电子取证技术报告.PDF
计算机取证报告
题目:电子邮件取证技术
教师:杜江
姓名:黄灵伶
学号:2010212171
学院:计算机
专业:信息安全
班级:0441003
电子邮件取证技术论文
摘要:电子邮件的普及,给人们的生活带来许多便利,但是犯罪分子利用电子邮件进行违法犯罪活动的现象也日趋增多,电子邮件逐渐成为执法人员获取犯罪活动线索和证据的重要来源。文中对基于Web 的电子邮件取证技术进行研究,为侦破案件,将犯罪分子绳之于法起到积极作用。
关键词:Web; 电子邮件;取证
1. 概述
电子邮件已成为现代社会不可缺少的通信方式之一。人们通过网络发送电子邮件,使交流变得更加容易、快捷。然而,电子邮件所带来的安全问题也着实让人们伤透了脑筋。犯罪分子在进行电子邮件操作时留下很多痕迹,如何对这些痕迹进行分析取证,寻找有价值的信息,为案件侦破提供有力的线索,为法庭审判提供有效的证据,是我们亟待解决的问题。
而作为计算机领域和法学领域的一门交叉科学——计算机取证(ComputerForensics) 正逐渐成为人们研究与关注的焦点。计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。
2. 电子邮件成为证据的条件以及认定
电子邮件取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。电子邮件取证勘察过程,大致经历犯案、立案、原始证据采集、证据分析、证据链条建立、证据分析报告与提交到呈堂等一系列过程。在这个过程中,对电子邮件事件痕迹取证绝不是基于某种单一的概念或者纯粹的技术,而是基于法学、计算机科学和信息安全学的一系列概念,并且是面向实际应用的一个概念,要遵循标准的技术流程,涉及法律、计算机系统、计算机网络、信息安全等多方面的知识。
现实情况下,直接由电子邮件引发的纠纷并不多见,其一般是以证据的形式出现,在以证据形式出现时,如果双方均对电子邮件的内容及收发人无异议,在诉讼中接受双方当事人的质证,认为可以作为证据认定,在此类情况下,电子邮件的证据形式已不重要,因当事人的承认性陈述本身就可以作为证据认定,而这种承认性陈述又可被电子邮件的内容所印证,所以,应当被法庭认定。
由于电子证据容易被伪造、篡改,而且被伪造、篡改后不留痕迹,再加上电子证据由于人为的原因或环境和技术条件的影响容易出错,一般被归人间接证据。虽然目前电子邮件能否作为证据目前尚无规定,但是电子邮件已被现代经济社会所接受却是现实,如电子商务、电子教育、电子政府等即是现代信息社会的产物。在已经由九届人大二次会议审议通过的新合同法里,电子邮件已列为书面合同的一种形式,合同的双方通过电子邮件来达成购买合约,来实现购买行为,其购买、结算、质疑、退货、索赔等均是通过电子邮件来实现的;网上订
票、网上挂号、网上咨询已实际进入我们的生活。由此可见,如有涉及此的诉讼中,负有举证义务的当事人必然会将双方往来的电子邮件作为证据提交到法庭,以支持自己的主张。这就为电子邮件可以成为证据提供了现实的可能性和必要性。
2.1对收发件人的认定
在诉讼中,如果当事人对电子邮件的收发人发生争议,在此种情况下,审查电子邮件的内容已无意义,因当事人如否认是电子邮件的收发人,实际上已经否认了电子邮件的内容。以笔者的看法,在确认电子邮件的收发件人时,首先需查清的是电子邮件的地址是否是收发件人的,其是否拥有合法的用户名、账号、密码等,因每一个注册用户均对应一个电子邮件信箱,合法用户的上述资料及个人资料(真实姓名、工作单位、通信地址、身份号码等)在“ISP”(Internetservice provider 即网络服务提供商)处均有备案,如使用人的个人资料于ISP 的备案一致,则可以确认该信箱是使用人的,在该用户的信箱密码未被他人盗用的情况下,以该信箱收发的电子邮件的作者即为信箱的拥有者。笔者曾遇一案,当事人否认自己给对方发出过财产情况的电子邮件,后经核对该电子邮件地址的ISP 备案,与该当事人的情况一致,法庭据此确认该电子邮件的内容,并做出判决,结案后该当事人服判。
