取證的技術手段有哪些

『壹』 計算機犯罪及取證技術都有什麼

法律分析：計算機犯罪及取證技術有：1.現場勘查類技術，包括數據的復原技術、數據監控技術、數據加解密技術等；2.證據分析類技術，工作重點是對已收集的證據進行檢查和分析，找出與犯罪行為的關聯關系，以證明案件事實；3.證據保全類技術，對已獲取的證據進行保管，並確保其數據完整性、保密性、抗抵賴性不被破壞。

法律依據：《中華人民共和國刑法》 第二百八十六條 違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。

『貳』 經偵調查取證方法

法律分析：在被害人提出或有關人員願意指證的情形時，及時向證人了解案情。由於侵犯商業秘密罪的行為方式大多具有隱蔽性的特點，一般人員不易了解到其犯罪行為。但是一些內部人員如技術人員、涉密信息場所保衛人員等都可能掌握有關案件線索，包括犯罪嫌疑人、作案時間和作案方式等方面的信息，這對於案件的偵查是很重要幫助作用。以上證人證言對於證明涉案信息具有秘密性和管理性起直接證明的作用。

法律依據：《中華人民共和國刑事訴訟法》 第一百一十二條 民法院、人民檢察院或者公安機關對於報案、控告、舉報和自首的材料，應當按照管轄范圍，迅速進行審查，認為有犯罪事實需要追究刑事責任的時候，應當立案；認為沒有犯罪事實，或者犯罪事實顯著輕微，不需要追究刑事責任的時候，不予立案，並且將不立案的原因通知控告人。控告人如果不服，可以申請復議。

『叄』 計算機取證技術論文(2)

計算機取證技術論文篇二
計算機取證技術研究

摘要：隨著計算機和 網路技術 的飛速發展，計算機犯罪和網路安全等問題也越來越突出，也逐漸引起重視。文章對計算機取證的特點、原則和步驟進行了介紹，最後從基於單機和設備、基於網路的兩類取證技術進行了深入研究。

關鍵詞：計算機取證 數據恢復 加密解密 蜜罐網路

隨著計算機和網路技術的飛速發展，計算機和網路在人類的政治、經濟、 文化 和國防軍事中的作用越來越重要，計算機犯罪和網路安全等問題也越來越突出，雖然目前採取了一系列的防護設備和措施，如硬體防火牆、入侵檢測系統、、網路隔離等，並通過授權機制、訪問控制機制、日誌機制以及數據備份等安全防範措施，但仍然無法保證系統的絕對安全。

計算機取證技術是指運用先進的技術手段，遵照事先定義好的程序及符合法律規范的方式，全面檢測計算機軟硬體系統，查找、存儲、保護、分析其與計算機犯罪相關的證據，並能為法庭接受的、有足夠可信度的電子證據。計算機取證的目的是找出入侵者，並解釋或重現完整入侵過程。

一、計算機取證的特點

和傳統證據一樣，電子證據也必須是可信的、准確的、完整的以及令人信服並符合法律規范的，除此之外，電子證據還有如下特點：

1.數字性。電子證據與傳統的物證不同，它是無法通過肉眼直接看見的，必須結合一定的工具。從根本上講，電子證據的載體都是電子元器件，電子證據本身只是按照特殊順序組合出來的二進制信息串。

2.脆弱性。計算機數據每時每刻都可能發生改變，系統在運行過程中，數據是不斷被刷新和重寫的，特別是如果犯罪嫌疑人具備一定的計算機水平，對計算機的使用痕跡進行不可還原的、破壞性操作後，現場是很難被重現的。另外取證人員在收集電子證據過程中，難免會進行打開文件和程序等操作，而這些操作很可能就會對現場造成原生破壞。

