本文目录一览:
通常进行计算机系统犯罪取证的方法有哪几种
一、计算机犯罪的定义
我国公安部定义:计算机犯罪是以计算机为工具或以计算机资源位对象实施的犯罪行为。《中华人民共和国刑法》规定了四个罪名:一是非法入侵计算机信息系统罪;二是破坏计算机信息系统功能罪;三是破坏计算机信息系统数据、应用程序罪,四是制作、传播计算机病毒等破坏性程序罪。具体为《刑法》第285条和第286条。以上是典型性计算机犯罪,另外还有非典型计算机犯罪,即利用计算机进行的其他犯罪或准计算机犯罪,就是指既可以用信息科学技术实施也可以用其他方法实施的犯罪,在《刑法》第287条中举例并规定的利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪。
二、计算机犯罪的主要手段
计算机的犯罪手段随着计算机技术的发展不断推陈出新,技术含量越来越高,案件的侦破难度越来越大,计算机犯罪常用的手段如下:
1.意大利香肠术
这种计算机犯罪是采用不易被察觉的方法,使对方自动做出一连串的细小让步,最后达到犯罪的目的,这是典型的金融系统计算机犯罪。
2.盗窃身份
盗窃身份主要是指通过某种方法窃取用户身份,享用用户身份的权限,从而可以以授权用户的身份进入计算机操作系统,进行各种破话操作。破解用户密码是盗用用户身份的最常用方法。
3.活动天窗
所谓活动天窗就是指程序设计者为了对软件进行调试和维护,在设计程序时设置在计算机软件中的“后门”程序,通过“后门”黑客可以绕过程序提供的正常安全性检查而进入计算机软件系统,并且可能法制木马程序,达到其入侵的目的。
4.计算机病毒
计算机病毒的破坏能力是绝对不可小觑的,轻则导致应用程序无法正常使用,丢失尚未保存的临时数据,严重的可能导致系统瘫痪,并且丢失所有数据,甚至可以损坏计算机硬件。
5.数据欺骗
数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或者输入虚假数据,以这样的方法实现犯罪目的,这是一种相对简单的计算机犯罪手段。
三、计算机取证的定义和步骤
关于计算机取证的定义还没有权威组织给出确切的定义。著名的计算机专家Judd Robbins对计算机取证的定义是:“计算机取证不过是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定与获取”。计算机取证实际上就是对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术,即对计算机证据的保护、提取和归档的过程。
在司法鉴定的实施过程中的计算机取证的基本步骤如下:
1.案件受理
案件受理是调查机关了解案情、发现证据的重要途径,是调查活动的起点,是依法开展工作的前提和基础。受理案件时,要记录案情,全面的了解潜在的与案件事实相关的电子证据。
2.保护现场
首先要冻案件现场的计算机系统,保护目标计算机,及时地维持计算网络环境的状态,保护数码设备和计算机设备等作案工具中的线索痕迹,在操作过程中必须避免发生任何更改系统设置、硬件损坏、数据破坏或病毒感染的情况发生,避免电子证据遭到破坏或丢失。
3.收集证据
主要收集以下数据信息:计算机审核记录(包括使用者账号、IP地址、使用和起止时间等)、客户登录资料(包括申请账号时填写的姓名、电话、地址等基本资料)、犯罪事实资料(证明该犯罪事实存在的数据资料,包括文本文件、屏幕截屏、原始程序等)。
4.固定证据
固定证据可以保证电子证据的完整性和客观性。首先对电子证据的存储要选用适当的存储介质,并且要进行原始的镜像备份。因为电子证据的实质是电磁信号,如果消磁便无法挽回,所以电子证据在运输和保管的过程中不应靠近磁性物质,不可放置在有无线电接收设备的汽车内,不能放置在高温或低温的环境中,要放置在防潮、干燥的地方,非相关人员不得操作存放电子证据的设备。
5.分析证据
在进行数据分析之前要将数据资料备份以保证数据的完整性,要对硬盘、U盘、PDA内存、存储卡等存储介质进行镜像备份,必要时还要重新制作数据备份材料,分析电子证据时应该对备份资料进行非破坏性分析,使用数据恢复的方法将删除、修改、隐藏的电子证据尽可能的进行恢复,然后再在恢复的资料中分析查找证据。
6.证据归档
应当把电子证据的鉴定结果进行分类归档保存,以供法庭诉讼时使用,主要包括对电子证据的检查内容:涉及计算机犯罪的时间、硬盘的分区情况、操作系统和版本;取证时,数据信息和操作系统的完整性、计算机病毒评估情况、文件属性、电子证据的分析结果和评估报告等信息。
四、计算机取证的主要技术
如今犯罪分子所采用的技术手段越来越多样,相对的计算机取证技术也在不断的提升,也加入了很多的先进技术。
