计算机取证与司法鉴定
全新正版 极速发货
¥ 30.62 6.2折 ¥ 49 全新
库存3件
广东广州
认证卖家担保交易快速发货售后保障
作者麦永浩 等 主编 著作
出版社清华大学出版社
ISBN9787302498391
出版时间2018-05
装帧平装
开本16开
定价49元
货号1201685835
上书时间2024-12-02
商品详情
- 品相描述:全新
- 商品描述
-
目录
目录第1章计算机取证与司法鉴定概论1.1概述1.1.1计算机取证与司法鉴定1.1.2计算机取证与司法鉴定的研究现状1.1.3相关研究成果与进展1.2计算机取证与司法鉴定的原则1.2.1计算机取证与司法鉴定的原则发展概况1.2.2计算机取证与司法鉴定的原则解析1.2.3计算机取证与司法鉴定过程模型1.3计算机取证与司法鉴定的实施1.3.1操作程序规则1.3.2计算机证据的显示与质证1.4计算机取证与司法鉴定的发展趋势1.4.1主机证据保全、恢复和分析技术1.4.2网络数据捕获与分析、网络追踪1.4.3主动取证技术1.4.4计算机证据法学研究1.5小结本章参考文献第2章计算机取证与司法鉴定的相关法学问题2.1计算机取证与司法鉴定基础2.1.1计算机取证与司法鉴定的法律基础2.1.2计算机取证与司法鉴定的技术基础2.1.3计算机取证与司法鉴定的特点2.1.4计算机取证与司法鉴定的相关事项2.2司法鉴定2.2.1司法鉴定简介2.2.2司法鉴定人2.2.3司法鉴定机构和法律制度2.2.4司法鉴定原则和方法2.2.5鉴定意见2.2.6司法鉴定的程序2.2.7实验室认可2.3信息网络安全的法律责任制度2.3.1刑事责任2.3.2行政责任2.3.3民事责任2.4小结本章参考文献第3章计算机取证与司法鉴定基础知识3.1仪器设备配置标准3.1.1背景3.1.2配置原则3.1.3配置标准及说明3.1.4结语3.2数据加密3.2.1密码学3.2.2传统加密算法3.2.3对称加密体系3.2.4公钥密码体系3.2.5散列函数3.3数据隐藏3.3.1信息隐藏原理3.3.2数据隐写术3.3.3数字水印3.4密码破解3.4.1密码破解原理3.4.2一般密码破解方法3.4.3分布式网络密码破解3.4.4密码破解的应用部分3.5入侵与追踪3.5.1入侵与攻击手段3.5.2追踪手段3.6检验、分析与推理3.6.1计算机取证与司法鉴定的准备3.6.2计算机证据的保全3.6.3计算机证据的分析3.6.4计算机证据的推理3.6.5证据跟踪3.6.6结果提交3.7电子数据鉴定的复杂度3.7.1电子数据鉴定项目3.7.2电子数据鉴定复杂度的衡量方法3.7.3项目复杂度分析3.7.4总结与展望3.8小结本章参考文献第4章Windows系统的取证与分析4.1Windows系统现场证据的获取4.1.1固定证据4.1.2深入获取证据4.2Windows系统中电子证据的获取4.2.1日志4.2.2文件和目录4.2.3注册表4.2.4进程列表4.2.5网络轨迹4.2.6系统服务4.2.7用户分析4.3证据获取/工具使用实例4.3.1EnCase4.3.2MD5校验值计算工具(MD5sums)4.3.3进程工具(pslist)4.3.4注册表工具(Autoruns)4.3.5网络查看工具(fport和netstat)4.3.6服务工具(psservice)4.4Windows Vista操作系统的取证与分析4.4.1引言4.4.2Windows