电子数据取证办案速查手册

电子数据取证办案速查手册 第一章速查手册概述 计算机取证是一门发展非常迅速的学科，时代需要一批能不断吸收最新的知识，掌握最新的技能，使用最新的工具，不断提高自身素质的网络精英，来应对同样在飞速进步的高科技犯罪分子。为电子数据取证与勘察过程中提供一本速查 手册，协助办案人员快速查询一些细节性的易遗忘的知识点，这是这本手册 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 的初衷。 第二章计算机犯罪现场勘察指南 一：保护现场 现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。 在保护现场时需要依循以下原则： 1 禁止嫌疑人接触数字化设备 现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息，但必须禁止嫌疑人直接操作计算机。 如果所勘查的现场是公共上网场所（如网吧）， 必须尽量根据预先掌握的情况（如嫌疑人的体貌特征、当前登录的帐号等）和技术手段确定嫌疑人身份，并采用隐蔽的方式控制嫌疑人。除非案件特别重大或特别紧急，否则不得采用公开的方式控制犯罪嫌疑人。 2 防止嫌疑人采用隐蔽手段故意破坏证据 嫌疑人可能通过网络、拨入设备远程控制计算机或者网络，在紧急情况下，可以切断相关的有线网络和无线网络连接（关闭交换机、HUB 或无线接入设备）和拨入设备（关闭MODEM）。 嫌疑人可能通过切断电源的方式破坏数据，在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。 嫌疑人可能在系统上安装专门的程序，在满足特定条件下该程序自动清除相关证据。在现场勘查时要评估嫌疑人是否可能具备这一技术水平，如果这种可能性较大，要立即关闭计算机电源。在现场勘查中不应听从嫌疑人的建议实施操作，因为嫌疑人提供的操作方法有可能会导致证据损毁。 3 防止调查人员无意中破坏证据 如果电子设备（包括计算机、PDA 、移动电话、打印机、传真设备等）已经打开，不要立即关闭该电子设备。如果电子设备已经关闭，不要打开该电子设备。 计算机在长期不使用的情况下，显示器可能处在节电模式（黑屏状态）， 或者用户可能临时关闭显示器，而计算机确正在运行之中。在现场勘查时要观察显示器电源是否打开，如果没有打开，打开显示器电源。如果屏幕处在黑屏状态，移动鼠标或者单击“Ctrl” 键以查看计算机是否处在运行状态。 如果计算机上应用程序正在运行，一般情况下暂时不要关闭。但禁止重新运行计算机上原有的任何应用程序。 如果打印机正在执行打印任务，不要停止该打印任务，让打印机将打印任务执行完毕。 如果嫌疑人正在编辑电子文档，不要直接保存该电子文档，必须将该电子文档另存到勘查人员自带的存储媒介。 如果发现非接触式智能卡，要注意避免将该智能卡放置在智能卡读写器临近。 如果发现调查人员无法识别的设备，要与相关的专家联系提供技术支持。如果未能获得专家支持，可以直接关闭电源，但不得尝试对该设备进行任何操作。 如果案件中需要提取指纹、DNA 等线索（比如嫌疑人刚离开作案现场）时，注意不要接触任何设备。如果现场情况紧急，而且数字化设备中存储的数据可能受到严重破坏，要优先提取数字化证据。 4 防止正在运行的系统破坏证据 如果操作系统正在实施整理硬盘、格式化硬盘、批量拷贝信息、批量下载信息、杀毒等可能大量访问存储媒介的操作，要立即终止这些操作。 如果数码摄像机正在摄像，要停止该数码摄像机，因为当前拍摄内容会覆盖以前存留的信息。 如果数码录音设备正在录音，要停止该录音设备，因为当前录音内容会覆盖以前存留的信息。 