第二十二章

2. 第二十二章 计算机司法鉴定

3. 主要内容 计算机司法鉴定概述 计算机司法鉴定方法 计算机司法鉴定内容 计算机司法鉴定文书制作 计算机司法鉴定评价

4. 第一节 计算机司法鉴定概述

5. 一、计算机司法鉴定概念 几种计算机司法鉴定概念观点 观点一：计算机司法鉴定是指在诉讼过程中对涉及计算机问题由法庭认可的人员作出的专业判断的活动。 观点二：计算机司法鉴定是指依法取得有关计算机司法鉴定资格的鉴定机构和鉴定人受司法机关或当事人委托，运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定并提供鉴定结论的活动。

6. 一、计算机司法鉴定概念 几种计算机司法鉴定概念观点 观点三：计算机司法鉴定，其主要内容是运用计算机理论和技术，对通过非法手段使计算机系统内数据的安全性、完整性或系统正常运行造成的危害行为及其程度等进行鉴定。

7. 计算机司法鉴定概念内涵 鉴定的主体应具有一定的资格 鉴定的客体主要为电子数据 司法鉴定应符合规定的程序

8. 有计算机司法鉴定资质的鉴定机构与鉴定人，依法接受委托，并运用计算机理论和技术以及其它相关的专门知识对与计算机相关案件的有关内容进行专业判断、鉴定，并出具司法鉴定意见的活动。有计算机司法鉴定资质的鉴定机构与鉴定人，依法接受委托，并运用计算机理论和技术以及其它相关的专门知识对与计算机相关案件的有关内容进行专业判断、鉴定，并出具司法鉴定意见的活动。 计算机司法鉴定：

9. 二、计算机司法鉴定特点 鉴定主体具有特定性与复合性 鉴定客体具有动态性、隐蔽性、复杂性 鉴定技术具有变化性 某些鉴定结论形成具有局限性

10. 计算机司法鉴定特点的理解 鉴定主体 鉴定主体应具有法律、计算机以及其他相关专业知识 鉴定客体 电子数据易变化、易消失、隐蔽性强 鉴定技术 鉴定技术方法需要不断更新 鉴定结论 很多鉴定难以形成肯定结论

11. 三、计算机司法鉴定分类 根据计算机系统的不同可分为： 基于主机的司法鉴定 基于网络的司法鉴定 根据电子数据的形态可以分为： 静态数据的鉴定 动态数据的鉴定

12. 三、计算机司法鉴定分类 根据司法鉴定特点可分为： 来源鉴定 同一鉴定 内容鉴定 相似性鉴定 功能鉴定 损失鉴定 复合鉴定

13. 第二节 计算机司法鉴定方法

14. 一、计算机司法鉴定相关模型 基本过程模型 事件响应过程模型 法律执行过程模型 过程抽象模型 其他

15. 基本过程模型 保证安全并进行隔离（secure and isolate） 对现场信息进行记录（record the scene） 全面查找证据（conduct a systematic search for evidence） 对证据进行提取和打包（collect and package evidence） 维护监督链（maintain chain of custody）

16. 事件响应过程模型 攻击预防（Pre-incident Preparation） 事件侦测（Detection of the Incident） 初始响应（Initial Response） 响应策略匹配（Response Strategy Formulation） 备份（Duplication） 调查（Investigation） 安全方案实施（Secure Measure Implementation） 网络监控（Network Monitoring） 恢复（Recovery） 报告（Reporting） 补充（Follow—up）

17. 法律执行过程模型 准备阶段（Preparation） 收集阶段（Collection） 检验阶段（Examination） 分析阶段（Analysis） 报告阶段（Reproting）