Vista系统取证与分析4.4.3总结4.5小结本章参考文献第5章UNIX/Linux系统的取证与分析5.1UNIX/Linux操作系统概述5.1.1UNIX/Linux操作系统发展简史5.1.2UNIX/Linux系统组成5.2UNIX/Linux系统中电子证据的获取5.2.1UNIX/Linux现场证据的获取5.2.2屏幕信息的获取5.2.3内存及硬盘信息的获取5.2.4进程信息5.2.5网络连接5.3Linux系统中电子证据的分析5.3.1数据预处理5.3.2日志文件5.3.3其他信息源5.4UNIX/Linux取证与分析工具5.4.1The Coroners Toolkit5.4.2Sleuthkit5.4.3Autopsy5.4.4SMART for Linux5.5小结本章参考文献第6章网络取证6.1网络取证的定义和特点6.1.1网络取证的定义6.1.2网络取证的特点6.1.3专用网络取证6.2TCP/IP基础6.2.1OSI6.2.2TCP/IP协议6.2.3网络取证中层的重要性6.3网络取证数据源6.3.1防火墙和路由器6.3.2数据包嗅探器和协议分析器6.3.3入侵检测系统6.3.4远程访问6.3.5SEM软件6.3.6网络取证分析工具6.3.7其他来源6.4网络通信数据的收集6.4.1技术问题6.4.2法律方面6.5网络通信数据的检查与分析6.5.1辨认相关的事件6.5.2检查数据源6.5.3得出结论6.5.4攻击者的确认6.5.5对检查和分析的建议6.6网络取证与分析实例6.6.1发现攻击6.6.2初步分析6.6.3现场重建6.6.4取证分析6.7QQ取证6.7.1发展现状6.7.2技术路线6.7.3取证工具6.7.4技术基础6.7.5聊天记录提取6.7.6其他相关证据提取6.7.7QQ取证与分析案例6.7.8结束语6.8小结本章参考文献第7章木马的取证7.1木马简介7.1.1木马的定义7.1.2木马的特性7.1.3木马的种类7.1.4木马的发展现状7.2木马的基本结构和原理7.2.1木马的原理7.2.2木马的植入7.2.3木马的自启动7.2.4木马的隐藏和Rootkit7.2.5木马的感染现象7.2.6木马的检测7.3木马的取证与分析方法7.3.1取证的基本知识7.3.2识别木马7.3.3证据提取7.3.4证据分析7.4典型案例分析7.4.1PCshare7.4.2灰鸽子7.4.3广外男生7.4.4驱动级隐藏木马本章参考文献第8章手机取证8.1手机取证概述8.1.1手机取证的背景8.1.2手机取证的概念8.1.3手机取证的原则8.1.4手机取证的流程8.1.5手机取证的发展方向8.2手机取证基础知识8.2.1移动通信相关知识8.2.2SIM卡相关知识8.2.3手机相关知识8.3手机取证与分析工具8.3.1便携式手机取证箱8.3.2XRY系统8.4专业电子设备取证与分析8.4.1专业电子设备的电子证据8.4.2专业电子设备取证的一般方法及流程8.5伪基站电子数据司法鉴定8.5.1背景及研究现状8.5.2伪基站组成及工作原理8.5.3伪基站取证与司法鉴定8.5.4展望8.6小结本章参考文献第9章计算机取证与司法鉴定案例9.1“熊猫烧香”案件的司法鉴定9.1.1案件背景9.1.2熊猫烧香病毒介绍9.1.3熊猫烧香病毒网络破坏过程9.1.4鉴定要求9.1.5鉴定环境9.1.6检材克隆和MD5值校验9.1.7鉴定过程9.1.8鉴定结论9.1.9将附件刻录成光盘9.1.10审判9.1.11总结与展望9.2某软件侵权案件的司法鉴定9.2.1问题的提出9.2.2计算机软件系统结构的对比9.2.3模块文件结构、数目、类型、属性对比9.2.4数据库对比9.2.5运行界面对比9.