计算机犯罪是目前破坏性最大的一类犯罪,要打击和遏制这种犯罪,计算机取证与司法鉴定承担着不可取代的作用,这是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科,是当前或不远的将来,我国信息网络安全亟须解决的重要问题,具有鲜明的时代性和创新特点。由于电子取证、计算机取证和司法鉴定有很多的共同点,所以本书在不引起歧义的情况下,有时并不区分它们。
1.1 计算机取证与司法鉴定
1.1.1 计算机取证
计算机取证,目前还没有权威组织给出一个统一的定义,很多的专业人士和机构从不同的角度给出了计算机取证的定义。Judd Robbins是计算机取证方面的一位著名的专家和资深人士,他对计算机取证的定义如下:“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取”。计算机紧急事件响应和取证咨询公司New Technologies进一步扩展了该定义:“计算机取证是对计算机证据的保护、确认、提取和归档的过程”。取证专家Reith Clint Mark认为计算机取证可以是“从计算机中收集和发现证据的技术和工具”。
笔者认为计算机取证或计算机法医学(computer forensics)是研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。此外,还有数字取证(digital forensics)和电子取证(electronic forensics),这与计算机取证是有所区别的:计算机取证的主体对象是计算机系统内与案件有关的数据信息,数字取证的主体对象是存在于各种电子设备和计算机系统中与案件有关的数字化数据信息,而电子取证的主体对象是指电子化存储的、能反映有关案件真实情况的数据信息。
1.1.2 计算机司法鉴定
司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性
计算机取证与司法鉴定
2
问题进行鉴别和判断并提供鉴定意见的活动。司法鉴定是刑事诉讼制度中的重要一环,长期以来,由于缺乏有关的法律规范,司法鉴定的混乱在一定程度上影响了法院对案件的审理。公、检、法、司各有各的司法鉴定机构,社会鉴定机构也未纳入统一管理,自审自鉴,多重鉴定,鉴定结论模糊,鉴定缺乏统一的标准问题突出,妨害了司法鉴定的客观性、独立性、公正性。2005年2月28日《全国人民代表大会常务委员会关于司法鉴定管理问题的决定》的颁布对解决司法鉴定长期以来存在的问题,加强对鉴定人和鉴定机构的管理,维护司法鉴定的独立性,具有重要意义。《决定》对我国司法鉴定体制进行了改革,规定公安、安全、检察和军队的侦查机关根据侦查工作的需要设立的鉴定机构,不得面向社会接受委托从事司法鉴定业务;人民法院和司法行政部门不得设立鉴定机构;司法鉴定由在司法机关注册的鉴定机构进行,这是一种独立的第三方中介机构,鉴定机构无级别,受理案件无地域限制,实行鉴定人负责制,独立、公正地服务社会,收取报酬。
1.1.3 计算机取证与司法鉴定的研究现状
1.国外的研究概况
1984年美国FBI成立了计算机分析响应组(Computer Analysis and Response Team,CART),20世纪90年代创立的国际计算机证据组织(https://www.doczj.com/doc/f54039809.html,)就是要保护国家之间在计算机证据处理方法和实践上的一致性,保证从一个国家收集的数字证据能在另外一个国家使用。1998年成立了数字证据工作组(https://www.doczj.com/doc/f54039809.html,),该工作组在几年前提出了“同行评审期刊”,进而推出国际数字证据期刊(https://www.doczj.com/doc/f54039809.html,)。2000年左右,业内许多专家逐渐意识到由于取证理论的匮乏所带来的种种问题,因此又开始对取证程序及取证标准等基本问题进行研究,并提出了几种典型的取证过程模型,即基本过程模型(basic process model)、事件响应过程模型(incident response process model)、法律执行过程模型(law enforcement process model)、过程抽象模型(abstract process model)和其他过程模型。2003年,美国犯罪实验室主任协会/实验鉴定委员会(American Society of Crime Laboratory Directors/Laboratory Accreditation Board, ASCLD/LAB)制定了新的鉴定手册,包含了美国犯罪实验室中为数字证据取证人员制定的标准和准则。2004年,“英国法学服务”计划建立一个资格专家注册库,2008年有些欧洲组织,包括“欧洲法学研究所(ENFSI)”将为计算机取证人员出版、撰写指南性的检验和报告。
2.国内的研究概况
2005年11月,我国在北京成立了电子取证专家委员会并举办了首届计算机取证技术研讨会,2007年8月,在新疆乌鲁木齐举办了第二届计算机取证技术研讨会。2005年以来,CCFC计算机取证技术峰会和高峰论坛也非常活跃,举办了三次大型活动。2007年和2008年,在北京举行的国际反恐警用装备展中,电子取证的软硬件等设备,开始成为亮点。目前,中科院在网络入侵取证、武汉大学和复旦大学在密码技术、吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面都展开了研究工作。
湖北警官学院在计算机取证和司法鉴定方面的研究工作走在公安院校的前列,2004年8月,
第1章计算机取证与司法鉴定概论
3
开始筹建湖北警官学院电子取证重点实验室,承担了国家、公安部和湖北省的一系列项目,2006年8月依托湖北警官学院电子取证重点实验室,成立了具有司法鉴定资质的湖北丹平
司法鉴定所(后改名为湖北三真司法鉴定所),拥有12位国家计算机司法鉴定人,承办了
大量的计算机取证和司法鉴定案件。在国内这个领域已经开始活跃。
1.1.4 国内外在该学科领域已经取得的成果和进展
1.国内外动态
20世纪90年代中期,随着Internet等网络技术的发展,以计算机犯罪为主的电子犯罪
呈现更加猖獗的势头,司法机关对取证技术及取证工具的需求更加强烈。由于看好取证产
品的广阔市场,许多商家相继推出了许多关于取证的专用产品,如美国GUIDANCE软件
公司开发的Encase、美国计算机取证公司开发的DIBS以及英国Vogon公司开发的Flight Server等产品。由于主要受商家和应用技术的驱动,理论发展比较滞后,标准不统一。这
种趋势导致在调查取证时既没有一致性也没有可依靠的标准,因此急切需要对计算机取证
技术的理论和方法进行更深入的研究。
在国内,有关计算机取证方面的研究和实践才刚起步,执法机关对计算机取证工具的
应用,多是利用国外一些常用取证工具或者自身技术经验开发的工具,在程序上计算机取
证的流程缺乏比较深入的研究,证据收集、文档化和保存不很完善,而且数字证据分析和
解释也存在不足,造成电子数字证据的可靠性、有效性、可信度不强。到目前为止,专门
的权威机构对计算机取证机构或工作人员的资质认定还没有形成规范,计算机取证工具的
评价标准尚未建立,计算机取证操作规范的执行也有所欠缺。
2.目前国内外在该学科领域已经取得的成果和进展
1)主机电子证据保全、恢复和分析技术
基于主机系统的取证技术是针对一台可能含有证据的非在线计算机进行证据获取的
技术。包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据
挖掘技术等。
磁盘映像复制技术:由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行,所以,磁盘的映像复制技术就显得十分重要和必要。对于主机系统的取证而言,硬盘
是计算机最主要的信息存储介质,一直以来是基于主机取证技术的重要研究内容。目前国内、外市场上,可进行硬盘数据复制的软硬件产品很多:有为司法需要而特殊设计的SOLO Ⅲ、SOLO Ⅱ、MD5、SF-5000专用硬盘取证设备,有适合IT业硬盘复制需要的SONIX、Magic JumBO DD-212、Solitair Turbo、Echo硬盘拷贝机;有以软件方式实现硬盘数据全面
获取的取证分析软件,如FTK、Paraben’s Fore nsic Replicator、Encase;有综合实现硬盘取
证和数据分析需要的多功能取证箱,如Road MASSter Ⅱ、计算机犯罪取证勘查箱(金诺
网安)、“天宇”移动介质取证箱(北京天宇晶远)、“网警”计算机犯罪取证勘察箱(厦门
美亚);此外,还有针对无法打开机箱的计算机硬盘专用获取设备,如LinkMasster Ⅱ、“全
能拷贝王”、CD-500。
计算机取证与司法鉴定
4
对于数据恢复技术,国际取证专家普遍看好的有取证软件TCT(the Coronor’s toolkit)和Encase等。但一些安全删除工具删除的数据也会留有痕迹,也称为阴影数据(shadow data),目前用特殊的电子显微镜一比特一比特地可以恢复写过多次的磁道。但七次覆盖后数据恢复技术不是很成熟,目前国外,Ontrack 公司、Ibas 实验室等数据恢复服务公司或机构正在进行研究七次覆盖后的数据恢复技术。
反取证技术:反取证就是删除或隐藏证据使调查失效,反取证技术分为3类(数据擦除、数据隐藏、数据加密)。目前针对基于主机系统取证中的反取证而开发的工具不是很多,据报道目前能够综合应用的反取证工具仅是Runefs工具,但技术也不是很成熟。在当前而言,取证技术还不能完全击败反取证技术,但针对不同类型的反取证技术也开发了一些针对性的工具和应用,主要有需要密码学专业领域知识的密码分析技术和应用;包括口令字典、重点猜测、穷举破解等技术和应用;口令搜索;口令提取;口令恢复等技术的研究和开发的工具应用。对于数据擦除方面目前有Higher Ground Software公司的软件Hard Drive Mechanic、lazarus工具、在UNIX环境Unrm等工具。
反向工程技术:反向工程技术用于分析目标主机上可疑程序的作用,从而获取证据。
国外一些科研机构正在进行相关技术的研究,但目前这方面开发的工具还很少。
基于主机系统的取证工具已有很多,但缺乏评价机制和标准。什么样的证据应该适用什么样的取证工具,进行怎样的操作过程,才能使获取的电子证据具有可靠性、有效性、可信性,制定取证工具的评价标准和取证工作的操作规范,将会是取证工具应用的另一个发展趋势。
2)网络数据捕获与分析、网络追踪
现有的许多用于网络信息数据流捕获的工具(如NetXray、SnifferPro、Lanexplore等)对各种通信协议的分析都相当透彻,但遗憾的是没有将现有的已经相当成熟的数据仓库技术运用到大量的网络数据的分析之中,更没有将其用于网络入侵的分析与取证之中。数据挖掘是数据仓库技术中最重要也是最成熟的一种技术。数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。数据挖掘并不是简单的检索查询调用,而是对数据进行微观、中观、甚至宏观的统计、分析、综合和推理,以指导实际问题的解决,发现事件间的相互关联,甚至利用已有的数据对未来的活动进行预测。如果我们能够通过对捕获的数据进行知识挖掘与规律发现,监控并预测网络的通信状态并利用捕获的数据结合网络入侵检测系统,分析出网络入侵者的身份、入侵者入侵后的行为,对电子取证将起到不可估量的作用。
信息搜索与过滤技术:在取证的分析阶段往往使用搜索技术进行相关数据信息的查找,这方面的研究技术主要是数据过滤技术、数据挖掘技术等,目前国外这方面的开发应用的软件种类也比较繁多,如i2公司的AN6等,但需要与中国国情相结合。
网络追踪是电子取证的一个重要手段。网络追踪方法可分为四类:
(1)基于主机的方法,依靠每一台主机收集的信息实施追踪;
(2)基于网络的方法,依靠网络连接本身的特性(连接链路中应用层的内容不变)实施追踪;
(3)被动式的追踪方法采取监视和比较网络通信流量来追踪;
(4)主动式的方法通过定制数据包处理过程,动态控制和确定同一连接链中的连接。
第1章计算机取证与司法鉴定概论
5
在进行网络追踪时,突破网络代理定位攻击源是一个很重要的环节。网络代理一般有HTTP、FTP、Socks、Telnet等代理服务器类型,HTTP、FTP和Telnet代理服务器顾名思
义就是分别代理网页浏览、文件传输和远程登录,而Socks是一种可遇不可求的全能代理——前面几种代理服务器所有的功能它都可以实现。Socks代理分为Socks4和Socks5,Socks4代理只支持TCP协议(传输控制协议),Socks5代理支持TCP和UDP协议(用户
数据包协议),还支持各种身份验证机制,服务器端域名解析等。此外,匿名代理还可以实
现网络数据流的控制和过滤,以及抗追踪。目前,代理服务的应用非常广泛,而攻击者为
了抵抗追踪,常常使用代理来实施攻击,因此,研究代理技术对实现网络追踪具有重要的
意义。
3)主动取证
主动取证主要指通过诱骗或攻击性手段获取犯罪证据,目前国外很多研究机构和公司
主要致力于蜜罐(honeypot)技术的研究,honeypot主要有两大类型:产品型和研究型。
产品型主要是用来降低网络的安全风险,提供入侵监测能力;研究型主要是用来记录和研
究入侵者的活动步骤,使用的工具和方法等。较大型的研究项目有:致力于部署分布式蜜
罐的Distributed Honeypot Project,研究蜜网技术的Honeynet Project。蜜网研究联盟Honeynet Research Alliance在此领域有较大影响。美国已成熟的网络诱骗系统包括BackOfficer Friendly、Specter、Mantrap、Winetd、DTK、CyberCop Sting等,这些系统都
是以honeypot技术为核心建立的。
国内在网络攻击诱骗方面也有一些研究。如电子科技大学对业务蜜网系统的有限自动
机进行了研究。也有学者对网络攻击诱骗系统的威胁分析作了部分研究,部分研究人员针
对不同的系统建立了各种入侵诱骗模型以及实际的诱骗系统。
4)密码分析
密码分析和破解一直是密码学中的一个重要内容,目前国内外非常热衷于密码分析研究,并且取得了一些令人瞩目的成绩。我国著名的密码学专家、山东大学信息安全研究所