当前,由于某种原因,有些信箱成为公用信箱,使用该类信箱的非注册用户,则无权要求获得法律上的保护。对开放自己的电子邮件信箱者,无异于等于放弃自己的权利。当然,电脑“黑客”的侵袭或恶意的发送匿名电子邮件则另当别论。
2.2确定邮件收发时间
"收到"这一概念,在电子商务贸易过程中,具有相当重要的法律意义。
而时间因素是取证分析和案件审理过程中判定事件、犯罪行为发生情况的重要依据。一般在电子邮件头中就有邮件创建和接收的时问,邮件接收时间即为到达时间。邮件从发送到接收一般以秒为单位,但是还需要考虑当时网络线路等因素。当邮件到达时间成为区分当事人双方权利义务的界限时,时间收发的确认显得极其的重要。收发者可能会故意改动时间以期维护自己的经济利益。发生争议时,比较可行的方法是不以接收人订算机内储存的电子邮件时间为准,而以邮件服务器所示的时间为准,因为邮件服务的供应商通常是由独立的第三方代理的。
由其出具证明更为公平和真实。所以,将来关于电子签名的立法应当指明,凡邮件收发方要求邮件服务供应商对接收时间出具证明的,邮件服务供应商盛当予以配合。
2.3对电子邮件内容的认定
电子邮件的内容,亦是在诉讼中不易认定的部分。在确定了收发件人后,就要对电子邮件的内容进行审查,电子邮件的内容是必须借助于计算机为载体才能呈现,离开了这一载体,即为电脑打印件。故以审查书证的传统审查方法进行审查,在此已不可行。因对这类证据的审查主要是审查其是否为原件,是否有本人签字,是否盖有公章。对境外的函件还需有公证、认证。
但对电子邮件来说,所有这些审查方法均不可行,因电子邮件的传输方式已决定了电子邮件不具备上述特点。当然,对于一般人员来说,直接在Internet mail 的收件箱中删改纯
电子邮件信件亦非易事,因收件箱中的电子邮件是只读文件,拒绝删改。其另存方式也只是改变文件的位置,文件的属性并未改变,仍是.eml文件。从外观上看,纯电子邮件信件的信头上均带有收发件人、收发件人的网址、收发件时间等详细资料。故对这类文件只要上述信息清楚,以笔者见,可以作为证据认定,如还有疑问,可要求当事人将电子邮件“转发”至承办人指定的计算机上或干脆通过“连机”、“共享”的方式直接到举证人的计算机上查阅原始信息(虽目前法院在设备上尚不能满足)。可能发生的删改一般是随电子邮件以“插入”“附件”方式发送的MIME 非文本文件,如Word、Excel、gif、mpg文件乃至声音、影像等多媒体文件,因该类文件的打开是在相应的编辑软件下进行,故可以删改。
此外,另有一类电子邮件是被收发件人从其电脑中永远删除了,并据此否认收发过电子邮件。对此类情况目前尚无较好的办法。从技术上讲,已可以做到将所有“网上信息”搜集起来并永久保存,在必要时,通过检索使其还原。由于我国目前尚无要求网络服务商对传输的电子文件储存记录或转存的制度,造成了一旦发生争议,将无第三方可出具中立性的证据。而部分地方法规已有了相应规定。如《广东省对外贸易实施电子数据交换暂行规定》就规定:电子数据服务中心应有收到报文和被提取报文的回应和记录;电子报文的存贮期最短不得少于5年;对进行电子数据交换的协议双方发生争议时,以该中心提供的信息为准。如该方法被用于司法实践,将给审判工作带来极大便利。
3. 电子邮件作为证据的特点
