《電子數據取證技術》課件-第2章

第2章電子數據取證規(guī)范2.1電子數據取證技術標準2.2電子數據取證程序2.3電子數據取證工具2.4電子數據取證方法2.5電子數據取證實驗室

2.1電子數據取證技術標準

標準是指為在一定的范圍內獲得最佳秩序，經協(xié)商一致制定并由公認機構批準，共同使用的和重復使用的一種規(guī)范性文件。電子數據取證技術標準是在電子數據取證領域內，為了獲得取證活動的一致性，經過專業(yè)部門組織、專業(yè)人士編寫、公認機構批準認證，取證人員在電子數據取證活動中共同遵守和使用的規(guī)范性文件。

2.1.1國際技術標準

ISO/IECJTC1/SC27制定的電子數據取證有關技術標準有ISO/IEC27035、ISO/IEC27037、ISO/IEC27038、ISO/IEC27040、ISO/IEC27041、ISO/IEC27042、ISO/IEC27043、ISO/IEC27044、ISO/IEC27050、ISO/IEC30121等，制定這些標準的基本目的是促進數字證據取證調查程序和方法的最佳實踐，希望通過標準化過程最終在國際上采用相同或者相似的程序，使得不同人員組織實施的調查結果更加容易進行比較、合并和對比印證，更加容易跨越不同法域。下面對其中較為重要的標準進行說明。

1.?ISO/IEC27035

ISO/IEC27035標準的全稱為《信息技術安全技術信息安全事件管理》(InformationTechnology-SecurityTechniques-InformationSecurityIncidentManagement)。該標準涵蓋了信息安全各種事件和漏洞的管理。這個管理過程不僅涉及安全事件的檢測、識別、響應，將不利影響減到最低，可能還涉及取證工作。此標準最早于2011年作為單一標準ISO/IEC27035:2011發(fā)布，后經過修改并將其分為了3個部分，前兩部分于2016年發(fā)布。

其中第一部分ISO/IEC27035-1:2016(信息安全事件管理第1部分：事件管理原理)描述了一個由5個階段組成的信息安全事件管理過程，這5個階段分別為規(guī)劃和準備、發(fā)現(xiàn)和報告、評估和決策、響應(在適當的情況下遏制、根除，從事件中恢復并進行取證分析)、經驗總結。

2.?ISO/IEC27037:2012

ISO/IEC27037:2012標準于2012年正式發(fā)布，全稱為《數字證據識別、收集、獲取和保存指南》(GuidelinesforIdentification，Collection，Acquisition，andPreservationofDigitalEvidence)。ISO/IEC27037為數字證據識別、收集、獲取、標識、存儲、傳輸和保存提供了詳盡指南，尤其是在維護證據完整性方面。該標準定義和描述了犯罪現(xiàn)場識別和記錄，證據收集和保存，以及證據打包和運輸等流程。

該指南主要面向首次響應人員，其范圍不僅涵蓋傳統(tǒng)IT系統(tǒng)和介質，還涵蓋了云計算等。該標準旨在為不同法律制度國家提供交換和使用可靠證據的便利方法(例如獲取數字證據的國際標準)，以促進不同法域的潛在數字證據的交換。

3.?ISO/IEC27038:2014

ISO/IEC27038:2014于2014年3月15日正式發(fā)布，全稱為《信息技術安全技術數字化修訂詳述》(Informationtechnology-Securitytechniques-Specificationfordigitalredaction)。該標準規(guī)定了數字文檔進行數字編輯的技術特點，還規(guī)定了軟件編輯工具的要求和測試數字編輯是否安全的方法。

4.?ISO/IEC27040:2015

ISO/IEC27040:2015于2015年1月15日正式發(fā)布，全稱為《信息技術安全技術存儲安全》(InformationTechnology-SecurityTechniques-StorageSecurity)。該標準提供了組織如何通過采用充分證明行之有效的方法規(guī)劃、設計、文件化和實施數據存儲安全來定義風險緩解的適當級別。存儲安全適用于所存儲信息的防護安全和通過通信鏈路傳輸的與存儲相關的信息安全。存儲安全包括設備和介質的安全、涉及設備和介質相關管理活動的安全、應用和服務的安全以及與終端用戶相關的安全。

該標準還提供了存儲安全的概念和相關定義的概述，包括與典型存儲場景和存儲技術領域相關的威脅、設計和控制方面的指南。此外，它還提供了對其他可適應于存儲安全的現(xiàn)有實踐和技術標準、技術報告的引用。

5.?ISO/IEC27041:2015

ISO/IEC27041:2015標準的全稱為《確保應急事件調查方法的適用性和合適性》(GuidanceonAssuringSuitabilityandAdequacyofIncidentInvestigativeMethod)。該標準主要關注與數字證據調查相關取證流程和工具的保證，對取證方法的合適性和適當性提供指導。所有取證方法都需具備可信性、可靠性和完整性這3個基本要求，該標準旨在促進數字證據調查在此方面的保證。通過描述調查流程各階段所使用方法的合適性，為電子數據取證使用方法的合適性和適當性提供指南。

6.?ISO/IEC27042:2015

ISO/IEC27042:2015標準的全稱為《數字證據解釋與分析指南》(GuidelinesfortheAnalysisandInterpretationofDigitalEvidence)。該標準為數字證據分析和解釋提供指南，為保證選擇合適的工具、技術和方法規(guī)定了幾項基本原則，為展示調查人員水平和能力的合適機制提供指南。該標準除了強調使用證據監(jiān)督鏈等標準證據控制外，還強調分析和解釋過程的完整性，這有利于使該行業(yè)的不同研究人員對相同案件處理后能得出基本相同的結果，或者若存在差異至少可對差異的原因進行追溯。

