从电子数据取证说起培训课件.ppt
- 文档编号:30853304
- 上传时间:2024-03-02
- 格式:PPT
- 页数:77
- 大小:15.90MB
从电子数据取证说起培训课件.ppt
《从电子数据取证说起培训课件.ppt》由会员分享,可在线阅读,更多相关《从电子数据取证说起培训课件.ppt(77页珍藏版)》请在冰豆网上搜索。
盘石软件(上海)有限公司E-Mail:
皮浩Phone:
Mobile:
18616911128QQ:
873813208WeChat:
Stevenpi关于我盘石软件(上海)有限公司盘石软件(上海)有限公司典型案例典型案例电子数据与电子证据电子数据与电子证据流程与规范流程与规范11223344法律法规法律法规CONTENTS目录目录盘石软件(上海)有限公司你有多了解电子数据取证?
“只读”在取证中的意义是什么,怎样确保只读?
比较一下只读(readonly)、写保护(writeprotect)、虚拟写(writeblock)取证中的硬盘复制与日常的文件拷贝有何本质区别?
硬盘克隆和硬盘镜像有何异同?
各自的优缺点分别是什么?
哈希(HASH)在取证中的意义?
有哪些常见的算法?
哈希值有哪些特点和应用?
怎样破解或逆推出原始内容?
删除的数据为什么可以被恢复?
盘石软件(上海)有限公司为何谈论电子数据?
盘石软件(上海)有限公司为何谈论电子数据?
盘石软件(上海)有限公司电子数据的量级盘石软件(上海)有限公司短时消费特征长期消费特征环境特征地理特征设备特征白领圈朋友圈校友圈母婴汽车手机奢侈品皮草美食音乐美容文学生化电影军事科技性别年龄地域收入收入职业职业兴趣特征消费特征社交特征细化特征统计特征电子数据取证的意义盘石软件(上海)有限公司早期的计算机犯罪属于高科技犯罪类型,随着信息技术和网络发展,很多的常规案件中也越来越多的要求从电子数据中分析证据信息。
为何谈论电子数据?
电子数据在罪案中出现计算机犯罪:
对象型工具型盘石软件(上海)有限公司电子数据是什么?
盘石软件(上海)有限公司n电子数据(electronicdata)是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料。
n特点具有无形性、多样性、隐蔽性、客观真实性、易破坏性、易于保存、传输方便、可反复重现等特性。
电子数据盘石软件(上海)有限公司常规可见的电子数据p硬盘中储存的电子数据:
硬盘中储存的电子数据:
文档资料、电子表格文档资料、电子表格应用程序、数据库资料等应用程序、数据库资料等多媒体的数码档案:
多媒体的数码档案:
(照片,影片,音乐或图像等)(照片,影片,音乐或图像等)p服务器服务器运行运行的的记记录录:
网页服务器网页服务器日志日志,代理服务器,代理服务器日志日志防火墙防火墙日志日志档案传输档案传输(FTP)(FTP)服务器服务器日志日志数据库数据库记录记录等等p经由互联网传递的经由互联网传递的信息:
信息:
电电子邮件子邮件SMSSMS短讯短讯、MMSMMS多媒体短讯多媒体短讯网上购物网上购物、游戏游戏、聊天记、聊天记录等录等盘石软件(上海)有限公司电子数据存在哪?
盘石软件(上海)有限公司硬盘、移动存储介质、软盘、磁带、光盘、各类存储卡等计算机、服务器、调制解调器、网卡、集线器、交换机、路由器、手机、数码相机、寻呼机、电子记事本、打印机、扫描仪、磁带机等电子数据设备类介质类电子数据存储盘石软件(上海)有限公司怎样成为电子证据?
