电子证据鉴定

2019/8/41公安刑侦机关电子证据鉴定介绍公安部物证鉴定中心邢桂东主要内容一、鉴定情况介绍二、电子物证的基础知识三、电子物证检验四、案例介绍五、手机检验六、BT案件讨论2019/8/43一、鉴定情况介绍2019/8/44引言：一种新型的物证出现在电子或数字领域中，特别是计算机和手机中。计算机及其网络和各式各样的电子设备中包含大量的电子物证。2019/8/45在911恐怖袭击事件中，在犯罪嫌疑人的电脑中存有第一次袭击的计划。一封克林顿和莱温斯基之间的电子邮件可以说明他们之间有关系。2019/8/46涉及电子物证检验案件的调查1、TheDirectoroftheFBI估计在FBI处理的案件中50%涉及到至少一种电子物证检验（computerforensicexamination）。2、Locallawenforcementagenciesandprosecutors估计在所有案件中20-40%涉及到电子物证（informationforensics）。2019/8/47•1984年–美国联邦调查局(FBI)与其它执法部门发展电子物证•1993年–FBI举辨第一届电脑证据国际会议•1995年–成立电脑证据国际机构(IOCE)•1998年–G8委任IOCE订立有关处理电子证据的原则电子物证的背景及历史公安部物证中心开展电子物证检验情况020004000600080001000012000140001600018000200002003年2004年2005年2006年2007年2008年检验数据量（GB)•2000年开展了电子物证的检验鉴定工作。•2005年成立专门检验部门“电子物证检验鉴定处”。•案件检验范围不断扩大。•先后对1千多起案件中涉及的电子物证进行检验。2019/8/49检验结论有97%作为证据使用或提供了线索。无结论3%证据12%线索85%2019/8/410从案件性质上看，杀人案件占17%杀人案件17%法轮功12%诈骗案件9%敲诈勒索4%破坏案件4%盗窃案件3%伤害案件2%其他案件49%2019/8/411数据恢复公安部物证鉴定中心开展的案件检验类型时间属性数据查询软件功能控制设备读卡机软件一致性检验数据库检验手机信息文件一致性数码设备缓冲区2019/8/412需要了解的两个问题：1、电子物证检验鉴定技术与网络监察的区别，电子物证检验鉴定技术不同于网络安全技术。2、电子物证检验鉴定技术与技侦的区别。2019/8/4132006年周永康部长签署了83号、84号部长令《公安机关鉴定机构登记管理办法》和《公安机关鉴定人登记管理办法》要求全国的刑事技术检验实验室通过计量认证或者实验室认可。规定地市级以上公安机关的鉴定机构可以申报登记开展八类检验鉴定项目，主要包括从事法医类、痕迹检验、理化检验、文件检验、声像资料检验、电子物证检验、心理测试和警犬鉴别等检验鉴定工作。作为与传统物证检验更容易受到人们质疑的电子物证检验更应该尽快地通过实验室认可，规范检验程序，提高检验质量。2019/8/414公安部在刑事科学技术专业职称考试中，已将电子物证检验作为刑事科学技术的一个分支。2019/8/415电子物证的挑战•储存媒体容量•科技复杂性•执法人员及法官的电子物证知识•电子物证的标准及认可2019/8/416电子物证的发展硬件互联网网络数据分享软件/程式数据加密/回复嵌入系统病毒/骇客无线电脑网络数据库电讯网络电子物证贮存媒体2019/8/417一、案件数量的增加。二、每个案件检验的数据量（硬盘容量）增加。一个成功的案件的主要因素：一、良好的软、硬件检验设备。二、人员（耐心和敬业精神，工作量大）。三、方法（标准化的操作检验方法）。2019/8/418二、电子物证的基础知识2019/8/419物证主要理论:当二件物件接触时，每件物件都会在所接触的物件上留下本身微粒。EdmondLocard(1910)Locard交换原理：任何人或任何事物在进入犯罪现场时，会从现场带走某些东西，并且在离开后会留下痕迹。