计算机犯罪与取证

计算机犯罪与取证参考资料《计算机取证技术》陈龙等主编武汉大学出版社2007年3月《计算机犯罪与防控》张天龙、徐伟主编中国地质大学出版社2008年6月《数据恢复技术与典型案例》扈新波主编电子工业出版社2007年5月课程简介

本课程将结合案例，主要从计算机犯罪的定义、发展趋势以及防治体系三方面讲解计算机犯罪。在此基础上，介绍计算机取证的原则和基本的法律、法规理念，全面阐述计算机取证的基本原理与技术，以及相关取证软件的使用方法。问题中国网民人数是多少？网民中占主体结构的人群是哪些？通过网络做什么？是否遇到计算机病毒或木马？是否使用安全软件？背景截至2010年6月，中国网民规模达到4.2亿人，互联网普及率攀升至31.8%。网民规模较2009年底年增长3600万人，中国网民规模依然保持快速增长之势。

——CNNIC互联网统计报告中国大陆网民规模与互联网普及率网民职业结构网民收入结构网络应用使用率排名和类别是否遇到病毒或木马攻击半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击，遇到该类不安全事件的网民规模达到2.5亿人。

是否遇到账号或密码被盗2010年上半年，有30.9%的网民账号或密码被盗过，网络安全的问题仍然制约着中国网民深层次的网络应用发展。手机网民应用情况最常使用的电脑安装安全软件情况网民对生活形态语句的总体认同度计算机犯罪概念广义说：计算机犯罪———通常是指所有涉及计算机的犯罪。如：欧洲经济合作与发展组织的专家认为:“在自动数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。”我国刑法学者有人认为:“凡是故意或过失不当使用计算机致使他人受损失或有受损失危险的行为,都是计算机犯罪。”

思考窃取一台未启封的微型计算机的行为（A）一般的盗窃行为（B）计算机犯罪计算机犯罪概念相关说优点是全面缺点是外延不清“相关”有不同的形态（如直接相关，间接相关，必然相关，偶然相关）

计算机犯罪概念狭义说：计算机犯罪———通常是对计算机资产本身进行侵犯的犯罪。例如：我国有学者认为,“计算机犯罪是指利用计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全的犯罪行为”计算机犯罪概念技术说认为与计算机技术知识不可分离的犯罪就是计算机犯罪优点是认定犯罪时裁量的自由度比较大，而且体现了技术型的计算机犯罪的智能性特征缺点是计算机技术知识的认定是一个难题通过打砸、放火、爆炸等方式直接对计算机信息系统进行破坏的犯罪完全可以由于文盲来实施。并不是只有具备精深的计算机专业知识的人才可以实施计算机犯罪。只要具备一定的常识，在某种特定的条件下（如从垃圾堆中得到进入系统的用户名和密码信息）一般人完全可以实施。计算机犯罪概念折衷说：计算机本身在计算机犯罪中以“犯罪工具”或“犯罪对象”的方式出现，这一概念注重的是计算机本身在犯罪中的作用。如：德国学者施奈德认为:“计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。”我国学者认为:“计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为。”计算机犯罪概念角色说以计算机在犯罪中充当必要的“角色”（工具或者对象）来界定计算机犯罪，明确了计算机在犯罪中的具体地位计算机犯罪形态

1、与计算机有关的经济犯罪案件；2、利用计算机窃取商业秘密；3、计算机间谍；4、利用计算机窃取大量的知识财产；5、利用计算机危害他人的生命安全；6、利用计算机有组织的集团犯罪；7、暴力袭击计算机信息系统，特别是重要的计算机信息中心；8、计算机信息或数据的电子截收；9、发动计算机信息战争。计算机犯罪手段一、意大利香肠术Salami是指意大利式香肠。意大利香肠术就如同通常被切成许多薄片的意大利香肠，从大的意大利香肠中抽去一、二片从不会被注意到。这种计算机犯罪是采用他人不易觉察的手段，使对方自动做出一连串的细小让步，最后达到犯罪的目的。美国的一个银行职员在处理数百万份客户的存取帐目时，每次结算都截留一个四舍五入的利息尾数零头，然后将这笔钱转到一个虚设的帐号上，经过日积月累，积少成多，盗窃了一大笔款项。这种截留是通过计算机程序控制自动进行的。某单位电话总机，对用户话费计算至“分”，而“分”后面的“秒”采取"四舍五入"的方法处理。从而形成尾差，在计算机不断地"四舍五入"的运算过程中，有些账户系统余额就会比正确的近似值多一分或少一分，该总机就是采用这种方法，为部门积累可观的钱财。计算机犯罪手段二、活动天窗所谓活动天窗，是指程序设计者为了对软件进行调试和维护故意设置在计算机软件系统的入口点。通过这些入口可以绕过程序提供的正常安全性检查而进入软件系统。美国底特律的几位汽车工程师发现了佛罗里达商用分时服务系统中的一个活动天窗，通过该活动天窗查到了公司总裁的口令，进而获取了具有重要商业价值的计算机文件。Windows98操作系统和英特尔公司的CPUPⅢ都存在“后门”，这种“后门”就是一种活动天窗，通过这个天窗，可以窥探用户的个人隐私，比如你在网上的活动，传送的机密材料完全可以被入侵者监控到。环球时报日前美国专家声称，他们已经识别出了针对谷歌（Google）和其它西方企业、据称有政府支持的黑客攻击所使用的关键程序代码的中国作者，这将使得中国政府否认涉身其中的难度明显加大。这一发现公布之前，追踪相关间谍软件源头的另一个调查组查到中国两所学校内的计算机，这两所学校分别是上海交通大学和蓝翔高级技工学校。但这两所学校的官员均否认参与。

