取证工具去识别电子数据。
其次,电子数据又具有外在表现形式的多样性,可以文本、图形和图像的形式体现,也可以动画、音频及视频的形式体现。取证人员从未见到实际的数据,字母和数字这些数据经过转换得到的只是外在表现形式的一种描述,如何将这些数据信息有效地组织在一起,并翻译成人能看的外在表现形式,离不开电子数据取证技术。
(2)电子数据的有效应用离不开取证技术的支持。电子数据及其依附的环境可以很容易地被修改,可能是犯罪嫌疑人故意的修改,也可能是取证人员在收集中无意的修改,这种修改不会留下明显的失真信号。在电子数据分析阶段,当有人为因素或技术的障碍介入时,电子数据极容易被篡改、伪造、破坏或毁灭,并且与传统证据形式相比,被破坏后不留痕迹,难以凭肉眼判断。无论电子数据作为案件的侦查线索,还是成为法庭的呈堂证供,取证技术是查清和判断电子数据是否被改动过的技术保障。
(二)取证技术之于电子数据取证过程
按照取证的对象不同可以将电子数据取证分为基于主机取证和基于网络取证。基于主机取证的对象是存放在计算机硬盘、内存、外围设备中的文件、进程等信息;基于网络取证的对象是计算机网络中的报文信息和相应的服务的日志、审计信息。按照取证的时机不同,取证又分为实时取证和事后取证,事后取证,也称为静态取证,是指计算机在已遭受入侵的情况下,运用各种技术手段对其进行分析取证工作;实时取证,也称动态取证,指利用相关的网络取证工具,实时获取网络数据以此来分析攻击者的身份、企图,并获得攻击者的行为证据。
从取证过程的角度看,DFRWS框架根据取证过程将取证技术分成如下六大类:识别类(Identification)、保存类(Preservation)、收集类(Collection)、检查类(Examination)、分析类(Analysis)、呈堂类(Presentation)。[2]根据DFRWS技术框架,电子数据取证过程中涉及的取证技术有电子数据发现技术、电子数据保全技术、电子数据收集技术、电子数据检验技术、电子数据分析技术、电子数据呈堂技术等。[3]从电子数据的发现到电子数据的呈堂供证整个过程,电子数据取证技术基本上贯穿每一个取证阶段。
1.电子数据发现技术
电子数据发现是对被调查的计算机和相关设备及网络所提供的虚拟数字现场进行调查,去搜索和确认可能涉案的证据数据。电子数据发现环节所用到的具体技术包括关键词搜索技术、隐蔽代码发现技术、端口和漏洞扫描技术、网络数据包抓获技术、数据挖掘技术等。
2.电子数据保全技术(www.xing528.com)
电子数据保全用一定形式将电子数据固定下来,加以妥善保管,以便司法人员或律师分析、认定案件事实时使用。电子数据保全所应用到的具体技术包括数字摘要技术、数字签名技术、数字签名及时间戳技术、数据加密技术等。
3.电子数据收集技术
电子数据收集是指面对众多未知和不确定性的数字信息,通过技术手段收集和获取确定性的、与案件相关的证据信息。电子数据收集所应用的具体技术包括软硬件的数据恢复技术、磁盘镜像技术、密码破解技术、数据复原技术、数据扫描技术等。
4.电子数据检验技术
电子数据检验技术指的是在已收集好的电子数据基础上,结合案件进行合理解释、分析所涉及的技术,检验工作主要对已经收集来的电子数据进行检查、识别和提取。电子数据检验所应用的具体技术包括数据挖掘技术、数据解密技术、数据搜索技术等。
5.电子数据分析技术
电子数据分析是指为了查明案件事实真相提供的证据分析,一般包括分析证实信息的存在、来源以及传播途径等。用于电子数据分析的具体技术包括日志分析技术、数据解密技术、数据挖掘技术、对比分析技术等。
6.电子数据呈堂技术
电子数据呈堂指在对调查对象进行全面梳理和分析的基础上,进行数据汇总并得出分析意见。电子数据呈堂内容包括对证据的真实性和完整性的情况说明、对证据意义和不同证据之间的相互关系的理解,对电子数据生成过程中相关系统环境和网络环境的说明,以及对调查过程中发现的其他信息等进行说明或解释的情形。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。