7.?ISO/IEC27043:2015

ISO/IEC27043:2015標準的全稱為《應急事件調查原則和過程》(IncidentInvestigationPrinciplesandProcesses)。該標準關注與應急事件調查有關的取證流程中的各種原則，為通用應急調查過程提供了理想模型，包括各種不同的涉及數字證據的應急調查場景，如從應急前期準備到證據存儲、證據發(fā)布，以及這些流程方面的建議和警告。

8.?ISO/IEC27044

ISO/IEC27044標準的全稱為《信息技術安全技術安全信息和事件管理指南》(GuidelinesforSecurityInformationandEventManagement(SIEM))。該標準有助于采購商和計算機存儲技術的用戶確定和處理相關的信息安全風險，其范圍包括設備和介質的安全性、涉及設備和介質相關管理活動的安全、應用和服務的安全以及與終端用戶相關的安全。

9.?ISO/IEC27050

ISO/IEC27050標準的全稱為《電子發(fā)現(xiàn)》(ElectronicDiscovery)，包含4個部分的標準，前3部分已正式發(fā)布，第4部分尚在草案階段。

其中第1部分全稱為“ISO/IEC27050-1:2019信息技術安全技術電子發(fā)現(xiàn)概述與概念”(ISO/IEC27050-1:2019InformationTechnology-SecurityTechniques-ElectronicDiscovery-OverviewandConcepts)，首次發(fā)布于2016年，2019年進行了修訂，該部分主要提出了一些術語、概念和流程，其中提出了有別于數字證據的電子存儲信息(ESI)的概念；

第2部分全稱為“ISO/IEC27050-2:2018信息技術安全技術電子發(fā)現(xiàn)電子發(fā)現(xiàn)的治理和管理指南”(ISO/IEC27050-2:2018InformationTechnology-SecurityTechniques-ElectronicDiscovery-GuidanceforGovernanceandManagementofElectronicDiscovery)，該部分指導管理層識別和處理與電子發(fā)現(xiàn)相關的信息風險，為取證工作的良好治理提供指南；

第3部分全稱為“ISO/IEC27050-3:2020信息技術安全技術電子發(fā)現(xiàn)電子發(fā)現(xiàn)操作規(guī)范”(ISO/IEC27050-3:2020InformationTechnology-SecurityTechniques-ElectronicDiscovery-CodeofPracticeforElectronicDiscovery)，首次發(fā)布于2017年，于2020年修訂，該部分對電子發(fā)現(xiàn)的7個主要步驟(即ESI識別、保存、收集、處理、審查、分析和證據產生)提供指導；

第4部分尚未發(fā)布，全名暫為“ISO/IEC27050-4(草案)信息技術電子發(fā)現(xiàn)技術準備”(ISO/IEC27050-4(DRAFT)InformationTechnology-ElectronicDiscovery-TechnicalReadiness)，主要為電子發(fā)現(xiàn)技術提供指導，如有關取證工具和系統(tǒng)的技術。

10.?ISO/IEC30121

ISO/IEC30121標準的全稱為《信息技術電子數據取證風險架構管理》(InformationTechnology-GovernanceofDigitalForensicRiskFramework)。該標準為組織中的領導(包括業(yè)主、董事會成員、董事、合伙人、高級管理人員等)提供了事件發(fā)生前進行電子數據取證的組織準備的框架。該標準適用于電子證據披露的保留、可獲取性，訪問和成本效益的戰(zhàn)略過程(和決策)的發(fā)展，同樣適用于所有類型和規(guī)模的組織。

2.1.2國家技術標準

從國家標準來看，與電子數據取證技術相關的標準有4個，分別是：GB/T29360—2012《電子物證數據恢復檢驗規(guī)程》、GB/T29361—2012《電子物證文件一致性檢驗規(guī)程》、GB/T29362—2012《電子物證數據搜索檢驗規(guī)程》、GB/T31500—2015《信息安全技術存儲介質數據恢復服務要求》。

1.?GB/T29360—2012《電子物證數據恢復檢驗規(guī)程》

《電子物證數據恢復檢驗規(guī)程》由公安部物證鑒定中心起草，全國刑事技術標準化技術委員會電子物證檢驗分技術委員會提出并歸口。該標準規(guī)定了電子數據檢驗中數據恢復檢驗的方法，適用于法庭科學領域中的電子物證檢驗，不適用物理損壞存儲介質的數據恢復，通過軟硬件設施按照流程對檢材進行編號拍照，保全備份計算哈希值，出具結論。

2.?GB/T29361—2012《電子物證文件一致性檢驗規(guī)程》

《電子物證文件一致性檢驗規(guī)程》由公安部物證鑒定中心起草，全國刑事技術標準化技術委員會電子物證檢驗分技術委員會提出并歸口。該標準規(guī)定了電子物證檢驗中文件一致性檢驗的方法，適用于法庭科學領域中的電子物證檢驗。本標準檢驗兩個文件的數據是否相同，對檢材(樣本)進行編號拍照，使用軟件工具分別計算檢材數據文件和樣本數據文件的哈希值，對比哈希值并進行判斷。

3.?GB/T29362—2012《電子物證數據搜索檢驗規(guī)程》

《電子物證數據搜索檢驗規(guī)程》由公安部物證鑒定中心起草，全國刑事技術標準化技術委員會電子物證檢驗分技術委員會提出并歸口。該標準規(guī)定了電子物證檢驗中數據搜索檢驗的方法，適用于法庭科學領域中的電子物證檢驗。本標準包含數據搜索、文件搜索和物理搜索。

4.?GB/T31500—2015《信息安全技術存儲介質數據恢復服務要求》

《信息安全技術存儲介質數據恢復服務要求》由國家信息中心、國家保密科學技術研究所、中國信息安全認證中心起草，全國信息安全標準化技術委員會(SAT/TC260)提出并歸口。本標準規(guī)定了實施存儲介質數據恢復服務所需的服務原則、服務條件、服務過程要求及管理要求，適用于指導提供存儲介質數據恢復機構針對非涉及國家秘密的數據恢復服務實施和管理。