3.多態性。電子證據的多態性是指電子證據可以以多種形態表現，它既可以是列印機緩沖區中的數據，也可以是各種計算機存儲介質上的聲音、視頻、圖像和文字，還可以是網路交換和傳輸設備中的歷史記錄等等，這些不同形態都可能成為被提交的證據類型。法庭在採納證據時，不僅要考慮該電子證據的生成過程、採集過程是否可靠，還要保證電子證據未被偽造篡改、替換剪輯過。

4.人機交互性。計算機是通過人來操作的，單靠電子證據本身可能無法還原整個犯罪過程，必須結合人的操作才能形成一個完整的記錄，在收集證據、還原現場的過程中，要結合人的 思維方式 、行為習慣來通盤考慮，有可能達到事半功倍的效果。

二、計算機取證的原則和步驟

(一)計算機取證的主要原則

1.及時性原則。必須盡快收集電子證據，保證其沒有受到任何破壞，要求證據的獲取具有一定的時效性。

2.確保“證據鏈”的完整性。也稱為證據保全，即在證據被正式提交法庭時，必須能夠說明證據從最初的獲取狀態到法庭上出現的狀態之間的任何變化，包括證據的移交、保管、拆封、裝卸等過程。

3.保全性原則。在允許、可行的情況下，計算機證據最好製作兩個以上的拷貝，而原始證據必須專門負責，所存放的位置必須遠離強磁、強腐蝕、高溫、高壓、灰塵、潮濕等惡劣環境，以防止證據被破壞。

4.全程可控原則。整個檢查取證的過程都必須受到監督，在證據的移交、保管、拆封和裝卸過程中，必須由兩人或兩人以上共同完成，每一環節都要保證其真實性和不間斷性，防止證據被蓄意破壞。

(二)計算機取證的主要步驟

1.現場勘查

勘查主要是要獲取物理證據。首先要保護計算機系統，如果發現目標計算機仍在進行網路連接，應該立即斷開網路，避免數據被遠程破壞。如果目標計算機仍處在開機狀態，切不可立即將其電源斷開，保持工作狀態反而有利於證據的獲取，比如在內存緩沖區中可能殘留了部分數據，這些數據往往是犯罪分子最後遺漏的重要證據。如果需要拆卸或移動設備，必須進行拍照存檔，以方便日後對犯罪現場進行還原。

2.獲取電子證據

包括靜態數據獲取和動態數據獲取。靜態數據包括現存的正常文件、已經刪除的文件、隱藏文件以及加密文件等，應最大程度的系統或應用程序使用的臨時文件或隱藏文件。動態數據包括計算機寄存器、Cache緩存、路由器表、任務進程、網路連接及其埠等，動態數據的採集必須迅速和謹慎，一不小心就可能被新的操作和文件覆蓋替換掉。

3.保護證據完整和原始性

取證過程中應注重採取保護證據的措施，應對提取的各種資料進行復制備份，對提取到的物理設備，如光碟硬碟等存儲設備、路由器交換機等網路設備、列印機等外圍設備，在移動和拆卸過程中必須由專人拍照攝像，再進行封存。對於提取到的電子信息，應當採用MD5、SHA等Hash演算法對其進行散列等方式進行完整性保護和校驗。上述任何操作都必須由兩人以上同時在場並簽字確認。

4.結果分析和提交

這是計算機取證的關鍵和核心。列印對目標計算機系統的全面分析結果，包括所有的相關文件列表和發現的文件數據，然後給出分析結論，具體包括：系統的整體情況，發現的文件結構、數據、作者的信息以及在調查中發現的其他可疑信息等。在做好各種標記和記錄後，以證據的形式並按照合法的程序正式提交給司法機關。

三、計算機取證相關技術

計算機取證涉及到的技術非常廣泛，幾乎涵蓋信息安全的各個領域，從證據的獲取來源上講，計算機取證技術可大致分為基於單機和設備的計算機取證技術、基於網路的計算機取證技術兩類。

