淺論電子取證的方法

1、淺論電子取證的方法電子證據(jù)，是指由計算機設(shè)備儲存的，經(jīng)法定程序作為證據(jù) 收集固定的數(shù)據(jù)信息。電子證據(jù)，除具備一般證據(jù)屬性外，還具 有多重性、可修改性、可滅失性和技術(shù)性特點。隨著計算機被廣 泛應(yīng)用，計算機存儲設(shè)備所儲存的數(shù)據(jù)信息已逐漸成為訴訟證據(jù) 的一個重要來源，在取證工作中，如何搞好電子證據(jù)的收集、固 定工作就成為迫在眉睫的主要問題。 一、電子證據(jù)的重要性及取 證的要求電子證據(jù)，除具備一般證據(jù)的客觀性和合法性外，還有 以下幾個特點： 1、證據(jù)屬性的多重性。由計算機提供的電子證據(jù) 具有視聽資料、書證、物證等多重證據(jù)意義。電子證據(jù)的視聽資 料意義，是指電子證據(jù)能夠通過計算機輸出的畫面、聲音來證明

2、案件事實，例如：影視畫面可以證明歷史現(xiàn)場情況，聲音則可以 證明誰在什么場合說了什么話等 ;電子證據(jù)的書證意義，是指電子 證據(jù)能夠通過計算機輸出的文字、數(shù)字及符號的內(nèi)容來證明案件 事實，例如：電子書信、軟件、電算化資料等 ;電子證據(jù)的物證意 義，是指電子證據(jù)能夠以其被儲存的位置、方式以及載體的外觀 形象來證明案件事實，例如：電子證據(jù)被儲存在不同文件夾中， 可以證明存儲者對計算機文件的理解、使用意圖，電子證據(jù)被儲 存在計算機硬盤中或是被儲存在軟盤、光盤、磁帶中將會證明這 一證據(jù)文件的是否被拷貝等事實，軟盤、光盤等電子證據(jù)載體的 外觀形象，可以證明其是否受到物理破壞的事實。電子證據(jù)屬性的多樣性，要求

3、取證人員在收集電子證據(jù)時，要注意到電子證據(jù) 的不同證據(jù)意義。在固定電子證據(jù)時，應(yīng)當(dāng)根據(jù)案件偵查需要及 電子證據(jù)的用途，采取相應(yīng)的證據(jù)固定方法，例如：僅需要電子 證據(jù)的書證意義時，只將電子文件打印成書面文件即可;而如果需要其視聽資料意義時， 則應(yīng)當(dāng)采用拷貝、 拍攝等方法進行固定。 2、 證據(jù)內(nèi)容的可修改性。計算機儲存的信息是可以被修改的。電子 證據(jù)可修改性有兩層含義：一是，數(shù)據(jù)信息在被作為證據(jù)固定前 可能已被修改， 因而當(dāng)其被作為證據(jù)固定時， 其內(nèi)容已發(fā)生變化， 造成所取證據(jù)的失真 ;二是，采用拷貝方式收集的電子證據(jù)，從證 據(jù)固定到使用的過程中，也可以被修改，造成其在被使用時的內(nèi) 容與原證據(jù)內(nèi)容

4、不符。 同時， 實踐中由于存在著后一種可修改性， 在庭示證據(jù)時辯方會就證據(jù)是否被修改提出質(zhì)疑，而控方如提不 出未進行修改的證據(jù)，則法庭會不采信該證據(jù)。電子證據(jù)內(nèi)容的 可修改性，要求取證人員在收集和固定電子證據(jù)時，一是要注意 收集和固定有關(guān)數(shù)據(jù)信息形成時間方面的證據(jù)，如計算機中有關(guān) 該文件形成時間的記錄，與其他有關(guān)該信息形成時間的證據(jù)進行 比較，確認該數(shù)據(jù)信息是否被修改過 ;二是注意對電子證據(jù)內(nèi)容的 現(xiàn)場固定，如通過現(xiàn)場錄像、現(xiàn)場打印等方式進行可視性固定。 另外，電子證據(jù)被作為視聽資料使用前，檢察人員應(yīng)當(dāng)注意對電 子證據(jù)內(nèi)容的審查，防止在出庭時出現(xiàn)差錯。3、證據(jù)內(nèi)容的可滅失性。計算機儲存的信息會

