计算机案件取证模型和分析方法

‘壹’ 计算机取证的计算机取证的原则

计算机取证的主要原则有以下几点：
首先，尽早搜集证据，并保证其没有受到任何破坏；
其次，必须保证“证据连续性”（有时也被称为“chain of custody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；
最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。

‘贰’ 计算机取证的计算机取证方法说明

计算机调查取证方式在目前的调查取证中新兴的技术模式，其在目前实践环境下得到相关调查机构的不断重视；计算机取证的方法就是计算机取证过程中涉及的具体措施、具体程序、具体方法。计算机取证的方法非常多，而且在计算取证过程中通常又涉及到证据的分析，取证与分析两者很难完全孤立开来，所以对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证。一类是来源取证，一类是事实取证。 所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址，则寻找IP地址便是来源取证。这类取证中，主要有IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。
IP地址取证主要是利用在互联网中，每一台联网的计算机，在某一时刻都有唯一的全局IP地址。根据在案发现场找到的IP地址信息，进一步确定犯罪嫌疑人的机器，由犯罪人的机器再寻找案件相关人的方法。
MAC地址取证主要在一些局域网中或动态分配IP地址网络中，由于IP地址使用有一定的自由，如果哪一个IP地址由谁租用并不清楚时，可以根据物理地址与逻辑地址的关系，找到物理地址，而物理地址也是唯一的，且一般情况下，也比较难以更改。所以MAC地址与特定计算机设备中网卡存在一定的对应关系，可以用来确定来源。
电子邮件取证，指的是根据电子邮件头部信息找到发送电子邮件的机器，并根据已锁定的机器找到特定人的取证方法。
软件账号取证，指特定软件如果其某个账号与特定人存在一一对应关系时，可以用来证明案件的来源。 事实取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据，例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。
文件内容调查指的是在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。
使用痕迹调查包括windows运行的痕迹（包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查）、上网记录的调查（缓存、历史记录、自动完成记录、浏览器地址栏下拉网址，Cookies，index．dat文件等等）、Office，realplay和mediaplay的播放列表及其它应用软件使用历史记录。
软件功能分析主要针对特定软件和程序的性质和功能进行分析，常见是对恶意代码的分析，确定其破坏性、传染性等特征。此类取证方法通常在破坏计算机信息系统、入侵计算机信息系统、传播计算机病毒行为中经常使用。
软件相似性分析是指比较两软件，找出两者之间是否存在实质性相似的证据。此类取证方法主要在软件知识产权相关案件中使用。
日志文件分析，指通过系统日志、数据库日志、网络日志、应用程序日志等进行分析发现系统是否存在入侵行为或者其它访问行为的证据。
网络状态分析指的是取得特定时刻计算机联网状态。例如网络中哪些机器与本机相连，本机的网络配置、开启了哪些服务、哪些用户登录到本机等信息。
网络数据包分析指的是通过分析网络中传输的数据包发现相关证据的过程。网络数据包分析主要发生在实时取证中，是一种综合的取证方法。有时候网络数据包分析也称呼为“网络侦听”。在对网络犯罪实时侦查或“诱惑性”侦查时，往往采取网络侦听的方法发现犯罪嫌疑人的犯罪活动，掌握犯罪的线索，为抓获犯罪嫌疑人提供支持。
在常用的证据调查方法体系中，计算机取证作为一项新兴的调查取证方式，有着其极高的专业性和技术性，但一旦有所突破，亦能获得较为明显的证据线索，有效的促进案件的证据整理工作，作为专业的证据调查部，我们不断的总结，掌握熟练的计算机取证技术，更好的为客户提供优质的证据服务；

‘叁’ 举出一个网络环境下的计算机取证的案例，并分析取证的过程 急 急

起例说明假如你在通过qq诈骗了我，让我给你汇了10万元。取证过程如下（对于个人，这基本上=不可能完成的任务）1、先通过显示ip地址的qq得到你的ip（这有两种可能。一种是真的是你的ip。另一种是你可能使用了代理服务器）2、联系你ip所地地的相对应网络服务商，让他提供x年x月x日x点x分，这个ip的使用情况（也就是这个ip分配给谁了。一般网络服务商会保存最少半年以上，但作为你个人去查这东西，结果应该是没有人理你，不给你看）3、如果取得了第二步证据后就可以起诉或报案了（普通网络犯罪你啥证据都没有情况下，报案也是白报。）个人认为目前网络诈骗类的，如果你上当了，如果金额在3万以下，还是认倒霉吧。因为你会为这件事支付的金额远远大于你损失的金额，而且还有可能赢了官司要不到钱。

