查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《犯罪研究》
虚拟现场数字证据搜索技术综述
【作者】 廖根为【作者单位】 华东政法大学
【分类】 刑事侦察学
【中文关键词】 数字证据;搜索技术;特征码;数字指纹;痕迹信息
【英文关键词】 digital evidence; searching technology; signature code; digital finger print; traceinformation
【期刊年份】 2010年【期号】 6
【页码】 26
【摘要】

在虚拟犯罪现场固定数字证据前,需要在大量数据中搜索和定位与案件事实相关联的数字证据。为了及时准确定位数字证据,必须依赖计算机相关技术,虚拟现场常采用的搜索技术包括基于字符串的搜索技术、基于特征码的搜索技术、基于数字指纹的搜索技术、基于痕迹信息的搜索技术等。

【英文摘要】

Before preserving digital evidence relative to the fact of cases from the virtual crimescene, it is required to search and locate it among massive data. In order to locate digital evidencepromptly and accurately,it is necessary to adopt computer technologies associated, such as thesearching technologies, in the area of virtual scene which involve the string-based searchingtechnology, the signature-code-based searching technology, the finger-print-based searchingtechnology and the trace-information-based searching technology.

【全文】法宝引证码CLI.A.1153237    
  
  

一、引言

当互联网中发生与网络相关的犯罪时,需要从虚拟的犯罪现场中固定与案件事实相关的证据。由于数字证据是以数字化形式存在的,具有无形性、技术性、隐蔽性、复杂性等特点,对其固定与传统证据有较明显的区别,无法通过肉眼直观判断数字证据的有无和具体位置。由于在虚拟空间中,存储着大量的杂乱无章的数据。在这些数据中,只有很少的一部分数据是与案件相关的。在犯罪调查取证中,只需要收集这些与案件相关部分的证据。因此,需要事先通过搜索或检查等方法过滤掉无用的数据,确定与案件相关的数字证据。搜索可以通过人工手段也可以通过计算机自动处理进行有限或者全部处理。通过人工方法在虚拟现场中寻找案件相关证据是难以想象的。一方面,案件调查需要在有限的时间内完成;另一方面,很多数据必须借助特定的工具才能够被人所理解。因此,通过技术方法进行自动收集案件事实相关证据是网络犯罪或相关犯罪调查取证必不可少的。

在虚拟的犯罪现场搜索数字证据,目的是为了从大量杂乱无章的数据中快速且准确地找出确实与案件事实相关的数字证据。良好的搜索技术能够快速定位与案件事实相关的证据,又不过多地将一些无关证据搜索出来。在虚拟现场中搜索数字证据的技术有很多,但都需要根据一定的预测信息从现场中获取。根据预测信息的方式不同,大体可将虚拟空间搜索数字证据的方式分为基于字符串的搜索技术、基于特征码的搜索技术、基于数字指纹的搜索技术、基于痕迹信息的搜索技术。

二、数字证据搜索技术

在虚拟空间中搜索数字证据时,完全采用人工方法逐一检查所有相关的数据信息是不可行的。由于信息量大、相关数字证据信息量少,所以需要充分利用计算机的自动处理能力。利用计算机技术搜索数字证据时,一般需要使用一定的预测信息。当计算机逐一检查虚拟空间数据信息时,通过一定方法进行计算,当所得结果值符合预测条件时,可以将获取的数字证据作为证明案件事实的初步证据。根据预测信息的不同,可以将其分为四种完全不同的预测信息。

第一种信息是与被搜索或检查数字证据内容或者属性相关的信息,这种预测信息所搜索的结果与需要获取的数字证据存在一定关联关系。通常,需获取的数字证据是搜索结果的一个子集。

第二种信息是与被搜索或检查数字证据内容密切相关的信息,且该信息与该数字证据具有较好的对应关系。这种预测信息所搜索的结果与需要获取的数字证据存在较强的对应关系,能比较准确地搜索出需要的数字证据。

