專利名稱:一種計算機犯罪證據固定和保全方法及實現該方法的裝置的制作方法
技術領域:
本發(fā)明涉及計算機犯罪證據固定和保全方法及實現該方法的裝置���,特別涉及由于使用計算機和網絡而引起的各種司法爭議和偵查計算機犯罪過程中的電子證據的獲取��、固定和保全的方法及實現該方法的裝置�����。
背景技術:
隨著信息技術的高速發(fā)展��,計算機與網絡成為社會��、政治����、經濟�����、文化生活的重要組成部分���,正在深刻地改變著人們的生活。與此同時�,對信息技術的依賴也給人類社會帶來了巨大的安全風險��,與計算機相關的各種司法爭議和計算機犯罪現象越來越多���,日益突出,并且有進一步擴大的趨勢�。充分可靠、有說服力的電子證據成為解決爭議和打擊計算機犯罪的重要手段���。因此���,計算機取證(Computer Forensic)作為計算機和法學的交叉學科——受到了越來越多的關注,甚至連續(xù)幾年成為FIRST(forum ofincident response and security teams)安全年會的熱點��。
計算機取證包括具有潛在法律效力的����,存在于計算機、相關外設和網絡中的電子證據的獲取����、保護、分析�����、鑒定、歸檔的全過程����。電子證據包括存在于靜態(tài)物理介質(磁介質,光介質���,磁光介質)上的數據信息���,如硬盤,光盤����,軟盤,磁帶����,閃存卡等存儲設備上的信息;正在運行中的計算機系統(tǒng)的動態(tài)數據信息如內存數據����,注冊表,臨時文件�,端口狀態(tài)����,進程信息等��,日志文件����;網絡運行的數據信息�,包括流經網絡的數據報文等。電子證據具有高科技性���,無形性�,多樣性����,客觀真實性,易破壞性��,復合性�,收集迅速,易保存等主要特征�。它是現代高科技發(fā)展的重要產物和先進成果,是現代科學技術的發(fā)展在訴訟證據上的體現��,技術含量高、易被偽造�、篡改和遭破壞。以特定的二進制編碼形式存在��,數據存儲于磁性介質中�����,隱蔽不可見���。同時它應該具有普通司法證據的客觀真實的特性�,并且與具體的犯罪行為相關聯�����,取證過程是合法的可認證的�。
計算機犯罪取證就是通過提供徹底、有效和安全的計算機信息技術��,確保計算機犯罪調查取證過程中的電子證據的真實可靠性���,關聯性��,完整性�����,可認證性��、高抗破損性和取證流程的合法性����。
計算機犯罪證據的固定和保全是計算機取證工作的第一步���,也是最重要的一個環(huán)節(jié)��,它是一切其他工作的基礎����。后續(xù)工作還包括電子證據的分析���,發(fā)現��,提取等����。目前國內外還沒有一套完整的計算機犯罪取證的方法���,這個領域屬于新生事物��。本發(fā)明可以解決此領域的部分問題�����。
發(fā)明內容
本發(fā)明的目的是提供一種計算機犯罪證據固定和保全的方法及實現該方法的裝置�。本發(fā)明的計算機犯罪證據固定和保全方法及實現該方法的裝置采用了身份認證、數字簽名�����、數據校驗等計算機安全技術�,保障了電子證據的合法性,關聯性���,可認證性���,完整性。
本發(fā)明的計算機犯罪證據固定和保全的方法包括啟動嫌疑設備的步驟修改嫌疑計算機的Bios設置�,使得計算機支持光盤優(yōu)先啟動,自動引導系統(tǒng)啟動嫌疑計算機�����;身份認證步驟,用于對電子證據的取證人員的身份進行認證����,完成對其合法資質的審核;記錄設備及操作信息步驟��,用于記錄取證人員的身份���,操作時間�,取證介質的信息等�,保證所獲取的電子證據與取證介質之間的關聯性��;數據鏡像和特征值計算的步驟�,用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算器特征值;交叉認證的步驟��,用于對證據固定結果和過程的合法性認同���,保證兩名以上的司法取證人員同時在現場進行工作���;打印操作信息并簽名的步驟,用于對電子證據的固定結果和過程信息進行最終確認����,完成電子簽名和紙質的簽名����。