‘肆’ 计算机取证的流程

第一：案件受理
第二：取证准备
第三：处理现场
第四：收集和取证固定
第五：证据分析
第六：证据归档
第七：报告生成
第八：证据显示与质证

‘伍’ 计算机取证的什么是计算机取证

计算机取证（Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即： 获取、保存 分析 出示 提供的证据必须可信 ;
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。

‘陆’ 通常进行计算机系统犯罪取证的方法有哪几种

一、计算机犯罪的定义
我国公安部定义：计算机犯罪是以计算机为工具或以计算机资源位对象实施的犯罪行为。《中华人民共和国刑法》规定了四个罪名：一是非法入侵计算机信息系统罪;二是破坏计算机信息系统功能罪;三是破坏计算机信息系统数据、应用程序罪，四是制作、传播计算机病毒等破坏性程序罪。具体为《刑法》第285条和第286条。以上是典型性计算机犯罪，另外还有非典型计算机犯罪，即利用计算机进行的其他犯罪或准计算机犯罪，就是指既可以用信息科学技术实施也可以用其他方法实施的犯罪，在《刑法》第287条中举例并规定的利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪。
二、计算机犯罪的主要手段
计算机的犯罪手段随着计算机技术的发展不断推陈出新，技术含量越来越高，案件的侦破难度越来越大，计算机犯罪常用的手段如下：
1.意大利香肠术
这种计算机犯罪是采用不易被察觉的方法，使对方自动做出一连串的细小让步，最后达到犯罪的目的，这是典型的金融系统计算机犯罪。
2.盗窃身份
盗窃身份主要是指通过某种方法窃取用户身份，享用用户身份的权限，从而可以以授权用户的身份进入计算机操作系统，进行各种破话操作。破解用户密码是盗用用户身份的最常用方法。
3.活动天窗
所谓活动天窗就是指程序设计者为了对软件进行调试和维护，在设计程序时设置在计算机软件中的“后门”程序，通过“后门”黑客可以绕过程序提供的正常安全性检查而进入计算机软件系统，并且可能法制木马程序，达到其入侵的目的。
4.计算机病毒
计算机病毒的破坏能力是绝对不可小觑的，轻则导致应用程序无法正常使用，丢失尚未保存的临时数据，严重的可能导致系统瘫痪，并且丢失所有数据，甚至可以损坏计算机硬件。
5.数据欺骗
数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或者输入虚假数据，以这样的方法实现犯罪目的，这是一种相对简单的计算机犯罪手段。
三、计算机取证的定义和步骤
关于计算机取证的定义还没有权威组织给出确切的定义。着名的计算机专家Judd Robbins对计算机取证的定义是：“计算机取证不过是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定与获取”。计算机取证实际上就是对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术，即对计算机证据的保护、提取和归档的过程。
在司法鉴定的实施过程中的计算机取证的基本步骤如下：
1.案件受理
案件受理是调查机关了解案情、发现证据的重要途径，是调查活动的起点，是依法开展工作的前提和基础。受理案件时，要记录案情，全面的了解潜在的与案件事实相关的电子证据。
2.保护现场
首先要冻案件现场的计算机系统，保护目标计算机，及时地维持计算网络环境的状态，保护数码设备和计算机设备等作案工具中的线索痕迹，在操作过程中必须避免发生任何更改系统设置、硬件损坏、数据破坏或病毒感染的情况发生，避免电子证据遭到破坏或丢失。
3.收集证据
