计算机司法鉴定_在线百科全书查询
计算机司法鉴定
计算机司法鉴定是指依法取得有关计算机司法鉴定资格的鉴定机构和鉴定人受司法机关或当事人委托,运用计算机理论和技术,对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。
司法部2000年11月29日颁布的《司法鉴定执业分类规定(试行)》第十三条规定,计算机司法鉴定:运用计算机理论和技术,对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定。
计算机司法鉴定的范围
从理论上讲,计算机鉴定人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;鉴定人员能知道这些文件,并且能证明它们与犯罪有关。因此,计算机司法鉴定范围是具有局限性的,它一般集中于对计算机内的存储的数据进行鉴定,有时也包括对计算机中软件、程序进行功能性鉴定,对取证过程中取得的证据链进行鉴定。其中计算机内的数据包括各种存储介质以及通过网络实时传输的数据。如:软盘、硬盘、优盘、 ZIP 盘、 JAZ 盘、磁带、磁光盘、 CDROM 、 CDR 、 CDRW 、 DVD 、 MO 、 CF 卡、 MS 卡、 SD 卡、 MMC 卡等,网络硬盘、电子邮箱等;对软件、程序的功能鉴定包括是否为盗版软件、是否存在软件侵权行为等。鉴定文件格式包括电子表格、 Word 文档、数据库、文本文件、日志文件、电子邮件、图片、视频文件、声音文件、交换文件、临时文件等。
计算机司法鉴定的措施
1.专业数据复制,保持数据的原始性。取证分析的数据是被分析机器上数据的原始逐位比特复制来的,对原始数据不做直接分析。
2.保持数据在分析和传递过程中的完整性。专业数据取证计算机,确保分析软硬件环境不会改变分析的数据,数据传递过程中数据没有改变。
3.保持证据的连续性。如果确实需要改变数据,必须保证证据的连续性,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化。
4.取证过程的可认证性。也就是说,整个过程是受到监督的,由鉴定人员所做的所有调查取证工作都应该受到由其他方委派的专家的监督。
5.取证过程和结论的可重现性。由于电子证据的特殊性,任何取证分析的结果或结论可以在另外一名鉴定人员的操作下重现。
电子证据的取证技术
(一)一般取证技术
一般取证技术是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有:
1.打印。对网络犯罪案件在文字内容上有证明意义的情况下,可以直接将有关内容打印在纸张上的方式进行取证。
2.拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先,鉴定人员应当检验所准备的软盘、活动硬盘或光盘,确认没有病毒感染。
3.拍照、摄像。如果该证据具有视听资料的证据意义,可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。
4.制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。
5.查封、扣押。对于涉及案件的证据材料、物件,为了防止有关当事人进行损毁、破坏,可以采取查封、扣押的方式,将有关材料置于司法机关保管之下。
6.公证。由于电子证据极易被破坏、一旦被破坏又难以恢复原状,所以,通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。
(二)复杂取证技术
复杂取证是指需要专业鉴定人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取,如被加密或是被人为删改、破坏的情况下,如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括:
1.解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请鉴定人员选用相应的解除密码口令软件。
2.恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理程序组成,一般是较难篡改的。因此,当发生计算机犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。可使用的工具包括效率源Data Compass数据指南针、Flash数据恢复大师、Data Copy King等。
3.测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试。
所有的分析都是在复制的硬盘上进行的,复制以及取证过程的每一步骤,取证系统都会进行 MD5 的校验,如果每次的校验值一致,那么就证明在取证过程中没有修改电子数据。