(一)基於單機和設備的取證技術

1.數據恢復技術

數據恢復技術主要是用於將用戶刪除或格式化的磁碟擦除的電子證據恢復出來。對於刪除操作來說，它只是將文件相應的存放位置做了標記，其文件所佔的磁碟空間信息在沒有新的文件重新寫入時仍然存在，普通用戶看起來已經沒有了，但實際上通過恢復文件標記可以進行數據恢復。對於格式化操作來講，它只是將文件系統的各種表進行了初始化，並未對數據本身進行實際操作，通過重建分區表和引導信息，是可以恢復已經刪除的數據的。實驗表明，技術人員可以藉助數據恢復工具，把已經覆蓋過7次的數據重新還原出來。

2.加密解密技術

通常犯罪分子會將相關證據進行加密處理，對取證人員來講，必須把加密過的數據進行解密，才能使原始信息成為有效的電子證據。計算機取證中使用的密碼破解技術和方法主要有：密碼分析技術、密碼破解技術、口令搜索、口令提取及口令恢復技術。

3.數據過濾和數據挖掘技術

計算機取證得到的數據，可能是文本、圖片、音頻或者視頻，這些類型的文件都可能隱藏著犯罪信息，犯罪分子可以用隱寫的方法把信息嵌入到這些類型的文件中。若果犯罪分子同時結合加密技術對信息進行處理，然後再嵌入到文件中，那麼想要還原出原始信息將變得非常困難，這就需要開發出更優秀的數據挖掘工具，才能正確過濾出所需的電子證據。

(二)基於網路的取證技術

基於網路的取證技術就是利用網路跟蹤定位犯罪分子或通過網路通信的數據信息資料獲取證據的技術，具體包括以下幾種技術：

1.IP地址和MAC地址獲取和識別技術

利用ping命令，向目標主機發送請求並監聽ICMP應答，這樣可以判斷目標主機是否在線，然後再用其他高級命令來繼續深入檢查。也可以藉助IP掃描工具來獲取IP，或者利用DNS的逆向查詢方法獲取IP地址，也可以通過互聯網服務提供商ISP的支持來獲取IP。

MAC地址屬於硬體層面，IP地址和MAC的轉化是通過查找地址解析協議ARP表來實現的，當然，MAC跟IP地址一樣，也可能被修改，如此前一度橫行的“ARP欺騙”木馬，就是通過修改IP地址或MAC來達到其目的的。

2.網路IO系統取證技術

也就是網路輸入輸出系統，使用netstat命令來跟蹤嫌疑人，該命令可以獲取嫌疑人計算機所在的域名和MAC地址。最具代表性的是入侵檢測技術IDS，IDS又分為檢測特定事件的和檢測模式變化的，它對取證最大幫助是它可以提供日誌或記錄功能，可以被用來監視和記錄犯罪行為。

3.電子郵件取證技術

電子郵件使用簡單的應用協議和文本存儲轉發，頭信息包含了發送者和接受者之間的路徑，可以通過分析頭路徑來獲取證據，其關鍵在於必須了解電子郵件協議中的郵件信息的存儲位置。對於POP3協議，我們必須訪問工作站才能獲取頭信息;而基於HTTP協議發送的郵件，一般存儲在郵件伺服器上;而微軟操作系統自帶的郵件服務通常採用SMTP協議。對於採用SMTP協議的郵件頭信息，黑客往往能輕易在其中插入任何信息，包括偽造的源地址和目標地址。跟蹤郵件的主要方法是請求ISP的幫助或使用專用的如NetScanTools之類的工具。

4.蜜罐網路取證技術

蜜罐是指虛假的敏感數據，可以是一個網路、一台計算機或者一項後台服務，也可以虛假口令和資料庫等。蜜罐網路則是由若干個能收集和交換信息的蜜罐組成的網路體系，研究人員藉助數據控制、數據捕獲和數據採集等操作，對誘捕到蜜罐網路中的攻擊行為進行控制和分析。蜜罐網路的關鍵技術包括網路欺騙、攻擊捕獲、數據控制、攻擊分析與特徵提取、預警防禦技術。目前應用較多是主動蜜罐系統，它可以根據入侵者的攻擊目的提供相應的欺騙服務，拖延入侵者在蜜罐中的時間，從而獲取更多的信息，並採取有針對性的措施，保證系統的安全性。

參考文獻：

[1]盧細英.淺析計算機取證技術[J],福建電腦,2008(3).

