《電子數(shù)據(jù)取證技術(shù)》課件-第1章

第1章電子數(shù)據(jù)取證概述1.1電子數(shù)據(jù)與電子數(shù)據(jù)證據(jù)1.2電子數(shù)據(jù)取證

1.1電子數(shù)據(jù)與電子數(shù)據(jù)證據(jù)

隨著互聯(lián)網(wǎng)的快速發(fā)展，特別是我國國民經(jīng)濟和社會信息化建設(shè)進(jìn)程的全面加快，計算機和互聯(lián)網(wǎng)已經(jīng)成為人們?nèi)粘Ｉ睢⒐ぷ鞯闹匾M成部分。與此同時，我國正面臨著復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢：一是針對互聯(lián)網(wǎng)的犯罪日益猖獗，當(dāng)前我國已經(jīng)成為黑客攻擊破壞的主要受害國之一；

二是網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)傳播淫穢色情、網(wǎng)絡(luò)銷售違禁品、網(wǎng)上販賣公民個人信息等利用互聯(lián)網(wǎng)的違法犯罪形勢嚴(yán)峻，嚴(yán)重污染了網(wǎng)絡(luò)環(huán)境，擾亂了網(wǎng)絡(luò)秩序；

三是違法犯罪+互聯(lián)網(wǎng)的趨勢日益凸顯，大量違法犯罪的準(zhǔn)備和實施均借助網(wǎng)絡(luò)技術(shù)而實現(xiàn)，技術(shù)門檻和犯罪成本大大降低，犯罪規(guī)模和危害程度急劇擴大，犯罪分工更加精細(xì)，犯罪手法更加復(fù)雜；四是恐怖分子利用網(wǎng)絡(luò)制作傳播暴力恐怖音頻、視頻，大肆宣揚暴力恐怖和宗教極端思想，煽動實施恐怖活動，傳授暴恐犯罪技能。

1.1.1電子數(shù)據(jù)的概念

電子數(shù)據(jù)是指在計算機系統(tǒng)中產(chǎn)生的、或存儲于計算機或相關(guān)設(shè)備中的以數(shù)字化形式存在的數(shù)據(jù)。電子數(shù)據(jù)符合法律規(guī)定的條件便可成為訴訟中的證據(jù)。雖然電子數(shù)據(jù)最終以數(shù)字化形式存在，但其信息呈現(xiàn)方式多種多樣。常見的電子數(shù)據(jù)有：通過網(wǎng)頁、博客、微博、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的數(shù)據(jù)信息；手機短信、電子郵件、即時通訊、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息；用戶注冊信息、身份認(rèn)證信息、電子交易記錄、通信記錄、登錄日志等信息；文檔、圖片、音視頻、數(shù)字證書、計算機程序等電子文件。

1.1.2電子數(shù)據(jù)證據(jù)的概念

所謂證據(jù)，就是指能夠證明案件真實情況的事實。證據(jù)的基本功能就在于它具有證明一定事實存在與否的作用。

作為一種由現(xiàn)代電子技術(shù)引發(fā)的新型證據(jù)，目前在世界范圍內(nèi)對電子數(shù)據(jù)證據(jù)的含義的理解可謂眾說紛紜。

從英文表述方式來看，常見的有不下10種，主要包括ElectronicEvidence、DigitalEvidence、ComputerEvidence、Computer-basedEvidence、Computer-producedEvidence、Computer-createdEvidence等；從中文表達(dá)方式來看，常見的也有近10種，除了電子數(shù)據(jù)證據(jù)之外，還有電子證據(jù)、電子物證、計算機證據(jù)、計算機數(shù)據(jù)證據(jù)、數(shù)字證據(jù)、電子文件證據(jù)等。雖然在用語的表達(dá)上有所差異，但是均從不同角度表明電子數(shù)據(jù)證據(jù)同電子技術(shù)、數(shù)字技術(shù)或計算機存在密切聯(lián)系，可以說沒有電子技術(shù)、數(shù)字技術(shù)或計算機的存在就不會有電子數(shù)據(jù)證據(jù)的出現(xiàn)。

