电子证据数据现场获取通用规范.docxVIP

1

电子数据证据现场获取通用规范

1范围

本技术规范规定了电子数据鉴定中电子数据证据现场识别、收集、获取和保存的通用方法。本技术规范适用于电子数据鉴定中电子数据证据现场识别、收集、获取和保存。

2规范性引用文件

下列文件对于本技术规范的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本技术规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本技术规范。

SF/ZJD0100000－2012电子数据司法鉴定通用实施规范

3术语和定义

SF/ZJD0100000－2012电子数据司法鉴定通用实施规范中界定的以及下列术语和定义适用于本

技术规范。

3.1

随机存取内存转储RandomAccessMemorydump(RAMdump)

将随机存取内存（RAM）中的部分或者全部数据转存到某种类型的存储介质中。3.2

逻辑文件Logicalfiles

用户所观察到的文件组织形式，是可以直接处理的数据及结构。

3.3

潜在电子证据PotentialDigitalEvidence

所有与案件相关的电子数据证据。

3.4

易失性数据VolatileData

容易改变或消失的数据，如内存数据。

4原则

SF/ZJD0100000－2012电子数据司法鉴定通用实施规范所确立的原则适用于本技术规范。

5步骤

5.1制定方案

在进行电子数据证据现场获取之前，需分析案情并根据具体情况制定详细的方案，包括：a)明确现场获取的目的和范围；

b)明确参加现场获取的人员，需明确分工，落实责任；

2

c)明确进行现场获取需携带的移动仪器设备；

d)明确现场获取采用的方法和步骤；

e)明确现场获取的顺序；

f)明确现场获取操作可能造成的影响。

5.2记录现场

现场取证人员应在到达现场后，立即对现场状况通过拍照或录像等的方式进行记录并予以编号保存，以便需要时可以进行验证或重建系统。

5.3现场静态获取

对于已经关闭的系统，在法律允许的范围内并在获得授权的情况下，应对相关电子设备和存储介质进行获取（封存），方法如下：

a)采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储介质和启动被封存电子设备；

b)封存前后应当拍摄或者录像被封存电子设备和存储介质并进行记录，照片或者录像应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况；

c)对系统附带的电子设备和存储介质也应实施封存。

5.4现场动态获取

对于运行中的系统，应进行电子数据证据的动态获取，其中又具体分为易丢失数据的提取和固定、在线获取以及电子设备和存储介质的封存三个部分。

5.4.1易丢失数据的提取和固定

易丢失数据的提取和固定应遵照以下步骤：

a)固定保全内存数据，特别是以下数据：

1)打开并未保存的文档；

2)最近的聊天记录；

3)用户名及密码；

4)其他取证活动相关的文件信息。

b)获取系统中相关电子数据证据的信息，包括：

1)存储介质的状态，确认是否存在异常状况等；

2)正在运行的进程；

3)操作系统信息，包括打开的文件，使用的网络端口，网络连接（其中包括IP信息，防火

墙配置等）；

4)尚未存储的数据；

5)共享的网络驱动和文件夹；

6)连接的网络用户；

7)其他取证活动相关的电子数据信息。

c)确保证据数据独立于电子数据存储介质的软硬件，逻辑备份证据数据以及属性、时间等相关信息。

5.4.2在线获取

在线获取应在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据，包括：a)打开的聊天工具中的聊天记录；

3

b)打开的网页；

c)打开的邮件客户端中的邮件；

d)其他取证活动相关的电子数据信息。

5.4.3电子设备和存储介质的封存

在法律允许的范围内并在获得授权的情况下，结合实际情况进行分析，对系统是否需关闭作出判断并采取相应的措施。其中，对于已经关闭的系统的处理方式参照5.3。

对于不能关闭的电子设备和存储介质，应遵循以下几点：

a)采用的封存方法应当保证在不解除封存状态的情况下，电子设备和存储介质可保持原有运行状态；

b)对于有特殊要求的电子设备和存储介质（如手机等无线设备），应保证电子设备和存储介质的封存方式完全屏蔽，不因电磁等影响而发生实质性改变；

c)封存前后应当拍摄或者录像被封存电子设备和存储介质并进行记录，照片或者录像应当从各个d)角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况。

5.5电子数据证据的固定保全

从现场获取的上述所有电子数据证