[2]劉凌.淺談計算機靜態取證與計算機動態取證[J],計算機與現代化,2009(6).


看了“計算機取證技術論文”的人還看：

1. 計算機犯罪及取征技術的研究論文

2. 安卓手機取證技術論文

3. 計算機安全畢業論文

4. 計算機安全論文

5. 計算機安全論文範文

『肆』 技術偵查手段有哪些

法律分析：技術偵查措施，是指偵查機關為了偵破特定犯罪行為的需要，根據國家有關規定，經過嚴格審批，採取的一種特定技術手段。技術偵查行為即是運用技術偵查措施的偵查行為。通常包括電子偵聽、電話監聽、電子監控、秘密拍照、錄像、進行郵件檢查等秘密的專門技術手段。

法律依據：《中華人民共和國刑事訴訟法》第一百五十條 公安機關在立案後，對於危害國家安全犯罪、恐怖活動犯罪、黑社會性質的組織犯罪、重大毒品犯罪或者其他嚴重危害社會的犯罪案件，根據偵查犯罪的需要，經過嚴格的批准手續，可以採取技術偵查措施。人民檢察院在立案後，對於利用職權實施的嚴重侵犯公民人身權利的重大犯罪案件，根據偵查犯罪的需要，經過嚴格的批准手續，可以採取技術偵查措施，按照規定交有關機關執行。追捕被通緝或者批准、決定逮捕的在逃的犯罪嫌疑人、被告人，經過批准，可以採取追捕所必需的技術偵查措施。

『伍』 證據收集的方法

法律分析：收集證據的方法有:

(一)詢問。詢問是指執法機關或者律師要求當事人、證人或者鑒定人陳述自己了解的案情。

(二)訊問。訊問是指執法機關要求違法行為人、犯罪嫌疑人或者刑事被告人如實交代案情的方法。

(三)辨認。辨認是要求被害人或者證人在若干類似的物品、場所或者人中，挑選出自己曾經所見所聞的部分。

(四)勘驗。勘驗是指執法人員親臨現場，發現和提取證據的專門活動。

(五檢查。檢查是指執法機關依法對與案件有關的人身進行檢驗的專門活動。

(六)搜查。搜查是指執法機關依職權對與案件有關的場所或者人身進行強制性的尋查、尋找和提取證據材料的專門活動。

(七)實驗。實驗是指執法機關模擬再現犯罪現場、犯罪過程或者案件發生過程的專門活動，主要適用於刑事案件。

(八)鑒定。鑒定是指專門的機構或者人員利用，其專業技術知識和科學技術設備鑒定，對有關的專門問題進行檢測，並作出鑒定結論的活動。

法律依據：《中華人民共和國刑事訴訟法》 第五十條 可以用於證明案件事實的材料，都是證據。證據包括:

(—)物證;

(二)書證;

(三）證人證言;

(四）被害人陳述;

(五）犯罪嫌疑人、被告人供述和辯解;

(六)鑒定意見;

(七）勘驗、檢查、辨認、偵查實驗等筆錄;

