一、电子数据司法鉴定书籍是什么意思?
电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施。也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。
二、电子数据司法鉴定的技术
1、证据保全技术。
在对单机或设备进行电子数据司法鉴定时,必须进行证据保全,尽可能使用克隆数据而不使用原始检材进行分析。克隆就是对原始检材进行位对位的复制,原始检材中的内容不会丢失、遗漏,也不会被修改,包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等。目前常用的方法是将单机与设备中的存储介质取下,使用克隆设备进行的克隆备份。
不便克隆的检材可先通过只读设备与之连接,然后计算Hash值。Hash译作“散列”或“哈希”,是把任意长度的输入,通过散列算法变换成固定长度的输出,该输出就是散列值,被广泛用于加密和解密技术上。任何一个存储单元,比如说一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体积多大,都有且只有一个独一无二的Hash值,并且如果这个文件被修改过,它的Hash值也将随之改变。因此,我们可以通过对比同一存储单元的Hash值,来校验这个存储单元是否被“篡改”过,即可以用来验证两个存储单元是否一致。[3]
2、数据恢复技术。
通过数据恢复技术,可以将被直接删除的数据及少量次数覆盖删除的数据,全部或部分还原出来。数据恢复技术并不能保证100%成功,其成功率与存储介质、存储原理、存储格式、是否覆盖以及覆盖次数密切相关。
3、加密解密技术和口令获取。
取证在很多情况下都面临如何将加密的数据进行解密的问题。目前的加密解密算法及工具很多,计算机取证中使用的密码破解技术和方法主要有:
①密码破解技术。包括口令字典、重点猜测、穷举破解等技术。其中口令字典一般是基于软件的,而且已经有了多种字典可供使用。
②口令搜索。包括物理搜索(在计算机四周搜查可能有口令的地方)、逻辑搜索(在文档或电子邮件中搜索明文的口令)和网络窃听(从网络中捕获明文口令)。
③口令提取。许多Windows的口令都以明文的形式存储在注册表或其他指定的地方,我们可以从注册表中提取口令。
④口令恢复。使用密钥恢复机制可以从高级管理员那里获得口令。
4、隐藏数据的再现技术。
信息隐藏技术是保密通信技术的一种,它把需要隐藏的内容嵌入图像、音视频或其他类型的文件中,进行传输和存储,电子数据司法鉴定时,就需要将这些被隐藏起来的证据信息还原出来。主要的技术有隐藏信息检测与算法还原,即分析检材中的相关信息中是否含有隐藏信息以及将这些隐藏信息通过各种还原算法还原出来。
5、信息搜索与过滤技术。
电子证据具有形式多样、载体丰富、位置隐蔽、结构复杂的特性,有重要价值的证据信息,往往分散和隐藏在浩瀚的无用数据之中,且相互之间又具有各种关联性,所以必须使用信息搜索、过滤和挖掘技术,快速定位电子证据。这方面的技术主要有数据搜索引擎技术、数据过滤技术、数据挖掘技术等。
6、逆向工程技术。
逆向工程技术用于分析目标主机上可疑程序的行为,从而获取证据。逆向工程通常采用常用的反汇编工具与软件调试工具。[3]
7、芯片数据提取技术。
电子证据可能存储在各种办公或个人电子设备中,如传真机、复印机、无线路由器、手机等。该类设备中的芯片(如笔记本中的BIOS数据芯片、无线路由器芯片、手机内存芯片)都可能存储涉案的电子证据。芯片可分为易丢失数据型和不易丢失型芯片,包括RAM、ROM、Flash等各种类型。芯片数据提取的手段较少,取证难度较大。通常可采用不同类型的芯片编程器来进行数据提取,然后再利用工具软件或手工对提取的数据进行解析或解码。
全文1.6千字,阅读预计需要6分钟
不想阅读,直接问律师,最快3分钟有答案