计算机取证报告题目:电子邮件取证技术教师:杜江姓名:黄灵伶学号:2010212171学院:计算机专业:信息安全班级:0441003电子邮件取证技术论文摘要:电子邮件的普及,给人们的生活带来许多便利,但是犯罪分子利用电子邮件进行违法犯罪活动的现象也日趋增多,电子邮件逐渐成为执法人员获取犯罪活动线索和证据的重要来源。
文中对基于Web的电子邮件取证技术进行研究,为侦破案件,将犯罪分子绳之于法起到积极作用。
关键词:Web;电子邮件;取证1.概述电子邮件已成为现代社会不可缺少的通信方式之一。
人们通过网络发送电子邮件,使交流变得更加容易、快捷。
然而,电子邮件所带来的安全问题也着实让人们伤透了脑筋。
犯罪分子在进行电子邮件操作时留下很多痕迹,如何对这些痕迹进行分析取证,寻找有价值的信息,为案件侦破提供有力的线索,为法庭审判提供有效的证据,是我们亟待解决的问题。
而作为计算机领域和法学领域的一门交叉科学——计算机取证(Computer Forensics)正逐渐成为人们研究与关注的焦点。
计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。
2.电子邮件成为证据的条件以及认定电子邮件取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。
电子邮件取证勘察过程,大致经历犯案、立案、原始证据采集、证据分析、证据链条建立、证据分析报告与提交到呈堂等一系列过程。
在这个过程中,对电子邮件事件痕迹取证绝不是基于某种单一的概念或者纯粹的技术,而是基于法学、计算机科学和信息安全学的一系列概念,并且是面向实际应用的一个概念,要遵循标准的技术流程,涉及法律、计算机系统、计算机网络、信息安全等多方面的知识。
现实情况下,直接由电子邮件引发的纠纷并不多见,其一般是以证据的形式出现,在以证据形式出现时,如果双方均对电子邮件的内容及收发人无异议,在诉讼中接受双方当事人的质证,认为可以作为证据认定,在此类情况下,电子邮件的证据形式已不重要,因当事人的承认性陈述本身就可以作为证据认定,而这种承认性陈述又可被电子邮件的内容所印证,所以,应当被法庭认定。
由于电子证据容易被伪造、篡改,而且被伪造、篡改后不留痕迹,再加上电子证据由于人为的原因或环境和技术条件的影响容易出错,一般被归人间接证据。
虽然目前电子邮件能否作为证据目前尚无规定,但是电子邮件已被现代经济社会所接受却是现实,如电子商务、电子教育、电子政府等即是现代信息社会的产物。
在已经由九届人大二次会议审议通过的新合同法里,电子邮件已列为书面合同的一种形式,合同的双方通过电子邮件来达成购买合约,来实现购买行为,其购买、结算、质疑、退货、索赔等均是通过电子邮件来实现的;网上订票、网上挂号、网上咨询已实际进入我们的生活。
由此可见,如有涉及此的诉讼中,负有举证义务的当事人必然会将双方往来的电子邮件作为证据提交到法庭,以支持自己的主张。
这就为电子邮件可以成为证据提供了现实的可能性和必要性。
2.1对收发件人的认定在诉讼中,如果当事人对电子邮件的收发人发生争议,在此种情况下,审查电子邮件的内容已无意义,因当事人如否认是电子邮件的收发人,实际上已经否认了电子邮件的内容。
以笔者的看法,在确认电子邮件的收发件人时,首先需查清的是电子邮件的地址是否是收发件人的,其是否拥有合法的用户名、账号、密码等,因每一个注册用户均对应一个电子邮件信箱,合法用户的上述资料及个人资料(真实姓名、工作单位、通信地址、身份号码等)在“ISP”(Internet service provider即网络服务提供商)处均有备案,如使用人的个人资料于ISP的备案一致,则可以确认该信箱是使用人的,在该用户的信箱密码未被他人盗用的情况下,以该信箱收发的电子邮件的作者即为信箱的拥有者。
笔者曾遇一案,当事人否认自己给对方发出过财产情况的电子邮件,后经核对该电子邮件地址的ISP备案,与该当事人的情况一致,法庭据此确认该电子邮件的内容,并做出判决,结案后该当事人服判。
当前,由于某种原因,有些信箱成为公用信箱,使用该类信箱的非注册用户,则无权要求获得法律上的保护。
对开放自己的电子邮件信箱者,无异于等于放弃自己的权利。
当然,电脑“黑客”的侵袭或恶意的发送匿名电子邮件则另当别论。
2.2确定邮件收发时间"收到"这一概念,在电子商务贸易过程中,具有相当重要的法律意义。
而时间因素是取证分析和案件审理过程中判定事件、犯罪行为发生情况的重要依据。
一般在电子邮件头中就有邮件创建和接收的时问,邮件接收时间即为到达时间。
邮件从发送到接收一般以秒为单位,但是还需要考虑当时网络线路等因素。
当邮件到达时间成为区分当事人双方权利义务的界限时,时间收发的确认显得极其的重要。
收发者可能会故意改动时间以期维护自己的经济利益。
发生争议时,比较可行的方法是不以接收人订算机内储存的电子邮件时间为准,而以邮件服务器所示的时间为准,因为邮件服务的供应商通常是由独立的第三方代理的。
由其出具证明更为公平和真实。
所以,将来关于电子签名的立法应当指明,凡邮件收发方要求邮件服务供应商对接收时间出具证明的,邮件服务供应商盛当予以配合。