2.1.3行業(yè)技術標準

從行業(yè)技術標準看，主要包括兩方面的標準：一是歸口公安部全國刑事技術標準化技術委員會并由公安部頒布的社會公共安全行業(yè)標準；二是司法部鑒定管理局負責制定并由司法部頒布的司法鑒定技術規(guī)范。

公安部推薦性標準共32個(截至2019年7月27日)，具體如表2-1所示。

司法部推薦性標準共13個(截至2019年8月15日)，具體如表2-2所示。

2.2電子數據取證程序

電子數據取證程序是調查人員根據計算機科學相關理論技術，按照符合法律規(guī)定的案件調查環(huán)節(jié)，實施電子數據的獲取與分析的行為步驟。國內外都有相關的電子數據取證程序模型，如基本過程模型、取證過程模型、事件響應過程模型、抽象數字取證模型、綜合數字取證模型、多維計算機取證模型、計算機取證工作模型等。

基本過程模型由Farmer和Venema提出，該模型分為現(xiàn)場安全保護與隔離(SecureandIsolate)、現(xiàn)場信息記錄(RecordtheScene)、證據全面查找(ConductaSystematicSearchforEvidence)、證據收集和打包(CollectandPackageEvidence)、維護監(jiān)督鏈(MaintainChainofCustody)5個階段。該模型以UNIX操作系統(tǒng)平臺為例，研究了其取證過程，并在此基礎上研制出TCT(TheCoroner’sToolkit)取證工具。

取證過程模型(TheForensicsProcessModel)由美國司法部提出，該模型分為收集(Collection)、檢驗(Examination)、分析(Analysis)和報告出具(Reporting)4個階段。收集階段又可進一步分為證據搜索(EvidenceSearch)、證據識別(EvidenceRecognition)、證據收集(EvidenceCollection)和證據歸檔(EvidenceDocumentation)4個部分。該模型為美國司法部提供的電子犯罪現(xiàn)場調查指南。

事件響應過程模型(IncidentResponseProcessModel)由Mandia和Prosise提出，該模型分為事前準備(Pre-incidentPreparation)、事件檢測(DetectionoftheIncident)、初始響應(InitialResponse)、響應策略制定(ResponseStrategyFormulation)、備份(Duplication)、調查(Investigation)、安全措施實施(SecureMeasureImplementation)、網絡監(jiān)控(NetworkMonitoring)、恢復(Recovery)、報告(Reporting)、補充(Follow-up)等幾個過程。該模型綜合法律、程序和技術，并為不同平臺提供了詳細的程序和方法。

抽象數字取證模型(TheAbstractDigitalForensicsModel)由Reith、Carr和Gunsch提出，該模型由識別(Identification)、準備(Preparation)、策略提出(ApproachStrategy)、保存(Preservation)、收集(Collection)、檢驗(Examination)、分析(Analysis)、出示(Presentation)和證據退回(ReturningEvidence)9個階段組成。

綜合數字取證模型(TheIntegratedDigitalInvestigationModel)由Carrier和Spafford提出，該模型由準備階段(ReadinessPhase)、部署階段(DeploymentPhase)、物理犯罪現(xiàn)場調查階段(PhysicalCrimeSceneInvestigationPhase)、數字犯罪現(xiàn)場調查階段(DigitalCrimeSceneInvestigationPhase)、評估階段(ReviewPhase)等組成。其中物理犯罪現(xiàn)場調查階段和數字犯罪現(xiàn)場調查階段又包括現(xiàn)場保護階段(PreservationPhase)、調查階段(SurveyPhase)、記錄階段(DocumentationPhase)、搜索與收集階段(SearchandCollectionPhase)、現(xiàn)場重建階段(ReconstructionPhase)和出示階段(PresentationPhase)6個子階段。

多維計算機取證模型由丁麗萍、王永吉提出，該模型包括數據層、證據獲取層和取證監(jiān)督層3個層次，由取證準備、物理取證、數字取證、取證全程監(jiān)督、證據呈堂和總結6個階段構成。

計算機取證工作模型由譚建偉、韓忠提出，該模型包括取證準備、現(xiàn)場工作、數據分析、網絡監(jiān)控和形成證據5個階段。該模型考慮了不同階段受證據的不同屬性約束。

以上電子數據取證模型為取證程序提供了理論依據，但由于計算機取證可能涉及現(xiàn)場和實驗室兩個部分，且在不同訴訟中電子數據取證程序的取證主體、啟動程序均存在一定差異性，因此以上模型均缺乏通用性，無法運用于所有的取證活動。

2.2.1啟動階段

在較復雜的刑事案件或者行政案件中，涉案電子數據載體、涉案人員、涉案場所的數量可能比較多，涉案網絡和應用環(huán)境可能比較復雜。因此，在啟動電子數據取證程序時，要根據案件性質和具體情況進行各方面的準備，包括方案設計、法律文書準備、人財物資源配備等內容。

在現(xiàn)場對特定設備取證時，還涉及相關單位和個人的有關利益，應獲得法律許可。通常通過兩種方法獲得許可：依法取得相關單位和個人的同意；依法獲得司法機關的授權和批準。

制定了現(xiàn)場取證方案以后，還需按照設計方案安排相應的工作人員、取證設備、分析設備等。對于比較復雜的現(xiàn)場取證活動，可能涉及多個團隊多個不同場所同時取證，不僅要求每個團隊按照設計方案完成取證任務，還要求他們之間分工協(xié)作，以最佳方式完成證據收集活動。因此，必要時還需建立一個由管理、法律、技術等方面專家組成的專家決策小組，負責指揮現(xiàn)場的取證活動。每一小組或者團隊至少需要一名具有相應資質的技術人員實際負責具體的取證任務。

