前言

计算机取证与司法鉴定是研究如何对计算机证据进行获取、保存、分析和出示的法律规范和科学技术。计算机取证与司法鉴定既是一个法学问题，又是一个计算机科学与技术问题； 既是一个法学理论问题，又是一个司法实务问题。

计算机证据是一种十分重要的证据，已经被誉为信息社会的“证据之王”，可以通过计算机取证与司法鉴定寻找案件线索，也可以通过计算机取证与司法鉴定将计算机证据转化为法定证据，从而在法庭上胜诉定案。

计算机取证与司法鉴定是计算机案件审判和量刑的关键依据，由于计算机证据具有易修改性、实时性、设备依赖性，又具有可以精确重复性等高科技特性，因此必须将计算机取证与司法鉴定的特殊性和一般性相结合，研究计算机证据现场勘查、获取、保全、运用、审查和确认的各环节，以保证计算机证据的客观性、合法性和关联性。

本书从法学的角度分析了计算机证据的法律性质、类型、效力及取证规则，从计算机科学与技术角度研究了计算机证据的收集分析技术。

计算机犯罪是21世纪破坏性最大的一类犯罪，要打击和遏制这种犯罪，计算机取证与司法鉴定承担着不可取代的作用，这是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科，是当前或不久的将来，我国信息网络安全亟须解决的重要问题，具有强烈的社会需求，具有鲜明的时代性和创新特点。

本书介绍了计算机取证与司法鉴定的国内外研究概况和发展趋势，分析了计算机取证与司法鉴定的证据效力和法律地位，指出了计算机取证与司法鉴定的特点和业务类型，阐述了计算机取证与司法鉴定的原则和过程模型，论述了计算机取证与司法鉴定的实施过程，介绍了常用的几种计算机取证与司法鉴定设备和分析工具，讨论了Windows XP、Windows Vista和UNIX/Linux系统的取证理论与方法，探讨了网络取证、QQ取证、木马取证、手机取证和专业电子设备取证等特定取证类型的分析方法，最后给出了笔者所带领的团队完成的7个典型案例。

由于计算机取证与司法鉴定、电子取证、电子数据取证和司法鉴定有很多的共同点，因此本书在不引起歧义的情况下，有时并不区分它们。

本书从各种论文、书刊、期刊和互联网中引用了大量资料，有的在参考文献中列出，有的无法查证，在此对这些资料的作者表示感谢。由于时间和水平有限，书中难免存在疏漏与不妥之处，恳请各位专家批评、指正，使本研究成果得以改进和完善。

本书为国家科学基金项目(07BFX062): 计算机取证研究成果，电子数据取证湖北省协同创新中心成果。

编者

2013年10月

第3章前言

计算机犯罪是当前破坏性最大的一类犯罪，要打击和遏制这种犯罪，计算机取证与司法鉴定承担着不可取代的作用，是计算机类案件审判和量刑的关键依据。同时，计算机取证与司法鉴定又是法学与计算机科学紧密结合的边缘学科、交叉学科和新兴学科，是当前或不久的将来，我国信息网络安全亟须解决的重要问题，具有强烈的社会需求和鲜明的时代需求。

自《计算机取证与司法鉴定》一书出版以来，得到了广大读者的支持，特别是得到行业和高校的认可，出版社也对此书进行了改版和多次重印。随着时代的发展，涉计算机类案件出现了新变化、新热点，应读者和出版社的要求及教学形势的需要，再次进行了改版，使得本教材在保持第二版基本结构和特色的前提下，增加了热点案件的取证处理与分析方法，突出了应用知识和实战技能的提升。相比第二版，除保留原教材中被实践证明了有生命力和应用价值的内容外，第三版主要进行了如下修改： 

(1)  调整和优化了全文的目录结构，逻辑性更合理。

(2)  在第3章增加了电子数据鉴定复杂度的介绍，针对电子数据鉴定复杂度的衡量方法和分析方法进行了较为详细的介绍（3.7节）。

(3)  新增了“伪基站电子数据司法鉴定”（8.5节），从伪基站的背景及研究现状、组成及工作原理、取证流程与司法鉴定等方面详细介绍了伪基站取证与司法鉴定的实战分析方法。

总之，本版教材编著的指导思想是力求内容完整、突出热点案件、强调实战应用，从法学的角度分析电子数据的法律属性，从计算机科学的角度研究电子数据取证与分析技术，以实现本教材突出法学和计算机科学交叉融合的特点，培养学生学以致用提升实战能力的目标。

由于计算机取证与司法鉴定、电子取证、电子数据取证和司法鉴定有很多的共同点，所以本书在不引起歧义的情况下，有时并不区分它们。

本书从各种论文、书刊、期刊和互联网中引用了大量资料，有的在参考文献中列出，有的无法查证。由于时间和水平有限，书中难免有不足，恳请各位专家和读者批评指正。

本书得到教育部哲学社会科学研究重大课题攻关项目“提高反恐怖主义情报信息工作能力对策研究”（项目编号： 17JZD034）资助。

编者

2017年10月