电子数据取证工作总结

电子数据取证工作总结（精选13篇）

1.电子数据取证工作总结 篇一

永健老师是我尊敬的大哥，最敬佩他在电子数据取证领域深耕多年，成果丰硕，还在不断的学习和更新知识，他的人生经历也是颇具传奇色彩。欣闻他又在精益求精的整理“CDF电子数据取证训练营”的教案和课件，同时邀请我聊几句，不禁诚惶诚恐。

在电子数据取证领域，我是一个完全的新人。带学生参加全国电子数据取证比赛，我们没有设备，没有工具，甚至我和学生都是丈二和尚摸不到头脑。是郭总提供了设备，提供工具，亲自授课，无私的帮助了我们。直到今天，我仍然是一名小学生，尽管无知无畏的刷过CCFC这样的大会，但新的取证与反取证技术的发展，实践中遇到的各种各样的问题，绝对不是一次比赛能完全涵盖和体现出来的。靠野路子成黑马的我们，其实扎实的基本功，实践的历练一直非常欠缺。

再后来郭老师开设了更加专业的“CDF电子数据取证训练营”，我们也算走上了体系化学习的路。暑假我带学生到武汉培训，正赶上武汉百年一遇的暴雨天气，我们住的酒店停电，交通瘫痪，但郭老师还是坚持讲授，学到知识的同时更是留下了深刻的印象。郭老师善饮，还记得每天培训完，已经是晚上九点多，我们几个带队的老师在郭老师办公室聊天，办公室垃圾桶里总会有几个空的啤酒罐，原来是那段时间，郭老师参加能力验证写报告，每天都要熬夜，多少个深夜，就是啤酒伴着撑了下来吧。

这种感受，我想每一个取证人都体会过，多少个夜晚，为了解决问题，熬着，痛苦着，也享受着成功的喜悦。我又回忆起来有一天很晚了，我在捣鼓一个安卓木马，学生还在群里谈技术问题，之所以支撑我们走下来的原因，我想那就是热爱。后来学生因为技术特长进入了心仪的岗位，我又觉得付出和收获，天地之间真的有一杆秤。

因为热爱，你会抓住一切机会去学习充电;因为热爱，你会抱有空杯的心态，把新的思路，方法，技能随时填补进来;因为热爱，你会见贤思齐，追求技术上的卓越;因为热爱，你会创造一切条件去实践;因为热爱，你会先把功利放一边，而结果却是意外惊喜……

祝贺大家选择了朝阳的领域，选择了自己心爱的方向去奋斗。有几句话送给大家：

学技术我们到底学什么?从实践中来，到实践中去

又认识了哪位大咖?你若盛开，清风自来

学习技术的几重境界：不知道自己不知道;知道自己不知道;知道自己知道;不知道自己知道。你在哪一层?

2.电子数据取证工作总结 篇二

2013 年1 月1 日开始施行的新刑诉法中, 新增了电子数据作为证据类型, 电子数据取证技术体系在我国司法领域逐渐获得了极高的认知度, 我国公安、检察等多个部门先后组建了符合各自实际情况的计算机取证技术电子物证保障体系, 对电子数据取证技术和发展趋势的研究也逐渐成为热门。

本文通过实地调查研究, 以司法机关一线实战部门的相关工作作为分析对象, 调阅查看了从2013 年到2015 年近三年以来有关电子数据取证的装备发展、案件受理、检材检验的文档300 余份, 实地走访了公安、检察和取证技术公司的相关部门, 深入访问了从事电子数据取证工作的有关专家和技术人员, 取得了大量详实的一手资料, 并在这些客观资料基础上开展研究分析, 梳理工作脉络, 分析发展趋势, 为下一步工作方向提供参考。电子数据取证技术主要是2003 年开始发展起来, 先后经历了四个发展阶段。

第一阶段 (2003 年-2009 年) :实验摸索阶段。这一阶段电子数据取证工作还处于起步摸索阶段, 主要学习参考国外一些取证技术和模式, 没有专门的技术区域, 配置的装备也主要是ENCASE等国外取证工具, 开展工作内容主要是针对计算机硬盘数据的提取、固定和分析。

第二阶段 (2009 年-2010 年) :硬件设施快速发展阶段。这一阶段我们建立起了专门的电子数据取证技术实验室, 采购了大量国内外先进的取证工具和设备, 按照标准完成了实验室质量管理体系, 强调实验室规范化流程。

第三阶段 (2010 年-2013 年) :技术能力提升阶段。这一阶段通过实战运用消化技术理论, 熟练掌握装备运用, 培养取证人员队伍, 进行实验室能力验证, 技术水平得到大幅提升, 并有重点的开发破解密、程序功能检测等取证特长。

第四阶段 (2013 年-2015 年) :全面发展阶段。这一时期电子数据取证进入全面发展阶段, 以“云计算”的概念, 打造“云取证”技术平台, 实现技术协助、资源共享共用。在传统硬盘、手机、移动存储介质取证之外, 还积极推动视频图像鉴别、海量数据挖掘、远程取证分析等技术能力的建设。

2 电子数据取证工作特点

2.1 技术发展快、产品更新快

电子信息技术在上个世纪70 年代引发技术革命以来, 其发展速度一直处于爆发式状态, 各类电子产品的更新换代非常频繁, 以苹果手机为例, 从2007 年出现第一代IPHONE手机, 到2015 年八年间已经发展到第六代IPHONE 6S, 对应的IOS系统从最初的i Phone runs OS X到IOS 9.0 升级了二百多次, 平均20 天就有一次升级, 针对这些电子产品每次硬件和软件的升级换代, 取证工具和技术也必然要跟进。

2.2 技术性难题不断涌现

就目前看, 电子数据取证的技术性难题有:一是被填充覆盖的电子数据不可恢复, 如视频监控硬盘、数据机房硬盘等都有大量数据反复读写、覆盖, 使用专门数据擦除工具的也会用其他数据进行填充, 这些都难以进行数据恢复;二是特殊产品的加密数据难以被提取, 主要是新版本新系统的加密苹果手机、个人保密U盘和移动硬盘等产品, 由于生产厂家采用封闭系统和特殊加密算法, 使得要提取这些设备上的电子数据变得困难, 加上产品硬件软件更新换代频繁, 让取证技术始终处于追赶的被动地位, 短期内还难以改变;三是强加密数据破解有难度, 如多位数多组合密码、专业加密容器等, 不管使用暴力破解还是字典破解都要耗费大量物力和时间。相信随着技术应用不断多元化发展, 相应的难题还会不断出现。

2.3 工作涵盖范围广, 专业知识不断细化

电子数据取证的对象类型很多, 从移动硬盘到存储阵列, 从光盘软体到平板电脑, 有几百家主流厂商、上万种设备型号, 涉及Android、IOS、WINDOWS、Linux等十几种操作系统和延伸应用程序, 对取证人员的专业知识要求广且精, 在一些具体案件上, 还需要对HTTP、SQL等传输协议和脚本语言有深入的了解, 而随着专业知识的普及和深化, 取证技术也呈现出类别细化的趋势。

2.4 环境条件限制多

电子数据取证工作受到的环境条件制约较多, 如电子产品硬软件的损坏、老化和换代升级、加密擦除等反取证技术的使用及电磁、温度、湿度等环境因素的变化, 都可能不同程度的影响取证结果。随着我国新刑诉法将电子数据纳入证据类型, 司法实践越来越多越来越普遍, 相关标准和规范的出台也可预见, 对取证方法、手段、规程的要求会越发严苛。

3 取证技术的发展趋势

从电子数据取证工作的四个发展阶段可以看出, 取证技术的发展是基于电子信息技术发展的, 电子信息技术智能化、多样化、综合化的发展趋势也必然引导取证技术的发展方向。从近三年实验室取证工作的统计中, 我们也可以分析得出几个趋势。

3.1 针对移动智能终端的取证成为主流

随着半导体向集成系统方向的发展以及移动多媒体技术的快速进步, 电子产品向着集成化、多样化和移动化发展。例如智能手机就是集成多种功能的典型产品, 它可集成通信、游戏、照相、MP3、视频等多种功能, 一些极具个性化的设置和应用也促使其在市场中占据了重要位置。智能手机、平板电脑等移动智能终端产品与用户个人捆绑紧密, 日常传输、储存着大量公共的或个人的数据信息, 是电子数据取证工作的重要对象。从2013 年至2015 年统计的检材类型来看, 移动智能终端设备数量占检材总量的比重从15% 上升到28%, 平均每年增加4% 以上, 可见移动智能终端取证会成为取证工作最主要的组成部分。

3.2 海量信息数据取证日渐普遍

目前, 光纤传输技术的应用使主干网传输速度每3 至4个月翻一番, 互联网无线接入技术日臻成熟, 第四代移动电话通信技术正在市场上全面铺开, 固网和无线传输的电子数据信息量已远不能用G级来计量。另一方面, 随着大容量存储介质的开发和商用, T级硬盘的使用越来越普遍, 很多机房的存储容量已达到P级。从实验室取证工作的情况看, 从2013 年以来的送检检材中, 硬盘容量绝大多数都在300G以上, 进入2014 年后, 1T容量的硬盘逐渐取代500G硬盘成为主流。在涉及计算机机房的取证工作中, 海量信息数据的提取、固定和分析更是不可避免。

3.3 电子数据取证涉及领域愈发广泛

电子信息技术的不断创新与应用, 带动了现代信息服务内容的诞生、发展, 逐步形成了当今以网络通信、数字消费、现代电子信息服务等为主的新产业格局, 在为产业发展开拓了更广阔空间的同时, 也将越来越多的行业和领域纳入了电子信息化的范畴。比如网购服务, 从网上订单、在线支付到物流跟踪, 电子信息化的程度已相当高, 而取证得到的数据几乎能够完整反映出每个操作环节。在三年来实验室受检的案件类型中, 除了网络入侵和网络色情、赌博类案件外, 涉及金融、运输、出版等行业的诈骗、盗窃、伪造案件也呈逐年增加的态势, 近期还出现了涉及无线通信行业的伪基站等案件, 可以预见电子数据取证今后涉及的领域会愈发广泛。