2.2.2現(xiàn)場保護與勘查階段

現(xiàn)場勘查是獲取證據的第一步，是指計算機偵查人員依照《公安機關辦理刑事案件程序規(guī)定》和《公安機關辦理行政案件程序規(guī)定》等規(guī)定，使用計算機科學技術手段和調查訪問的方法，對與計算機案件有關的場所、物品及犯罪嫌疑人、被告人以及可能隱藏罪證的人的身體進行檢查、搜索，并對和犯罪相關的證據材料扣留封存的一種偵查活動。

現(xiàn)場勘查主要包括現(xiàn)場保護、現(xiàn)場訪問、實地勘查、現(xiàn)場分析、現(xiàn)場勘查記錄、偵查實驗、了解判斷犯罪分子的個體特點等內容。

1.現(xiàn)場保護

現(xiàn)場保護的方法主要是封鎖可疑的犯罪現(xiàn)場(包括計算機工作室、進出路線、文件柜等)，封鎖整個計算機區(qū)域，使用照相、攝影等方式進行監(jiān)視、記錄有關的犯罪活動，切斷遠程控制，查封所有涉案物品。

2.現(xiàn)場訪問

現(xiàn)場訪問指的是依法訪問證人，主要包括對計算機系統(tǒng)管理員、單位領導或高層管理人員、最終用戶和其他知情人的訪問。在訪問的過程中主要調查以下內容：工作人員基本情況的調查、犯罪技能調查、作案動機調查、計算機網絡系統(tǒng)安全管理情況調查、特殊人員調查(特殊人員指的是擁有高級特權的管理人員)、外圍人員調查、周圍環(huán)境調查、有無內外勾結等作案跡象的調查等。

3.實地勘查

實地勘查是指調查人員運用計算機偵查手段對計算機違法犯罪的場所、物品及人身做初步的勘驗和檢查，主要是物理證據(如文件資料、記錄本等)的獲取，其目的在于廣泛收集痕跡和物證，為偵查破案提供線索，為今后模擬和還原犯罪現(xiàn)場提供直接依據。這個過程要特別注意證據保全原則和監(jiān)督原則。

4.現(xiàn)場分析

現(xiàn)場分析是指計算機調查人員根據現(xiàn)場訪問、實地勘查搜查的資料和情況，進行臨場分析，以確定立案依據，判明案件性質，為偵查指明方向。

5.現(xiàn)場勘查記錄

現(xiàn)場勘查記錄是指調查人員運用文字、繪圖、照相、錄像、錄音等方法，對現(xiàn)場一切與違法和犯罪有關聯(lián)的客觀事實進行客觀、真實、全面、詳細的記述，這是分析案情、驗證犯罪人供述的重要證據。

6.偵查實驗

偵查實驗是指通過相同或相似環(huán)境下的模擬實驗分析，證實網絡現(xiàn)場某一具體情節(jié)的形式過程、條件和原因，包括了解某種數字痕跡能否形成、該痕跡的變化規(guī)律、驗證某種行為能否發(fā)生、分析某種情節(jié)的過程和原因等。

7.了解判斷犯罪分子的個體特點

了解判斷犯罪分子的個體特點主要是指了解犯罪分子常上什么網站、上網目的、上網習慣等。

2.2.3電子數據獲取與固定階段

數據獲取和固定階段是指獲取原始電子數據或者直接固定電子數據證據的活動。如果涉案電子數據指向明確，無須進一步搜索、檢驗和分析，則直接固定為電子數據證據；如果涉案電子數據尚需進一步提取和分析，則需要對可能存儲電子數據的介質進行電子數據的獲取以取得數據備份。數據獲取包括靜態(tài)數據獲取和動態(tài)數據獲取。另外，在電子數據獲取和固定階段，還可采取電子數據凍結措施，如通過凍結云環(huán)境的賬號，使相關電子數據證據凍結在某個特定的狀態(tài)。

2.2.4電子數據分析與檢驗階段

分析證據是電子數據取證的核心和關鍵，通過分析已獲取的數據來確定證據的類型，包括檢查文件和目錄內容以及恢復已刪除的內容，分析計算機的類型，分析采用的操作系統(tǒng)是否為多操作系統(tǒng)或有無隱藏的分區(qū)、有無可疑外設、有無遠程控制、有無木馬程序及當前計算機系統(tǒng)的網絡環(huán)境等，并用科學的方法結合已發(fā)現(xiàn)的證據推出結論。鑒于要求不同，所使用的計算機科學技術和具體程序方法不盡相同。常見的方法有數據搜索技術、數據恢復技術、加密解密技術、文件系統(tǒng)分析技術、日志分析技術、靜態(tài)分析技術、動態(tài)分析技術、實時監(jiān)控技術、追蹤技術、數據挖掘技術等。

2.2.5評估階段

當電子數據取證實施活動即將結束時，需要對實施階段所做的工作和結果進行評估，以判斷實施活動是否成功完成，以及是否需要再次進行數據獲取與固定、分析等活動。最終，將與案件相關的所有電子數據按照法律要求進行固定。

2.2.6證據保管、移交與展示階段

當涉案電子數據證據經過檢驗已經固定完畢后，還需要制作相關報告，并將檢出的電子數據證據和原始證據介質妥善保管，按照法律程序進行移交。在庭審過程中還需要展示證據和參加質證。

2.3電子數據取證工具

工欲善其事必先利其器。在網絡虛擬空間中搜查、提取、固定、恢復、分析電子數據證據時，均離不開一定的軟件和硬件工具。電子數據取證工具是在計算機相關系統(tǒng)及應用原理的基礎上，根據系統(tǒng)或應用技術特征，結合取證方法和流程，針對不同取證目標開發(fā)設計的軟硬件設備。