二：搜查证物 搜查证物的目的是发现所有可能与案件相关的证据和设备。在搜查证据时应依照以下原则： 1：检查与目标计算机互联的系统 现场勘查时要注意查看网络、电缆、电源等线路的连接走向，查看是否有通过这些线路连接到其它地理位置（比如房屋中隐蔽的角落或者隔壁的房屋）。 现场勘查时要注意查看是否有无线局域网或其它无线网络连接方式，如果有则必须了解这些无线连接方式可能覆盖的范围以及可能通过无线网络接入该目标网络的主机情况和人员情况。必要情况下要搜查可能通过无线局域网络接入到该目标网络的主机。 现场勘查时要注意检查系统是否通过调制解调器提供拨入服务，如果是则必须向嫌疑人了解该拨入服务器向那些客户提供拨入服务，拨入到该系统的电话号码是什么。 2：搜查数字化证据存储设备 由于存储设备体积可能很小，嫌疑人身上（比如衣服中）可能携带有重要的存储设备（比如存储卡等），在控制现场时要优先搜查嫌疑人身上携带的设备，防止嫌疑人破坏这些证据。 搜查所有可能存储有数字化证据的设备，一般包括（不限于）计算机、PDA 、移动存储媒介（包括优盘、活动硬盘、ZIP 盘、软盘、光盘、存储卡，如SD 卡、CF 卡、记忆棒等）、移动电话、备份磁带、数码相机、数码摄像机、数码录音笔、智能卡、磁卡等。 3：外部设备的搜查 如果发现现场存在特殊的存储媒介（如特殊的存储卡）要注意搜查该存储媒介的读写设备。如果发现存储媒介的读写设备（比如存储卡或智能卡读写器、数字录音设备等），要注意搜查与该读写设备相关的存储设备。 如果存在针打打印机，并且嫌疑人的犯罪行为与打印信息有关（比如制作有害信息宣传品），要注意搜查打印机使用的色带（包括废弃的色带和当前使用的色带），色带上可能存留有最近打印的信息。 如果发现现场存在调查人员无法识别的设备，要搜查与该设备相关的说明书、软件、配套硬件（如电源等）和配套光盘。 如果发现计算机上运行专用的软件，要搜查与该软件相关的说明书、软件狗、配套光盘、配套硬件等外部设备。 4：其它证据的搜查 调查中要注意搜查嫌疑人使用的笔记本、纸张等记录信息，嫌疑人可能会将帐号、口令、联系人信息等与案件相关的信息记录在这些地方。 现场勘查时要向系统管理人员咨询各个存储媒介是否有相应的备份系统。要向系统管理人员咨询在案发时到调查人员到达现场过程中是否更新过系统中的硬件（比如更换硬盘），要注意追查原有硬件设备的去向。 三：固定易丢失证据 易丢失证据是指在关闭电源之后或者在运输过程中可能丢失的信息。固定易丢失证据应依照以下原则： 1：需要固定易丢失证据的情形 如果到达现场时犯罪行为正在发生（比如系统正在对外实施攻击、群发垃圾邮件，或者犯罪嫌疑人正在使用该计算机），或者从案件发生到调查人员到达现场期间系统未曾重新启动（比如嫌疑人刚刚离开网吧，系统尚未重新启动），则应当提取易丢失证据。提取的内容一般包括时间信息、屏幕上显示的内容、系统运行状态等。 如果从案发时间到调查人员抵达案发现场期间，犯罪行为（包括嫌疑人实施的行为以及嫌疑人安装的软硬件系统实施的行为）已经停止并且系统曾经重新启动，则只需提取时间信息，无需提取其它易丢失证据。 2：时间信息的提取 调查人员必须意识到设备的关闭或者搬运过程中，都可能导致系统时间丢失（比如CMOS 电池掉电），而系统时间对于证据分析具有非常重要的意义。 在任何情况下，对于任何有内置时钟的设备，都必须记录该设备当前时间、该时间与北京时间的时差以及时区设置。 3：屏幕上显示信息的提取 必须使用光学照相机拍摄计算机以及PDA 屏幕上显示的内容，同时记录拍摄的时间。拍摄的照片必须能够清晰显示重要的证据信息。比如攻击程序正在攻击的目标、群发垃圾邮件软件正在发送的目标、用户正在浏览的页面以及该页面上显示的帐号信息、用户正在使用的聊天软件上显示的帐号等。