所长王小云教授带领的密码研究团队在国家自然科学基金“网络与信息安全”重大研究计
划的资金支持下,经过一年多的研究,先后破译了包含MD5与SHA-1在内的系列Hash
函数算法。2005年2月15日,在美国召开的国际信息安全RSA研讨会上,国际著名密码
学专家Adi Shamir宣布,他收到了来自中国山东大学王小云、尹依群、于红波等三人的论文,本论文描述了如何使得两个不同的文件产生相同的SHA-1散列值,而计算复杂度比以
前的方法更低。这是继2004年8月王小云教授破译MD5之后,国际密码学领域的又一突
破性研究成果。
密码分析技术的发展和密码加密技术的发展是分不开的。目前,密码加密技术的方向
向量子密码、生物密码等新一代密码加密技术发展,因此,密码分析技术也会随之进入一
个新的领域。提高密码分析的准确度、减少密码分析消耗的资源也是研究的重点。
目前,由于黑客技术的发展和普及,网络安全受到很大挑战,各种密码算法和标准广
泛应用。在各类信息系统中获取的机密信息很大部分都是经过加密处理的,因而密码分析
与破解成为网络信息获取中的一个必须面对的问题。结合实际的密码应用,通过对密码分
析的研究将会大大提高电子取证工作的成效。密码破解技术将成为一个重要研究热点,应
用前景非常可观。
计算机取证与司法鉴定
6
5)电子取证法学研究
电子取证涉及计算机科学和法学中的行为证据分析以及法律领域,这是一个新兴领域、交叉领域和前沿领域。研究的内容是电子数字证据各方面内容的技术细节,分析任何形式电子数字证据的通用方法,对犯罪行为和动机提供一个综合特定技术知识和常用科学方法的系统化分析方法,探讨打击计算机和网络犯罪的法律模式,从而提供一套可行、可操作性的取证实践标准和合法、客观、关联的电子数字证据。
目前,在国外取证部门中,包括我国取证的技术应用,主要集中在磁盘分析上,如磁盘映像复制、被删除数据恢复和查找等工具软件开发研制和应用,其他工作依赖于取证专家人工完成,当然也造成了电子取证等同于磁盘分析软件的错觉。但随着取证领域的不断扩大,取证工具将向着专业化和自动化的方向发展,在未来的几年里取证技术发展和取证工具的开发将会结合人工智能、机器学习、神经网络和数据挖掘技术等,具有更多的信息分析和自动证据发现的功能,以代替目前大部分的人工操作。同时取证技术也将充分应用实时系统、反向工程技术、软件水印技术、使用更加安全的操作系统等技术。
1.1.5 计算机取证与司法鉴定的证据效力和法律地位
1.电子数据的证据效力
电子数据的证据效力是指保证证据的客观性。在目前实际受理案件的过程中,电子数据一般需要通过司法鉴定才能成为诉讼的直接证据,在办理涉及电子数据的案件时,需要对提取的电子数据进行检验分析,找出电子数据与案件事实的客观联系,从而确定电子数据的真实性和可信性。电子数据能否作为证据?目前各个国家都持肯定态度。鉴于我国有关法律规定:“证明案件真实情况的一切事实,都是证据”,我国法律也赋予电子数据证据地位。
电子数据的认定和采信:电子数据的采信涉及何种证据能够进入诉讼程序或者其他证明活动的问题。我国学界的主流意见是,电子数据必须经过关联性、合法性与真实性的检验,才能作为定案的根据。电子数据的采信要求遵循非歧视原则和“先归类,后认定”
原则。
为保证电子证据的证据能力,首先要将电子证据转换为法定证据形式。中国现行的刑事诉讼法法定的证据方法分成七类,即物证与书证、证人证言、被告人供述、被害人陈述与辩解、鉴定结论、勘验报告和视听材料。在实际应用中,通常可以将电子证据转换为书证、鉴定结论、勘验报告和视听材料四种证据方法,建议在进行转换时可以依循以下原则进行转换。
(1)需要认定信息的存在性时应当以勘验报告的形式提供数字化证据。比如在存储媒介中存放淫秽电影,可以通过现场勘验、检查生成勘验报告,在勘验报告中指明通过勘验证实在存储媒介中存储有多少数量的电影。简单地说,勘验报告在电子数据取证过程中发挥的作用主要是证实嫌疑人的主机上存储有什么内容。
(2)需要通过分析才能形成结论时应当以鉴定结论的形式提供数字化证据。比如需要通过证据分析证明系统入侵案的攻击者是谁,或者需要通过证据分析证明嫌疑人编辑过某个文档,或者需要通过跟踪分析证实某个木马的功能或来源,这些都是需要通过分析才能
第1章计算机取证与司法鉴定概论
7
够得到结论,因此一般都需要以鉴定结论的形式提供数字化证据。这时候,电子数据本身
可以作为鉴定结论的附件形式提交。
(3)需要展示电子数据表达的内容时应当将这些内容转换为书证和视听材料。比如需
要展示电子文档中的内容时可以将这些内容打印出来,由证人或者嫌疑人在这些内容上签
字形成书证材料,以电子文件形式存储的视听材料也应当直接以视听材料的形式提供作为
证据,用户在网站上的登录日志也可以转换为书证。
2.电子数据的证据力
证据力是指证据的合法性。这就要求证据提取、形成过程依循规定程序。取证人员在
实际工作中应依照规则实施调查取证,以保证数字化证据的证据力。为了保证电子数据的
证据力,应当从以下几个方面加以保证:
(1)电子证据的原始性。原始性的证明可通过自认方式、证人具结方式、推定方式和
鉴定方式。
(2)电子数据的完整性。完整性是考察电子数据证明力的一个特殊指标,完整性有两
层含义:一是电子数据本身的完整性;二是电子数据所依赖的计算机系统的完整性。电子
数据完整性是指在现场采集获得的数据没有被篡改,这可通过对数据计算完整性校验码或
者对原始证物封存加以保证。
(3)技术手段的科学性。也就是要求在实施电子数据勘验、检查时使用的软硬件以及
相应的勘验、检查流程符合科学原理。要求使用正版软件,要求取证时使用的软硬件经过
科学方法的检测,也要求勘验、检查流程能够经得起现实的考验。
(4)勘验、检查人员操作的可再现特性。为了保证数字化证据的真实性和完整性,这
就要求勘验、检查人员对数字化证据实施的操作应当是可再现的,也就是应当对勘验、检
查人员对数字化证据的提取、处理、存储、运输过程有详细的审计记录。
3.电子数据的证明力
保证证明力就是要保证证据与待证事实之间的关联性,也就是证据与结论之间是否符
合逻辑。
(1)证据分析原理的科学性和逻辑性。也就是对电子证据事实分析所依赖的软硬件、
技术原理符合科学原理,并且能够经受事实的考验。要求从证据到结论这一过程符合逻辑,这是推断证据运用是否科学的重要依据。
(2)分析过程的可再现特性。也就是指根据相同的分析原理、在相同的数字化证据集
合上进行分析,任何人只要依循相同的分析规则都能够得到相同的结论。在实际操作中,
这一方面要求数字化证据鉴定人员应当对直接的分析过程提供详细的审计记录,另一方面
要求任何其他人根据其提供的审计记录实施相同的操作能够得到相同的分析结论。检验的
结果是否具有稳定不变的特性,是证据科学的首要原则。
1.1.6 计算机取证与司法鉴定的特点
计算机取证与司法鉴定是一门法学与计算机科学紧密结合的边缘科学、交叉科学和新
计算机取证与司法鉴定
8
兴科学。从2001年数字化证据研究工作组(Digital Forensic Research Workshop,DFRWS)提出:“数字化法证科学是基于科学原理以及经过科学实践检验的方法,保存、收集、证实、发现、分析、解释、记录和显示数字化设备中存储的数字化证据,以帮助或进一步重构犯罪事件,预先发现恶意的或者有计划的非授权行为”开始,人们便对计算机司法鉴定的法学和科学原理开展了初步的研究,这是电子证据学研究的一个真正的开端。
(1)计算机取证与司法鉴定必须依托于科学原理以及经过科学实践检验的方法。这就要求我们使用的工具、分析原理是科学的、经过实践检验的。具体到分析工具而言,就要求使用的电子数据固定、分析工具本身经过实践检验、使用的技术原理符合科学原理和法律要求。
(2)计算机取证与司法鉴定包含发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据等多个步骤。计算机取证与司法鉴定过程是多个环节构成的技术体系。
(3)计算机取证与司法鉴定的目的是发现案件线索、认定案件事实的科学。发现案件线索是指通过分析电子数据,发现有助于确定和拓展调查方向的数据。认定案件事实指通过电子数据分析,出具认定案件主体、客体、主观方面和客观方面的分析结论。从本质上讲鉴定的目的是认定案件事实和重构犯罪,但是在具体实践中,计算机司法鉴定技术也经常被用于发现案件线索,因此将发现案件线索也纳入到这一定义中。
1.1.7 计算机取证与司法鉴定的业务类型
通常计算机取证与司法鉴定业务可以根据不同的目的具体分为以下几类(不限于):(1)认定信息的存在性。也就是认定在特定的存储媒介上存储有特定的信息,如对于有害信息案件,通常需要对存储媒介进行分析,认定该存储媒介上存在有害信息。
(2)认定信息的量。比如对于制作传播淫秽物品案件,通常需要对存储媒介进行分析,认定存在淫秽信息的数量和点击的数量。
(3)认定信息的同一性和相似性。也就是通过信息的比对、统计分析,认定两个信息具有同一性或相似性。比如在传播电子物品导致侵犯知识产权案件中,通常需要对有关的电子信息进行比对分析。
(4)认定信息的来源。也就是通过分析信息的传播渠道、生成方法、时间信息等认定信息的最初源头。比如认定网上某个帖子是否为某个特定的嫌疑人张贴,认定某个图片是否由某台数码相机拍摄的,认定某个源代码和计算机程序的作者。
(5)认定程序的功能。也就是通过对程序进行静态分析和动态分析,认定程序具有特定的功能。比如对恶意代码和木马进行分析,认定其具有盗窃信息、远程控制的功能。比如对病毒代码进行分析,认定其具有自我复制功能。比如对于在电子设备或软件中植入逻辑炸弹案件,需要通过分析认定该程序在满足特定的条件下具备特定的破坏功能。
(6)认定程序的同一性和相似性。比如对于游戏是否侵犯知识产权案件,可通过对程序进行比对分析,认定两个程序在功能上具有同一性、相似性。
(7)重构犯罪事件(crime scene reconstruction)。这通常包括:一是对犯罪的主体进行认定,也就是通过分析重构犯罪嫌疑人特征,这通常称为犯罪嫌疑人画像(criminal
第1章计算机取证与司法鉴定概论
9
profiling)。比如通过分析描绘嫌疑人的技术水平、爱好,推测其年龄等特征。二是对犯罪
主观方面进行认定。也就是认定嫌疑人实施该犯罪行为是故意还是过失。比如有国外学者
研究统计分析技术,认定嫌疑人主机上的儿童色情图片是由嫌疑人故意下载存储的还是不
慎从网络上下载的,以帮助认定是否构成犯罪。三是对犯罪的客观方面进行认定。这主要
是通过分析认定什么人、什么时间、实施了什么行为。比如认定某个特定的嫌疑人,在特
定的时间对特定的目标实施了网络攻击。四是对犯罪的客体进行认定。比如对于传播恶意
代码实现大规模入侵的案件,通常需要对攻击的范围、规模进行认定,以认定攻击造成破
坏的程度。
计算机取证与司法鉴定是一门永不停止发展的学科,新型的各种犯罪形式还会逐步对
计算机取证与司法鉴定技术提出新的需求。
1.2 计算机取证与司法鉴定原则
证据是案件的“灵魂”和核心,调查取证与司法鉴定是调查人员为查明案件事实真相,依照法定程序进行调查、发现、取得和保全等一切与案件事实有关证据材料的活动。计算
机取证与司法鉴定作为调查高科技犯罪、解决网络纠纷等司法活动的主要过程,必须在法
律规范下,利用科学验证的方式发现、固定、提取、分析证据材料,获取符合证据的可采
标准的电子证据以及可以用其重构违法犯罪过程,是案件调查的最终目标及作为法庭诉讼
的依据。美国打击网络不法行为的总统工作小组在2002年3月提交的报告《电子前线:滥
用网络之不法行为带来的挑战》中指出:当前执法机构面对的最大挑战之一便是如何处理
电子证据问题,这种挑战还将日趋严峻,因为计算机取证与司法鉴定已经成为任何一次调
查活动的一部分。
1.2.1 国内外的计算机取证与司法鉴定原则评介
电子证据的生成、存储、传输等各个环节依赖于信息技术,具有许多与传统证据明显
不同的特性,因而决定了对电子证据的调查获取除了要遵循传统的取证与司法鉴定原则外,还必须遵循特定的原则和程序,以保证所调查获取的电子证据符合可采性标准。计算机取
证与司法鉴定结合了法学和信息技术等多门学科,因而需要从这些学科的不同角度及其相
互关系等方面进行计算机取证与司法鉴定原则的研究。
1.国外的计算机取证与司法鉴定原则
美国等发达国家早于20世纪80年代开始研究计算机取证与司法鉴定原则,在取证与
司法鉴定思想、理论、技术、方法等方面取得了不少成果。有的国家或组织很早就着手开
发制定相关的法律原则,主要是在对传统取证与司法鉴定手段的修订中,逐步建立或完善
电子证据的搜查、扣押、实时收集等取证与司法鉴定措施,但在司法实践还存在不足,还
需要不断地进行调整。如美国宪法第四修正案中规定,公民的文件同其人生、财产一样,
不受非法搜查、扣押,需要经过批准才能实施搜查、扣押,但对于存在于多个司法管辖区
域内的电子证据,则因需要分别申请批准文件、耗时过长而延误收集电子证据的有利时机,
计算机取证与司法鉴定
10
而可能收集不到全部的电子证据。《法国刑事诉讼法典》第三编“预审管辖”的第二节“电讯的截留”之第100条规定了截留电讯的措施,但没有明确规定电讯截留是否可以适用于计算机网络通信等。而在有关电子证据的搜查、扣押等取证与司法鉴定措施的国际法律文件中,最值得借鉴的是2001年通过、2004年生效的欧洲理事会《关于网络犯罪的公约》,该《公约》的第19条规定了搜查、扣押存储的计算机数据等措施,虽然比较完善,但它不能直接用于犯罪调查,而只是为各缔约方在设立相应的电子证据扣押、搜查等取证与司法鉴定措施时,必须规定的基础内容或最低立法标准。各缔约方可以根据本国特殊的法律制度、文化背景,设立本国的搜查、扣押电子证据的取证与司法鉴定措施。
2.国内现行的计算机取证与司法鉴定原则
一直以来,国内学术界对电子证据的界定、法律地位等问题尚无定论,造成的不确定性直接体现在相关的调查取证与司法鉴定原则中,如有一种观点将电子证据界定为“电子数据、存储媒介和电子设备”,另一种观点则认为待鉴定的对象是指“以数字化形式存储、处理、传输的数据”。对操作对象界定的局限性,导致了证据检查、收集等各个阶段的操作要求存在不足,而且证据检查和收集仅仅是案件调查的部分阶段,并不是调查取证与司法鉴定的整个过程,同时计算机取证与司法鉴定的原则、证据的分析等阶段还缺乏相应的法律规定,一定程度上影响了司法实践活动。因此,在明确界定电子证据、确立其独立的法律地位的基础上,有必要制定完善的取证与司法鉴定原则,包括计算机取证与司法鉴定应遵循的原则、计算机取证与司法鉴定的实施标准,以规范计算机取证与司法鉴定程序,保证获取的电子证据的可采性。