4 电子数据取证工作建议

4.1 要持续加强硬件、软件投入

电子数据取证工作是立足于技术能力建设的, 硬件和软件建设是一个长期的、需要投入大量人力、财力、物力的过程, 一是要持续更新先进装备, 二是要跟进前沿技术, 三是要培养专精人才。

4.2 管理工作程序化、规范化

电子数据取证工作既要重视技术的发展, 也要强调程序规范, 这是取证效力的根本保证, 从英国警官协会提出的“电子取证四大原则”到“电子数据”进入我国刑诉法和民诉法, 取证工作的规范化进程一直在推进, 所以取证技术和流程模块化、信息管理规范化加大力度发展。

4.3 科学有效的制定取证规则

目前, 电子数据作为新的证据类型, 法律层面的标准和解释还不具体, 很多规则还不完善, 也缺乏大量司法实践, 立法部门应积极与公安、检察、法院、司法等部门就电子数据提取、固定的方法、流程及司法运用的规则等进行协商沟通, 科学有效的开展相关细则和解释的制定, 为电子数据取证工作的进一步发展打好基础。

5 结语

由于我国现有法律体系已将电子数据纳入证据类型, 关于电子数据的取证也自然成为司法实践活动的热门, 但电子数据取证由于涵盖范围广、技术更新快等原因, 其发展趋势和规律的研究却难以较为准确地把握。笔者作为一名从事一线电子数据取证工作人员, 从切身的体会出发, 严谨客观的收集原始资料, 虚心听取领域内专家、从业人员的意见和建议, 认真分析探寻, 总结归纳了电子数据取证的一些特点以及近期发展趋势, 希望对从事这项工作的同志们提供一定参考。

摘要：电子数据取证是电子技术发展到一定水平的产物, 它的出现是以电子计算机技术和网络技术的发展为前提条件的。随着计算机的普及和网络的发达, 计算机及计算机网络已经逐渐渗透到我们生活的各个领域, 在各类传统犯罪案件中, 不断出现计算机和网络的身影, 包括经济诈骗、网络赌博、传播淫秽色情物品、信用盗窃等, 越来越多地涉及到能够证明犯罪事实的电子数据。

关键词：电子数据,取证技术,移动智能终端

参考文献

[1]邝孔武, 王晓敏.信息系统分析与设计[M].北京:清华大学出版社, 1999.

3.电子数据取证工作总结 篇三

【关键词】数据恢复技术;电子取证;软件恢复技术;硬件恢复技术

一、电子取证概述

所谓电子证据,是指以物理形式存储在计算机系统或其存储器中的资料和指令,包含计算机程序及程序运行所需的信息。

电子取证是运用先进的技术,参照预定的程序和符合当地法律规范的取证方式,全面的检测计算机系统,提取、保护、存储、分析并将其归入犯罪相关证据档案中,呈送法庭的过程。由此我们可以看出电子取证是一个完整的取证流程,需要丰富的技术水平和严密的取证手段。特别是电子数据的恢复更成为取证是否成功的核心,而电子数据的恢复则是核心的核心。数据的恢复技术可分为:软件数据恢复技术、硬件修复技术。

二、计算机数据恢复与电子数据证据取证

（一）计算机数据恢复与电子数据取证的相同点

电子数据的取证与计算机的数据恢复有着较多的共同点。两者在操作之前都要对计算机,特别是计算机系统进行保护。避免有任何的数据破坏或者电子病毒的感染,需要尽可能多的恢复文件或者数据块。虽然服务对象不同,但是本质上来讲都是从存储设备中提取电子数据。所以将计算机恢复技术运用在电子取证中是可行的。

（二）计算机数据恢复与电子数据取证的区别

1.对于数据的类型和完整性的要求不尽相同

数据恢复技术能够恢复的数据主要有文本数据、照片文件、数据表文件、视频文件、图像文件、电子邮件和数据库文件等。既要保证文件的内容,也要保证文件的完整。而电子取证除了上面举出的电子信息之外,还需要系统数据,如:临时文件、页面文件、注册表、浏览器的历史信息、被删除文件和垃圾文件等。不要求这些数据的完整性,即便是一个时间信息,甚至只言片语都对抓获罪犯起着至关重要的作用。

2.数据恢复的技术难度不同

普通的数据恢复主要应对的是由于意外引起的数据的丢失或者损坏。对于电子取证,由于犯罪嫌疑人会有意识的毁灭电子证据,所以取证的难度也随着嫌疑人的计算机水平的不同面临不同的恢复难度。因此,取证的成功与否,不仅要考虑技术因素,更要取决于能否有效的保护证据不被破坏。

三、数据恢复技术在电子取证中的应用

1. FAT数据恢复设计原理

因为FDT与FAT对数据的存储管理是链式的,能够通过链式搜索进行查找,可以定位被删除的文件的位置。

Window操作系统对文件的删除,是将FDT中文件的第一个字符改为“E5”表示文件已删除,同时改写引导扇区的第二个扇区中表示该分区点,用空间大小的相应信息。根据其存储结构,对相应的地方修改,搜索“E5”,再将被删文件数据链进行恢复。过程如下:

（1） 获取分区类型,存储空间,FDT、FAT、等存储的起始扇区。

（2）获取FAT、FDT表项簇的未使用、坏簇及文件占用簇的起始扇区信息等。

（3） 通过确定FAT、FDT不同文件在扇区的位置,包括有标识E5的删除文件位置、占用大小、文件类型和存储的所在簇。

（4） 改变删除位,依据第3步所得结果,按FAT表对文件进行链式查找并缓存,在达到文件所在的簇尾时,停止操作。

（5） 对存储的数据进行转换。

（6）对文件进行异区存储。操作系统在读写文件时,会根据FDT的起始单元,结合FAT表确定具体位置,顺序读取簇的内容。

2. NTFS数据恢复设计原理

NTFS是利用B-Tree文件管理方法跟踪文件在磁盘上的位置。文件名是顺序存放的所以查找速度更快。 可以分几步将数据进行恢复:

（1） 因为文件通过主文件表MFT确定在磁盘上的存储位置,先要找到MFT。

（2）分析MFT中的文件信息,(大型文件可能有多个记录与之对应）,其中第一个文件记录称为基本文件记录,而当中存储有其他扩展文件记录的信息。

（3）通过对INDEX_ALLOCATION索引分配、INDEX_ROOT索引根及位图Bitmap对被删文件加以确认和定位。找到该文件在数据区中的存储位置。

（4） 恢复该文件。

需注意的是,文件删除后,虽然磁盘中被删文件的相关属性发生改变。但是在对文件进行数据恢复时,仅仅是将相关信息复制到内存,并将相关信息做出修改。对于为修复数据而做的修改,并未写回到原文件属性中。这就有效的避免被访问文件的再次破坏。

结论:电子取证工作在犯罪侦查工作中具有非常重要的作用,然而,要想使电子取证工作顺利进行,拥有完整而真实的数据是必须的。当应有的数据被破坏或者损坏时,就需要数据恢复技术来恢复文件。所以数据恢复技术在电子取证工作中具有核心的重要地位。

参考文献:

[1] 王笑强. 数据恢复技术成为电子取证的核心技术[J] 计算机安全,2009(12)

[2] 王中杉. 基于Windows的计算机取证技术研究与实现[D] 电子科技大学,2009(4)

4.取证总结 篇四

现将2018上半年证件管理工作做如下总结：

一、各类证件取证工作有序进行中

根据局2018上半年局特种作业培训计划，认真组织缺证、复审、换证人员参加培训，保证了取证工作的有序进行。截止目前，各类证件取（换）证、复审达*人次。

二、证件管理基础工作台账健全、完善

通过各类证件管理台账的建立，确保了岗位人员取证信息的全面化，系统化，准确化，直观化，杜绝了岗位人员重复取证、证件过期现象的发生，为全员持证上岗率100%奠定了扎实的工作基础。

1、做好各类证件信息录入及扫描工作。

负责将公司员工新取（换）、复审证件扫描存档，并将取证信息录入证件管理数据库。证件信息包括：各类证件取证时间、到期时间、证书编号、发证单位等几部分。

2、做好证件管理台账日常维护工作。证件管理台账包括：

HSE证、司钻证、井控证、硫化氢证、IADC证、电工证、防爆电工证、焊工证、起重工证、起重机械指挥证、安全资格证、压力容器证、登高证、场（厂）内驾驶证管理台账。

3、建立各类证件领取台账，并定期存档。

证件领取台账包括：

HSE证、司钻证、井控证、硫化氢证、IADC证、压力容器证、登高证、电工证、焊工证、起重工证、起重机械证、安全资格证、厂内驾驶证领取台账。领取台账内容包括：单位、劳动合同号、取证人员姓名、取证类别、领证人员签字、领取时间六项内容。

对各类证件领取台账半年装订一次存档保管，并做好电子版存档。

三、认真做好*持证上岗信息管理系统的日常维护工作。

对员工新取证件，及时将证件信息维护进局证件管理系统，做好日常维护工作。证件信息包括：取证时间、到期时间、证书编号、发证单位等。

四、协助市场部做好资质认证工作。

协助市场部做好资质认证工作，提供相关人员证件扫描件，提供人员基本信息，如：出生年月、工作时间、身份证号、文化程度、技术职称及等级、持证情况、相关证件取证时间，证书编号等。2018年资质的井队和市场有：*等。截止目前共资质5次。

***

5.目前税务稽查取证工作难点的思考 篇五

税务稽查局的职能是专司打击偷、逃、骗、抗的涉税违法行为，稽查局所调查的涉税案件都是曾经发生过的客观事实，我们的取证过程，就是获取有效的证据最大限度还原出最接近于客观事实的法律事实。证据是证明的基础，是案件的灵魂，是税务机关打击涉税犯罪的依据。但是，一直以来，取证难严重阻碍了税务稽查工作的深入开展,削弱了稽查的打击力度，具体表现在以下几点：

