专利名称:一种计算机犯罪证据固定和保全方法及实现该方法的装置的制作方法
技术领域:
本发明涉及计算机犯罪证据固定和保全方法及实现该方法的装置,特别涉及由于使用计算机和网络而引起的各种司法争议和侦查计算机犯罪过程中的电子证据的获取、固定和保全的方法及实现该方法的装置。
背景技术:
随着信息技术的高速发展,计算机与网络成为社会、政治、经济、文化生活的重要组成部分,正在深刻地改变着人们的生活。与此同时,对信息技术的依赖也给人类社会带来了巨大的安全风险,与计算机相关的各种司法争议和计算机犯罪现象越来越多,日益突出,并且有进一步扩大的趋势。充分可靠、有说服力的电子证据成为解决争议和打击计算机犯罪的重要手段。因此,计算机取证(Computer Forensic)作为计算机和法学的交叉学科——受到了越来越多的关注,甚至连续几年成为FIRST(forum ofincident response and security teams)安全年会的热点。
计算机取证包括具有潜在法律效力的,存在于计算机、相关外设和网络中的电子证据的获取、保护、分析、鉴定、归档的全过程。电子证据包括存在于静态物理介质(磁介质,光介质,磁光介质)上的数据信息,如硬盘,光盘,软盘,磁带,闪存卡等存储设备上的信息;正在运行中的计算机系统的动态数据信息如内存数据,注册表,临时文件,端口状态,进程信息等,日志文件;网络运行的数据信息,包括流经网络的数据报文等。电子证据具有高科技性,无形性,多样性,客观真实性,易破坏性,复合性,收集迅速,易保存等主要特征。它是现代高科技发展的重要产物和先进成果,是现代科学技术的发展在诉讼证据上的体现,技术含量高、易被伪造、篡改和遭破坏。以特定的二进制编码形式存在,数据存储于磁性介质中,隐蔽不可见。同时它应该具有普通司法证据的客观真实的特性,并且与具体的犯罪行为相关联,取证过程是合法的可认证的。
计算机犯罪取证就是通过提供彻底、有效和安全的计算机信息技术,确保计算机犯罪调查取证过程中的电子证据的真实可靠性,关联性,完整性,可认证性、高抗破损性和取证流程的合法性。
计算机犯罪证据的固定和保全是计算机取证工作的第一步,也是最重要的一个环节,它是一切其他工作的基础。后续工作还包括电子证据的分析,发现,提取等。目前国内外还没有一套完整的计算机犯罪取证的方法,这个领域属于新生事物。本发明可以解决此领域的部分问题。
发明内容
本发明的目的是提供一种计算机犯罪证据固定和保全的方法及实现该方法的装置。本发明的计算机犯罪证据固定和保全方法及实现该方法的装置采用了身份认证、数字签名、数据校验等计算机安全技术,保障了电子证据的合法性,关联性,可认证性,完整性。
本发明的计算机犯罪证据固定和保全的方法包括启动嫌疑设备的步骤修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动,自动引导系统启动嫌疑计算机;身份认证步骤,用于对电子证据的取证人员的身份进行认证,完成对其合法资质的审核;记录设备及操作信息步骤,用于记录取证人员的身份,操作时间,取证介质的信息等,保证所获取的电子证据与取证介质之间的关联性;数据镜像和特征值计算的步骤,用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算器特征值;交叉认证的步骤,用于对证据固定结果和过程的合法性认同,保证两名以上的司法取证人员同时在现场进行工作;打印操作信息并签名的步骤,用于对电子证据的固定结果和过程信息进行最终确认,完成电子签名和纸质的签名。
由于本发明的计算机犯罪证据固定和保全的方法采用了光盘自启动技术,允许取证人员在不拆卸硬盘的条件下,对需要取证的磁盘介质进行完全的逐位镜像,充分保证了取得的电子证据的可靠性。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,在所述身份认证步骤中采用公钥/私钥对的方式对电子证据固定人员的身份进行认证。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,在所述身份认证步骤中采用用户密码方式对电子证据固定人员的身份进行认证。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,在所述身份认证步骤中采用指纹识别方式对电子证据固定人员的身份进行认证。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,在所述数据镜像和特征值计算的步骤中利用逐位镜像技术对硬盘数据进行逐位镜像。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,在所述记录设备及操作信息步骤中,所述设备信息包括设备位置,设备名称,设备类型,设备容量,总扇区数,扇区大小,柱面数,磁头数,磁道数;所述操作信息包括取证人员名称,取证开始和结束时间,拷贝速度,嫌疑设备的特征值。
