文档介绍:电子取证:法医式“解剖”网络犯罪发布时间: 2006-9-25 记“计算机犯罪证据固定与保全技术”课题组网络犯罪危害四方 2006 年8月 29 日至 30 日,全国最大的色情网站———“情色六月天”案在太原开庭。 2005 年6月 21 日,山西省太原市公安局网监支队接到市民举报,称其访问的一个医院网站是色情网站。网监支队调查发现,这个色情网站名叫“情色六月天”,截至 2005 年10 月3日, 其累计注册会员 60 多万名, 发布***秽图片 4 万余张、***秽电影 125 部。点击率更是高得惊人,达到 1164 万余次。嫌疑人非法获利 20 余万元。网络色情危害严重,但查处起来却是困难重重。北京大学计算机研究所信息安全工程研究中心(以下简称北大信安中心)取证课题组在这方面开展了一系列调查研究和技术攻关工作。中心取证课题技术负责人唐勇介绍说,首先是公安机关取证难,其次检察机关举证也很难。在电子证据采集上,由于网站内容的刷新和删除太快太容易,公诉机关举证前,部分网站经营者早已毁灭证据。数据或信息被人为地篡改后,如果没有可对照的副本、影像文件则难以查清、难以判断。国内相关管理部门,特别是公安部公共信息网络安全监察局非常重视计算机犯罪取证技术的研究工作, 设立了“计算机犯罪侦查技术研究”项目, 经科技部批准, 列入国家“十五”科技攻关计划。北京大学计算机科学技术研究所和国内其他几家科研单位参加了此项计划的研究攻关。专家点评: 信息技术、互联网的飞速发展和普及,使得计算机和网络已经影响到人们生活、工作的方方面面。把其作为犯罪工具,已成为目前高科技犯罪的一种新动态。侦破这些案件中遇到的计算机取证也称计算机法医学,是指把计算机看作犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。它作为计算机领域和法学领域的一门交叉科学正逐渐成为人们研究与关注的焦点。知己知彼百战不殆北大信安中心取证课题组的技术人员为更全面地了解办案民警的需求,在公安部公共信息网络安全监察局的技术专家的指导帮助下,亲身参与了一线公安民警计算机犯罪调查的取证过程。调研过后, 4 大难题摆在了课题组面前。唐勇说,计算机取证时,第一件要做的事是冻结计算机系统,也就是证据的固定,不给犯罪分子破坏证据提供机会。在这方面,计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。不同的是,在进行计算机取证时,违法犯罪活动如网络攻击可能还在继续,木马程序还在运行,因此就有了静态电子证据和动态电子证据之分。而且利用计算机实施犯罪的嫌疑人往往可以在几秒钟内就把犯罪痕迹销毁。难题二就是,目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力。同时设备接口和存储介质的种类越来越多,民警现有的公安部配发的国外进口的专门设备远远不能满足这些要求。技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对民警的计算机专业素质要求很高。调研中课题组遇到一个案例,某大学的 Web 服务器遭到入侵, linux 操作系统下被安装 RootKit , 而这些犯罪证据不易收集完整, 需要技术人员具有非常强的专业知识。最后的问题是,目前的电子证据的取证流程还基本上使用传统的取证流程,由于电子证据和传统的证据存在很大的差异,因此非常需要一个合理合