电子数据取证学习

概述

概念

电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

特点

计算机数据无时无刻不在改变
计算机数据不是肉眼直接可见的，必须借助适当的工具
搜集计算机数据的过程，可能会对原始数据造成严重的修改
电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步

取证类别

按存储介质的载体分类：

计算机取证
手机取证
物联网取证
云取证
网络取证

按数据归属的类别分类：

内存取证
数据库取证
视频取证
图像取证
邮件取证
密码破解
数据可视化分析

取证原则

电子数据取证工作必须遵循以下基本原则，以确保取证工作的合法性、规范性和有效性：

不损害原则

在取证过程中，必须确保不对原始证据造成任何破坏或改变。所有的取证操作都应在复制件上进行，以保护原始数据的完整性。

避免使用原始证据

为了保护原始证据不受污染，所有的分析和检验工作都应该在原始证据的复制件上进行，原始证据应妥善保管并作为最终的验证依据。

记录所做的操作

取证人员必须详细记录在取证过程中所进行的每一步操作，包括使用的工具、方法、时间等，确保取证过程的可追溯性和可重复性。

遵循相关的法律法规

整个取证过程必须严格遵守国家相关法律法规和行业标准，确保所获取的电子证据具有法律效力，能够在诉讼中被采纳。

取证流程

电子数据取证总体上可分为现场勘查阶段和证据分析阶段。现场勘查阶段主要任务是获取可能的物理证据，如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。证据分析阶段则是对获取的存储设备进行深入检查，发现可能的电子证据并生成报告，以便提交给法庭作为诉讼证据。

具体流程步骤

取证准备

取证人员在前往现场进行勘查取证之前，必须做好充分的准备工作。包括了解案件的基本情况、现场所在的位置、现场可能有哪些人、要取证的对象可能包括哪些等。根据所了解的案情，准备前往现场的勘查人员和勘查设备。

证据识别

识别现场可能包含证据的设备，如嫌疑人的计算机、打印机、存储介质（软盘、光盘、移动硬盘、U盘、CF卡）、其它电子设备（如PDA、手机、数码相机）。需要注意的是，现在存储介质的形状样式越来越多样化，如U盘可以做成各种样式，应该注意识别这些被"隐藏"起来的证据。

证据收集

收集现场发现的证物并做好记录。对所有收集到的物证进行编号、拍照、登记，确保证据链的完整性和可追溯性。

证据固定及获取

证据固定的目的是要保护原始证据不被破坏。如当现场的计算机处于开机状态时，内存信息、屏幕信息、进程信息等关机后就会丢失的易丢失证据，需要将其提取出来进行保存，然后再关机。对于硬盘数据等非易失性数据，也须用硬盘复制机复制下来以便后续分析，从而避免硬盘硬件出现故障或硬盘中的数据被篡改。

证据保存

证据保存是将获取的物证进行封装，以便存储和运输。电子证物的封装除了要考虑通常的防潮防震以外，部分证物还应注意防静电或进行信号屏蔽。如开机状态的手机，应立即放入信号屏蔽盒中，以避免新短信或电话呼叫导致覆盖手机内存或SIM卡中的原有信息。

证据分析

证据分析过程是借助取证分析软件对获取的电子证据进行深入分析，挖掘出潜在的犯罪证据和线索。功能比较综合的取证软件如Encase、FTK、取证大师、火眼等。

生成报告

将取证软件的分析结果生成符合规定的报告形式。取证软件本身一般都提供报告的制作和导出功能，确保报告的专业性和规范性。

取证工具

                    常见电子数据取证装备
                    硬盘复制机
取证工作站、取证一体机
免拆机取证系统
计算机取证：计算机取证分析软件、动态仿真系统
手机取证：手机取证分析、手机解锁、手机仿真、手机芯片取证
多媒体取证：图片取证、视频取证
密码破解
综合数据分析等

                

