取證監督層
這一層主要完成取證過程的全程監督以保證所獲取的證據的可靠性,合法性.
MDFM模型的取證步驟
基於該模型的取證步驟如下:
取證準備階段
取證的準備階段除了完成取證人員的培訓,取證工具和有關法律許可的準備之外,還要根據本國法律法規的規定建立相應的取證知識庫.
物理取證階段
到達犯罪現場或識別可以事件,獲取物理證據,包括存貯設備,網路數據流等.這一階段應該按照計算機取證的基本原則獲取可能包含犯罪證據的原始數據,這一階段的行為要進行取證監督.
數字取證階段
這一階段包括:固定,分析,獲取,提交這樣的幾個步驟.固定就是要通過原始證據和知識庫的匹配獲取可能包含所需證據的數據,通過加入時間約束和對取證需求的分析確定所採取的取證策略,採用合適的策略獲取所需要的證據,最後按照規定的格式提交證據.
取證的全程監督
取證的全程監督是對證據獲取層和數據層的監督,通過監控獲取的監督數據可以存入監督資料庫中,該層次應該可以實現取證全過程的回放,以保證證據的獲取是合法的而且沒有對原始數據進行篡改和偽造.
證據的呈堂
證據的呈堂,就是要把獲取的相關犯罪的證據按照法庭的要求以一定的格式提交給法庭,這裡,我們要特彆強調的是,除了把證據本身提交給法庭外,還必須有足夠的證據證明證據的可採用性.也就是要把取證的全程監督數據和知識庫的數據同時提交.
總結
總結取證的全過程,更新知識庫,更新策略庫.
3.3 MDFM模型的特點
我們提出的取證模型框架有以下特點:
與現有的取證模型兼容
該模型框架是在總結現有模型的基礎上形成的,包括了取證的準備,物理取證,數字取證,取證的全程監督和證據的呈堂,總結等階段.當多維模型中的時間和需求收縮為一個點的時候,就是傳統的取證模型,因此,該模型的收縮性較好.
增加了時間約束
由於犯罪手段不斷更新和升級,即使同樣的取證需求,在不同的時間也會導致採用完全不同的取證策略,因此,該模型增加了時間約束,提出了取證的策略應隨時間變化的新觀點.
增加了審計過程的全程監督
該模型對取證的過程進行了全程監督並形成了完整的監督數據,可以在法庭出現質疑時,回放取證的過程以便證明取證過程的合法性和公允性.
形成了取證的多維模型框架
該模型是一個多維的取證框架模型,讓取證人員從多個角度去完成取證任務,從而可以避免取證過程中的一些失誤和不足.
4. MDFM的形式化
用一個七元組表示:(R, K, P, T, A,M, PR).其中,R(Requirement)表示一個具體的取證需求,K(Knowledge)表示取證知識庫,P(Policy)表示取證策略庫,T(Time)表示時間約束,A(Analysis)表示對獲取的原始證據的分析,M(Monitor)表示取證的全程監督(即包括非篡改性的監督和取證過程合法性的監督),PR表示證據的表示或提交.
5.結論
本文在對現有的計算機取證模型進行深入研究的基礎上提出了一個多維計算機取證模型,該模型增加了時間約束和對計算機取證過程的取證監督,較好地解決了取證策略隨犯罪手段更新變化的問題和所提交的證據的可靠性,關聯性和合法性的問題.
