计算机犯罪侦查概述

1. 计算机犯罪侦查概述

2. 内容安排 一、计算机犯罪的定义和发展 二、计算机犯罪的特点和规律 三、计算机犯罪的侦查和取证 四、计算机犯罪的鉴定和审判 五、计算机犯罪的研究和对策

3. 一、计算机犯罪的定义和发展 • 计算机犯罪的起源： • 经济利益 • 军事利益 • 政治利益 • 计算机犯罪的“第一”： • 世界上第一起有案可查的计算机犯罪1958年发生在美国。 • 美国一家银行的计算机顾问在参观银行的线路转送室时窃得电子资金转送系统的密码。 • 中国第一例计算机犯罪（利用计算机贪污）发生于1986年。 • 1986年，中国第一起“黑客”案。 • 1998年8月21日，自新《刑法》实施以来第一起以“破坏计算机信息系统”罪名实施侦察批捕的刑事犯罪案件。

4. 一、计算机犯罪的定义和发展 • 计算机犯罪的定义： • 美国司法部的定义是：“在导致成功起诉的非法行为中，计算机技术和知识起了基本作用的非法行为。 • 欧洲合作与发展组织对计算机及网络犯罪的定义是：“在自动数据处理过程中，任何非法的、违反职业道德的、未经批准的行为都是计算机犯罪行为”。 • 中国：《中华人民共和国刑法》的第285条、286条、287条 。

5. 一、计算机犯罪的定义和发展 • 计算机犯罪的广义定义： • 计算机犯罪是通过非法（未经授权使用）或合法（计算机使用权人）利用计算机和网络系统，采取具有计算机运行特点的手段，侵害了计算机和网络系统的安全运行状态，或者违反计算机或网络安全管理规定，给计算机或网络安全造成重大损失等给社会带来了严重的社会危害，违反了刑事法律，依法应受刑事处罚的行为。 • 利用计算机及网络信息系统进行的犯罪； • 针对计算机及网络信息系统进行的犯罪； • 将计算机及网络信息系统作为犯罪场所。

6. 一、计算机犯罪的定义和发展 • 计算机犯罪的形式： • 受网络影响的传统犯罪 • 借助于网络进行的传统犯罪 • 传统犯罪与网络结合而产生的新型犯罪 • 纯粹由网络产生的新型犯罪

7. 一、计算机犯罪的定义和发展 • 计算机犯罪的发展： • 案件数量的发展； • 手段样式的发展； • 危害程度的发展； • 对抗强度的发展； • 涉案广度的发展。

8. 一、计算机犯罪的定义和发展 • 计算机犯罪的发展趋势： • 危害国家安全的案件持续上升，危害性大。 • 侵犯公私财物的案件呈多发趋势。 • 危害计算机信息网络安全的案件增幅较大。 • 侵犯公民人身权利和民主权利的案件增多。 • 利用计算机制作、复制、传播色情、淫秽物品的案件十分突出。 • 青少年网络犯罪增多。

9. 二、计算机犯罪的特点和规律 • 计算机犯罪的特点： • 计算机犯罪呈组织化、国际化 • 计算机犯罪由单极向多极发展 • 计算机犯罪的犯罪嫌疑人呈低龄化 • 新的计算机犯罪类型不断出现 • 计算机犯罪行为隐蔽性强，侦查取证难

10. 二、计算机犯罪的特点和规律 • 计算机犯罪领域不断拓宽： • 军事领域的计算机犯罪将增加 • 国家事务领域的计算机犯罪不可小视 • 经济领域的计算机犯罪将愈演愈烈 • 公共信息服务业将成为计算机犯罪的重灾区 • 通信领域的计算机诈骗和破坏活动日趋增加 • 网上泄密、窃密将成为涉密犯罪的主要形式 • 针对计算机信息系统的计算机犯罪将逐渐增加 • 利用计算机及网络制作、传播黄色淫秽物品将成为黄毒犯罪的主要形式

11. 二、计算机犯罪的特点和规律 • 计算机犯罪的规律： • 利用&涉及计算机的犯罪； • 利用&涉及互联网的犯罪； • 利用&涉及与计算机或互联网技术相关的设施设备的犯罪。

12. 三、计算机犯罪的侦查和取证 • 计算机犯罪的侦查： • （公安业务） • 计算机犯罪的取证： • 现场勘查； • 证据固定； • 检验鉴定； • 报告出据。 取 证

13. 静态 85% 各种存储介质的获取与复制 动态 9% 内存数据,通讯状态,IE自动提交数据获取; 通讯程序帐号/密码的获取; 仿真运行的数据-例如财务数据/数据库 网络 5％ 网络信息取证系统; 网络远程取证系统; 特殊获取 1％ XX信息特殊获取技术; XX侦察工具; 取的含义 取-指信息数据的获取.