国外主要厂商及产品

厂商	代表产品	影响力	网站
Guidance Software	只读锁：T35u/T35es/T8/T9等硬盘复制机：TD1/TD2/TD3/TX1	高	www.guidancesoftware.com
Logicube	硬盘复制机：Dossier/Falcon/Talon	高	www.logicube.com
Digital Intelligence	只读锁：Tableau系列取证工作站：FRED系列	高	www.digitalintelligence.com
ICS	只读锁：Super DriveLock 硬盘复制机：SOLO5	中	www.ics-iq.com
ATOLA	硬盘复制机：ATOLA Insight	中	www.atola.com
Accessdata	FTK、DNA、Summation等系列	中	www.accessdata.com
X-Ways	取证分析软件：X-Ways Forensics	高	www.x-ways.net
Magnet	电子数据取证综合分析工具：AXIOM	高	www.magnetforensics.com

国内主要厂商及产品

厂商	代表产品	影响力	网站
美亚柏科	只读锁：DC-7800系列等硬盘复制机：DC-8200PRO/DC-8103 取证一体机：取证魔方取证工作站：取证塔、手机塔等	高	www.300188.cn
奇安信	盘古石系列取证分析产品	高	www.qianxin.com
上海弘连	火眼、网镜、网探、雷电APP分析等	高	www.forensix.com
杭州平航	手机取证PK250、计算机取证系列产品	高	www.pinghang.com.cn
四川效率源	数据恢复设备、手机取证及计算机取证设备、取证实验室设备	高	www.xlysoft.cn
厦门兴百邦	取证神探、取证前锋、仿影仿真、手机解锁大师、手机神探等	中	www.binarydata.cn
深圳云帆赢通	IEDF手机Root及镜像系统、手机芯片取证设备	中	www.szyfyt.com
苏州龙信科技	天眼介质取证系统、计算机仿真取证系统等	中	www.longxintec.com

开源取证软件

AUTOPSY

Autopsy是一款开源取证分析工具，可用于院校开展取证教学及取证研究。国外也有执法部门将其用于实战使用。

Digital Forensics Framework (DFF)

DFF是以专用API为基础的一个开源计算机取证平台，具有GPL许可证。它是一个灵活的模块化系统，可以辅助你的数据调查取证工作。

法律法规与标准

国家及行业标准

基础检验规程

GB/T 29360-2012 电子物证数据恢复检验规程
GB/T 29360-2023 法庭科学电子数据恢复检验规程
GB/T 29361-2012 电子物证文件一致性检验规程
GB/T 29361-2023 法庭科学电子数据文件一致性检验规程
GB/T 29362-2012 电子物证数据搜索检验规程
GB/T 29362-2023 法庭科学电子数据搜索检验规程

设备与工具规范

GA/T 754-2008 电子数据存储介质复制工具要求及检测方法
GA/T 755-2008 电子数据存储介质写保护设备检测方法
GA/T 756-2008 数字化设备证据数据发现提取固定方法

专项检验技术规范

GA/T 757-2008 程序功能检验方法
GA/T 825-2009 电子物证数据搜索检验技术规范
GA/T 826-2009 电子物证数据恢复检验技术规范
GA/T 827-2009 电子物证文件一致性检验技术规范
GA/T 828-2009 电子物证软件功能检验技术规范
GA/T 829-2009 电子物证软件一致性检验技术规范
GA/T 976-2012 电子数据法庭科学鉴定通用方法
GA/T 977-2012 取证与鉴定文书电子签名
GA/T 978-2012 网络游戏私服检验技术方法

移动终端与特定系统

GA/T 1069-2013 法庭科学电子物证手机检验技术规范
GA/T 1070-2013 法庭科学计算机开关机时间检验技术规范
GA/T 1071-2013 法庭科学电子物证Windows操作系统日志检验技术规范
GA/T 1770-2014 移动终端取证检验方法
GA/T 1771-2014 芯片相似性比对检验方法

网络与通讯数据

GA/T 1772-2014 电子邮件检验技术方法
GA/T 1773-2014 即时通讯记录检验技术方法
GA/T 1774-2014 电子证据数据现场获取通用方法
GA/T 1775-2014 软件相似性检验技术方法
GA/T 1776-2014 网页浏览器历史数据检验技术方法

赛事检材

在线查看赛事检材文档

电子数据取证知识体系

概述

概念

特点