电子数据取证原则与步骤.docxVIP

v1.0 可编辑可修改 v1.0 可编辑可修改 PAGE PAGE # 电子数据取证原则与步骤 电子物证检材提取有二种基本形式：提取硬件物证检材和电子信息物证检 材。如果电子设备可能被用作犯罪工具、 作为犯罪目标或是赃物， 或者是电子设 备内 含有大量与案件相关的信息，就有可能需要提取硬件作为物证检材。在准 备提取整台计算机作为检材时， 应考虑同时提取该计算机的外围硬件， 如打印机、 磁盘驱动 器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明 犯罪的证据， 或者电子信息是非法占有的， 这时候电子物证检材提取的焦点是电 子设备内的电子 信息内容，而不是硬件本身。提取电子信息物证检材通常有二 种选择：复制电子设备储存的所有电子信息，或者是仅仅复制需要的电子信息。 选择哪种方式主要根据 案件情况和侦查需要决定。 网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删 改。如果一个计算机网络涉及犯罪活动， 电子数据证据通常分布在多台计算机中， 应 尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机 内的电子数据证据需要更多的计算机技术和案件调查经验， 一般需要由专业的电 子物证专 家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完 整的严重后果。 第一节 电子数据取证原则 电子数据取证的原则： 1．尽早地搜集整理证据，能够得到第一手的信息，并尽可能地做到取证的 过程公正和公开； 2．不要破坏或改变证据，尽可能少的改变系统状态，在不对原有物证进行 任何改动或损坏的前提下获取证据； 3．证明所获取的证据和原有的数据是相同的； 4．在不改变数据的前提下对其进行分析； 5．在取证时使用的软件应是合法的。 为此，在进行电子物证检验的过程中， 要采取以下做法来保证原证据不被改 变或损坏： 1．尽早收集证据，以防原证据被改变或计算机系统状态被改变； 2．对送检的材料采用专用的设备进行克隆， 然后将原始介质作为证据保存， 所有的检查都在副本上进行。原证据创建副本时，必须是逐位复制的准确拷贝； 3．如果需要浏览，要采用专用只读设备进行检查； 4．原证据的副本克隆在适合供法庭使用的介质上。这要求所用的介质必须 保证是未拆封过的、新的且完好无损的，或者将目标介质事先进行过严格擦除； 5．绝不允许用有证据的驱动器启动计算机； 6．检查中绝对禁止对证据的任何修改。 第二节 电子数据取证步骤 一、保护现场和现场勘查 现场勘查是取证的第一步， 这项工作可为下面的环节打下基础。 冻结目标计 算机系统，避免发生任何的改变、数据破坏或病毒感染。绘制犯罪现场图、网络 拓扑图，在移动或拆卸任何设备之前都要拍照存档， 为今后模拟和犯罪现场还原 提供直接依据。 必须保证“证据连续性”， 即在证据被正式提交给法庭时， 必须能够说明在 证据从最初的获取状态到在法庭上出现状态之间的任何变化， 当然最好是没有任 何变化。 整个检查、取证过程必须是受到监督的。也就是说最好所有调查取证工作， 都应该有其他方委派的专家的监督。 积极要求证人、 犯罪嫌疑人配合协作， 从他们那里了解操作系统、 用户名口 令、储存数据的硬盘位置、文件目录等等。 二、分析数据 分析数据是取证的核心和关键。 分析电子数据的类型、 采用的操作系统， 是 否为多操作系统或有隐藏的分区； 有无可疑外设； 有无远程控制、 木马程序及当 前系统的网络环境。 注意开机、关机过程， 尽可能避免正在运行的进程数据丢失 或存在不可逆转的删除程序。 分析在磁盘的特殊区域中发现的所有相关数据。 利用磁盘存储空闲空间的数 据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹。通过将收集 的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。 检验该计算机的用户名、电子签名、密码、交易记录、邮件信箱、邮件发送 服务器的日志、上网 IP 等计算机特有信息。 结合全案其他证据进行综合审查。 注意该电子数据证据要同其他证据相互印 证、相互联系起来综合分析； 同时，要注意证据能否为侦破该案提供其他线索或 确定可能的作案时间、犯罪人；审查数据备份以及有否可恢复的其他数据。 三、追踪 上面提到的取证步骤是基于静态的，即事件发生后对目标系统的静态分析。 随着犯罪技术手段升级， 这种静态的分析已经无法满足要求， 发展趋势是将取证 结 合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证 过程将更加系统并具有智能性，也将更加灵活多样。 对某些特定案件，如网络遭受黑客攻击， 应收集的证据包括： 系统登录文件、 应用登录文件、 网络日志、防火墙登录、磁盘驱动器、 文件备份、电话记录等等。 当在取证期间犯罪还在不断的入侵计算机系统， 采用入侵检测系统对网络攻 击进行监测是十分必