一、民营经济家族式的经营管理模式，造成取证难。

随着我国经济体制和经济成份的不断变化，民营经济目前得到了迅猛发展，但是由于目前法律教育手段相对落后，这些企业经营者税收法律意识淡薄，在利益驱动下，采取各种方法偷逃国家税款。但是由于这些企业具有高度的自主经营权，财务手续简化，商品出库入库手续不健全，经济业务往来依靠“私交”，一个电话或一张便条就替代了经济合同，缺乏内部控制和外部的有效监督机制，经营活动普遍具有隐蔽性，造成检查人员的取证难。

二、市场经济秩序管理不规范，金融体制不健全导致的取证难。

目前的经济业务中，可查的卡、证交易的发展速度缓慢，而现金交易量和金额越来越大，无法遏制，巨额的现金流动为会计造假提供了可乘之机，企业利用现金往来搞“体外循环”，搞假发票报销，隐瞒销售收入导致无法取证。

三、稽查人员知识结构陈旧、稽查装备落后导致的取证难。

现在很多稽查局的检查人员年龄普遍偏大，知识结构老化，不能适应当前瞬息万变的经济形势，对电子商务、电子账簿等电子技术在经济领域的广泛运用显得无从下手、力不从心。搜集证据的途径也还停留在一些书面资料的复印、证人证言、当事人的自述材料、询问笔录等，而对于更能直观说明纳税人生产经营规模及相关业务、更能固定证据的录音、录像等原始证据，目前稽查局还没有条件去取得，导致不能及时、有效的取得相关证据资料。

四、稽查手段的软弱性导致的证难取。

税务稽查部门虽是执法部门，但国家并没有赋予其侦查权，照现行法律、法规规定，税务稽查无权检查纳税人的住宅，无权搜查纳税人办公、生活场所等，这些规定从保护纳税人合法权益的角度来讲，是必要的，但对查办涉税案件、打击违法行为而言，却又是非常不力的。如有些纳税人，他们把涉及违法行业的“黑账”、生产经营记录、资料等存在其住宅或生活区内，逃避税务检查。另外，有时候稽查人员明知有些纳税人的办公桌、保险柜内存有税收违法行为的重要证据，但无权强行取得，若强行取得也属违法取得的证据，为无效证据。这样缺乏强制性的税务稽查必然软弱无力，在很多纳税人不配合的情况下，稽查人员便束手无策，这也是取证难的一个重要原因。

五、稽查规程相对滞后导致的证难取。

目前越来越多的企业、个人运用C—C电子商务模试进行网上交易，利用ERP系统或自已开发的软件进行集团内部控制，而现行的《税务稽查规程》是国家税务总局1995年发布的，对通过利用互联网交易货物、大集团内部的网上调控、调拨，开展稽查的形式、内容、方法等还没有明确，面对电子商务和加密技术，税务稽查失去了最直接的纸质凭据，资料收集、追踪交易十分困难。

六、地方政府的干预导致的证难取。

行政干预是税务执法的重要阻碍。一些地方政府部门单纯从本地利益出发，擅自下达与国家税法相违背的文件，擅自开减免税优惠政策口子。有的地方为了招商引资，以优化经济发展环境为由，对招商企业“挂牌”保护、严禁查处，严重影响了税务机关依法取证。

如何快捷、有效提取涉税案件的证据己经成为当前税务稽查工作中一道亟待解决的难题。笔者建议从以下几点入手解决稽查取证难的问题：

（一）强化税务稽查依法治税手段，适当扩大税务稽查执法权力。

现行的税收法律法规，从保护纳税人的权益、规范税务机关执法行为上来看是必要的，但对于稽查工作的种种约束，反过来却也是为违法者提供了温床，不符合立法的目的，建议尽快完善：第一，建议赋予税务机关在不侵犯纳税人合法权益和严格为纳税人的商业秘密、个人隐私保密的基础上，对纳税人存放在其生活场所和住宅内的商品、货物以及各种记录、资料进行检查的权力。第二，建议赋予税务稽查人员一定的涉税证据搜查权，提高税务稽查调查取证工作水平。即税务机关在实施税务稽查时，对当事人不予提供生产经营记录、购销合同、有关票据等纳税资料的，稽查人员可以对纳税人的负责人和办税人员的办公家具等可能存放偷税资料凭证的地方进行强行搜查，以保证有关涉税证据不被毁灭。第三，将税务稽查部门上升为税务警察机构，使其具有对涉税犯罪的刑事侦查权，可对案件当事人进行留臵、监控、审讯。这样一方面可确保重大涉税违法案件查处的及时性和权威性；另一方面可解决当前负责侦查税务案件的公安机关不熟悉税收业务、办案经费不足等问题，降低税收成本。

（二）明确几个涉税概念问题，保证稽查案件处理有据可依。

一是对于什么资料、凭证是属于纳税资料，现行的税收法律法规规定的相对比较笼统，不适于税务执法人员实际执行，致使有时税务稽查案件定性不敢引用。如企业的货物运输、出入库单据，生产记录，销售小票等，应作为重要的纳税资料在法律法规中进行确定，并授权税务机关统一制定具体行业纳税资料范围，必须使用税务机关指定格式、样式的单据，以确保税务稽查中核实的纳税资料的准确性。二是要明确何为会计核算不健全，不能提供什么资料属于有关规定中的不能提供或不能准确提供纳税资料的行为。三是进一步明确税务机关如何核定纳税人的应纳税额。《中华人民共和国税收征收管理法》及《实施细则》中规定的核定纳税人应纳税额的方法在税务稽查中如何采取。建议在税务稽查中对能附以其他辅助证据的测算、推算得出的纳税人接近实际且较为合理的应纳税额，具有法律效力，以有效打击恶意隐匿、毁损纳税资料的行为。

（三）完善相关的法律法规。

修订《税收征管法》。目前，《税收征管法》第七十条规定对纳税人拒绝检查的最高可处5万元的罚款限额过低，应加大处罚力度，处罚上限应调整为

20万元，让纳税人在经济利益上严重受损。只有这样，税务稽查取证难才能逐步降低。

颁布《税务稽查法》。当前，税务稽查是税收工作中一道至关重要的环节。国家应颁布专门的《税务稽查法》代替现行的《税务稽查工作规程》，明确稽查取证的方式、方法，强化取证手段等，使税务稽查取证工作走向科学化、法制化、规范化轨道。《税务稽查法》要设立专门“证据”章节。明确证据收集的环节、时限、种类、主要涉税违法行为的取证要求、税务稽查案件证据审查、证据保全、未按规定取得证据的责任等内容，从程序到实体规范税务稽查证据取得，使得稽查取证有法可依，保证证据的客观性、关联性和合法性。

制定现金交易管理条例，完善金融体制。要加强对现金交易的管理和限制，制定专门的现金交易管理条例，控制现金在市场上的流通量和持有量，彻底杜绝大额现金的流通，不断推行证、卡的交易，并逐步规范“证”、“卡”交易管理备查制度。

（四）强化税收基础管理，健全报备案制度。

当前，加强对企业财务核算的规范和检查尤为重要，确立规范纳税人财务核算是税收精细化管理的基础理念。税源管理部门在纳税人资格认定、日常管理、纳税评估等工作中要重点检查企业的建账、建制及账簿、凭证保管、使用等情况，对企业会计兼职，无财务监督机制，无三级明细账等原始记录的异常情况要依照《税收征管法》的有关规定及时处理。同时根据《征管法》健全报备案制度，对纳税人的财务、会计处理办法；尤其对采用电子计算机记帐的企业应当在使用前将会计核算软件、使用说明书等有关资料报管理分局备案，这样我们检查人员可以在检查前先作一些案头的准备工作以从容应对各种类型的检查，有利于稽查取证工作的顺利开展。

（五）在软件、硬件上加大投入，增强稽查的战斗力。

当前，尤其要加强对税务稽查人员的教育培训，使一线税务稽查人员掌握获取证据的多种技能、方法，增强稽查人员搜集证据意识，拓展稽查取证新思路。一要通过多种途径，鼓励、引导税务稽查人员在熟悉税收业务知识的同时，自觉涉猎财会、相关法律等知识，建立良好的知识结构，增强独立查账能力。二要加强证据调查理论研究，为税务稽查新方法、新形式的应用提供保障。要在现有税务类高等院校设臵税务稽查办案取证课程，有计划地培养专门税务稽查人员。三要加强与公检法等部门的交流与协作。特别是在案件证据移送方面，应通过向公检法等相关部门学习，统一证据形式、提高工作效率。要有针对性地组织稽查人员到公安类高等院校接受同类办案取证专业培训，或招收若干名刑侦人员充实到税务稽查队伍。四要加强硬件设施的配备。被查人员一般对询问笔录等书面材料较为警觉，但是对随意的谈话就较容易暴露一些有价值的线索，并且对一些案件采取突击性检查时，录音、录像、扫描仪等先进设施对第一时间取得有效证据就显得尤为重要了。这里明确一个概念，司法解释中的“偷拍、偷录、窥听取得的侵犯他人合法权益的行为不能作为定案依据”，是指上

述取证手段只有侵犯他人权益时才不能作为定案依据，而我们检查人员证明他人偷税的行为是不侵犯他人的合法权益的！因些在取证过程中采取上述行为也是合法的，是刑侦式检查行之有效的取证手段！

（六）注重各界协调配合。

6.电子数据取证工作总结 篇六

问题，有待加强和完善。

一、目前在调查取证工作中存在的问题

（一）调查取证的程序及方式不规范。检查人员在调查取证中，不注意获取证据是否符合法定形式及程序。如检查人员发现纳税人账簿、记账凭证有问题时，因某些原因不能提取原件时，只是复印了账簿、记账凭证，未在该复印件上载明“与原件相同”及让纳税人签字等情形；还有对纳税人的陈述及所承认的事实，检查人员未用书面形式加以固定并经陈述人核阅签字，一旦纳税人不承认某些事实时将无从查证，直接影响了查处案件的进度和质量。

