数字取证技术

王春兰

目录

  • 1 计算机犯罪与计算机犯罪侦查概述
    • 1.1 课程导入
    • 1.2 计算机犯罪、网络犯罪介绍
    • 1.3 计算机犯罪侦查的任务、原则
  • 2 电子取证概述
    • 2.1 电子证据定义、特点、法律依据、来源
    • 2.2 电子取证的定义、对象
    • 2.3 取证基本原则及应用领域
    • 2.4 电子取证的历程、困难、趋势
    • 2.5 电子数据取证装备与软件
  • 3 数据加密解密与哈希校验
    • 3.1 实操-CMOS开机密码设置与破解
    • 3.2 实操-虚拟磁盘的创建、分区与分离、附加
    • 3.3 Windows账户密码设置与破解
    • 3.4 实操-普通文件密码的设置与破解
    • 3.5 实操-加密容器的使用
    • 3.6 EFS加密与解密
    • 3.7 实操-Bitlocker加密与解密
    • 3.8 哈希校验在取证中的应用
  • 4 数据获取
    • 4.1 镜像及文件格式
    • 4.2 实操-制作内存镜像
    • 4.3 实操-对分区、磁盘进行固定
  • 5 现场勘查与远程勘查
    • 5.1 现场勘查--总述、案例导入
      • 5.1.1 现场勘查法律规范
      • 5.1.2 现场勘查之准备及安保
      • 5.1.3 现场勘查之收集证物
      • 5.1.4 现场勘查计算机
        • 5.1.4.1 应用程序提取及固定
        • 5.1.4.2 加密数据提取及固定
        • 5.1.4.3 计算机关闭及封存原则
        • 5.1.4.4 计算机硬盘固定
      • 5.1.5 现场勘验移动终端
      • 5.1.6 现场勘验报告
      • 5.1.7 询问笔录
    • 5.2 远程勘验(了解)
      • 5.2.1 远程勘验概述
      • 5.2.2 远程勘验要点
      • 5.2.3 远程勘验报告
  • 6 取证相关的计算机基础
    • 6.1 计算机中数制转换
    • 6.2 计算机硬件结构、存储介质
      • 6.2.1 内存
      • 6.2.2 外存及常见种类
    • 6.3 硬盘结构
      • 6.3.1 实操-Winhex初步
      • 6.3.2 虚拟磁盘的基本操作
      • 6.3.3 机械硬盘物理结构
      • 6.3.4 机械硬盘逻辑结构
      • 6.3.5 硬盘数据结构-分类
      • 6.3.6 磁盘分区结构-MBR
      • 6.3.7 磁盘分区结构-MBR-实操
      • 6.3.8 磁盘分区结构-MBR-EBR实操(提升)
      • 6.3.9 硬盘数据结构-GPT分区结构
      • 6.3.10 硬盘数据结构-GPT-实操
  • 7 文件系统
    • 7.1 文件系统定义、分类、簇
    • 7.2 FAT32文件系统
      • 7.2.1 FAT文件系统简介
      • 7.2.2 FAT32文件系统的DBR
      • 7.2.3 FAT32文件系统-FAT表
        • 7.2.3.1 FAT32文件系统-FAT表的excel示例
      • 7.2.4 FAT32文件系统-目录项
      • 7.2.5 FAT32文件系统如何工作
      • 7.2.6 FAT32文件系统演示
    • 7.3 NTFS文件系统
      • 7.3.1 NTFS总述及DBR
      • 7.3.2 MFT介绍及元文件
      • 7.3.3 文件记录及文件记录头
      • 7.3.4 MFT常驻属性
      • 7.3.5 MFT非常驻属性
      • 7.3.6 常见属性介绍
    • 7.4 专业术语
      • 7.4.1 未分配簇
      • 7.4.2 文件残留区
      • 7.4.3 文件签名
      • 7.4.4 散列值
      • 7.4.5 修改扩展名、文件加密
      • 7.4.6 磁盘加密
      • 7.4.7 信息隐写
      • 7.4.8 虚拟容器
      • 7.4.9 历史记录
      • 7.4.10 临时文件
      • 7.4.11 磁盘隐藏区域
  • 8 数据恢复
    • 8.1 删除至回收站-winhex
    • 8.2 用法证通查看回收站
    • 8.3 手工恢复彻底删除文件
