計算機案件取證模型和分析方法

『壹』 計算機取證的計算機取證的原則

計算機取證的主要原則有以下幾點：
首先，盡早搜集證據，並保證其沒有受到任何破壞；
其次，必須保證「證據連續性」（有時也被稱為「chain of custody」），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；
最後，整個檢查、取證過程必須是受到監督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。

『貳』 計算機取證的計算機取證方法說明

計算機調查取證方式在目前的調查取證中新興的技術模式，其在目前實踐環境下得到相關調查機構的不斷重視；計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程序、具體方法。計算機取證的方法非常多，而且在計算取證過程中通常又涉及到證據的分析，取證與分析兩者很難完全孤立開來，所以對計算機取證的分類十分復雜，往往難以按一定的標准進行合理分類。通常情況下根據取得的證據的用途不同進行分類，通常可以分為兩類不同性質的取證。一類是來源取證，一類是事實取證。 所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網路犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟體賬號取證等。
IP地址取證主要是利用在互聯網中，每一台聯網的計算機，在某一時刻都有唯一的全局IP地址。根據在案發現場找到的IP地址信息，進一步確定犯罪嫌疑人的機器，由犯罪人的機器再尋找案件相關人的方法。
MAC地址取證主要在一些區域網中或動態分配IP地址網路中，由於IP地址使用有一定的自由，如果哪一個IP地址由誰租用並不清楚時，可以根據物理地址與邏輯地址的關系，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計算機設備中網卡存在一定的對應關系，可以用來確定來源。
電子郵件取證，指的是根據電子郵件頭部信息找到發送電子郵件的機器，並根據已鎖定的機器找到特定人的取證方法。
軟體賬號取證，指特定軟體如果其某個賬號與特定人存在一一對應關系時，可以用來證明案件的來源。 事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟體功能分析、軟體相似性分析、日誌文件分析、網路狀態分析、網路數據包分析等。
文件內容調查指的是在存儲設備中取得文檔文件、圖片文件、音頻視頻文件、動畫文件、網頁、電子郵件內容等相關文件的內容。包括這些文件被刪除以後、文件系統被格式化後或者數據恢復以後的文件內容。
使用痕跡調查包括windows運行的痕跡（包括運行欄歷史記錄、搜索欄歷史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調查）、上網記錄的調查（緩存、歷史記錄、自動完成記錄、瀏覽器地址欄下拉網址，Cookies，index．dat文件等等）、Office，realplay和mediaplay的播放列表及其它應用軟體使用歷史記錄。
軟體功能分析主要針對特定軟體和程序的性質和功能進行分析，常見是對惡意代碼的分析，確定其破壞性、傳染性等特徵。此類取證方法通常在破壞計算機信息系統、入侵計算機信息系統、傳播計算機病毒行為中經常使用。
軟體相似性分析是指比較兩軟體，找出兩者之間是否存在實質性相似的證據。此類取證方法主要在軟體知識產權相關案件中使用。
日誌文件分析，指通過系統日誌、資料庫日誌、網路日誌、應用程序日誌等進行分析發現系統是否存在入侵行為或者其它訪問行為的證據。
網路狀態分析指的是取得特定時刻計算機聯網狀態。例如網路中哪些機器與本機相連，本機的網路配置、開啟了哪些服務、哪些用戶登錄到本機等信息。
網路數據包分析指的是通過分析網路中傳輸的數據包發現相關證據的過程。網路數據包分析主要發生在實時取證中，是一種綜合的取證方法。有時候網路數據包分析也稱呼為「網路偵聽」。在對網路犯罪實時偵查或「誘惑性」偵查時，往往採取網路偵聽的方法發現犯罪嫌疑人的犯罪活動，掌握犯罪的線索，為抓獲犯罪嫌疑人提供支持。
在常用的證據調查方法體系中，計算機取證作為一項新興的調查取證方式，有著其極高的專業性和技術性，但一旦有所突破，亦能獲得較為明顯的證據線索，有效的促進案件的證據整理工作，作為專業的證據調查部，我們不斷的總結，掌握熟練的計算機取證技術，更好的為客戶提供優質的證據服務；