1.2.2 计算机取证与司法鉴定原则
证据是诉讼的关键,取证与司法鉴定是必经的司法过程,获取具有可采性的证据是取证与司法鉴定的主要目的,通过调查取证与司法鉴定人员进行具体的取证与司法鉴定行为来实现这一目的。以原则规范计算机取证与司法鉴定,是保证电子证据可采性的关键。目前,由加拿大、法国、德国、英国、意大利、日本、俄罗斯和美国的计算机取证与司法鉴定研究人员组成的G8小组提出的六条原则是国际上最权威的计算机取证与司法鉴定原则:
?必须应用标准的取证与司法鉴定过程;
?获取证据时所采用的任何方法都不能改变原始证据;
?取证与司法鉴定人员必须经过专门培训;
?完整地记录证据的获取、访问、存储或传输的过程,并妥善保存这些记录以备随时查阅;
?每位保管电子证据的人员必须对其在该证据上的任何行为负责;
?任何负责获取、访问、存储或传输电子证据的机构有责任遵循以上原则。
公安部、最高人民检察部、最高人民法院规定了有关勘验、提取、扣押、保管、分析电子数据等取证与司法鉴定环节的原则与程序,部分省、市也对电子商务数据如何存储、备份、恢复等方面提出了有益的建议,但这些法律规范偏向于指导如何提取电子证据,各
第1章计算机取证与司法鉴定概论
11
种方法应遵循什么法律原则均很少涉及且尚未统一,使得在司法实践中进行取证与司法鉴
定时缺乏整体的指导思想,各个环节之间不能有效地衔接,严重影响了电子证据的可采性
和证据链条的完整性。
由于网络的无国界性,不同国家在法律、道德和意识形态上存在差异,取证与司法鉴
定原则取决于不同的证据使用原则。不同的国家、组织根据各自的出发点,制定的取证与
司法鉴定原则虽然不完全相同,但大体都是为保证获取的证据的合法性、客观性和关联性。
因此,计算机取证与司法鉴定的原则应该包括以下几个方面。
1.依法取证与司法鉴定原则
计算机取证与司法鉴定不仅要保证取证与司法鉴定实体合法,还要保证取证与司法鉴
定程序合法。任何证据的有效性和可采性都取决于证据的客观性、与案件事实的关联性和
取证与司法鉴定活动的合法性,取证与司法鉴定活动的要件构成是指参与取证与司法鉴定
活动全过程、决定或影响取证与司法鉴定结果的各个方面或因素,包括取证与司法鉴定的
主体、对象、手段和过程四个要素,只有保证取证与司法鉴定“四要素”同时合法,才能
保证获取的证据合法。
1)主体合法
取证与司法鉴定主体是案件证据的主要提交者,随着在案件中承担举证责任的地位不同,取证与司法鉴定主体也会有所不同。我国《民事诉讼法》、《行政诉讼法》对取证主体
没有严格的规定,加之电子证据与取证与司法鉴定方法的特殊性,因此取证与司法鉴定主
体必须具有相应的资格,才能依法完成电子证据的发现、收集、保全等取证与司法鉴定
活动。
电子证据的取证与司法鉴定主体首先必须具备法定的取证与司法鉴定资格,只有具备
合法的调查取证与司法鉴定身份,才能执行相应的取证与司法鉴定活动。由于电子证据的
技术特性,取证与司法鉴定人员稍有疏忽都有可能造成重要的数据信息丢失的后果。鉴于
计算机取证与司法鉴定是一门技术性非常强的交叉科学,要求调查人员具备相当的信息技
术并不现实,因而调查机关聘请具有法定资格的计算机取证与司法鉴定专家协助调查取证
与司法鉴定是弥补此缺陷的有效方法。如取证与司法鉴定专家通过对获取电子证据的困难
程度和最终的可能结果的分析,提出获取该证据的合理建议,制定相应的计划、步骤;协
助搜查、扣押电子设备,寻找潜在的电子证据,从技术的角度确保证据的真实性和完整性;
恢复被删除的电子证据并加以分析、鉴别;作为专家证人出庭作证,说明电子证据收集、
分析过程的可靠性,解释相关技术问题,并接受对方当事人和律师的质询;对电子证据的
专门技术问题做出鉴定结论;并在整个取证与司法鉴定过程中起到监督作用等。因而计算
机取证与司法鉴定的主体应该包括合法的调查人员和具有法定资格、“有案在册”的计算机
取证与司法鉴定专家。
2)对象合法
为保证所有人、权利人的隐私不被侵犯,计算机取证与司法鉴定的对象应该是受攻击、
被入侵、被利用实施犯罪行为的计算机、网络系统或涉案的电子设备,尤其要注意在检查
计算机系统、网络环境、数码相机等电子设备中的信息时,只有被怀疑与案件事实有关联
计算机取证与司法鉴定
12
的信息才能作为被取证调查的对象。此外,为保护与案件无关的人员的权利,还需要确定电子信息存储的位置、状态、方法等作为取证与司法鉴定的对象范围。此外,调查取证时,电子设备的所有人、权利人应该在场。电子证据通常存储在硬盘、光盘等大容量的存储介质中,必须在海量的数据中区分哪些是与证明案件事实有关联的信息,哪些是无关数据,哪些是由犯罪者留下的犯罪记录“痕迹”。对于与案件事实无关的数据,不能进行任意地取证,以免侵犯所有人或权利人的隐私权、商业秘密等合法权益。
3)手段合法
计算机取证与司法鉴定的手段主要包括取证与司法鉴定人员通过手工直接取证(即物理取证)和通过特制的信息系统(即工具取证)进行取证两种。物理取证即传统取证,要求取证人员符合技术操作规范,工具取证是针对电子证据的技术特性对物理取证的补充,不仅要符合物理取证的上述条件,取证所使用的工具和程序等必须通过国家有关主管部门的评测。
取证与司法鉴定手段非法势必导致电子证据的可信度大大降低,因此在计算机取证与司法鉴定过程中不得采取窃录、非法定位、非法监听、非法搜查、扣押等措施或方式,不得使用未经审核验证合格的程序获取证据,不得通过非法软件验证电子证据。取证与司法鉴定活动的每个环节都应该遵循的标准程序,采取的手段应该符合法律的要求。
4)过程合法
取证与司法鉴定过程中,应该遵守相应的取证与司法鉴定活动规范。
?在不对原有证物进行任何改动或损害的前提下获取证据;证明所获得的证据和原有的数据是相同的;
?在不改变数据的前提下对其进行分析;
?采用人证、书证和音像资料等传统证据形式验证电子证据的合法性;要坚持及时将一些电子信息转换为书证;
?要利用传统的音视频采集工具对取证与司法鉴定过程进行全程记录;
?两个合法的取证人员同时在场取证等。
电子证据只要存有一丝一毫的怀疑,就必须通过合法的鉴定机构对其进行鉴定,使之转换为合法的证据。此外,整个取证与司法鉴定过程必须受到监督,以保证取证与司法鉴定过程的合法性。
2.无损取证与司法鉴定原则
证据材料必须能够客观、真实地反映案件事实,才能成为有效地诉讼证据。我国诉讼法规定,在提交物证、书证时若提交原件确有困难,可以提交复制品或副本。对于存储介质中的电子信息,基本上不存在传统意义上直观可视的“原件”,目前司法实践中使用的均是原始存储介质中电子信息的“克隆”形式。由于电子信息的复制技术不会造成信息内容的损失,同时可以保证信息在存储介质中的保存位置不变,因此只要复制的内容与生成时原始存储介质上的内容完全相同,就应视为原件,即电子证据具有客观性。
电子证据依赖于一定的环境而存在,与存储介质不可分离,对存储介质、系统环境的任何操作均可能改变电子信息的属性,即使打开可疑计算机或电子设备这种基本操作,都
第1章计算机取证与司法鉴定概论
13
会改变设备的系统日志信息,极可能损毁将来需要用以证明案件事实的证据材料。为了防
止由于对涉案设备、系统的操作而损毁某些电子证据,造成证据收集的不充分,计算机取
证与司法鉴定中不能对涉案设备、系统进行任何修改操作,以维护涉案设备、运行环境等
全部信息的完整状态,是保证获取的电子证据客观性的前提和基础。
实施取证与司法鉴定活动,应该始终保证电子证据的无损状态。例如在收集存储介质
中的电子证据时,应该采用镜像工具(如Safe back、SnapBack、DatArret等)以字符流镜
像的方式对存储介质中的所有数据信息进行备份,在以后的分析、鉴定等取证与司法鉴定
环节中只能对备份数据进行操作,必要时可将备份的数据恢复到原始状态,作为分析、鉴
定数据的原始参考标准,使得分析、鉴定的结果具有可信性,保证电子证据的客观性。
电子证据实质是存储在电磁介质中的电磁信息,受到外界磁场的影响有可能被消磁而
损失原始证据,对于收集到的电子证据应妥善保管,采取远离高磁场、高温环境,避免静电、潮湿、灰尘和挤压等措施,以保证电子证据的客观完整状态。因此计算机取证与司法
鉴定的每个步骤、采取的每个措施等各个环节都应该遵循无损取证与司法鉴定原则,确保
获取的证据符合可采性。
3.全面取证与司法鉴定原则
全面取证与司法鉴定原则,体现在调查机关在取证与司法鉴定过程中应该尽可能地全
面调查取证与司法鉴定,使获取的证据相互印证,形成完整的证据链条。通常,单个电子
证据诉讼定案的情况很少,案件往往包含多个用以诉讼的证据,每一个证据从不同的层面
与案件具有某种关联,如账户、密码可以确定嫌疑人;电子邮件可以认定敲诈信息;系统
日志可以证明作案时间等,这些电子证据组成一条完整的证据链以证明案件的全部事实。
调查人员往往会忽视海量信息中一些细微的数据信息,但现代信息技术环境下这样的证据
又非常之多。因而在计算机取证与司法鉴定时,一定要认真分析电子证据的来源并进行全
方位、多角度的取证与司法鉴定,在确保证据与案件事实关联的基础上,将获取的所有电
子证据结合案件的其他类型证据,相互印证,排除矛盾的电子证据,最终组成完整的证据链,才能达到胜诉的目的。所以,全面取证与司法鉴定原则应该成为计算机取证与司法鉴
定的一个重要原则,对形成可采的证据链条具有不可忽视的作用。
4.及时取证与司法鉴定原则
电子证据基本上是在信息系统运行过程中自动、实时生成的,系统经过一段时间的运
行很可能会造成信息系统的变化,如网络的审核记录、系统日志、进程通信信息都会或多
或少有所变化,则这些数据信息不再能如实反映案件的事实。因而电子证据的获取具有一
定的时效性,确定取证对象后,应该尽早搜集证据,保证其没有受到任何破坏和损失。从
电子数据形成到获取,相隔的时间越久,越容易引起电子数据的变化。例如,IP地址经常
被用来确定涉案计算机设备的方位,但这种“网络号码”却不像身份证号一样与所有者存
在固定的标识关系。例如,某一计算机连接网络后被分配了一个IP地址,该计算机退出网
络后,此IP地址极有可能被分配给新连接网络的其他计算机。因此,及时取证与司法鉴定
可以保证电子数据作为证据的客观性,维持电子数据与案件事实的关联性。
计算机取证与司法鉴定
14
1.2.3 国外的计算机取证过程模型
计算机取证与司法鉴定技术主要分为主机与其他电子设备取证、网络取证这两种形式。因此,分析计算机取证与司法鉴定的模型也从这两个方面进行。
1.主机与其他电子设备取证与司法鉴定系统模型
20世纪90年代后期,业内专家逐渐意识到由于计算机取证基本理论和基本方法的研究滞后所带来的种种弊端,计算机取证与司法鉴定的整个过程既没有一致性也没有可依据的统一标准,使得计算机取证的可操作性较差,而且极易遭到法庭上法官的质疑。因此,专家又开始对取证程序及取证标准等计算机取证中的基本问题进行更深入地研究,并提出了以下5种典型的取证过程模型:
1)基本过程模型(basic process model)
Farmer和Venema是这一时期最早开始对数字取证基本理论进行研究的专家,1999年在他们主办的计算机分析培训班上提出了一些基本的取证过程。这个模型包含以下的一些基本取证步骤:“保证安全并进行隔离(secure and isolate),对现场信息进行记录(record the scene),全面查找证据(conduct a systematic search for evidence),对证据进行提取和打包(collect and package evidence),维护监督链(maintain chain of custody)”。他们的研究为这一时期的数字取证发展起到了领航和奠基的作用,但他们提出的取证过程粒度较粗,没有把事件发生前的取证准备作为取证过程的一个阶段,所开发的取证工具(The Coroner’s Toolkit,TCT)运行在UNIX平台,在其他平台上没有实践性的工作,也没有提出具体的应用方法,他们的研究还只是处于初级阶段。
2)事件响应过程模型(incident response process model)
2001年,Chris Prosise和Kevin Mandia在Incident Response: Investigating Computer Crime一书中提出了事件响应过程模型的概念,这一模型分为以下各个阶段:攻击预防阶段(pre-incident preparation)、事件侦测阶段(detection of the incident)、初始响应阶段(initial response)、响应策略匹配(response strategy formulation)、备份(duplication)、调查(investi- gation)、安全方案实施(secure measure implementation)、网络监控(network monitoring)、恢复(recovery)、报告(reporting)、补充(follow-up)。这一模型考虑的比较全面、具体,明确提出了攻击预防(pre-incident preparation)的概念,并将其作为取证程序的一个基本步骤,而且对各类典型平台(如Windows 2000/NT、UNIX、Cisco路由器等)都提供了详细的使用原则和应用方法。“攻击预防阶段(pre-incident preparation)”概念的提出,成为专业取证方法区别于非专业的关键步骤。但在他们设计的模型中,本应在整个取证过程中占比重最大的系统分析仅占了1/11,而且“攻击预防阶段”也仅提到了攻击预防中的如“事先准备取证工具及设备,熟练取证技能,不断学习新的技术以便应对突发事件”的“操作准备阶段”,没有能够从系统架构的角度进行分析。
3)法律执行过程模型(law enforcement process model)
2001年美国司法部(The U.S. Department of Justice,DOJ)在《电子犯罪现场调查指南》中提出了一个计算机取证程序调查模型。此模型分为准备阶段(preparation)、收集阶段(collection)、检验(examination)、分析(analysis)、报告(reporting)共五个阶段。
第1章计算机取证与司法鉴定概论
15