为美国政府工作的一名研究人员告诉英国《金融时报》，一名30多岁的自由职业安全顾问编写了一部分程序，该程序利用InternetExplorer网络浏览器此前未知的一个安全漏洞，侵入计算机，安插间谍软件。中国官员能够优先获得这位作者的工作成果，此人还将该程序的片段贴到一个黑客论坛上，称其为自己正“努力完成”的东西。后续这场网络活动的曝光，促使人们关注技术安全问题。奥巴马政府已承诺将网络安全列为一个工作重点。“我们正意识到，这个问题不只是技术层面的，还有其它层面，其它政府部门也需要介入，”美国前网络安全官员、现就职于RSASecurity公司的米歇尔·权（MischelKwon）表示。计算机犯罪手段三、废品利用废品利用是指有目的或有选择地在工作现场或从废弃的资料、磁带、磁盘中搜寻具有潜在价值的数据和信息、密码等。如搜集报废的计算机打印文件或其他文件拷贝，获取系统还没有清除的临时输入或输出的数据或磁盘、磁带上的信息。计算机犯罪手段四、数据泄露这是一种有意转移或窃取数据的手段。有的作案者将一些关键数据混杂在一般性的报表之中，然后在予以提取。有的计算机间谍在计算机系统的中央处理器上安装微型无线电发射机，将计算机处理的内容传送给几公里之外的接收机。如计算机和通信设备辐射出的电磁波信号可以被专用设备接收用于犯罪。计算机犯罪手段五、电子嗅探器电子嗅探器是用来截获和收藏在网络上传输的信息的软件或硬件。它可以截获的不仅是用户的帐号和口令，还可以截获敏感的经济数据（如信用卡号）、秘密信息（如电子邮件）和专有信息并可以攻击相邻的网络。电子嗅探器就象专用间谍器材一样，个人是不允许买卖、持有和使用的，但是公安机关、国家安全机关可以用此来侦破案件或获取情报。计算机犯罪手段六、冒名顶替冒名顶替是利用他人的访问代码，冒充授权用户进入计算机信息系统的方法。其获取他人的访问代码的方式可能是偷窃来的，也可能是利用特洛伊木马术而得到的。1990年7月，某市建设银行城北支行办事处的储蓄员田某，在值班期间，趁电脑操作员离岗上厕所之机，盗用该电脑操作员的代码，利用计算机偷偷支出储户存款2万余元。计算机犯罪手段七、社交方法这是一种利用社交技巧来骗取合法用户的信任，以获得非法入侵系统所需的口令或权限的方法。电脑维修公司的人员乘维修电脑之机，谎称需要知道进入网络的口令，用户告知与他，他在用户不知情的情况下，多次入侵系统疯狂作案。无间道三——车牌是密码计算机犯罪手段八、对程序、数据及系统设备的物理损坏程序、数据及系统设备的存放、运行需要特定的环境，环境达不到要求或改变环境条件，程序、数据及系统设备就有可能物理损坏，而且这种损坏是不可恢复的。如可以利用磁铁消掉磁介质信息，可以在计算机电路间插进金属片造成计算机短路，水、火、静电和一些化学药品都能在短时间内损坏数百万美元的硬件和软件。窃听风云计算机犯罪手段九、特洛伊木马术特洛伊木马术是公元前1200年古希腊特洛伊战争中，希腊人为了攻陷特洛伊城，把士兵隐藏在木马腹中进入敌方城堡，从而赢得了战争的胜利，这种战术用在计算机犯罪手段上，是以软件程序为基础进行欺骗和破坏的方法。它是在一个计算机程序中隐藏作案所需的计算机指令，使计算机在仍能完成原有任务的前提下，执行非授权的功能。特洛伊木马程序和计算机病毒不同，它不依附于任何载体而独立存在，而病毒则须依附于其他载体而存在并且具有传染性。计算机犯罪手段十、数据欺骗数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或者输入假数据，从而实现犯罪目的的手段。这是一种最简单、最普通的犯罪手段。1993年，北京市海淀区人民检察院侦破了三起高档大饭店计算机操作员和收银员贪污案。在这三起案件中，案犯都是利用计算机技术，将已结帐的住宿客人的帐单偷偷调出并删改，减少原收的金额，之后将修改后的帐单重新输入计算机系统入帐，从而达到截留公款据为已有的目的。计算机犯罪手段十一、逻辑炸弹逻辑炸弹是指在计算机系统中有意设置并插入的某些程序编码，这些编码只有在特定的时间或在特定的条件下才自动激活，从而破坏系统功能或使系统陷入瘫痪状态。逻辑炸弹不是病毒，它不符合病毒自我传播的特征。1996年上海胜达实业公司寻呼台主控计算机系统被损坏一案。该公司工程师张某因对单位不满，遂产生报复心理，离职时在计算机系统中设置了逻辑炸弹。这一破坏性程序在当年6月29日这一特定的时间激活，导致系统瘫痪，硬盘分区表被破坏，系统管理执行文件和用户资料数据全部丢失，造成了不可估量的损失。计算机犯罪手段十二、电子欺骗技术电子欺骗技术是一种利用目标网络的信任关系，即计算机之间的相互信任关系来获取计算机系统非授权访问的一种方法。IP地址电子欺骗，就是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。入侵者不用输入用户帐号和口令，就可以侵入目标。计算机犯罪手段十三、口令破解程序口令破解程序是可以解开或者屏蔽口令保护的程序。几乎所有多用户系统都是利用口令来防止非法登录的，而口令破解程序经常利用有问题而缺乏保护的口令进行攻击。计算机犯罪手段十四、利用扫描器扫描器是自动检测远程或本地计算机主机安全性弱点的程序。扫描器是互联网安全领域最出名的破解工具。利用扫描器能使行为人不留痕迹地发现远在他国的一台服务器的安全性的弱点，从而入侵该系统。计算机犯罪手段十五、计算机病毒计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组指令或程序代码。它具有感染性、潜伏性、可触发性和破坏性。计算机犯罪的特点犯罪形式的隐蔽性计算机犯罪一般不受时间和地点限制,可以通过网络大幅度跨地域远程实现,其罪源可来自全球的任何一个终端,随机性很强。计算机犯罪的特点犯罪主体和手段的智能性计算机犯罪的各种手段中,凭借高科技手段实施的,熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员。计算机犯罪的特点跨国性网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网络具有“时空压缩化”的特点，当各式各样的信息通过因特网络传送时，国界和地理距离的暂时消失就是空间压缩的具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的终端机，就可以通过因特网到网络上任何一个站点实施犯罪活动。而且，可以甲地作案，通过中间结点，使其他联网地受害。由于这种跨国界、跨地区的作案隐蔽性强、不易侦破，危害也就更大。计算机犯罪的特点匿名性罪犯在接受网络中的文字或图像信息的过程是不需要任何登记，完全匿名，因而对其实施的犯罪行为也就很难控制。罪犯可以通过反复匿名登录，几经周折，最后直奔犯罪目标，而作为对计算机犯罪的侦查，就得按部就班地调查取证，等到接近犯罪的目标时，犯罪分子早已逃之夭夭了。