5、因人為刪蓋、病毒感染、物理破壞 等原因滅失。電子證據(jù)的可滅失性，要求取證人員在收集和固定電子證據(jù)時，一是一但發(fā)現(xiàn)電子證據(jù)，應(yīng)當(dāng)立即收集，防止證據(jù) 被毀滅 ;二是在計算機中未發(fā)現(xiàn)原有文件時，應(yīng)當(dāng)及時通過電子證 據(jù)專業(yè)技術(shù)人員查找原因，判明能否恢復(fù) ;三是盡量采用現(xiàn)場打印 的方法收集電子證據(jù) ;四是如果采取拷貝方法收集電子證據(jù)，應(yīng)當(dāng) 現(xiàn)場檢查拷貝質(zhì)量，防止因拷貝了病毒等原因打不開所收集到的 計算機文件 ;五是存放和使用存有拷貝證據(jù)的軟盤、光盤、磁帶時 應(yīng)當(dāng)注意安全，例如，存放時應(yīng)當(dāng)遠離強磁場，使用時應(yīng)當(dāng)注意 計算病毒的檢測。 4、證據(jù)的技術(shù)性。電子證據(jù)的技術(shù)性主要表 現(xiàn)為：計算機儲存的信息是通過特

6、殊技術(shù)方法形成的；很多情況下，發(fā)現(xiàn)、收集、固定和使用電子證據(jù)需要一定計算機技術(shù)；數(shù)據(jù)信息中的軟件能夠以其特定的技術(shù)性語言來證據(jù)案件事實。 電子證據(jù)的技術(shù)性，要求取證人員應(yīng)當(dāng)了解或通曉計算機技術(shù)， 以便于及時采取相應(yīng)的技術(shù)方法收集證據(jù)，調(diào)查案情。電子證據(jù) 的技術(shù)性，還要求在涉及與軟件的制作、使用等專門性問題時， 應(yīng)指派或聘請專業(yè)技術(shù)人員進行鑒定。 二、如何對電子證據(jù)進行 取證 （一）電子證據(jù)的簡單取證。如有不需要專業(yè)技術(shù)人員協(xié)助進 行的數(shù)據(jù)證據(jù)的收集和固定活動是簡單取證。對不涉及計算機使 用或維護人員的案件，可以采取簡單取證程序收集和固定電子證 據(jù)。取證時， 首先由提供證據(jù)單位的計算機操作人員打

7、開計算機， 查找所需收集的證據(jù)。當(dāng)找到證據(jù)時，取證人員應(yīng)當(dāng)通過顯示器 觀察和確認該文件的形成時間。然后由操作人員打開文件，由取 證人員確認該文件系所要收集的證據(jù)后，采用相應(yīng)的方式予以提 取固定。在查找證據(jù)過程中，如遇文件找不到或打不開等問題， 應(yīng)及時通知電子證據(jù)專業(yè)技術(shù)人員予以協(xié)助。常用的固定電子證 據(jù)的方式，有打印和拷貝兩種。通常情況下應(yīng)當(dāng)采用打印方式， 或兩種方式同時使用。 只有在文件較多不方便現(xiàn)場打印的情況下， 才可以單獨使用拷貝方式。采用打印方式取證，是將計算機文件 打印到紙張上。打印文件時，取證人員必須現(xiàn)場監(jiān)督打印過程， 防止計算機操作人員在打印過程中修改文件。打印完畢后，可以 按照

8、書證的固定方法，予以固定，但應(yīng)當(dāng)注明數(shù)據(jù)信息在計算機 中的位置 （如存放于那個文件夾中等 ）。采用拷貝方式取證， 是將計 算機文件拷貝到軟盤、光盤中。取證人員應(yīng)當(dāng)自備計算機，拷貝 后，將軟盤或光盤插入自備計算機中進行檢查。首先進行病毒檢 測，然后打開文件檢查拷貝的質(zhì)量。如通過檢測發(fā)現(xiàn)病毒，則應(yīng) 當(dāng)先消毒，后打開文件檢查。無論采取那種取證方式，在固定證 據(jù)后，應(yīng)當(dāng)現(xiàn)場制作檢查筆錄。檢查筆錄主要記載電子證據(jù)的收 集和固定情況。包括：案由。參加檢查的人員姓名及職務(wù)。 檢查的簡要過程。 主要包括檢查時間、 檢查地點及檢查順序等。 檢查中出現(xiàn)的問題及解決方法。取證方式及取證份數(shù)。參與檢查的人員簽名。 提