(八)視聽資料、電子數據。

證據必須經過查證屬實，才能作為定案的根據。

『陸』 技術偵查手段有哪些

法律分析：技術偵查手段通常包括電子偵聽、電話監聽、電子監控、秘密拍照、錄像、進行郵件檢查等秘密的專門技術手段。

法律依據：《中華人民共和國刑事訴訟法》 第一百五十條 公安機關在立案後，對於危害國家安全犯罪、恐怖活動犯罪、黑社會性質的組織犯罪、重大毒品犯罪或者其他嚴重危害社會的犯罪案件，根據偵查犯罪的需要，經過嚴格的批准手續，可以採取技術偵查措施。 人民檢察院在立案後，對於利用職權實施的嚴重侵犯公民人身權利的重大犯罪案件，根據偵查犯罪的需要，經過嚴格的批准手續，可以採取技術偵查措施，按照規定交有關機關執行。 追捕被通緝或者批准、決定逮捕的在逃的犯罪嫌疑人、被告人，經過批准，可以採取追捕所必需的技術偵查措施。

『柒』 調查取證有哪些方法

調查取證的方法：

1、詢問。詢問是指執法機關或者律師要求當事人、證人或者鑒定人陳述自己了解的案情。詢問是任何案件中都經常使用的證據收集措施和方法。

2、訊問。訊問是指執法機關要求違法行為人、犯罪嫌疑人或者刑事被告人如實交代案情的方法。訊問的對象限於行政處罰案件中的違法行為人和刑事案件中的犯罪嫌疑人或被告人。訊問的主體限於執法機關，不包括律師。

3、辨認。辨認是要求被害人或者證人在若干類似的物品、場所或者人中，挑選出自己曾經所見所聞的部分。辨認的主體可以是案件中的被害人和證人，辨認的對象可以是案件中的犯罪嫌疑人或者與案件有某種關聯的人，也可以是與案件有關的物品或場所。

4、勘驗。勘驗是指執法人員親臨現場，發現和提取證據的專門活動。勘驗主體限於執法機關，律師無權進行勘驗。從收集證據的角度來講，勘驗一方面是發現和提取各種物證的重要途徑，另一方面勘驗筆錄本身也是證據的種類之一。

5、檢查。檢查是指執法機關依法對與案件有關的人身進行檢驗的專門活動。檢查的對象是活人的身體，又稱為人身檢查。人身檢查筆錄是其主要的證據形式。

6、搜查。搜查是指執法機關依職權對與案件有關的場所或者人身進行強制性的尋查、尋找和提取證據材料的專門活動。搜查的對象可以是場所，也可以是人身，還可以是車船等物體。搜查是發現和提取各種物證、書證的重要途徑，搜查筆錄本身是證據的種類之一。

7、實驗。實驗是指執法機關模擬再現犯罪現場、犯罪過程或者案件發生過程的專門活動，主要適用於刑事案件。在其他種類的案件中，也可能需要用這種再現性實驗方法來查明事故的原因或驗證當事人或證人的陳述。

8、鑒定。鑒定是指專門的機構或者人員利用，其專業技術知識和科學技術設備鑒定，對有關的專門問題進行檢測，並作出鑒定結論的活動。

(7)取證的技術手段有哪些擴展閱讀：

調查取證的原則：

一、圍繞委託人主張的權利進行的原則

民事訴訟要解決的是原、被告雙方存在爭議的事實，而要解決爭議，必須靠證據證明。只有調查取證圍繞著爭議事實進行，由此取得的證據與爭議事實具有直接的因果關系，才有證明力。否則，即屬於無用證據。

二、客觀、及時原則

由於案件李實是客觀存在的，因此，證明案件事實的證據也應當是客觀的。作為訴訟證據，必須是客觀存在的事實。無論物證、書證或人證，都不能將虛構的事實和推測、假設後得出的言論寫成材料當成證據。

為此，律師在調查取證過程中，一定要注意收集、調取與爭議事實有直接因果關系或者客觀關聯的證據。

三、、合法、細致原則

代理律師收集證據應當依照《律師法》、《民事訴訟法》及其他法律、法規的相關規定進行。合法收集證據是保證證據具有證明力的前提。違法收集的證據不能作為。細致，是指代理律師在調查取證的過程中，要細致認真，不能馬虎行事。