1.主机取证技术
研究计算机犯罪发生后主机取证的有关技术,如计算机硬盘高速拷贝技术,就是主要研究读写硬盘数据的相关协议、高速接口技术、数据容错技术、CRC-32签名校验技术等。文档碎片分析技术主要是研究根据已经获得的数据编写风格推断出作者的分析技术、根据文件的碎片推断出其格式的技术。数据恢复技术主要研究把遭到破坏的数据或由于硬件原因丢失的数据或因误操作丢失的数据还原成正常数据。
2.网络数据取证技术
主要是研究对网络信息数据流进行实时捕获,通过数据挖掘技术把隐藏在网络数据中的有用数据分析并剥离出来,从而有效定位攻击源。因为网络传输的数据包能被共享信道的所有主机接收,因此可以捕捉到整个局域网内的数据包,一般从链路层捕获数据,按照TCP/IP的结构进行分析数据。无线网络的数据分析和一般以太网一样,逐层进行剥离。另外网络追踪技术是指发现攻击者后如何对其进行定位,研究快速定位和跟踪技术。
3.主动取证技术
主动取证技术是当前取证技术研究的重点内容,如入侵取证系统可以对所监听网段的数据进行高效、完整的记录,记录被取证主机的系统日志,防止篡改,保证数据的原始性和不可更改性,达到对网络上发生的事件完全记录。入侵取证系统在网络中是透明的,它就像摄像机一样完整记录并提供有效的网络信息证据。
随着计算机及网络的不断发展,我们的工作生活都逐步趋向网络化、无纸化、数字化,在享受这些便利的同时,滋生了越来越多的计算机犯罪。计算机犯罪在我国已呈现逐年上升的势头,并且智力难度越来越大,令人欣慰的是国家法律法规正在逐步完善,计算机犯罪取证技术不断提高,从一定程度上遏制了计算机犯罪的发展。
网络安全警察是怎样查处黑客的,是通过查找其IP地址么
网络安全警察是通过查找其IP地址的。
网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
扩展资料:
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。
3.对系统中所有加密的文件进行解密 。
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
关于国内外的计算机犯罪的案例,以及它们的相关情况分析
1.2003年金融计算机网络犯罪典型案例-人民日报 (2003年12月8日)
[人民日报]
一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获———
2003年11月14日,甘肃省破获首例利用邮政储蓄专用网络,进行远程金融盗窃的案件。这起发生在定西一个乡镇的黑客案件,值得我们多方面关注。
他将犯罪的目光瞄准了邮政储蓄,利用网络窃取了83万余元,最终难逃法网……
10月5日13时12分,定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏,随即死机。营业员不知何故,急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障,向上级报告之后,没太放在心上。17日,电脑经过修复重新安装之后,工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现,5日13时发生了11笔交易、总计金额达83.5万元的异地账户系虚存(有交易记录但无实际现金)。当储蓄所几天之后进一步与开户行联系时,发现存款已经分别于6日、11日被人从兰州、西安两地取走37.81万元,他们意识到了问题的严重性,于10月28日向临洮县公安局报了案。
县公安局经过初步调查,基本认定这是一起数额巨大的金融盗窃案,随即向定西公安处汇报。公安处十分重视,立即制定了详细的侦查计划,组成专案组,全力侦查此案,并上报省公安厅。
面对特殊的侦破任务,专案组兵分两路,一方面在省、市邮政局业务领导和计算机专家的协助下,从技术的角度分析黑客作案的手段以及入侵的路径;另一方面,使用传统的刑侦方法,大范围调查取证。
专案组首先对有异常情况的8个活期账户进行了调查,发现都属假身份证储户。此时,技术分析的结果也出来了,经过大量网络数据资料的分析,发现作案人首先是以会宁邮政局的身份登录到了永登邮政局,然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查,发现该局系统维护人员张少强最近活动异常。暗查发现,其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认,张少强正是这起金融盗窃案的主谋。11月14日22时,张少强在其住所被专案组抓获。