盘石软件(上海)有限公司n“以电子形式存在的、用作证据使用的证据材料及其派生物;或是借助电子技术或电子设备而形成的证据”叫做电子数据证据,简称电子证据。
n电子数据要成为证据,必须具备证据的三性:
合法性客观性关联性电子证据盘石软件(上海)有限公司电子证据的分类l模拟信号电子证据与数字信号电子证据l原始电子证据和传来电子证据l生成证据、存储证据与混合证据l直接电子证据和间接电子证据盘石软件(上海)有限公司模拟信号电子证据与数字信号电子证据p模拟信号电子证据:
通过信息中的某些特征的具体数值或量来记录电子信息内容。
p数字信号电子证据:
通过信号的离散状态的各种可能组合所赋予的各种数值或其他信息的方法来承载电子信息的内容。
当然,数字信号从最原始的信号层次上来看,其实也是某种模拟信号量,只不过是对其进行了数字化处理。
盘石软件(上海)有限公司原始电子证据和传来电子证据p联合国国际贸易法委员会:
“功能等同法”只要能证明数据电文是计算机储存或接受的信息就能满足证据法对原件的要求。
p美国立法对“原始电子证据”的主流观点:
1.存储在计算机内、能准确反映出打印物或其他输出物的数据;2.当电子证据表现为副本时,制作者或发行者意图使其同文书本身具有同等效力。
盘石软件(上海)有限公司生成证据、存储证据与混合证据p生成证据:
完全由计算机等设备自动生成的证据。
它是完全基于计算机等设备内部命令运行的,其中并没有掺杂人的主观意志。
p存储证据:
计算机储存输入的信息而形成的证据。
p混合证据:
计算机录入者输入信息后再根据计算机内部指令运行而得到的证据。
盘石软件(上海)有限公司直接电子证据和间接电子证据p直接电子证据:
能够单独直接证明案件主要事实的电子证据。
p间接电子证据:
不能单独直接证明案件主要事实,必须与其他证据结合形成证据链才能证明案件主要事实的电子证据。
盘石软件(上海)有限公司直接电子证据和间接电子证据p“印证证明”原理在我国证据法学中,认定案件的事实必须由若干份证据构成一个相互印证的体系,即“孤证不能定案”原则。
p试用范围刑事诉讼法民事诉讼法在特定案件中,电子证据作为孤证也可以定案。
盘石软件(上海)有限公司电子证据的特性p观点一:
无形性、多样性、客观真实性、易破坏性等特征p观点二:
还具有收集迅速,易于保存、传输,占用空间少,可以反复重现,易于使用、审查、核对,便于操作等特点p观点三:
双重性、多媒体性、隐蔽性、易保管、传输方便、可反复重现、便于使用等特征p观点四:
技术含量高、易被伪造和篡改、复合性、间接性等特性,无形性、易收集性、易保存性、可以反复重现等特性盘石软件(上海)有限公司电子证据原始性保护n只读的含义:
只读的含义:
ReadOnly(只读)WriteProtect(写保护)WriteBlock(虚拟写)盘石软件(上海)有限公司传统的硬盘介质接口类型图片推出年份传输速率优点缺点IDE硬盘1986年约40MB/s价格低廉兼容性强速度慢线缆长度过短SATA硬盘2001年150-300MB/s更快的传输速率数据校验更完善性能不足可维护性不强SAS硬盘2001年300MB/s更好的性能更好的扩展性控制芯片种类少价格贵SCSI硬盘1979年300MB/s支持多个设备占用CPU低具有智能化价格昂贵盘石软件(上海)有限公司名目繁多的硬件不同的存储介质新兴的存储介质盘石软件(上海)有限公司智能设备盘石软件(上海)有限公司磁盘复制n克隆的定义:
逐磁道、逐扇区物理级的数据精确复制能获得所有文件,且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。
盘石软件(上海)有限公司n镜像的定义:
硬盘to文件DD,E01,AFF镜像文件包含所有文件,包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。
磁盘复制盘石软件(上海)有限公司多路并行复制极速硬盘复制机取证一体机盘石软件(上海)有限公司多通道复制盘石软件(上海)有限公司n复制的意义:
保存原始证据制作检验用的精确拷贝镜像数据法律上与原始证据等同检验可在备份数据上进行,降低了在原证据盘上检验带来的风险。
数据镜像产生的数字指纹(HASH),可对原证据盘进行检验前后数据是否发生变化进行对比,有利于法庭质证。
磁盘复制盘石软件(上海)有限公司数据擦除-DOD标准依据DOD规范,对硬盘做七次擦除。
1.一个字节的随机数,覆盖硬盘所有可以寻址的位置2.上一次的字节取反,覆盖硬盘所有可以寻址的位置3.随机数覆盖硬盘所有可以寻址的位置4.一个字节的随机数,覆盖硬盘所有可以寻址的位置5.上一次的字节取反,覆盖硬盘所有可以寻址的位置6.随机数覆盖硬盘所有可以寻址的位置7.用零覆盖硬盘所有可以寻址的位置盘石软件(上海)有限公司数据擦除-BMB擦除依据BMB21-2007规范,对硬盘做六次擦除。
