電子取證技術(shù)有幾大方向

　　由于電子證據(jù)的特殊性，在收集電子證據(jù)時，首先需由提供證據(jù)單位的計算機操作人員打開電腦，查找所需收集的證據(jù)。當找到證據(jù)時，取證人員應(yīng)通過顯示器觀察和確認該文件的形成時間。然后由操作人員打開文件，由取證人員確認該文件系所要收集的證據(jù)后，采用相應(yīng)的方式予以提取固定。下面由學習啦小編為你介紹電子取證的相關(guān)法律知識。

　　電子取證技術(shù)的三大方向

　　計算機取證是對計算機犯罪證據(jù)的識別獲取、傳輸、保存、分析和提交認證過程，實質(zhì)是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。

　　國內(nèi)外計算機取證應(yīng)用發(fā)展概況

　　現(xiàn)在美國至少有70%的法律部門擁 有自己的計算機取證實驗室，取證專家在實驗室內(nèi)分析從犯罪現(xiàn)場獲取的計算機(和外設(shè))，并試圖找出入侵行為。

　　在國內(nèi)，公安部門打擊計算機犯罪案件是近幾年的事，有關(guān)計算機取證方面的研究和實踐才剛起步。中科院主攻取證機的開發(fā)，浙江大學和復旦大學在研究取證技術(shù)、吉林大學在網(wǎng)絡(luò)逆向追蹤，電子科技大學在網(wǎng)絡(luò)誘騙、北京航空航天大學在入侵誘騙模型等方面展開了研究工作。但還沒有看到相關(guān)的階段性成果報道。

電子取證技術(shù)的三大方向

　　計算機電子取證的局限性以及面臨的問題

　　計算機取證的理論和軟件工具是近年來計算機安全領(lǐng)域內(nèi)取得的重大成就，從計算機取證的軟件和工具實現(xiàn)過程的分析中可以發(fā)現(xiàn)，當前計算機取證技術(shù)還存在很大局限性。

　　從理論上講，計算機取證人員能否找到犯罪證據(jù)取決于：有關(guān)犯罪證據(jù)必須沒有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)，從當前軟件的實現(xiàn)情況來看，許多所謂的“取證分析”軟件還僅僅是恢復使用rm或strip命令刪除的文件。

　　計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化：

　　(1) 反取證技術(shù)的發(fā)展。反取證就是刪除或隱藏證據(jù)使取證調(diào)查失效。反取證技術(shù)分為3類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏和數(shù)據(jù)加密，這些技術(shù)還可以結(jié)合起來使用，讓取證工作的效果大打折扣。

　　(2) NestWatch、NetTracker、LogSurfer、VBStats，NetLog和Analog等工具可以對日志進行分析，以得到入侵者的蛛絲馬跡。一些入侵者利用Root Kit(系統(tǒng)后門、木馬程序等)繞開系統(tǒng)日志，一旦攻擊者獲得了Root權(quán)限，就可以輕易修改或破壞或刪除操作系統(tǒng)的日志。

　　計算機電子取證軟件局限性表現(xiàn)為：

　　(1) 目前開發(fā)的取證軟件的功能主要集中在磁盤分析上，如磁盤映像拷貝，被刪除數(shù)據(jù)恢復和查找等工具軟件開發(fā)研制。其它取證工作依賴于取證專家人工進行，也造成了計算機取證等同于磁盤分析軟件的錯覺。

　　(2)現(xiàn)在計算機取證是一個新的研究領(lǐng)域，許多組織、公司都投入了大量人力進行研究。但沒有統(tǒng)一標準和規(guī)范，軟件的使用者很難對這些工具的有效性和可靠性進行比較。也沒有任何機構(gòu)對計算機取證和工作人員進行認證，使得取證權(quán)威性受到質(zhì)疑。

　　計算機電子取證發(fā)展研究

　　計算機取證技術(shù)隨著黑客技術(shù)提高而不斷發(fā)展，為確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來黑客技術(shù)的發(fā)展趨勢，以及計算機取證研究工作的不斷深入和改善，計算機取證將向以下幾個方向發(fā)展：

　　電子取證工具向智能化、專業(yè)化和自動化方向發(fā)展

　　計算機取證科學涉及到多方面知識。現(xiàn)在許多工作依賴于人工實現(xiàn)，大大降低取證速度和取證結(jié)果的可靠性。在工具軟件的開發(fā)上應(yīng)該結(jié)合計算機領(lǐng)域內(nèi)的其它理論和技術(shù)，以代替大部分人工操作。

　　利用無線局域網(wǎng)和手機、PDA、便攜式計算機進行犯罪的案件逐年上升，這些犯罪的證據(jù)會以不同形式分布在計算機、路由器、入侵檢測系統(tǒng)等不同設(shè)備上，要找到這些工具就需要針對不同的硬件和信息格式做出相應(yīng)的專門的取證工具。

