计算机犯罪取证过程中电子证据链构造
开篇:润墨网以专业的文秘视角,为您筛选了一篇计算机犯罪取证过程中电子证据链构造范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着计算机犯罪事件的不断增加,将计算机取证技术与司法鉴定结合起来,借助法律手段主动地打击计算机犯罪一直都是安全领域研究的热点。本文先是简述电子证据链在计算机取证与司法鉴定过程的重要性;再者,从实际的计算机取证角度出发,以刑事案件证据链的构造为依据来简要地阐述取证过程中电子证据链构造过程和方法。
关键词:计算机犯罪;计算机取证;电子证据链;
中图分类号:TP399-C2 文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
Electronic Evidence Chain Structure in the Process of Computer Crime Forensics
Han Nannan
(Zhongnan University of Economics and Law,School of Information and Safety Engineering,Wuhan430073,China)
Abstract:With the increasing incidents of computer crime,computer forensics and forensic technology combined with the legal means to take the initiative to combat computer crime has been a hot research field of security.This article first briefly chain of electronic evidence in computer forensics and forensic importance of the process;Moreover,from a practical point of view of computer forensics,chain of evidence in criminal cases based on the structure to briefly elaborate chain of evidence during the construction process of electronic evidence And methods.
Keywords:Computer crime;Computer forensics;Electronic evidence chain
当前,将计算机取证技术和司法鉴定相结合来打击计算机犯罪一直是研究的热点。在实际的取证过程中,计算机系统的复杂性和取证工具的针对性和局限性,导致取证人员只能获取被取证对象的部分数据;然后再将收集的数据组织成电子数据集,并从中分析出有效的电子证据集。本文从实际的取证角度出发,将刑事案件中证据链的构造方法应用到电子证据链的构造,以及取证过程中监督链和推理链的形成。其总体流程图如下:
图1.取证总体流程图
在计算机犯罪取证过程中,电子证据链的构造也被称为“犯罪现场重构”。取证人员用专业的取证工具在被侵犯系统上收集电子证据,再对这些数据进行分析和重现整个犯罪过程,也即电子证据链的构造。
在刑事案件证据链的研究中,司法人员将证据链定义为:由两个或两个以上不同的证据链节(证据)所组成的,通过链头的相互联结形成的联结点以及链头与链体的客观联系,内容能得到相互印证并体现或提高证据的证明力,用于证明案件事实的证据集合体。其构成要素之间的关系如下:
图2.刑事证据链层次结构图
以上是单点联结的证据链层次结构,同时,还有多点联结、面联结、多重联结和网状联结等层次结构。
目前,电子证据链并没有一个明确的定义,大部分取证人员或研究人员主要以“犯罪现场重构”来描述电子证据链。借鉴图2我们可以将电子证据链的构造过程描述如下:
图3.电子证据链构造图
如何选取联结点(证据链节的印证地方)要根据具体取证情况而定,以下是三种常用联结点构造方法:
一、属性联结点
属性联结点是以取证人员获取的各个证据链节中记录的一个或多个属性(记录时间、IP地址、进程ID、网络端口等)为联结点,来关联各个证据链节形成电子证据链。
二、时间联结点
计算机入侵并不是一步就能完成的,它需要很多步骤的操作才能实现成功入侵。如果对犯罪入侵过程用时间概念来描述,取证人员可以以各个证据链节出现的时间先后顺序为联结点来关联构造电子证据链。
三、因果关系联结点
因果关系联结点的印证过程要求取证人员对计算机犯罪入侵心理、过程以及造成什么样的结果非常熟悉,并且能够根据入侵者对系统造成的危害或留下的痕迹向上一步一步推断出整个入侵过程,进而重现犯罪现场。
结论:电子证据链是联接计算机犯罪取证与司法鉴定的纽带,其整个构造过程的真实性直接决定了它能否被司法鉴定部门采纳。因此,在电子证据链被提呈给司法鉴定部门的同时,证据出示人员也必须出示能够证明整个取证过程真实性的监督报告。可见,取证人员在整个电子证据链构造的同时,如何构造一个能够反映整个取证过程的监督链也是非常重要的。
项目名称:银行计算机犯罪分析及其现场重构机制研究项目编号:2010S2002
参考文献:
[1]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].北京:清华大学出版社,2009,1-322.
[2]陈为刚.刑事证据链研究[J].国家检察官学院学报,2007,15:128-136
[3]王智慧,崔孝晨,陆道宏.Harlan Carvey.Windows取证分析[M].科学出版社,2009:1-222
[4]Atif Ahmad.The Forensic Chain of Evidence Model /chain-of-evidence-model