电脑鉴识

电脑鉴识简单来说,系指利用科技与严谨的检查程序,自电脑系统或其它类似的存储媒体中,查找罪行相关物证或间接物证。

了解犯罪者

对于电脑鉴识专家来说,必需要能够了解嫌疑犯世故的程度,懂得对方在信息专业方面的认知多寡,如果不清楚嫌疑犯的程度时,先将对方视为专家,并假设对方已经为有电脑鉴识之可能,做好事前准备。

待鉴识的已开机设备是否要关机以方便运送,或是保持开机状态以避免变更原始资料,如同一把两面刃的刀一样,各有优劣。没有关机的电脑,是不方便运送的,此外还有嫌疑犯启动程序以销毁重要资料的问题;但另一方面,关闭电脑后,诸如存储器内部可能存有的重要密码等易消失的资料,随着关机便灰飞烟灭,其中的取决是一门临场判断的学问。

数字证据的纪录

软硬件的搜集

网络信息解析

互联网监听(通信监察)技术介绍

  1. 数据包补捉(Sniffer 有线、无线、加密)
  2. 数据包分类
  3. 数据包重组
  4. 资料存储

电脑鉴识与传统鉴识

电脑鉴识与传统鉴识间,存在有许多差异点。巨观来看,传统鉴识着眼于鉴定与个化。两者的鉴识过程中,均在于将犯罪现场的各个项目与物质,分析后再予以分类,甚至鉴识出其原由(如红色的汁液,可能被分类为果汁等,甚至找出所有人。)。相对于传统鉴识,电脑鉴识会着重于找出物证,并予以分析,这样的过程相较于传统鉴识来说类似犯罪现场调查。

数据包截取方法 – 数据包分析器(英语:Sniffer)。

以太网中是基于广播方式发送资料的,也就是说,所有的实体信号都要经过我的机器,可以将网卡设置为混杂模式(英语:promiscuous),在这种模式下工作的网卡能够接收到一切通过它的资料,而不管实际上资料的目的地址是不是他。这实际上就是我们 Sniffer 工作的基本原理让网卡接收一切他所能接收的资料。

信息鉴识v.s电脑鉴识

很多人会把“信息鉴识”与“电脑鉴识”混为一谈,其实是两种不同的东西。电脑鉴识的概念源自电脑 / 网络保安与及刑事侦查,主要是用作调查电脑犯罪时,查找相关证据或是用来证明损害的证据。由于信息技术发达,虚拟世界里的电子纪录很容易便可遭修改。电脑鉴识也用来建立证物保护方式,确保鉴识前后的电子证据没有遭窜改,令经鉴识分析后的证据更可信及具有法律地位。

参见

参考资料

4. Xiaoyun Wang and Hongbo Yu. How to Break MD5 and Other Hash Functions (PDF). EUROCRYPT 2005. [2008-02-18]. (原始内容 (PDF)存档于2007-09-27). 

外部链接

相关文献期刊