14. 分析 勘察箱软件包 证据分析软件-ENCASE/FTK 解密 各种密码破解软件、数据恢复等软件的使用； 关联 QQ关联分析； 后期分析系统-AN6的使用； 证的含义 证- 从拿到的信息数据中找出有用的信息与情报。 并使用相关证据分析系统深度挖掘和剖析。

15. 静态 各种存储介质的获取与复制 动态 内存数据,通讯状态,IE自动提交数据获取; 通讯程序帐号/密码的获取; 仿真运行的数据-例如财务数据/数据库 硬盘复制设备 特定数据获取设备 光盘与各种存储介质复制设备 PDA与手机数据获取设备 电子数据现场综合取证设备 网络 网络通讯内容的获取与分析; 通过网络远程获取对象数据; 特殊获取 U盘信息特殊获取技术; 手机侦察工具; 静态获取

16. 目前各种常见的硬盘类型 IDE 3.5”硬盘-用于台式机; IDE 2.5”硬盘-用于笔记本; 东芝1.8”硬盘-用于笔记本 SATA 3.5”硬盘-用于台式机; SATA 2.5”硬盘-用于笔记本; SCSI68针-用于服务器 SCSI 80针-用于服务器 IDE 接口的硬盘 SATA接口硬盘 SCSI 接口硬盘

17. DC-8101(公安部立项) 复制IDE/SATA硬盘最快的复制机 只需要复制IDE/SATA，希望提供DD-Image方式。使用什么样的复制设备？ • 最高复制速度 IDE6G/分钟； • 实测目前硬盘 4.3G/分钟； • 支持SATA/IDE 硬盘位对位进行复制； • 独创的单键式操作, 使用方便； • 超强的容错能力，适合针对有缺陷硬盘的证据复制； • 提供DD Image 复制方式； • 提供MD5 验证； • 支持 IDE SATA硬盘。

18. 工作中遇到的问题：经常遇到SCSI硬盘要复制；在现场工作时担心停电对复制工作的影响；工作中遇到的问题：经常遇到SCSI硬盘要复制；在现场工作时担心停电对复制工作的影响； 所有硬盘都能够复制的复制机 • 最高克隆速度 IDE3.3G/分钟， SCSI 1.1G/分钟 • 具有100%的复制（位对位）功能； • 为了降低现场工作时间提供快速复制功能。 • 提供电源后备功能,提高可靠性,适合特殊工作； • 独创的单键式操作, 使用十分方便； • 超强的容错能力,克服了国外克隆的弱点。 DC8200

19. 开机后系统会自动置于COPY模式而且不再有任何确认提示开机后系统会自动置于COPY模式而且不再有任何确认提示 操作方便,支持所有类型硬盘 按下“START”按钮１次，开始克隆…… DC8200/CD200 支持所有类型硬盘的复制(配合转换器) 适合进现场的要求． 适合特殊工作，不容易出错

20. 取证时,可以暂时离开现场,在移动中不间断复制工作取证时,可以暂时离开现场,在移动中不间断复制工作 取消取证时对电源环境的依赖,提高复制系统工作可靠性 后备电池功能-特殊工作专用 • 后备电池将提供两小时的连续工作时间 • 在无外接电源的情况下,提供连续复制4个80G 硬盘,2个160G硬盘;

21. 国外常见复制产品 • Logicube MD5 ICS SOLO-III

22. 以上复制方案的特点 • 需要拆卸出硬盘进行复制工作． • 不适合复制难拆卸的笔记本和现场时间紧迫的环境！

23. 静态 各种存储介质的获取与复制 网络通讯内容的获取与分析; 通过网络远程获取对象数据; 特殊获取 U盘信息特殊获取技术; 手机侦察工具; 静态获取 硬盘复制设备 特定数据获取设备 光盘与各种存储介质复制设备 PDA与手机数据获取设备 电子数据现场综合取证设备

24. 不卸硬盘进行复制的复制机 现场特定数据获取设备DC-8500/CD-500 • 提供火线400/800/USB 2.0接口 • 支持不卸硬盘，对硬盘快速复制 • 提供DD镜像功能，镜像文件可以直接由ENCASE、FTK进行分析；适合案件勘察。 • 支持不卸硬盘, 对硬盘特定目录/特定文件复制。适合案件侦察。

25. DC-8500/CD-500 火线Ａ，Ｂ USB1.1/2.0 启动光盘 CD-500 对方计算机 复制速度： 平均1-1.8G/分钟； 可以通过笔记本的端口连接火线B的端口，数据复制速度最高可以达到2Ｇ/分钟;

26. 组成部分 CD-500复制设备 1394通讯卡 电源试配器 1394A,B USB连接线 系统启动光盘

27. 兼容性 DC-8500/CD-500支持的系统: Windows 95 Windows 98 Windows me Windows 2000 Windows NT Windows XP Windows Server 2003 • DC-8500/CD-500提供的接口: FireWire800 (1394B) FireWire400 (1394A) USB2.0/1.1