目前,在实际办案过程中,一般的侦查人员和公诉人员缺乏相关的专门知识,在收集、提取、保全、审查、运用电子证据的时候往往困难重重:电子证据的删除太快太容易,执法部门机关在取证前,可能已经被毁灭;目前在我国电子证据能否成为证据、电子证据成为证据的条件、电子证据的合法性等问题存在广泛争议,我国法律也没有明文规定;在处理计算机犯罪案件时,我国检察机关目前普遍的做法是对电脑进行勘验检查并制作笔录,或者将电子邮件记录等先打印出来,再由犯罪嫌疑人签字,最后作为书证这种具有法律效力的证据来使用,这些证据在法律中只能视为传闻证据,其可靠性大打折扣。这种侦查难、举证难、定罪难的境况迫切要求适用的取证工具的产生与应用,尤其是当前电子邮件取证在计算机取证上的重要性不断提高,而互联网电子邮箱申请与真实身份并没有挂钩,一旦有问题,通过电子邮件侦查取证难度很大。
3.1电子邮件形式证据的主要特征
电子邮件不能直接表现自身内容,必须通过计算机显示其内容,或者通过公证手段将其打印固定下来,电子邮件作为无形物,必须要转化为有形物才能作为证据使用。电子邮件本身是以数据信息的形式储存于电磁介质之中,只要计算机系统的操作严格按照规定的流程进行,电子邮件是准确的和不容篡改的,故其作为证据是客观和真实的。如同其他证据一样,电子邮件要作为证据使用也必须具备证据的三要素,即真实性、合法性、关联性。
3.1.1电子邮件证据的真实性
包括两方面的含义,一是该电子邮件在整个传输过程中没有经过人为修改;二是电子邮
件从无形物转换成有形物时,即在作为证据的采集固定过程中,没有经过人为修改。因此,电子邮件从计算机中提取的过程是否公正、客观、是判定电子邮件有无证据效力的主要依据,对方当事人在任何时候均可以提交证据证明电子邮件不具有真实性或被人为修改从而减损、否认电子邮件证据的效力。
3.1.2电子邮件证据的合法性
主要表现在两方面,一是证据形式的合法性;二是证据采集过程的合法性。采集电子邮件证据应遵循一定的程序和方法,但目前并无明确的关于电子邮件证据采集的程序规定,一般而言,固定电子邮件的合法方法主要有在法庭上当着法官的面显示电子邮件并宣读其内容,由书记员记录或打印,或者由国家公证机关通过法定程序进行公证再将公证书提交给法庭,或者由其他权威机构出具书面的关于电子邮件内容的书面报告并提交给法庭;电子邮件一般不能由一方当事人任意自行打印提交。不论在何种情况下,对方当事人均可以提交证据证明电子邮件采集程序不合法从而否认电子邮件证据的合法性。本案电子邮件是在国家公证机关的监督下从互联网中采集的,因此认定其为客观真实和合法有效的。
4.WebMail 证据的获取
4.1webmail 的操作
WebMail 由于使用浏览器进行邮件操作,其相关信息是作为网页(HTML 语言)的形式进行操作处理的。因此,获取WebMail 信息,就是获取网页信息。首先,取证人员需确定犯罪分子进行WebMail 操作时使用的主机,该主机可能保存有操作时留下的痕迹。由于电子证据极易被破坏,在确定主机后应及时予以保护。其次,为确保取证获得的证据在诉讼阶段具有法律效力,取证过程必须符合法律规范。同时,为保护原始数据的完整性,取证人员必须对嫌疑硬盘上的原始数据进行拷贝,紧接下来的所有取证工作都只能围绕这个拷贝进行。要获取WebMail 的相关数据,必须了解网页信息可能存在的位置。WebMail可能存在的位置包括:
4.1.1利用临时文件获取
Temporary Internet Files(Internet 临时文件夹)使用浏览器浏览网页时,系统会自动将网页中的图像、声音、视频等文件存放在Internet 临时文件夹中,以便下次再浏览该网页时,无需重新下载从而提高网页浏览速度。因此,在Internet 临时文件夹中存放着最近访问过的网页信息。而WebMail 信息即网页信息,因此取证人员可以在Internet 临时文件夹中进行搜索,获取WebMail 信息。
4.1.2利用残留区获取