如罪犯在现场留下指纹或头发并从现场带走了纤维。在电子物证的检验中同样如此。物证的例子二条在显微镜下比较的头发一粒嵌在疑犯鞋底的玻璃碎屑物证的例子昆虫学2019/8/424电子物证检验：电子物证检验是关于识别、发现、提取、保存、恢复、显示、分析和鉴定电子设备中存在的电子信息（电子证据）的科学技术，其检验结果可以作为案件侦查线索或法庭证据。电子物证广泛用于各种犯罪调查，包括杀人、纵火、诱拐、强奸、人员失踪、毒品交易、经济诈骗、恐吓骚扰、敲诈勒索、行贿受贿、信用卡盗窃等，越来越多地涉及到电子物证。2019/8/425参与人员犯罪现场技术人员：收集电子物证。检验人员：检验已获得的电子物证。调查人员：分析所有现存证据并得出案件分析结果。2019/8/426计算机设备网络设备电子物证提取与检验的对象PDA手机数码产品打印扫描设备打印机读卡机控制设备电子物证来源各种各样的存储介质MP3PlayersUSBStorageThumbDrivesiButtonsRemovableStorageFlashMemoryHardDriveInsideViewSIM/PDA/CellPhonesSmartCardPORSCHE（保时捷汽车）!2019/8/431传统物证：•物证专家无须根据案情作其物证检验•物证方法源于大量科学研究•须要证明结果的准确率及可信性•物证方法较易控制，不受市场影响电子物证与传统物证的区别2019/8/432电子物证：•电子物证专家须要根据案情定出检验方向。•电子物证方法旨在找寻与案情有关的电子证据。•无须证明电子证据的内容是否准确，但须要证明电子证据没有被改动。•物证方法较难控制，很受市场(硬件、软件)影响。电子物证与传统物证的区别2019/8/433•保持中立•保持数据的可信性•防止数据污染•文件记录•科学方法??进行电子物证检验原则类特征和个体特征传统刑事检验可通过“类特征”和“个体特征”，使范围缩小或达到统一认定。在电子物证检验同样可利用“类特征”和“类特征”。类特征：一组对象所具有的属性。在相似特征的基础上给数据对象分类。个体特征：展示的属性属于一个分类。可以把一个对象同所有其他相似的对象区分开来的显著差异。在数字照片上的特殊标记可以确定是用了扫描仪还是数码相机，在通过个体特征就可能确定某一型号的扫描仪或数码相机，在范围缩小后还可能确定是哪个设备。数字照片上的一条线或许会和一台特定的平板扫描仪上的玻璃划痕相一致。用MD5哈希值可查找或比较相同的文件。比文件名和文件大小更方便更可靠。2019/8/436不同的操作系统的相似文件包含不同类特征。如：在由ASCII字符组成的文本文件时，Windows用“x0D0A=\r\n”表示行结束，UNIX“x0A=\n”用表示行结束，Macintosh“x0D=\r”用表示行结束。通过此类特征可以确定此文件来自什么操作系统。2019/8/437在Office文档中发现线索(Office97中，Office2000没有)Office的一个特性是除文档文本外，信息也存储在文档中。Office文档在文档内实际存储了一个全局唯一标识符（GloballyUniqueID，GUID）,其中包含创建该文档的计算机的MAC地址。由于MAC地址是唯一的且依赖于硬件，所以是很有价值的线索。要检查文档内的MAC地址，可以使用十六进制的编辑器或记事本查看，并搜索字符串“GUID”。MAC地址在其后出现，MAC地址可从供应商代码（前六个字符）中辨认出来，最后六个字符是匹配唯一的一块卡的特定硬件地址。2019/8/438三、电子物证检验电子物证检验的过程获取保存分析陈述处理规则复制运行数据复制证物保护Hashing搜查数据各类检验方法事件重组检验报告/鉴定结论/专家意见法庭陈述各种情况下的获取关机硬盘拆卸（IDE/SATA）复制机/只读接口硬盘拆卸（SCSI/RAID）只读接口/RAID卡/复制机/重组软件硬盘拆卸（笔记本）转接卡（多少种？）