1.用零覆盖硬盘所有可以寻址的位置2.用二进制0x01覆盖硬盘所有可以寻址的位置3.随机数覆盖硬盘所有可以寻址的位置4.随机数覆盖硬盘所有可以寻址的位置5.随机数覆盖硬盘所有可以寻址的位置6.用零覆盖硬盘所有可以寻址的位置盘石软件(上海)有限公司哈希(HASH)Hash算法:
Hash算法,又称Hash函数Hash种类:
MD5、SHA-1、SHA-256等等MD5是由国际著名密码学家麻省理工大学的RonaldRivest教授于1991年设计的。
SHA-1是由美国专门制定密码算法的标准机构美国国家标准技术研究院(NIST)与美国国家安全局(NSA)设计。
HASH值:
任何文件可用散列算法创建一个HASH值盘石软件(上海)有限公司两个内容完全一致的文件其HASH值相同两个同名文件内容稍有差异HASH值不同具有不可逆性,不能通过HASH值恢复源文件内容HASH应用:
电子签名、数据安全,文件一致性检验等哈希(HASH)盘石软件(上海)有限公司文件文件11副本副本文件2MD532位字母、数字序列(相同)32位字母、数字序列(不同)文件内容MD5输出ThesuspectsnameisjohnThesuspectsnameisjoanc52f34e4a6ef3dce4a7a4c573122a039c1d99b2b4f67d5836120ba8a16bbd3c9文件文件1哈希(HASH)盘石软件(上海)有限公司存储介质出现损伤、人员误操作、操作系统本身故障造成数据不可见、无法读取、丢失时,工程师通过特殊的手段来使这些数据可被读取的过程。
数据恢复盘石软件(上海)有限公司Dc1.docDe2.xlsInfo2.dat数据恢复盘石软件(上海)有限公司数据恢复盘石软件(上海)有限公司你现在有多了解电子数据取证?
“只读”在取证中的意义是什么,怎样确保只读?
比较一下只读(readonly)、写保护(writeprotect)、虚拟写(writeblock)取证中的硬盘复制与日常的文件拷贝有何本质区别?
硬盘克隆和硬盘镜像有何异同?
各自的优缺点分别是什么?
哈希(HASH)在取证中的意义?
有哪些常见的算法?
哈希值有哪些特点和应用?
怎样破解或逆推出原始内容?
删除的数据为什么可以被恢复?
盘石软件(上海)有限公司盘石软件(上海)有限公司典型案例典型案例电子数据与电子证据电子数据与电子证据流程与规范流程与规范11223344法律法规法律法规CONTENTS目录目录盘石软件(上海)有限公司电子数据立法历程l两个证据规定l两高司法解释l两大诉讼法盘石软件(上海)有限公司两个证据规定中的电子证据2010年5月30日,最高人民法院、最高人民检察院、公安部、国家安全部和司法部联合发布的关于办理死刑案件审查判断证据若干问题的规定(简称办理死刑案件证据规定)和关于办理刑事案件排除非法证据若干问题的规定(简称非法证据排除规定)中,明确使用了“电子证据”这一术语,并对其审查进行了规定。
盘石软件(上海)有限公司两个证据规定中的电子证据p办理死刑案件证据规定第二十九条对于电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等电子证据,应当主要审查以下内容:
(一)该电子证据存储磁盘、存储光盘等可移动存储介质是否与打印件一并提交;
(二)是否载明该电子证据形成的时间、地点、对象、制作人、制作过程及设备情况等;(三)制作、储存、传递、获得、收集、出示等程序和环节是否合法,取证人、制作人、持有人、见证人等是否签名或者盖章;(四)内容是否真实,有无剪裁、拼凑、篡改、添加等伪造、变造情形;(五)该电子证据与案件事实有无关联性。
对电子证据有疑问的,应当进行鉴定。
对电子证据,应当结合案件其他证据,审查其真实性和关联性。
盘石软件(上海)有限公司两高司法解释最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释2011年6月20日最高人民法院审判委员会第1524次会议、2011年7月11日最高人民检察院第十一届检察委员会第63次会议通过,2011年9月1日起施行。
盘石软件(上海)有限公司第一条非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第
(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第
(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
两高司法解释盘石软件(上海)有限公司第二条具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
两高司法解释盘石软件(上海)有限公司两高司法解释第三条提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:
(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;
(二)提供第
