内容简介
《电子数据司法鉴定实务》是“全国司法鉴定教育培训系列教材(第二版)”之一。《电子数据司法鉴定实务》旨在为我国电子数据司法鉴定人员及相关从业人员提供一套全面而系统的鉴定专业指导和实践操作指南。通过学习,读者将能够精通并应用各种电子数据鉴定技术,全面应对电子数据鉴定领域中的挑战。《电子数据司法鉴定实务》的内容涵盖:前言、电子数据鉴定的概述、电子数据司法鉴定法律法规、电子数据鉴定的规范化建设、电子数据鉴定的基本技术、Windows系统电子数据鉴定、Linux系统电子数据鉴定、MacOS系统电子数据鉴定、Android终端电子数据鉴定、iOS终端电子数据鉴定、物联网设备电子数据鉴定、虚拟化技术的应用与鉴定、云服务器电子数据鉴定、手机云存储电子数据鉴定、数据库的鉴定、数据电文的鉴定、网络数据鉴定、电子数据恢复、加密数据提取与解密、程序功能鉴定、电子数据相似性鉴定、鉴定报告的编写及出庭质证、电子数据审查与判断。《电子数据司法鉴定实务》全面覆盖了电子数据司法鉴定的基础理论、技术方法、操作流程以及相关法律法规。从基础知识出发,深入浅出地阐释了电子数据的概念、特点及形成原理,电子数据司法鉴定的原则、方法和程序。同时,结合实际案例,系统地论述了各类电子数据鉴定技术和技巧。此外,每章节末尾精心设计的思考题和实操练习,有助于读者巩固所学知识,提升解决实际问题的能力。
精彩书摘
**章电子数据鉴定的概述
**节电子数据
一、电子数据的定义
(一)从法律的角度
00**节电子数据从法律的角度,电子数据是作为证据来定义的。从我国的三部诉讼法的证据种类来看,电子数据的证据地位可见一斑。
1.刑事诉讼法
《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)第五十条规定了刑事案件证据的八个种类,分别是:
1)物证,是指以其物质属性、外部特征、存在状况等证明案件真实情况的一切物品和痕迹。
2)书证,是指以其记载的内容和反映的思想来证明案件真实情况的书面材料或其他物质材料。
3)证人证言,是指证人就其所了解的案件情况向公安司法机关所作的陈述。
4)被害人陈述,是指刑事被害人就其受害情况和其他与案件有关的情况向公安司法机关所作的陈述。
5)犯罪嫌疑人、被告人供述和辩解,是指犯罪嫌疑人、被告人就有关案件的情况向侦查、检察和审判人员所作的陈述。内容主要包括承认自己有罪的供述和说明自己无罪、罪轻的辩解。
6)鉴定意见,是指受公安司法机关指派或聘请的鉴定人,对案件中的专门性问题进行鉴定后所作出的书面结论。
7)勘验、检查、辨认、侦查实验等笔录。
8)视听资料、电子数据,是指以录音、录像、电子计算机或其他高科技设备所存储的信息证明案件真实情况的资料。
从以上第八条看出来,在刑事诉讼法中,电子数据是和视听资料一起归类的,定义为“以录音、录像、电子计算机或其他高科技设备所存储的信息证明案件真实情况的资料”。
2.民事诉讼法
《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第六十六条规定了民事案件证据的八个种类,分别是:
1)当事人的陈述,是指当事人在诉讼中就与本案有关的事实,向法院所作的陈述。
2)书证,是指以文字、符号、图形等所记载的内容或表达的思想来证明案件事实的证据。
3)物证,是指以文字、符号、图形等所记载的内容或表达的思想来证明案件事实的证据。
4)视听资料,是指利用录音、录像、电子计算机储存的资料和数据等来证明案件事实的一种证据。
5)电子数据(digital evidence),是指被作为证据研究的、能够证明案件相关事实的电子数据。
6)证人证言,证人是指知晓案件事实并应当事人的要求和法院的传唤到法庭作证的人,证人就案件事实向法院所作的陈述称为证人证言。
7)鉴定意见,鉴定人运用专业知识、专门技术对案件中的专门性问题进行分析、鉴别、判断后做出的意见,称为鉴定意见。民事诉讼中的鉴定意见具有广泛性和多样性,通常有医学鉴定意见、文书鉴定意见、痕迹鉴定意见、事故鉴定意见、产品质量鉴定意见、会计鉴定意见、行为能力鉴定意见等等。
8)勘验笔录,所谓勘验,是指人民法院审判人员,在诉讼过程中,为了查明一定的事实,对与案件争议有关的现场、物品或物体亲自进行或指定有关人员进行查验、拍照、测量的行为。对于查验的情况与结果制成的笔录叫勘验笔录。勘验笔录是一种*立的证据,也是一种固定和保全证据的方法。
因此,在民事诉讼中,电子数据是经过查证属实,作为认定案件事实的根据的以数字形式存在的数据,是和视听资料分开的、更为*立的一类证据。
3.行政诉讼法
根据《中华人民共和国行政诉讼法》(以下简称《行政诉讼法》)第三十三条规定,行政诉讼证据包括:
1)书证;
2)物证;
3)视听资料;
4)电子数据;
5)证人证言;
6)当事人的陈述;
7)鉴定意见;
8)勘验笔录、现场笔录。
以上各类证据的含义与上述《民事诉讼法》类似。在《行政诉讼法》中,电子数据也是与视听资料分开的*立证据。