由于本發(fā)明的計算機犯罪證據固定和保全的方法采用了光盤自啟動技術�����,允許取證人員在不拆卸硬盤的條件下�,對需要取證的磁盤介質進行完全的逐位鏡像,充分保證了取得的電子證據的可靠性���。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于��,在所述身份認證步驟中采用公鑰/私鑰對的方式對電子證據固定人員的身份進行認證�。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于�,在所述身份認證步驟中采用用戶密碼方式對電子證據固定人員的身份進行認證。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于�,在所述身份認證步驟中采用指紋識別方式對電子證據固定人員的身份進行認證。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于����,在所述數據鏡像和特征值計算的步驟中利用逐位鏡像技術對硬盤數據進行逐位鏡像。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于,在所述記錄設備及操作信息步驟中�,所述設備信息包括設備位置,設備名稱�,設備類型,設備容量���,總扇區(qū)數��,扇區(qū)大小����,柱面數����,磁頭數,磁道數�;所述操作信息包括取證人員名稱�,取證開始和結束時間,拷貝速度����,嫌疑設備的特征值。
本發(fā)明的計算機犯罪證據固定和保全裝置包括啟動嫌疑設備的裝置該裝置通過修改嫌疑計算機的Bios設置���,使得計算機支持光盤優(yōu)先啟動���,自動引導系統(tǒng)啟動嫌疑計算機�;身份認證裝置��,該裝置用于對電子證據的取證人員的身份進行認證�,完成對其合法資質的審核;設備及操作信息記錄裝置�����,該裝置用于記錄取證人員的身份�����,操作時間���,取證介質的信息等�,保證所獲取的電子證據與取證介質之間的關聯性�����;數據鏡像和特征值計算裝置����,該裝置用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算其特征值���;交叉認證的裝置,該裝置用于對證據固定結果和過程的合法性認同��;輸出裝置����,該裝置用于輸出電子證據的固定結果和過程信息,最終完成紙質簽名�。
本發(fā)明的計算機犯罪證據固定和保全裝置的特征還在于,所述身份認證裝置采用公鑰/私鑰對的方式對電子證據固定人員的身份進行認證����。
本發(fā)明的計算機犯罪證據固定和保全裝置的特征還在于,所述數據鏡像和特征值計算裝置利用逐位鏡像技術對硬盤數據進行逐位鏡像��。
本發(fā)明的計算機犯罪證據固定和保全的方法的特征還在于��,所述設備及操作信息記錄裝置���,將設備位置,設備名稱�,設備類型,設備容量,總扇區(qū)數���,扇區(qū)大小�����,柱面數�,磁頭數��,磁道數作為設備信息進行記錄�;將取證人員名稱,取證開始和結束時間�����,拷貝速度�����,嫌疑設備的特征值作為操作信息進行記錄�����。
由于本發(fā)明的計算機犯罪證據固定與保全方法和裝置采用身份認證��、數字簽名、數據校驗等計算機安全技術���,保障了電子證據的合法性��、關聯性��、可認證性��、完整性��。采用自啟動光盤技術���,保證在不啟動嫌疑設備的條件下,能夠完整的鏡像嫌疑機器中的硬盤設備���。本發(fā)明適用于計算機犯罪取證過程中的證據獲取��,具有良好的兼容性�、可擴展性和實用性��。
圖1是本發(fā)明的計算機犯罪證據固定與保全方法的流程圖����。
圖2是本發(fā)明的計算機犯罪證據固定與保全方法的一實施例的流程圖。
圖3是本發(fā)明的計算機犯罪證據固定和保全裝置結構圖����。
具體實施例方式
以下參照附圖對本發(fā)明的具體實施方式
進行詳細說明,圖1是本發(fā)明的計算機犯罪證據固定與保全方法的流程圖�����。
本發(fā)明的計算機犯罪證據固定和保全的方法包括啟動嫌疑設備的步驟S10修改嫌疑計算機的Bios設置����,使得計算機支持光盤優(yōu)先啟動,自動引導系統(tǒng)啟動嫌疑計算機����;身份認證步驟S20,通過讀取取證人員的私鑰�����,并用私鑰對一段數據進行加密�,然后用系統(tǒng)內置的取證人員的公鑰對內容進行解密,比對得到的兩組數據�����,如果兩組數據相同,則前進到步驟S30�,如果兩組數據不同,退出系統(tǒng)�,另外,也可以采用用戶密碼�����,指紋識別等方法來進行身份認證��;記錄設備及操作信息步驟S30����,記錄電子證據相關存儲設備的主要信息如,設備位置�,設備名稱,設備類型��,