欢迎光临中海义信司法鉴定所官网!
电子数据司法鉴定专业的司法鉴定人团队和CNAS国家实验室认证
全国咨询热线:13801339161
您的位置: 主页 > 新闻中心 > 鉴定知识
鉴定知识

电子数据司法鉴定如何固定易失证据?

时间:2022-04-14 14:56:36 作者:小编 点击:

易丢失证据是指在关闭电源之后或者在运输过程中可能丢失的信息。电子数据司法鉴定固定易丢失证据应依照以下原则。

1.需要固定易丢失证据的情形。如果到达现场时犯罪行为正在发生(比如系统正在对外实施攻击、群发垃圾邮件或者犯罪嫌疑人正在使用该计算机),成者从案件发生到调查人员到达现场期间系统未曾重新启动(比如嫌疑人刚刚离开同吧,系统尚未重新启动) ,则应当提取易丢失证据。提取的内容般包括时间信息、屏幕上显示的内容、系统运行状态等。

如果从案发时间到调查人员抵达案发现场期间,犯罪行为(包括嫌疑人实施的行为以及嫌疑人安装的软硬件系统实施的行为)已经停止并且系统曾经重新启动,则只需提取时间信息,无须提取其他易丢失证据。

2.时间信息的提取。调查人员必须意识到设备的关闭或者搬运过程中,都可能导致系统时间丢失(比如CMOS电池掉电),而系统时间对于证据分析具有非常重要的意义。

在任何情况下,对于任何有内置时钟的设备,都必须记录该设备当前时间、该时间与北京时间的时差以及时区设置。提取时间信息的原则为:计算机处于开机状态时可以用截图的方式,计算机处于关机状态时则可以通过进人主机BIOS( Basic Input Output Sytem,基本输入输出系统)提取时间信息。

拍摄的照片必须能够清晰显示重要的证据信息。比如攻击程序正在攻击的目标群发垃圾邮件软件正在发送的目标用户正在浏览的页面以及该页面上显示的眼号信息、用户正在使用的聊天软件上显示的账号等。

拍摄的照片必须全面反映当前系统中应用程序的运行状态。如果系统上同时运行多个程序(比如打开多个窗口),必须拍摄每个应用程序在屏幕上显示的信息。如果应用程序的当前配置信息在关闭计算机后会丢失.则应打开相应的配置页,拍摄该配置页中显示的配置信息。


电子数据司法鉴定如何固定易失证据?(图1)


3.系统运行状态的提取。

系统状态信息的重要性。调查人员必须意识到应用程序当前内存中可能保留有重要的证据。比如1E的内存中可能保存有用户刚访问过的页面账号和口令。即时通信软件的内存中可能保存有用户使用的账号.刚刚聊天的内容。打印程序中可能包含有用户刚打印的信息等。而在关闭计算机后,这些信息将会丢失,因此调查人员必须根据案件情况谨慎地评估提取这些信息的必要性。传统案件中系统状态信息的提取。 对于传统案件,需要提取的计算机系统状态信息包括:系统当前运行的进程、每个进程当前打开的文件每个进程内存中的内容、当前网络连接状态等。

计算机系统入侵案件中系统状态信息的提取。对于计算机系统人侵或破坏案的攻击方和被攻击方来说,一般需要 提取的系统状态信息(不限于)包括:当前运行的进程、每个进程当前打开的文件、每个进程内存中的内容每个进程提供的网络服务端口、每个进程所依赖的模块列表、当前网络连接状态和网卡当前运行模式(是否存在侦听)、当前网络共享列表、MAC地址ARP缓存表、当前登录用户以及登录的时间等。

对于UNIX/LINUX系统,还需提取当前登录用户正在执行的命令、以前执行的命令列表。

其他电子设备中易丢失证据的提取。调查人员必须意识到对于绝大多数电子设备来说,在切断电源时会丢失些信息 ,必须根据具体情况分析该电子设备中是否包含易丢失证据以及是否需要提取这些证据。比如,对于传真机来说,在未美闭电源之前必须提取该传真机最近发送的目标电话号码,在关闭传真机之后该电话号码就无法提取。电话、打印机、复印机扫描仪、GPS导航仪等与之相似。


电子数据司法鉴定如何固定易失证据?(图2)


在进行易失性系统数据提取时,应遵循以下原则:

(1)不得使用目标系统上的程序实施提取。在调查系统入侵案件时,调查人员必须意识到目标系统上的程序有可能被攻击者替换(比如安装Rookit),并不能准确提取所需信息,因此调查人员必须使用自带的软件实施提取。

(2)不得使用消耗大量资源的软件实施提取。一般情况下,在提取系统状态信息时,不得使用需要消耗大量资源(内存磁盘空间)的软件实施提取, 因为这些软件可能会对系统上的证据造成破坏。一般情况下不建议使用图形界面的软件,而要使用命令行界面的软件。

(3)不得将提取的信息存储在目标系统原有的存储媒介中。提取得到的信息必须存储到调查人员自带的存储媒介中,以避免对原有的存储媒介造成破坏。

(4)保护易丢失信息的完整性和真实性。在提取这些信息过程中,必须有见证人或嫌疑人在场,井且详细记录提取过程(记录执行的命令或者使用摄像机记录提取过程)和提取的时间。对于提取得到的信息必须使用散列算法(MD5或SHA1)计算得到的信息的散列值,打印这些散列值并由见证人或嫌疑人签名。

易失性数据除了用前面提到的“关键数据获取系统"进行提取之外,也可以使用DC - 8651特定数据获取设备来固定易失性数据,从操作复杂程度和固定的完整性上面,都有不错的表现。即使对该工作不熟练的人员,也能轻松完成易失性数据的固定工作。


相关新闻

联系我们
北京中海义信司法鉴定所
手机:13801339161
邮箱:service@zhyx-tech.com
地址 :北京市海淀区西直门北大街32号枫蓝国际中心B座1501-B
联系人:孔经理
在线客服
联系方式

上班时间

周一到周五

公司电话

13801339161

二维码
线