有法學(xué)家認(rèn)為，電子數(shù)據(jù)證據(jù)是存儲有電子數(shù)據(jù)的電、磁、光記錄物，這些電子數(shù)據(jù)是在計算機系統(tǒng)運行過程中產(chǎn)生的，并能夠以其內(nèi)容證明案件事實，它們可以被轉(zhuǎn)換為不同的輸出表現(xiàn)形式。

2013年1月1日施行的《中華人民共和國刑事訴訟法》(以下簡稱《刑事訴訟法》)為適應(yīng)刑事訴訟的實踐需要，將電子數(shù)據(jù)增設(shè)為法定的證據(jù)類型，這也是我國首次將電子數(shù)據(jù)列入證據(jù)類型之中。

《刑事訴訟法(2013年修訂)》(注：原為第四十八條，現(xiàn)為《刑事訴訟法(2018年修正)》第五十條)規(guī)定了證據(jù)的8種類型：物證，書證，證人證言，被害人陳述，犯罪嫌疑人、被告人供述和辯解，鑒定意見，勘驗、檢查、辨認(rèn)、偵查實驗等筆錄，視聽資料、電子數(shù)據(jù)。

《刑事訴訟法》的這一改變，進(jìn)一步豐富了證據(jù)的外延，有利于規(guī)范司法實務(wù)部門對電子數(shù)據(jù)的提取和應(yīng)用，更好地證明案件事實。之后，《中華人民共和國民事訴訟法》《中華人民共和國行政訴訟法》都將電子數(shù)據(jù)列為證據(jù)類型。

《刑事訴訟法》雖然將電子數(shù)據(jù)首次納入法定證據(jù)種類之一，卻并沒有進(jìn)一步明確電子數(shù)據(jù)證據(jù)的概念、證明規(guī)則、證明力的認(rèn)定標(biāo)準(zhǔn)等基礎(chǔ)和關(guān)鍵問題，電子數(shù)據(jù)證據(jù)的可采性和證明力認(rèn)定這兩大根本性難題在現(xiàn)有法律層面沒有得到解決。直到2016年9月，最高人民法院、最高人民檢察院和公安部聯(lián)合印發(fā)了《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》，其中的第一條明確定義電子數(shù)據(jù)證據(jù)為“案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)模軌蜃C明案件事實的數(shù)據(jù)”。這一定義清晰地闡述了電子數(shù)據(jù)證據(jù)的本質(zhì)就是二進(jìn)制數(shù)字，而文本、視頻、音頻、圖像等只不過是電子數(shù)據(jù)證據(jù)的不同表現(xiàn)形式，這樣定義電子數(shù)據(jù)證據(jù)有利于認(rèn)識其本質(zhì)。

1.1.3電子數(shù)據(jù)證據(jù)的特點

在司法實踐中，并不是所有的證據(jù)材料都可以呈堂以證明案件事實。只有具有證據(jù)能力的證據(jù)才符合法律規(guī)定的資格，這種證據(jù)能力在英美證據(jù)法律制度中被稱為證據(jù)的可采性。在我國的司法實踐中，衡量證據(jù)材料是否具有證明力通常有3個標(biāo)準(zhǔn)，即客觀性、關(guān)聯(lián)性和合法性，也就是電子數(shù)據(jù)證據(jù)的“三性”。電子數(shù)據(jù)作為一種新型證據(jù)，和傳統(tǒng)證據(jù)一樣都應(yīng)遵循證據(jù)的“三性”。

1.電子數(shù)據(jù)證據(jù)的“三性”

(1)客觀性?？陀^性即考察電子數(shù)據(jù)證據(jù)在生成、存儲、傳輸過程中有無剪接、刪改、替換的情況，其內(nèi)容是否前后一致、符合邏輯。

(2)關(guān)聯(lián)性。關(guān)聯(lián)性即分析電子數(shù)據(jù)證據(jù)與案件事實是否有關(guān)聯(lián)，關(guān)聯(lián)程度如何，是否實質(zhì)性關(guān)聯(lián)，其中附屬信息與系統(tǒng)環(huán)境往往要相互結(jié)合，并排除相互之間的矛盾，才能與案件事實發(fā)生實質(zhì)性關(guān)聯(lián)。

