1、计算机和设备电子数据鉴定
2、网络电子数据司法鉴定
3、电子数据取证、存证
4、电子数据专家辅助证人
5、电子数据现场勘验
6、IT审计
(一)、计算机和设备的电子数据司法鉴定技术 包括存储介质的证据保全技术、数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等。
1.证据保全技术。对原始检材进行位对位的复制,原始检材中的内容不会丢失、遗漏,也不会被修改,包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等。
2.数据恢复技术。将电子设备存储介质中被直接删除的数据及少量次数覆盖删除的数据,全部或部分还原出来。
3.加密解密技术和口令获取。①密码破解技术,②口令搜索,③口令提取,④口令恢复。
4.隐藏数据的再现。将内容嵌入图像、音视频或其他类型的文件,被隐藏起来的证据信息还原出来。
5.信息搜索与过滤。使用信息搜索、过滤和挖掘技术,快速定位电子证据。包括数据搜索引擎、数据过滤、数据挖掘等。
6.逆向工程分析。分析目标主机上可疑程序的行为,从而获取证据。
7.芯片数据提取。从存储在各种办公或个人电子设备的芯片获取存储涉案的电子证据。
8.计算机软件代码一致性鉴定
1)由相同高级语言写成的两段源程序对比
2)源程序和目标程序之间的对比:
3)双方目标代码之间的对比
分析的软件类型为:嵌入式软件、系统软件、ERP应用软件、大型专业管理件(涉及复杂关系数据库)、专业软件(建筑软件)、游戏软件(unity3d工具);
分析的软件语言为:硬件编程语言所涉及的语言包括VB/VC/C/C++/.net/java/脚本语言/汇编/Delphi/verilog/vhd/PLC/.NET平台下的C#.NET、VB.NET、C++.NET、J#.NET、F#.NET等;
分析的操作系统:涉及主流三大操作系统linux、windows、android
分析的数据库:sql、oracle、ACCESS
(二)、网络电子数据司法鉴定
通过网络通信的数据信息资料获取证据的技术。包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术、漏洞扫描技术等。
1.网络环境下的证据保全。网络环境下对证据的实时保全,随时导出、备份需要鉴定的信息,同时对信息Hash校验,保证这些证据信息的客观真实性。
2.日志分析。日志分析技术,鉴定某时段的CPU负荷、IP来源、恶意访问、系统异常、用户操作记录和习惯等重要信息。
3.数据捕获。通过截获和分析入侵终端发出的或者被入侵主机发出的网络数据包,获得攻击源地址以及攻击的类型与方法。
4.现场重建。建立一个与案件网络环境类似的模拟试验环境,还原案件的真实原貌。常用的技术包括web数据库技术、远程连接与控制技术、网络攻击与防御技术等。
(三),电子数据取证、存证
电子数据证据化,证明数据的有效性。取证方式可以通过现场对硬盘进行物理拷贝取证,也可以通过网络远程取证; 通过将司法鉴定取证规范与标准前置到取证工具中,解决目前电子数据保全过程中遇到的取证手段有限、证据效力不高以及传统出证不够便捷的问题。同时国创鼎诚知识产权司法鉴定中心还可以为企业提供存证服务。
(四)、专家辅助证人
针对案件涉及的特定技术领域,为法院或者诉讼当事人提供熟悉该技术领域的专家辅助证人出庭服务
(五)、现场勘验服务
协助法院、公安、当事人进行现场勘验对电子数据进行提取和固定。
(六)、IT审计
协助检察院、公安对固定后的企业财务数据等电子数据进行审计。
二、设备资质
电子数据司法鉴定业务常用的软硬件工具
(一)硬件工具
1.硬盘取证设备。将硬盘取出直接与拷贝机连接实现硬盘数据的全面复制。可兼容SATA硬盘接口、SCSI硬盘接口、SAS硬盘接口、USB接口、PCMCIA接口。
2.取证勘查箱。由于电子证据取证涉及的信息存储介质种类很多,主要有软盘、硬盘、光盘、闪存、各种存储卡、不同的掌上电脑及手机等。现场取证时携带相应的取证勘察箱。
3.司法分析服务器。司法分析服务器也叫取证塔,是专门配置了多种只读接口的高性能、大容量的专用电子证据分析计算机,根据法证分析软件的要求及特点进行优化,能够充分提高证据分析、处理的效率。
4.手机取证工具。这类工具专门用于手机设备的相关数据的固定。
(二)软件工具
1.综合取证分析软件。电子数据司法鉴定使用功能强、自动化程度更高、同时更加精确、稳定和安全的软件工具EnCase、X—Ways Forensic。
2.数据恢复工具。专门用于恢复被删除的数据,如取证大师,Final Data、Easy Recovery、R—Studio等数据恢复软件。