設備容量�,總扇區(qū)數,扇區(qū)大小���,柱面數�����,磁頭數����,磁道數���;以及證據固定過程中的信息如�����,取證人員名稱���,取證開始和結束時間,拷貝速度�,嫌疑設備的特征值;數據鏡像和特征值計算的步驟S40�����,利用逐位鏡像技術對硬盤數據進行逐位鏡像���,并計算數據的特征值�,也可以用SHA-1�,或者MDC-4等其他Hash方法獲取特征值����;交叉認證的步驟S50���,對記錄的操作信息�,過程信息��,設備信息進行交叉簽名認證��,即利用取證人員身份ID對記錄進行數字簽名��;打印操作信息并簽名的步驟S60����,將系統(tǒng)記錄的信息通過打印機打印出來,要求取證人員手動簽名���。
圖2是本發(fā)明的計算機犯罪證據固定與保全方法的一實施例的流程圖���。S110讀取取證人員身份ID和私鑰,從調用接口函數從外接設備中讀取相關信息�,如USB鑰匙,身份光碟等;S120對特定字符串X進行加密操作生成字符串Y���;S130根據身份ID從系統(tǒng)中獲取取證人員的公鑰���;S140利用公鑰對字符串Y進行解密,得到字符串X’��;S150判斷X是否與X’相等����,若相等���,則證明了取證人員的身份���,前進到步驟S160,如果不相等���,則退出程序�����;S160調用系統(tǒng)接口函數枚舉系統(tǒng)中的存儲設備��,主要是硬盤設備���;S170根據取證人員的選擇�,枚舉硬盤設備的相關信息���,作為標識����,主要包括a.設備位置用來標識設備在嫌疑設備中的硬件接口位置���、b.設備名稱設備廠商標識的設備稱號��、c.設備類型用來標識嫌疑設備的接口類型���,如IDE,SCSI�����、d.設備標號設備標識號碼��、e.設備容量用來標識設備總容量大小����、f.總扇區(qū)數用來標識總扇區(qū)的數目�、g.扇區(qū)大小單個扇區(qū)的容量大小�����、h.柱面數設備的總柱面數���、i.磁頭數設備的磁頭數���、j.磁道數設備的磁道數;調用函數接口對磁盤做逐位數據鏡像���;S180逐位鏡像硬盤數據;S190利用Md5對取證的數據計算特征值���,輸出為128位的字符串���;S200記錄整個過程的信息M,M包括a.取證人員1取證人員名稱��、b.取證人員2取證人員名稱���、c.開始時間取證開始時間�、d.結束時間取證工作結束時間、e.拷貝速度硬盤拷貝的拷貝速度��、f.設備特征信息嫌疑設備�、g.設備特征信息備份設備、h.數據校驗值對硬盤進行特征值計算的結果����;S210身份ID1私鑰加密M生成N;S220身份ID2私鑰加密N生成W���;S230保存M和W���;打印保存的信息并退出程序,取證人員簽字�。
本發(fā)明的計算機犯罪證據固定和保全裝置包括啟動嫌疑設備的裝置1該裝置通過修改嫌疑計算機的Bios設置,使得計算機支持光盤優(yōu)先啟動��,自動引導系統(tǒng)啟動嫌疑計算機�;身份認證裝置2,該裝置用于對電子證據的取證人員的身份進行認證����,完成對其合法資質的審核��;設備及操作信息記錄裝置3����,該裝置用于記錄取證人員的身份�����,操作時間�,取證介質的信息等,保證所獲取的電子證據與取證介質之間的關聯性��;數據鏡像和特征值計算裝置4��,該裝置用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算其特征值���;交叉認證的裝置5,該裝置用于對證據固定結果和過程的合法性認同����;輸出裝置6,該裝置用于輸出電子證據的固定結果和過程信息�����,最終完成紙質簽名。
由于本發(fā)明的計算機犯罪證據固定與保全方法和裝置采用身份認證����、數字簽名、數據校驗等計算機安全技術��,保障了電子證據的合法性���、關聯性����、可認證性���、完整性�。采用自啟動光盤技術���,保證在不啟動嫌疑設備的條件下����,能夠完整的鏡像嫌疑機器中的硬盤設備���。本發(fā)明適用于計算機犯罪取證過程中的證據獲取��,具有良好的兼容性����、可擴展性和實用性。
權利要求