第三种信息与被搜索或检查数字证据的所有内容存在密切联系的信息,该信息与该数字证据一般具有较好的一一对应关系。将虚拟犯罪现场相关数据信息转化为需要比对的信息,便能搜索需要获取的数字证据,且搜索的准确度较高。老婆觉得我剪头发浪费钱

第四种信息与被搜索数字证据的内容或者属性存在间接的联系,通过该信息的获取,可以间接地确定需要搜索的数字证据的具体位置,或者可以确定搜索数字证据所使用的预测信息。

按照四种不同信息所使用的搜索技术依次可以称为基于字符串的搜索技术、基于特征码的搜索技术、基于数字指纹的搜索技术、基于痕迹信息的搜索技术。

1.基于字符串的搜索技术

如果事先能够确定数字证据包含的部分内容,可以将该信息作为检索条件从现场中检索符合条件的所有数字证据。例如,利用文件名、文件创建时间、文件修改时间、文件内容中所包含的字符串等信息。这些信息一般由字符串组成,将不同字符串根据不同的条件进行组合检索的技术为基于字符串的搜索技术。这里的字符串可以是二进制字符、ASCII字符、Unicode字符、MIME字符、…等等。

在虚拟犯罪现场中搜索数字证据时,该方法是最常用的方法之一。根据收集的场所又可进一步划分为存储介质中搜索、文件系统中搜索、应用系统中搜索等多种方法。在存储介质中搜索数字证据时,一般根据给定的字符串组合条件情况,从存储介质的开始到结尾,依次将字符串组合条件与介质中数据依次进行匹配,如果符合匹配条件,则将匹配所得的信息进行记录,最后将记录的信息提供给调查人员进行进一步分析和判断。文件系统中字符串匹配与存储介质中字符串匹配方法类似,唯一不同的是检索时需要在所在操作系统平台支持的一个或几个文件系统框架下进行,这表明有些隐藏的数据、文件系统中被删除的数据、被覆盖的残留数据、不能被系统识别的其它数据等均不能通过该方法检索出来。应用系统中字符串匹配指的是通过应用系统提供的检索功能进行字符串匹配或数据检索。通常,应用系统将要使用的所有数据存储在数据库中。需要数据时,再通过数据库提供的标准查询语句进行检索。因此,最常见的应用系统中字符串匹配是数据库中字符串的匹配。在数据库检索中,通过提供一种结构化的查询语言供数据库使用者进行检索数据。这种查询语言可以通过将复杂的条件表达式找到满足特定条件的数据库记录信息。

准确度是衡量基于字符串搜索技术定位数字证据好坏的关键因素之一。准确度高低除了与使用的算法有关外,还与字符串条件组合的情况有关。通常情况下,使用基于字符串搜索技术常搜索出大量的与案件无关的数据信息,使得进一步定位与案件相关的数字证据变得比较困难。

2.基于特征值的搜索技术

基于特征码的搜索技术也是一种常用的搜索技术,与基于字符串搜索不同的是,该方法中特征码信息来源于文件内容,且匹配条件简单,一般进行相同或相似的匹配,通常速度快、准确性高,常用来搜索破坏性代码证据,例如,在计算机病毒检测中,当出现新病毒时,将从病毒程序中寻找并提取一部分能够代表该病毒的唯一的二进制代码,作为该病毒的特征值,并将该病毒特征值添加到病毒特征码数据库中。如果需要检测病毒,只需要与病毒特征码数据库中特征码逐一比较,用以判断某程序是否属于已知病毒。使用特征码检测破坏性代码(注:一般只能检测计算机病毒、蠕虫和木马,不能检测其他破坏性代码),只能检测已知的破坏性代码,不能检测未知的破坏性代码。而且对于某些擅于伪装的代码难以发现或检测。

基于特征码的搜索技术效率高、准确率高,但应用范围受到较大限制,一般只用来检测已知的破坏性程序代码,对于其它数字证据无法进行识别和定位。

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。

中小学减的负已经加到家长身上了

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1153237      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多