2.3.1根據工具的可靠性進行分類

在對電子數據證據進行取證時，采用專用取證工具獲取的電子數據證據具有較高的可靠性，但并非任何情況均需要采用專用取證工具。首先，在司法實踐中，采用非專用取證工具的情況大量存在。有些案件只需通過簡單的復制操作便可以將存儲設備中的電子數據證據進行固定；有些案件只需通過簡單的打印操作便可將這些電子數據證據進行固定。其次，在采用專用取證工具取證時，也常結合操作系統(tǒng)提供的命令進行操作，操作系統(tǒng)提供的命令本質上也是一種非專用取證工具。

由于取證工具本身的真實可靠會直接影響所獲取證據的真實可靠性，因此需要將取證工具按照可靠性不同進行分類。但是取證工具種類繁多，如果對每一種取證工具的可靠性進行評估則成本會很高?？梢愿鶕∽C工具的可驗證性不同來評估取證工具的可靠性，將其劃分為以下幾種類型。

1.經驗證合格的取證工具

經驗證合格的取證工具指的是用于收集證據和分析證據的計算機硬件和軟件產品，其性能、質量、穩(wěn)定性經過國家有關權威部門認證，符合質量標準。在程序上能夠保證電子數據的完整性，在功能上能夠保證電子數據的穩(wěn)定性、可靠性。

2.未經驗證但事后能驗證的取證工具

未經驗證但事后能驗證(合格)的取證工具是指用于收集證據和分析證據的計算機硬件和軟件產品，未經過國家有關權威部門的認證，但產品的性能能通過事后認證，能確認產品質量可靠。

未經驗證但事后能驗證(合格)的取證工具常見的有自行設計的軟件工具、有明確來源的取證工具等。

3.通用軟件和程序

有一些計算機軟件和程序使用了特定操作系統(tǒng)常用的程序和軟件，或者廣泛使用了通用程序和軟件。這些程序和軟件的功能及其可靠性很難通過事后取得源代碼的方法進行驗證，而且這些程序和軟件與操作系統(tǒng)的版本密切相關，不同操作系統(tǒng)使用的程序和軟件可能是不同的。但是，這些軟件的功能已經過計算機用戶長期使用并未發(fā)現(xiàn)異常，因此，可推定其具有較好的可靠性和穩(wěn)定性。

4.不合格或者未知取證工具

不合格取證工具是指不符合產品基本要求，難以獲取真實、可靠的電子數據證據的取證工具。未知取證工具是指軟件、程序的功能無法確定或來源無法確定的取證工具。常見的情形有：使用了來源不確定的工具，使用了被冒用和破壞的工具。

2.3.2根據工具的功能進行分類

1.介質鏡像與證據固定工具

介質鏡像與證據固定工具是指對存儲介質進行數據備份或對涉案證據進行固定的有關工具，如硬盤鏡像工具、內存鏡像工具、手機鏡像或備份工具、網站或網頁固定工具等。實務中常用的介質鏡像與證據固定工具如表2-3所示。

2.分析與檢驗工具

分析和檢驗工具是指對獲取的電子數據進一步進行搜索、提取、檢驗和分析的取證工具，如綜合取證分析工具、數據包分析工具、搜索工具、文件解析工具等。實務中常用的分析與檢驗工具如表2-4所示。

3.數據恢復工具

數據恢復工具是指對損壞的存儲設備、被破壞或被刪除的電子數據進行恢復的軟硬件設備，如硬盤修復工具、數據恢復工具。實務中常用的數據恢復工具如表2-5所示。

4.可視化分析工具

可視化分析工具是指通過可視化工具直觀呈現(xiàn)證據之間的關系，從而使調查人員較容易理解案件情況的工具。常見的有時間線分析工具、關聯(lián)分析工具等。實務中常用的可視化分析工具如表2-6所示。

5.其他

除以上常見工具外，在實務中還有很多針對特定目的開發(fā)的工具，如瀏覽器分析工具、注冊表分析工具、日志分析工具等。實務中常用的其他工具如表2-7所示。

2.3.3根據應用場景分類

根據應用場景不同，電子數據取證工具還可分為手機取證工具、計算機取證工具、網絡取證工具、內存取證(MemoryForensics)工具和其他取證工具。

手機取證工具是指專門針對手機或移動設備進行數據提取、分析、證據固定、報告出具等的取證工具，包括iOS、Android等平臺。

計算機取證工具是指專門針對個人計算機、工作站、服務器等設備進行數據提取、分析、證據固定、報告出具等的取證工具，包括Windows、Linux、UNIX、macOS等平臺。

網絡取證工具是指專門針對網絡日志、網絡數據包進行數據提取、分析、證據固定、報告出具等的取證工具。

內存取證工具是指專門針對計算機及相關設備運行時的內存進行數據提取、分析、證據固定、報告出具等的取證工具。

2.4電子數據取證方法2.4.1取證方法概述電子數據的本質是電子信息技術或設備產生的數據信息，其表征用來證明案件的真實情況，與傳統(tǒng)的證據存在相異的特征。電子數據取證活動是專業(yè)的取證技術人員在法律規(guī)定的指引下，嚴格按照一定的取證規(guī)范和流程，利用合理合法的取證工具，對不同的取證客體進行分析檢驗的過程。面對不同的取證客體，為了保證取證行為的合法性和客觀性，需要靈活采用適合的取證方法和技巧，最大程度上獲取目標數據和證據，最高效率實現(xiàn)檢驗分析活動。

電子數據取證方法繁多，針對不同的應用場景，可以采取不同的取證方法。根據取證介質的不同，可以分為移動設備取證、計算機設備取證、網絡取證等，雖然其取證方法有所不同，但各種方法之間存在一定的聯(lián)系和共性。因此，較難對各種取證方法合理進行歸類，也難以窮舉實踐中采用的所有方法。