(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;(五)违法所得五千元以上或者造成经济损失一万元以上的;(六)其他情节严重的情形。
盘石软件(上海)有限公司刑事诉讼法2012年3月15日全国人大通过了刑事诉讼法修正案,国家主席胡锦涛签署第五十五号主席令予以公布,该法已从2013年1月1日起施行。
盘石软件(上海)有限公司民事诉讼法年月日第十一届全国人民代表大会常务委员会第二十八次修订的民事诉讼法,也已从2013年1月1日起施行。
盘石软件(上海)有限公司电子数据与视听资料p视听资料1982年试行民事诉讼法所创设的七种法定证据形式之一。
从技术角度来看,“视听资料”其实是“电子数据”的一种。
专门的鉴定类别:
声纹、真实性、同一性等。
p电子数据音视频图片等多媒体文件是电子数据的众多形式之一。
证明案件的证据信息。
鉴定手段:
提取、恢复、元数据分析、隐写识别等。
盘石软件(上海)有限公司CNAS规范pCNAS:
l中国合格评定国家认可委员会(ChinaNationalAccreditationServiceforConformityAssessment,CNAS)是根据中华人民共和国认证认可条例的规定,由国家认证认可监督管理委员会批准设立并授权的国家认可机构。
l统一负责对认证机构、实验室和检查机构等相关机构的认可工作。
l人、机、料、法、环盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司CNAS-CL27解读盘石软件(上海)有限公司盘石软件(上海)有限公司典型案例典型案例电子数据与电子证据电子数据与电子证据流程与规范流程与规范11223344法律法规法律法规CONTENTS目录目录盘石软件(上海)有限公司案情回顾2013年11月18日,北京市海淀区文化委员会从位于北京市海淀区的北京网联光通技术有限公司查获快播公司托管的服务器四台。
后北京市公安局从上述四台服务器中提取了25175个视频文件进行鉴定,认定其中属于淫秽视频的文件为21251个。
2014年4月,公安机关接到群众举报及相关部门移交的深圳快播科技有限公司涉嫌传播淫秽物品牟利犯罪线索后,公安部高度重视,实行挂牌督办。
在前期深入侦查的基础上,公安部部署北京、广东等地公安机关统一行动,依法查扣了一批服务器、电脑等涉案工具,先后抓获10余名涉案人员。
2016年1月8日,“快播”传播淫秽物品牟利案在北京市海淀区人民法院开庭审理。
盘石软件(上海)有限公司证据瑕疵一:
现场勘验拍照(现场物品)录像截屏扣押清单盘石软件(上海)有限公司证据瑕疵二:
证据固定服务器硬盘/数据固定保护原始证据只读复制HASH盘石软件(上海)有限公司证据瑕疵三:
检材服务器根据IP地址证明服务器的唯一性IP地址可以修改的有一台服务器损坏了硬盘描述“日立硬盘一块,容量1T”应该包括品牌、型号、序列号、容量、外观照片原始证据是否被“污染”涉黄视频文件原有碎片文件无法播放,第三方公司视频转换视频是否从服务器提取(没有记录、hash比对)盘石软件(上海)有限公司证据瑕疵四:
鉴定资质与方法鉴定资质鉴定人没有相关的资格证书第三方公司不是鉴定机构,也没有鉴定资质鉴定方法每天看600-800部,凭经验判断盘石软件(上海)有限公司证据瑕疵五:
鉴定规范流程检验鉴定人员规定是两个鉴定人做鉴定实际上是一个人在做鉴定盘石软件(上海)有限公司证据瑕疵六:
鉴定文书鉴定人签名应有2名以上鉴定人签名实际上是代签名盘石软件(上海)有限公司到底有没有罪?
盘石软件(上海)有限公司盘石软件(上海)有限公司典型案例典型案例电子数据与电子证据电子数据与电子证据流程与规范流程与规范11223344法律法规法律法规CONTENTS目录目录盘石软件(上海)有限公司现场勘验证据获取证据分析报告提交取证流程盘石软件(上海)有限公司记录信息:
涉案人员、勘查人员、系统状态、驱动器号、相关物证运行状态拍摄步骤:
安保-拍照-收集相关物证(含便签纸等)-封存物证处理计算机-关机是-提取时间信息-介质复制-封存证物处理计算机-关机否-固定易失数据-介质复制-封存证物填写清单(笔录,封存电子证据清单,固定电子证据清单,勘验检查照片记录,笔录签名,照片记录)结束现场勘验盘石软件(上海)有限公司证据保全盘石软件(上海)有限公司系统痕迹:
OS、服务、进程、USB设备使用记录用户痕迹:
网络映射、最近访问记录(打开文档)、windows搜索记录、打印信息、回收站删除记录、应用程序记录;分析盘石软件(上海)有限公司取证规范与注意点硬盘介质远离强磁场。
机械硬盘高速运转过程中不要随意移动。
取证全程在只读环境下进行,避免造成原始证据破坏。
对原盘进行克隆,使用克隆盘进行取证。
计算哈希值,确保唯一性。
盘石软件(上海)有限公司盘石软件(上海)有限公司发展安全专注取证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 数据 取证 说起 培训 课件