2.3对电子邮件内容的认定电子邮件的内容,亦是在诉讼中不易认定的部分。
在确定了收发件人后,就要对电子邮件的内容进行审查,电子邮件的内容是必须借助于计算机为载体才能呈现,离开了这一载体,即为电脑打印件。
故以审查书证的传统审查方法进行审查,在此已不可行。
因对这类证据的审查主要是审查其是否为原件,是否有本人签字,是否盖有公章。
对境外的函件还需有公证、认证。
但对电子邮件来说,所有这些审查方法均不可行,因电子邮件的传输方式已决定了电子邮件不具备上述特点。
当然,对于一般人员来说,直接在Internet mail的收件箱中删改纯电子邮件信件亦非易事,因收件箱中的电子邮件是只读文件,拒绝删改。
其另存方式也只是改变文件的位置,文件的属性并未改变,仍是.eml文件。
从外观上看,纯电子邮件信件的信头上均带有收发件人、收发件人的网址、收发件时间等详细资料。
故对这类文件只要上述信息清楚,以笔者见,可以作为证据认定,如还有疑问,可要求当事人将电子邮件“转发”至承办人指定的计算机上或干脆通过“连机”、“共享”的方式直接到举证人的计算机上查阅原始信息(虽目前法院在设备上尚不能满足)。
可能发生的删改一般是随电子邮件以“插入”“附件”方式发送的MIME非文本文件,如Word、Excel、gif、mpg文件乃至声音、影像等多媒体文件,因该类文件的打开是在相应的编辑软件下进行,故可以删改。
此外,另有一类电子邮件是被收发件人从其电脑中永远删除了,并据此否认收发过电子邮件。
对此类情况目前尚无较好的办法。
从技术上讲,已可以做到将所有“网上信息”搜集起来并永久保存,在必要时,通过检索使其还原。
由于我国目前尚无要求网络服务商对传输的电子文件储存记录或转存的制度,造成了一旦发生争议,将无第三方可出具中立性的证据。
而部分地方法规已有了相应规定。
如《广东省对外贸易实施电子数据交换暂行规定》就规定:电子数据服务中心应有收到报文和被提取报文的回应和记录;电子报文的存贮期最短不得少于5年;对进行电子数据交换的协议双方发生争议时,以该中心提供的信息为准。
如该方法被用于司法实践,将给审判工作带来极大便利。
3.电子邮件作为证据的特点目前,在实际办案过程中,一般的侦查人员和公诉人员缺乏相关的专门知识,在收集、提取、保全、审查、运用电子证据的时候往往困难重重:电子证据的删除太快太容易,执法部门机关在取证前,可能已经被毁灭;目前在我国电子证据能否成为证据、电子证据成为证据的条件、电子证据的合法性等问题存在广泛争议,我国法律也没有明文规定;在处理计算机犯罪案件时,我国检察机关目前普遍的做法是对电脑进行勘验检查并制作笔录,或者将电子邮件记录等先打印出来,再由犯罪嫌疑人签字,最后作为书证这种具有法律效力的证据来使用,这些证据在法律中只能视为传闻证据,其可靠性大打折扣。
这种侦查难、举证难、定罪难的境况迫切要求适用的取证工具的产生与应用,尤其是当前电子邮件取证在计算机取证上的重要性不断提高,而互联网电子邮箱申请与真实身份并没有挂钩,一旦有问题,通过电子邮件侦查取证难度很大。
3.1电子邮件形式证据的主要特征电子邮件不能直接表现自身内容,必须通过计算机显示其内容,或者通过公证手段将其打印固定下来,电子邮件作为无形物,必须要转化为有形物才能作为证据使用。
电子邮件本身是以数据信息的形式储存于电磁介质之中,只要计算机系统的操作严格按照规定的流程进行,电子邮件是准确的和不容篡改的,故其作为证据是客观和真实的。
如同其他证据一样,电子邮件要作为证据使用也必须具备证据的三要素,即真实性、合法性、关联性。
3.1.1电子邮件证据的真实性包括两方面的含义,一是该电子邮件在整个传输过程中没有经过人为修改;二是电子邮件从无形物转换成有形物时,即在作为证据的采集固定过程中,没有经过人为修改。
因此,电子邮件从计算机中提取的过程是否公正、客观、是判定电子邮件有无证据效力的主要依据,对方当事人在任何时候均可以提交证据证明电子邮件不具有真实性或被人为修改从而减损、否认电子邮件证据的效力。
3.1.2电子邮件证据的合法性主要表现在两方面,一是证据形式的合法性;二是证据采集过程的合法性。
采集电子邮件证据应遵循一定的程序和方法,但目前并无明确的关于电子邮件证据采集的程序规定,一般而言,固定电子邮件的合法方法主要有在法庭上当着法官的面显示电子邮件并宣读其内容,由书记员记录或打印,或者由国家公证机关通过法定程序进行公证再将公证书提交给法庭,或者由其他权威机构出具书面的关于电子邮件内容的书面报告并提交给法庭;电子邮件一般不能由一方当事人任意自行打印提交。
不论在何种情况下,对方当事人均可以提交证据证明电子邮件采集程序不合法从而否认电子邮件证据的合法性。
本案电子邮件是在国家公证机关的监督下从互联网中采集的,因此认定其为客观真实和合法有效的。
4.WebMail证据的获取4.1webmail的操作WebMail由于使用浏览器进行邮件操作,其相关信息是作为网页(HTML语言)的形式进行操作处理的。
因此,获取WebMail信息,就是获取网页信息。
首先,取证人员需确定犯罪分子进行WebMail操作时使用的主机,该主机可能保存有操作时留下的痕迹。
由于电子证据极易被破坏,在确定主机后应及时予以保护。