这个指南对不同类型的电子证据以及对其安全处理的不同方法都进行了说明,然而由于它
的面向对象是一直从事物理犯罪取证(非数字取证)的司法人员,重点在于满足他们的需要,对于系统的分析涉及较少。
4)过程抽象模型(abstract process model)
在数字取证基本理论和基本方法研究中,过程抽象模型的研究被认为具有里程碑的作用,比较有代表性的研究成果有以下两种。
(1)AIRFORCE过程抽象模型:美国空军研究院通过对以前方法的总结,逐渐意识到
在特定技术和特定方法细节上的研究无法总结出普遍的取证方法,同时发现各种不同的取
证过程模型都存在共同的特性,因此可将这些模型抽象为一个通用的模型。由此,他们对
特定方法的取证过程进行抽象,抽象的结果产生了具有普遍意义的数字取证程序,这种研
究既能使得传统的物理取证知识应用于数字取证中,又能使数字取证程序的研究真正由计
算机取证扩展到数字取证,为数字取证技术基本方法和基本原理的进一步研究奠定了良好
的基础,使数字取证的研究又迈上了一个新台阶。这一模型分为识别(identification)、准
备(preparation)、策略制定(approach strategy)、保存(preservation)、收集(collection)、
检验(examination)、分析(analysis)、提交(presentation)等8个阶段。但这个模型提出
的“检验”和“分析”名称的相似使得这两个阶段常被混淆,而且这个模型在具体的应用
中实用性较差。
(2)DOJ过程抽象模型:美国司法部DOJ也提出类似的过程抽象模型,该模型包含收
集(collection)、检验(examination)、分析(analysis)、报告(reporting)等过程。DOJ
对各种电子设备中可能存在的证据类型、潜在的存储位置和犯罪类型进行了分类整理,这
种在不同电子设备上,对各种类型的潜在证据的识别和定位的研究是数字取证科学基本理
论的又一次发展,它为进一步开发具有普遍意义的数字取证程序及标准奠定了良好的基础,
使得调查人员遵照数字取证标准,采用普遍的数字取证方法,采取由一般到特殊的科学过
程对具体案件进行调查成为可能。尽管DOJ在这方面的研究工作刚刚开始,但真正触及了
数字取证研究的核心部分。但这个模型也使用了“检验”和“分析”这两个常被混淆的阶
段来识别和提取数字证据,且实用性较差。
5)其他过程模型
由美国空军研究院、美国信息战督导/防御局共同资助的计算机取证组织——数字取证
研究组(Digital Forensics Research Workshop,DFRW)是由学术界领导的第一个较大规模的、致力于数字取证基本理论及方法研究的联盟组织。目前在学术界存在的最大问题是在
数字取证领域研究过程中既没有标准的数字取证分析过程及协议,也没有标准的术语。在2001年8月7日到8日在纽约召开的DFRW的第一届年会上,这个工作组提出了一个初
步的计算机取证科学的基本框架,框架包括“证据识别、证据保存、证据收集、证据检验、
证据分析、证据保存和提交”。基于这个框架,科技界可以对数字取证基本理论和基本方
法进一步的发展和完善。DFRW的创立对于学术界在数字取证领域中的发展方向的定位,
凝聚发展力量起到了推动作用。
2.网络取证与司法鉴定系统模型
与主机取证有很大的不同,网络取证主要通过对网络数据流、审计迹、主机系统日志
计算机取证与司法鉴定
16
等的实时监控和分析,发现对网络系统的入侵行为,自动记录犯罪证据,并阻止对网络系统的进一步入侵。网络取证同样要求对潜在的、有法律效力的证据的确定与获取,但从当前的研究和应用来看,更强调对网络的动态信息收集和网络安全的主动防御。
目前较多的是对网络取证技术或系统框架的研究,还几乎没有完整的网络取证系统。
FESNF是由Jun-Sun Kim等人开发的一个基于模糊专家系统的网络取证系统。FESNF由6个组件组成,其结构如图1-1所示。
图1-1 基于模糊专家系统的网络取证系统结构图
?网络流分析器组件:主要完成网络流的捕获和分析。它要求捕获所有的网络流,以保证数据的完整性。
?分析器应用规则对捕获的网络流进行重组,数据包分类的规则是协议相同的和时间连续的。
?知识库组件:存储模糊推理引擎所使用的模糊规则。
?模糊化组件:应用为每个语义变量的模糊集所定义的隶属函数,确定每个模糊集中输入值的隶属度。
?模糊推理引擎组件:当所有的输入值被模糊化为各自的语义变量,模糊推理引擎访问模糊规则库,进行模糊运算,导出各语义变量的值。规则的前件用“最小”
运算,后件用“最大”运算。
?反模糊化组件:运用“最小-最大”运算产生输出值,作为取证分析器的输入。
取证分析器:判断捕获的数据包是否存在攻击,它的主要功能是收集数据、分析相关信息,并且生成数字证据。如果反模糊化组件的输出值在0.9~0.1之间,则取证分析器确认为存在对网络的攻击,并自动从当前的重组包中生成数字证据。
1.3 计算机取证与司法鉴定的实施
1.3.1 实施步骤
国内对计算机取证与司法鉴定过程标准化的研究还没有形成一个较完整的体系,目前的研究主要集中在取证与司法鉴定的实施方面。涉及电子证据的调查提取同样应遵循传统证据调查提取的原则、步骤,但由于电子证据自身的物理特性和技术特征,又决定了计算
第1章计算机取证与司法鉴定概论
17
机取证与司法鉴定同传统取证与司法鉴定有所区别,如犯罪现场、收集分析证据材料、采
用的技术工具、调查人员构成等方面都存在差异。计算机取证与司法鉴定的实施及其有区
别于传统证据调查的环节主要包括以下方面。
1.受理案件
受理案件是调查机关了解案件、发现证据的重要途径,是调查活动的起点,是依法开
展工作的前提和基础。因此受理案件可以算是展开计算机取证与司法鉴定工作的准备阶段。
调查机关在受理案件时,要详细记录案情,全面地了解潜在的与案件事实相关的电子
证据材料,如涉案的计算机系统、打印机等电子设备的情况,尤其是IP地址、域名、网络
运行状况、设备的日常使用管理、受害方和犯罪嫌疑人的信息技术水平和虚拟现场。
2.保护涉案现场
任何一个案件的现场都是犯罪“痕迹”集中的地点,是搜集证据的首要场所,对计算
机等高科技犯罪案件也不例外。计算机网络将地理位置上分散的计算机连接在一起,利用
网络环境实施攻击、入侵计算机系统、网络欺诈、网络侵权等案件时,犯罪嫌疑人往往利
用自己、别人或网吧里的计算机实施攻击、入侵网络上的其他计算机,向网络上用户散布
欺诈信息等犯罪行为,证据材料通常遗留在网络中,因此涉及计算机网络的案件现场较之
传统案件现场更复杂,目前,在诉讼过程中起到关键作用的大部分证据,是受到破坏影响
的计算机系统、网络环境中的数据资料,因而有学者把电子证据所处的虚拟现场分为单机
现场和网络现场。还有专家把计算机犯罪案件的现场根据不同情况进行分类,例如按现场
在计算机案件发展过程中所处的地位和作用分为主体现场和关联现场,按计算机案件的形
成过程分为预备犯罪现场、实施犯罪现场和掩盖犯罪现场,按犯罪现场有无变动和性质分
为原始现场、变动现场、伪造现场和伪装现场等。因此以犯罪嫌疑人实施犯罪行为的场所
为标准,将涉案的现场分为犯罪嫌疑人实施犯罪行为的“作案现场”、网络环境中可能存有
证据线索的“关联现场”和造成犯罪后果的“发案现场”。
计算机取证与司法鉴定时,首要之事是冻结作案现场和发案现场的计算机系统,保护
目标计算机系统,及时地维持计算机网络环境的状态,保护诸如录音机、数码相机、计算
机设备等作案工具中的线索痕迹,如键盘、打印机、相机上留下的作案人的指纹,网络连
线等设备外观的情况等,在操作过程中务必避免发生任何更改系统设置、硬件损坏、数据
破坏或病毒感染的情况发生,以免破坏电子证据的客观性或造成证据的丢失。目前的计算
机犯罪基本上由内部人员实施,或者由外部人员通过网络实施,只要犯罪嫌疑人有所察觉,
就会立即采取手段销毁证据,因此涉案现场一旦确定,必须迅速加以保护,进行检查。
3.收集电子证据
对于计算机犯罪,通常需要收集的证据资料主要来自涉案的计算机系统、网络管理者
与ISP商(网络服务提供商)。系统、网络管理者与ISP商的配合,显然会是计算机犯罪调
查成功的重要因素。在此期间,主要注意收集以下数据信息:计算机审核记录,包括使用
者账号、IP地址、起止时间及使用时间等;客户登录资料,包括申请账号时填写的姓名、
联络电话、地址等基本资料;犯罪事实资料,即证明该犯罪事实存在的数据资料,包括文
计算机取证与司法鉴定
18
本、屏幕界面、原始程序等,如侵权著作、淫秽画面等。
研究分析本案是属于何种犯罪类型,了解犯罪嫌疑人的职业身份、动机目的和犯罪手法等,例如计算机系统日志文件能产生审计痕迹,记录下任何重要的网络活动,包括使用者进入计算机的时间,所取用的资料、档案、程序,进行过哪些操作,何时离开系统以及哪些行为被拒绝等操作。依据这些“电子指纹”,就可以找出究竟是何人所为,使用者是来自系统内部还是外部。
通常,犯罪分子在作案后可能会彻底删除或者混淆证据以隐藏犯罪行为,而且计算机系统中的某些事件,如正在进行的文件修改、已经发生的进程中断、内部进程通信和内存的使用情况等,或许不会在被攻击的系统中留下事后线索。因而需要实时取证,以获取全面充分的证据,支持调查人员得出具有较强确定性的结论。目前越来越多的网络侵权、网络欺诈等网络犯罪需要这类实时、动态数据信息来证明案件事实,事后静态的取证与司法鉴定方法不能获取这类实时证据,因此要采用动态搜集证据方法获取系统、设备的实时状态,以构成能够客观、完整地反映犯罪实施过程的证据链。在证据收集过程中,收集直接关系案件事实的数据信息自不待言,但是也不能忽视诸如数码相片的数字信息证据、网络环境参数、各硬件之间的连接情况等细节信息的收集。
由于电子证据的删改性,根据无损取证与司法鉴定原则,应由调查人员或是聘请的取证与司法鉴定专家对原始存储介质进行备份,以保证电子证据的客观真实性。同时备份过程应当由嫌疑人、被害人或在场人共同确认,以免日后对证据的可采性滋生争议。
目前有些受害方携带计算机主机、硬盘、计算机主机等可疑证物到调查机关报案,受害方为保护自己的隐私、商业秘密等信息,对电子邮件、硬盘内容等进行了删改操作,致使电子证据材料的客观性遭到破坏,无法保证其可采性,通常会受到嫌疑人或检察机关、法院的质疑,不能被作为诉讼证据使用。又如一起在知识产权界引起争议的案件中,专门研究知识产权法的专家学者在状告某公司在互联网上不经同意连载他们的作品、侵犯其著作权之时,却也被某公司指称其代理人在向调查机关提供侵权的电子证据时,未经授权、擅自使用了该公司的“某阅读软件”被反诉非法使用软件。
4.固定与保管电子证据
由于电子证据的删改性,为保护证据的完整性、客观性,必须对电子证据进行固定和保管,考虑到有些案例可能要花上两三年时间来解决,因此首先应用适当的储存介质(如mass storage、DVD或CD-ROM)进行原始的镜像备份。电子证据内容实质是电磁信号,极为脆弱,如经消磁即无法回复,因此搬运、保管电子证据时不应靠近磁性物品防止被磁化,提取的磁性存储介质,必须妥善地保存在纸袋或纸盒内,置于防碰撞的位置,不可只以纸袋或塑料袋封存;对于计算机和磁性存储介质,不可放置在安有无线电接收设备的汽车内,不能放置于温度过高或过低的环境中;另外存储介质如磁带或磁盘发霉或潮湿,即难以读取其存储的记录内容,因而应将电子证据放置在防潮、干燥的地方;对获取的电子证据采用安全措施进行保护,非相关人员不准操作存放电子证据的设备;不可轻易删除或修改与证据无关的文件,以免引起有价值的证据文件的永久丢失。
第1章计算机取证与司法鉴定概论
19 5.分析电子证据
分析前必须先将证据资料备份以完整保存证据,尤其是应该将硬盘、U盘、闪存、PDA
内存、数码相机的存储卡等存储介质进行镜像备份,即“克隆”,必要时还可以重新制作备
份证据材料,分析电子证据时应该对备份资料进行非破坏性分析,即通过一定的数据恢复
方法将嫌疑人删除、修改、隐藏的证据进行尽可能的恢复,在恢复出来的文件资料中分析
查找线索或证据。
6.归档电子证据
应整理取证与司法鉴定的结果并进行分类归档保存,以供法庭作为诉讼证据,主要包
括对涉案电子设备的检查结果;涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系
统和版本;使用取证与司法鉴定技术时,数据信息和操作系统的完整性、计算机病毒评估
情况、文件种类、软件许可证以及对电子证据的分析结果和评估报告等所有相关信息。尤
其值得注意的是,在计算机取证与司法鉴定的过程中,为保证证据的可信度,必须对取证
与司法鉴定各个步骤的情况进行记录、归档,包括搜集证据的时间、地点、人员、方法以
及理由等,以使证据经得起法庭的质询。
1.3.2 计算机证据的显示与质证
任何证据都必须在法庭上进行出示,接受法庭上法官及当事人的质询,直至无异议才
能被各方接收,成为判定犯罪嫌疑人有罪与否的证据。计算机证据也必须在法庭上进行显
示和接受质询,但是由于计算机证据的特殊性,使得计算机证据在法庭上进行显示及质询
也与传统证据有很大的不同。
1.计算机证据的显示
证据显示(discovery或disclose),又称证据展示、证据再现、证据先悉。其基本含义
是庭审调查前在双方当事人之间相互获取有关案件的信息。《布莱克辞典》将之定义为“了
解原先所不知道、揭露和展示原先隐藏起来的东西。”《民诉证据若干规定》将此定义为证
据交换,并在第37~40条中作了相应规定。
2.计算机证据的质证
质证是指在法庭审判过程中由案件的当事人就法庭上所出示的证据采取辨认、质疑、
说明、辩论等形式进行对质核实,以确认其证明力的诉讼活动。它涉及质证模式选择、质
证的范围和方式等问题。例如,在民事、行政案件的庭审中,当事人及其代理人对双方的
证人、鉴定人进行交叉询问、诘问等;在刑事案件的庭审中,控方(包括公诉人、自诉人
和被害人及其代理人)可以对被告方的证人、鉴定人进行诘问,辩方(包括被告人及其辩
护人)也可以对控方证人、鉴定人进行诘问。
计算机取证与司法鉴定
20
1.4 计算机取证与司法鉴定的发展趋势及分析
目前,计算机取证与司法鉴定研究方向和主要研究内容包括主机取证、信息网络证据保全和分析技术、网络数据捕获与分析、网络代理与网络追踪、主动取证技术、密码分析技术、网络违法犯罪证据保全、计算机数据恢复及信息指纹勘查、信息网络数据鉴定技术及标准体系、信息加密及加密信息破解、网络反窃密等专业和技术,涉及侦察与监控技术、现代物证技术、信息情报技术、现场处置技术等。
