理论研究
当前位置: 首 页>>科学研究>>理论研究>>正文
 
 
 
电子数据的可信固定研究
2013-12-12 09:30   审核人:

电子证据的固定是指采用流程化的、标准的、合法的手段,使用专业的设备和软件,在不修改原始介质数据的前提下,创建出一个原始介质的副本供后期工作使用。

根据固定时机的不同,电子证据固定分为静态固定法和动态固定法。静态固定一般是针对静态的相对稳定的数据进行的固定。一般说来,静态固定的工作相对简单,因为存储介质及电子数据已经处于静止状态,不存在外在破坏威胁因素,只要设备和方法得当,就可以很好地进行固定工作。

而动态固定,由于存在外在攻击及破坏性,电子证据的固定相对较难。对于动态固定,一般固定流程为:记录现场计算机的连接状态一固定易失数据——关闭当前计算机系统——取出硬盘介质——对硬盘介质进行写保护——使用专用设备进行硬蕊复制——数字签名并封存保护——固定结束。硬盘复制机固定法和“只读锁+软件”固定法是常用的2种电子证据固定方法。前者采用基于位对位复制原理的高速硬盘设备进行复制,并使用MD5算法进行一致性验证;后者是在原始硬盘的接口与所带的硬盘复制机接口不匹配或副本硬盘的容量比原始硬盘小等情况下使用的方法,例如,可通过Encase的获取功能,将硬盘介质的内容生成符合国际惯例的E01文件,并通过MD5算法进行一致性验证。

结合电子数据的固有特征和取证行为,将电子数据可信取证宏观分为2个方面:

1)可信的静态属性(电子数据本身的静态特征可信);

2)可信的动态行为(由电子数据转换为证据所需的过程或行为可信);

以此为基础,实现指定电子数据可信获取(发现、固定、提取)和可信展现(分析、表达)。

本项目所指的电子证据的固定,是指在电子证据可信发现(在不破坏电子证据静态属性前提下,采用一定的嗅探技术或匹配检索技术对电子证据进行发现的过程)的假设前提下,对电子证据进行固定备份,以备后续电子证据的可信提取和可信展现等过程。

关闭窗口
 
 联系我们 | 网站地图 | 返回首页 

电子数据取证湖北省协同创新中心  地址:湖北省武汉市古田三路特1号
ICP备案号:鄂ICP备05003313号