计算机犯罪的特点损失大，对象广泛，发展迅速，涉及面广计算机犯罪始于六十年代，七十年代迅速增长，八十年代形成威胁。美国因计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿，甚至上百亿美元，英、德的年损失也达几十亿美元。我国从1986年开始每年出现至少几起或几十起计算机犯罪，到1993年一年就发生了上百起，近几年利用计算机计算机犯罪的案件以每年30%的速度递增，其中金融行业发案比例占61%，平均每起金额都在几十万元以上，单起犯罪案件的最大金额高达1400余万元，每年造成的直接经济损失近亿元。计算机犯罪的特点持获利和探秘动机居多全世界每年被计算机犯罪直接盗走的资金达20亿美元。我国2005年某省发现的计算机作案的经济犯罪已达100余件，涉及金额达1700万元，在整个计算机犯罪中占有相当的比例。各种各样的个人隐私、商业秘密、军事秘密等等都成为计算机犯罪的攻击对象。侵害计算机信息系统的更是层出不穷。计算机犯罪的特点低龄化和内部人员多我国对某地的金融犯罪情况的调查，犯罪的年龄在35岁以下的人占整个犯罪人数的比例：2005年是69.9%，2006年是73.2%，2007年是75.8%。其中年龄最小的只有18岁。此外，在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计，计算机犯罪的犯罪主体集中为金融、证券业的“白领阶层”，身为银行或证券公司职员而犯罪的占78%，并且绝大多数为单位内部的计算机操作管理人员；从年龄和文化程度看，集中表现为具有一定专业技术知识、能独立工作的大、中专文化程度的年轻人，这类人员占83%，案发时最大年龄为34岁。计算机犯罪的特点巨大的社会危害性网络的普及程度越高，计算机犯罪的危害也就越大，而且计算机犯罪的危害性远非一般传统犯罪所能比拟，不仅会造成财产损失，而且可能危及公共安全和国家安全。据美国联邦调查局统计测算，一起刑事案件的平均损失仅为2000美元，而一起计算机犯罪案件的平均损失高达50万美元。据计算机安全专家估算，近年因计算机犯罪给总部在美国的公司带来的损失为2500亿美元。计算机犯罪的类型举例非法侵入计算机信息系统罪。《刑法》第285条规定,违反国家规定,侵入国有事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。盗取银行巨款案例：全国首例利用电子计算机盗取银行巨款的两名案犯是郝景龙、郝景文兄弟，郝景龙成为中国第一例因计算机犯罪被判处死刑的案犯。1998年9月22日，扬州工商银行被人从输入的假帐户上取出存款26万元。经过警方周密侦查，终于将犯罪人郝氏兄弟抓捕归案。此案中郝景龙曾供职于某银行，掌握银行内部数据传输静态密码，后该人辞职。作案时，郝氏兄弟在储蓄所附近找到银行网络传输线，接上电脑，利用掌握的静态口令，接管对储蓄所电脑的控制权，从而篡改存款数据，虚设帐户资金，以达到盗窃金融资产的目的。--由于银行交易业务涉及面广，设备对外接口的繁冗，这本身与银行采用静态口令的长期不变形成了尖锐的安全矛盾。(本案例摘自《信息网络安全》2001年第三期)计算机犯罪行为类型计算机信息系统紧密相关的有三大要素：计算机信息系统数据信息网络计算机犯罪行为类型1)数据信息犯罪。按照行为方式可以分为访问数据信息犯罪（非法浏览秘密信息）QQ帐号取得数据信息犯罪（盗窃、诈骗等方式获得计算机信息系统内存储的秘密信息、有知识产权的信息、电子资财信息）银行内部处理数据信息犯罪（对数据信息进行非法的修改、增加、删除操作）四舍五入破坏数据信息犯罪（使数据信息毁损灭失）熊猫烧香制作传播数据信息犯罪（制作传播计算机病毒等破坏性程序，通过网络传播淫秽文字、图片、电影等数据信息或泄露国家秘密、个人隐私或传播谣言等等）。艳照门计算机犯罪行为类型2)计算机信息系统犯罪。按照行为方式可以分为侵入系统犯罪（侵入重要领域的计算机信息系统）国家网站干扰系统犯罪（影响计算机信息系统的正常运行）车牌拍卖使用系统犯罪（盗用系统资源）公司，copy破坏系统犯罪（毁损系统硬件设备，非法对系统功能进行增加、修改、删除）公司，后门计算机犯罪行为类型3)网络犯罪（六省断电，中国红客）。按照行为方式可以分为进入网络犯罪（侵入重要部门的局域网或者非法接入其网络线路）使用网络犯罪（阻碍或中断网络通信，毁损网络设施）破坏网络犯罪（非法使用网络资源，盗用网络服务）六省断电9点多开始上不了网了。又是杀毒，又是优化，又是修复IE，把路由开了又关，关了又开，后来才知道全国人民都一样……今年5月18日我国发生六省断网的严重信息安全事件，5月30日，涉案8人被抓获归案。据公布这8人都算不上资深专家，年龄在二十岁左右，学历大多为小学、初中文化程度。中国红客在2001年5月4日上午9时到上午11时15分，美国白宫网站因遭到黑客袭击，被迫关闭了两个多小时。另有消息说，当天有8万人参加了对白宫的攻击。有人称这是信息时代一次“人海战术”的胜利。计算机犯罪（刑法）类别编号及名称子类别名称1.非法入侵计算机信息系统罪侵入国家事务系统侵入国防建设系统侵入尖端技术系统2.破坏计算机信息系统罪破坏计算机系统功能破坏计算机存贮的信息传播病毒3.利用计算机实施的各类犯罪金融诈骗盗窃贪污挪用公款窃取国家机密其它计算机犯罪的类型举例破坏计算机信息系统罪。《刑法》第286条概括为破坏计算机信息系统罪。主要表现为:故意对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为;故意对计算机信息系统中存储处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。计算机犯罪的类型举例《刑法》第287条规定了利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪。如盗窃电子资金,不法分子往往利用电子资金过户系统,例如定点销售系统(ＰＯＳＳ)、自动存取款机(ＡＴＭＳ)自动化票据交换所(ＡＣＨＳ)、电子身份证系统等提供的便利,使用计算机技术通过网络修改电子资金帐目,窃取电子资金。病毒人生1983年11月3日，FredCohen博士研制出第一个计算机病毒。博士论文的主题是计算机病毒(ComputerVirus)。CEO,FredCohen&AssociatesWespendourlivesunderstandingandcodifyinginformationprotectionissues.Wedevelopspecializedtoolstohelpusworkefficientlyandeffectively.Weworkinteamstogetthebestresults

