VC++计算机与其网络信息取证系统的开发(4)
2.存储方式多样性:电子数据证据通常以计算机为载体,其实质是以一定格式存储在计算机硬盘,软盘或CDROM等存储介质上的二进制代码,它的形成,使用以及还原都需要借助于计算机设备才能够实现。
3.易损坏性:计算机信息都是以二进制编码的形式存在于计算机系统中,表现为数字信号。而数字信号时非连续的。因此对数字证据进行接收,监听,删节,剪接等操作,都可能由于对象不够直观而容易由操作人员的操作失误,供电系统的闪断或通信网络的故障等环境或技术方面的原因造成数字证据的不完整。
4.高科技型:计算机作为现代化的计算,通信和信息处理工具,与其相关的证据的产生,存储和传输都必须借助于计算机软硬件技术,存储技术,网络技术等。离开了高科技含量的技术设备,电子数据证据将无法保存和传输。如果没有外界的蓄意篡改或差错的影响,电子数据证据就能准确无误地反映有关案件的情况。
5.隐蔽性:计算机证据在计算机系统中可存在的范围很广,这使得证据很容易被隐藏起来,另外由于计算机在存储出路的过程中,其信息的表示形式为二进制编码,无法直接阅读,使得计算机证据与特定主体之间的关系按照常规手段难以确定[6]。
2.1.2 计算机取证工作流程
为保证计算机取证工作能够合法有效的获取电子数据证据,必须严格按照流程逐步进行操作。其流程主要分为以下优尔个步骤:
1.获取证据:计算机取证工作首先要进行的是犯罪现场的勘察。主要内容是开展物理证据的获取,获得全面的,可信的证据可以为后面的工作打下坚实的基础。这部分的工作主要是对目标计算机系统进行封存,以此来避免对任何可能包含证据的数据造成破坏;与此同时绘制计算机犯罪现场图,网络拓扑图等,并且在移动或拆卸电子设备之前都要进行拍照存档,为今后模拟和还原犯罪现场提供直接证据。证据的获取从本质上说就是要将一切可能包含对犯罪调查工作有帮助的电子数据(也就是潜在的电子数据证据)进行保存。因此在证据获取阶段使用的工具一般是具有磁盘镜像,数据恢复,解密,网络数据捕获等功能的取证工具。
2.传输证据:对于获取的数据必须从被取证的计算机系统上安全的转移到取证分析机上。由于计算机取证的整个过程必须具有不可篡改的要求,因此,数据在传输过程中必须要具有抵抗黑客非法入侵的能力;同时还要提高对远程数据传输的保密性,避免在传输中遭受非法窃取。因此,在证据的传输过程中采用加密技术:如IP加密,VPN加密,SSL加密等协议标准,保证数据的安全传输,同时使用信息鉴别编码保证数据在传输过程中的完整性。