28. DC-8600多功能取证分析系统

29. DC-8600启动光盘 DC-8600 复制设备 系统组成

30. 离线取证 在线取证 系统特点 不拆机复制硬盘 支持磁盘阵列获取 DC-8600 在线取证系统 易丢失数据提取 个人关键信息提取 取证流程监管功能

31. 离线取证 不拆机复制硬盘 支持磁盘阵列获取 提供硬盘完全复制功能； 提供DD-Image方式； 提供MD5、SHA1验证功能； 提供特定文件复制功能-（磁盘阵列）

32. DC-8600启动菜单

33. 硬盘复制功能 复制功能 擦除功能 散列计算功能

34. 专门复制MAC苹果系统的复制机 苹果笔记本计算机如何复制？ 计算机以及MAC操作系统结构与普通运行windows系统的PC机完全不同 ，因此DC8600/8500无法工作。 MAC-500苹果机调查取证系统

35. MAC-500苹果机调查取证系统 • 提供硬盘位对位完全复制功能； • 复制速度快，实际工作速度已经超过4.3G/分钟； • 兼容性好，支持G3、G4、G5等类型的各种计算机； • 提供MD5 验证功能，与数据单向复制功能，符合电子取证规范； • 支持多种接口1394B，1394A，USB2.0/1.1 ； • 提供对目标计算机具备多个硬盘的分次复制功能； • 系统操作简单，提供了免交互式的盲操作方法； • 体积小便于携带；

36. 世界上最小的硬盘复制机 以上设备体积偏大，特殊场合无法带进去，是否可以有一种设备综合以上两种复制功能？ • 便于携带,可以藏在口袋中； • 不仅支持硬盘对硬盘的复制，同时也支持不拆机复制硬盘。 微型多功能硬盘复制机CD-150

37. 微型多功能硬盘复制机CD-150 • 硬盘对硬盘复制速度可以达到2.5G/分钟； • 不拆机复制功能，支持特定数据复制与DD Image 复制方式； • 提供USB2.0/1394A两种接口，调查人员可以直接连接复制硬盘进行分析。

38. 静态 各种存储介质的获取与复制 静态获取 硬盘复制设备 特定数据获取设备 光盘与各种存储介质复制设备 PDA与手机数据获取设备 电子数据现场综合取证设备

39. 光盘复制设备 DC-8300 问题：现场有多种格式的光盘，比如MAC格式的光盘是否有简单有效的方式将其都复制下来？ 用于快速复制对象的介质用于后期分析； 复制速度： CDROM 1-5分钟 DVD 5-8分钟 适用於多种光盘格式； 操作简单支持一键复制功能；

40. 各种存储卡的复制-只读读卡器 问题： 工作中经常遇到各种存储卡，如何在保证司法有效性的情况下完全复制？ • 只读读卡器+计算机+ENCASE • 禁止使用数码伴侣之类的产品进行复制或直接在存储卡上进行各种分析工作; 12合一多功能只读读卡器

41. 静态 各种存储介质的获取与复制 静态获取 硬盘复制设备 特定数据获取设备 光盘与各种存储介质复制设备 PDA与手机数据获取设备 电子数据现场综合取证设备

42. 手机/PDA数据获取套件 问题：如何固定与提取手机中的各种数据？ • SIM卡信息提取:能够有效的取出SIM卡中存放的号码记录信息,并可以找出被删除的号码; • 获取TDMA/CDMA 手机中存放的加密手机簿信息; • 提取各种GSM手机中存放的各种信息;手机簿,短消息,WAP文件….

43. 支持设备类型 手机 PDA • Nokia (GSM and TDMA) • LG (CDMA, GSM) • Sony-Ericsson • Motorola • Siemens • Samsung (CDMA, GSM) • Symbian • GSM SIM Cards 1. Palm through 5.4 2. Windows CE/Pocket 3. PC/Mobile 5.0 4. BlackBerry 4.x 5. Symbian 6.0 6. EPOC 16/32

44. 手机/PDA数据获取套件 包含硬件与分析软件两个部分。

45. 静态 各种存储介质的获取与复制 静态获取 硬盘复制设备 特定数据获取设备 光盘与各种存储介质复制设备 PDA与手机数据获取设备 电子数据现场综合取证设备

46. 新型现场取证专用计算机 问题：在现场有各种各样的综合情况，例如各种类型的硬盘与存储介质。是否可以快速预览各种电子证据？ “网探”电子数据取证专用机DC-8000 pro

48. 技术优势 提供全功能的只读专用取证接口; • IDE/SATA/SCSI 只读; • USB/存储卡只读; 可以有效的防止他国人员反取证手段的实施; 可以有效保护存储介质的完整性,对方无法察觉

49. 电子数据现场取证设备 IDE硬盘只读保护锁 SCSI硬盘只读保护锁 12合一多功能只读读卡器 只读锁的作用-配合笔记本在现场使用的最佳方案 • 保证司法有效性； • 不留痕迹；

50. CyberBlock SATA/SCSI只读锁 • 功能：可以通过1394B/A或者通过USB2.0/1.0连接分析计算机； • 可以根据用户的需要设置为只读保护或者允许读写 • SATA硬盘只读锁 SCSI硬盘只读锁