andmakesuretheyareright.

1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出。肇事者RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家。机理利用sendmail,finger等服务的漏洞，消耗CPU资源，并导致拒绝服务。影响Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失。CERT/CC的诞生DARPA成立CERTComputerEmergencyResponseTeam），以应付类似事件。http:///莫里斯蠕虫（MorrisWorm）1988年1988年冬天，正在康乃尔大学攻读的Morris，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。RobertTappanMorris,(bornNovember8,1965),isanassociateprofessoratMassachusettsInstituteofTechnology,intheInstitute‘sdepartmentofElectricalEngineeringandComputerScience。HeisbestknownforcreatingtheMorrisWormin1988,consideredthefirstcomputerwormontheInternet.HeisthesonofRobertMorris,theformerchiefscientistattheNationalComputerSecurityCenter,adivisionoftheNationalSecurityAgency(NSA).CIH（1998-1999）1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失（100亿美元）。CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”（验证防毒软件号称百分百防毒是不实广告）。年仅18岁的高中生JeffreyLeeParson因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。被判处18个月监禁。熊猫烧香李俊，大学本科毕业大于1000万用户染毒损失数亿元人民币破坏计算机信息系统罪(四年)计算机病毒产生的社会渊源计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物，是计算机犯罪的一种新的衍化形式。产生计算机病毒的原因，大致可以分为以下几种：计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲或制作恶作剧产生于个别人的报复、破坏心理来源于游戏软件（CoreWar）来源于软件加密（病毒制造者姓名和地址）用于研究或实验而设计的“有用”的程序出于政治、经济和军事等特殊目的，一些组织或个人也会编写一些程序用于进攻对方的计算机案例一：GOOGLE“M”For“Murder”2004年，案中女疑犯被控谋杀其夫有证据显示她曾在丈夫失踪前几天，在计算机上google短语howtocommitmurderhowtobuyagunillegallyinNewJerseyinstantpoisonsundetectablepoisonsfataldigoxindoses（异羟洋地黄毒苷）案例二：建国最大假火车票案2004年，“1·27”制贩假火车票案