拍摄的照片须全面反映当前系统中应用程序的运行状态。如果系统上同时运行多个程序（比如打开多个窗口），必须拍摄每个应用程序在屏幕上显示的信息。如果应用程序的当前配置信息在关闭计算机后会丢失，则应该打开相应的配置页，拍摄该配置页中显示的配置信息。 4：系统运行状态的提取 系统状态信息的重要性：调查人员必须意识到应用程序当前内存中可能保留有重要的证据。比如IE 的内存中可能保存有用户刚访问过的页面、帐号和口令。即时通信软件的内存中可能保存有用户使用的帐号、刚刚聊天的内容。打印程序中可能包含有用户刚打印的信息等。而在关闭计算机后，这些信息将会丢失，因此调查人员必须根据案件情况谨慎地评估提取这些信息的必要性。 传统案件中系统状态信息的提取：对于传统案件，一般需要提取的计算机系统状态信息包括： 1、系统当前运行的进程 2、每个进程当前打开的文件 3、每个进程内存中的内容 4、当前网络连接状态 计算机系统入侵案件中系统状态信息的提取： 对于计算机系统入侵或破坏案的攻击方和被攻击方来说，一般需要提取的系统状态信息（不限于）包括： 5、当前运行的进程 6、每个进程当前打开的文件 7、每个进程内存中的内容 8、每个进程提供的网络服务端口 9、每个进程所依赖的模块列表 10、当前网络连接状态和网卡当前运行模式（是否存在侦听） 11、当前网络共享列表 12、MAC 地址 13、ARP 缓存表 14、 当前登录用户以及登录的时间 对于UNIX/LINUX 系统，还需要提取当前登录用户正在执行的命令、以前执行的命令列表。 其它电子设备中易丢失证据的提取：调查人员必须意识到对于绝大多数电子设备来说，在切断电源时会丢失一些信息，必须根据具体情况分析该电子设备中是否包含易丢失证据以及是否需要提取这些证据。比如对于传真机来说，在未关闭电源之前必须提取该传真机最近发送的目标电话号码，在关闭传真机之后该电话号码就无法提取。 不得使用目标系统上的程序实施提取：在调查系统入侵案件时，调查人员必须意思到目标系统上的程序有可能被攻击者替换（比如安装rootkit）， 因此并不能准确提取所需信息，因此调查人员必须使用自带的软件实施提取。 不得使用消耗大量资源的软件实施提取：一般情况下，在提取系统状态信息时，不得使用需要消耗大量资源（内存、磁盘空间）的软件实施提取，因为这些软件可能会对系统上的证据造成破坏。一般情况下不要使用图形界面的软件，而要使用命令行界面的软件。 不得将提取的信息存储在目标系统原有的存储媒介中：提取得到的信息必须存储到调查人员自带的存储媒介中，以避免对原有的存储媒介造成破坏。 保护易丢失信息的完整性和真实性：在提取这些信息过程中，必须有见证人或嫌疑人在场，并且详细记录提取过程（记录执行的命令或者使用摄像机记录提取过程）和提取的时间。对于提取得到的信息必须使用哈希算法（MD5 或SHA1） 计算得到的信息的哈希值，打印这些哈希值并由见证人或嫌疑人签名。 四：现场在线勘查 现场在线勘查是指在现场不关闭计算机的情况下搜查计算机中的内容。在实施现场在线勘查时必须依照以下原则： 1：适用范围 调查人员必须意识到现场在线勘查可能对存储媒介上的证据造成破坏。一般情况下，不得在未关闭计算机的情况下直接分析计算机上的内容，必须直接切断计算机电源，将有关证据提交给专门的技术人员实施离线分析（克隆存储媒介后在数据备份上进行分析）。 如果案件情况紧急（比如需要立即从计算机中获得重要的案件线索）或者无法关闭系统（比如关闭系统将可能造成重大损失）则允许在现场直接查看计算机中的内容。 2：基本原则 必须全程记录现场在线调查的过程，完整记录操作人员执行过那些操作，并由见证人对该操作记录签字认可。 