admin管理员组文章数量:1530842
2024年3月14日发(作者:)
2012
・
07
(中)
Encase
企业版软件在电子证据收集过程中的运用
周国平符一龙
摘要随着信息技术对人类生活的影响逐渐加深,与以计算机为主导电子设备相关的违法事件的明显增多。电子证据
在刑事、民事及行政等多种案件中发挥越来与重要的作用。在计算机证据取证调查过程中,美国许多法院早已认识到了运
用最佳工具的重要性。最佳工具的标准是基于调查环境及新技术的革新而不断改变的。通过分析电子证据收集过程中存
在的问题,并结合Encase软件的功能,对encase企业版软件在电子证据收集过程中的运用进行阐述。
关键词Encase电子证据收集
作者简介:周国平,重庆邮电大学法学院,研究生,主要从事诉讼法研究;符一龙,重庆邮电大学法学院。
中图分类号:D925文献标识码:A文章编号:1009-0592
(
2012
)
07-110-02
一、Encase企业版简介
Encase是GuidanceSoftware公司研发的取证产品,该公司
成立于1997年。Encase的开发团队多半拥有计算机取证学专家
的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取
证分析的针对性,使个人技能得到较大程度的发挥,是政府执法
机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等
部门。Encase分为单机版和企业版,本文重点讨论的是企业版即
EncaseEnterpriseEdition。Encase企业版是世界上第一个可以有
效执行远程企业紧急事件响应、审计、和发现任务的软件。计算
机紧急事件响应工作组和计算机调查员可以利用该软件即时通
过局域网或广域网识别、浏览、获取和分析远程的电子媒介。En-
case企业版与Encase单机版软件(以Encaseforensicssoftware著
称)都基于同样的代码和功能。Encase企业版从本质来说就是核
心的Encase单机产品,但其采用了高度兼容的网络启动模式,另
外基于实际考虑,在内部增加了相应的安全策略及功能增强的数
据库。
二、Encase企业版在电子证据收集过程中的运用
(一)在线进行证据收集相比单机离线收集的优势
Encase企业版主要针对公司企业内部基于局域网或广域网
的联网计算机的调查,在提倡举证主体多元化的今天,它不应仅
仅成为公司企业的监察工具,还应成为各种举证主体收集与保全
证据的有力武器。因此,在阐述Encase企业版在电子证据收集
过程中的运用前,首先我们必须了解在线进行证据收集的优势。
从证据效力及成本花费的立场来看,对现场计算机系统进行远程
镜像或司法搜查相比关闭系统或拆除设备进行离线单机分析更
具优势,主要原因如下:
1.通常关闭重要的计算机系统都会对企业正常经营或第三
方利益造成实质性损害。随着Encase企业版这类技术的出现,
要进行适当的计算机取证调查并不必然需要关闭运行的服务器。
2.关键证据通常在做出调查决定后,到调查员可以直接物理
访问涉嫌计算机期间灭失。因此,进行及时的远程调查比等待几
个小时甚至几天时间到达目标地点或者进行离线的单机调查来
基于以上原因,许多美国
及其他国家的执法机构在刑事调查中都采用Encase企业版以应
对以下情况:(1)环境状况不容许离线控制系统;(2)需要利用广
域网接入目标媒体以做出及时的调查;(3)有必要对连接到广域
网内众多计算机媒体进行调查。基于这三种情况,Encase企业版
就成为了调查取证的最佳工具。
要评价在电子证据收集过程中运用Encase企业版时证据的
准确性及可靠性的问题,首先必须了解其他经常被用于远程分析
及网络文件获取的程序存在的缺陷。例如,运用病毒检测工具或
者系统管理工具对常用文件进行远程分析,从证据效力的立场来
看存在几个问题:首先,这些应用程序可能会对被访问或调查的
文件造成实质性的改变;其次,这些应用程序会改变重要文件的
时间戳,包括最后访问时间以及最后修改时间;最后,通过操作系
统管理程序远程打开文件将很可能导致在被调查的目标设备中
生成缓存文件及其他衍生数据的结果。
Encase企业版在用于电子证据收集过程中时能很好的解决
