计算机取证

正在更新……

本笔记随课更新。

2023-2024学年度秋季学期。

Chapter 1. 概述 Forensics-Intro

1. 课程简介

一门需要动手的课程。

需要综合的计算机知识：计算机硬件、计算机操作系统、计算机网络等。

成绩：14% 出勤 + 56% 实验（期末答辩） + 30% 期末报告。

如果操作不当，你可能会因此破坏电脑硬盘，因此需要谨慎和仔细一些，带几个 U 盘，并且安装 WinHex 等磁盘工具。

不过没关系，毕竟软件没了也是可以重新装的！旧的不去新的不来（？）

2. 电信网络诈骗

一个电信网络诈骗案，侵犯公民个人信息的电信诈骗犯罪事件。

关于 2016 年徐玉玉案

被骗经过判决结果电信网络诈骗态势

2016年高考，徐玉玉以568分的成绩被南京邮电大学录取。19日下午4点30分左右，她接到了一通陌生电话，对方声称有一笔2600元助学金要发放给她。在这通陌生电话之前，徐玉玉曾接到过教育部门发放助学金的通知。“18日，女儿接到了教育部门的电话，让她办理了助学金的相关手续，说钱过几天就能发下来。”徐玉玉的母亲李自云告诉记者，由于前一天接到的教育部门电话是真的，所以当时他们并没有怀疑这个电话的真伪。

正是这种时间衔接的紧凑性，使得人们很容易降低警惕，轻信通过盗取个人信息进行诈骗的犯罪分子。

按照对方要求，徐玉玉将准备交学费的9900元打入了骗子提供的账号。

发现被骗后，徐玉玉万分难过，当晚就和家人去派出所报了案。

让徐连彬觉得倍感后悔的是，自己最后向民警询问“钱还能不能追回来”，民警回答“会尽力但是可能性不大”。徐连彬认为，可能是这个问题刺激到了本已非常自责的徐玉玉。

在回家的路上，徐玉玉突然晕厥，不省人事，虽经医院全力抢救，但仍没能挽回她18岁的生命。

2017年7月19日上午，山东省临沂市中级人民法院对被告人陈文辉、郑金锋、黄进春、熊超、陈宝生、郑贤聪、陈福地诈骗、侵犯公民个人信息案一审公开宣判。

中国移动：2022年电信网络诈骗态势分析报告.

缅北地区：环球时报：重大战果！1207名缅北电诈嫌疑人移交我方.

3. 数字证据

要想对犯罪分子进行调查，就要进行取证。其中，数字证据（Digital Evidence）也是重要的信息。

数字证据的来源是非常多样的，比如计算机系统（本地硬盘的存储文件，就比如一个文件的文件名、创建时间，都可以提供大量的信息）、通信系统（比如一个邮件的发送过程，就可以在服务器上存储着发送者的 ip 地址信息）、嵌入式系统（短信、微信、公交卡、可能提供行动轨迹的导航系统、公共监控系统）等。

证据特性：

证据应当具有证明力和证明能力。
具体表现为客观性、关联性和合法性。
客观性是证据的本质特征，它要求证据必须是客观存在的事实材料，而不是主管猜测或臆想的东西。首先它的本质是事实，一种是诸如物品、痕迹、文件等客观存在的物质；一种是被人们感知并存入记忆的事实（目击证人）。
关联性是指证据必须与待证事实有内在和必然的联系。
合法性是指证据的收集与提供应当依照法定程序。

证据特性的拓展故事

客观性关联性合法性

记忆的选择性与偏差：亲眼见到的，并不一定就是事实[1]。

人们常说，耳听为虚，眼见为实，但心理学家经过研究发现：人的记忆也会有犯错误的时候，人们常常会通过一定的方式来解释自己经历过的人或事，并很难区分实际发生的事与经过自己推理而觉得理所当然的事。特别是当发生某件事情，许多目击者被同时询问时，总是有一个人占据主导地位，他的记忆会影响甚至推翻另一个性格较弱者的记忆，由于目击者记忆内容的差异会让性格较弱者产生自我怀疑，从而破坏其信心，进而怀疑自己的记忆能力。有时，这种记忆扭曲的现象会导致很严重的后果。