必须将现场在线勘查的时间的影响范围控制在最低限度。 不得使用对存储媒介上的信息造成严重破坏的软件实施勘查。不得在目标系统上安装任何新的软件，如果需要运行调查人员自带的软件，必须从光盘或者软盘直接启动该软件。 3：部分信息的提取 如果在现场在线勘查过程中，调查人员认为不需要提取整个系统信息，只需要提取系统中部分文件信息。那么可将这些文件信息拷贝到调查人员自带的存储媒介上，对这些文件使用哈希算法（MD5 或SHA1 ）计算得到哈希值，打印这些哈希值并由见证人或嫌疑人签名。 五：提取证物 提取证物的目的是提取出由调查人员带回的证物。提取证物时必须依照以下原则： 1：关闭电源 在提取易丢失证据或现场在线勘查之后，必须立即关闭电子设备的电源。 一般情况下不得采用常规的流程关闭计算机。对于台式机必须直接拔除台式机背后的电源插头切断电源，对于笔记本电脑，持续按下电源开关近10 秒左右即可关闭电源。 对于小型机以及Linux/Unix 系统，非紧急情况下不要草率关机，必须与相关的专家和系统管理人员咨询后确定关机的方法。 2：记录现场设备连接状态 为每个设备编号，记录设备的基本类型、型号、使用的操作系统。 对设备、电缆、网线等设备的连接处进行拍照并绘制连接拓扑图，获得的照片和拓扑图必须能够保证重新完整的复原设备的连接状态，并且能够从多个角度反映该设备在现场所处位置。 在拆卸设备时，为每一对连接点处分别粘贴标签，并标以相同的序号，保证以后可以根据这些标签完整复原设备的连接状态。 3：存储媒介的克隆 一般情况下要提取嫌疑人使用的主机上的存储媒介。如果由于特定的原因没法带走用户的存储设备，必须采用按比特克隆的软件或专用的克隆设备对存储媒介进行按比特克隆。对于每个存储媒介必须克隆两个备份。 必须使用哈希算法计算所克隆的存储媒介的哈希值，打印该哈希值，记录克隆的时间、存储媒介的型号，并由见证人或嫌疑人签字认可。 4：提取外部设备 在提取笔记本电脑时，必须同时提取与该笔记本配套的电源、外接软驱、光驱以及PCMCIA 卡。如果笔记本电脑上没有软驱、光驱或网卡接口，要向该设备的使用者咨询这些外部设备的去向。 在提取PDA 和移动电话时，必须同时提取与其配套的电源、充电器、与计算机的连接设备、配套的光盘。必须留意其当前使用的电池的电量，如果电量过低，应当给予充电或更换电池。 在提取磁盘阵列时，必须同时提取与该磁盘阵列相关的驱动卡和电缆，并记录该磁盘阵列与主机的连接关系。同时还必须提取与该磁盘阵列相关的软件光盘、操作手册、产品说明等资料。 在提取可移动存储设备时，如果调查人员自己并没有该存储设备的读写器，在必要情况下要注意提取相应的读写器。发现有老式的存储设备（比如5 寸软盘）则必须提取该存储设备的读写器。如果有备份磁带，则必须提取磁带读写机。如果有智能卡，则必须提取智能卡的读写器以及与该读写器相连的计算机设备。 如果需要提取的设备是调查人员无法识别的设备，必须一并提取与该设备互连的其它设备（比如电源以及与该设备互连的计算机）。必须搜查或向用户咨询是否有与该设备相关的光盘、配套设备和技术资料，如果有则一并提取。 5：证物的存储和运输 计算机证物应存储在正常室温的环境下，避免遭受湿气、磁力、灰尘、烟雾、水及油的影响。对于存储媒介，必须在该存储媒介温度降低到室温度后，使用防静电、防水的包装介质封装，并贴上封条或胶带进行密封。贴上标签并注明获取的时间、人员姓名以及设备的型号。必须保证存储和运输过程中这些存储设备远离其它磁性介质。对于软盘、磁带、光盘等存储介质必须封装在坚固的存储箱中，避免这些存储介质被弯曲或折断。 在运输过程中必须防止对电子设备造成撞击或因过度振荡而损毁.