以上的问题:Encase企业版在磁盘标准下运行,
说更为合适。随着Encase企业版这类技术的出现,前面的延迟
就变得不再合理。
3.当系统运行时,会产生大量的不稳定数据,如果系统被关
闭,这些数据将会灭失或无法获取。如运行进程、开放端口、内存
数据、连接的设备及当前打开的文件都是一些对取证调查非常重
要的实时数据,这些数据只有计算机在原生环境下运行时才可获
取。
以上因素在美国众多判例中得以体现,被作为评判计算机取
证调查过程中所采用方法是否适当的重要参考。
2012
・
07
(中)
数据,如时间戳、日戳及其他信息都不会发生改变。同样的,在这
个过程中也不会生成相应的备份文件或其它衍生数据。当然,因
为Encase企业版软件在现实环境下运行,完全“静态”的成像过
程是不可能的。只要计算机设备在原生环境下持续运行,该设备
就会在持续操作过程中发生变化,例如写入交换文件或其他系统
注册表。因此,Encase企业版控制端通过网络运行目标设备的控
制程序Servlet时,该程序会在目标设备写入注册表或系统的其
他部分。但Encase企业版软件控制端自身在调查过程中并不会
写入目标设备,通过Encase软件查看或获取文件时并不会对其
造成任何改变。
严格说来,运行Servlet控制程序时在目标设备写入注册表
或其他数据是存在争议的。公司监控通常做法是在网络突发事
件发生前即在目标设备内装入了Servlet,将该程序变成整个设备
系统的一部分.尽管运行时该程序依然会写入注册表等信息,但
美国众多法院都认可了Encase企业版软件的效力,如以下要提
到的Zubulake案。
法院为此提出了一项重要的建议性技术程序规范:“就某种程度
说来,律师与公司的所有利害关系人进行直接交流未必是可行
的,鉴于公司的规模或者诉讼的范围,律师必须更具创造性。可
通过网络在整个公司计算机系统运行关键字搜索,之后律师可以
保存每一命中结果的备份。这听上去似乎很繁琐,但事实上并不
会。律师没有必要审查这些命中的文件,他只要看到它们被保存
下来就够了。例如,律师可以建立一个足够广泛的搜索字词列
表,在有限的时间内运行搜索功能,然后隔离开命中响应的文件。”
虽然如此,随着科技的发展,笔者认识到这并不总是对的。
在对计算机涉案现场进行证据搜查前,往往没有任何根据表明现
场将会发现大量涉嫌计算机或相关设备。任意的搜查与扣押,容
易构成对公民权利的侵犯。因此,使用如Encase企业版这样的
网络取证分析工具来限制并细化搜查与扣押的过程就应该成为
一种义务。随着我国于2011年将电子数据作为证据写入刑事诉
讼草案,我国对电子证据的搜查与扣押应与传统证据区别开来并
加以严格控制。Encase等工具在国外司法取证中的流行对我们
具有重要的借鉴意义,我们在电子数据调查取证过程中,应根据
调查环境的实际情况与新技术的革新而采用最合理的调查方式
及调查工具。
并生
成一份详细的安全调查审计记录;最后,所有在Encase企业版环
境下传输的数据及生成的证据文件都采用128-bit的AES加密
技术进行加密,以确保数据传输的安全。此外,当创建证据文件
时,Encase企业版与单机取证版软件一样也会计算CRC及MD5
校验值,以确保获取的证据与目标设备的同一性。
(四)Encas企业版关键字搜索的运用
在美国具有里程碑意义的Zubulake系列案件,对于电子证
据取证调查研究具有重大的意义。它们是建立包含调查程序、政
策及普遍技术运用的程序性构架的开创性案件。在Zubulake案
中,某公司试图在一次大规模的调查中保全并收集计算机证据,
burgLLC,2004WL1620866at*8(.20,2004).
burgLLC,2004WL1620866at*8(.20,2004).
CouncilofEurope’sConventiononCybercrime,ExplanatoryReport,298.
注释:
版权声明:本文标题:Encase企业版软件在电子证据收集过程中的运用_周国平 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1710410932a264170.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论