本发明的计算机犯罪证据固定和保全装置包括启动嫌疑设备的装置该装置通过修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动,自动引导系统启动嫌疑计算机;身份认证装置,该装置用于对电子证据的取证人员的身份进行认证,完成对其合法资质的审核;设备及操作信息记录装置,该装置用于记录取证人员的身份,操作时间,取证介质的信息等,保证所获取的电子证据与取证介质之间的关联性;数据镜像和特征值计算装置,该装置用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算其特征值;交叉认证的装置,该装置用于对证据固定结果和过程的合法性认同;输出装置,该装置用于输出电子证据的固定结果和过程信息,最终完成纸质签名。
本发明的计算机犯罪证据固定和保全装置的特征还在于,所述身份认证装置采用公钥/私钥对的方式对电子证据固定人员的身份进行认证。
本发明的计算机犯罪证据固定和保全装置的特征还在于,所述数据镜像和特征值计算装置利用逐位镜像技术对硬盘数据进行逐位镜像。
本发明的计算机犯罪证据固定和保全的方法的特征还在于,所述设备及操作信息记录装置,将设备位置,设备名称,设备类型,设备容量,总扇区数,扇区大小,柱面数,磁头数,磁道数作为设备信息进行记录;将取证人员名称,取证开始和结束时间,拷贝速度,嫌疑设备的特征值作为操作信息进行记录。
由于本发明的计算机犯罪证据固定与保全方法和装置采用身份认证、数字签名、数据校验等计算机安全技术,保障了电子证据的合法性、关联性、可认证性、完整性。采用自启动光盘技术,保证在不启动嫌疑设备的条件下,能够完整的镜像嫌疑机器中的硬盘设备。本发明适用于计算机犯罪取证过程中的证据获取,具有良好的兼容性、可扩展性和实用性。
图1是本发明的计算机犯罪证据固定与保全方法的流程图。
图2是本发明的计算机犯罪证据固定与保全方法的一实施例的流程图。
图3是本发明的计算机犯罪证据固定和保全装置结构图。
具体实施例方式
以下参照附图对本发明的具体实施方式
进行详细说明,图1是本发明的计算机犯罪证据固定与保全方法的流程图。
本发明的计算机犯罪证据固定和保全的方法包括启动嫌疑设备的步骤S10修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动,自动引导系统启动嫌疑计算机;身份认证步骤S20,通过读取取证人员的私钥,并用私钥对一段数据进行加密,然后用系统内置的取证人员的公钥对内容进行解密,比对得到的两组数据,如果两组数据相同,则前进到步骤S30,如果两组数据不同,退出系统,另外,也可以采用用户密码,指纹识别等方法来进行身份认证;记录设备及操作信息步骤S30,记录电子证据相关存储设备的主要信息如,设备位置,设备名称,设备类型,设备容量,总扇区数,扇区大小,柱面数,磁头数,磁道数;以及证据固定过程中的信息如,取证人员名称,取证开始和结束时间,拷贝速度,嫌疑设备的特征值;数据镜像和特征值计算的步骤S40,利用逐位镜像技术对硬盘数据进行逐位镜像,并计算数据的特征值,也可以用SHA-1,或者MDC-4等其他Hash方法获取特征值;交叉认证的步骤S50,对记录的操作信息,过程信息,设备信息进行交叉签名认证,即利用取证人员身份ID对记录进行数字签名;打印操作信息并签名的步骤S60,将系统记录的信息通过打印机打印出来,要求取证人员手动签名。
图2是本发明的计算机犯罪证据固定与保全方法的一实施例的流程图。S110读取取证人员身份ID和私钥,从调用接口函数从外接设备中读取相关信息,如USB钥匙,身份光碟等;S120对特定字符串X进行加密操作生成字符串Y;S130根据身份ID从系统中获取取证人员的公钥;S140利用公钥对字符串Y进行解密,得到字符串X’;S150判断X是否与X’相等,若相等,则证明了取证人员的身份,前进到步骤S160,如果不相等,则退出程序;S160调用系统接口函数枚举系统中的存储设备,主要是硬盘设备;S170根据取证人员的选择,枚举硬盘设备的相关信息,作为标识,主要包括a.设备位置用来标识设备在嫌疑设备中的硬件接口位置、b.设备名称设备厂商标识的设备称号、c.设备类型用来标识嫌疑设备的接口类型,如IDE,SCSI、d.设备标号设备标识号码、e.设备容量用来标识设备总容量大小、f.总扇区数用来标识总扇区的数目、g.扇区大小单个扇区的容量大小、h.柱面数设备的总柱面数、i.磁头数设备的磁头数、j.磁道数设备的磁道数;调用函数接口对磁盘做逐位数据镜像;S180逐位镜像硬盘数据;S190利用Md5对取证的数据计算特征值,输出为128位的字符串;S200记录整个过程的信息M,M包括a.取证人员1取证人员名称、b.取证人员2取证人员名称、c.开始时间取证开始时间、d.结束时间取证工作结束时间、e.拷贝速度硬盘拷贝的拷贝速度、f.设备特征信息嫌疑设备、g.设备特征信息备份设备、h.数据校验值对硬盘进行特征值计算的结果;S210身份ID1私钥加密M生成N;S220身份ID2私钥加密N生成W;S230保存M和W;打印保存的信息并退出程序,取证人员签字。