　　計算機電子取證的相關(guān)技術(shù)發(fā)展

　　從計算機取證的過程看，對于電子證據(jù)的識別獲取可以加強動態(tài)取證技術(shù)研究，將計算機取證結(jié)合到入侵檢測、防火墻、網(wǎng)絡(luò)偵聽等網(wǎng)絡(luò)安全產(chǎn)品中進行動態(tài)取證技術(shù)研究;對于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M行加密技術(shù)研究;對于電子證據(jù)的分析，是從海量數(shù)據(jù)中獲取與計算機犯罪有關(guān)證據(jù)，需進行相關(guān)性分析技術(shù)研究，需要高效率的搜索算法、完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。

　　對入侵者要進行計算機犯罪取證學的入侵追蹤技術(shù)研究，目前有基于主機追蹤方法的Caller ID，基于網(wǎng)絡(luò)追蹤方法的IDIP、SWT產(chǎn)品。有學者針對網(wǎng)絡(luò)層的追蹤問題，提出基于聚類的流量壓縮算法，研究基于概率的追蹤算法優(yōu)化研究，對于應(yīng)用層根據(jù)信息論和編碼理論，提出采用數(shù)字水印和對象標記的追蹤算法和實現(xiàn)技術(shù)，很有借鑒意義。在調(diào)查被加密的可執(zhí)行文件時，需要在計算機取證中針對入侵行為展開解密技術(shù)研究，。

　　計算機取證的另一個迫切技術(shù)問題就是對取證模型的研究和實現(xiàn)，當前應(yīng)該開始著手分析網(wǎng)絡(luò)取證的詳細需求，建立犯罪行為案例、入侵行為案例和電子證據(jù)特征的取證知識庫，有學者提出采用XML和OEM數(shù)據(jù)模型、數(shù)據(jù)融合技術(shù)、取證知識庫、專家推理機制和挖掘引擎的取證計算模型，并開始著手研究對此模型的評價機制。

　　計算機電子取證的標準化研究

　　計算機取證工具應(yīng)用，公安執(zhí)法機關(guān)還缺乏有效的工具，僅只利用國外一些常用的取證工具或者自身技術(shù)經(jīng)驗開發(fā)應(yīng)用，在程序上還缺乏一套計算機取證的流程，提出的證據(jù)很容易遭到質(zhì)疑。對計算機取證應(yīng)該制定相關(guān)法律、技術(shù)標準，制度以及取證原則、流程、方法等，到目前為止，還沒有專門的機構(gòu)對計算機取證機構(gòu)或工作人員的資質(zhì)進行認定。加強對具有取證職能的計算機司法鑒定機構(gòu)的建設(shè)，指定取證工具的評價標準，對計算機取證操作規(guī)范是很必要的。

　　相關(guān)閱讀：

　　電子證據(jù)的認定

　　電子證據(jù)的認證也就是審查電子證據(jù)是否符合電子證據(jù)認定的相關(guān)性，真實性，合法性等標準。在審判實踐中主要審查與案件定罪、量刑等相關(guān)的電子證據(jù)的真實性和合法性。

　　在審查電子證據(jù)真實性過程中，首先必須嚴格審查電子證據(jù)的來源。在證據(jù)采信過程中，主要體現(xiàn)在如下幾個方面：第一，證據(jù)的來源必須是客觀存在的，排除臆造出來的可能性;第二，確定證據(jù)來源的真實可靠性，根據(jù)電子證據(jù)形成的時間、地點、對象、制作人、制作過程及設(shè)備情況，明確電子證據(jù)所反映的是否真實可靠，有無偽造和刪改的可能。如網(wǎng)絡(luò)銀行出具的支付、結(jié)算憑據(jù)，EDI中心提供的提單簽發(fā)、傳輸記錄，CA認證中心提供的認證或公證書等就具有相當?shù)目煽啃院洼^強的證明力。

　　其次審查電子證據(jù)的內(nèi)容。結(jié)合電子證據(jù)本身的技術(shù)含量及加密條件、加密方法，判斷電子證據(jù)是否真實、有無剪裁、拼湊、偽造、篡改等，對于自相矛盾、內(nèi)容前后不一致或不符合情理的電子證據(jù)，應(yīng)謹慎審查。

　　最后根據(jù)唯一性的原則結(jié)合其他證據(jù)進行審查分析判斷電子證據(jù)是否真實。多個連續(xù)的電子證據(jù)經(jīng)過時間空間上的排列、組合之后，應(yīng)同網(wǎng)絡(luò)犯罪行為的發(fā)生、發(fā)展過程和結(jié)果一致，形成一個完整的證明體系，相互印證，所得出的結(jié)論是本案唯一的結(jié)論。如審查有無電子證據(jù)所反映的事實，同有關(guān)書證、物證、證人證言是否互相吻合，是否有矛盾。如果與其他證據(jù)相一致，共同指向同一事實，就可以認定其效力，可以作為定案根據(jù)，反之則不能作為定案根據(jù)。

　　看過“電子取證技術(shù)有幾大方向”的人還看過：

1.電子證據(jù)如何辦理公證流程

2.計算機取證技術(shù)探討論文

3.試論反竊電證據(jù)的收集與運用

4.電子證據(jù)的證據(jù)能力與證明力研究論文

5.如何防范電子票據(jù)的法律風險