『叄』 舉出一個網路環境下的計算機取證的案例，並分析取證的過程 急 急

起例說明假如你在通過qq詐騙了我，讓我給你匯了10萬元。取證過程如下（對於個人，這基本上=不可能完成的任務）1、先通過顯示ip地址的qq得到你的ip（這有兩種可能。一種是真的是你的ip。另一種是你可能使用了代理伺服器）2、聯系你ip所地地的相對應網路服務商，讓他提供x年x月x日x點x分，這個ip的使用情況（也就是這個ip分配給誰了。一般網路服務商會保存最少半年以上，但作為你個人去查這東西，結果應該是沒有人理你，不給你看）3、如果取得了第二步證據後就可以起訴或報案了（普通網路犯罪你啥證據都沒有情況下，報案也是白報。）個人認為目前網路詐騙類的，如果你上當了，如果金額在3萬以下，還是認倒霉吧。因為你會為這件事支付的金額遠遠大於你損失的金額，而且還有可能贏了官司要不到錢。

『肆』 計算機取證的流程

第一：案件受理
第二：取證准備
第三：處理現場
第四：收集和取證固定
第五：證據分析
第六：證據歸檔
第七：報告生成
第八：證據顯示與質證

『伍』 計算機取證的什麼是計算機取證

計算機取證（Computer Forensics、計算機取證技術、計算機鑒識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，並據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為「從計算機上提取證據」即： 獲取、保存 分析 出示 提供的證據必須可信 ;
計算機取證(Computer Forensics)在打擊計算機和網路犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的「痕跡」作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網路入侵、盜用知識產權和網路欺騙等。

