计算机犯罪及取征技术的研究
关键词:计算机犯罪 计算机取证 电子证据
Abstract:The rapid development of computer technology has changed the way of living,production and management.It also presents new guilty ways for the criminals.The new types of crimes by taking the computer information system as the object and tools are increasing.It’s getting more harmful. How to get the evidence of computer criminals is a new task forthe law and computer science area. Proof by computer, as a science of computer and law area. becomes a focus of attention.
KeyWords: Crime on Computer, Computer Evidence, Electronic Evidence
计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。
1 什么是计算机犯罪
在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。
利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关外围设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。
2 什么是计算机取证
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。
2.1物理证据的获取
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:
(1)不要改变原始记录;
(2)不要在作为证据的计算机上执行无关的操作;
(3)不要给犯罪者销毁证据的机会;
(4)详细记录所有的取证活动;
(5)妥善保存得到的物证。
若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。
2.2信息发现
取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。
值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾
Tags:
作者:佚名评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论