13822357709
刘存权律师,江门刑事律师,现执业于广东法守律师事务所,严格遵守律师职业道德和执业纪律,秉承诚信、谨慎、勤勉、高效的执业理念,受人之托、忠人之事,最大限度地维护当事人的利益。name律师从事法律工作多年来,恪尽职守,为当事人提供快捷、优质、高效的法律服务,取得了良好的社会效果,为法制建设尽了绵薄之力;在办案中不畏权贵、据理力争、维权护法,受到当事人和法院的高度认可和评价。
如果有未经授权的入侵者入侵了你的网络,且破坏了数据,除了从备份系统中恢复数据之外,还需要做什么呢
从事网络安全工作的人都知道,黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。
而许多企业也不上报网络犯罪,其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此,CIO们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。
什么是;计算机犯罪取证;
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以及对整个入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据中寻找可以用来证明或者反驳的证据,即电子证据。
除了那些刚入门的;毛小子;之外,计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件,清理自己的工具软件,或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中,首先要清楚我们要做什么然后才是怎么做的问题。
物理取证是核心任务
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记5点:不要改变原始记录;不要在作为证据的计算机上执行无关的操作;不要给犯罪者销毁证据的机会;详细记录所有的取证活动;妥善保存得到的物证。如果被入侵的计算机处于工作状态,取证人员应该设法保存尽可能多的犯罪信息。
要做到这5点可以说困难重重,首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见,物理取证不但是基础,而且是技术难点。
通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据,保证获取的顺序为先内存后硬盘。案件发生后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取,力求不要对硬盘进行任何读写操作,以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来,便于今后在专门机器上对原始硬盘的镜像文件进行分析。
;计算机法医;要看的现场是什么
有的时候,计算机取证也可以称为计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。好比飞机失事后,事故现场和当时发生的任何事都需要从飞机的;黑匣子;中获取。说到这里您可能就猜到了,计算机的黑匣子就是自身的日志记录系统。从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作,解决这一难题方法的就是切入点,所以说从日志入手才是最直接有效的手段。
这里还需要指出,不同的操作系统都可以在;Event Viewer Security;中能够检查到各种活动和日志信息,但是自身的防护性能都是非常低,一旦遭受到入侵,很容易就被清除掉。从中我们可以看到,专业的日志防护与分析软件在整个安全产品市场中的地位之重,无需置疑。
我国有关计算机取证的研究与实践尚在起步阶段,在信息技术较发达的美国已有了30年左右的历史。现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机,并试图找出入侵行为。
在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院、浙江大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。6月26日在北京召开的CFAT.2005首届中国计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度,促进计算机取证专业人员、司法界人士以及兴趣爱好者直接、深入的交流。在把企业业务连续性作为首位的同时,我们也呼吁更加智能化的物理取证工具的早日面试。
对电子证据的收集,必须针对电子证据易伪造、具有隐蔽性的特性,才能使电子证据发挥更强的证明力。
一、依法收集电子证据
因为电子证据具有无形性,且安全性和真实性极易遭到外界的破坏,有时其所反映的事实并不是事实本身,而仅仅是表象的真实。如拍摄下来的经过化装、伪装的影像;经过模仿的录音;链接标题与链接网址、内容的不符;虚拟网名与真实身份的不符;经过;黑客;篡改的网页;伪造的电子信件等等,侦查人员就必须判断其内容的真实性。此外,依照合法的程序收集到的证据才是合法的证据,在电子证据的收集中除了遵循刑事诉讼法对取证的规定外,还必须根据电子证据的特点严格按照法律规定的程序进行。采取网络监听的方法获取电子证据,应当由特定的侦查机关依照法定程序进行;搜查方式获取的电子证据,必须依法办理搜查的手续;扣押犯罪嫌疑人存有电子证据的载体,必须有见证人在场等。
二、全面收集电子证据
1.收集电子证据时必须对相同内容的证据全部收集。对相同内容的电子证据,不论其在同一载体还是在不同的载体上,都应当全部收集。这对证明电子证据的真实性,加强电子证据的证明力,搞清电子证据的原始状态具有重要作用。
2.收集电子证据的同时要收集存储的载体。电子证据只能存在于特定的载体,所以收集电子证据时必须收集电子证据的载体,因为载体上的电子证据更符合最佳证据规则,证明力更强,且载体的属性和特征能从侧面证实电子证据的相关信息。如计算机的品牌、型号、CPU、内存、硬盘、显卡、网卡、MAC地址等信息。
3.收集电子证据同时要收集与电子证据相关联的电子程序软件的名称及版本。电子证据在刑事诉讼中最终要以人们所认识的形式来展现,而电子证据本身只是二进制的数据,只有通过特定的电子程序转化为可直观认识的形式才具有证据意义和证明力。因此,在收集电子证据时应当同时记录电子证据所处的操作系统、所对应的程序软件和扩展名的名称,以备日后用相同程序软件对涉案电子证据进行转化和展现。
4.收集电子证据同时要收集与电子证据相关联的收集电子证据的外部环境信息。电子证据只能存在于特定的载体,而该载体必须存在于一定的环境中。收集电子证据的外部环境信息是对电子证据的内容和所反映的信息的补强,是收集电子证据的重要环节。单纯的电子证据会因形不成证据链而失去证明力。要收集存储电子信息的电子设备的放置地点、连接网络情况、各接口的连接情况、计算机的IP地址等相关外部信息。
三、正确扣押电子证据
1.查封所有端口。扣押计算机设备必须对计算机设备的输入端、输出端及其它的端口都进行查封,以防对计算机存储数据的篡改、删除等; 2.注意存放物理环境。存放计算机设备、软盘、光盘、磁带时应当注意安全,例如,存放时应当远离强磁场、高温、高压、静电等,使用时应当注意对计算机病毒的检测。
3.及时进行公证。对于具有时限性的电子证据如利用网络对他人进行侮辱诽谤的事实,司法机关应对当时的数据加以记录并由公证机关进行公证。
四、科学固定电子证据
电子证据由于容易被伪造、删除、篡改,故科学固定电子证据是电子证据收集过程中的重要环节。常用的固定电子证据的方式,有打印和拷贝两种。通常情况下应当采用打印方式,或两种方式同时使用。只有在文件较多不方便现场打印的情况下,才可以单独使用拷贝方式。
1.采用打印方式固定电子证据。将计算机文件打印到纸张上。打印文件时,取证人员必须现场监督打印过程,防止计算机操作人员在打印过程中修改文件。打印完毕后,可以按照书证的固定方法,予以固定,但应当注明数据信息在计算机中的位置。
2.采用拷贝方式固定电子证据。将计算机文件拷贝到软盘、光盘中。取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查。首先进行病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先消毒,后打开文件检查。
3.制作检查笔录。无论采取哪种取证方式,在固定证据后,应当现场制作检查笔录。检查笔录主要记载电子证据的收集和固定情况,包括:案由、参加检查的人员姓名及职务、检查的简要过程,主要包括检查时间、地点及检查顺序等、检查中出现的问题及解决方法、取证方式及取证份数、参与检查的人员签名。