- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
??
?
??
收集电子证据的几个基本问题分析
?
?
?
?
?
??
?
?
?
李双其
(福建警察学院侦查系,福建福州350007)
摘要:文章对电子证据收集、取证中的关键问题进行了介绍,并进行了归纳和分析。
关键词:电子证据;收集;取证
TP309.2:A:1671-1122(2010)12-0046-03
1收集电子证据应遵循的一般原则
因为电子证据具有高技术性、脆弱性、隐蔽性、多媒性等特征,要求收集电子证据时应遵循以下原则:
1)及时性原则。就是当获取网络犯罪的相关情报时,侦查部门应尽快赶赴相关地点,及时采取保护措施,并立即着手对现场进行处置。此原则与收集传统证据的原则相同。一旦错过时机,证据可能就不复存在。
2)合法性原则。合法性原则包含的内容:一是保证证据的连续性。即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。二是专业人士见证。就是取证工作应在计算机专业人士的见证下进行,专业见证人起到传统见证人见证的作用。
3)全面性原则。即既收集存在于计算机软硬件上电子证据,也收集其他相关外围设备中的电子证据;既收集文本,也收集图形、图像、动画、音频、视频等媒体信息;既收集对犯罪嫌疑人不利的证据,也收集对其有利的证据。
4)专业人士取证原则。要求收集电子证据人员必须掌握计算机与网络的知识和技能。遇到高难度的取证问题时,应聘请计算机网络专家协助。
5)潜在证人协助原则。电子证据的潜在证人是指虽然对案件事实不能起到证明作用,但是可以对电子证据的真实性及其内容起到一定的证明作用的人。潜在证人一般包括:用计算机及外设记录其营业管理活动状况的人,监视数据输入的管理人,对计算机及外设的硬件和程序编制的负责人。在收集电子证据的过程中,办案人员必须取得这些潜在证人的协助。
6)利用专门技术工具取证原则。传统取证技术工具在收集电子证据中已不适用。电子证据和传统的证据不同,它是依托于计算机技术、微存储技术、网络技术而存在的,是以数字化的信息编成的形式出现的。它的产生、储存和传输的每一步过程,都必须借助于高新技术,离开了高新技术,电子证据就根本无法保存和传输。在没有外界蓄意篡改或差错影响的情况下’电子证据一般是能够准确储存并反映有关案件真实情况的。正是以这种高新技术为依托,使它很少受主观因素的影响,其精确性决定了电子证据具有较强的证明力。因此,为了保证电子证据的证明力,在收集电子证据时应使用专门的技术工具,而且这种技术常常是尖端的科学技术。
2收集电子证据的技术与工具
2.1收集电子证据的技术
从被侵犯的以电子工具为主体组成的系统(以下简称被侵犯系统)取证时,工作对象往往是发生了紧急事件(受到入侵)的计算机系统、磁盘或其他数据存储介质,主要涉及数据获取和数据分析技术。而从被犯罪分子用来作案的以电子工具为主体组成的系统(以下简称攻击系统)取证时,因犯罪分子对系统的破坏,因此取证工作往往需要从系统的隐蔽之处(如未分配的磁盘空间、slack空间、临时文件或交换文件)获得数据,重建数据,并对数据进行分析,最后得到取证报告。而通过网上监控取证时,除了需要数据获取和数据分析技术外,还要用到扫描监控技术。
数据获取技术的关键是如何保证在获取数据的同时不破坏原始介质,一般不推荐使用原始介质进行取证分析。常用的数据获取技术包括:对计算机系统和文件的安全获取技术,避免对原始介质进行任何破坏和干扰;对数据和软件的安全搜集技术;对磁盘或其他存储介质的安全无损备份技术;对已删除文件的恢复、重建技术;对slack磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;对交换文件、缓存文件、临时文件中包含的信息的复原技术;计算机在某一特定时刻活动内存中的数据的搜集技术;网络流动数据的获取技术等。
在已经获取的数据或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括:文件属性分析技术;文件数字摘要分析技术;日志分析技术;根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者的分析技术;发掘同一事件的不同证据间的联系的分析技术;数据解密技术;密码破译技术;对电子介质中的被保护信息的强行访问技术等。
2.2收集电子证据的相关工具
2.2.1传统的取证工具
包括勘验器材、照相器材、绘图器材、录像器材、记录器材等。这些工具主要用来记录提取存储数据的介质。
2.2.2收集电子证据专用工具
电子证据是由技术发展引发的,在取证过程中,必须借助一些专用工具。
数据提取和分析工具是网络取证专家工具包中最基本的工具。其中既包括操作系统中已经存在的一些命令行工具,也包括专门的工具软件和工具包。如:Tcpdump、Argus、NFR、Tcpwrapper
文档评论(0)