综上所述,电子数据从法律的意义上来说就是可以证明案件事实的、以数据形式存在的资料和材料,或者说,“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。”(引自2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》)。
(二)从技术的角度
从技术角度看,电子数据要根据其形成方法、存在形式和传输存储方式来定义。
1.形成方法
电子数据是通过电子技术及其应用程序形成的数据。
2.存在形式
电子数据是以不同形式存在的电子文件,包括但不限于(引自2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》):
1)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
2)手机短信、电子邮件、即时通信、通信群组
目录
目录
**章 电子数据鉴定的概述 001
**节 电子数据 001
第二节 电子数据鉴定 010
第三节 电子数据鉴定的发展与面临的困境 015
第四节 小结 024
第二章 电子数据司法鉴定法律法规 025
**节 域外电子数据鉴定法律法规制度研究 025
第二节 我国电子数据司法鉴定法律制度 037
第三节 小结 056
第三章 电子数据鉴定的规范化建设 057
**节 电子数据鉴定的标准 057
第二节 环境设施与仪器设备 069
第三节 电子数据鉴定的人才培养 077
第四节 管理体系的规范化建设 083
第五节 小结 090
第四章 电子数据鉴定的基本技术 092
**节 数据获取 092
第二节 数据校验 096
第三节 系统仿真 097
第四节 文件过滤 099
第五节 数据搜索 101
第六节 数据恢复 113
第七节 数据分析 120
第八节 密码破解 122
第九节 小结 129
第五章 Windows系统电子数据鉴定 130
**节 Windows系统概述 130
第二节 Windows注册表分析 133
第三节 文件打开记录痕迹分析 141
第四节 USB设备使用记录分析 156
第五节 程序运行痕迹分析 163
第六节 日志分析 169
第七节 计算机物理内存获取与分析 183
第八节 其他痕迹信息 189
第九节 小结 194
第六章 Linux系统电子数据鉴定 195
**节 Linux系统概述 195
第二节 Linux系统电子数据鉴定概述 196
第三节 Linux系统的分析 198
第四节 Linux系统的日志分析 208
第五节 Linux系统的网络数据获取固定 213
第六节 Linux系统的内存鉴定 217
第七节 常见Linux应用场景分析 220
第八节 小结 233
第七章 MacOS系统电子数据鉴定 234
**节 MacOS及苹果生态系统 234
第二节 MacOS文件系统 237
第三节 MacOS系统的镜像 241
第四节 MacOS专有数据解析 248
第五节 小结 255
第八章 Android终端电子数据鉴定 257
**节 Android操作系统的发展与特点 257
第二节 Android终端的数据取证与鉴定 262
第三节 Android终端解锁与解密 275
第四节 小结 285
第九章 iOS终端电子数据鉴定 286
**节 iOS概述 286
第二节 iOS设备解锁和安全机制绕过 287
第三节 文件系统和数据存储 294
第四节 取证获取 298
第五节 数据和应用程序分析 306
录第六节 小结 318
第十章 物联网设备电子数据鉴定 320
**节 汽车电子数据鉴定 321
第二节 智能路由器电子数据鉴定 333
第三节 无人机电子数据鉴定 336
第四节 智能可穿戴设备电子数据鉴定 340
第五节 伪基站电子数据鉴定 342
第六节 GoIP设备电子数据鉴定 347
第七节 小结 349
第十一章 虚拟化技术的应用与鉴定 350
**节 虚拟化技术概述 350
第二节 虚拟机鉴定 354
第三节 虚拟容器鉴定 369
第四节 虚拟化技术在鉴定中的应用 385
第五节 小结 395
第十二章 云服务器电子数据鉴定 396
**节 云服务器电子数据鉴定概述 396
第二节 云服务器证据固定 398
第三节 云服务器应用数据固定 406
第四节 云服务器数据分析 415
第五节 小结 425
第十三章 手机云存储电子数据鉴定 426
**节 概述 426
第二节 手机终端云存储电子数据鉴定 427
第三节 手机APP云存储电子数据鉴定 448
第四节 小结 450
第十四章 数据库的鉴定 452
**节 数据库概述 452
第二节 数据库类型 457
第三节 数据库鉴定技术 464
第四节 小结 473
第十五章 数据电文的鉴定 475
**节 电子邮件的鉴定 476
第二节 即时通讯记录的鉴定 489
第三节 电子文档的鉴定 512
第四节 电子签章的验证 522
第五节 小结 523
第十六章 网络数据鉴定 525
**节 概述 525
第二节 网络电子数据鉴定 530
第三节 网络数据流信息的获取与分析 552
