物证的分类 黑客入侵网络的证据收集与分析
2020-11-05周口知名刑事律师
宋,周口重大刑事案件律师,现执业于河南良承律师事务所,具有深厚的法学理论功底及司法操作经验。诚实信用,勤勉敬业,以“实现当事人利益最大化”为服务宗旨。办案认真负责,精益求精,业务功底扎实,语言表达流畅、思维敏捷,具有良好的沟通协调和谈判辩护能力。受人之托、忠人之事、不畏艰险、奋力拼争,愿尽自己的所能,为当事人提供最好的法律服务。不敢承诺案件的最终结果,但敢承诺办案尽心竭力!
物证的分类
物证可以按照不同的标准进行分类。
按照与争议标的物的关系为标准,分为争议标的物的物证和非争议标的物的物证。所谓争议标的物的物证,是指诉讼中的当事人的民事权利义务关系所指向的对象,例如,双方当事人争议的不动产和动产等。非争议标的物的物证,是指不是当事人民事权利义务所指向的对象,而是案件所涉及的作为物证的物品,例如,侵权行为所使用的工具等。
按照物证是否便于保存为标准,分为易保存的物证和不易保存的物证。易保存的物证,是指在常规条件下不易改变其原有特性的物证,例如,彩电、冰箱等。不易保存的物证,是指在常规条件下容易改变其原有特性的物证,例如,药品、水产和食品等。
依物证所起的证明作用不同,可以分为实物物证、痕迹物证、微量物证和气味物证。实物物证,是指以物体本身起证明作用的物证,例如,房屋、汽车等。痕迹物证是物体相互作用遗留的遗迹起证明作用的物证,例如,指纹、印记等。微量物证,是指以存在少量物质起证明作用的物证,例如灰尘、粉末等。气味物证是指以某种物质散发的气味来起证明作用的物证,如废气等。
依物证的出处为标准,可分为原始物证和复制物证。原始物证,是指凡证明内容直接来源于原始的物品,例如,劣质产品等。复制物证,是指证明的内容来自于原始物证的复制品,例如,有瑕疵产品的复制件等。
黑客入侵网络的证据收集与分析
如果有未经授权的入侵者入侵了你的网络,且破坏了数据,除了从备份系统中恢复数据之外,还需要做什么呢
从事网络安全工作的人都知道,黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。
而许多企业也不上报网络犯罪,其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此,CIO们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。
什么是;计算机犯罪取证;
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以及对整个入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据中寻找可以用来证明或者反驳的证据,即电子证据。
除了那些刚入门的;毛小子;之外,计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件,清理自己的工具软件,或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中,首先要清楚我们要做什么然后才是怎么做的问题。
物理取证是核心任务
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记5点:不要改变原始记录;不要在作为证据的计算机上执行无关的操作;不要给犯罪者销毁证据的机会;详细记录所有的取证活动;妥善保存得到的物证。如果被入侵的计算机处于工作状态,取证人员应该设法保存尽可能多的犯罪信息。
要做到这5点可以说困难重重,首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见,物理取证不但是基础,而且是技术难点。
通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据,保证获取的顺序为先内存后硬盘。案件发生后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取,力求不要对硬盘进行任何读写操作,以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来,便于今后在专门机器上对原始硬盘的镜像文件进行分析。
;计算机法医;要看的现场是什么
有的时候,计算机取证也可以称为计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。好比飞机失事后,事故现场和当时发生的任何事都需要从飞机的;黑匣子;中获取。说到这里您可能就猜到了,计算机的黑匣子就是自身的日志记录系统。从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作,解决这一难题方法的就是切入点,所以说从日志入手才是最直接有效的手段。
这里还需要指出,不同的操作系统都可以在;Event Viewer Security;中能够检查到各种活动和日志信息,但是自身的防护性能都是非常低,一旦遭受到入侵,很容易就被清除掉。从中我们可以看到,专业的日志防护与分析软件在整个安全产品市场中的地位之重,无需置疑。
我国有关计算机取证的研究与实践尚在起步阶段,在信息技术较发达的美国已有了30年左右的历史。现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机,并试图找出入侵行为。
在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院、上海大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。6月26日在北京召开的CFAT.2005首届中国计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度,促进计算机取证专业人员、司法界人士以及兴趣爱好者直接、深入的交流。在把企业业务连续性作为首位的同时,我们也呼吁更加智能化的物理取证工具的早日面试。