1.4.1 主机证据保全、恢复和分析技术
1.现场电子证据分析技术以及现场记录技术的研究
主要研究信息网络数据证据犯罪发生后取证的有关技术,如:如何妥善处理目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染,并保证准确无误的从信息存储设备中将信息网络数据提出。包括数据获取技术、文件属性分析技术、文件数字摘要分析技术、日志分析技术、现场勘查技术、硬盘检查和镜像技术、磁盘映像复制技术、加密解密技术和口令获取、信息搜索与过滤技术、逆向工程技术、信息网络数据鉴定技术及标准体系等。存在的主要难点有:系统格式化后文件控制块的获取技术、日志格式的分析、磁盘映像副本中坏道的处理、加密硬盘的处理技术等。
2.现场证据多媒体传输技术的研究
主要研究虚拟专用网(Virtual Private Network,VPN)数据传输技术、多媒体数据压缩与解压缩技术、多媒体输入与输出技术等。存在的主要难点有:VPN传输过程中的数据加密方法的实现、VPN的隧道协议的实现。
3.SCSI存储设备只读接口技术的研究
主要研究SCSI多接口技术、通道技术等。其中存在的难点有SCSI数据传输协议的研究、多通道技术的实现。
4.计算机硬盘高速硬拷贝技术的研究
主要研究读写硬盘数据的相关协议、高速接口技术、数据容错技术、CRC-32签名校验技术等。目前存在的难点有:磁盘坏道的读写问题、CRC-32签名校验的实现。
5.常见格式文档碎片的分析解读技术的研究
主要研究根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能作者的分析技术、根据文件控制块(记录块)的碎片推断出其可能的格式的技术。目前存在的难点主要是文档碎片的获取技术。
计算机取证常见问题
计算机取证常见问题 1 根据现行法律规定及司法实践活动,对于数字证据的来源应审查些什么? (1)数字证据的来源是否是客观真实的存在,而不是主观臆断的产物。 (2)数字证据收集的主体,时间,地点,过程,对象等是否合法。 (3)数字证据的内容是否真实反映案件事实。(4)数字证据是否为在正常运行的计算机等设备在正常工作中形成的。 (5)数字证据是否被用户非法输入和控制。(6)自动生成数字证据的计算机程序是否产生了故障。 2 对于数字证据的保全可采用什么样的方法?(1)凡是将可擦写的原始软件和查获的媒体作为证据的,为了保证其证据的不可变性, 应当在现场对所有原始的软件和查获的媒 体采取写保护措施,并由现场见证人和当 事人签名(盖章)并按指印。 (2)勘查中发现的一切有用证据都要及时固定
按照有关规定要求拍摄现场全过程的照片 和录像,制作《现场勘查笔录》及现场图, 并记录现场照相和录像的内容,数量及现 场图的种类和数量。 (3)用打印输出的方式将计算机证据进行文书化,打印后表明提取时间,地点,机器, 提取人,见证人,在计算机证据文书化后, 统一在文书材料右上角加盖印章并逐项填 写。 (4)电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份,作为证 据使用的电子数据存储介质应记明案由, 对象,内容,录取,复制的时间,地点, 规格,类别,存储容量,文件格式等,并 复制两个以上的电子数据备份。 (5)妥善保管存储电子数据证据的介质,远离高磁场,高温环境,避免静电,潮湿,灰 尘,挤压和试剂的腐蚀,应使用纸袋装计 算机元件或精密设备不能使用塑料袋防止 静电消磁,证据要集中保存,以备随时重 组试验或展示。
全国2018年4月历年自考司法鉴定概论试卷 课程代码:00926 一、单项选择题(本大题共13小题,每小题1分,共13分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.司法鉴定对象是获得法律认可的案件中的() A.事实问题B.法律问题 C.专门问题D.非常识性的问题 2.在司法鉴定实践中,遇有鉴定委托方不能及时补充鉴定样本或短时间内难以找到补充鉴定样本的情形时,则鉴定受理方应该() A.终止鉴定B.中止鉴定 C.重新鉴定D.延期鉴定 3.足迹鉴定的依据是() A.足迹特征B.步法特征 C.足迹的静态特征D.足迹的动态特征 4.化学物证能够证明案件事实的客观依据是物质、物品的() A.生物属性B.外表形态结构属性 C.化学属性D.物理属性 5.下列属于爆炸残留物的是() A.爆炸后的破坏痕迹B.已炸坏的爆炸装置 C.被炸者的尸体D.爆炸现场的炸药微粒 6.根据检材录音资料中反映的言语人方言语音特征和个人言语风格,来判断言语人的个人特征称为() A.声纹鉴定B.语音识别 C.录音内容识别D.录音完整性鉴别 7.在收取笔迹鉴定的样本过程中,嫌疑书写人按照办案人员的要求书写的文字材料称为() A.绝对自由笔迹样本B.相对自由笔迹样本 C.实验笔迹样本D.对照笔迹样本 8.在对可疑文书真伪的鉴别中,将可疑文书与真文书比较的重点内容是() 1
A.排版方法特征B.印刷版型特征 C.版面特征D.印刷阶段性特征 9.下列各项中,符合司法精神疾病学鉴定资格的是() A.具有三年以上的精神病临床经验并具有司法精神病学知识的主治医师 B.具备五年以上的精神病临床经验的医生 C.具有司法精神病学知识的人员 D.具有司法精神病学知识、经验和工作能力的主检医师以上人员 10.司法会计鉴定的科学依据是() A.会计特性B.财务特性 C.会计核算方法的特定性D.财务会计特性 11.司法会计鉴定的技术检验对象是() A.财务会计B.帐本 C.帐目D.财务会计痕迹 12.按照我国现行相关法规的规定,交通事故中,“一次造成死亡1至2人,或者重伤3人以上,10人以下,或者财产损失3万元以上不足6万元的事故”,属于()A.轻微事故B.一般事故 C.重大事故D.特大事故 13.产品质量标准中,国家要求必须执行,不允许以任何理由或方式加以违反、变更的标准,被称为() A.行业标准B.地方标准 C.推荐性标准D.强制性标准 二、多项选择题(本大题共5小题,每小题2分,共10分) 在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。 14.根据鉴定人从事司法鉴定工作是否必须获得资格来划分,可将鉴定人分为()A.专职鉴定人B.兼职鉴定人 C.资格型鉴定人D.临时聘请型鉴定人 E.法医学鉴定人 15.下列方法中,属于同一认定鉴定比较检验方法的有() A.特征重叠比较法B.几何构图比较法 2
全国2010年7月自学考试司法鉴定概论试题 课程代码:00926 一、单项选择题(本大题共13小题,每小题1分,共13分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.实行分散型司法鉴定体制的代表性国家为( ) A.法国 B.德国 C.意大利 D.美国 2.下列属于不受理鉴定委托的正当理由是( ) A.鉴定设备故障 B.鉴定资料不具备鉴定条件 C.需补充鉴定资料 D.鉴定任务重 3.对原鉴定结论全部持有异议而应提出的鉴定是( ) A.复核鉴定 B.补充鉴定 C.共同鉴定 D.重新鉴定 4.下列各项中,正确的同一认定鉴定步骤是( ) A.分别检验、比较检验和综合评断 B.比较检验、分别检验和综合评断 C.分别检验、综合评断和比较检验 D.综合评断、分别检验和比较检验 5.在玻璃上形成的血手印是( ) A.立体手印 B.平面减层手印 C.平面加层手印 D.潜在手印 6.下列各项中,属于人工合成类毒品的是( ) A.苯乙胺 B.吗啡 C.大麻 D.海洛因 7.利用录音资料判断言语人的个人特征的根据是( ) A.言语内容及时间 B.方言语音特征和个人言语风格 C.言语标准程度和表达流利程度 D.言语清晰程度和内容完整程度 8.下列各项中,属于印文细节特征的是( ) A.印文内容及布局 B.印文暗记 C.印文的形状及其大小 D.印文字体及其大小 9.下列各项中,属于诈病的是( ) A.故意伤害自己的身体 B.授意他人代为伤害自己的身体 C.夸大自己的病情 D.伪装精神病 第 1 页
10.下列各项中,属于评定无刑事责任能力的医学要件是( ) A.未满14周岁 B.患过精神疾病 C.处于重性精神疾病发病期 D.轻度抑郁症 11.下列各项中,属于司法会计鉴定对象的是( ) A.原始凭证内容真实性的识别问题 B.确认财产损失的问题 C.账簿保管问题 D.物资保管问题 12.下列各项中,属于司法会计鉴定科学依据的是( ) A.财务关系处理方式与方法的稳定性 B.财务关系主体的可变性 C.财务关系处理方式与方法的灵活性 D.会计核算方法的普遍性 13.下列车辆痕迹中,可作为推算车辆行驶速度依据的是( ) A.路面、人体或衣服上的车轮印痕 B.路面上的刹车痕迹 C.路面上的挫压痕迹 D.路面上的损伤痕迹 二、多项选择题(本大题共5小题,每小题2分,共10分) 在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。 14.享有鉴定资格的人可以( ) A.接受司法机关的鉴定指派 B.独立发表鉴定意见 C.独自出具鉴定文书 D.任意参加各种鉴定 E.接受司法机关的鉴定聘请 15.下列各项中,属于比较检验具体方法的有( ) A.特征对照比较法 B.几何构图比较法 C.特征重叠比较法 D.测量比较法 E.统计比较法 16.下列各项中,影响毒物、毒品作用的因素有( ) A.毒物、毒品的理化性质 B.毒物、毒品的量 C.毒物、毒品进入机体的途径 D.机体的状态 E.毒物、毒品的包装状态 17.在对活体损伤程度的鉴定中,下列各项属于重伤的有( ) A.听觉功能部分障碍 B.容貌损毁 C.丧失听觉 D.听觉功能短暂障碍 E.肢体残废 18.精神疾病司法鉴定委员会的任务包括( ) A.对鉴定人的资格进行审查 B.组织技术鉴定小组 C.受理和实施鉴定 D.协调开展鉴定工作 第 2 页
司法鉴定人年度工作总结 篇一:XX年司法鉴定年终工作总结 司法鉴定所年终工作总结 XX年的司法鉴定工作在上级业务部门的精心指导下,在市司法局领导的关心支持下,积极开展工作,努力提高鉴定水平,各项工作都得到了稳步的发展,为和谐德安、平安德安作出了应有的贡献。 一、主要工作小结 (一)狠抓制度建设,强化内部管理 司法鉴定是一项科学实证活动,鉴定结论直接影响法官的审判结果,要保证每一份鉴定书的质量,首先要强化规范管理。用制度保障规范我们协助各鉴定机构先后制定和完善了十种制度。即:收接案制度、鉴定审批制度、司法鉴定人回避制度、保密制度、司法鉴定文书制作程序,司法鉴定人出庭制度、财务管理制度、继续教育培训制度、档案文书管理制度、违法违纪投诉、处理及错鉴责任追究制度等。每一位司法鉴定人都能严格遵守制度。近年来,我们坚持在省司法厅核准的业务范围内开展执业,按省物价局公布的收费标准收费,没有出现出具虚假鉴定和超业务范围执业的行为,无正当理由拒绝委托的行为,无乱收费、支付回扣费行为,无压价竞争行为,保护了委托人的合法权益,为审判机关提供了公正的诉讼证据,受到社会各界的好评。
在内部管理方面,做到了岗位职责明确,人员到岗到位。 并认真学习相关法律法规及业务知识,积极参加相关会议,与同行认真交流,总结经验,收获颇丰。 (二)抓司法鉴定人培训,加强队伍建设 在充分保证鉴定质量之余,我们不满足现有成就,一是所有鉴定人员积极参加鉴定所内部组织的培训。培训内容主要是法律基础知识、司法鉴定程序、职业道德和执业纪律等方面。二是参加市局组织的各项培训。鉴定人讲正反两方面的典型案例,优秀鉴定人鉴定心得交流,使得鉴定能力再上新台阶。三是抽调了一部份鉴定对当事人进行了回访,满意率达到了100%。四是了解执业人员在执业过程中的情况,并对执业人员进行了纪律教育,无吃、拿、卡、要等不良行为。 (三)开展鉴定援助,惠及社会弱势群体 德安振辉司法鉴定所积极响应省委、省政府下发的关注弱势群体的号召,积极开展对社会弱势群体的援助。一方面,对于经济条件确实困难的当事人给予减免或免除鉴定费用,另一方面积极开展免费咨询,对弱势群众给予积极的援助。 (四)进一步规范完善我所司法鉴定市场的运行机制 XX 年,经过多方共同努力,公安局的法医鉴定纳入了我司法鉴定所统一管理,这样,我县的法医鉴定市场得到规范,资源得到了整合。XX年,共做法医类鉴定例,其中法律援助例,轻伤乙级以上例。较上一年有所增加。鉴定所作出的鉴定,
计算机取证概述 一、背景 计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍,与计算机有关的犯罪也越来越多。要打击并遏制犯罪,执法机关必须依照法律的要求获取证据,特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关,计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。 计算机取证的目的就是要通过分析计算机和网络活动,从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色,在计算机中都会留下大量与犯罪有关的数据,进而依据有关科学与技术原理和方法找到证明某个事实的证据。 由于计算机技术应用的深入,计算机取证逐步发展为数字取证。 (一)数字取证的定义 数字取证是从计算机取证逐步发展而来。 Lee Garber在IEEE Security发表的文章中认为,计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过
程。 计算机取证资深专家Judd Robbins给出如下定义,计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。 计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义,计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 SANS公司认为,计算机取证是使用软件和工具,按照一些预定的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。 我国的陈龙等人认为,计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。 (二)计算机司法鉴定的定义 司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分,而计算机取证的概念要丰富,除计算机司法鉴定的内容外,还要包括对犯罪现场的勘查,如证据的发现、提取、保存、运输等。