2.4.2取證方法分類

1.數據獲取的方法和思路

在獲取數據時，需要考慮電子數據的來源，根據來源不同，數據獲取常分為數據包獲取、內存數據獲取、存儲介質獲取。數據包獲取是一種實時獲取通信流量的方法，以供后續(xù)的分析；內存數據獲取是指獲取案件發(fā)生時計算機及相關設備的狀態(tài)，從而可對這些易失性數據進行進一步分析；存儲介質獲取是指獲取除易失性數據外的靜態(tài)數據，包括硬盤數據、Flash存儲介質中的數據等。

2.數據恢復的方法和思路

當硬盤、U盤或者手機等設備因物理故障、文件被刪除、系統(tǒng)被格式化或被破壞時，需要對無法正常讀取的或系統(tǒng)認為無效的數據進行還原或重現(xiàn)，此時需要采用數據恢復技術。在采用數據恢復技術時，要根據數據無法呈現(xiàn)的可能原因采取相適應的方法，常見的有物理修復方法、物理信號恢復方法、軟件層面數據恢復方法等。物理修復方法是對物理故障引起的存儲介質進行修復的方法。

物理信號恢復則是對物理故障無法排除時采用讀取原始物理信號的方法重現(xiàn)數據。實踐中，因為非物理原因引起的數據不可讀或不能呈現(xiàn)的情形較多，常利用專門的數據恢復軟件進行恢復，即為軟件層面數據恢復。軟件層面數據恢復主要利用文件系統(tǒng)的邏輯結構、文件的頭部特征、文件內部的邏輯結構等特點對數據進行恢復。

3.數據搜索的方法和思路

數據搜索是指從大量電子數據中搜索特定數據的方法。根據搜索采用方法不同，數據搜索技術常分為基于數據內容的搜索技術、基于數字指紋的搜索技術和基于痕跡信息的搜索技術。

1)基于數據內容的搜索技術

在電子數據取證中，如果能夠確定被搜索的數據(或數字證據)中包含的部分內容信息，則可以將該信息作為關鍵字，按照特定的搜索條件從現(xiàn)場中搜索符合該條件的所有數據(或數字證據)。關鍵字可以是文件名、文件創(chuàng)建時間、文件修改時間、文件內容中所包含的字符串信息等。

2)基于數字指紋的搜索技術

基于數字指紋的搜索技術不直接比較文件的內容，而是通過比較能夠代表文件內容的指紋來判斷搜索出的文件是否為需要獲取的電子數據。表示文件指紋的方法非常多，但大多使用二進制字符串表示，大體分為兩種不同的形式：數字指紋和模糊指紋(一種特殊的數字指紋)。

數字指紋指采用Hash函數處理后的字符串。

3)基于痕跡信息的搜索技術

基于痕跡信息的搜索技術與上述搜索技術不同，它通過發(fā)現(xiàn)目標數據對應的位置或者屬性，間接搜索出電子數據證據，如通過注冊表中相關自啟動選項去搜索木馬程序等。

4.檢驗分析的方法和思路

對于不同來源的電子數據、不同案件中的電子數據，其檢驗分析的方法千差萬別，通常有兩種方法：靜態(tài)分析方法和仿真分析方法。靜態(tài)分析方法是指通過專用取證計算機或者專用取證軟件直接分析涉案電子數據鏡像或者備份設備的方法。仿真分析方法是指通過仿真軟件還原用戶使用設備時的狀態(tài)，或者搭建運行環(huán)境動態(tài)分析涉案電子數據的方法。

5.證據關聯(lián)的方法和思路

關聯(lián)信息分析是指以某個重要的信息為聯(lián)結點，將所有相關證據聚合在一起分析的方法。

6.其他

除此之外，在取證過程中還涉及與具體案件有關的各種取證分析方法，難以窮盡，如事件過程的分析等。

2.5電子數據取證實驗室

2.5.1電子數據取證實驗室的重要性電子數據取證實驗室是電子數據取證活動的環(huán)境保障，安全良好的取證實驗室不僅是取證活動的必然要求，也是保障取證人員自身安全的重要條件，它是電子數據取證行業(yè)的性質要求，符合我國依法治國的法治理念。具體來說，建設電子數據取證實驗室有以下重要意義：

(1)有利于提高電子數據取證質量，保護取證人員和當事人的合法權益。

電子數據作為保障法律公正有序的法定證據類型之一，是證明案件事實，保障當事人合法權利的必要條件。電子數據取證活動是專業(yè)人員根據法律規(guī)定，按照取證規(guī)范，利用計算機等相關技術實施的科學鑒證活動。因此，安全可靠的電子數據取證實驗室是保障實施高效可信取證的重要的外部環(huán)境。從大量的司法取證實踐中可以總結出，大多數的前期提取的電子數據需要在實驗室中進行檢驗分析，從而獲取與案件有關的電子證據并呈現(xiàn)。

電子數據作為法定證據，在整個訴訟環(huán)節(jié)中承擔著證明案件的作用，需要在法庭上受到質證程序的審查和辯論，因為電子數據在轉化為證明案件的電子證據過程中存在一絲一毫的偏差都可能降低電子數據的可信度甚至使其作為非法證據被予以排除，所以取證人員在按照規(guī)定設計的取證實驗室中進行的電子數據處置無疑是保障了取證流程的順利開展，在一定程度上避免了取證人員程序性的失誤或錯誤，保護了取證人員自身的安全。同時，在取證實驗室中獲取的合法有效的電子證據無疑對于案件事實抑或是當事人本身的權益也起到重要的保證作用。

