電子證據(jù)數(shù)據(jù)現(xiàn)場獲取通用規(guī)范

電子數(shù)據(jù)證據(jù)現(xiàn)場獲取通用規(guī)范本技術(shù)規(guī)范規(guī)定了電子數(shù)據(jù)鑒定中電子數(shù)據(jù)證據(jù)現(xiàn)場識別、收集、獲取和保存的通用方法。本技術(shù)規(guī)范適用于電子數(shù)據(jù)鑒定中電子數(shù)據(jù)證據(jù)現(xiàn)場識別、收集、獲取和保存。2規(guī)范性引用文件下列文件對于本技術(shù)規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本技術(shù)規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本技術(shù)規(guī)范。SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范3術(shù)語和定義SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范中界定的以及下列術(shù)語和定義適用于本技術(shù)規(guī)范。3.1隨機(jī)存取內(nèi)存轉(zhuǎn)儲RandomAccessMemorydump(RAMdump)將隨機(jī)存取內(nèi)存（RAM）中的部分或者全部數(shù)據(jù)轉(zhuǎn)存到某種類型的存儲介質(zhì)中。3.2邏輯文件Logicalfiles用戶所觀察到的文件組織形式，是可以直接處理的數(shù)據(jù)及結(jié)構(gòu)。3.3潛在電子證據(jù)PotentialDigitalEvidence所有與案件相關(guān)的電子數(shù)據(jù)證據(jù)。3.4易失性數(shù)據(jù)VolatileData容易改變或消失的數(shù)據(jù)，如內(nèi)存數(shù)據(jù)。4原則SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范所確立的原則適用于本技術(shù)規(guī)范。5步驟5.1制定方案在進(jìn)行電子數(shù)據(jù)證據(jù)現(xiàn)場獲取之前，需分析案情并根據(jù)具體情況制定詳細(xì)的方案，包括：a)明確現(xiàn)場獲取的目的和范圍；b)明確參加現(xiàn)場獲取的人員，需明確分工，落實責(zé)任；2c)明確進(jìn)行現(xiàn)場獲取需攜帶的移動儀器設(shè)備；d)明確現(xiàn)場獲取采用的方法和步驟；e)明確現(xiàn)場獲取的順序；f)明確現(xiàn)場獲取操作可能造成的影響。5.2記錄現(xiàn)場現(xiàn)場取證人員應(yīng)在到達(dá)現(xiàn)場后，立即對現(xiàn)場狀況通過拍照或錄像等的方式進(jìn)行記錄并予以編號保存，以便需要時可以進(jìn)行驗證或重建系統(tǒng)。5.3現(xiàn)場靜態(tài)獲取對于已經(jīng)關(guān)閉的系統(tǒng)，在法律允許的范圍內(nèi)并在獲得授權(quán)的情況下，應(yīng)對相關(guān)電子設(shè)備和存儲介質(zhì)進(jìn)行獲取（封存），方法如下：a)采用的封存方法應(yīng)當(dāng)保證在不解除封存狀態(tài)的情況下，無法使用被封存的存儲介質(zhì)和啟動被封存電子設(shè)備；b)封存前后應(yīng)當(dāng)拍攝或者錄像被封存電子設(shè)備和存儲介質(zhì)并進(jìn)行記錄，照片或者錄像應(yīng)當(dāng)從各個角度反映設(shè)備封存前后的狀況，清晰反映封口或張貼封條處的狀況；c)對系統(tǒng)附帶的電子設(shè)備和存儲介質(zhì)也應(yīng)實施封存。5.4現(xiàn)場動態(tài)獲取對于運行中的系統(tǒng)，應(yīng)進(jìn)行電子數(shù)據(jù)證據(jù)的動態(tài)獲取，其中又具體分為易丟失數(shù)據(jù)的提取和固定、在線獲取以及電子設(shè)備和存儲介質(zhì)的封存三個部分。5.4.1易丟失數(shù)據(jù)的提取和固定易丟失數(shù)據(jù)的提取和固定應(yīng)遵照以下步驟：a)固定保全內(nèi)存數(shù)據(jù)，特別是以下數(shù)據(jù)：1)打開并未保存的文檔；2)最近的聊天記錄；3)用戶名及密碼；4)其他取證活動相關(guān)的文件信息。