中南大学 计算机取证技术 实验报告 学生姓名 学院信息科学与工程学院 专业班级 完成时间
目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)
计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱,并生成工具箱校验和; 2.能对突发事件进行初步调查,做出适当的响应; 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统; 2.网络运行良好; 3.一张可用的软盘(或U盘)和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt:
《司法鉴定概论》 学院: ____________ 班级: _____ 号: _________________ ■生名: ________ 一、单项选择题(每题2分,共20分) 1、不属于司法鉴定原则的是( ) A. 科学原则 B .对委托人负责原则 C.客观原则 D.合法原则 2、 根据《全国人大常委会关于司法鉴定管理问题的决定》的规定,对鉴定人和鉴定机构进 行登记、名册编制和公告的部门是: () A. 国务院 B. 国务院司法行政部门 C 省级人民政府 司法行政部门 D 县司法局 3、 按我国有关法律规定,选择司法鉴定人正确的说法是( ) A. 与证言矛盾的鉴定意见不能被采信 B. 与侦审人员分析判断意见不同的鉴定意见不能被采信 A.必须是政法机关内专职技术人员 B. C.必须是具有咼级专业技术职称的人员 D. 知识的人 4、 种属认定鉴定意见的意义是( ) A 被、供认定客体本质特征相同 B C 被、供认定客体种类相同 D 5、 选择正确的提法( ) A.补充鉴定的鉴定人的级别必须比初鉴定者高 C.司法鉴定活动受到司法机关相应职能的约束 6、 司法鉴定意见不能作为证据使用的是( 必须是权威技术专家 司法机关为鉴定专门性问题指派或聘请专门 可以肯定具体事实存在 二种客体均与案件无关系 B. 司法鉴定人在科技活动面前一律平等 D.司法鉴定实行领导负责制
C. 与相关事实不符的鉴定意见不能被采信 D. 上级单位有不同看法的鉴定意见不能被采 信 7、关于重新鉴定正确的说法是() A.重新鉴定的鉴定人的级别必须比初鉴定者高 B.重新鉴定与初次鉴定在鉴定材料、鉴定事项等方面是一样的,否则不属于严格意义上的重新鉴定 C.重新鉴定意见的证据效力比初次鉴定意见高 D.应尽量限制重新鉴定,否则出现就同一个专门性问题出现不同鉴定意见时会给司法人员带来很大的麻烦 8、迄今为止法医学实践的最早的文字记载见于() A. 《封诊式》 B. 《法律答问》 C. 《礼记?月令?孟秋之月》 D. 《洗冤集录》 9、下不属于计算机司法鉴定客体特征的是() A. 动态性 B. 隐蔽性 C. 复杂性 D. 双重性 10、判断涉及财务会计业务内容的文字证据能否作为定案依据是活动。() A 司法会计检查 B 司法会计鉴定 C 司法会计文证审查 D 司法会计检验 二、判断题(判断以下句子的内容是否正确,正确的在后面括号中打V,不正确的打X;每题1分,共10 分) 1、司法鉴定人可以采用个人独创绝技进行鉴定。() 2、司法鉴定的本质是科学技术活动,可以忽略程序性要求。() 3、根据我国现行法律规定,侦查阶段进行的技术鉴定不属于司法鉴定范畴。不能在庭审阶 段作为证据使用。() 4、鉴定意见属于诉讼法规定的证据种类之一,所以直接可以作为定案的依据使用。 () 5、司法鉴定实行鉴定人负责制。() 6、利用比对样本进行检验时,应当使样本条件接近现场条件,必要时模拟现场条件进行预处理。() 7、步伐特征分为步法特征和步态特征 8、尸体痉挛属于特殊类型的尸僵。
司法鉴定管理工作各项制度 时间:2010-04-21 23:45来源:未知作者:admin 点击: 783次 一、司法鉴定人享有的权利 1、了解、查阅与鉴定事项有关的情况和资料,询问与鉴定事项有关的当事人、证人等; 2、要求鉴定委托人无偿提供鉴定所需要的鉴材、样本; 3、进行鉴定所必需的检验、检查和模拟实验; 4、拒绝接受不合法、不具备鉴定条件或者超出登记的执业类别的鉴定委托; 5、拒绝解决、回答与鉴定无关的问题; 6、鉴定意见不一致时,保留不同意见; 7、接受岗前培训和继续教育; 8、获得合法报酬; 9、法律、法规规定的其他权利。 二、司法鉴定人应当履行的义务: 1、受所在司法鉴定机构指派按照规定时限独立完成鉴定工作,并出具鉴定意见; 2、对鉴定意见负责; 3、依法回避; 4、妥善保管送鉴的鉴材、样本和资料;
5、保守在执业活动中知悉的国家秘密、商业秘密和个人隐私; 6、依法出庭作证,回答与鉴定有关的询问; 7、自觉接受司法行政机关的管理和监督、检查; 8、参加司法鉴定岗前培训和继续教育; 9、法律、法规规定的其他义务。 三、司法鉴定人职业道德守则 1、司法鉴定人应当遵守国家法律,遵从社会公共道德规范。 2、司法鉴定人应当讲求社会效益,为维护司法公正和社会正义服务。 3、司法鉴定人应当依法执业,严格按照法定程序开展鉴定活动。 4、司法鉴定人应当加强学习,始终保持过硬的专业技术和业务能力。 5、司法鉴定人应当遵循独立原则,坚持科学立场,忠于事实真相。 6、司法鉴定人应当保持职业谨慎,严格遵循行业技术规范和标准。 7、司法鉴定人应当廉洁自律,诚实守信,尊重同行,公平竞争。 四、司法鉴定人执业纪律规范 1、司法鉴定人不得以个人名义接受鉴定委托,不得私自向委托人或鉴定事项的利害关系人收取任何费用、礼品或谋取任何利益。 2 、司法鉴定人不得同时在两个或两个以上的司法鉴定机构中执业,接受其他组织或鉴定机构的聘请,参加特定事项鉴定应当事先得到所在司法鉴定机构的准许。 3、司法鉴定人不得承揽司法行政机关核定执业类别和业务范围以外的司法鉴定业务,对超出自身专业能力的待鉴事项不得发表鉴定意
《司法鉴定概论》试卷A卷 学院:___________ 班级:_____学号:_______________姓名:__________ 一、单项选择题(每题2分,共20分) 1、不属于司法鉴定原则的是() A.科学原则B.对委托人负责原则 C.客观原则D.合法原则 2、根据《全国人大常委会关于司法鉴定管理问题的决定》的规定,对鉴定人和鉴定机构进行登记、名册编制和公告的部门是:() A.国务院 B. 国务院司法行政部门C省级人民政府司法行政部门D县司法局 3、按我国有关法律规定,选择司法鉴定人正确的说法是() A.必须是政法机关内专职技术人员 B.必须是权威技术专家 C.必须是具有高级专业技术职称的人员 D.司法机关为鉴定专门性问题指派或聘请专门知识的人 4、种属认定鉴定意见的意义是() A被、供认定客体本质特征相同B可以肯定具体事实存在 C被、供认定客体种类相同D二种客体均与案件无关系 5、选择正确的提法() A.补充鉴定的鉴定人的级别必须比初鉴定者高 B.司法鉴定人在科技活动面前一律平等 C.司法鉴定活动受到司法机关相应职能的约束 D.司法鉴定实行领导负责制 6、司法鉴定意见不能作为证据使用的是() A.与证言矛盾的鉴定意见不能被采信 B.与侦审人员分析判断意见不同的鉴定意见不能被采信 C.与相关事实不符的鉴定意见不能被采信 D.上级单位有不同看法的鉴定意见不能被采信 7、关于重新鉴定正确的说法是() A.重新鉴定的鉴定人的级别必须比初鉴定者高 B.重新鉴定与初次鉴定在鉴定材料、鉴定事项等方面是一样的,否则不属于严格意义上的重新鉴定 C.重新鉴定意见的证据效力比初次鉴定意见高 D.应尽量限制重新鉴定,否则出现就同一个专门性问题出现不同鉴定意见时会给司法人员带来很大的麻烦 8、迄今为止法医学实践的最早的文字记载见于() A.《封诊式》 B.《法律答问》 C.《礼记·月令·孟秋之月》 D. 《洗冤集录》 9.下不属于计算机司法鉴定客体特征的是() A.动态性 B.隐蔽性 C.复杂性 D.双重性 10、判断涉及财务会计业务内容的文字证据能否作为定案依据是活动。() A 司法会计检查 B 司法会计鉴定 C 司法会计文证审查 D 司法会计检验
司法鉴定工作流程 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
司法鉴定所司法鉴定工作流程一、鉴定的受理 (一)初审----由鉴定人负责 1、决定受理的,应当复印委托人(代理人)的身份证明,或者收取委托人的介绍信,并作为司法鉴定业务档案卷宗材料序号1附属材料归档。 2、审核委托鉴定事项是否明确、用途和要求是否合法,是否属于本鉴定机构的鉴定范围,是否属于重新鉴定,委托人是否签字或盖章。【司法鉴定委托书】作为司法鉴定业务档案卷宗材料序号1归档。 3、审核鉴定材料的种类、数量、性状、保存情况,鉴定材料是否真实、完整、充分。【鉴定材料】作为司法鉴定业务档案卷宗材料序号6归档。 4、明确鉴定时限、鉴定事项、鉴定费的收取标准、鉴定文书的送达方式、需要退还的鉴定材料及退还方式、需要补充的鉴定材料及时间要求。 5、经初审,符合受理条件的,应填写《司法鉴定受理审批表》,报鉴定机构负责人审批。【司法鉴定受理审批表】作为司法鉴定业务档案卷宗材料序号2附属材料归档。 (二)审批----由鉴定机构负责人或指定的鉴定人负责
鉴定机构负责人在《司法鉴定受理审批表》中签署意见,决定是否受理,以及鉴定时限、鉴定事项、鉴定人、承办人、鉴定费等事项。 (三)受理----由承办人负责 1、决定当场受理的 鉴定机构财务人员收取委托人鉴定费后,应当出具税务凭据。【收费凭据复印件】作为司法鉴定业务档案卷宗材料序号8归档。 鉴定机构应当按照司法部示范文本格式,与委托人签订一式两份《司法鉴定协议书》,双方各执一份。【司法鉴定协议书】作为司法鉴定业务档案卷宗材料序号2归档。 2、决定补充材料的 经审核,需要补充鉴定材料的,应当填写一式二份《司法鉴定委托材料收领单》,其中一份交委托人(代理人),一份连同收取的其它鉴定材料由承办人保存。【司法鉴定委托材料收领单】作为司法鉴定业务档案卷宗材料序号6附属材料归档。 待鉴定材料补充齐全后,按当场受理的程序办理。 3、决定不予受理的 决定不予受理的,应当向委托人(代理人)说明理由。 二、鉴定的实施
《司法鉴定概论》 学院:___________ 班级:_____学号:_______________姓名:__________ 一、单项选择题(每题2分,共20分) 1、不属于司法鉴定原则的是() A.科学原则B.对委托人负责原则 C.客观原则D.合法原则 2、根据《全国人大常委会关于司法鉴定管理问题的决定》的规定,对鉴定人和鉴定机构进行登记、名册编制和公告的部门是:() A.国务院 B. 国务院司法行政部门C省级人民政府司法行政部门D县司法局 3、按我国有关法律规定,选择司法鉴定人正确的说法是() A.必须是政法机关内专职技术人员 B.必须是权威技术专家 C.必须是具有高级专业技术职称的人员 D.司法机关为鉴定专门性问题指派或聘请专门知识的人 4、种属认定鉴定意见的意义是() A被、供认定客体本质特征相同B可以肯定具体事实存在 C被、供认定客体种类相同D二种客体均与案件无关系 5、选择正确的提法() A.补充鉴定的鉴定人的级别必须比初鉴定者高 B.司法鉴定人在科技活动面前一律平等 C.司法鉴定活动受到司法机关相应职能的约束 D.司法鉴定实行领导负责制 6、司法鉴定意见不能作为证据使用的是() A.与证言矛盾的鉴定意见不能被采信 B.与侦审人员分析判断意见不同的鉴定意见不能被采信 C.与相关事实不符的鉴定意见不能被采信 D.上级单位有不同看法的鉴定意见不能被采信 7、关于重新鉴定正确的说法是() A.重新鉴定的鉴定人的级别必须比初鉴定者高 B.重新鉴定与初次鉴定在鉴定材料、鉴定事项等方面是一样的,否则不属于严格意义上的重新鉴定 C.重新鉴定意见的证据效力比初次鉴定意见高 D.应尽量限制重新鉴定,否则出现就同一个专门性问题出现不同鉴定意见时会给司法人员带来很大的麻烦 8、迄今为止法医学实践的最早的文字记载见于() A.《封诊式》 B.《法律答问》 C.《礼记·月令·孟秋之月》 D. 《洗冤集录》 9.下不属于计算机司法鉴定客体特征的是() A.动态性 B.隐蔽性 C.复杂性 D.双重性 10、判断涉及财务会计业务内容的文字证据能否作为定案依据是活动。()
一、选择题(每小题2分,共20分) 1、以下有关EasyRecovery的说法不正确的是() A. EasyRecovery在恢复数据时并不向硬盘写任何东西,而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是()。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是() A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是() A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是() A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是() A. 每个盘片有两个面,这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动,每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段,每个段称为一个扇区。扇区的编号是按0,1,……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是()。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是()。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下()命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中,嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能,以下()是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题(每空2分,共40分) 1、当执行删除文件操作时,系统做了两方面的工作:一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除;二是将文件所占的文件簇在()中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以()为基本单位的;()是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分:主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中()包括硬盘主引导记录MBR和硬盘分区表DPT;将()中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段:预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中()阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内