（二）保存证据的意识不强。在实际工作中,检查人员往往缺乏保存有效证据的意识，表现为在处理涉税违法案件中，对一些纳税人接受了税务处理决定，也按规定要求足额补缴了税款、滞纳金、罚款后，就将该案的一些证据遗弃，没有很好的与案件其他材料一起入卷保存，一旦纳税人在法定期限内提出行政复议或行政诉讼，做为被申请人或被告的税务机关，将会在行政复议程序或行政诉讼程序中陷入非常被动的局面。

（三）调查取证的内容不完整。检查人员在调查取证中对应收集的书证、物证等证据不完整，如纳税人开具“大头小尾”发票问题，应将其有问题的发票各联全部收集，这样才是一份完整有效的证据。另外，有些调查记录、询问笔录过于简单，不能全面反映涉税违法案件的基本情况。

（四）调查取证的针对性不强。在调查取证中，税务检查人员仅限于使用询问笔录这一单一的证据类型，对证明力度较强的原始证据材料的收集、运用缺乏认识，对于其他种类的证据如视听资料、现场勘验等证据，尚不会或不能掌握和运用，这样使得涉税违法行为从证据角度看显得较为薄弱。

二、加强和完善税务检查调查取证工作的建议

（一）加强对调查取证工作重要性的认识，提高税务检查的调查取证工作质量。

1、加强调查取证工作重要性的认识。思想是行动的先导，只有树立正确的认识，才能全力以赴地开展工作。因而只有充分认识调查取证工作的重要性，认识到调查取证对于规范执法行为，提高办案质量的作用，深入研究调查取证的内在规律，使检查人员在检查中善于获取和运用证据，这是做好税务检查工作的重要基础。

2、善于收集、保存有效证据。税务检查人员在调查取证明，发现纳税人有涉税违法事实证据材料，必须严格按照法定程序及形式进行收集，以确保证据来源的有效性和法律效力。另外，对收集取得的有效证据要进行必要的整理登记，采取必要的保存措施，保证有效证据的安全与完整。

3、加强对有效证据的判断能力。有效证据是判定和确认涉税违法事实的重要依据和手段，也是正确作出税务处理决定的要素。在实际工作中审查判断所获得的证据材料是否有效显得尤为重要，因此在调查取证工作中，面对大量的证据材料必须经过认真分析研究，以科学严谨的工作态度与符合逻辑的审查方式，准确判定涉税违法事实的证据，不断增强审查判断证据的能力，使检查人员在查处涉税违法案件中取得事倍功半的成效。

（二）税务检查的调查取证工作程序及规则，研究并确定调查取证的工作方法。

1、确立调查取证在税务检查工作中的地位，税务检查在行政执法中是一种独立的行政行为，而调查取证只是税务检查程序中的一个环节，任何一个税务处理决定均包括两方面即法律依据及事实根据，作为后者则需要税务机关经过深入调查，收集相关资料来实现，所以说调查取证在税务检查中具有举足轻重的地位。在实际工作中税务检查与调查取证往往同时存在，因此，充分认识调查取证在税务检查中的重要地位，才能真正推动税务检查工作的深入开展。

2、尽快制定有关调查取证的工作制度，调查取证工作是保证税务检查顺利开展的前提条件，做好调查取证工作有利于税收违法事实的准确查实和认定，因此，应尽快制定有关收集、整理、保存、审查、判断证据工作程序和要求的规范性制度，明确税务机关与纳税人在调查取证工作中的权利和义务，使之规范化，程序化，充分发挥调查取证在税务检查中的作用。

7.电子数据取证工作总结 篇七

1 电子数据特征及对税务检查取证的影响

电子数据完全不同于传统证据, 它以高科技技术为依托, 一方面, 在没有外界的蓄意篡改或系统错误影响的情况下, 计算机及网络对行为人的操作活动能自动记录并实时形成相关电子数据, 并且数据可以文本、图形、图像、音频、视频等多种信息形成, 能直观、生动、完整而精确地反映、再现事实及其形成的过程, 这是电子数据具有的其他证据种类难以比肩的优越性, 它可以拓展税务检查取证的渠道, 使税务检查取证更为便捷、直观和精确。但电子数据高科技性、系统依赖性、脆弱性、隐蔽性等特征, 也对税务检查取证提出了更高要求。

1.1 电子数据高科技性要求税务检查取证主体具备专业技能

电子数据是将所要记录的信息按一定规律转化为电磁场的变化, 再以某种方式记录下来, 以“场”的形式存在, 它是现代高科技发展的重要产物和先进成果, 与其他数据相比技术含量高。这一特性使得电子数据使用者应具备与电子数据相关的技术专业知识, 至少应具备一定计算机操作技能。

1.2 电子数据系统依赖性对税务检查取证的内容提出新课题

电子数据在形成、传输的过程中, 需要利用电磁场的变化, 将信息转变成以二进制代码存在的电子形式存贮或流动, 而且, 这种信息只有依靠特定的系统并通过相应的程序解码, 使用打印、屏显、运行等方式才能将其显现出来。电子数据的这一特点挑战传统的“纸质账”环境下税务检查取证人的思维, 如何识读“电子账”、对“电子账”进行检查取证、存储、使用等等都成为税务检查取证的新课题。

1.3 电子数据脆弱性对税务检查取证安全性与及时性提出挑战

由于电子数据使用的是电磁介质, 储存的数据修改简单而且不易留下痕迹, 因此电子数据极容易被篡改、伪造、破坏或毁灭, 且如果没有可资对照的副本、映像文件则难以查清、难以判断。此外, 误操作、病毒、硬件故障或冲突、软件兼容性等引起的数据丢失、系统崩溃等等, 都是危害数据安全、影响数据的原因。特别在网络技术日益进步的今天, 使得破坏数据变得更加轻而易举, 而事后追踪恢复却较为困难。因此, 税务检查取证中电子数据管理安全性日益遭遇挑战, 税务取证过程要求及时、迅速、全面控制数据, 防止被瞬间修改、删除。

1.4 电子数据隐蔽性的特点使税务检查取证数据真实性难以判断

电子数据信息通常隐藏在介质中, 而一些隐藏信息只能在程序运行或测试中才能体现出来, 一些嵌入式的程序如计算机病毒可以嵌入其他文件之中, 而这些病毒程序的相关信息用常规检测方式是不易发现的。因此, 电子数据收集和审查判断有时需要电脑专家凭借尖端技术来进行。税务检查取证中电子数据真实性常常受到质疑, 如何获取“精确”而真实的电子数据成为电子时代税务检查取证的关键。

2 税务检查取证面临的电子数据困境与挑战

企业会计电算化, 电子数据的广泛应用, 税务检查取证面对电子数据的特性, 显得准备不足, 仓促上阵。这既有外部法律环境带来的困境, 也有内部人员、技术、认识等不足带来的种种问题。

2.1 税务检查取证面临的电子数据立法困境

就我国目前立法情况而言, 在很长一个时期内不可能对税务检查取证电子数据进行专门性立法, 关于税务检查取证电子数据的法律规范只能依托相关法律的完善, 这包括证据法、税收基本法、税收征管法以及会计电算化等立法完善, 而我国目前相关立法严重缺失。

(1) 证据法的缺失。我国目前还没有制定统一的证据法, 2012年修改后的《民事诉讼法》和《刑事诉讼法》虽然规定电子数据为一种独立的证据类型, 但对电子数据如何界定、如何提取、如何审查判断其证据能力和证明力等问题均没有明确, 学界对此也百家争鸣。立法缺失直接造成该种证据的取证、审核认定的不确定性。

(2) 税法规范的不足。我国至今没有《税收基本法》, 对电子数据仅在《税收征管法》及其实施细则有个别条文涉及, 如《税收征收管理法》第二十条和《税收征管法实施细则》第二十四条和第二十六条, 上述条文仅仅明确纳税人可以采用会计电算化进行核算, 要求实行会计电算化的纳税人必须向税务机关进行报备等。对电子数据取证也仅有国家税务总局制定的《税务稽查工作规程》第三十条进行了规定, 并且该规定也存在严重不足。该条规定税务检查“需要以有形载体形式固定电子数据的, 应当与提供电子数据的个人、单位的法定代表人或者财务负责人一起将电子数据复制到存储介质上并封存, 同时在封存包装物上注明制作方法、制作时间、制作人、文件格式及长度等, 注明‘与原始载体记载的电子数据核对无误’, 并由电子数据提供人签章。”该规定由于对“复制”电子数据的技术性与合法性缺乏规范与明确, 实务中税务检查人员常常习惯从税务检查软件导入的数据中进行复制电子数据, 该数据由于税务检查软件的功利性而很难在证据的审核认定环境被采信。甚至有时出现“复制”的数据与原始数据不一致或复制成一堆乱码, 而纳税人由于对“复制”的数据无法一一校验而有拒绝签字等现象, 税务检查工作为此陷入困境。

上述这些规定不仅本身存在不足, 而且这些规定根本无法应对税务检查取证中电子数据的取证需要, 一方面, 由于缺乏取证原则规定, 使税务检查取证电子取证缺乏统一指导思想;另一方面, 由于没有关于取证方式、取证步骤等科学具体操作性规定, 在实际操作中, 税务检查取证人员常常步入困境。

2.2 税务检查取证面临的人员、技术等困境

税务干部大多具有税收或会计专业知识背景, 而对法律和信息技术缺乏应有的知识准备和应对能力, 表现在税务检查取证中税务干部一方面法律意识不强, 证据基本规则不懂, 取证凭经验和感觉;另一方面计算机操作能力差, 对企业会计电算化无从入手, 无法应对。而企业常常利用电子数据高科技性、隐蔽性和脆弱性等特点进行隐匿甚至销毁电子数据, 妨碍税务检查取证, 主要表现形式有: (1) 设置多套电子账; (2) 利用会计电算化反记账和反结账功能任意修改、删除数据; (3) 修改软件程序, 隐匿真实业务活动; (4) 设置并拒绝提供密码, 阻扰检查取证; (5) 隐藏或异地设置服务器, 妨碍税务检查取证人员获取有关电子数据。

