电子数据取证与数据质量控制.docx

《电子数据取证与数据质量控制.docx》由会员分享，可在线阅读，更多相关《电子数据取证与数据质量控制.docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子数据取证与数据质量控制手机，尤其是智能手机，已经成为人们日常生活中不可或缺的一部分。而在法庭科学领域, 由于手机中往往包含很多重要的信息，世界各地的执法机构已经越来越意识到手机取证的 重要性以及它如何影响调查结果。一、手机电子数据证据的检查电子数据取证是法庭科学的一个分支，专注于恢复和调查驻留在电子或数字设备中的原始 数据。随着新功能和应用程序被整合到移动电话中，存储在设备上的信息量不断增长。移 动电话成为便携式数据载体,它们可以跟踪用户的所有活动信息。随着移动电话在人们的 日常生活和犯罪活动中越来越普遍,从手机获取的数据成为与刑事，民事案件有关的宝贵证 据来源,如移动设备通话记录和GPS

2、数据用于帮助调查2010年在纽约时代广场发生的爆炸 事件。当前,在电子数据取证调查中，基本都会包含移动设备的取证。手机取证是电子数据取证的 一个分支,其主要目标是恢复和调查手机中的数据。电子数据取证要符合规范和流程,因此 在取证过程中要限定和证明使用特定的取证技术或方法。对电子数据证据进行合理的法证 检查的主要原则是不得修改原始证据。这对移动设备来说非常困难。一些取证工具需要与 移动设备通信，因此标准写保护在取证期间不起作用。其他一些方法有时需要在提取数据 之前移除芯片或在手机上安装引导加载程序。如果在不更改设备配置的情况下无法进行检 查或数据采集,则额外采用的方法的过程和更改等动作必须进行测

3、试,验证和记录。遵循适 当的方法和指南对检查移动设备至关重要，因为它可以产生最有价值的数据。与任何证据 收集一样，在检查过程中不遵循正确的程序可能导致证据丢失或损坏或使其不再被法庭接 受。手机取证过程分为三大步骤:扣押设备,数据获取,数据检查/分析。取证人员在扣押移动设 备作为证据来源时会面临一些挑战。在犯罪现场,如果发现移动设备已关闭,检查人员应将 设备放在法拉第袋(faraday bag)中，以防止设备自动开机时进行更改。这里，法拉第袋专 门设计用于将手机与网络隔离。如果手机被PIN或密码锁定或加密,取证人员就要设法绕 过锁定或确定访问设备的PINo移动电话是联网设备,可以通过不同的机制发

4、送和接收数据, 例如电信系统,Wi-Fi接入点和蓝牙。因此,如果电话处于运行状态,则犯罪分子可以通过执 行远程擦除命令安全地擦除存储在电话上的数据。如果手机是打开状态,应将其放入法拉 第袋中。如果可能,在将移动设备放入法拉第袋之前,通过启用飞行模式并禁用所有网络连 接(Wi-Fi,GPS,热点等)，将其与网络断开以保护证据。一旦移动设备被正确扣押，取证人员 可能需要若干取证工具来获取和分析存储在移动设备上的数据。手机取证给取证人员带来的挑战移动设备是动态系统,在提取和分析电子数据证据时会给取证人员带来很多挑战。来自不 同制造商的不同型号的手机的数量的快速增加使得难以开发用于检查所有类型的设备的

5、单 个工具、软件和方法。随着技术的进步和新技术的引入,移动设备不断发展。此外,每个移 动设备都设计有各种嵌入式操作系统。因此,取证人员需要特殊的知识和技能来获取和分 析设备。移动设备取证面临的最大挑战之一是其上的数据可以跨多个设备访问，存储和同步。由于 数据是易变的并且可以远程快速转换或删除，因此需要更多的努力来保存这些数据。手机 取证与传统计算机取证不同，给取证人员提出了独特的挑战。取证人员往往很难从移动设 备上获取电子数据证据,原因如下：1 .新型号手机的分类市场上充斥着来自不同制造商的不同型号的手机。取证人员可能会遇到不同类型的手机， 这些手机的大小,硬件,功能和操作系统都不同。此外，由

6、于产品开发周期较短,新型号手机 出现非常频繁。随着手机领域发展日新月异,取证人员必须适应手机技术的发展趋势，并在 手机取证技术方面保持最新状态。2 .操作系统多样。我国当前的系统基于web-中国与Windows多年来主导市场的个人电脑不同，移动设备广泛使用更多类型的操作系统,包括 Apple的i OS,谷歌的Android, RIM的黑莓操作系统,微软的Windows Mobile,惠普的web OS,诺基亚的Symbian操作系统等,不同的操作系统对取证工具、取证软件以及取证人员的 专业技术水平都有相应的要求。3 .）测试特征为数据和隐私现代移动设备平台包含许多内置安全功能,可以保护用户数据

7、和隐私。这些特征在手机取 证过程中会成为障碍。例如,某些手机设备具有从硬件层到软件层的默认加密机制。取证 人员可能需要突破这些加密机制以从设备中提取数据。4 .组合工具的使用市面上移动设备种类繁多，单个取证工具可能不支持所有设备或执行所有必需的功能，因此 需要使用组合工具。而且为特定手机选择合适的工具可能很困难,有时需要专门定制特殊 的工具、软件才能获取某些数据。5 .）可能在手机不发生即使移动设备看起来处于关闭状态,后台进程仍可能运行。例如,在大多数手机中，即使手 机关机，闹钟仍然有效。从一个状态突然转换到另一个状态可能导致数据丢失或修改。6 .反取样技术问题反取证技术如数据隐藏,数据混淆,

8、数据伪造和安全擦除，使得电子数据的调查更加困难。7 .证据的动态性质电子数据证据可能有意或无意地被轻易改变。例如，浏览手机上的应用程序可能会改变该 应用程序在设备上存储的数据。8 .意外中断手机提供重置所有配置的功能。取证时意外重置设备可能会导致数据丢失。9 .设备更改问题更改设备的可能方法可能包括移动应用程序数据，重命名文件以及修改制造商的操作系统。 在这种情况下,应考虑用户或者嫌疑人的专业知识。10 .返回密码如果设备受密码保护，则取证人员需要想办法访问设备而不会损坏设备上的数据。11 .蓝牙及红外通信移动设备通过蜂窝网络,Wi-Fi网络，蓝牙和红外线进行通信。由于设备通信可能会改变设 备

9、数据，因此在扣押设备后应消除设备继续通信的可能性。12 .病毒或特洛伊木马设备可能包含恶意软件或恶意程序，例如病毒或特洛伊木马。这样的恶意程序可能试图通 过有线接口或无线接口感染其他设备，因此取证时需格外小心。13 .手机证据的属性要求，应遵循以下基本原则移动设备可能涉及犯罪,可能跨越地理边界,为了解决这些涉及多地区管辖的问题,取证人 员应了解犯罪的性质和相关区域法律知识。手机证据属于证据的范畴,因此手机证据也必须具备证据的客观性、合法性、关联性这三 个基本属性。因此,在手机取证过程中，还需严格遵循取证合法原则，取证及时原则,取证备 份原则,环境安全原则,证据保管流转链原则。这些原则是取证工作的标准要求,能指导取 证工作各环节，使取证工作达到一定的程度,符合一定的标准。严格遵循上述原则可以使手 机证据从发现到取证完成，以及最后出具报告的整个过程中都能够保持其合法性和客观性， 获取的证据能够经得起法庭质证的严格考验。