9、供電子證據(jù)人員簽名。 （二）電子證據(jù)的 復(fù)雜取證。如有需要專業(yè)技術(shù)人員協(xié)助進行的電子證據(jù)的收集和 固定活動就是復(fù)雜取證。對涉及計算機使用、維護人員的犯罪案 件，就應(yīng)當(dāng)采取復(fù)雜取證程序收集和固定電子證據(jù)。1、現(xiàn)場檢查與現(xiàn)場訪問，首先由計算機專家檢查硬件設(shè)備，切斷可能存在的其他輸入、輸出設(shè)備，保證計算機儲存的信息在取證過程中不 被修改或損毀。與此同時，偵查人員應(yīng)當(dāng)詢問計算機使用或維護 人員下列問題：有無為計算機設(shè)置密碼及密碼的組成。計算 機的軟件情況：已使用的軟件有哪些；軟件的來源，如軟件是購買的還是自行設(shè)計的等；軟件的維護情況，例如：由誰負責(zé)軟 件的維護、調(diào)整，對軟件作過哪些修改等。計算機的使用

10、情況： 如何進行計算機的日常管理；誰能夠打開并使用計算機；計 算機是否出現(xiàn)過影響或可能影響文件質(zhì)量的故障（如病毒感染等 ），故障是如何解決的。案件所涉及的資料存放于存儲設(shè)備的什么 位置，有無備份。對計算機使用者拒絕提供密碼的情形，可考慮 由計算機專家解密，但由于解密工作可能會對計算機儲存的資料 造成損害，因而在做出這一決定時，應(yīng)當(dāng)十分慎重。檢查計算機 文件時，計算機專家應(yīng)當(dāng)注意對隱蔽文件的查找。有備份的，應(yīng) 由計算機專家同時檢查備份文件，查明備份文件與原文件是否一 致。 2、提取證據(jù)按照前述方法打印和拷貝計算機文件，固定電 子證據(jù)。如發(fā)現(xiàn)在備份文件與原文件不一致時，應(yīng)當(dāng)同時提取備 份文件。 3

11、、電子證據(jù)內(nèi)容涉及電算化資料的，應(yīng)當(dāng)由會計專家 對提取的資料進行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟 件使用有關(guān)的問題時，應(yīng)當(dāng)由會計專家現(xiàn)場對電算化軟件進行數(shù) 據(jù)測試 （偵查實驗 ）。經(jīng)測試確認軟件有問題時， 則由計算機專家對 軟件進行檢查或提取固定。4、制作檢查筆錄除前述檢查筆錄的內(nèi)容外，對解密、數(shù)據(jù)測試等過程也應(yīng)當(dāng)作出詳細的記錄。5、對復(fù)雜取證過程中可能會遇到的問題，在檢查前應(yīng) 當(dāng)有所預(yù)測，并制定相應(yīng)的處置方案。例如：考慮到計算機操作人員可能不 提供密碼，計算機專家應(yīng)當(dāng)攜帶解密工具 ；對可能需要進行數(shù)據(jù) 測試的， 司法會計專家應(yīng)當(dāng)攜帶事先制作的測試文件。 必要時， 可以指派視聽技術(shù)人員對取證及軟件測試過程進行錄像。三、電子證據(jù)收集與固定工作任重道遠 配備電子證據(jù)專業(yè)技術(shù)人員以 便進行全面的取證工作。專業(yè)技術(shù)人員成員應(yīng)當(dāng)由通曉硬件和軟 件計算機人員、熟悉電算化程序的司法會計專家、熟悉計算機作 案手段的偵查、公訴人員組成。制定電子證據(jù)的取證制度。電子 證據(jù)的特點， 決定了電子證據(jù)的收集、 固定和使用工作的特殊性。 因此， 有必要建立電子證據(jù)的取證制度， 以規(guī)范電子證據(jù)的收集、 固定活動，使辦案人員能夠及時有效的收集到電子證據(jù)，也為電 子證據(jù)的在法庭上的合法使用提供依據(jù)。注重對電子證