本发明的计算机犯罪证据固定和保全装置包括启动嫌疑设备的装置1该装置通过修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动,自动引导系统启动嫌疑计算机;身份认证装置2,该装置用于对电子证据的取证人员的身份进行认证,完成对其合法资质的审核;设备及操作信息记录装置3,该装置用于记录取证人员的身份,操作时间,取证介质的信息等,保证所获取的电子证据与取证介质之间的关联性;数据镜像和特征值计算装置4,该装置用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算其特征值;交叉认证的装置5,该装置用于对证据固定结果和过程的合法性认同;输出装置6,该装置用于输出电子证据的固定结果和过程信息,最终完成纸质签名。
由于本发明的计算机犯罪证据固定与保全方法和装置采用身份认证、数字签名、数据校验等计算机安全技术,保障了电子证据的合法性、关联性、可认证性、完整性。采用自启动光盘技术,保证在不启动嫌疑设备的条件下,能够完整的镜像嫌疑机器中的硬盘设备。本发明适用于计算机犯罪取证过程中的证据获取,具有良好的兼容性、可扩展性和实用性。
权利要求
1.一种计算机犯罪证据固定和保全的方法,其特征在于,包括启动嫌疑设备的步骤修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动;身份认证步骤,用于对电子证据的取证人员的身份进行认证;记录设备及操作信息步骤,用于记录取证人员的身份,操作时间,取证介质等信息;数据镜像和特征值计算的步骤,用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算器特征值;交叉认证的步骤,用于对证据固定结果和过程的合法性进行认同,保证两名以上的司法取证人员同时在现场进行工作;打印操作信息并签名的步骤,用于对电子证据的固定结果和过程信息进行最终确认,完成电子签名和纸质的签名。
2.如权利要求1所述的计算机犯罪证据固定和保全的方法,其特征在于,在所述身份认证步骤中采用公钥/私钥对的方式对电子证据固定人员的身份进行认证。
3.如权利要求1所述的计算机犯罪证据固定和保全的方法,其特征在于,在所述身份认证步骤中采用用户密码方式对电子证据固定人员的身份进行认证。
4.如权利要求1所述的计算机犯罪证据固定和保全的方法,其特征在于,在所述身份认证步骤中采用指纹识别方式对电子证据固定人员的身份进行认证。
5.如权利要求1所述的计算机犯罪证据固定和保全的方法,其特征在于,在所述数据镜像和特征值计算的步骤中利用逐位镜像技术对硬盘数据进行逐位镜像。
6.如权利要求1所述的计算机犯罪证据固定和保全的方法,其特征在于,在所述记录设备及操作信息步骤中,所述设备信息包括设备位置,设备名称,设备类型,设备容量,总扇区数,扇区大小,柱面数,磁头数,磁道数;所述操作信息包括取证人员名称,取证开始和结束时间,拷贝速度,嫌疑设备的特征值。
7.一种计算机犯罪证据固定和保全的装置,其特征在于,包括启动嫌疑设备的装置该装置通过修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动,自动引导系统启动嫌疑计算机;身份认证装置,该装置用于对电子证据的取证人员的身份进行认证,完成对其合法资质的审核;设备及操作信息记录装置,该装置用于记录取证人员的身份,操作时间,取证介质的信息等,保证所获取的电子证据与取证介质之间的关联性;数据镜像和特征值计算装置,该装置用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算其特征值;交叉认证的装置,该装置用于对证据固定结果和过程的合法性认同;输出装置,该装置用于输出电子证据的固定结果和过程信息,最终完成纸质签名。
8.如权利要求7所述的计算机犯罪证据固定和保全的装置,其特征在于,所述身份认证装置采用公钥/私钥对的方式对电子证据固定人员的身份进行认证。
9.如权利要求7所述的计算机犯罪证据固定和保全的装置,其特征在于,所述数据镜像和特征值计算装置利用逐位镜像技术对硬盘数据进行逐位镜像。
10.如权利要求7所述的计算机犯罪证据固定和保全的装置,其特征在于,所述设备及操作信息记录装置,将设备位置,设备名称,设备类型,设备容量,总扇区数,扇区大小,柱面数,磁头数,磁道数作为设备信息进行记录;将取证人员名称,取证开始和结束时间,拷贝速度,嫌疑设备的特征值作为操作信息进行记录。
全文摘要
本发明的目的在于提供一种计算机犯罪证据固定和保全的方法,其中,包括启动嫌疑设备的步骤修改嫌疑计算机的Bios设置,使得计算机支持光盘优先启动;身份认证步骤,用于对电子证据的取证人员的身份进行认证;记录设备及操作信息步骤,用于记录取证人员的身份,操作时间,取证介质等信息;数据镜像和特征值计算的步骤,用于对存在于磁盘等静态存储介质上的电子证据进行完全的逐位镜像并计算器特征值;交叉认证的步骤,用于对证据固定结果和过程的合法性认同,保证两名以上的司法取证人员同时在现场进行工作;打印操作信息并签名的步骤,用于对电子证据的固定结果和过程信息进行最终确认,完成电子签名和纸质的签名。
文档编号G06Q50/26GK101017563SQ20061014481
公开日2007年8月15日 申请日期2006年11月21日 优先权日2006年11月21日
发明者唐勇, 韦韬, 高明, 张行功 申请人:北京大学