未分配空间和文件残留区随着频繁访问网页,Internet临时文件夹中保存的网页信息越来越多,其占用的硬盘空间也迅速增加。因此,需要定期清理Internet 临时文件夹。也
就是说,Internet 临时文件夹中只存放最近一段时间
访问过的WebMail 信息,对于访问时间过长的Web-Mail,其数据可能已经被删除。在操作系统中,删除一个或者多个文件十分常见,但是系统软件并不是真的将这些文件完全删除了,而是将这些文件所占用的空间标注成空闲。这样,其他的文件由于这个空间空闲就能使用这些空闲的空间了,如果被删除文件原先所占用的空间没有被新的文件覆盖,那么,没有被覆盖的那部分空间中的数据就能够恢复。也就是说,对于被删除的WebMail,其数据可能存在于未分配空间和文件残留区(文件占用的存储空间=文件内容+文件残留区)中。由于在未分配空间和文件残留区中的WebMail 数据可能是凌乱的碎片,因此,需要归纳总结Web-Mail 的关键字,然后根据关键字进行搜索。
4.2webmail 证据的分析
WebMail 取证主要是通过对电子邮件进行分析,获知邮件内容和发件人/收件人身份。邮件由邮件头、邮件体和附件三部分组成。其中,对邮件体和附件进行分析,可以从中了解邮件的具体内容。
WebMail 邮件头中除了标准的邮件头内容外,还包含一些WebMail 服务供应商附加的信息。具有大量的信息的地方是邮件头,有就是说分析邮件头,是取证人员追踪发件人身份,获知一些除邮件内容之外的其他信息的有效手段。但是我们知道,不同的服务提供商所提供的WebMail 邮件头的信息肯定还是有不同的。因此,针对不同的邮件服务商必须要做不同的处理和分析。而要分析邮件头,当然要了解邮件头的产生过程及邮件头中各部分的含义。当发件人编辑邮件并发送到邮件服务器A 时,邮件头包括如下内容:
Date:时间
From:发件人邮箱
To:收件人邮箱
Subject:主题
5. 结语
从上面看.似乎电子邮件的取证追踪非常简单,然而实际情况通常并非如此。因为Whois 和Better--Whols 虽然有助于找到电子邮件的发送者,但它们却无法确定该发送者的地址是否是伪造的。目前的电子邮件服务器在发送邮件时通常是没有认证的,也就是说用户可以在无需密码的情况下使用他人的电子邮箱发送信件,所以在大多数情况下,虽然可以找到邮件发送者的账号,但却不能因此就断定邮件就是由谚账号的用户所发送的,这就是电子邮件取证追踪所面临的困境.此时通常还要使用其它方面的证据才能断定。
随着计算机技术的发达和互联网的日益普及,无纸化办公层次日益深入。民事主体之间逐步采用IM 即时通讯、电子邮件等手段来进行市场交易;公司内部管理的公布或通知也更多的采用OA 这样的办公网络系统的形式;淘宝等B2C、C2C 类电子商务企业业务日益融入到大众消费者的日常生活当中;部分法院已率先尝试采用电子公告、电子邮件通知送达开庭传票等更为便捷先进的现代化送达方式,电子邮件逐步融入到工作和生活的方方面面,影响着社会主义市场经济和谐发展,电子邮件的重要性越来越明显。
因此,建议有关立法部门尽快对电子邮件进行调研立法,区分不同的情况,明确部分电子邮件的登记注册制度和真实身份信息披露核实制度,明确电子邮件的合法流通流转过程,确保电子邮件合理正常到达收件人系统并强制性到达回执和阅读回执,明确电子邮件证据的采集程序,以提高其认定效率降低采集成本。建议司法机关提高关于电子邮件证据形式的认
识水平和证据认定能力,完善电子邮件证据认定程序,加快电子邮件证据认定速度,从而提高涉及电子邮件案件的事实认定水平和案件审理能力。最终整体上加大对电子邮件形式证据的认定力度和效率,以鼓励民事主体尽可能多地采用电子邮件这种更先进的沟通交易方式,来促进社会经济的快速稳定健康发展。