3 完善立法, 提升人员素质, 应对电子数据的挑战

面对电子数据的信息特征以及现实的挑战, 税务人员一方面要整合人员资料, 培养与提升税务检查人员应对电子数据的能力与水平, 另一方面, 目前根据我国的立法情况, 应尽快在以下两方面完善税务检查电子取证的立法:

(1) 针对正在修订的《中华人民共和国税收征收管理法》, 应在以下方面进一步完善征管法的修订意见稿: (1) 完善纳税人会计电算化信息的报备制度; (2) 规范纳税人电子数据的存储; (3) 对“税务稽查软件”的开发、功能、地位等进行立法规范。

(2) 完善单行税收规范性文件立法。国家税务总局可以先以其他规范性文件的形式尝试性规定税务检查电子取证的原则、取证的方式、取证步骤等, 待条件成熟后, 进一步完善制定更高阶位的法律规范。

摘要：修订后的《刑事诉讼法》与《民事诉讼法》已将电子数据规定为一种新的证据种类, 随着计算机技术的迅猛发展和网络的飞速延伸, 在税务检查取证中涉及的电子数据也越来越多, 电子数据所具有的信息技术特性, 使税务检查取证工作一方面更为便捷、直观和精确, 另一方面也对税务检查取证提出了人员专业性、取证及时性、信息全面性和安全性等要求。由于立法的缺失和税务干部缺乏应有的技能和准备不足, 税务检查取证工作正面临种种挑战。

8.基于WEB的电子邮件取证研究 篇八

【关键词】电子邮件 取证 计算机犯罪

电子邮件取证是计算机取证的一个分支,是指依照法律的要求提取电子邮件证据的方法和进程，是运用技术的手腕识别一个电子邮件真正的发送者、接纳者以及邮件发送的时间和收回地址的进程。近年来，伴随着网络与信息化的快速发展，电子邮件作为信息交换方式，以其新型、快速、经济的特点而成为人们进行通信和交流的重要方式。与此同时，各种犯罪活动中犯罪分子也普遍使用电子邮件来实施其罪恶，利用电子邮件进行垃圾广告、传播色情信息、诈骗等违法犯罪活动日益猖獗。因此，对电子邮件进行技术鉴定，对于获取破案线索以及提供法庭上的呈堂证据，起着越来越重要的作用。

一、电子邮件取证及相关问题

１、电子邮件取证及其现状

电子邮件取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。电子邮件取证勘察过程，大致经历犯案、立案、原始证据采集、证据分析、证据链条建立、证据分析报告与提交到呈堂等一系列过程。在这个过程中，对电子邮件事件痕迹取证绝不是基于某种单一的概念或者纯粹的技术，而是基于法学、计算机科学和信息安全学的一系列概念，并且是面向实际应用的一个概念，要遵循标准的技术流程，涉及法律、计算机系统、计算机网络、信息安全等多方面的知识。

目前，在实际办案过程中，一般的侦查人员和公诉人员缺乏相关的专门知识，在收集、提取、保全、审查、运用电子证据的时候往往困难重重：电子证据的删除太快太容易，执法部门机关在取证前，可能已经被毁灭；目前在我国电子证据能否成为证据、电子证据成为证据的条件、电子证据的合法性等问题存在广泛争议，我国法律也没有明文规定；在处理计算机犯罪案件时，我国检察机关目前普遍的做法是对电脑进行勘验检查并制作笔录，或者将电子邮件记录等先打印出来，再由犯罪嫌疑人签字，最后作为书证这种具有法律效力的证据来使用，这些证据在法律中只能视为传闻证据，其可靠性大打折扣。这种侦查难、举证难、定罪难的境况迫切要求适用的取证工具的产生与应用，尤其是当前电子邮件取证在计算机取证上的重要性不断提高，而互联网电子邮箱申请与真实身份并没有挂钩，一旦有问题，通过电子邮件侦查取证难度很大。

这种侦查难，举证难造成了难以定罪的情况。建立一个专门针对电子邮箱的取证工具包迫在眉睫。近年来，国际电子证据软件产品发展迅速，老牌产品Encase，FTK再加上近两年德国X-ways的X-ways Forensics，澳大利亚的Nuix FBI Forensic Destop，形成计算机取证行业的四大品牌，为各国警界所用。然而，其中只有X-ways Forensics具有针对电子邮件的一些分析处理功能，并且这几款软件均为欧美产品，相对来说我国在这方面处于落后的地位，急需要开发自主化的取证产品。

２、电子邮件的证据效力问题

由于电子证据容易被伪造、篡改，而且被伪造、篡改后不留痕迹，再加上电子证据由于人为的原因或环境和技术条件的影响容易出错，一般被归入间接证据。虽然目前电子邮件能否作为证据目前尚无规定，但是电子邮件已被现代经济社会所接受却是现实，如电子商务、电子教育、电子政府等即是现代信息社会的产物。在已经由九届人大二次会议审议通过的新合同法里，电子邮件已列为书面合同的一种形式，合同的双方通过电子邮件来达成购买合约，来实现购买行为，其购买、结算、质疑、退货、索赔等均是通过电子邮件来实现的；网上订票、网上挂号、网上咨询已实际进入我们的生活。由此可见，如有涉及此的诉讼中，负有举证义务的当事人必然会将双方往来的电子邮件作为证据提交到法庭，以支持自己的主张。这就为电子邮件可以成为证据提供了现实的可能性和必要性。

二、电子邮件取证需了解的基本技术

一般来说，电子的收/发信方式分为两种：通过ISP或免费邮箱服务商提供的SMTP发信服务器中转的发信方式；通过本机建立SMTP发信服务器直接发送电子邮件的方式。

通过邮件发信服务器发信的收发过程首先由发信人通过电脑将电子邮件发送到SMTP发信服务器上，如果发信服务器收到的邮件合法，发信服务器通过一种“存储转发”技术，将该电子邮件在服务器上排队，当轮到该邮件发送顺序时，再由发信服务器将邮件发送到对方的收信服务器（MX邮件交换服务器）上，再由收信服务器转发到POP3服务器上（很多服务器系统的收信服务器和POP3服务器是同一服务器），最后由收件人通过电脑上的客户端软件将电子邮件从POP3服务器上取走。

这种方法收发信件的方法实现通常是通过浏览器直接进行电子邮件的接受和发送，即通常说的Web邮件。当前浏览器仍是全球访问电子邮件的主要方式， Web邮件用户不需要特意安装客户端软件，只需在浏览器的网页上通过账号和密码登录到邮件服务器上，进行相关的电子邮件活动。在这种情况下，用户查看电子邮件信息时，信息内容只装载在机器内存和缓存区里面，一旦关机，电子邮件信息也将随即消失，相比较而言，痕迹取证比较难。但是，只要看过，就会在机器上流下蛛丝马迹，可以从Web浏览器的Cookies、历史记录、Cache等地方来寻找痕迹，发现线索。

Web电子邮件事件指通过浏览器收发电子邮件的事件。目前，国内外用的最多的浏览器是Microsoft公司的Internet Explorer（简称IE）和Netscape公司的Netscape浏览器。在我们国内用的最普遍的是IE浏览器，因此通过研究IE的电子邮件事件痕迹即可从中提取出有用的线索和证据。

三、总结

当前通过电子邮件进行的犯罪活动形形色色，面对这些犯罪，如何搜集获取证据，证实犯罪事实，一直是计算机取证领域人士探讨和研究的内容。在这里笔者结合最近对计算机取证的一些研究，简单介绍了电子邮件取证技术的特点，希望借此抛砖引玉，引起大家对电子邮件取证技术的关注和探讨。

参考文献：

[1] 郭弘,金波. 利用邮件头分析电子邮件的真偽. 中国司法鉴定. 2010-4

[2] 郭秋香,包兵,罗永刚,张睿超. 电子邮件取证模型的研究. 计算机安全. 2007.01

9.如何查询地税电子数据 篇九

一是将各征收分局的电子数据税款合计数与报表反映的全年税收入库数相核对。通过设置“征收机关代码”进行自动筛选，查出各征收机关的税款征收入库情况，并可形成相应的excel文件，将各分局电子数据所反映的税收收入合计数与地税局征收报表所反映的全年的税收入库数相核对，若核对不一致，再将作废标志设为“1”(“1”表示作废)进行筛选，查出作废的电子数据，对这些电子数据要进行仔细分析，与实际作废票据相核对，查清原因，分析存在的问题，这是审计的重点。

二是利用电子数据中各字段之间的钩稽关系进行查询。地税数据中各字段之间是存在一定的钩稽关系的，只要能够设置出条件，便可查出问题。比如利用“税款所属日期”与“上解日期”这两个字段的关系，若税款所属日期为某个月份，而税款的上解同时也在这个月份，再通过对税种进行分析，便可查出提前征收税款的问题;通过“填发日期”与“上解日期”之间的钩稽关系，借助excel的函数功能，可查出延解税款等问题。

三是对企业等延伸单位的纳税情况与延伸单位账面反映的实际纳税情况进行核对。通过设置企业代码或企业名称进行自动筛选，查出某个企业的全年纳税情况，并形成excel文件，利用excel的排序、分类汇总功能，得出全年税收分税种的实际缴纳情况，与所延伸企业的账面实际纳税情况进行核对，可以发现地税局延压税款，调节税收进度等问题。

10.电子数据取证工作总结 篇十

电子数据取证是打击网络犯罪的重要环节, 在实际应用中可以划分为静态取证模型和动态取证模型。

静态取证强调对证据的事后发现与分析, 本质上是一种被动的取证模型, 其优点是有利于对涉案电子证据的提取和保存, 缺点是对“活”的电子数据进行行为分析和抽样鉴定存在局限性。动态取证强调证据的及时获取, 是一种主动的取证模型, 其优点是通过实时监控分析全面客观反映系统安全状态, 并在犯罪实施阶段获取有效的数据, 缺点是需要经过预先部署, 对取证方法的针对行要求较高, 在司法实践中往往达不到理想的环境。