在1977年，美国就曾经发生过这样一起事件：美国联邦法庭指证威廉〃杰克逊犯有强奸罪，法庭的依据是当事人的证词。虽然威廉〃杰克逊再三声称自己冤枉，但在当事人非常肯定的指认下，罪名成立了。5年后，真正的罪犯爱德华〃杰克逊落网了，他和受冤枉者同姓，相貌也很相似，结果酿成了这起冤案。

[1] 作者：路人甲的自我修养链接：https://www.zhihu.com/question/323086170/answer/674276719 来源：知乎

“他们就是打算就我没有做过的事把我处决……他们需要做的只是检验那支枪。但是，当你自认为有权有势、可以凌驾于法律之上，你就对普通人不屑一顾。但是，我要告诉每一个让我沦为死囚的人：人在做，天在看。”——安东尼·雷·欣顿

1985年，亚拉巴马州伯明翰市发生快餐店持枪抢劫案，两名餐厅经理遭枪杀。警方当时没有找到目击证人和指纹证据。稍后发生另一起餐馆持枪抢劫案，一名受害人指认欣顿为嫌疑人。[2]

警方在欣顿家中发现一支9毫米口径转轮手枪，枪主为欣顿的母亲。经过证物鉴定，检方得出结论，上述案件中发射的6发子弹都出自这支手枪，从而认定欣顿为凶手。（此例中，关联性不是客观的）。

庭审过程中，欣顿提出不在场证据，说后一起劫案发生时，他正在距离罪案现场数十公里外的地方上班，而且有同事为他作证。不过，他的不在场证据未获采信。

1986年，法庭认定欣顿谋杀罪名成立，判处他死刑。

欣顿提出上诉。去年，美国最高法院认定，案件审理过程中，欣顿未获得充分辩护，因而必须重审。再次鉴定证据后，亚拉巴马州检方本月1日认定证据不足，决定撤诉。2日，杰斐逊县巡回法院法官下令释放欣顿。

[2] 作者：惠晓霜链接：https://world.huanqiu.com/article/9CaKrnJJB0W 来源：新闻晨报

“女子还活着，只要你说了，就可以出去了。”——诱供片段

呼格吉勒图案又称呼格吉勒图冤杀案，是一起在中国引起了广泛关注的冤案。

1996年4月9日，在呼和浩特第一毛纺厂家属区公共厕所内，一女子被强奸杀害（4·9毛纺厂女厕女尸案）。公安机关认定报案人呼格吉勒图是凶手。1996年4月10日凌晨0点，警察开始殴打呼格吉勒图，进行逼供。

呼格无奈招供。

5月23日，呼格吉勒图被判死刑，剥夺政治权利终身。呼格吉勒图不服，提出上诉。6月5日，内蒙古自治区高级人民法院驳回上诉，维持原判。1996年6月10日，呼格吉勒图被执行死刑。

2005年10月23日，赵志红承认在第一毛纺厂家属区公共厕所内杀害了一名女性。2006年，内蒙古司法机构组织了专门的调查组复核此案。2007年1月1日，赵志红的死刑被临时叫停。

2014年11月20日，呼格吉勒图案进入再审程序。12月15日，内蒙古自治区高级人民法院对再审判决宣告原审被告人呼格吉勒图无罪，之后启动追责程序和国家赔偿。12月30日，内蒙古高院依法作出国家赔偿决定，决定支付李三仁、尚爱云国家赔偿金共计2059621.40元。

2019年7月30日，内蒙古自治区呼和浩特市中级人民法院遵照最高人民法院院长签发的执行死刑命令，对罪犯赵志红执行死刑。最高人民法院刑五庭负责人就赵志红死刑复核一案答记者问称，证据不足，不予确定。

终判内容：再审判决主要内容：一、撤销内蒙古高级人民法院（1996）内刑终字第199号刑事裁定和呼和浩特市中级人民法院（1996）呼刑初字第37号刑事判决；二、原审被告人呼格吉勒图无罪。

此例的关键问题在于，当时警方的急功冒进及刑讯逼供，案件发生时全国正处于严打时期，致使警方急功冒进（破坏了取得证据的合法性）。

数字证据特性：

无形性：计算机证据不是肉眼直接可见的，必须借助适当的工具。
易复制性：数字证据通常可以被精确地复制，副本和原本具有高度的一致性。
大量性、多样性：数字证据往往杂乱地混杂于大量的数字信息中。
脆弱性：搜集证据可能会对证据造成修改（打开文件）；犯罪分子故意修改或者删除数字证据。