要收集或者提取到與證明案件有直接因果關系的各種證據。如，當證人回答詢問的內容含糊不清時，代理律師應當明察細問，問出與案件有直接因果關系的內容，並作簡單、明了的記錄。

調查和提取物證時，應以原物為主。如果提取原物確有困難，可以提取復製品;對有可能發生變質、毀滅的物證，應採取相應的保全措施。對書證也應收集和提取原件；提交給法庭時，先交復印件，法庭審判時再提交該書證的原件等。

『捌』 公安調查取證6種方法

公安調查取證的6種方法如下：
1、自行取證或委託律師調查取證。企業自身當然最為了解其自由的商業秘密的有關情況，例如企業自身所想要保護的信息的秘密點，因此企業自身最為取證這無可厚非，但由於商業秘密案件對證據的要求較高，對於取證的范圍和方式等企業可能無法較好的把握，故企業可以選擇聘請專業的律師來幫助完成取證工作；
2、公證機關進行公證保全。公證取證就是以公證機關的公信力，將權利人取證的過程記錄下來，將取得的證據封存在公證機關，在訴訟時提交法庭，作為訴訟的證據；
3、向法院申請證據保全。在證據可能滅失或者以後難以取得的情況下，訴訟參加人可以向人民法院申請保全證據。提出訴前證據保全申請，應當以書面形式，且一般應在舉證期限屆滿前提出；
4、申請法院調查取證；
5、向工商行政機關申請調查取證。商業秘密權利人發現商業秘密被侵犯時，可以根據規定向各級工商行政管理機關申請查處；
6、通過公安機關調查取證。公安機關是我國法定的偵查案件的機關，擁有強大的偵查力量體、先進的技術設備，豐富的偵查經驗，國家賦予其偵查權力。
【法律依據】
《中華人民共和國刑事訴訟法》
第二條 中華人民共和國刑事訴訟法的任務，是保證准確、及時地查明犯罪事實，正確應用法律，懲罰犯罪分子，保障無罪的人不受刑事追究，教育公民自覺遵守法律，積極同犯罪行為作斗爭，維護社會主義法制，尊重和保障人權，保護公民的人身權利、財產權利、民主權利和其他權利，保障社會主義建設事業的順利進行。第三十六條 法律援助機構可以在人民法院、看守所等場所派駐值班律師。犯罪嫌疑人、被告人沒有委託辯護人，法律援助機構沒有指派律師為其提供辯護的，由值班律師為犯罪嫌疑人、被告人提供法律咨詢、程序選擇建議、申請變更強制措施、對案件處理提出意見等法律幫助。
人民法院、人民檢察院、看守所應當告知犯罪嫌疑人、被告人有權約見值班律師，並為犯罪嫌疑人、被告人約見值班律師提供便利。

『玖』 破案手段有哪些

破案手段如下：(一)技術偵查手段
技術偵查手段是指在偵辦各類犯罪案件中，為獲取有關犯罪案件的各種情報、信息、資料等，由專業人員通過專門程序所依法秘密採用的專有技術、方法、手段和措施。
(二)刑事技偵手段
運用技偵手段發現和揭露犯罪，是世界各國偵查機關同犯罪作斗爭的普遍做法。
(三)技術偵查措施
技術偵查措施，是指偵查機關為了偵破特定犯罪行為的需要，根據國家有關規定，經過嚴格審批，採取的一種特定技術手段。技術偵查行為即是運用技術偵查措施的偵查行為。通常包括電子偵聽、電話 監聽、電子監控、秘密拍照、錄像、進行郵件檢查等秘密的專門技術手段。
法律依據
《中華人民共和國刑事訴訟法》第五十二條 審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節輕重的各種證據。嚴禁刑訊逼供和以威脅、引誘、欺騙以及其他非法方法收集證據，不得強迫任何人證實自己有罪。必須保證一切與案件有關或者了解案情的公民，有客觀地充分地提供證據的條件，除特殊情況外，可以吸收他們協助調查。