主要收集以下数据信息：计算机审核记录（包括使用者账号、IP地址、使用和起止时间等）、客户登录资料（包括申请账号时填写的姓名、电话、地址等基本资料）、犯罪事实资料（证明该犯罪事实存在的数据资料，包括文本文件、屏幕截屏、原始程序等）。
4.固定证据
固定证据可以保证电子证据的完整性和客观性。首先对电子证据的存储要选用适当的存储介质，并且要进行原始的镜像备份。因为电子证据的实质是电磁信号，如果消磁便无法挽回，所以电子证据在运输和保管的过程中不应靠近磁性物质，不可放置在有无线电接收设备的汽车内，不能放置在高温或低温的环境中，要放置在防潮、干燥的地方，非相关人员不得操作存放电子证据的设备。
5.分析证据
在进行数据分析之前要将数据资料备份以保证数据的完整性，要对硬盘、U盘、PDA内存、存储卡等存储介质进行镜像备份，必要时还要重新制作数据备份材料，分析电子证据时应该对备份资料进行非破坏性分析，使用数据恢复的方法将删除、修改、隐藏的电子证据尽可能的进行恢复，然后再在恢复的资料中分析查找证据。
6.证据归档
应当把电子证据的鉴定结果进行分类归档保存，以供法庭诉讼时使用，主要包括对电子证据的检查内容：涉及计算机犯罪的时间、硬盘的分区情况、操作系统和版本;取证时，数据信息和操作系统的完整性、计算机病毒评估情况、文件属性、电子证据的分析结果和评估报告等信息。
四、计算机取证的主要技术
如今犯罪分子所采用的技术手段越来越多样，相对的计算机取证技术也在不断的提升，也加入了很多的先进技术。
1.主机取证技术
研究计算机犯罪发生后主机取证的有关技术，如计算机硬盘高速拷贝技术，就是主要研究读写硬盘数据的相关协议、高速接口技术、数据容错技术、CRC-32签名校验技术等。文档碎片分析技术主要是研究根据已经获得的数据编写风格推断出作者的分析技术、根据文件的碎片推断出其格式的技术。数据恢复技术主要研究把遭到破坏的数据或由于硬件原因丢失的数据或因误操作丢失的数据还原成正常数据。
2.网络数据取证技术
主要是研究对网络信息数据流进行实时捕获，通过数据挖掘技术把隐藏在网络数据中的有用数据分析并剥离出来，从而有效定位攻击源。因为网络传输的数据包能被共享信道的所有主机接收，因此可以捕捉到整个局域网内的数据包，一般从链路层捕获数据，按照TCP/IP的结构进行分析数据。无线网络的数据分析和一般以太网一样，逐层进行剥离。另外网络追踪技术是指发现攻击者后如何对其进行定位，研究快速定位和跟踪技术。
3.主动取证技术
主动取证技术是当前取证技术研究的重点内容，如入侵取证系统可以对所监听网段的数据进行高效、完整的记录，记录被取证主机的系统日志，防止篡改，保证数据的原始性和不可更改性，达到对网络上发生的事件完全记录。入侵取证系统在网络中是透明的，它就像摄像机一样完整记录并提供有效的网络信息证据。
随着计算机及网络的不断发展，我们的工作生活都逐步趋向网络化、无纸化、数字化，在享受这些便利的同时，滋生了越来越多的计算机犯罪。计算机犯罪在我国已呈现逐年上升的势头，并且智力难度越来越大，令人欣慰的是国家法律法规正在逐步完善，计算机犯罪取证技术不断提高，从一定程度上遏制了计算机犯罪的发展。

‘柒’ 计算机取证的方式以及方法都有什么

您好，当您需要用到计算机取证时，您可按照您的实际需求选择微版权的网页取证、截图取证、录屏取证和录像取证。
网页取证：适合能直接通过计算机打开网页，需要取证的内容能在网页里完全展示，此方法最为简直，只需要提交一个网址链接即可完成取证。
截图取证：区别于网页取证，截图取证适用于取证内容在网页上有折叠而没有完全展示的情况，取证时可以通过打开折叠内容，进行完整取证。
录屏取证：适合直接录制通过计算机打开的网页视频等，通过录屏的形式，把需要取证的内容完整展现并录制下来。
录像取证：可以通过电脑摄像头进行录制，但此功能大多情况下适合于手机通过后置摄像头进行录制。
以上内容，希望对您有所帮助~