2.6MD5校验对比9.2.7结论与总结9.3某少女被杀案的取证与分析9.3.1案情介绍9.3.2检材确认及初步分析9.3.3线索突破9.3.4总结与思考9.4某破坏网络安全管理系统案9.4.1基本案情及委托要求9.4.2鉴定过程9.4.3检测结果和鉴定意见9.4.4小结9.5某短信联盟诈骗案9.5.1基本案情9.5.2鉴定过程9.5.3检测结果和鉴定意见9.5.4小结9.6云南新东方86亿网络赌博案9.6.1基本案情及委托要求9.6.2鉴定过程9.6.3检测结果和鉴定意见9.6.4小结9.7某网络传销案9.7.1基本案情及委托要求9.7.2鉴定过程9.7.3检测结果和鉴定意见9.7.4小结
内容摘要
计算机取证与司法鉴定是法学和计算机科学的交叉学科,本书介绍了计算机取证与司法鉴定的靠前外研究概况和发展趋势,分析了计算机取证与司法鉴定的证据效力和法律地位,指出了计算机取证与司法鉴定的特点和业务类型,阐述了计算机取证与司法鉴定的原则和过程模型,论述了计算机取证与司法鉴定的实施过程,介绍了常用的几种计算机取证与司法鉴定设备和分析工具,讨论了Windows和UNIX/Linux系统的取证理论与方法,探讨了网络取证、QQ取证、木马取证、手机取证、伪基站取证和专业电子设备取证等特定取证类型的分析方法,很后给出了笔者所带领的团队完成的7个典型案例。本书在学术理论上具有交叉性、前沿性和创新性,在实践应用中注重可操作性和实用性。本书可作为计算机学院和法学院的本科生和研究生教材,对于法学理论研究者、司法和执法工作者、律师、司法鉴定人和IT行业人士,也具有良好的参考价值。
主编推荐
本书从技术层面上,介绍计算机取证技术和有效的工具,查找、收集、提取、固定、处理计算机和网络中存在的电子数据的标准和规范;从法学层面上,利用法学知识进行分析和推理了电子数据的法律性质、类型、效力及取证规则,以及用于法院作为立案和审判的依据。
精彩内容
3.1.1背景随着电子产品的广泛应用,电子证据在诉讼活动中的重要性日益显现。同时,随着国家司法鉴定制度改革的逐渐深入,计算机取证与司法鉴定标准化的相关工作正在逐步展开。2006年,司法部司法鉴定管理局下发了《司法鉴定机构仪器设备基本配置标准(暂行)》(以下简称《配置标准》);
2011年9月,司法部司法鉴定管理部门就《配置标准》的修订向社会广泛征求意见,并在征求意见稿中对原声像资料鉴定细分为录音资料鉴定、图像资料鉴定和电子数据鉴定三类,以国家意志的形式推动电子数据鉴定机构仪器设备配置的标准化和规范化发展。3.1.2配置原则从计算机取证与司法鉴定的流程和模型看,预检工作主要通过拍照、录像以及通电测试等手段,真实记录检材受理前的各种状态及电气特性;
检材接收主要包括在正式受理后对检材进行校验码(即Hash值)计算和在双方共同确认下封存Hash值;
检材克隆主要通过“位对位”克隆和Hash值比对等方式校验副本与原始检材的一致性;
数据分析主要通过多种形式、多种手段、多种层次粒度完成对数据信息的全面分析工作;
提取固定、鉴定结论和出庭质询主要是指在数据分析的基础上,提取并固定有价值的证据信息形成鉴定结论,并做好出庭接受质询的准备。而工作环境、证据链监督和仪器设备的评测准入是计算机取证与司法鉴定过程控制与质量管理的具体体现。设备的配置标准应依据鉴定的整个流程,充分涵盖技术、管理与法律层面相切合的特性,突出鉴定的过程控制和质量管理等基础特点,并能体现释疑重现的全程证据链监督,同时考虑强制引入国家的评测准入机制,确保标准制定的科学性、规范性和广泛适用性。3.1.3配置标准及说明1.
