电子证据取证研究

电子证据取证研究

李照宇郭欣

李照宇郭欣

郑州市人民检察院，河南郑州450000

中图分类号：D925文献标识码：A文章编号：41-1413（2011）08-0000-01

电子证据是计算机和网络科技高速发展的产物，是将法律与高科技相结合的一种新形式的证据。随着计算机技术的迅猛发展和网络应用的飞速延伸,在司法实践中涉及电子证据的案件越来越多，电子证据的取证规则、取证方式都有别于传统证据，需要通过特定的技术手段进行分析和获取，因此在电子证据的取证过程中应当规范取证流程，遵循一定的原则和方法。

一、电子证据的取证程序应严格规范

。”鉴于电子证据本身所具有的虚拟、快速、脆弱、依赖和易被篡改等特点，任何人为因素或外力造成的对电子数据的修改、删除、覆盖都难以分辨，因此对电子证据的取得是相对困难的，必须要掌握相关知识，依照更明确、严格的方法和程序。

1．证据现场的保护。保护现场是电子证据取证的前提条件，也是电子证据取证程序的第一步。证据现场保护的好坏，对于收集犯罪证据，认定犯罪事实，及案件的侦破有重要影响。电子证据极易丢失或被删改，如果犯罪嫌疑人事先得到消息，就很可能立即销毁证据或者修改证据而使证据变为无效，因此必须快速对证据现场实施保护措施。取证人员进入现场后，应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离；保护好计算机日志，对数据进行备份，切断远程控制；封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份；提取涉案计算机硬盘、移动磁介质、光盘等，特别应注意对当事人随身携带的存储介质的提取。证据现场的保护能够避免电子证据受到破坏，保护好数据信息资料，防止发生人为更改系统设置、损坏硬盘、感染病毒等毁坏证据的情况。

2．证据的提取和固定。证据的提取和固定是整个计算机取证过程的基础，也是证据得以运用的前提，指的是用一定的形式将证据固定下来，加以妥善保管，以便分析、认定案件事实时使用。电子证据因其易删除性和时效性，其灭失风险较大且事后难以取得，如果取得的电子证据没有进行正确的证据固定，则可能导致电子证据可采性和证明力的丧失，因此电子证据的提取和固定是保证其可采性和证明力的重要措施，对电子证据的证据价值有着重要意义。

3．证据的分析。证据分析是指运用计算机技术和信息网络技术，对获取的证据进行数据分析，发现反映案件客观事实的数据，确定电子证据采纳的内容、方向。证据分析是计算机取证的核心和关键，是将收集到的数据、程序进行分析对比，结合全案其他证据进行相互印证、综合审查。应当注意的是，所有的检查和分析工作应该在备份件上进行，以保证原始证据的可靠性和可信性。

二、电子证据取证的技术手段

常用的取证技术方法有数据复制技术、数据恢复技术、数据挖掘技术和密码破解技术等。

1．数据复制技术。电子证据取证中的数据复制指的是将所要调查的设备上的数据拷贝到另外一个或几个用于保存这些数据或将来要进行分析的设备上，从而保证源数据与目标数据中指定数据的一致性。在电子取证过程中，倘若我们直接在被调查的电子设备中对电子证据进行分析操作，可能会由于误操作或设备故障，致使原始数据遭到损坏，而且会改变证据的原始属性，这将严重影响到证据的完整性，进而影响到后续的取证工作。为了避免这种情况的发生，证据的提取和分析工作不能直接在原磁盘上进行，此时对磁盘进行复制就显得十分重要和必要。数据复制技术主要用于证据的固定，对包含电子证据的介质进行克隆，制作介质镜像，主要包括三种方法：硬盘拆机克隆（用于一般便于拆卸存储设备的电子设备）、不拆机硬盘克隆（主要用于笔记本电脑等拆机困难的设备），以及在线硬盘克隆（主要用于在医疗、金融等部门电子取证过程中无法停止正在运行的系统设备）。