动态仿真取证技术就是在吸取、借鉴传统取证方法各自优势的基础上, 将仿真技术运用于计算机犯罪调查司法实践而产生的新的取证方法。

1 动态仿真取证技术

基于动态仿真技术的取证分析方法是建立在功能型的取证模型之上的, 它没有使用时间因素作为流程划分的基准, 而是按照不同取证环境下的特殊要求, 在取证分析过程中运用动态仿真技术获取原始电子证据或者在取样分析阶段模拟原始环境加以利用的特殊分析方法。

动态仿真取证技术在不破坏原始证据的完整性、有效性、真实性的前提下, 注重从功能上实现对电子证据的收集, 分析鉴别所获得的数据信息, 提取并固定对侦查、起诉有价值的电子证据信息。在取证分析中, 通过虚拟机技术实现原始证据的克隆、模拟系统环境, 以第一视角的方式进行电子数据分析。

基于VMware虚拟机技术的动态仿真取证技术是运用VMware虚拟机技术实现对物理计算机的迁移和转换, 并在虚拟系统环境中实现对电子数据的动态取证分析的计算机犯罪调查方法。

2 虚拟机技术

虚拟机是利用虚拟化技术, 通过在现有的硬件平台上添加一个称为虚拟机监视软件的中间层, 从而实现对处理器、内存管理单元、输入输出系统等计算机必备系统的虚拟化, 进而在硬件平台上虚拟出一台功能完善的计算机。从应用程序的角度来看, 应用程序都在某一特定的指令体系 (instruction set architecture, ISA) 或操作系统上运行, 根本感知不到是运行在一台虚拟机上还是在一台实体计算机。

虚拟机技术分为完全虚拟化 (fullvirtualizatio) 和准虚拟化 (aravirtulizatio) 两种类型。二者的区别在于客体的操作系统指令体系 (ISA) 和宿主的操作系统指令体系 (ISA) 是否相同。因此, 采用完全虚拟化技术的虚拟机具有很好的兼容性, VMware属于采用完全虚拟化技术的虚拟机。

2.1 虚拟机转换技术

VMware提供了将虚拟机、系统镜像和物理计算机转换为VMware产品托管的可扩展解决解决方案, 可以实现物理机到虚拟机 (P2V) 、虚拟机到虚拟机 (V2V) 、磁盘镜像到虚拟机 (I2V) 的迁移。转换物理机时, Converter Standalone组件会通过克隆复制源物理磁盘或逻辑卷, 并将该数据传输至目标虚拟磁盘来创建目标虚拟机。

2.2 基于磁盘的克隆和基于卷的克隆

Converter Standalone支持基于磁盘的克隆和基于卷的克隆。基于卷的克隆是将卷从源计算机复制到目标计算机。源计算机动态磁盘在目标虚拟机上会转换为基本卷。基于卷的克隆可在文件级别或块级别执行。当选择小于NTFS原始卷的大小或选择调整FAT卷大小时执行基于卷的文件级克隆。当选择保持源卷的大小或为NTFS源卷指定更大的卷大小时可进行基于卷的块级克隆。

基于磁盘的克隆会转移所有磁盘的所有扇区, 为所有类型的基本磁盘和动态磁盘创建源计算机的副本, 并保留所有卷元数据, 目标虚拟机接收的分区类型、大小和结构与源虚拟机完全相同。

2.3 物理机的热克隆和冷克隆

2.3.1 热克隆

热克隆也叫做实时克隆或联机克隆, 在机操作系统运行状态下对源计算机进行迁移转换。由于在转换期间进程继续在源计算机上运行, 因此生成的虚拟机不是源计算机的精确副本, 需要配置Converter Standalone选项, 使程序在热克隆后将目标虚拟机与源计算机同步。同步操作允许将物理机源无缝迁移到虚拟机目标, 目标计算机将接管源计算机操作。

对于双引导系统的源计算机, 热克隆只能克隆boot.ini文件指向的默认操作系统。在更改源计算机的boot.ini文件以指向另一个操作系统之后, 重新启动源计算机, 才能对另一个操作系统重新进行克隆。如果另一个操作系统是Linux系统, 则可以使用克隆Linux物理机源的标准过程引导和克隆该系统。

2.3.2 冷克隆

冷克隆也称为脱机克隆, 在关机状态下对源计算机进行迁移转换。在冷克隆计算机时, 需要使用带有32位子系统的window预安装环境和Converter Standalone应用程序的光盘重新引导源计算机。冷克隆在转换期间源计算机上不会发生任何更改, 因此可以创建最一致的源计算机副本。冷克隆在源计算机上不留痕迹, 但要求可直接访问所克隆的源计算机。在冷克隆Linux计算机时, 必须在克隆完成后才能配置目标虚拟机。对于安装有双系统的源计算机, 冷克隆可以一次实现源磁盘的完全迁移转换。

3 运用虚拟机技术进行动态仿真取证司法实践的探讨

电子证据作为计算机犯罪调查取证中的关键证据, 既有一般法律证据所具有的共性, 又有其自身特殊的个性。在司法实践中要求电子证据既能够与其它犯罪证据紧密相关, 相互印证, 充分说明案件基本事实, 又必须保证取证分析过程的合法性、证据获取的完整性和真实性。鉴于此, 笔者着重从虚拟机克隆技术在司法取证实践中对证据客观性的影响作简要论述。

3.1 热克隆技术对取证的影响

VMware虚拟机的热克隆技术不适合于计算机犯罪调查的现场取证。原因在于其在操作过程中需要创建磁盘快照通过网络传递给目标虚拟机, 因此Converter Standalone代理程序会直接安装运行在开机状态下的源计算机中, 使源计算机的内存状态、网络状态和磁盘结构发生改变, 对原始证据的唯一性和完整性造成破坏。但是, 热克隆具有良好的硬件兼容性, 可以快速搭建脱离硬件环境的模拟仿真系统, 因此热克隆技术可以是取证分析人员在特定取证过程中考虑采取的技术分析方法之一。其分析鉴定的结果可以作为静态取证分析检验和参考的依据。

例如, 在网络入侵类案件中, 取证人员需要针对计算机病毒木马程序的网络态、进程态、隐藏态等特性进行动态取样分析时, 对源计算机磁盘完整拷贝后, 采用热克隆技术能够快速实现样本程序运行环境的重建。当然, 针对不同的取证分析需求, 首先必须保证虚拟机对样本程序运行环境的改变是可控的。如:样本程序所占有的内存资源、网络端口等系统资源不会与Converter Standalone代理程序相冲突;取证人员在虚拟机模拟仿真环境中对样本程序功能性分析不会受VMM中间件的影响;样本程序网络功能的实现不依赖于源计算机的MAC地址;对于双系统的热克隆必须改变boot.ini指向后分别进行。

3.2 冷克隆技术对取证的影响

冷克隆在进行磁盘迁移转换的过程中无需在源计算机上进行任何安装, 对源计算机物理磁盘不会产生影响, 且对于多操作系统可以一次克隆完成。因此, 采用Converter Standalone的冷克隆技术能够保证原始硬盘的真实性和电子证据的完整性, 符合电子取证的要求, 可以作为现场取证的手段之一。在此基础之上, 调查人员对取证过程中涉及到的日期和时间、硬盘分区情况、操作系统和版本、文件信息、数据完整性、计算机程序功能检测分析结果等进行归档处理, 能保证调查取证过程的合法性, 形成可以提交法庭质证的电子证据报告。

但冷克隆技术也有它的局限性:一是转换源计算机必须处于关机状态, 由CD进行重新引导, 如要获取正在运行的计算机内存中的电子证据, 在现场取证时应考虑使用其它技术手段加以补充;二是Converter Standalone的4.1版本可能对某些特殊的硬件驱动无法识别 (如磁盘阵列卡的硬件驱动) , 在具体操作中要区别对待;三是Converter Standalone无法检测大小超过2 TB的物理磁盘上的任何源卷和文件系统。

3.3 动态仿真取证在司法实践中的意义

基于VMware虚拟机技术的动态仿真取证分析方法, 能够实现模拟系统环境的快速搭建, 从功能上实现电子数据分析鉴定所要求的客观条件, 以便于取证人员提取、固定有利于客观反映犯罪事实的电子证据信息。

运用虚拟机技术进行电子数据的动态取样分析, 能有效证明电子证据在计算机犯罪案件中与其它关键证据之间的关联性, 对保障侦查、起诉等司法调查程序有效实施具有重要的实践意义。同时, 虚拟机技术可以通过直观展示的方式对证据分析鉴定报告予以出示, 因此可以进一步提高证据本身的证明力和证据能力。

参考文献

[1]张羽, 吴瑞.《仿真分析取证模型的形式化研究》.福建警察学院学报, 2010, 24 (1) .

[2]钱伟, 沙晶.《VMware虚拟磁盘结构分析及在电子数据取证中的应用》.中国司法鉴定, 2011 (2) .

[3]李馥娟.《虚拟机技术在复杂网络实验中的应用》.实验技术与管理, 2009, 26 (12) .

[4]周刚, 麦永浩, 曹强, 张鹏.《云计算应用对计算机取证技术的挑战和对策》.警察技术, 2011 (2) .

[5]申世涛, 王俊.《“运行计算机"的取证问题研究》.成都大学学报 (教育科学版) , 2008, 22 (7) .

[6]王俊.《论计算机取证相关问题—现场动态分析, 获取“易挥发数字证据”》.中国司法鉴定, 2008 (1) .

[7]张杨.《电子数据鉴定方法与规范探讨——动态取证技术在服务器内容鉴定的应用》.计算机光盘软件与应用, 2010 (9) .

[8]武延军, 周鹏, 于佳耕.《虚拟机全系统重放技术》.北京工业大学学报, 2010年.