制作的假票若全部售给旅客，按照列车编组来计算，需要近40列火车720节车厢才能拉完票面数额总价值620多万元高智商犯罪集团运用现代企业管理方法，制订了《工作流程》、《工作步骤》、《管理模式》等，并对其成员进行了明确分工对每一项工作量化任务，严格考核，做到奖罚分明“农村包围城市、立足平时”明确规定不得印制有座位票或卧铺票将车票扫描后，通过电子邮件发给外地的同伙，外逃前，计算机内存资料全部删除案例二：建国最大假火车票案公安机关邮件解密将计算机中内存的部分资料修复发现“资金使用情况汇报表”、“每周情况表”、“账号”、“计划表”和部分车票的票版样本24名被告人分别被判处十一年以下不等的刑期，罚金总额高达8730万元

怎么办？针对计算机系统或网络的犯罪活动以及利用计算机和网络从事各种犯罪活动的人越来越多，由此造成的经济损失令人触目惊心，引发的社会问题也越来越突出。遏制这种日益严重的计算机犯罪形势，就必须将犯罪分子绳之以法，以法律的威慑力量来减少计算机犯罪的发生。解决方案要解决这种民事纠纷，打击计算机犯罪就需要找到充分、可靠、有说服力的证据。计算机在相关的犯罪案例中可以扮演3种角色黑客入侵的目标作案的工具犯罪信息的存储器解决方案无论作为哪种角色，通常计算机(连同它的外设)中都会留下大量与犯罪有关的数据，进而可以依据有关科学与技术的原理与方法找到证明某个事实的证据。因此,计算机和法学的交叉学科——计算机取证(computerforensics)受到了越来越多的关注。案例三案例三分析作业1试举一个计算机犯罪的实例，并分析它属于哪一种犯罪手段。联系此案例，简述你对计算机犯罪的理解。1）格式要求