4. 取证的历史发展过程

取证的过程也是和人类发展历史相一致的过程。

取证历史发展的几个阶段：

神证阶段：利用神来帮助查明案情和裁决。利用人们对神的力量的敬畏，解决了无法判定原告和被告陈述真假的问题，不敢宣誓者、或宣誓中慌乱的即为假。双方都敢于向神宣誓，就使用神判法。
人证阶段：利用证人、当事人、特别是被告人的口供来审案。
物证阶段：利用能够证明案件真实情况的一切物品痕迹来进行审案。（是随着人类科技的发展而产生的）

审讯问案法：

为了防止过度逼供，唐朝法律规定对同一名囚犯实施拷讯不超过三次，拷打总数不超过二百。
南宋郑克反对酷刑拷打，继承了“以五声听狱讼”之法，认为问案时要注意分析事务的情理。
缺点就是促进了刑讯逼供的发展。（宋朝时出现了十分残酷的刑讯手段）
请君入瓮的故事：
刑讯逼供专家：武则天两个酷吏，周兴和来俊臣的故事。

5. 计算机取证

计算机在犯罪中的三种角色：

黑客入侵的目标
作案的工具
犯罪信息的存储器

计算机取证方法：

来源取证：确定犯罪嫌疑人或者证据的来源
IP 地址取证：确定与犯罪相关的 IP 地址信息
事实取证：取得与证明案件事实相关的证据
文件内容调查：在存储设备中取得文本、图片、音频视频、网页、电子邮件等的相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。
使用痕迹调查：windows 运行的痕迹、上网记录的调查、Office、realplay 和 mediaplay 的播放列表及其它应用软件使用历史记录。
软件功能分析：主要针对特定软件和程序的性质和功能进行分析，常见是对恶意代码的分析，确定其破坏性、传染性等特征。
软件相似性分析：比较两软件，找出两者之间是否存在实质性相似的证据。此类取证方法主要在软件知识产权相关案件中使用。
日志文件分析。
网络数据包分析：通过分析网络中传输的数据包发现相关证据的过程。

计算机取证重要原则：

尽早取证
保证数据完整性（要在备份数据上进行分析，不要在原数据上分析）
取证过程必须收到监督
记录每一个取证过程和原因

计算机取证过程：

准备阶段调查前，准备好所需设备和工具（大容量磁盘驱动器、电缆、引导盘、笔记本电脑、照相机等）引导盘的作用：防止电脑启动导致的日志文件等的产生。
收集和保存
搜索和定位计算机证据，制定保护和调查计划；确定计算机型号等；
保护和评估现场；
对现场记录、归档；
证据提取。
检验和分析
搜索目标系统：包括现存的正常文件，已经被删除但仍存在于磁盘上的文件（尽量恢复），隐藏文件，受到密码保护的文件和加密文件（破解密码）、临时文件和交换文件（查看：页面交换文件 pagefile.sys）；
其他区域数据：所谓的未分配的磁盘空间（查看：用磁盘管理器）；文件中的“slack”空间（查看：打开任何一个文件）。
提交报告：对案件的分析检验结果汇总提交。

Chapter 2. 概述 Forensics-boot

1. CPU

CISC/RISC/EPIC 复杂、简单、并行指令集：

CISC：X86、X64。
RISC：IBM 的 John Cocke、加州大学的 David Patterson。主要用于服务器，并发提高速度；嵌入式设备；RISC-V、LoongArch（龙芯中科）。
EPIC：Intel IA-64，并不兼容 X86。

2. BIOS

BIOS 程序储存位置：

ROM：需要烧制写入；
EPROM：有一个窗口供紫外线擦除和写入；
EEPROM：写入需设置跳线开关；
NOR-Flash：可以 Flash 内运行代码；后来东芝开发了储存量更大的 NAND-Flash。

Nor Flash 厂商。

计算机系统启动流程：

计算机系统启动：计算机硬件启动、计算机操作系统启动；
有两种主要方式：BIOS、EFI(UEFI)BIOS；
启动主要厂商：Award、phoenix、AMI。

现在主流是 UEFI 方式，但支持 BIOS 方式，可以在启动时候设置。

win10 启动流程(BIOS)：计算机硬件启动、从 MBR 寻找硬盘活动分区、从活动分区的 PBR 找该分区 Bootmgr、该分区的/boot/BCD 文件、……