11.电子商务数据库分析教案 篇十一

对于电商行业来说，数据分析在企业内部是非常重要的。在营销管理、客户管理等环节都需要用到数据分析的结果，通过数据分析发现企业内部，营销手段、客户体验等方面的不足，利用数据挖掘了解客户的内在需求。

这节课我们主要讲三个内容，我们先来看一下第一部分电商数据分析的应用。一，企业会借助大数据，分析优化自身的市场定位。在这里想问一下大家有没有用iphone手机的？看来用的人还不少哈。

下面我们要讲的案例就是关于是关于iphone公司进军移动手机行业的。在iPhone推出之前，移动运营商对于从用户手中收集到的大量数据，并没有深入挖掘，研究其中的价值。相反，iPhone公司在与各运营商签订合约时，则规定运营商要提供给iPhone公司，大部分的有用数据。IPHONE通过来自多个运营商提供的大量数据，去分析了解关于用户对于IPHONE手机的体验情况。从而在产品设计阶段，对产品进行个性化的优化和开发。这是一个很好的关于企业借助大数据，提升客户体验的案例。通过这个案例我们会发现：

企业会根据数据了解行业市场构成、细分市场特征、消费者需求和竞争者状况等诸多因素。以便能够最大化规避市场定位不精确给企业自身带来的毁灭性损失。这就是企业借助大数据，分析优化自身市场定位。

下面我们来看关于电商数据分析应用的第二点内容：

企业借助大数据优化市场营销。我们再来看一个案例：塔吉特百货孕妇营销分析案例。塔吉特是美国仅次于沃尔玛的第二大零售百货集团。

塔吉特的数据分析团队，在查看准妈妈的消费记录之后，找出了20多种关联物，通过这些关联物对准妈妈们进行了“怀孕趋势”预测，并根据不同阶段，寄送相应的优惠券，精准又高效。比如：婴儿登记处的准妈妈们，在孕中期会购买大量的无香味乳液。大约在怀孕20周之后的孕妇，会增加购买钙、镁、锌营养品的数量。而当顾客突然开始大量购买无香味肥皂，超大包的棉花球，消毒杀菌剂和毛巾的时候，这就意味着这个家庭将有孕妇要生产了。塔吉特百货通过对准妈妈的购物记录进行数据分析，使孕期用品销售呈现了爆炸性的增长。案例中的这种现象其实我们在网购时是很常见的，像我们在逛淘宝，小红书，的时候，都会有推荐页，购买过商品的店铺也会给我们推荐他们家的其他关联产品。这其实是企业通过我们的购买历史记录，去分析建立模型，进行精准定向的营销策略。我们再来看一下企业借助大数据优化市场营销。进一步解释就是企业通过数据，去分析消费者的消费行为、兴趣偏好和产品的市场口碑现状，再根据总结出的结论，制定有针对性的营销方案和营销策略。

通过了解电商数据分析的应用，我们会发现，大数据分析在电商行业有着举足轻重的地位，有些时候电商企业的竞争，其实是大数据的竞争。

了解了电商数据分析的应用之后，我们来看一下数据分析时常用的软件。

第一个是SPSS，SPSS的基本功能有很多，像数据管理、统计分析、图表分析、输出管理等。我们可以运SPSS对数据进行描述性统计、一般线性模型、相关分析、回归分析等等数据分析。像塔吉特百货案例中提到的关联规则分析就可以通过SPSS来实现。

第二个是我们大家都比较熟悉的软件Excel，相信我们在考计算机一级时就已经对这个软件比较熟悉了，我们在学习第三部分店铺运营分析时，还会用到这个软件。

第三个软件是百度统计，请大家打开浏览器搜索一下百度统计。它是一个免费的流量分析平台，帮助企业收集网站访问数据，提供流量趋势、来源分析、转化跟踪、访问流等多种统计分析服务。通过这个页面我们不难发现，它所提供的的数据是非常直观易懂的。

第四个软件是飞瓜数据。有没有同学尝试过抖音直播带货或者游戏主播之类的体验，示意一下。看来是有同学尝试的。我们在进行短视频和直播带货的时候，如果想对自己的情况进行分析或者进行选品，就可以用到这个飞瓜数据。飞瓜数据是比较早的一款针对短视频及直播数据查询、运营及广告投放效果监控的数据分析工具。

以上就是在电商数据分析中比较常见的四个软件。

下面让我们来看一下最后一部分的内容：店铺情况运营分析。

这一部分内容请同学们打开老师发给大家的“数据包”按照步骤进行操作。张芸经营一家网店，她希望通过Excel分析店铺浏览量、成交转化率和商品评价等方面的数据，判定店铺的经营方法是否合理，并根据分析结果及时调整运营策略，谋求更多的利润。

首先我们进行店铺流量分析，根据步骤给大家5分钟时间进行操作，时间到大家都完成了么？请大家通过电脑进行举手。很好同学们都完成了。通过店铺流量数据的分析我们可以看出最近张芸的店铺浏览量偏低，大部分时间低于日平均浏览量，需要及时调整运营策略。

我们继续进行下一步成交转化率的操作，给大家3分钟的时间进行操作，完成后请大家用电子举手示意。大家已经都完成了，通过EXCEL表格可以看出，成交转化率最低的是直接访问，转化率最高的是淘内收费流量。直接访问量成交转化率低，首先我们要查询商品浏览量7天内的关键字，看是否某些关键字造成了流量下降。之后，寻找是否有商品差评。最后，了解人群标签的准确性。通过调整关键字，解决差评和提高人群标签准确性去改善直接访问的成交转化率。

最后是商品评价分析，商品评价是能够增强买家和卖家之间的互动的。有效的商品评价可以促进其他买家下单，提高成交转化率。通过饼图我们更加直观的了解商品评价情况，多数是好评，说明服务得到认可，但仍有提高的空间。需要对中差评进行优化。

以上为本节课的全部内容，请同学们完成店铺运营分析，学委收齐后发到我邮箱。

接下来我们再看一下，第二个关于阿里巴巴信用评级的案例：

阿里巴巴通过在淘宝、天猫等网站积累的数据资料，对用户的销售终端、资金使用等数据进行追踪和收集，了解了中小企业的交易状况。从中筛选出财务健康、讲究诚信的企业，为其发放无担保贷款，解决其贷款难的问题。具调查2018年，阿里巴巴已收贷300多亿元，坏账率仅为0.3%，远低于银行贷款坏账率。阿里巴巴借助大数据，创造了新的盈利模式，也体现了数据分析在电商行业中的应用价值。

最后我们再看一个案例：交通数据处理公司Inrix

他是成立于美国的一家交通数据处理公司，它依靠分析历史和实时路况数据，给出及时的路况报告，以帮助司机避开正在堵车的路段，并且帮他们提前规划好行程。很多企业都需要Inrix的路况报告，像汽车制造商、移动应用开发者、运输企业等等。我们熟悉一些车像奥迪、福特、微软等巨头也都是Inrix的客户。

案例2：塔吉特百货（Target）孕妇营销分析

塔吉特百货的顾客数据分析部门发现，怀孕的妇女一般在怀孕第三个月的时候会购买很多无香乳液。几个月后，她们会购买镁、钙、锌等营养补充剂。根据数据分析部门提供的模型，塔吉特制订了全新的营销方案，在孕期的每个阶段给客户寄送相应的优惠券。结果，孕期用品销售呈现了爆炸性的增长。

我们再来看第二个

下面这个案例是非常经典的了，我们看到尿不湿与啤酒会想到它们之间会有关系么？没有是吧，老师在没看到这个案例之前也想不到这两样东西之间会有联系。下面让我们来看看这个案例，尿不湿与啤酒表面上看来是毫无关系的两类东西。但沃尔玛公司用数据挖掘工具对顾客的购物行为进行了关联规则分析后，却得出一个令人惊奇和意外的结果：“跟尿不湿一起购买最多的商品竟是啤酒”！沃尔玛公司为了验证这一结果的真实性，进行了大量的实际调查和分析，最终揭示了一个隐藏的美国消费者行为模式：

12.电子数据取证工作总结 篇十二

今日，淘宝无线发布《2011淘宝无线电子商务数据报告》(报告全文

http://vdisk.weibo.com/s/2F1GW)，报告以淘宝无线2011全年交易数据作为范本，揭示2011年移动电商的高速发展状况，深度表现移动互联网时代人们在移动终端上的消费习性，透视移动互联网时代产业链上下游的发展脉络和多方参与者之间的竞合关系，移动电商正在成为移动互联网行业最受人们欢迎的应用。

《2011淘宝无线电子商务数据报告》显示，2011年淘宝无线累计成交金额118.8亿元，对比2010年的18亿元，翻了6番。在2011年底的两次大促活动——手机双11(光棍节)与手机双12(全民疯抢)活动中，淘宝无线的成交屡创新高，手机双12活动日成交峰值超过2亿元。用户对手机网购模式愈发熟悉和信任，经活动统计，每5个淘宝会员在pc淘宝购物的同时，就有1个通过手机购物;而电商企业也纷纷布局移动电子商务，开拓手机淘宝这块沃土，活动当天，十余家手机店铺当日成交额超过百万。《报告》预计2012年，淘宝无线累计成交金额还将保持逾4倍的涨幅。

《2011淘宝无线电子商务数据报告》显示，在2011年，手机淘宝客户端交易成长迅猛，到Q4，来自手机淘宝客户端的成交总额在手机淘宝全网成交的占比已达37%，客户端正在成为移动购物最主要的入口。

最近发布的两个数字，表明全球移动互联网的发展正在从量变走向质变。第一个数字是智能手机出货量首次超越PC(个人电脑)出货量，第二个数字是我国手机网民数量超过3.5亿，约为整体网民数量的七成。移动电子商务作为移动互联网最受用户欢迎的应用，不只是改变了传统的交易渠道，更让消费需求可以即时得到满足，让线上线下融为一体，除了时间和空间上的拓展，更多的个性化互动过程记录了用户更多的个性化特征，比用户更了解用户，让需求和供给的匹配度得以提升，众多潜在的变革将深入的改变用户的消费和生活方式。淘宝无线2010及11年交易数据显示，实物交易规模在逐渐扩大，移动网购用户越来越信赖和习惯手机购物。