推荐仪器设备依据计算机取证与司法鉴定的相关步骤,现场勘验和检材预检环节推荐的仪器设备有照相机、摄像机;
检材克隆和证据固定环节推荐的仪器设备有只读接口、数据克隆工具和校验码计算工具,这是计算机取证与司法鉴定过程控制与质量管理的根本保证。通过只读、克隆和校验三大基础技术,保证了计算机取证与司法鉴定既能定性又能定量,且可以随时准确重现的显著特点;
证据发现和分析鉴定环节推荐的仪器设备有电子数据检验专用计算机和综合性电子数据恢复、搜索、分析软件,以确保可以深入地发现及提取证据信息,并进行分析形成完整的证据链;
同时,针对整个鉴定流程的质量管理推荐的仪器设备还有电子物证存储柜以及其他相关工具。以上归纳起来有八类推荐设备,分析说明如下。1)
照相机和摄像机照相或摄像是现场勘验取证以及鉴定机构与委托方进行检材交接时的必要环节,照相或摄像时主要关注检材的一些重要细节信息,包括检材外观、型号、接口类型、存储容量、S/N编码、是否封装或贴有封条、编号、写有文字等重要特征,是证明检材送检状态及完整性的重要依据。此外摄像也是必要时审核鉴定过程是否合法的一项重要手段,例如在缺乏现场见证人或进行在线取证时,检验操作者是否按鉴定标准规范进行操作。2)
只读接口只读接口设备通过数字只读技术保护检材内电子数据不被“污染”,从而保证检材数据自受理至鉴定完成整个过程的原始性和完整性。只读工具从实现形式上分为软件只读和硬件只读,软件只读依托操作系统的相关进程指令实现只读,硬件只读通过在鉴定计算机和存储设备间增加硬件设备,并屏蔽“写入”信号实现数据的只读操作。直接对检材进行勘验时,必须通过只读接口设备,以保证电子证据的原始性和完整性,规避鉴定人无意中对检材的更改、添加或删除等操作。由于检材接口类型的多样性,需要配备多种常用类型接口的只读接口工具,如IDE只读接口、SATA只读接口、SCSI只读接口、SAS只读接口等。在配置数量上,各类只读接口设备应至少配备3套,以保证磁盘阵列的常规鉴定需求,如RAID5型磁盘阵列至少由3块硬盘组成,重组时须保证3套只读接口。3)
数据克隆工具首先,“数据复制工具”与“数据克隆工具”是不同的。人们通常所说的复制是相对操作系统而言的,是对介质存储数据内容的简单复制,复制操作的很小单位是文件,而克隆是针对数据存储设备的每一个存储单位,是一种“位对位”的全盘镜像,两者操作涉及的粒度相差较大。例如,将硬盘A中数据内容C复制到空硬盘B中,此时硬盘A和B中内容都为C,但对B盘进行数据恢复操作后得到的数据很可能并不为C;
克隆操作不仅可以保证不管对硬盘A和B进行什么恢复操作得到的内容数据都为C,并且两块硬盘的校验码也相同。其次,克隆是为了在鉴定过程中不破坏和修改检材原有数据的完整性,通过硬盘复制机或克隆软件将原始检材中的内容克隆到目标检材中。由于这种克隆是位对位的克隆,原始检材中的内容会在目标检材中接近地反映出来,不会丢失、遗漏,也不会被修改,包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等,这样就可以只对克隆后的目标检材进行取证鉴定。再次,克隆是证据载体的可靠备份,是证据保全的重要环节。当证据受到质疑时人们可以通过克隆检材的方式重现鉴定过程,消除质疑。很后,在某些情况下对原始检材的检查、实验等操作存在诸多不可预见性,可能会影响电子证据的原始性。如某些检材无法从现场带走,或者需要就地将磁盘阵列中的数据重组转移到取证硬盘中,或者需要多人对同一检材同时进行鉴定,这时对检材进行数据克隆是很好必要的,不仅可以提高工作效率、有效避免对检材数据造成不可逆的破坏,还可以保证鉴定过程的有效控制。4)