b)獲取系統(tǒng)中相關(guān)電子數(shù)據(jù)證據(jù)的信息，包括：1)存儲介質(zhì)的狀態(tài)，確認(rèn)是否存在異常狀況等；2)正在運行的進(jìn)程；3)操作系統(tǒng)信息，包括打開的文件，使用的網(wǎng)絡(luò)端口，網(wǎng)絡(luò)連接（其中包括IP信息，防火墻配置等）；4)尚未存儲的數(shù)據(jù)；5)共享的網(wǎng)絡(luò)驅(qū)動和文件夾；6)連接的網(wǎng)絡(luò)用戶；7)其他取證活動相關(guān)的電子數(shù)據(jù)信息。c)確保證據(jù)數(shù)據(jù)獨立于電子數(shù)據(jù)存儲介質(zhì)的軟硬件，邏輯備份證據(jù)數(shù)據(jù)以及屬性、時間等相關(guān)信5.4.2在線獲取在線獲取應(yīng)在現(xiàn)場不關(guān)閉電子設(shè)備的情況下直接分析和提取電子系統(tǒng)中的數(shù)據(jù)，包括：a)打開的聊天工具中的聊天記錄；b)打開的網(wǎng)頁；c)打開的郵件客戶端中的郵件；d)其他取證活動相關(guān)的電子數(shù)據(jù)信息。5.4.3電子設(shè)備和存儲介質(zhì)的封存在法律允許的范圍內(nèi)并在獲得授權(quán)的情況下，結(jié)合實際情況進(jìn)行分析，對系統(tǒng)是否需關(guān)閉作出判斷并采取相應(yīng)的措施。其中，對于已經(jīng)關(guān)閉的系統(tǒng)的處理方式參照5.3。對于不能關(guān)閉的電子設(shè)備和存儲介質(zhì)，應(yīng)遵循以下幾點：a)采用的封存方法應(yīng)當(dāng)保證在不解除封存狀態(tài)的情況下，電子設(shè)備和存儲介質(zhì)可保持原有運行狀態(tài)；b)對于有特殊要求的電子設(shè)備和存儲介質(zhì)（如手機(jī)等無線設(shè)備應(yīng)保證電子設(shè)備和存儲介質(zhì)的封存方式完全屏蔽，不因電磁等影響而發(fā)生實質(zhì)性改變；c)封存前后應(yīng)當(dāng)拍攝或者錄像被封存電子設(shè)備和存儲介質(zhì)并進(jìn)行記錄，照片或者錄像應(yīng)當(dāng)從各個d)角度反映設(shè)備封存前后的狀況，清晰反映封口或張貼封條處的狀況。5.5電子數(shù)據(jù)證據(jù)的固定保全從現(xiàn)場獲取的上述所有電子數(shù)據(jù)證據(jù)需遵照以下幾個方式進(jìn)行固定保全：a)完整性校驗方式：計算電子數(shù)據(jù)和存儲介質(zhì)的完整性校驗值，并進(jìn)行記錄；b)備份方式：復(fù)制、制作原始存儲介質(zhì)的備份，并依照5.3規(guī)定的方法封存原始存儲介質(zhì)；c)封存方式：對于無法計算存儲介質(zhì)完整性校驗值或制作備份的情形，應(yīng)當(dāng)依照5.4.4規(guī)定的方法封存原始存儲介質(zhì)，并記錄不計算完整性校驗值或制作備份的理由；d)保密方式：潛在電子數(shù)據(jù)證據(jù)的保密是一個要求，無論是業(yè)務(wù)要求或法律要求（如隱私）。潛在電子數(shù)據(jù)證據(jù)應(yīng)以確保數(shù)據(jù)機(jī)密性的方式保存。6記錄電子數(shù)據(jù)證據(jù)現(xiàn)場獲取的過程中，記錄應(yīng)貫穿整個過程:a)記錄可以用攝像、截屏、拍照、編寫文檔等方式存放于任何一種存儲介質(zhì)中；b)對可能存在證據(jù)數(shù)據(jù)的電子數(shù)據(jù)存儲介質(zhì)進(jìn)行拍照，編號并貼上標(biāo)簽標(biāo)識；1)對現(xiàn)場狀況以及提取數(shù)據(jù)、保存數(shù)據(jù)的關(guān)鍵步驟進(jìn)行錄像；2)對電子數(shù)據(jù)證據(jù)信息的屬性、狀態(tài)以及其他信息進(jìn)行詳細(xì)記錄。c)從現(xiàn)場獲取的電子數(shù)據(jù)證據(jù)，應(yīng)記錄該電子數(shù)據(jù)的來源和提取方法；現(xiàn)場獲取檢查結(jié)束后，應(yīng)當(dāng)及時記錄整個工作過程。7注意事項在電子數(shù)據(jù)證據(jù)現(xiàn)場獲取中，應(yīng)注意以