经过审问,张少强交待了全部犯罪事实。10月5日,张少强在会宁利用笔记本电脑侵入邮政储蓄网络后,非法远程登录访问临洮太石邮政储蓄所的计算机,破译对方密码之后进入操作系统,以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计83.5万元的现金,并在退出系统前,删除了营业计算机的打印操作系统,造成机器故障。第二天,他在兰州10个储蓄网点提取现金5.5万元,并将30.5万元再次转存到他所开设的虚假账户上。10月11日,张少强乘车到西安,利用6张储蓄卡又提取现金1.8万元。
至此,这件远程金融盗窃案告破,83.5万元完璧归赵。
为什么一名普通的系统维护人员,竟然能够闯入邮政储蓄专用网络,从容地实施犯罪……
案子结束了,但它留给我们的思索没有结束。
从5日案发,到向公安机关报案,这中间有整整23天的时间,足以让一名有准备的罪犯逃之夭夭。在这段时间内,邮政储蓄专用网络依然处在门户大开状态,如果张少强再起贼心,很有可能损失会更大。
张少强今年29岁,毕业于邮电学院,案发前仅是会宁县邮政局的系统维护人员,谈不上精通电脑和计算机网络技术。而邮政储蓄网络的防范措施不可谓不严:邮政储蓄使用的是专用的网络,和互联网物理隔绝;网络使用了安全防火墙系统;从前台分机到主机,其中有数道密码保护。究竟是什么原因,能让张少强如此轻易得手。
分析整个案例,不难看出,是管理上存在的漏洞、工作人员安全意识的淡薄,才造成了如此严重的局面。案发前,张少强私搭电缆,从来没有人过问,更没有人阻止,让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面,临洮县太石镇的邮政储蓄网点竟然一直使用原始密码,不仅没有定期更改,也没有在工作人员之间互相保密,于是张少强很轻松地就突破了数道密码关,直接进入了操作系统,盗走了83.5万元。而且,当工作人员发现已经出了问题时,还认为是内部网络系统出了故障,根本没有想到会有网络犯罪的情况发生。
这件案子让我们警觉,使用网络的工作人员,甚至包括某些行业的专业人员在内,缺乏基本的网络安全防范意识,才让黑客有机可乘。
甘肃省今年已立案查处了51起网络犯罪案件。警方提醒:必须强化网络安全意识……
当前,网络的应用在社会生活中已显得举足轻重。与此同时,从1986年我国发现首例利用计算机犯罪案件以来,涉及计算机网络的犯罪逐年大幅度上升。
据甘肃省公安厅网监处的马电行处长介绍,甘肃省近年来网络犯罪的数量几乎是成倍增长,今年已经立案查处了51起相关案件,而且据他估计,还有相当数量的案件当事人并没有报案。
在这些网络犯罪案件中,很大一部分是因为使用者安全意识淡薄造成的。在张少强案结案之后,甘肃省公安厅网监处的叶弘副处长曾经感叹道:“我们处总共只有60多个网络警察,负责全省的网络安全工作,但是一多半的警力都浪费在抓一些简单的案子上面。”公众缺乏网络安全防范意识,重应用轻管理,尤其不重视网络安全问题。即使是某些涉及到民生的行业也是如此,制定的安全规章制度不执行,负责的管理人员保密意识不强,普通的工作人员又缺乏专门的安全防范知识,当犯罪发生时不能及时发现并制止。这些都造成了网络领域内犯罪现象的急剧增长。
网络安全专家把网络犯罪归纳为五性:隐蔽性、智能性、连续性、无国界性和巨大的危害性。张少强案也告诉我们,网络联结的广阔性一旦管理不善,可能就成了它的弱点,即使这种管理不善是在一个偏僻乡村的网点,它也可能成为黑客进入网络核心的一条捷径。
如果网络是无处不在的,那么,它的安全管理也应该是无处不在的。
世界上第一例有案可查的涉计算机犯罪案例于1958年发生于美国的硅谷,但是直到1966年才被发现。1中国第一例涉及计算机的犯罪(利用计算机贪污)发生于1986年,而被破获的第一例纯粹的计算机犯罪(该案为制造计算机病毒案)则是发生在1996年11月2。从首例计算机犯罪被发现至今,涉及计算机的犯罪无论从犯罪类型还是发案率来看都在逐年大幅度上升,方法和类型成倍增加,逐渐开始由以计算机为犯罪工具的犯罪向以计算机信息系统为犯罪对象的犯罪发展,并呈愈演愈烈之势,而后者无论是在犯罪的社会危害性还是犯罪后果的严重性等方面都远远大于前者。正如国外有的犯罪学家所言,“未来信息化社会犯罪的形式将主要是计算机犯罪,”同时,计算机犯罪“也将是未来国际恐怖活动的一种主要手段
其他相关文章:
;LogID=943
....................................................................
朋友就跟你找了这麼多啦,找得好辛苦呀,给分吧.
被黑客窃听怎么收集证据
这个的话,一般的时候既然是黑客确定了,除非你能直接找到这个人,否则很难收集的证据。