第四节 基于区块链的数据提取与分析 559
第五节 小结 567
第十七章 电子数据恢复 568
**节 概述 568
第二节 逻辑数据恢复571
第三节 物理数据恢复591
第四节 小结 614
第十八章 加密数据提取与解密 616
**节 操作系统账户密码破解及绕密 616
第二节 加密磁盘及加密容器 627
第三节 固件密码破解 642
第四节 加密文件类破解 651
第五节 哈希类密码破解 658
第六节 浏览器类密码提取与破解 661
第七节 数据库加密破解 666
第八节
试读
**章电子数据鉴定的概述
**节电子数据
一、电子数据的定义
(一)从法律的角度
00**节电子数据从法律的角度,电子数据是作为证据来定义的。从我国的三部诉讼法的证据种类来看,电子数据的证据地位可见一斑。
1.刑事诉讼法
《中华人民共和国刑事诉讼法》(以下简称《刑事诉讼法》)第五十条规定了刑事案件证据的八个种类,分别是:
1)物证,是指以其物质属性、外部特征、存在状况等证明案件真实情况的一切物品和痕迹。
2)书证,是指以其记载的内容和反映的思想来证明案件真实情况的书面材料或其他物质材料。
3)证人证言,是指证人就其所了解的案件情况向公安司法机关所作的陈述。
4)被害人陈述,是指刑事被害人就其受害情况和其他与案件有关的情况向公安司法机关所作的陈述。
5)犯罪嫌疑人、被告人供述和辩解,是指犯罪嫌疑人、被告人就有关案件的情况向侦查、检察和审判人员所作的陈述。内容主要包括承认自己有罪的供述和说明自己无罪、罪轻的辩解。
6)鉴定意见,是指受公安司法机关指派或聘请的鉴定人,对案件中的专门性问题进行鉴定后所作出的书面结论。
7)勘验、检查、辨认、侦查实验等笔录。
8)视听资料、电子数据,是指以录音、录像、电子计算机或其他高科技设备所存储的信息证明案件真实情况的资料。
从以上第八条看出来,在刑事诉讼法中,电子数据是和视听资料一起归类的,定义为“以录音、录像、电子计算机或其他高科技设备所存储的信息证明案件真实情况的资料”。
2.民事诉讼法
《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第六十六条规定了民事案件证据的八个种类,分别是:
1)当事人的陈述,是指当事人在诉讼中就与本案有关的事实,向法院所作的陈述。
2)书证,是指以文字、符号、图形等所记载的内容或表达的思想来证明案件事实的证据。
3)物证,是指以文字、符号、图形等所记载的内容或表达的思想来证明案件事实的证据。
4)视听资料,是指利用录音、录像、电子计算机储存的资料和数据等来证明案件事实的一种证据。
5)电子数据(digital evidence),是指被作为证据研究的、能够证明案件相关事实的电子数据。
6)证人证言,证人是指知晓案件事实并应当事人的要求和法院的传唤到法庭作证的人,证人就案件事实向法院所作的陈述称为证人证言。
7)鉴定意见,鉴定人运用专业知识、专门技术对案件中的专门性问题进行分析、鉴别、判断后做出的意见,称为鉴定意见。民事诉讼中的鉴定意见具有广泛性和多样性,通常有医学鉴定意见、文书鉴定意见、痕迹鉴定意见、事故鉴定意见、产品质量鉴定意见、会计鉴定意见、行为能力鉴定意见等等。
8)勘验笔录,所谓勘验,是指人民法院审判人员,在诉讼过程中,为了查明一定的事实,对与案件争议有关的现场、物品或物体亲自进行或指定有关人员进行查验、拍照、测量的行为。对于查验的情况与结果制成的笔录叫勘验笔录。勘验笔录是一种*立的证据,也是一种固定和保全证据的方法。
因此,在民事诉讼中,电子数据是经过查证属实,作为认定案件事实的根据的以数字形式存在的数据,是和视听资料分开的、更为*立的一类证据。
3.行政诉讼法
根据《中华人民共和国行政诉讼法》(以下简称《行政诉讼法》)第三十三条规定,行政诉讼证据包括:
1)书证;
2)物证;
3)视听资料;
4)电子数据;
5)证人证言;
6)当事人的陈述;
7)鉴定意见;
8)勘验笔录、现场笔录。
以上各类证据的含义与上述《民事诉讼法》类似。在《行政诉讼法》中,电子数据也是与视听资料分开的*立证据。
综上所述,电子数据从法律的意义上来说就是可以证明案件事实的、以数据形式存在的资料和材料,或者说,“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。”(引自2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》)。
(二)从技术的角度
从技术角度看,电子数据要根据其形成方法、存在形式和传输存储方式来定义。
1.形成方法
电子数据是通过电子技术及其应用程序形成的数据。
2.存在形式
电子数据是以不同形式存在的电子文件,包括但不限于(引自2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》):
1)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
2)手机短信、电子邮件、即时通信、通信群组