校验码计算工具校验码比对是计算机取证与司法鉴定过程控制与质量管理的三大基础技术之一,既能够辅助克隆技术准确重现鉴定过程,又能够用于电子证据的保全等,它通过校验Hash值实现。以MD5和SHA1这两种常见的Hash算法为例,它们可以对任意类型的文件、硬盘分区或者整个硬盘进行校验,分别输出128位和160位的定长散列值,同一文件、硬盘分区或硬盘数据中哪怕一个标点符号的更改都会导致输出的Hash值不同,这就是校验码比对的意义。由于文件、硬盘分区或者整个硬盘的容量很大,但通过校验Hash值可以在案件进行的任何时候很好方便地验证文件、分区或整个磁盘的Hash值,来判定校验对象是否被修改。
校验码比对是证据链监督的一个重要检验手段,这是因为通过比对检材的校验码值,可以检验整个司法过程中各个环节是否对检材造成“污染”,确保了证据的原始性和一致性。虽然一些具备电子数据恢复、搜索和分析功能的综合性取证软件中通常集成有校验码计算功能,但在某些情况仅需要计算校验码时,配备专门小巧实用的校验码计算工具就显得高效且必要。也有意见认为综合性取证软件集成了校验码计算功能是否不应再单独列出,但是鉴于校验码计算工具的特殊意义和实际作用,笔者认为应该将其单列出来作为推荐工具之一。5)
电子数据检验专用计算机电子数据检验专用计算机就是指专门用于电子数据检验分析的计算机,一般应当配备两台,一台可以连接互联网进行普通的鉴定,另外一台不得与任何网络连接,专门鉴定保密数据。有些电子数据检验工作站,直接集成了只读锁、读卡器、克隆机、打印机等硬件设备,安装了各类检验分析软件和校验工具,也可以作为电子数据检验专用计算机。6)
综合性电子数据恢复、搜索、分析软件例如,像常见的EnCase、FTK、XWays、Winhex、DataCompass等综合性较强的电子数据恢复、搜索、分析软件,此类综合软件能很好地完成电子证据的显示、搜索、恢复、提取、校验、分析、镜像等多种功能,对于专业的计算机取证与司法鉴定机构至少应该配备1~2种。同时应该引起重视的是此类软件功能丰富且专业性很强,对鉴定结果有着至关重要的影响,对其进行评测准入来保证鉴定的合法性、准确性和公正性就显得尤为重要。7)
电子物证存储柜电子物证存储柜主要用于检材的安全存放,是体现鉴定机构程序管理与质量管理的重要环节,也是鉴定机构管理检材的推荐设备,应具备一定的防盗功能。8)
其他必要工具在计算机取证与司法鉴定工作中一些常见的小工具也是推荐的,因种类多而杂,这里归纳到一起,如各种接口的转接卡和转接桥(SATA转IDE、MicroSATA转SATA、SAS转SATA,等等)、各类存储卡读卡器(如SD卡、MMC卡、CF卡以及TF卡等常见存储介质的读卡器)、用于存储克隆数据的大容量硬盘(500GB以上)、各类数据线和电源线、螺丝刀和内螺起(拆笔记本用)、防静电袋和手套、光盘刻录机、标签纸和记号笔等。2.
选配仪器设备可选配设备种类繁多,功能各异,各计算机取证与司法鉴定机构可以根据自己的业务和自身经济实力灵活配置。选配设备可以按计算机取证与司法鉴定的类别层次划分为技术支撑设备、应用支撑设备和其他工具设备。同时,考虑到选配设备太多,以免配置标准目录过长,这里只将技术支撑设备和应用支撑设备列为选配设备,以作参考。技术支撑设备有密码破解系统、专业数据恢复工具、磁盘阵列重组设备、海量数据存储系统等。应用支撑设备有即时通信综合取证分析工具,病毒及恶意代码综合分析工具,电子文档与数据电文综合分析工具,数据比较工具,现场取证工具,在线取证工具,手机数据提取、恢复、分析工具,
MAC/Linux系统检验工具等。其他工具设备有数据销毁设备、存储介质修复工具、工业超净间、电焊台、磁力显微镜、录音笔、扫描仪、碎纸机、光盘销毁机、视频监控设备、交换机、路由器、硬件防火墙等。具体配置标准如表31所示。
— 没有更多了 —
以下为对购买帮助不大的评价