(2)提升電子數據取證的效率，持續(xù)滿足不斷發(fā)展的取證需求。

隨著科學技術的發(fā)展，訴訟案件中涉及的取證問題及其種類越來越多，如物聯(lián)網取證、智能終端取證、云計算取證等。如何在法定時間之內高效完成取證活動，是當下電子數據取證面臨的重大問題。通過建立符合質量認證體系的取證實驗室，并根據先進的質量管理體系提供的持續(xù)改進的框架，識別、分析、管理、連續(xù)檢測和控制，影響電子數據取證的過程，以實現(xiàn)不斷跟進科技發(fā)展腳步的目標。

2.5.2電子數據取證實驗室的認可體系

我國關于實驗室管理體系與認可主要依據國際標準《ISO/IEC17025:2017實驗室管理體系檢測和校準實驗室能力的一般要求》和國內CNAS(中國合格評定國家認可委員會)依據ISO17025:2017制定的相關標準，如《實驗室認可規(guī)則》《能力驗證規(guī)則》《能力驗證提供者認可規(guī)則》《標準物質/標準樣品生產者認可規(guī)則》等。由于ISO/IEC17025于2017年進行了修改，下面主要介紹新版本ISO/IEC17025:2017，并將其與舊版本ISO17025:2005做對比。

1.國際標準ISO/IEC17025:2017

電子數據取證實驗室的質量管理體系主要依據ISO/IEC17025:2017標準建立。《ISO/IEC17025:2017實驗室管理體系檢測和校準實驗室能力的一般要求》(下簡稱“2017版”)英文版于2017年11月30日正式發(fā)布，代替了ISO/IEC17025:2005版本(下簡稱“2005版”)，新版本在認可準則通用要求、過程要求、管理方式以及風險和機會的管理措施等方面做了修改，相比舊版認可準則，新版本機構更合理、清晰。ISO/IEC17025:2017基本繼承了ISO/IEC17025:2005中的內容，只是對部分內容做了必要的更新、調整、補充。

但從文件框架來看，卻發(fā)生了很大變化，這是因為ISO/IEC17025:2017的總體框架由ISO/CASCO(合格評定委員會)內部文件《QS-CAS-PROC/33公共要素》來決定。ISO/IEC17025:2017中的注釋也發(fā)生了變化，在此次修訂中，盡量刪除了ISO/IEC17025:2005的注和解釋性的內容，有部分注釋的內容經過修訂后移入正文。例如，在ISO/IEC17025:2005中5.4.5方法的確認中，5.4.5.2的注釋3為“當對已確認的非標準方法做某些改動時，應當將這些改動的影響制訂成文件，適當時應當重新進行確認”。

而在ISO/IEC17025:2017中，這一內容成為正文，即7.2.2.2“當修改已確認過的方法時，應確定這些修改的影響。當發(fā)現(xiàn)影響原有的確認時，應重新進行方法確認”。新版本修改內容如下：

(1)文件(主體架構)變化。

2005版的管理要求和技術要求在2017版中細分成通用要求、結構要求、資源管理、過程要求和管理體系5個部分。

(2)增加了9個術語。

2017版出現(xiàn)了9個術語，其中對實驗室給出了明確的定義——從事下列一個或多個活動的機構：檢測、校準或與后續(xù)檢測或校準相關的抽樣。而獨立的抽樣活動不再適用于實驗室的概念。

(3)細化了公正性與保密性要求。

關于公正性，2005版中的內容為4.1.5：“d.有政策和程序以避免卷入任何會降低其在能力、公正性、判斷力或運作誠實性方面的可信度的活動?！?017版中關于公正性的內容有以下4條：“4.1.2實驗室管理層應做出公正性承諾；4.1.3對實驗室活動的公正性負責，不允許商業(yè)、財務或其他方面的壓力損害公正性；4.1.4實驗室應持續(xù)識別影響公正性的風險；4.1.5如果識別出公正性風險，實驗室應能夠證明如何消除或最大程度減小這種風險?！?/p>

(4)將分包與服務和供應品的采購合并。

2005版中分別規(guī)定了檢測和校準的分包與服務和供應品的采購，而2017版對于外部提供的產品和服務的觀點為“不論是采購產品、采購服務，還是分包，都是利用了外部資源，所以可以合并成一個條款”。

(5)增加了抽樣記錄要求。

2005版中關于抽樣記錄的規(guī)定是“記錄應包括抽樣程序、抽樣人的識別、環(huán)境條件(如果相關)、必要時有抽樣位置的圖示或其他等效方法”。2017版中對抽樣記錄的要求有所增加，其規(guī)定實驗室應將抽樣數據作為檢測或校準工作的一部分并保留記錄，增加的內容有抽樣日期和時間、識別和描述樣品的數據(如編號、數量和名稱)、所用設備的識別、環(huán)境或運輸條件，以及抽樣方法和抽樣計劃的偏離或增減等。

(6)結果有效性的控制。

2005版中對結果有效性控制的條款為“5.9檢測結果和校準結果質量的保證”，保證結果有效性的方法有：“a.定期使用有證標準物質(參考物質)進行監(jiān)控和/或使用次級標準物質(參考物質)開展內部質量控制；b.參加實驗室間的比對或能力驗證計劃；c.使用相同或不同方法進行重復檢測或校準；d.對存留物品進行再檢測或再校準；e.分析一個物品不同特性結果的相關性?！倍?017版中對結果有效性的控制提出了更多建議，包括內部質量控制和外部質量控制。

內部控制增添的內容有以下幾點：使用其他已校準能夠提供可溯源結果的儀器；測量和檢測設備的功能核查；適用時，使用核查或工作標準，并制作控制圖；測量設備的期間核查；實驗室內比對；盲樣測試等。外部質量控制的方法有能力驗證和實驗室間比對兩種。