全国2018年7月高等教育自学考试 司法鉴定概论试题 课程代码:00926 一、单项选择题(本大题共13小题,每小题1分,共13分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.下列各项中,属于按照鉴定程序的要求进行分类的鉴定是() A.认定种属的鉴定B.初次鉴定 C.痕迹鉴定D.司法会计鉴定 2.司法鉴定人必须具备的首要条件是() A.专业知识条件B.实践能力条件 C.专业技术职务条件D.法律知识条件 3.对于鉴定人应该依法回避而没有回避所实施完成的鉴定应() A.补充鉴定B.重新鉴定 C.共同鉴定D.复核鉴定 4.同一认定鉴定时比较检验的主要任务是() A.确定检材与样本特征的异同B.确定检材与样本的特征 C.评断检材与样本特征异同的原因D.寻找检材与样本的特征 5.刑事案件中,对犯罪现场遗留指印进行鉴定的目的是() A.分析案件的性质B.认识犯罪过程 C.解决人身同一认定的问题D.了解案情 6.下列属于天然纤维的是() A.金属纤维B.锦纶 C.石棉D.涤纶 7.录像资料的原始图像被编辑、修改后,较难发现其编辑、修改痕迹的图像记录信号为 ()A.光信号B.模拟信号 C.电信号D.数字信号 8.以真文书为范本,大批量印刷伪造文书的最常用方法是() 1
A.铅字盖印伪造法B.手工描绘伪造法 C.拓印伪造法D.照相制版伪造法 9.貌似健康的人,由于潜在疾病或机能障碍而发生急速、意外的死亡(症状出现到死亡的时间在24小时内)称为() A.衰老死B.非自然死亡 C.意外死D.猝死 10.下列各项中,属于按照病因来源分类的精神疾病为() A.非精神病性精神障碍B.精神发育迟滞 C.内源性精神疾病D.重性精神疾病 11.会计特性主要是指() A.会计核算内容的特定性 B.会计所选用的成本计算方法的相对稳定性 C.会计所设置的帐户体系的相对稳定性 D.会计核算方法的特定性和会计核算的相对稳定性 12.选择司法会计鉴定人时应该首先考虑的人员是() A.注册会计师B.相关专业的教学人员 C.从事相关专业实际工作的会计D.司法会计技术人员 13.道路交通事故受伤人员伤残程度鉴定过程中,如果受伤人员符合2处以上等级者,最终评定结论应是() A.按伤残程度轻的等级评定 B.按高于伤残程度重的等级评定 C.按伤残程度重的等级评定 D.按高于伤残程度轻低于伤残程度重的等级评定 二、多项选择题(本大题共5小题,每小题2分,共10分) 在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。 14.申请设立司法鉴定机构应该具备的条件有() A.鉴定人员条件B.鉴定机构名称条件 C.鉴定资金条件D.鉴定场所条件 E.鉴定设备条件 2
司法鉴定人员个人总结 司法鉴定人员,就其本质工作而言,就是平等,所以司法鉴定人员要做到公正公平!那么你要怎么去写司法鉴定人员个人总结呢?下面由本小编精心整理的司法鉴定人员个人总结,希望可以帮到你哦! 司法鉴定人员个人总结篇一 我叫黄本有,1948年--月出生,1970年10月参加工作,1980年4月加入中国共产党,2018年7月从事司法行政兼人民调解工作,现任商洛市镇安县青铜关镇司法所司法助理员兼镇人民调解委员会主任。九年来,我先后调解处理各种矛盾纠纷398起,其中疑难纠纷41起,防止“民转刑”案件8起,群体性事件3起,调解成功率达98,较好地履行了一个基层司法助理员和人民调解员的工作职责。九年中,党和政府也给了我许多荣誉,连续五年被评为市县先进工作者、优秀共产党员、优秀公务员,多次受到市司法局,县委、
县政府和县司法局的表彰奖励。今天我能在这里向大家汇报工作,心里很不平静,我只是尽了司法助理员应尽的职责,与党和人民的要求还有不少差距。回顾几年来,司法行政和人民调解工作的实践,我的体会是: 树信心,立规矩,规范执法行为2018年,当组织让我到青铜关从事司法行政工作,亲朋好友都反对。一方面认为青铜关镇位于镇旬两县结合部,撤区并镇由原来的4个乡合并而成近2万人口的大镇,时逢西康铁路建设,社会治安相当复杂,另一方面认为都快五十的人了,干司法调解整天与哭天抹泪、扯皮打架的事情打交道,没权、没利、没地位,有啥好干?因为这之前,我在公安上工作了好多年。但我不这样想,让我做司法调解工作,说明组织上相信我的能力,镇大民情复杂,说明那里更需要我,我二话没说就走马上任了。上任后,首先利用一个多月时间,跑遍了全镇的15个村79个村民小组,掌握了大量第一手资料,写了长达20多页的社情调查报告,专题向镇党委、政府领导作了汇报,引起了领导的高度重视,主要领导亲自安排,分管领导具体落实。在当时镇机关住房相当紧张的情况下,给我安排了一套间房子,有一间专门的办公室。在随后的工作中,我结合实际,专门建立健全了学习制度、工作制度和廉洁制度;及时
计算机取证中的数据恢复技术综述 摘要 传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。 关键字:计算机取证、数据恢复 Abstract Traditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics . Keywords: computer forensics, data recovery
计算机取证技术复习 一.填空题 1.计算机取证模型主要包 括:、、 、。 2.在证据收集的过程中必须收集的易失性证据主要 有:、、、、、。 3.目前的计算机反取证技术主要有:、。 4.在Windows工作模式下显示系统的基本信息,包 括:、、 及。 5.隐藏术通常通过两种方法对数据进行保 护:; 。 6.在MACtimes中的Mtime指;Atime 指; Ctime指。 7、防止密码破译的措施:;;。 8、目前主要数据分析技术具体包括: :;;; 。 9、安全管理主要包括三个方面:、、。 10、计算机信息系统的安全管理主要基于三个原 则:、、 。 11.系统信息安全包 括:;;; ;。 12.任何材料要成为证据,均需具备三性:; 和。 13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的、、和 的过程。 14.DES是对称密钥加密的算法, DES算法大致可以分成四个部 分:;;和; 15、目前,反取证技术分为三类:、、。 16、网络安全管理的隐患有:;; ;。 二.判断 1.取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。()
2.网络入侵取证系统中,日志文件是可以很轻易被人修改的,但是这种修改是很容易被发现的。() 3.硬盘由很多盘片组成,每个盘片被划分为若干个同心圆,称为磁道。() 4.硬盘在存储数据之前,一般需经过低级格式化,分区和高级格式化这三个步骤之后才能使用,其作用是在物理硬盘上建立一定的数据逻辑结构。() 5.初始响应在数据收集过程中,能将收集到的证据写回到被入侵机器的硬盘上。() 6.数据遭受物理损坏后,失效的数据彻底无法使用。() 7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上,如磁带,光盘等。() 8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。() 9.用数字加密技术对数据进行保护主要有两种方式:保密和证明数据的完整性。() 10.Windows文件删除分为逻辑删除和物理删除两种。() 11.防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。() 12.安全机制分为两类,一类是与安全服务有关;另一类与管理功能有关。()13.数据流加密是指把数据划分为定长的数据块,再分别加密。数据块加密是指加密后的密文前部分,用来参与报文后面部分的加密。() 14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。() 三、简答题 1、在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什 么? 2、当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数 据。主要的易失性数据包括哪些? 3.Windows系统中初始响应指的是什么?现场数据收集的主要步骤包括哪些? 4、描述你知道的证据获取技术包括哪些? 5、基本过程模型有哪些步骤? 6. 电子证据与传统证据的区别有哪些? 7. Windows系统取证方法的主要流程是什么? 9. 日志分析有哪些?包括什么内容? 10. Windows 2000/XP安全管理的常用方法有哪些?(至少写出6个) 四、综合题 1. Windows系统下取证方法的主要流程是什么?我们文件数据一般的隐藏术有哪些,谈谈你的看法? 2. 阐述事件响应过程模型执行步骤及其工作内容? 3.简述硬盘的结构与数据组织,写出一般文件的删除与恢复方法? 4. 在Windows系统下的文件删除与恢复的操作是什么? 5.计算机取证模型有哪些?分别阐述其特点?
司法鉴定概论(00926) 第一章:司法鉴定概述 广义的司法鉴定是指在诉讼、行政执法、仲裁等司法和准司法活动中,对案件中的专门问题,由当事人申请,司法或者准司法机关决定,或由司法机关准司法机关主动决定,指派或者聘请具有专门知识的人,运用专门的技术方法对专门问题进行科学判断的活动。狭义的司法鉴定是指在诉讼过程中,对案件中专门性问题,由当事人申请。司法 机关决定或由司法机关主动决定,指派或者聘请具有专门知识的人,运用专门的技术方法对专门问题进行科学判断的活动。 鉴定的根本目的是鉴定人根据超出一般常识之外的专门知识就专门问题做出专业性的判断和解释,以补充事实审理者在专门问题上认识能力的不足。鉴定人具有下列情形之一的,应当自行回避,或当事人及其法定代理人有权要求其回避:1、是本案的当事人或当事人近亲属的;2、本人或他的近亲属与本案有利害关系的;3、担任过本案的证人、辩护人、诉讼代理人的;4、与本案有其他利害关系,可能影响公正处理案件;5、接受当事人及其委托人请客送礼,违反规定会见当事人及其代理人。审判人员对鉴定人出具的鉴定书,应当审查:1、委托人姓名或名称、委托鉴定的内容;2、委托鉴定的材料;3、鉴定的依据及其使用的科学技术手段;4、对鉴定过程的说明;5、明确的鉴定结论;对鉴定人鉴定资格的说明;7、鉴定人员及鉴定机构签名盖章。所谓意见是指在感知实施的基础上所做的推论。 司法鉴定的主体包括主体合法、程序合法和形式合法。 司法鉴定的性质决定了司法鉴定具有合法性、科学性、中立性的特征。合法性要求:一是鉴定启动主体是法庭主体;二是鉴定实施的主体是法定主体,即具有鉴定资格的鉴定人;三是鉴定机构必须是经过上级主管部门批准授权或司法机关临时指聘的,具有鉴定资格的鉴定机构;四是诉讼法对鉴定程序进行了严格规定,对于鉴定的启动、委托、受理、实施等鉴定过程,相关法律法规均作了明确规定;五是鉴定的客体是依法取得的具有合法性和真实性的供鉴定客体;六是鉴定结论是法定的证据种类之一。司法鉴定的中立性是指司法鉴定人应当具有中立性,在司法鉴定过程中独立的进行观察、检验、分析,提出自己的鉴定意见,不受任何来自外界的干扰。司法鉴定的科学性是指司法鉴定是一种科学检验活动,是具有专门知识的人运用科学的技术方法解决案件中专门性问题的司法活动。 司法鉴定的作用:一,刑事案件中司法鉴定为确定侦查方向、缩小侦查范围提供重要依据,在民事、行政案件中为调查活动提供线索;二,司法鉴定为审查核实其他证据提供依据;三,司法鉴定结论可以为审判活动提供证据。 司法鉴定的种类:根据司法鉴定技术的科学基础分为:物证技术学鉴定(痕迹鉴定、文书物证鉴定、化学物证鉴定、生物物证鉴定、音像物证鉴定)、法医学鉴定、精神疾病鉴定的司法精神病学鉴定、司法会计学鉴定。根据鉴定结论确定的事实与案件关系进行分类,可分为认定同一鉴定、认定种属鉴定、认定事实真伪的鉴定、确认事实有无的鉴定、确定事实程度的鉴定、确定事实因果关系的鉴定。根据鉴定程序要求进行分类:初次鉴定、补充鉴定、重新鉴定。 司法会计学鉴定是运用审计学原理和会计学的专业知识对于案件有关的会计核算资料进行鉴定。司法工程学鉴定是利用工程学和交通土建工程学的专业知识对工程质量进行评估,对工程质量事故原因进行分析的鉴定。同一认定是依据客体特征判断两次以上出现的客体是否为同一客体的认识活动。种属认定是依据客体特征对于案件有关的客体的种类所属或先后出现的客体的种类是否相同的问题作出的判断。初次鉴定是指就一个具体的鉴定对象和鉴定要求而言,司法机关委托鉴定人进行的第一次鉴定。补充鉴定是再初次鉴定的基础上,对初次鉴定中不完善之处进行修改补充的鉴定。重新鉴定是指委托机关对初次鉴定或者补充鉴定的鉴定结论存在疑虑,委托原鉴定人以外的鉴定人再次进行的鉴定。 第二章 司法鉴定制度是指一个国家的法律所规定的规范司法鉴定活动中各项规则、规章和体制的总称。