你好,欢迎来到司法鉴定服务网!

全国服务热线

400-088-9291
电子数据的复杂取证技术

时间:2018-03-09 15:58 来源:互联网

​复杂取证是指需要专业鉴定人员协助进行的电子证据的收集和固定活动,取证方式包括解密、恢复和测试。

复杂取证是指需要专业鉴定人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取,如被加密或是被人为删改、破坏的情况下,如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括:

1.解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请鉴定人员选用相应的解除密码口令软件。

2.恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理程序组成,一般是较难篡改的。因此,当发生计算机犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。可使用的工具包括效率源Data Compass数据指南针、Flash数据恢复大师、Data Copy King等。

3.测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试。

所有的分析都是在复制的硬盘上进行的,复制以及取证过程的每一步骤,取证系统都会进行 MD5 的校验,如果每次的校验值一致,那么就证明在取证过程中没有修改电子数据。