『陸』 通常進行計算機系統犯罪取證的方法有哪幾種

一、計算機犯罪的定義
我國公安部定義：計算機犯罪是以計算機為工具或以計算機資源位對象實施的犯罪行為。《中華人民共和國刑法》規定了四個罪名：一是非法入侵計算機信息系統罪;二是破壞計算機信息系統功能罪;三是破壞計算機信息系統數據、應用程序罪，四是製作、傳播計算機病毒等破壞性程序罪。具體為《刑法》第285條和第286條。以上是典型性計算機犯罪，另外還有非典型計算機犯罪，即利用計算機進行的其他犯罪或准計算機犯罪，就是指既可以用信息科學技術實施也可以用其他方法實施的犯罪，在《刑法》第287條中舉例並規定的利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪。
二、計算機犯罪的主要手段
計算機的犯罪手段隨著計算機技術的發展不斷推陳出新，技術含量越來越高，案件的偵破難度越來越大，計算機犯罪常用的手段如下：
1.義大利香腸術
這種計算機犯罪是採用不易被察覺的方法，使對方自動做出一連串的細小讓步，最後達到犯罪的目的，這是典型的金融系統計算機犯罪。
2.盜竊身份
盜竊身份主要是指通過某種方法竊取用戶身份，享用用戶身份的許可權，從而可以以授權用戶的身份進入計算機操作系統，進行各種破話操作。破解用戶密碼是盜用用戶身份的最常用方法。
3.活動天窗
所謂活動天窗就是指程序設計者為了對軟體進行調試和維護，在設計程序時設置在計算機軟體中的「後門」程序，通過「後門」黑客可以繞過程序提供的正常安全性檢查而進入計算機軟體系統，並且可能法制木馬程序，達到其入侵的目的。
4.計算機病毒
計算機病毒的破壞能力是絕對不可小覷的，輕則導致應用程序無法正常使用，丟失尚未保存的臨時數據，嚴重的可能導致系統癱瘓，並且丟失所有數據，甚至可以損壞計算機硬體。
5.數據欺騙
數據欺騙是指非法篡改計算機輸入、處理和輸出過程中的數據或者輸入虛假數據，以這樣的方法實現犯罪目的，這是一種相對簡單的計算機犯罪手段。
三、計算機取證的定義和步驟
關於計算機取證的定義還沒有權威組織給出確切的定義。著名的計算機專家Judd Robbins對計算機取證的定義是：「計算機取證不過是將計算機調查和分析技術應用於潛在的、有法律效力的證據的確定與獲取」。計算機取證實際上就是對計算機犯罪的證據進行獲取、保存、分析和出示的法律規范和科學技術，即對計算機證據的保護、提取和歸檔的過程。
在司法鑒定的實施過程中的計算機取證的基本步驟如下：
1.案件受理
案件受理是調查機關了解案情、發現證據的重要途徑，是調查活動的起點，是依法開展工作的前提和基礎。受理案件時，要記錄案情，全面的了解潛在的與案件事實相關的電子證據。
2.保護現場
首先要凍案件現場的計算機系統，保護目標計算機，及時地維持計算網路環境的狀態，保護數碼設備和計算機設備等作案工具中的線索痕跡，在操作過程中必須避免發生任何更改系統設置、硬體損壞、數據破壞或病毒感染的情況發生，避免電子證據遭到破壞或丟失。
3.收集證據
主要收集以下數據信息：計算機審核記錄（包括使用者賬號、IP地址、使用和起止時間等）、客戶登錄資料（包括申請賬號時填寫的姓名、電話、地址等基本資料）、犯罪事實資料（證明該犯罪事實存在的數據資料，包括文本文件、屏幕截屏、原始程序等）。
4.固定證據
固定證據可以保證電子證據的完整性和客觀性。首先對電子證據的存儲要選用適當的存儲介質，並且要進行原始的鏡像備份。因為電子證據的實質是電磁信號，如果消磁便無法挽回，所以電子證據在運輸和保管的過程中不應靠近磁性物質，不可放置在有無線電接收設備的汽車內，不能放置在高溫或低溫的環境中，要放置在防潮、乾燥的地方，非相關人員不得操作存放電子證據的設備。
5.分析證據
在進行數據分析之前要將數據資料備份以保證數據的完整性，要對硬碟、U盤、PDA內存、存儲卡等存儲介質進行鏡像備份，必要時還要重新製作數據備份材料，分析電子證據時應該對備份資料進行非破壞性分析，使用數據恢復的方法將刪除、修改、隱藏的電子證據盡可能的進行恢復，然後再在恢復的資料中分析查找證據。
6.證據歸檔
應當把電子證據的鑒定結果進行分類歸檔保存，以供法庭訴訟時使用，主要包括對電子證據的檢查內容：涉及計算機犯罪的時間、硬碟的分區情況、操作系統和版本;取證時，數據信息和操作系統的完整性、計算機病毒評估情況、文件屬性、電子證據的分析結果和評估報告等信息。
四、計算機取證的主要技術
如今犯罪分子所採用的技術手段越來越多樣，相對的計算機取證技術也在不斷的提升，也加入了很多的先進技術。
1.主機取證技術
研究計算機犯罪發生後主機取證的有關技術，如計算機硬碟高速拷貝技術，就是主要研究讀寫硬碟數據的相關協議、高速介面技術、數據容錯技術、CRC-32簽名校驗技術等。文檔碎片分析技術主要是研究根據已經獲得的數據編寫風格推斷出作者的分析技術、根據文件的碎片推斷出其格式的技術。數據恢復技術主要研究把遭到破壞的數據或由於硬體原因丟失的數據或因誤操作丟失的數據還原成正常數據。
2.網路數據取證技術
主要是研究對網路信息數據流進行實時捕獲，通過數據挖掘技術把隱藏在網路數據中的有用數據分析並剝離出來，從而有效定位攻擊源。因為網路傳輸的數據包能被共享信道的所有主機接收，因此可以捕捉到整個區域網內的數據包，一般從鏈路層捕獲數據，按照TCP/IP的結構進行分析數據。無線網路的數據分析和一般乙太網一樣，逐層進行剝離。另外網路追蹤技術是指發現攻擊者後如何對其進行定位，研究快速定位和跟蹤技術。
3.主動取證技術
主動取證技術是當前取證技術研究的重點內容，如入侵取證系統可以對所監聽網段的數據進行高效、完整的記錄，記錄被取證主機的系統日誌，防止篡改，保證數據的原始性和不可更改性，達到對網路上發生的事件完全記錄。入侵取證系統在網路中是透明的，它就像攝像機一樣完整記錄並提供有效的網路信息證據。
隨著計算機及網路的不斷發展，我們的工作生活都逐步趨向網路化、無紙化、數字化，在享受這些便利的同時，滋生了越來越多的計算機犯罪。計算機犯罪在我國已呈現逐年上升的勢頭，並且智力難度越來越大，令人欣慰的是國家法律法規正在逐步完善，計算機犯罪取證技術不斷提高，從一定程度上遏制了計算機犯罪的發展。

『柒』 計算機取證的方式以及方法都有什麼

您好，當您需要用到計算機取證時，您可按照您的實際需求選擇微版權的網頁取證、截圖取證、錄屏取證和錄像取證。
網頁取證：適合能直接通過計算機打開網頁，需要取證的內容能在網頁里完全展示，此方法最為簡直，只需要提交一個網址鏈接即可完成取證。
截圖取證：區別於網頁取證，截圖取證適用於取證內容在網頁上有折疊而沒有完全展示的情況，取證時可以通過打開折疊內容，進行完整取證。
錄屏取證：適合直接錄制通過計算機打開的網頁視頻等，通過錄屏的形式，把需要取證的內容完整展現並錄制下來。
錄像取證：可以通過電腦攝像頭進行錄制，但此功能大多情況下適合於手機通過後置攝像頭進行錄制。
以上內容，希望對您有所幫助~