从电子数据取证说起

盘石软件（上海）有限公司盘石软件（上海）有限公司从电子数据取证说起培训中心皮浩盘石软件（上海）有限公司E-Mail：pihao@pansafe.com皮浩Phone：021-52658848Mobile：18616911128QQ：873813208WeChat：Stevenpi关于我盘石软件（上海）有限公司盘石软件（上海）有限公司典型案例电子数据与电子证据流程与规范1234法律法规CONTENTS目录盘石软件（上海）有限公司你有多了解电子数据取证？“只读”在取证中的意义是什么，怎样确保只读？比较一下只读（readonly）、写保护（writeprotect）、虚拟写（writeblock）取证中的硬盘复制与日常的文件拷贝有何本质区别？硬盘克隆和硬盘镜像有何异同？各自的优缺点分别是什么？哈希（HASH）在取证中的意义？有哪些常见的算法？哈希值有哪些特点和应用？怎样破解或逆推出原始内容？删除的数据为什么可以被恢复？盘石软件（上海）有限公司为何谈论电子数据？盘石软件（上海）有限公司为何谈论电子数据？盘石软件（上海）有限公司电子数据的量级盘石软件（上海）有限公司短时消费特征长期消费特征环境特征地理特征设备特征白领圈朋友圈校友圈母婴汽车手机奢侈品皮草美食音乐美容文学生化电影军事科技性别年龄地域收入职业兴趣特征消费特征社交特征细化特征统计特征电子数据取证的意义盘石软件（上海）有限公司早期的计算机犯罪属于高科技犯罪类型，随着信息技术和网络发展，很多的常规案件中也越来越多的要求从电子数据中分析证据信息。为何谈论电子数据？电子数据在罪案中出现——计算机犯罪：•对象型•工具型盘石软件（上海）有限公司电子数据是什么？盘石软件（上海）有限公司电子数据（electronicdata）是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料。特点具有无形性、多样性、隐蔽性、客观真实性、易破坏性、易于保存、传输方便、可反复重现等特性。电子数据盘石软件（上海）有限公司常规可见的电子数据硬盘中储存的电子数据：文档资料、电子表格应用程序、数据库资料等多媒体的数码档案：（照片，影片，音乐或图像等）服务器运行的记录：网页服务器日志，代理服务器日志防火墙日志档案传输(FTP)服务器日志数据库记录等经由互联网传递的信息：电子邮件SMS短讯、MMS多媒体短讯网上购物、游戏、聊天记录等盘石软件（上海）有限公司电子数据存在哪？盘石软件（上海）有限公司硬盘、移动存储介质、软盘、磁带、光盘、各类存储卡等计算机、服务器、调制解调器、网卡、集线器、交换机、路由器、手机、数码相机、寻呼机、电子记事本、打印机、扫描仪、磁带机等电子数据设备类介质类电子数据存储盘石软件（上海）有限公司怎样成为电子证据？盘石软件（上海）有限公司“以电子形式存在的、用作证据使用的证据材料及其派生物；或是借助电子技术或电子设备而形成的证据”叫做电子数据证据，简称电子证据。电子数据要成为证据，必须具备证据的三性：合法性客观性关联性电子证据盘石软件（上海）有限公司电子证据的分类模拟信号电子证据与数字信号电子证据原始电子证据和传来电子证据生成证据、存储证据与混合证据直接电子证据和间接电子证据盘石软件（上海）有限公司模拟信号电子证据与数字信号电子证据模拟信号电子证据：•通过信息中的某些特征的具体数值或量来记录电子信息内容。数字信号电子证据：•通过信号的离散状态的各种可能组合所赋予的各种数值或其他信息的方法来承载电子信息的内容。当然，数字信号从最原始的信号层次上来看，其实也是某种模拟信号量，只不过是对其进行了数字化处理。盘石软件（上海）有限公司原始电子证据和传来电子证据联合国国际贸易法委员会：“功能等同法”——只要能证明数据电文是计算机储存或接受的信息就能满足证据法对原件的要求。美国立法对“原始电子证据”的主流观点：1.存储在计算机内、能准确反映出打印物或其他输出物的数据；2.当电子证据表现为副本时，制作者或发行者意图使其同文书本身具有同等效力。盘石软件（上海）有限公司生成证据、存储证据与混合证据生成证据：完全由计算机等设备自动生成的证据。它是完全基于计算机等设备内部命令运行的，其中并没有掺杂人的主观意志。存储证据：计算机储存输入的信息而形成的证据。混合证据：计算机录入者输入信息后再根据计算机内部指令运行而得到的证据。盘石软件（上海）有限公司直接电子证据和间接电子证据直接电子证据：能够单独直接证明案件主要事实的电子证据。间接电子证据：不能单独直接证明案件主要事实，必须与其他证据结合形成证据链才能证明案件主要事实的电子证据。盘石软件（上海）有限公司直接电子证据和间接电子证据“印证证明”原理在我国证据法学中，认定案件的事实必须由若干份证据构成一个相互印证的体系，即“孤证不能定案”原则。试用范围•《刑事诉讼法》•《民事诉讼法》•在特定案件中，电子证据作为孤证也可以定案。