18. 过程抽象模型 识别 准备 策略制定 保存 收集 检验 分析 提交

19. FTK取证与分析实例

20. FTK取证与分析实例

21. FTK取证与分析实例

22. FTK取证与分析实例

23. FTK取证与分析实例

24. FTK取证与分析实例

27. FTK取证与分析实例

28. FTK取证与分析实例

29. FTK取证与分析实例

30. 第三节 计算机司法鉴定内容

31. 本节主要内容 来源鉴定 同一鉴定 内容鉴定 相似性鉴定 功能鉴定 损失鉴定 复合鉴定

32. 一、来源鉴定 所谓来源鉴定，就是根据委托人提供的有关资料，确定机器或软件最初来源的鉴定。 来源鉴定主要用来确定电子数据来源和违法犯罪者机器的地理位置。包括利用IP地址确定来源，利用MAC地址确定来源，利用电子邮件头部地址确定来源等。

33. Email来源鉴定

34. Email来源鉴定

35. 二、同一鉴定 同一鉴定指的是根据委托人提供的文档资料，确定文档是否为原始信息；或者根据提供的两份电子文档，确定其是否一致。

36. 三、内容鉴定 内容鉴定主要指鉴定文档内容的真实性、以及对秘密的、隐藏的数据信息进行发现、分析、判断和确定的工作。可以分为文档内容真实性鉴定、存储设备被破坏后的鉴定、加密信息内容的鉴定等。

40. 四、相似性鉴定 相似性鉴定指对两份软件或程序进行比对，检验软件在形成过程中是否存在相似性。相似性鉴定主要在知识产权领域采用。最常见的为软件“实质相似”鉴定。

41. 五、功能鉴定 主要是对计算机软件（主要指那些带破坏性的程序）的功能、特征进行分析、鉴定。

42. 六、损失鉴定 对网络犯罪中涉案资产损失进行评估。资产主要指案件涉及的计算机资产、包括无形资产和有形资产。

43. 七、复合鉴定 复合鉴定指涉及复杂事项的一些特殊鉴定。主要包括计算机会计鉴定、加密数据的鉴定、计算机证据链鉴定等。

44. 第四节 计算机司法鉴定文书制作

45. 一、计算机司法鉴定文书制作概述 司法鉴定文书是司法鉴定机构和司法鉴定人依照法定的条件和程序、运用科学技术和专门知识对诉讼中涉及的专门性问题进行分析，鉴定和判断后出具的记录和反映司法鉴定过程和司法鉴定意见的书面载体。

46. 计算机司法鉴定文书分为两大类： 计算机司法鉴定意见书 计算机司法鉴定报告

47. 两种鉴定文书的比较 计算机司法鉴定意见书是司法鉴定机构和司法鉴定人对委托人提供的电子数据相关材料进行检验、鉴别后出具的记录司法鉴定人专业判断意见的文书。 计算机司法鉴定报告书是司法鉴定机构和司法鉴定人对委托人提供的电子数据相关材料进行检验后出具的客观反映司法鉴定人的检验过程和检验结果的文书。

48. 二、计算机司法鉴定文书主要内容 封面部分 正文部分 附件部分

49. 正文部分主要内容 标题:写明司法鉴定机构的名称和委托的事项。 编号:写明司法鉴定机构缩略名、年份、专业缩略语、文书性质缩略语及序号。 基本情况:写明委托人、委托鉴定事项、受理日期、鉴定材料、鉴定日期、鉴定地点、在场人员、被鉴定人等内容。 检案摘要:写明委托事项涉及案件的简要情况。 检验过程:写明鉴定的实施过程和科学依据，包括检材处理、鉴定程序、所用技术方法、技术标准和技术规范等内容。

50. 正文部分主要内容 检验结果:写明对委托人提供的鉴定材料进行检验后得出的客观结果 分析说明:写明根据鉴定材料和检验结果形成鉴定意见的分析、鉴别和判断的过程 鉴定意见:应当明确、具体、规范，具有针对性和可适用性 落款:包括司法鉴定人签名处预留空白、司法机构盖章预留空白、写明司法鉴定人的执业证号、文书制作日期等。此处必须由实际参加案件鉴定的有计算机鉴定职业资格的鉴定人员签名，盖鉴定机构公章方有效 附注:此处写明司法鉴定文书中需要解释的内容。如，检验材料方式是否随鉴定报告一起退回的说明