其包括司法鉴定机构制度、司法鉴定人制度、司法鉴定程序制度、司法鉴定管理制度。 司法鉴定机构有集中型和分散型两种模式。集中型司法鉴定体制是指一个国家的司法鉴定机构和鉴定人员隶属于同一个组织系统,具有统一的管理体制。集中型司法鉴定体制,有利于加强对司法鉴定活动的统一管理、统一领导和统一监督;有利于集中司法鉴定的人力、财力和物力,充分发挥鉴定资源优势,集中人财物开发尖端鉴定技术;有利于减少重复鉴定和鉴定纠纷,提高司法鉴定的公信力;有利于统筹解决司法鉴定实践中反映出来的立法和司法问题。分散型司法鉴定体制是指一个国家司法鉴定机构和鉴定人员分属于不同一个组织系统,没有统一的管理体制,彼此之间相互独立。分散型司法鉴定体制一方面具有较大的灵活性,可以因地制宜和因事制宜地满足不同地区不同系统的需要;但另一方面也容易造成资源浪费和效率的降低。 我国当前司法鉴定制度中存在的问题主要包括:1、鉴定机构重复设置,权限不够明确,缺乏统一的严格管理体制;2、鉴定缺乏统一、严格的培训、考核与管理;3、缺乏统一、科学的鉴定标准和鉴定程序规则;4、缺乏有效的监督和制约机制;5、鉴定人出庭作证率低,鉴定结论主要以书面方式提交法庭,鉴定结论无法接受质询、鉴定结论公信力受到怀疑;6、法官对鉴定结论证明能力的审查判断缺乏证据规则指导,实践中存在以行政等级认为划分鉴定结论证明能力和证据力的问题,具有很大的随意性。 在确定鉴定主体资格上有两个基本原则:一个是鉴定人主义,一个是鉴定权主义。鉴定主体的权利:1拒绝鉴定的权利2为顺利、准确的完成鉴定任务,鉴定人必要时得到法官和当事人支持和配合的权利3鉴定人获得报酬的权利;鉴定主体的义务:1鉴定人应当依据自己的荣誉和良心认真、客观、不持偏见的完成鉴定任务2接受法官委托的鉴定人须亲自完成任务,不得违反法官的命令,不得侵犯法律赋予当事人的权利3鉴定人对鉴定材料妥善交接与保管的义务4鉴定人应当按照规定的期限完成鉴定任务5出具鉴定报告的义务6鉴定人的保密义务。 鉴定主体的法律责任是指鉴定主体因职业行为不当而依法承担不利的法律后果。鉴定的启动权和决定权是指谁有权决定是否进行鉴定,进行何种鉴定、由谁鉴定,是司法鉴定的核心内容。其可以分为一种是当事人委托鉴定制度;另一种是司法官授权鉴定制度。 当事人委托鉴定制度的优点表现为:一是这种鉴定制度的设置可以通过诉讼过程中双方相互之间竞争,提高鉴定工作的效率;二是可以通过对立面的制约机制全面揭示案件事实;三是能够充分保护当事人合法权益,保障审判人员兼听则明,防止偏听则暗。其弊端表现为:由于专家证人受雇于当事人,且其专家证言的内容和结果预售雇佣的报酬直接挂钩;专家证人在选取有关鉴定材料和提出有关鉴定结论时,通常会自觉不自觉的呈现一定的倾向性。 司法官授权鉴定制度的优缺点主要表现在:其一,是鉴定人的中立性,即鉴定人员不受案件中利害关系的影响而客观地进行鉴定;其二,是减少不必要的重复鉴定,节省鉴定的人力和物力以及在审判中多名鉴定人分别陈述和相互质证的时间,但是由于缺乏对立面的制约机制,审判人员容易偏听偏信造成错判。 英美法系专家证人询问的通常顺序是:直接询问、交叉询问、再直接询问、在交叉询问。直接询问的内容包括:1、展示专家证人的资格;2、展示专家证人的动机;3展示专家意见及其推理过程;4、展示专家意见的依据资料。交叉询问的内容包括:1、质疑对方专家证人的资格;2、质疑专家证人的中立性;3、指出对方专家意见依据的基础信息存在的漏洞;在对专家证人交叉询问过程中,可以通过挑战其事实基础而破坏专家意见的结论;4、挑战专家证人在形成专家意见中应用的理论、方法和推理过程。 英美法系鉴定人不到庭的例外情形:1、鉴定人已经死亡、患精神病或者居所不明的;2、因患病、虚弱或者其他不能排除障碍,鉴定人在较长时间或者不特定时间内不能参加法庭审判;3、因路途十分遥远,考虑到其证词的意义,认为不能要求鉴定人到庭;4、检察官、辩护人和被告人同意宣读的。 证据采纳又称为证据的可采性,是指证据符合了法律规定的资格和条件,法官应该在审判中采用。证据的证明价值是指证据对于证明案件事实具有何等实质的价值。英美法系国家对专家证言的采纳标准:专家证言的相关性,专家证言的必要性,专家证人的资格,专家证言的排除新规则,专家证言依据的原理和方法的可靠性。 第三章 司法鉴定实施过程的参与者包括鉴定人和鉴定机构。鉴定人是取得鉴定资格而被司法机关指派或聘请解决案件中专门性问题的人。鉴定人只能是自然人。 鉴定人的地位是独立的诉讼参与人。鉴定人与证人有着本质的不同,表现在:证人是以自己的耳闻目睹作证,而鉴定人是以对专门性问题的分析判断作证;证人因了解案件有关事实而与待证的事实发生联系,因此不能代替或者更换;鉴定人则是根据解决问题的需要而指派或者聘请的,可以代替或者更换。鉴定人必须有专门的知识和技能,证人则不必有专门的知识。证人不存在回避问题,只要了解案件有关情况就可以作证;鉴定人则因为保证见鉴定客观公正的需要,不能由案件有利害关系的人担任。 鉴定应具备相应的专业知识条件、实践能力条件、法律知识条件、思想道德条件、技术职务条件。鉴定人的专业知识条件,是要求其所从事的司法鉴定领域的专门知识有过系统学习,掌握比较深厚的基础理论和熟练的运用技术。鉴定人的实践能力条件,要求鉴定人必须具有一定年限的从事本专业鉴定辅助工作的实践经验,经过考核,办案的数量和质量达到规定的要求,能独立解决本专业鉴定工作的实际问题。鉴定人的职业道德条件就是鉴定人应当具有秉公执法、不徇私情的品德,在鉴定工作中坚持实事求是、尊重科学的思想和工作作风,这时保证鉴定结论客观公正的前提。 鉴定人的权利:1有了解进行鉴定所必需的案件资料的权利,2要求进行鉴定所必需的检验、检查和模拟实验的权利,3要求鉴定委托人提供鉴定所需的鉴定资料的权利,4拒绝接受鉴定委托的权利,5独立进行鉴定的权利,6获得鉴定补偿的权利,7法律、法规规定的其他权利;鉴定人的义务:1依法回避的义务2按时完成鉴定任务、提交鉴 定结论的义务3在鉴定过程中认真负责,不做错误结论和虚假结论的义务4保守案内秘密的义务5出庭作证的义务。鉴定人的法律责任:鉴定人在从事司法鉴定活动期间,由于自身的过错给案件侦查、起诉、审理造成不良影响,给当事人或其他人带来损失时,应当承当相应的法律责任,鉴定人应当承担法律责任的行为主要有:1作虚假结论或错误结论的行为2拖延鉴定时限,给诉讼活动造成损失和影响的行为3故意损毁,更换鉴定资料的行为4由于过失造成鉴定资料遗失、变质,失去鉴定条件的行为5泄露案内秘密的行为6违反鉴定人管理规定的行为。 鉴定机构的职责:受理鉴定的要求并组织实施鉴定、鉴定机构其他职责。司法鉴定机构有下列情形之一的,由省级司法行政机关依法给予警告,并责令改正:1、超出登记的司法鉴定也为范围开展司法鉴定活动的;2、未经依法登记擅自设立法制机构;3、为依法办理变更登记的;4、出借《司法鉴定许可证》的;5、组织未取得《司法鉴定人执业证》的人员从事司法鉴定业务;6、无正当理由拒绝接受司法鉴定委托的;7、违反司法鉴定收费管理办法的;8、支付回扣、介绍费,进行虚假宣传等不正当行为的;9、拒绝接受司法行政机关监督、检查或者向其提供虚假材料的;10、法律、法规和规章规定的其他情形。 第四章 司法鉴定过程主要包括:司法鉴定的申请与决定、司法鉴定的委托和受理以及司法鉴定的实施。司法鉴定申请权,是指法律赋予诉讼当事人及其辩护律师或代理人,申请事发鉴定决定主体对案件中专门问题决定坚定的权利。 在刑事诉讼中申请主体是犯罪嫌疑人、被告人及其辩护律师或者被害人及其代理人。在民事诉讼或者行政诉讼中司法鉴定申请人事案件的当事人及其代理人。 申请鉴定的内容包括:案由、申请的理由、鉴定对象、鉴定要求、选择的鉴定人或鉴定机构、申请人、申请时间等。司法鉴定的决定,是指享有鉴定决定权的主体,案件中的专门问题是否交付鉴定,由谁进行鉴定的裁决,是依法行使鉴定权的形式。 司法鉴定委托包括鉴定的指派和聘请。通常司法机关委托本部门鉴定机构或者鉴定人进行鉴定的称为指派鉴定;司法机关委托其他鉴定机构或者鉴定人进行鉴定的称为指派聘请。鉴定资料指鉴定对象以及供比较用的有关材料、具体说包括检材和样本。鉴定对象是指需要进行鉴定的与案件有关的人、事、物。指派和聘请鉴定人时应遵循下列原则:第一,遵守鉴定法定资格主义为主与实体资格主义为辅的原则;第二,应遵守公正原则;第三,应遵守优先原则。 司法鉴定的实施是指鉴定机构的鉴定人具体进行鉴定的活动。在鉴定过程中,出现下列情形之一的,应当终止鉴定:委托人要求终止鉴定的;出现不可抗力致使鉴定无法继续进行的;确需补充鉴定材料而无法补充的;发现自身难以解决的技术问题的。其内容包括:制定鉴定方案、检材的保存、检验、鉴定的记录与建立鉴定档案、鉴定的时限。受理鉴定的一般规定:受理鉴定的主体,受理鉴定的范围,审查鉴定资料和鉴定要求,决定受理的手续,鉴定费的缴纳。不受理鉴定的条件:鉴定机构或被指定的鉴定人有法定回避的理由;委托鉴定的主体没有法定的资格;委托鉴定的法定手续不完备或不真实;委托单位要求鉴定人和鉴定机构违背客观公正作出鉴定结论;鉴定机构和鉴定人受各种非法因素的干扰而难以作出客观公正的鉴定结论;委托鉴定的专门问题及鉴定要求超出受理鉴定的范围;鉴定资料不具备鉴定条件;缺乏鉴定必须的技术设备,不能按时或不能作出鉴定结论;其他可能严重影响鉴定的情况。 第五章 物质交换的两种类型:第一,痕迹性物质交换,即人体与物质接触后发生的表面形态交换;第二,实物性物质交换,又可分为有形物体的物质交换和无形物体的物质交换。前者包括微观物体的互换和宏观物体的互换,微观物体的互换是指犯罪过程中微粒脱落、微粒粘走;宏观物体交换是指作案人遗留物品于现场或者从现场带走物品等;后者主要指不同气体的互换。 影响物质交换的因素:第一分析力及客体被分离的难易程度;第二交换力及物质交换的难易程度;第三交换碎片的数量;第四碎片的附着能力;第五二次交换,是指碎片从来源a转移到目标物b,又从b转移到c;第六无关交换,是指碎片转移到与犯罪不相关的场合。 物质交换原理的意义:物质交换原理有着深厚的科学基础,它反映了客观事物的因果制约规律,体现了能量转换和物质不灭的定律。这一原理对司法鉴定的理论与实践又十分重要而指导作用,它不仅是研究微量物证、细致取证的基础,也是研究司法鉴定科学性的依据。 同一认定是依据案件特征判断两次以上出现的客体是否为同一客体的认识活动。同一认定的理论基础:世界上每个客体都具有独特性、任何客体都可以发现能反应其独特性的特征反映体、客体的特征反映体之间具有本质的相似性。同一认定的条件:客体特征反映体的特征组合具有特定型(特征数量、特征质量)、客体特征反映体的稳定性、客体特征反映体的反映性。 种属认定,它是指具有专门知识的人或者了解客体特征的人,根据客体特征,对于案件有关的客体的种类所属,或先后出现的客体种类是否相同等问题所作出的判断。(确定型种属认定、比较型种属认定)种属认定和同一认定的区别和联系:同一认定解决的问题,是先后出现的客体是否为同一个客体的的问题,针对的是个体,是对客体认识的高级阶段;种属认定解决的问题是一种客体是何种类型的客体,或者几种客体是否属于同一类型的问题针对的是种类,是对客体认识的初级阶段;种属认定往往是同一认定的初始阶段,而且能够为同一认定提供佐证。 第六章:司法鉴定的步骤与技术 司法鉴定的一般步骤,具体包括熟悉鉴定资料,明确鉴定要求,了解案情,拟定鉴定方案,鉴定方案应根据检材的实际情况和鉴定的具体要求进行拟定。拟定鉴定方案应从有利于保全证据、充分利用检材、确保鉴定方法科学,保证鉴定结论客观、准确的角度出发;调试鉴定仪器设备;复制检材和样本。同一认定基本分为:分别检验(直接观察法、显微观察法、理化显现法、模拟实验法)、比较检验(目力观察比较法、数学分析比较法、物理学比较法、化学比较法、生物学比较法及物理化学比较法)、综合评断三个阶段(步骤)。 比较检验是在分别检验的基础上,对检材和样本的一般特征和细节特征或物质结构特征进行互相比较对照,寻找检材和样本特征之间的符合点和差异点。所谓本质差异是指一个客体与其他客体之间特征的差异。所谓非本质的差异,是指一个客体的特征反映体之间的差异,是客体因时间等条件变化而形成的自身差异。 同一认定的结论有肯定同一结论、否定同一结论、无结论、可能性结论四种。种属鉴定的基本步骤分两种:第一种,种属鉴定的目的是确定检材和样本是否来自同一种类的客体,即先后出现的客体的种类是否相同,由于其形式与同一认定相似,所以基本步骤也与同一认定相似,包括分别检验、比较检验、综合评断三个阶段(步骤)。第二种,种属认定的目的是确定某物证的种类所属。 司法鉴定的技术检验方法,是以物理学(物理量测定、不可见光检验、荧光检验、吸附与转移)、化学(显色反应,沉淀、结晶反应,燃烧、火色反应,)、生物学、仪器分析(色谱法、原子光谱法、分子光谱法、中子活化分析法)、图像对比法(是实物图像,分析图像)、显微镜检验法等科学技术方法进行的综合检验方法。其应遵循先采用无损检材方法,后采用损耗检材的检验方法的原则。 第七章:我国鉴定结论的审定认定 鉴定结论审前的开示是指在法庭审判前,诉讼双方当事人将审判中使用的鉴定结论向对方批露的一种诉讼程序。鉴定结论审前开示的理由和目的是:第一,鉴定结论的审前开示可以确保审判的公正进行;第二,鉴定结论的审前开示可以提高诉讼效率;第三,尽管鉴定结论是以科学知识为基础,但是鉴定结论不具有当然的绝对可靠性;第四,鉴定结论的审前开示,尤其是控方结论向辩方的披露是对被告辩护权的保护。我国关于鉴定结论申请开示的规定过于简单,在实践中也缺乏可操作性:第一,对鉴定结论开示缺乏强制性规定,没有规定开示鉴定结论的法律后果。第二,鉴定结论开示的范围不明确。第三,开示地点、时间不明确。第四,没有规定辩护方向公诉方做对等的开示,不符合开示制度发展方向,同时造成起诉方开始的心理障碍。 鉴定结论证据能力的审查认定是指对鉴定结论可采性的认定。证据保管链是指证据从提取到提交法庭审查之前整个保管过程和手续。可以通过回答三个问题来确定鉴定结论的关联性:一是这个鉴定结论是否用以证明实质性事实的证据;二是这个鉴定结论必须使一个实质性事实更有可能或更无可能;三是法律对这种关联性有没有具体要求这三个问题来确定鉴定结论的关联性。 国家对从事下列司法鉴定业务的鉴定人和鉴定机构实行登记管理制度:1法医类鉴定2物证类鉴定3声像资料鉴定4根据诉讼需要由国务院司法行政部门上最高人民法院、最高人民检察院确定其他应当对鉴定人和鉴定机构实行登记管理的鉴定事项。 第八章:痕迹鉴定 痕迹是鉴定客体在一定的作用方式下形成的反映形象,一般分为广义的痕迹和狭义