13.电子商务数字取证模型设计 篇十三

顾名思义, C2C就是Consumer to Consumer的英文缩写, 即消费者对消费者、个人对个人、用户对用户的新型电子商务模式, 它是伴随电脑技术、网络技术不断完善发展而产生的新型商品销售模式。在C2C网购中, 电子用户双方通过第三方 (网络服务商) 所提供的电子网络交易平台, 直接网上联系, 进行一系列诸如:网上注册、开设网店、标价商品、筛选商品、协商价格、达成契约等网上交易行为, 进而双方自愿达成交易。

分析C2C的交易过程, 基本包括商情沟通、资金支付、商品配送三个环节, 这也是电子商务所重点关注的“三流” (信息流、资金流、物流) 。商品在电子商务中处于中心部位, 是大家关注的焦点, 电子商务的交易过程中, 通常以信息流为核心, 并通过信息流来带动资金流和物流的完成。

目前电子商务所面临的信息安全问题主要包括以下几个方面:

(1) 窃取信息:数据信息在未采用加密措施情况下, 以明文形式在网络上传送, 攻击者在传输信道上对数据进行非法截获、监听, 获取通信中的敏感信息, 造成网上传输信息泄露;即使数据经过加密, 但若加密强度不够, 攻击者也可通过密码破译得到信息内容, 造成信息泄露。

(2) 篡改信息:攻击者在掌握了信息格式和规律后, 采用各种手段对截取的信息进行篡改, 破坏商业信息的真实性和完整性。

(3) 身份仿冒:攻击者运用非法手段盗用合法用户身份信息。利用仿冒的身份与他人交易, 获取非法利益, 从而破坏交易的可靠性。在电子交易中, 第三方有可能假冒交易一方的身份, 以破坏交易, 破坏被假冒一方的信誉或盗取被假冒一方的交易成果等

(4) 抵赖:某些用户对发出或收到的信息进行恶意否认, 以逃避应承担的责任。

1 电子商务的数字取证框架

数字取证分为系统取证与网络取证, 然而计算机犯罪案件在事先往往并不知情, 总是到一定时候才被司法机关发现, 并进行调查, 此时前一段时间的非法操作采用网络取证很明显不起效。系统取证主要指司法机关已经查封了犯罪分子的目标机, 取证分析员直接对目标机进行犯罪证据的提取与分析等工作, 是一种事后行为, 其中包括未开机状态的取证与开机状态的取证等。

本文主要针对电子商务取证中的系统取证技术进行分析, 下图是电子商务数字取证模型, 整合了多个可能存在证据的子方向, 并对挖掘出来的数字证据进行预处理、规则匹配与分析、证据压缩与数字签名等, 最后作为有效的电子证据提交法庭。系统取证从两个方向展开, 包括关机取证与开机取证, 下面以Windows系统取证来进行分析。

1.1 关机取证

(1) Windows注册表信息

Windows注册表是数据配置的一个中央仓库, 存有大量的信息, 如系统配置、相关设备、已安装的应用软件及用户信息等。这些对系统取证分析员而言, 都需要进行分析, 可能存有一定的数字证据, 或者能够成为分析员进一步分析与推理的依据。注册表中的证据信息: (1) 注册表键值的最后写时间。所有的注册表键值有一项为“LastWrite”最后写时间, 它是一个64位的FILETIME结构值。调查人员只能获取注册表主键的上次写时间而不是键值的上次写时间。使用Keytime.exe工具可以追踪某个主键的上次写时间, 了解主键的修改或建立时间就可以大概估计事件发生的时间; (2) 注册表中的数据隐藏。通过使用不同的编码技术, 嫌疑人可以将数据隐藏到注册表的键值中, 达到欺骗调查取证人员检查的目的; (3) 注册表键值。嫌疑人将程序片段或整个二进制文件存储到注册表中, 而这些程序片段可以分布到几个分散的主键中。除非计算机调查取证人员了解注册表中相应的关键字, 否则在大量的注册表主键中寻找隐藏数据是相当困难的。

(2) 临时文件、缓存文件及Internet相关文件等

Windows系统本身会产生大量的临时文件, 这些临时文件就有可能包含了用户使用计算机时遗留的信息。缓存文件Index.dat是操作系统保护的系统文件, 其中包含有大量与网络相关的文件, 如通过www、ftp、telnet等访问或下载过的文件历史记录, 这必然是系统取证分析员需要考虑的取证点。因此, 同样Internet相关文件也是取证分析员必须考虑的取证点, 犯罪分子借助各种浏览器请求过的服务器站点信息, 包括服务站点地址、访问日期与时间、相关对象等各种Cookies信息。当然目前有很多浏览器均自带有网络痕迹清除功能, 但同样可以采取数据恢复技术对其恢复等。

(3) 数据恢复

攻击者可能会利用NTFS文件流在合法文件后隐藏资料、改变文件的扩展名或把文件删除。需要注意的是删除文件只是做了删除标记, 文件仍保存完好, 直至写入新数据后覆盖这些被删除文件所在的硬盘驱动空间, 所以越早恢复数据的可能性就越大。数据恢复技术主要是再现犯罪分子已经删除过的目录、文件等信息。通过软件的方式对已删除文件的目录树进行重构, 以方便取证分析员查找、搜索已删除文件中包含的重要证据文件。

(4) 日志文件分析

日志记录了系统和网络行为的原始信息, 可信的、安全的计算机系统日志记录反映了犯罪活动的过程, 通过及时对系统日志进行收集、保全和分析, 可以帮助追踪黑客入侵系统的路线, 重建入侵事件, 这些日志记录可以作为起诉犯罪分子的证据, 从而打击和震慑计算机犯罪活动。Windows日志有两个区域分别为事件日志及因特网日志, 其中事件日志包括系统、应用程序和安全事件的标准日志库。系统日志记录系统进程和设备驱动程序的活动, 它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址, 以及服务的启动、暂停和停止。应用程序日志包含由应用程序或一般程序记录的事件。例如, 数据库程序用应用程序日志来记录文件错误。应用程序日志中记录的事件类型由应用程序的开发者决定, 并提供相应的系统工具帮助用户使用应用程序日志。因特网日志则记录了关于个人请求的访问信息, 显示何种远程活动试图在某系统上执行或已经成功执行, 包括HTTP日志、FTP日志、SMTP日志等。

(5) 密码分析

对于犯罪分子的不配合行为, 取证分析员需要对密码技术进行研究, 针对犯罪分子曾经使用过的邮箱、加密过的文件等进行密码分析与破解。这个问题是对取证分析员甚至密码专家的一个巨大挑战。

1.2 开机取证

是指在计算机运行的状态下进行的取证技术, 主要直接运用系统API对系统信息和内存数据进行证据提取。

(1) 系统状态获取

系统状态获取主要包括四方面的数据获取:进程信息, 服务信息, 端口信息, 启动项信息。如:犯罪分子可能将一些非法的证据, 借助系统进程或者用户创建的用户进程对数字证据实施隐藏, 在已有进程中开辟较大的内存空间, 存放一些关键数字证据。

(2) 主机信息获取

主机信息获取主要是通过Windows API和WMI接口获取被监测主机的基本信息, 主要包括CPU信息、内存信息、BIOS、硬盘、网卡信息等硬件方面的信息以及操作系统版本、序列号、安装时间、主机名等操作系统信息。

(3) 外联设备使用痕迹提取

外联设备主要是指USB存储设备、USB网卡设备等。这些设备是目标主机进行数据交互、浏览互联网的重要证据。通过对这些设备的使用痕迹的提取, 可以帮助取证分析员进一步分析和提取出一些非法接入网络, 或者是非法使用移动存储介质的行为。

2 电子商务取证模型的用例分析

用例分析是基于UML的面向对象建模过程的一个显著的特点, 在基于UML的建模过程中, 用例处在一个核心的位置。用例除了被用来准确获取用户需求以外, 它还将驱动系统整个开发过程:包括系统分析、系统设计, 以及系统实现、测试、配置等。

在本系统中, 系统管理员负责系统正常运行的一些基础工作, 如系统用户的登记管理、用户证书的配置和取证工具的配置, 管理员还可以对用户进行管理, 进行添加用户, 删除用户以及修改密码的操作。取证分析人员定义取证的规则, 并查询取证的信息。保全者主要负责的是证据保全阶段的工作, 包含对电子证据的存储和包装、电子证据的保全签名, 以及在保全后对统一格式证据的校验。审核者是在证据展现阶段的主要角色, 他需要对证据进行审计, 并得到最终用于提交的电子证据、分析结果和可信性证明。

3 结语

本文在分析电子商务所面临的安全威胁的基础上, 针对电子商务取证中的系统取证技术进行分析, 设计了电子商务数字取证框架, 并基于统一建模语言 (UML) 进行了用例设计。采用UML建模技术, 能够有机地集成和协调开发过程中的分析、设计与实现信息, 便于在更高的抽象层次上对系统进行调整与维护, 从而能快速地实现系统的重构和修改。

摘要：本文在分析电子商务所面临的安全威胁的基础上, 针对电子商务取证中的系统取证技术进行分析, 设计了电子商务数字取证框架, 并基于统一建模语言 (UML) 进行了用例设计。

关键词：电子商务,数字取证,UML

参考文献

[1]周亮.基于云的主动取证系统的研究与实现[D].上海:上海交通大学硕士学位论文.2013.

[2]丁丽萍.计算机取证的研究现状分析[J].信息网络安全.2010.11.

[3]李波杰, 张绪国, 张世永.一种多层取证的电子商务安全审计系统[J].微型电脑应用.2007.5.

[4]孙国梓, 徐雯丽, 朱小龙.电子商务中的数字取证技术研究[J].信息网络安全.2011.4.

[5]鞠永程。对C2C网络购物安全问题的案例分析[D].兰州:兰州大学硕士学位论文.2010.

[6]翁文勇, 王泽兵, 冯雁.UML技术在面向Agent系统分析中的应用研究[J].2004.7.

[7]李炳龙, 王鲁, 陈性元.数字取证技术及其发展趋势[J].信息网络安全.2011.1.