2014电子物证大纲 下载本文

Overview界面中点中CheckedItems按钮。MD5Hash和SHA1Hash表单下查看并比较检材和样本的哈希值。

如果是数据相同的两个文件,还可以通过点击Overview界面中点中DuplicateItems按钮后,在MD5Hash和SHA1Hash表单下查看并比较检材和样本的哈希值。

4.比较检材数据文件和样本数据文件的哈希值

若两个哈希值相同,则可以判断两个文件的数据相同。 若两个哈希值不同,则可以判断两个文件的数据不同。 三、检验结论

经对编号为“n”检材与编号为“m”样本使用xxxx软件工具进行技术检验后,两个数据文件中的数据不同。

经对编号为“n”检材与编号为“m”样本使用xxxx软件工具进行技术检验后,两个数据文件中的数据相同。

四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。 (二)在检验过程中避免计算机硬盘剧烈振荡。

(三)对送检的检材和样品要做好防水、防磁、防静电保护。

第五节 软件功能检验

本方法适用于对计算机软件功能的检验。 一、仪器设备 (一)硬件

存储器保全备份设备、电子物证检验工作站。 (二)软件

被检验的软件所需操作系统。 二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照

将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份

原则上应将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。

(四)软件功能检验

1.如果送检的检材是存储设备,将保全后的存储设备接到电子物证检验工作站中进行检验。

2.如果送检的检材是包括计算机的整个系统,将在送检的计算机中进行检验。 三、检验结论

经对检材进行技术检验后,功能如下:?? 四、注意事项 (一)在检验时,如果送检软件与计算机硬件无关,可以在电子物证检验工作站上运行。 (二)在检验时,如果送检软件与计算机硬件有关,必须在满足送检软件运行环境要求的硬件设备上运行。

(三)在检验过程中避免计算机硬盘剧烈振荡。

41

(四)对送检的检材和样品要做好防水、防磁、防静电保护。

第六节 软件一致性检验

本方法适用于对检材中软件和样本中软件一致性的检验。 一、仪器设备 (一)硬件

电子物证检验工作站。 (二)软件

被检验的软件所需操作系统。 二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照

将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份

原则上应将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。

(四)数据检验

1.对被识别的软件与原版软件直接进行内容对比或者目录、文件名对比。

2.安装过程对比。对两套软件同时或先后进行安装,不管其安装使用的文件是不是相同,只需看其安装过程中的屏幕显示,包括软件信息以及使用功能键的屏幕显示等是否相同。

3.安装成功后,要对其安装后的目录,以及各文件进行对比。文件对比是比较文件的表观现象,包括文件名、文件长度、文件建立(或修改)的时间等文件属性。

4.安装成功后,要进行使用过程对比。使用过程中涉及的加密、解密过程选项暂且不去管它,只是对使用过程中的屏幕显示、功能、功能键、使用方法等进行对比,特别是对于屏幕显示,要仔细对其显示内容和下拉、弹出菜单的方位、内容、选择项等进行对比。

5.源程序代码对比。 三、检验结论

经对检材和样本进行技术检验后,检材和样本目录、文件名、安装过程、安装后的目录及各文件、源程序(将相同的部分写上)相同。

经对检材和样本进行技术检验后,检材和样本不同。 四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。

(二)在检验过程中,搜索出的数据必须存储在专用的存储介质中。 (三)在检验过程中避免计算机硬盘剧烈振荡。

(四)对送检的检材和样品要做好防水、防磁、防静电保护。

第七节 数码相机照片的属性检验

本方法适用于储存在计算机中或数码相机中照片属性信息检验。数码照片属性信息包括数码相机的制造厂家、型号、分辨率、拍摄时间、光圈、曝光时间、图片格式等。

一、仪器设备 (一)硬件

42

电子物证检验工作站。 (二)软件

1.操作系统:Windows

2.工具软件:ExifReader、ExifShow、WindowsXP资源管理器 二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样本拍照