(3)合法性。合法性即電子數(shù)據(jù)證據(jù)應(yīng)合法，違反法定程序取得的電子數(shù)據(jù)證據(jù)應(yīng)予排除。我國《刑事訴訟法》規(guī)定：“審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節(jié)輕重的各種證據(jù)。嚴(yán)禁刑訊逼供和以威脅、引誘、欺騙以及其他非法的方法收集證據(jù)?！?/p>

2.電子數(shù)據(jù)證據(jù)的特殊性

與傳統(tǒng)證據(jù)一樣，電子數(shù)據(jù)證據(jù)必須是可信的、準(zhǔn)確的、完整的、使法官信服的、符合法律法規(guī)的、可為法庭所接受的證據(jù)。但與傳統(tǒng)證據(jù)相比，除了傳統(tǒng)證據(jù)的“三性”外，電子數(shù)據(jù)證據(jù)還具有一定的特殊性，正是這些特殊性決定了電子數(shù)據(jù)證據(jù)的優(yōu)越性和不足。

在保存方式上，電子數(shù)據(jù)證據(jù)需要借助一定的介質(zhì)。這與傳統(tǒng)證據(jù)有很大不同，如傳統(tǒng)書證主要的載體是紙張等可書寫物質(zhì)，傳統(tǒng)證人證言主要借助人的記憶，傳統(tǒng)物證主要借助各種物品、痕跡與物質(zhì)等；而電子數(shù)據(jù)證據(jù)則離不開硬盤、存儲卡、光盤、芯片、磁帶、軟盤等存儲介質(zhì)。

在傳播方式上，電子數(shù)據(jù)證據(jù)可以無限地快速傳播，如電子郵件、聊天信息可以通過互聯(lián)網(wǎng)在瞬間傳播到世界每一個角落；而傳統(tǒng)證據(jù)只能在物理空間傳遞，如通過當(dāng)事人交接、移送的方式進(jìn)行。傳統(tǒng)證人的證言傳播開來后雖然在原始出處仍然存在，但往往會發(fā)生重大出入，而電子數(shù)據(jù)證據(jù)的傳遞實質(zhì)上屬于信息的精確復(fù)制。

在感知方式上，電子數(shù)據(jù)證據(jù)必須借助電子設(shè)備，且不能脫離特定的系統(tǒng)環(huán)境。如果沒有專門的電子設(shè)備進(jìn)行顯示，無論多么形象、真實可靠的內(nèi)容，都只能停留在各種存儲介質(zhì)中，而不能被人們所感知，也不能被法庭認(rèn)可和采信。

綜上所述，可將電子數(shù)據(jù)證據(jù)的特殊性歸納為以下幾點：

(1)技術(shù)依賴性。與其他證據(jù)不同，電子數(shù)據(jù)證據(jù)的形成與存在必須依賴現(xiàn)代電子設(shè)備和技術(shù)實現(xiàn)，電子數(shù)據(jù)證據(jù)的提取與展現(xiàn)也必須借助電子設(shè)備并通過一定的技術(shù)手段來實現(xiàn)。因此，電子數(shù)據(jù)證據(jù)本質(zhì)上是以電子形式存儲或傳輸?shù)臄?shù)據(jù)，具有技術(shù)依賴性。

(2)隱蔽性。與其他傳統(tǒng)證據(jù)相比較，電子數(shù)據(jù)證據(jù)是以虛擬形態(tài)保存的。傳統(tǒng)證據(jù)的內(nèi)容和形態(tài)可以被直接感知，而電子數(shù)據(jù)證據(jù)則是將信息以電磁等形式存儲在介質(zhì)中。例如硬盤存儲信息時，通過磁性材料而形成的電磁場將電子信息記錄下來；而在向光盤中記錄信息時，則是利用激光將信息以凹凸點的形式記錄在光盤上的。這些數(shù)字信息以0和1表示，通過排列組合來表示特定數(shù)值的數(shù)據(jù)，其內(nèi)容無法被人們直接感知。所以，記錄方式的隱蔽性是電子數(shù)據(jù)證據(jù)與傳統(tǒng)證據(jù)最本質(zhì)的區(qū)別，也是電子數(shù)據(jù)最根本的特點。

