计算机取证

计算机取证

一、计算机取证概述

计算机取证(Computer Forensics)在打击计算机和⽹络犯罪中作⽤⼗分关键，它的⽬的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼。证据提供给法庭，以便将犯罪嫌疑⼈绳之以法 。

是计算机、⽹络空间安全、法学、侦查实践等学科的交叉学科

识别、恢复、提取、保存电⼦存储信息（ESI），形成报告并使之成为法律证据的科学——First ICCE

二、电子数据

电⼦数据（Electronic Data），是指基于计算机应⽤、通 信和现代管理技术等电⼦化技术⼿段形成包括⽂字、图形 符号、数字、字⺟等的客观资料。

电⼦数据是案件发⽣过程中形成的，以数字化形式存储、 处理、传输的，能够证明案件事实的数据。

电⼦数据取证涉及法律和技术两个层⾯：

技术：采⽤技术⼿段，获取、固定、提取、分析、归档、出示 电⼦数据作为认定事实的科学

法律：能够为法庭所接受的、⾜够可靠和有说服性的、存在于计算机和相关外设中的电⼦数据的（收集、保全、确认、鉴定、报告及呈堂的）过程。 取和证是⼀个闭环的过程，最终的⽬标是形成“证据链”

合法性、客观性、关联性

三、取证基本步骤

⽬前没有⼀个范式，基本分为四个步骤

1.评估

电⼦数据取证⼈员应针对⼯作作出全⾯的评估，以决定下⼀步采取的⾏动。

2.获取

电⼦数据必须保存于原始状态中，防⽌被不正确的处理⽅法所影响、损害或删除。

3.分析

提取出有⽤证据，分析判断其中的关联性，将数据转换为可读可⻅的形式。

4.报告

所有操作都必须以⽇志形式记录，所有的结果都必须以报告形式记录展现。

该流程适⽤于电⼦数据取证的各个环节，包括侦查、勘验和电⼦数据检验鉴定。

四、UNIX/Linux取证

(一)基本描述

1.Linux操作系统是UNIX系统家族中的⼀个优秀分⽀