将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份

原则上应将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。

(四)将备份后的检材和样本拷贝到鉴定计算机中。

(五)使用ExifReader、ExifShow或WindowsXP资源管理器工具,查看存储设备中数码照片的属性信息,将查看的结果属性信息制作成文件。

(六)检出数据刻录

1.将检验出的数据刻录在“CD-R”或“DVD-R”、“DVD+R”空白光盘上,要采用封盘刻录。

2.对该光盘进行编号,编号格式为“sssssssss-v”,其中“sssssssss”代表收案号,“v”代表光盘序号。

3.贴上盘签。 三、检验结论

经对编号为“n”检材使用xxxx软件工具进行技术检验后,检出的数据文件刻录在编号为“sssssssss-v”光盘中。

四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。

(二)在检验过程中,搜索出的数据必须存储在专用的存储介质中。 (三)在检验过程中避免计算机硬盘剧烈振荡。

(四)对送检的检材和样品要做好防水、防磁、防静电保护。

第八节 手机电子数据的检验

近几年的公安办案实践中,越来越多的案件需要从手机中提取各种信息,手机电子数据检验也变得越来越重要,手机已经成为电子物证鉴定的新对象。但是,目前公安部还没有出台相关检验技术规范,这里仅提供给大家手机电子数据的一般检验方法。

一、手机电子数据检验基本知识 1.手机电子数据证据主要来源

手机电子数据的检验是对存在于手机机身内存、SIM卡和外接扩展存储器内的电子数据进行提取分析,整理出有价值的案件线索或能被法庭所接受的证据的过程。手机电子数据证据主要来自手机机身内存、SIM卡和外接扩展存储器。

此外,通信运营商网络也包含了有价值的潜在证据信息,主要包括通信运营商的CDR(CallDataRecord)数据库中的呼叫数据记录和用户数据库中的用户资料。

2.手机操作系统

手机操作系统一般只应用在高端智能化手机上。目前我们常见的应用在手机上的操作系统主要有Symbian、Android、iPhoneOS、WindowsMobile、Linux、BlackBerry、Palm OS等。

43

3.手机中存储信息的种类

手机中存储涉案信息的种类主要包括以下6种: ? 通讯录(电话簿); ? 短信; ? 通话记录; ? 日程安排;

? 系统信息(如日期、时间、制造商、产品序列号、密码等); ? 存储的各种文件:图片、视频、声音、Word、Excel等文件; ? 上网记录;

? 安装的软件所记录的各种信息。 二、检验所需仪器设备 (一)硬件

电子物证检验工作站、SIM卡读卡器、外接扩展存储卡读卡器、手机数据线。(此外,现在也有现场用的专用手机数据信息取证分析设备)。

(二)软件

1.操作系统:Windows

2.工具软件:Encase、FTK等电子物证综合检验分析软件,DeviceSeizure、卡e通、SIMManager等专用SIM卡读取软件,专用手机取证分析系统等

三、手机检材的提取

手机中包含的电子信息相比较其他计算机存储设备,更容易被改变、被破坏甚至灭失。在提取、送检、检验和保管的过程中,任何不恰当的操作都可能会改变或者丢失手机中的电子信息。

1.防止嫌疑人破坏手机信息

侦查人员在提取涉案手机检材时,要特别注意不要让任何嫌疑人员以任何理由接触到手机检材,以防止手机信息被有意或无意更改及破坏。

2.手机处于关闭状态时

如果手机在提取时处于关闭状态,原则上不要开启手机。 3.手机处于开机状态时

如果手机在提取时处于开启状态,首先要拍照并记录手机上存有的短信、通话记录、电话簿(通讯录)等涉案信息,然后及时关闭手机。

提取后及时关闭手机,一方面可以防止手机电池能量耗尽后丢失一些信息;另一方面,也可以防止新的短信或来电等通信信息进入手机对检材造成改变或破坏。例如,新通话使原手机通话记录发生了变化;新接受的短信在进入手机存储空间时,会覆盖原来被删除的信息,而被删除信息往往具有较高的侦查和证据价值。

在案件侦查有特殊要求的情况下,侦查员才可以让检材手机开启,以便及时监视手机通信情况。

4.提取手机检材其他相关信息和设备 侦查人员在提取涉案手机检材时,还要通过询问相关人员、服务商等方式来获取手机的PIN码或PUK码。

此外,还要提取手机的充电器、连接线等附属设备、使用说明书等,这些工作将会给下一步检验提供很有效的帮助。

四、手机电子信息的检验方法 (一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。

44