    • 8.4 五个软件格式化恢复的效果对比
    • 8.5 格式化后重新分区的恢复效果
    • 8.6 用winhex手动恢复doc和docx的对比
    • 8.7 固态硬盘恢复与TRIM指令
  • 9 内存取证
    • 9.1 内存取证概述
    • 9.2 内存取证操作
    • 9.3 内存数据提取固定
    • 9.4 内存分析工具介绍
    • 9.5 Volotility及比赛案例实战
    • 9.6 利用内存数据完成加密磁盘破解
  • 10 Windows取证
    • 10.1 时间在取证中的作用
      • 10.1.1 UTC时间
      • 10.1.2 文件的创建、修改、访问时间
        • 10.1.2.1 NTFS的$Logfile法
          • 10.1.2.1.1 快捷方式LNK法
            • 10.1.2.1.1.1 跳转列表法
    • 10.2 Windows痕迹和常见程序痕迹
      • 10.2.1 Windows重点目录
      • 10.2.2 USN日志
      • 10.2.3 浏览器取证
      • 10.2.4 百度网盘取证
    • 10.3 注册表取证
      • 10.3.1 注册表分析概述
      • 10.3.2 系统信息分析
      • 10.3.3 最近行为分析
      • 10.3.4 USB痕迹分析
      • 10.3.5 ShellBag分析
      • 10.3.6 注册表分析实战
    • 10.4 日志取证
      • 10.4.1 日志分析概述
      • 10.4.2 登陆账户分析
      • 10.4.3 修改系统时间
      • 10.4.4 USB痕迹分析
      • 10.4.5 分区诊断
  • 11 综合取证软件使用
    • 11.1 计算机常规调查分析
      • 11.1.1 取证分析案例管理
      • 11.1.2 自动取证-系统痕迹
      • 11.1.3 自动取证-用户痕迹
      • 11.1.4 自动取证-上网记录
      • 11.1.5 自动取证-即时通讯
      • 11.1.6 自动取证-文件分析
      • 11.1.7 自动取证-日志分析
      • 11.1.8 自动取证-邮件分析
    • 11.2 取证软件中的数据恢复操作
      • 11.2.1 分区丢失恢复
      • 11.2.2 分区格式化恢复
      • 11.2.3 文件签名恢复
    • 11.3 计算机内容深度检索
      • 11.3.1 文件过滤(取证大师)
      • 11.3.2 普通关键词搜索
      • 11.3.3 正则表达式搜索
      • 11.3.4 文件签名检验
    • 11.4 取证软件中的解密
      • 11.4.1 计算机加解密技术
      • 11.4.2 bitlocker加密技术取证
      • 11.4.3 ​加密容器技术
    • 11.5 计算机综合分析应用
      • 11.5.1 计算机动态仿真
      • 11.5.2 计算机综合分析应用
  • 12 文件过滤
    • 12.1 文件过滤的必要
    • 12.2 myhex文件过滤演示(含文件签名讲解)
  • 13 手机取证
    • 13.1 手机取证相关术语
      • 13.1.1 移动设备国际识别码IMEI
      • 13.1.2 国际移动用户识别码IMSI
      • 13.1.3 集成电路识别码ICCIC
    • 13.2 手机取证数据来源
    • 13.3 手机取证常用方法
  • 14 电子数据司法鉴定
    • 14.1 电子数据司法鉴定
  • 15 实验课难点演示
    • 15.1 实验一 数据隐藏与显示
    • 15.2 浏览器取证分析专项
    • 15.3 数据恢复
    • 15.4 文件过滤
    • 15.5 硬盘结构
  • 16 特色章节——取证公司分享
    • 16.1 上海弘连——移动终端取证
    • 16.2 奇安信——移动终端取证
    • 16.3 奇安信——计算机取证
    • 16.4 北京天宇宁达
      • 16.4.1 内存取证
      • 16.4.2 raid取证
      • 16.4.3 数据库取证
      • 16.4.4 Linux取证
      • 16.4.5 流量包分析
计算机犯罪、网络犯罪介绍