2．数据恢复技术。数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据，即恢复至它本来的“面目”。在案件过程中，犯罪嫌疑人可能实时改变或者删除一些作案信息，案件发生后，犯罪嫌疑人也可能在得到一些风声后破坏现场、毁灭证据，因此，数据恢复技术是电子证据取证中重要的技术。

3．数据挖掘技术。数据挖掘技术，就是从大量的、不完全的、模糊的、随机的实际应用数据中，提取隐含在其中的，但又是潜在有用的信息和知识的过程。随着信息技术的高速发展，积累的数据量急剧增长，动辄以TB计量，如何从海量的数据中提取有用的信息成为当务之急。数据过滤就是为顺应这种需要而发展起来的数据处理技术。在电子证据的取证过程中，要从海量数据中获取与案件有关的证据，需要对电子证据源数据进行分析，运用关联规则提取犯罪信息的关联特征，挖掘不同形式与案件有关的的信息证据，将可能作为犯罪证据的数据提取出来，解决动态取证的实时性和有效性问题。例如可以通过最简单的数据搜索技术对系统中文本、图片、音频、视频及程序文件等数据信息的查找，发现与案件相关的事实或犯罪事实。

4．密码破解技术。在某些情况下，文件夹及其子文件被隐藏或者设置了密码保护，这就需要对密码进行破译解密，如对加密后的Word文档，需要利用密码破解软件对其进行解译解密后，才能分析出其是否对案件有关联，进行一般取证。在解密的过程中，应当将被解密文件备份，以防止因解密中的操作使文件丢失或因病毒损坏。

三、电子证据取证过程中应当注意的六个问题

电子证据可能由于操作者的失误、硬件故障、突然断电、计算机感染病毒等因素而丢失，因此相对于传统证据而言，对电子证据的提取和审查具有更大的困难。电子取证不仅要遵循检验电子证据的相关要求,而且应当在取证过程中按照有关技术规范和相应的管理制度妥善保管好电子证据。为了保证获取证据的法律有效性,取证过程应当注意以下六个问题：

1．对原始数据进行备份后利用备份的数据进行分析，不能对原始数据直接进行分析。在取证过程中，尽量保持计算机数据的原始性，不改变计算机的存储记录，由于电子证据本身是非常脆弱的,很容易被损坏或者被修改,哪怕一个字节的改变,都将失去证据的有效性,因此，要在不破坏原始介质的前提下，对所获得的数据进行分析,从而提取出有效证据。为保证原始介质数据的完整性，在进行数据分析之前,必须对原始数据进行镜像拷贝,然后对拷贝进行分析。

2．对原始数据要进行冗余备份。电子取证后获得的电子证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于电子证据本身的不稳定性造成备份数据的丢失，另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析，提高取证效率。

3．在备份复制过程中，以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时，应当使用安全只读接口，使用写保护技术进行操作，对重要证据文件还应采取必要的加密技术和数字签名等技术，并且应当记录分析过程所使用的设备型号、序列号，所使用的软件的名称、版本号、具体操作过程以及检查结果等，制作相应的工作记录或检验文书。

4．确保原始数据的准确无损。对原始数据分析前先进行数字签名,确保收集到的证据没有被修改过,保证获取证据的可信度。可以就所收集来的电子证据交与权威机构借助科学手段对电子证据加以鉴别，审查判断电子证据是否真实,有无剪裁、拼凑、伪造、篡改等,如可以对视频摄像进行鉴定，查明是否被篡改、剪辑。

5．详细记录取证全程，保证证据连续性，将电子证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。在移动硬件之前，把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来，用摄像机记录检验分析的全过程,尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像,以增加证据的硬度，这有助于证明取证程序的合法性及加强证据的证明力。

6．保障硬件环境安全可靠。存储电子证据的介质必须按照科学方法保全，应该远离磁场、高温、灰尘、潮湿的环境，避免造成电磁介质数据丢失，防止破坏重要的线索和证据，比如由于静电威胁的存在。还要注意防磁，特别是使用安装了无线电通讯设备的交通工具运送电子证据时，一定要关掉车上的无线设备，以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。