《电子证据取证技术的研究》.docVIP

电子证据取证技术的研究 发表时间：2010-10-31 16:31:00 阅读次数:502?????所属分类：法学研究 电子证据取证技术的研究 杨永川1 李岩2 (1．中国人民公安大学，北京100038；2．宝鸡市公安局，陕西宝鸡721001) 摘要电子证据即为电子数据证据，通常指在计算机或计算机系统运行过程中产生的以其记录内容来证明案件事实的电磁记录物。电子证据取证包括证据获取、证据分析和证据报告三个过程。同时，电子证据作为诉讼证据必须具备客观性、关联性、合法性的特征。-3前，以数字化形式出现的电子证据对传统的证据形式提出了挑战。 关键词电子证据；取证技术；分析探讨 中图分类号D918．43 ? 0引言 信息社会使我们融入了数字世界，信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题，与计算机相关的诉讼不断出现，一种新的证据形式——电子证据成为人们研究与关注的焦点。 1电子证据的概念和性质 电子证据即为电子数据证据，也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据，通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件，毫无疑问它具有一般证据所具有的客观存在性，既是可信的、准确的、完整的、符合法律法规的，同时它又具有自身的特殊性。 掌握了电子证据独特的性质，有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。 电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输，所以电子证据的形成具有高科技性；电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息，是通过看不见摸不着的计算机语言记载的，其数据是以磁性介质保存，它又具有无形性；电子数据以“比特”的形式存在，是非连续的，‘改动、伪造不易留下痕迹，数据或信息被人为地篡改后，如果没有可对照的副本、映像文件则难以查清、难以判断，电子证据还表现为易改动性；人为的恶意删除、误操作、电脑病毒、电脑故障等等原因，均有可能造成电子证据的消失，电子证据又呈现易消失性；电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息，其外在表现形式具有多样性；此外，电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。 电子证据的上述性质，决定了其取证过程有别于许多传统的取证方法，它对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学，电子证据取证正逐渐成为人们研究与关注的焦点。通过多年的工作实践，我们认识到电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则，要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素，才能保证电子证据的真实性、合法性。 例如，通过IP地址取证，就必须掌握IP地址的特点。Internet依靠TCP／IP协议，在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet上，每一个节点都依靠为惟一的IP地址互相区分和相互联系。IP地址分为静态地址和动态地址。对开放了诸如www、FTP、E—mail等服务的主机，通常使用静态地址，以方便用户访问。静态IP可以通过网络运营商直接查找其物理地址及使用者。有些用户由于其上网时间和空间的离散性，为其分配一个固定的IP地址(静态IP)将造成IP地址资源的浪费，因此对如拨号上网用户、ADSL用户等，只分配动态IP地址。这些用户通常会在每次拨通ISP(即网络服务提供商)的主机后，自动获得一个动态的IP地址，该地址不是任意的，而是该ISP申请的网络ID和主机ID的合法区间中的某个地址。这些用户任意两次连接时的口地址很可能不同，但在每次连接时问内IP地址不变。对动态IP地址取证，可通过网络运营商的认证系统，找到与之捆绑的帐户，从而确定上网者。我们也可以通过公安机关公共网络监察部门查找。依照国家有关法律法规，为保护计算机信息的安全，网络运营商、Intemet服务机构，其IP地址等信息必须在公安机关公共信息网络监察部门备案。 2电子证据的形成 在工作中，我们通常采用国际上通用的程序对有关电子证据提取、固定，然后再将电子证据转化为具有法律效力的证据。对一个电子证据的取证一般包括三个过程：证据获取、证据分析和证据报告。必须用正确的方法进行这些步骤，证据才会被法庭采信。 2．1证据获取 证据获取涉及从涉案计算机的软盘、USB存储器、硬盘等存储媒介，