一、计算机犯罪概念Computer reLated crime or computeraimedcrime

广义说:计算机犯罪——通常是指所有涉及计算机的犯罪。

如:欧洲经济合作与发展组织的专家认为:“在自动数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。”

我国刑法学者有人认为:“凡是故意或过失不当使用计算机致使他人受损失或有受损失危险的行为,都是计算机犯罪。

计算机犯罪仅指行为人违反国家规定,故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏,制作、传播计算机病毒,影响计算机系统正常运行且造成严重后果的行为

补充:计算机信息系统,是指由 计算机 及其相关的和配套的设备、设施(含 网络 )构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的 人机系统 ,即信息管理与信息系统。

从法律角度看,什么是计算机犯罪?

我国97《刑法》首次对计算机犯罪作了规定。犯罪主体是指实施危害社会的行为、依法应当负刑事责任的自然人和单位。

法条中,285286两条分别规定了对某些计算机系统的非法侵入和对程序、数据的增删改,287条是警示条,提出以计算机为工具进行的各种传统的刑事犯罪。

刑法第285-287

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学  技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

       中华人民共和国刑法修正案(七)》已由中华人民共和国第十一届全国人民代表大会常务委员会第七次会议于2009228日通过,其中第九条如下:

九、在刑法第二百八十五条中增加两款作为第二款、第三款“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 

  “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

二、         计算机犯罪的分类(方法一)

1.纯正的计算机犯罪:非法侵入计算机系统,破坏计算机系统数据。案件的加害方行为和被害方损失完全通过计算机系统实现。常见为非法使用、侵入、破坏计算机信息系统的案件,如黑客犯罪、编制散布病毒等有害数据。

此种案例很多,也容易理解。

2.涉计算机犯罪:侵财(盗窃,诈骗),窃密,间谍,散布有害信息,淫秽色情,侮辱,诽谤,煽动民族矛盾,煽动分裂国家,煽动颠覆政府等。

案件性质与计算机无关,但犯罪行为主要通过计算机技术实现。

如金融系统的经济犯罪、企事业单位及国家的保密信息被窃案件、网上非法结社、电子商务诈骗;

案例1:中国首例电子函件案1(请阅读:课程-资料-中国首例电子函件案1.pdf

案例2:在打击通过网络参与境外赌博活动的专项行动中,2 0 0 4年12 月20日晚,某地专项行动组经群众举报,抓捕嫌疑人12 人,在场的3 0 多台计算机也被办案人员带回了总部。但是,由于他们仍然沿袭传统的方法,尽管经过多次问供,嫌疑人却拒不承认其罪行或者避重就轻。眼看着批捕回来的犯罪嫌疑人就要因证据不足而逍遥法外,民警却束手无策。就在这时,侦察人员抵达了专案组,他们立即应用计算机取证技术,很快便通过查找涉案计算机的上网历史记录、恢复了下注统计记录和相关涉案帐号(人员ID 、银行帐号),将此团伙参与境外赌博的过程还原了出来。

3. 一般刑事案件留有计算机线索。

案例:马加爵案, 本案犯罪过程与计算机完全无关,但在计算机中留有犯罪人逃跑的线索,参加网址https://news.sina.com.cn/s/2004-03-17/10252069726s.shtml。

五、        计算机犯罪的特点

1.作案手段智能化、隐蔽性强:狡诈而周密的安排,运用专业知识,智力犯罪行为。

极高的智能性:计算机专业技术知识与熟练的操作技能,精心策划,周密预谋

极高的隐蔽性:网络犯罪留下的最多也仅有电磁记录。作案的直接目的也往往是为了获取这些无形的电子数据和信息。

网络犯罪大约只有1%被发现,而且只有大约4%的案件会被正式进行侦查。

.犯罪侵害的目标较集中:作案人主要是为了非法占有财富和蓄意报复,因而目标主要集中在金融、证券、电信、大型公司等重要经济部门和单位,其中以金融、证券等部门尤为突出。

3.侦查取证困难,破案难度大,存在较高的犯罪黑数:计算机犯罪黑数相当高。据统计,99%的计算机犯罪不能被人们发现。

所谓犯罪黑数,又称犯罪暗数、刑事隐案,是指实际已经发生但由于种种原因尚未纳入警方记载的犯罪数量。

4.犯罪后果严重,社会危害性大:社会对信息网络的依赖性增大,网络犯罪危害性也越大。无论是窃取财物还是窃取机密,无论是将信息网络作为破坏对象还是破坏工具,网络犯罪的危害性都极具爆破力。

.国际化趋势日益严重:由于网络具有“时空压缩化”的特点,网络犯罪冲破了地域限制,国际化趋势日益严重。这种跨国界、跨地区作案不易破案,危害性更大。

6. 主体的多样性:随着计算机技术的发展和网络的普及,各种职业、年龄、身份的人都可能实施网络犯罪。

7. 主体的低龄化:据统计网络犯罪人多数在35岁以下,平均年龄在25岁,甚至有好多尚未达到刑事责任年龄的未成年人。

8 .作案过程相对连续:通常都有预谋、准备或实验、具体实施三个阶段,而且一旦犯罪行为没有败露,行为人通常会采用相同手段重复同类犯罪。

【主题讨论】