(7)報告結果內容的變化。

報告結果是檢驗檢測的重要部分，2017版中報告結果內容有如下變化：報告中不需要報告用戶的地址，只需要報告用戶的聯(lián)絡信息；增加了報告的發(fā)布日期；另外，需附有符合性聲明。

(8)實驗室的免責聲明。

2005版要求實驗室未經書面批準不得復制(全文復制除外)檢測報告或校準證書的聲明。2017版中，除了2005版中不得復制報告的聲明外，還要求做出免責聲明。在如下兩種情況下實驗室可以做出免責聲明：一是對檢測或校準物品的處置，當用戶知道偏離了規(guī)定條件仍要求進行檢測或校準時，實驗室應在報告中做出免責聲明，并指出偏離可能影響的結果；二是對于報告的通用要求，當用戶提供的信息可能影響結果的有效性時，報告中應有免責聲明。

(9)報告的符合性聲明。

實驗室在報告符合性聲明時應標識符合性聲明適用于哪些結果；滿足或不滿足哪個規(guī)范、標準或其中哪些部分；應用的判定規(guī)則。要求實驗室在實施2017版時，在合同評審階段，實驗室應與用戶溝通使用的判定規(guī)則，并在合同中予以明確，這樣有利于報告的使用方了解實驗室是如何做出符合性結論的，以及實驗室是如何考慮測量不確定度的，從而使結果更加科學。

(10)判定規(guī)則。

2017版對判定規(guī)則進行了定義，即當聲明與規(guī)定要求的符合性時，描述如何考慮測量不確定度的規(guī)則。2017版增加了對判定規(guī)則的要求，也就是實驗室在做與規(guī)范的符合性判斷時，應該考慮測量的不確定度，特別是某些檢測結果跨越了限值(超出限值)。所以實驗室在做出合格或不合格的判斷時，需要特別謹慎。

(11)管理體系的兩種方式。

2017版中管理體系可以用兩種方式實施，一種是按“8.2～8.9”實施，另一種是按ISO9001的要求建立并保持管理體系，但至少要包含“8.2～8.9”的要素。

(12)引入風險管理。

2017版引入了風險管理的概念，其中應對風險和機遇的措施參照了ISO9001:2015。雖然2017版規(guī)定應該實施應對風險和機遇措施，但并未要求運用正式的風險管理方法，形成文件的風險管理過程。實驗室是否有必要單獨建立風險管理體系，由實驗室自己決定。

(13)內部審核和管理評審的變化。

2017版取消了內審周期的注釋，規(guī)定實驗室應按照策劃的時間間隔進行內部審核，管理評審也應按照策劃的時間間隔進行。對于管理評審，輸入增加了以下要求：“a.與實驗室相關的內外部因素的變化；b.目標實現(xiàn)；……k.實施改進的有效性；……i.資源的充分性；m.風險識別的結果；n.保證結果有效性的輸出(質控)；o.其他相關因素，如監(jiān)控活動和培訓?！陛敵鲈黾恿斯芾眢w系及其過程的有效性、履行本準則要求相關的實驗室活動的改進、提供所需的資源和所需的變更等內容。

2.?CNAS相關實驗室認可體系

2018年3月1日，中國合格評定國家認可委員會(CNAS)正式發(fā)布了《檢測和校準實驗室能力認可準則》CNAS—CL01:2018。該準則等同采用《ISO/IEC17025:2017實驗室管理體系檢測和校準實驗室能力的一般要求》以及CNAS—RL01:2018《實驗室認可規(guī)則》，主要是根據ISO/IEC17011:2017《合格評定認可機構要求》的變化而進行的修改。

1)認可規(guī)則

(1)?CNAS—RL01:2018《實驗室認可規(guī)則》。實驗室認可是由權威機構對檢測、校準實驗室及其人員有能力進行特定類型的檢測、校準做出正式承諾的程序。在我國由中國合格評定國家認可委員會開展認可活動。CNAS—RL01:2018《實驗室認可規(guī)則》可作為CNAS和檢測實驗室、校準實驗室、司法鑒定/法庭科學機構(簡稱“鑒定機構”)、醫(yī)學實驗室等認可活動相關方應遵循的程序規(guī)則。該規(guī)則規(guī)定了CNAS實驗室認可體系運作的程序和要求，包括認可條件、認可流程、申請受理要求、評審要求、對多檢測/校準/鑒定場所實驗室認可的特殊要求、變更要求、暫停、恢復、撤銷、注銷認可以及CNAS和實驗室的權利和義務。

(2)?CNAS—RL02:2018《能力驗證規(guī)則》。本規(guī)則規(guī)定了CNAS能力驗證的政策和要求，包括對合格評定機構的要求和對CNAS的要求，適用于申請CNAS認可或已獲準CNAS認可的合格評定機構，包括檢測和校準實驗室(含醫(yī)學領域實驗室)、標準物質/標準樣品生產者以及檢驗機構(相關時)。

(3)?CNAS—RL06:2018《能力驗證提供者認可規(guī)則》。本規(guī)則規(guī)定了CNAS能力驗證提供者認可體系運作的程序和要求，包括認可條件、認可流程、認可變更、暫停、恢復、撤銷、注銷認可以及CNAS和能力驗證提供者的權利和義務。CNAS和能力驗證提供者雙方均應遵循本程序規(guī)則。

2)認可準則

CNAS實驗室認可準則包括基本認可準則和認可應用準則，其中與電子數據取證實驗室建設有關的認可準則包括CNAS—CL01:2018《檢測和校準實驗室能力認可準則》、CNAS—CL08:2018《司法鑒定/法庭科學機構能力認可準則》。

(1)?CNAS—CL01:2018《檢測和校準實驗室能力認可準則》。

(2)?CNAS—CL08:2018《司法鑒定/法庭科學機構能力認可準則》。

(3)?CNAS—CL08—A001:20