电子文件证据取证研究

电子文件证据取证研究

ID:16354655

大小:26.15 KB

页数:20页

时间:2018-08-09

电子文件证据取证研究_第1页
电子文件证据取证研究_第2页
电子文件证据取证研究_第3页
电子文件证据取证研究_第4页
电子文件证据取证研究_第5页
资源描述:

《电子文件证据取证研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电子文件证据取证研究 由于电子文件证据自身具有不同于传统证据的许多特点,所以保证电子文件证据的真实性就成为确认其证据价值的关键,为此对电子文件的制作过程,存储、传递的可靠性,信息完整性的保护,数据是否有伪造和被篡改,应结合计算机数据分析报告和专家的鉴定结论进行审查, 唐山债务追讨,并结合其他证据相互印证。如果电子文件证据与其他证据相一致且并无相反的其他证据,共同指向同一事实,就可以认定其效力。电子文件证据本身和取证过程的许多有别于传统证据和取证方法的特点,使电子文件证据取证问题倍受人们关注。综合各方面,电子文件证据取

2、证涵义可概括为:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确认与获取,取证包括了对以磁介质编码信息方式存储的电子文件证据的保护、确认、提取和归档。      一、电子文件证据的取证原则及步骤      为便于电子文件证据的搜集,我国从2000年9月25日起施行的互联网信息服务管理办法已经规定:“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接人服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息

3、。”记录备份的保存时间为60日,并在国家有关机关依法查询时,予以提供,违者将受行政处罚。这为警方侦查办案提供了很好的线索和证据。关于电子文件证据的收集方法,并没有固定模式,根据电子文件证据的不同,可以采取不同的方式。如需要收集当事人的电子邮件,仅仅对对方提供的自己计算机留存和下载的电子邮件进行收集是不够的,通常还应该向电子邮件服务器提供商收集证据,电子邮件服务器如实记录了电子邮件的内容以及收发和提取时间。   电子文件证据取证的主要原则可概括为以下几点:首先,尽早搜集证据,并保证其没有受到任何破坏;其次,必须保证证据

4、连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其他方委派的专家的监督。   在保证以上基本原则的情况下,电子文件证据的取证工作一般按照下面步骤进行:   第一,在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;第二,搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件

5、覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;第三,全部(或尽可能)恢复发现的已删除文件;第四,最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;第五,如果可能并且如果法律允许,访问被保护或加密文件的内容;第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括两类:一类是所谓的未分配磁盘空间——虽然目前没有被使用,但可能包含有先前的数据残留;另一类是文件中的“slack”空间——如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中

6、可能包含了先前文件遗留下来的信息,可能是有用的证据;第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息;第八,给出必需的专家证明。   上面提到的电子文件证据取证原则及步骤都是基于一种静态的视点,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高,这种静态的视点已经无法满足要求,发展趋势是将电子文件证据取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过

7、程将更加系统并具有智能性,也将更加灵活多样。      二、电子文件证据取证的主要技术      常用的电子文件证据获取技术主要包括:对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰;对数据和软件的安全搜集技术;对磁盘或其他存储介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对磁盘空间、未分配空间和自由空间中所含信息的发掘技术;对交换文件、缓存文件、临时文件中包含信息的复原技术;计算机在某一特定时刻活动内存中数据的搜集技术;网络流动数据的获取技术等等。数据复原技术是其中非常关键的取证技术之一

8、。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,较难篡改。因此,当发生计算机犯罪,其中有关证据已经被修改、破坏时,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。      三、保护已得到电子文件

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。