小四字体，宋体，单倍行距，不超过2页。2）递交形式：word电子版至发送：jsjguilt@163.com邮件及文档标题：专业+学号+姓名例如：专业+00000000+张三3）截止递交时间：9月14日第一章计算机取证概述计算机取证概念计算机取证历史计算机取证相关的法律法规理念（原则）计算机取证内容计算机取证模型、过程神证—以神誓和神判为证明古巴比伦《汉穆拉比法典》曾经以成文形式规定过当时处理“巫蛊之罪”的水审法:将犯罪案件的被告人投入河中，如果他没有被溺死，就意味着河水已为他‘洗白’，此人无罪，告发者应处死刑，其房屋归被告发者所有;反之，则说明被告发者有罪，其房屋归告发者所有。古代日耳曼人也曾采用这种“水审法”，但其检验标准与古巴比伦人恰恰相反。他们认为河水是世界上最圣洁的东西，不能容纳有罪之人，所以嫌疑人被投入水中后若浮于水面，则证明其有罪;若沉入水中，则证明其无罪。在后一种情况出现时，嫌疑人亲友必须立即捞救，以免被神验明无罪者反遭溺死。神证—以神誓和神判为证明抽签审是诸多审判方式中最为轻松的一种，就像猜硬币一样，嫌犯只要在正邪两球中凭手气摸正球，就可以被宣告无罪。秤审，是用秤量嫌犯体重两次，第二次较前次轻者无罪。有一种堪称古代拼吃大赛的“面包奶酪审”，要求嫌犯在祷告后，迅速吃掉一盎司的面包或奶酪，如果能顺利咽下，就会被判无罪。残酷的神明裁判方法是多数的:火审，是让嫌犯手持烙铁步行一段路，数天后如伤口不溃烂则无罪;毒审，是让嫌犯服某种毒物，无特殊反应则无罪;热油审，是让嫌犯用手取出热油中的钱币，无伤则无罪。“鳄鱼审判”，是把嫌犯丢入鳄鱼池中，观察鳄鱼是否吃他，如果安然无恙，则宣告无罪。神证存在的原因当囿于认识能力的限制、事实难以查清的时候，一种能保证裁判权威的证明制度取代了对真相的过度发掘。这种证明方法有着司法心理学方面的基础，也能在一定程度上保证公正与公平，更重要的是，它能起到定分止争的目的。即使在人类认识能力提高之后，对于神证制度好处的依赖，也使得一些地区依然延续着这种审判传统。对于他们而言，事实真相的追求是不确定的未来，而神证制度却是一种比较确定的权威，而后者在保证社会关系的安定上，有着前者无法企及的作用。人证—以当事人和证人的陈述为证明原因其一是国家司法权力的增长其二是人类认识水平的提高 在那些直接侵害王室利益的案件中,法官可以主动讯问被告人和传唤证人,并在此基础上做出判决;在涉及土地纠纷的案件中,国王不愿意听凭难以预料的“神灵”来做出裁判,就命令法庭传唤一些可能了解案件情况的当地居民出庭,让他们在宣誓后协助法官做出判决。物证—以物证或科学证据为证明虽然物证是客观存在的,但是物证并不能自已到法庭上去直接证明案件事实,必须借助于人的力量,必须由人来解释。物证需要人的解读。而解读物证往往需要一定的科学知识,所以物证与科学技术之间的关系几乎是密不可分的。人身识别的物证古代中国曾以使用过给犯人脸上刺字以便识别其身份的作法。古巴比伦、古印度和一些欧洲国家则使用过在罪犯身体上烙印的方法来识别其身份。笔迹鉴定人体骨骼长度指纹识别足迹鉴定牙痕鉴定声纹鉴定唇纹鉴定DNA遗传基因鉴别计算机取证(computerforensics)有关计算机取证的定义很多计算机取证是运用计算机及其相关科学和技术的原理与方法获取与计算机相关的证据以证明某个客观事实的过程。计算机取证定义计算机取证专业资深人士JuddRobins:计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。证据获取

计算机取证定义

一家专业的计算机紧急事件响应和计算机取证咨询公司：计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。计算机基础

计算机取证定义一篇综述文章给出了如下的定义：计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。过程计算机取证定义综合：计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。计算机及其外设计算机文件服务器网络手机全球卫星定位系统装置打印机电子记事本磁带光碟MP3/iPodsU盘计算机证据计算机证据是指以计算机形式存在的、用作证据使用的一切材料及其派生物，或者说借助计算机生成的一切证据。计算机证据证据的特性：任何材料要成为证据，均需具备三性要求客观性：保证证据是可信的、准确的关联性：保证证据是完整的、使法官信服的合法性：保证证据是符合法律法规的，即可为法庭所接受的计算机证据的新特性精密性和脆弱易逝性：依托技术存在，技术性要求高，不受主观因素影响，（但证言可误传，书证可误记）。计算机信息主要以“二进制”表示，以数字信号的方式存在，其非连续性使得删除、剪接等技术上很难查清隐蔽性：在计算机中可存在的范围广，易隐藏；信息的“二进制”编码表示和传递，无法直接阅读，与特定主体的关系难以通过常规手段确定，必须通过适当的工具多媒性：表现形式多样，如：文本、图形、动画、音频、视频等多媒体信息的形式出现处理、操作方面的特性：收集迅速、易于保存、占用空间少、容量大、便于传送、可以反复重现、易于使用、便于操作数据的“挥发性”：见书P3表１－１计算机证据与传统证据的区别计算机数据无时无刻不在改变；计算机数据不是肉眼直接可见的，必须借助适当的工具；搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；计算机证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。计算机取证与计算机犯罪由于计算机犯罪的影响以及计算机取证发展的历史，在讨论计算机取证的问题时，研究人员往往以打击计算机犯罪作为目标进行研究。犯罪侦查民事案件国家安全部门、军事部门由于民事纠纷的当事双方明确，应用计算机取证技术的场合、关心的问题等可能会有少许不同，而在计算机取证的技术本质上是一致的。计算机取证与计算机犯罪（续）而国家安全部门、军事部门人员取证得到的证据不是呈递给法官而是成为国家领导人、国家安全部门领导、相关军事部门领导决策相关问题的依据。当然刑事案件、民事纠纷、国家信息安全保障涉及的计算机取证各自的法律规定的程序肯定会有所不同，从技术层面上看，取证的要求是相同的。所以认为计算机取证只是和计算机犯罪联系在一起的看法是不够准确的，尽管计算机犯罪是人们关注最多的，研究或讨论问题也往往以计算机犯罪为例。