盘石软件（上海）有限公司电子证据的特性观点一：无形性、多样性、客观真实性、易破坏性等特征观点二：还具有收集迅速，易于保存、传输，占用空间少，可以反复重现，易于使用、审查、核对，便于操作等特点观点三：双重性、多媒体性、隐蔽性、易保管、传输方便、可反复重现、便于使用等特征观点四：技术含量高、易被伪造和篡改、复合性、间接性等特性，无形性、易收集性、易保存性、可以反复重现等特性盘石软件（上海）有限公司电子证据原始性保护只读的含义：•ReadOnly（只读）•WriteProtect（写保护）•WriteBlock（虚拟写）盘石软件（上海）有限公司传统的硬盘介质接口类型图片推出年份传输速率优点缺点IDE硬盘1986年约40MB/s价格低廉兼容性强速度慢线缆长度过短SATA硬盘2001年150-300MB/s更快的传输速率数据校验更完善性能不足可维护性不强SAS硬盘2001年300MB/s更好的性能更好的扩展性控制芯片种类少价格贵SCSI硬盘1979年300MB/s支持多个设备占用CPU低具有智能化价格昂贵盘石软件（上海）有限公司名目繁多的硬件不同的存储介质新兴的存储介质盘石软件（上海）有限公司智能设备盘石软件（上海）有限公司磁盘复制克隆的定义：•逐磁道、逐扇区•物理级的数据精确复制•能获得所有文件，且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。盘石软件（上海）有限公司镜像的定义：硬盘to文件DD，E01，AFF镜像文件包含所有文件，包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。磁盘复制盘石软件（上海）有限公司多路并行复制•极速硬盘复制机•取证一体机盘石软件（上海）有限公司多通道复制 盘石软件（上海）有限公司复制的意义：•保存原始证据•制作检验用的精确拷贝•镜像数据法律上与原始证据等同•检验可在备份数据上进行，降低了在原证据盘上检验带来的风险。•数据镜像产生的数字指纹（HASH），可对原证据盘进行检验前后数据是否发生变化进行对比，有利于法庭质证。磁盘复制盘石软件（上海）有限公司数据擦除-DOD标准•依据DOD规范，对硬盘做七次擦除。1.一个字节的随机数，覆盖硬盘所有可以寻址的位置2.上一次的字节取反，覆盖硬盘所有可以寻址的位置3.随机数覆盖硬盘所有可以寻址的位置4.一个字节的随机数，覆盖硬盘所有可以寻址的位置5.上一次的字节取反，覆盖硬盘所有可以寻址的位置6.随机数覆盖硬盘所有可以寻址的位置7.用零覆盖硬盘所有可以寻址的位置盘石软件（上海）有限公司数据擦除-BMB擦除•依据BMB21-2007规范，对硬盘做六次擦除。1.用零覆盖硬盘所有可以寻址的位置2.用二进制0x01覆盖硬盘所有可以寻址的位置3.随机数覆盖硬盘所有可以寻址的位置4.随机数覆盖硬盘所有可以寻址的位置5.随机数覆盖硬盘所有可以寻址的位置6.用零覆盖硬盘所有可以寻址的位置盘石软件（上海）有限公司哈希（HASH）•Hash算法：Hash算法，又称Hash函数•Hash种类：MD5、SHA-1、SHA-256等等•MD5是由国际著名密码学家麻省理工大学的RonaldRivest教授于1991年设计的。•SHA-1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院（NIST）与美国国家安全局（NSA）设计。•HASH值：任何文件可用散列算法创建一个HASH值盘石软件（上海）有限公司•两个内容完全一致的文件其HASH值相同•两个同名文件内容稍有差异HASH值不同•具有不可逆性，不能通过HASH值恢复源文件内容•HASH应用：电子签名、数据安全，文件一致性检验等哈希（HASH）盘石软件（上海）有限公司文件1副本文件2MD532位字母、数字序列（相同）32位字母、数字序列（不同）文件内容MD5输出Thesuspect’snameisjohnThesuspect’snameisjoanc52f34e4a6ef3dce4a7a4c573122a039c1d99b2b4f67d5836120ba8a16bbd3c9文件1哈希（HASH）盘石软件（上海）有限公司数据恢复计算机手机存储介质出现损伤、人员误操作、操作系统本身故障造成数据不可见、无法读取、丢失时，工程师通过特殊的手段来使这些数据可被读取的过程。数据恢复盘石软件（上海）有限公司Dc1.docDe2.xls……Info2.dat数据恢复盘石软件（上海）有限公司文件系统恢复目录恢复文件挖掘记录恢复数据恢复盘石软件（上海）有限公司你现在有多了解电子数据取证？“只读”在取证中的意义是什么，怎样确保只读？比较一下只读（readonly）、写保护（writeprotect）、虚拟写（writeblock）取证中的硬盘复制与日常的文件拷贝有何本质区别？硬盘克隆和硬盘镜像有何异同？各自的优缺点分别是什么？哈希（HASH）在取证中的意义？有哪些常见的算法？哈希值有哪些特点和应用？怎样破解或逆推出原始内容？删除的数据为什么可以被恢复？盘石软件（上海）有限公司盘石软件（上海）有限公司典型案例电子数据与电子证据流程与规范1234法律法规CONTENTS目录盘石软件（上海）有限公司电子数据立法历程两个证据规定两高司法解释两大诉讼法盘石软件（上海）有限公司《两个证据规定》中的电子证据2010年5月30日，最高人民法