1.一種計算機犯罪證據固定和保全的方法�����,其特征在于�����,包括啟動嫌疑設備的步驟修改嫌疑計算機的Bios設置���,使得計算機支持光盤優(yōu)先啟動����;身份認證步驟����,用于對電子證據的取證人員的身份進行認證���;記錄設備及操作信息步驟��,用于記錄取證人員的身份�,操作時間,取證介質等信息��;數據鏡像和特征值計算的步驟���,用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算器特征值���;交叉認證的步驟,用于對證據固定結果和過程的合法性進行認同����,保證兩名以上的司法取證人員同時在現場進行工作;打印操作信息并簽名的步驟���,用于對電子證據的固定結果和過程信息進行最終確認���,完成電子簽名和紙質的簽名。
2.如權利要求1所述的計算機犯罪證據固定和保全的方法��,其特征在于����,在所述身份認證步驟中采用公鑰/私鑰對的方式對電子證據固定人員的身份進行認證�。
3.如權利要求1所述的計算機犯罪證據固定和保全的方法��,其特征在于����,在所述身份認證步驟中采用用戶密碼方式對電子證據固定人員的身份進行認證。
4.如權利要求1所述的計算機犯罪證據固定和保全的方法�����,其特征在于���,在所述身份認證步驟中采用指紋識別方式對電子證據固定人員的身份進行認證���。
5.如權利要求1所述的計算機犯罪證據固定和保全的方法,其特征在于�����,在所述數據鏡像和特征值計算的步驟中利用逐位鏡像技術對硬盤數據進行逐位鏡像���。
6.如權利要求1所述的計算機犯罪證據固定和保全的方法�,其特征在于,在所述記錄設備及操作信息步驟中��,所述設備信息包括設備位置�����,設備名稱��,設備類型��,設備容量�����,總扇區(qū)數�,扇區(qū)大小���,柱面數���,磁頭數,磁道數�;所述操作信息包括取證人員名稱,取證開始和結束時間����,拷貝速度��,嫌疑設備的特征值�。
7.一種計算機犯罪證據固定和保全的裝置����,其特征在于,包括啟動嫌疑設備的裝置該裝置通過修改嫌疑計算機的Bios設置�����,使得計算機支持光盤優(yōu)先啟動��,自動引導系統(tǒng)啟動嫌疑計算機��;身份認證裝置��,該裝置用于對電子證據的取證人員的身份進行認證����,完成對其合法資質的審核;設備及操作信息記錄裝置��,該裝置用于記錄取證人員的身份����,操作時間�����,取證介質的信息等,保證所獲取的電子證據與取證介質之間的關聯性����;數據鏡像和特征值計算裝置,該裝置用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算其特征值����;交叉認證的裝置,該裝置用于對證據固定結果和過程的合法性認同���;輸出裝置����,該裝置用于輸出電子證據的固定結果和過程信息��,最終完成紙質簽名���。
8.如權利要求7所述的計算機犯罪證據固定和保全的裝置���,其特征在于�����,所述身份認證裝置采用公鑰/私鑰對的方式對電子證據固定人員的身份進行認證�����。
9.如權利要求7所述的計算機犯罪證據固定和保全的裝置����,其特征在于�����,所述數據鏡像和特征值計算裝置利用逐位鏡像技術對硬盤數據進行逐位鏡像����。
10.如權利要求7所述的計算機犯罪證據固定和保全的裝置,其特征在于����,所述設備及操作信息記錄裝置,將設備位置�����,設備名稱,設備類型����,設備容量,總扇區(qū)數�,扇區(qū)大小,柱面數���,磁頭數,磁道數作為設備信息進行記錄��;將取證人員名稱�,取證開始和結束時間,拷貝速度����,嫌疑設備的特征值作為操作信息進行記錄。
全文摘要
本發(fā)明的目的在于提供一種計算機犯罪證據固定和保全的方法���,其中�����,包括啟動嫌疑設備的步驟修改嫌疑計算機的Bios設置����,使得計算機支持光盤優(yōu)先啟動;身份認證步驟����,用于對電子證據的取證人員的身份進行認證;記錄設備及操作信息步驟��,用于記錄取證人員的身份�����,操作時間����,取證介質等信息;數據鏡像和特征值計算的步驟��,用于對存在于磁盤等靜態(tài)存儲介質上的電子證據進行完全的逐位鏡像并計算器特征值��;交叉認證的步驟�����,用于對證據固定結果和過程的合法性認同,保證兩名以上的司法取證人員同時在現場進行工作�����;打印操作信息并簽名的步驟��,用于對電子證據的固定結果和過程信息進行最終確認��,完成電子簽名和紙質的簽名����。
文檔編號G06Q50/26GK101017563SQ20061014481
公開日2007年8月15日 申請日期2006年11月21日 優(yōu)先權日2006年11月21日
發(fā)明者唐勇, 韋韜, 高明, 張行功 申請人:北京大學