与之有关人员？工作与计算机取证技术相关的人员也不只是犯罪侦查人员（警察），还有检察官、法官、律师、司法鉴定人、专家证人、研究人员、教师、网络与信息系统安全各类管理人员等。他们对计算机取证技术需要了解的程度和关心的问题会又相当的差别，所以高校可以从不同的角度去培养相应的人才。

国外计算机取证历史及现状法律的制定：自1976年的FederalRulesofEvidence起，美国出现了如下一些法律解决由电子证据带来的问题：TheEconomicEspionageActof1996:处理商业机密窃取问题TheElectronicCommunicationsPrivacyActof1986:处理电子通信的窃听问题TheComputerSecurityActof1987(PublicLaw100-235):处理政府计算机系统的安全问题国外计算机取证历史及现状计算机取证科学(computerforensicscience)主要是在司法机关的需求中应运而生的。早在1984年，FBI的实验室就开始对计算机取证进行研发。为了有组织有计划的解决刑侦人员不断增长的需求，FBI成立了计算机分析响应组(CART)。国外计算机取证历史及现状自从九十年代初，美国联邦犯罪调查实验室的主任们每年都会在华盛顿举行两次研讨会，就共同关心的问题进行讨论。他们共同创建了目前数字取证领域中享有盛誉的“数字取证科学工作组(SWGDE)”。国外计算机取证历史及现状取证技术：逐渐走向自动化、智能化，政府与各专业机构均投入巨大人力、物力开发计算机取证专用工具。国外计算机取证历史及现状用于电子数据证据获取的工具：如HigherGroundSoftwareInc.的软件HardDriveMechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree可从活动的WindowsSwap分区中恢复数据，该公司的软件GetSlack可自动搜集系统中的文件碎片并将其写入一个统一的文件。国外计算机取证历史及现状用于电子数据证据保全的工具：

GuidanceSoftware公司生产的硬件设备Fastbloc可用于Windows操作系统下计算机媒质内容的快速镜像，NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据，保证其不被改变，也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作。国外计算机取证历史及现状用于电子数据证据分析的工具：这类工具中最著名的是NTI公司的软件系统NetThreatAnalyzer。该软件使用人工智能中的模式识别技术，分析Slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息，研究交换文件、缓存文件、临时文件及网络流动数据，从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动，提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国9.11事件的调查中起到了很大的作用。国外计算机取证历史及现状用于电子数据证据归档的工具：如NTI公司的软件NTI-DOC可用于自动记录电子数据产生的时间、日期及文件属性。国外计算机取证历史及现状结论：针对计算机取证的全部活动而言，美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程，各研究机构与公司也都在进一步优化现有的各种工具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度，进一步提高计算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。国内计算机取证历史及现状结论：我国的计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有10年的历史，相关的法律法规仍很不完善，学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。目前法庭案例中出现的计算机证据都比较简单，多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步，计算机犯罪的水平也在不断提高，目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求，自主开发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。国内发展情况学术和技术研讨方面重要事件2004年11月，北京：首届中国计算机取证技术研讨会主办：北京人民警察学院中国科学院软件研究所北京市公安局网络信息安全监察处有来自全国各地的近100名代表参加此次会议。中国科学院、中国人民大学法学院等专家以及来自企业的技术人员和公安系统的专业人员就计算机取证技术的研究现状和发展趋势、计算机取证技术的需求与应用以及电子证据立法的现状与前瞻等问题作了专题报告。研讨会汇集了32篇论文，印刷了论文集。

这次研讨会对计算机取证技术的理论与实践的研究产生积极的影响，推动了我国计算机取证技术的发展。计算机取证国内外发展情况国内发展情况学术和技术研讨方面的重要事件2005年4月1日，北京（北京人民警察学院）：成立中国电子学会计算机取证专家委员会