不拆硬盘（本地获取/网络）软件镜像/硬盘复制机开机取证在线取证软件（SafeImager）侦查木马/远程监控/Sniffer特殊情况加密硬盘（硬盘口令）得到口令加密分区（PGP/BestCrypt/…）得到/破解口令TIVO/XBOX/机顶盒硬盘移动设备USB存储（U盘,硬盘盒,MP3,MP4,录音笔等可以加载为分区的存储设备）USB只读接口（软件/硬件）MTP（特殊/介质传输协议设备）厂商应用软件手机/智能手机/PDA手机检验设备/厂商工具存储卡、记忆棒（PSP，数码相机）读卡器+USB只读/存储卡只读其它设备传真机/打印机/IPTV/电话/BP/…在线取证动态易失信息快速勘察加密分区、磁盘离线取证Raid没有接口任何情况下的复制证物复制•透过位元流(bitstream)来复制•不可变更来源电子证据•能够核对来源数据与复制数据的hashvalues•能够纪录复制错误，并指出错误位置(e.g.badsectorlocation)•能够产生复制报告复制软/硬件要求复制的正常情况来源硬盘复制硬盘复制程式Hashvalue“A”Hashvalue“A”复制的不正常情况(例如BadSector)复制硬盘复制程式Hashvalue“A”Hashvalue“B”来源硬盘BadSector用”0”或”1”替代Hashing(1)–硬盘复制硬盘Hashvalue“A”来源硬盘BadSector用”0”或”1”替代Hashvalue“A”Hashvalue“B”Hashvalue“B”Hashing(2)–档案复制硬盘档案来源硬盘档案BadSector用”0”或”1”替代Hash数值相同问题挡案并非证据档案Hash数值不同问题挡案并非证据档案Hashing(3)–档案复制硬盘档案来源硬盘档案BadSector用”0”或”1”替代Hash数值相同问题挡案是证据档案Hash数值相同运行数据复制运行数据复制（在线）•在运行电脑上复制硬盘•在运行电脑上获取动态资料，例如内存数据、IP位址情况一•因技术、证据、其它因素，电脑不可关闭•须要进行“动态获取”(liveacquisition)•利用法证软件进行(X-Ways,FTKImager,MacForensic)情况二•动态数据泛指当电脑关闭而消失的数据。•例如:内存数据、网络连接数据、连线的IP位址等等。•利用法证软件进行(X－Ways,ProDiscover,LiveInvestigator)。动态获取硬盘–注意的地方•一般都是透过USB进行•WindowsRegistry内的USBSTOR值会被变更•Windows内的Prefetch数据被更改•Explorer程式会被启动，记忆体内数据被更改•复制须要时间，而证据电脑仍在运行，硬盘数据可能正在变动，导致复制硬盘与证据硬盘内数据不同(smearcopy)获取动态数据–注意的地方•法证人员须要确定要获取的数据是否会在电脑关闭后消失。•如果不会，为什么不关闭电脑才获取数据，减少改动。功能描述1、系统信息、密码信息和用户活动记录（41类）2、内存信息复制3、硬盘复制4、分区复制系统信息ARP信息密码、登录限制和域信息的当前配置本地计算机所有会话的信息共享资源信息网络连接列表账号信息计划任务信息%WINDIR%tasks里的内容当前打开的文件列表进程依赖的模块自启动项和程序操作系统信息登录信息进程信息网络文件信息服务信息活动登录会话信息TCP/IP端口信息最后登录用户信息混杂模式端口检测网络协议统计信息网络活动连接NETBIOS统计信息网络接口信息路由信息用户密码、用户活动信息SAM数据库中的口令哈希拨号网络密码常见邮件软件密码即时通讯软件密码网络密码BIOS密码IE自动完成信息安装的软件列表使用过的USB存储信息最近打开的文件列表运行过的程序列表访问过的快捷方式IE上网历史记录IE缓存记录IECook