2005年4月1日，在北京人民警察学院成立了中国电子学会计算机取证专家委员会，并召开工作会议。来自中国电子学会、公安部、信息产业部、中国科学院、北京大学、清华大学、中国人民大学、武汉大学、厦门大学、北京市国家安全局、北京市公安局和国内企业界的专家、学者和技术人员共计30余人参加了成立大会。2007年6月2—3日，中国电子学会计算机取证专家委员会再次在北京人民警察学院召开工作会议，调整了专家委员会成员，并就知识产权保护和网络欺诈中的计算机取证问题进行学术研讨计算机取证国内外发展情况国内发展情况学术和技术研讨方面的重要事件2005年，成立中国计算机取证技术研究组中国计算机取证技术研究组（ChinaComputerForensicsResearchTeam）是一个由计算机信息安全、计算机取证技术爱好者自发组成的一个技术团体。自2005年成立，每年在国内举办“中国计算机取证技术峰会(年会)”CCFC（ChinaComputerForensicsConference)

2007年6月2—3日，中国电子学会计算机取证专家委员会再次在北京人民警察学院召开工作会议，调整了专家委员会成员，并就知识产权保护和网络欺诈中的计算机取证问题进行学术研讨。计算机取证国内外发展情况国内发展情况学术和技术研讨方面重要事件2007年7月，新疆乌鲁木齐：第二届中国计算机取证技术研讨会主办：中国电子学会计算机取证专家委员会、中国科学院软件研究所、新疆警官高等专科学校，北京人民警察学院有来自全国各地的近60名代表参加此次会议。交流计算机证据的发现、提取、传输和分析技术交流计算机取证工作的原则和程序交流计算机取证学的发展和学科建设交流网络反恐研究交流知识产权保护领域的计算机取证技术研讨会汇集了26篇论文，印刷了论文集。计算机取证国内外发展情况法律法规意识证据收集是审查和运用证据的前提，只有取得合法、确实、充分的证据我们才能准确地认定案件事实，才能正确地使用法律、追究违法人员和犯罪嫌疑人的法律责任。合法地收集计算机证据？依照法定程序提取证据准确不出差错？计算机取证的主要原则尽早搜集证据，并保证其没有受到任何破坏必须保证“证据连续性”（有时也被称为“chainofcustody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。计算机取证（技术）计算机取证（技术）面临的问题在我国，相关的法律法规很不完善《电子签名法》的实施；目前法庭案例中出现的计算机证据都比较简单，多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息法律法规意识不强

证据收集是审查和运用证据的前提，只有取得合法、真实、充分的证据，才能准确地认定案件事实，才能正确地使用法律追究违法人员和犯罪嫌疑人的法律责任何谓合法地收集计算机证据？即依照法定程序提取证据。准确不出差错？计算机犯罪与计算机取证

计算机取证（技术）计算机取证（技术）展望我国计算机（数字）取证技术与产品等从引进、代理到自身设计，差距还比较大，主要是我国的企业规模小，资本投入不足，产品质量和品种还不多（手机取证）课题研究已经全方位开展，我国科研人员在操作系统的可取证研究、以及可能在BIOS芯片取证方面推出了自主创新的研究成果，但目前缺乏较为集中的数字取证科研团队（证据保存、反取证技术）计算机取证技术的研究有鲜明的国家特点，即国家的性质、法律和制度对于计算机取证技术的研究均具有一定的影响和制约。照搬照抄国外的计算机取证技术和工具的做法是不可取的。结合中国国情的计算机（数字）取证探索值得大力提倡（版权保护）计算机犯罪与计算机取证计算机取证学科建设计算机学科、法学、侦查学、司法鉴定等交叉形成的新学科应具备的知识和技能计算机类知识：计算机或信息安全专业的相关基本知识课程、计算机网络与通信技术、信息安全技术、密码学、操作系统（Windows、Linux、Unix等）法学刑司类知识：宪法与行政法学、民商法学、刑法学、诉讼法学（民事、刑事、行政）、证据学、侦查学、物证技术学、司法鉴定概论、犯罪学综合交叉类知识：信息法学、电子商务、电子政务、相关信息技术法律法规、电子签名法、电子商务法、软件知识产权和网络版权保护、计算机取证（技术）等计算机取证学科建设计算机取证的总体目标在调查之初由相关权益人或责任人确定。最好是先制定预案，明确什么情况下完成什么目标明确Who：找出谁When：在何时Where：在何地How：怎样（如何）地What：进行了什么（非法）活动如：攻击者是谁、何时进入系统、停留多长时间、做了哪些事情、得到哪些信息、动机如何、受害者损失如何计算机取证的目标计算机取证的主要原则在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染。搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件。全部（或尽可能）恢复发现的已删除文件。计算机取证的主要原则最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。如果可能并且如果法律允许，访问被保护或加密文件的内容。

计算机取证的基本步骤分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留。②文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据。计算机取证的基本步骤打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现