(3)易破壞性。電子數(shù)據(jù)證據(jù)以電子信息的形式存儲在電磁介質(zhì)中，較傳統(tǒng)證據(jù)而言，電子數(shù)據(jù)證據(jù)更易被篡改，且可不留痕跡。環(huán)境的影響如供電故障、硬件故障、病毒、人為操作等，都會導(dǎo)致電子數(shù)據(jù)改變和滅失，從而影響電子數(shù)據(jù)的真實性和完整性。因此，電子數(shù)據(jù)證據(jù)的記錄方式及介質(zhì)的特殊性和網(wǎng)絡(luò)空間的特性決定了它自身具有一定的易破壞性。

(4)穩(wěn)定性。在電子數(shù)據(jù)內(nèi)容之外也包含一些重要信息，如隱藏在原數(shù)據(jù)中的信息、儲存和運行環(huán)境中的痕跡信息等，這些都是電子數(shù)據(jù)證據(jù)的信息。電子數(shù)據(jù)證據(jù)的這一特點，可以使大量不為人知的電子數(shù)據(jù)得以保存，使電子數(shù)據(jù)可以作為證據(jù)使用的效力大大增加，這是因為要對磁盤上的數(shù)據(jù)信息、網(wǎng)絡(luò)環(huán)境中的實時信息、計算機運行狀態(tài)的系統(tǒng)信息等進(jìn)行修改而又不留下修改的操作痕跡是很難做到的。通過數(shù)據(jù)恢復(fù)、數(shù)據(jù)挖掘等技術(shù)手段可以發(fā)現(xiàn)對數(shù)據(jù)信息修改的蛛絲馬跡，并有可能恢復(fù)原始數(shù)據(jù)信息。因此，電子數(shù)據(jù)證據(jù)較傳統(tǒng)證據(jù)更具有安全性和穩(wěn)定性。

(5)開放性。從司法實踐來看，電子數(shù)據(jù)證據(jù)越來越多地與互聯(lián)網(wǎng)聯(lián)系在一起，而網(wǎng)絡(luò)的一個重要特點是可以不受時空限制獲取電子數(shù)據(jù)，這是電子數(shù)據(jù)的開放性的表現(xiàn)，也是對該類證據(jù)的收集亟須加以規(guī)范的地方。

(6)表現(xiàn)形式的多樣性。電子數(shù)據(jù)證據(jù)的表現(xiàn)形式是多種多樣的，可以是文本、圖像、音頻、視頻等，將多種表現(xiàn)形式融為一體是電子數(shù)據(jù)證據(jù)獨有的特點。這要求電子數(shù)據(jù)取證工具具有識別多種形式的電子數(shù)據(jù)證據(jù)的能力。

由于電子數(shù)據(jù)證據(jù)的這些特殊性，使得對其取證既是可行的，也是復(fù)雜的。在計算機犯罪行為日益猖獗，犯罪手段越發(fā)隱蔽的情況下，打擊和遏制計算機犯罪，需要向法庭提供充分、可靠、有說服力的電子數(shù)據(jù)證據(jù)，以證明計算機犯罪。要依靠法律手段對犯罪行為進(jìn)行制裁，而制裁的前提是提高電子數(shù)據(jù)取證技術(shù)，有效獲取嫌疑人留下的犯罪痕跡，并以證據(jù)的形式提供給法庭。

1.2電子數(shù)據(jù)取證

電子數(shù)據(jù)取證技術(shù)亦稱為計算機取證技術(shù)，是信息安全領(lǐng)域的一個全新分支，它不僅是法學(xué)在計算機科學(xué)中的有效應(yīng)用，也是對現(xiàn)有網(wǎng)絡(luò)安全體系的有力補充。電子數(shù)據(jù)取證技術(shù)涉及從計算機和網(wǎng)絡(luò)設(shè)備中獲取、保存、分析、出示相關(guān)電子數(shù)據(jù)證據(jù)的法律、程序、技術(shù)等問題。

電子數(shù)據(jù)取證為打擊計算機犯罪提供了科學(xué)的方法和手段，并提供了法庭所需要的合適證據(jù)。為了更好地打擊計算機犯罪，需深入研究電子數(shù)據(jù)取證的相關(guān)概念、電子數(shù)據(jù)取證的原則以及電子數(shù)據(jù)取證面臨的問題等。

1.2.1電子數(shù)據(jù)取證的概念

電子數(shù)據(jù)取證的定義多種多樣，目前還沒有一個權(quán)威的部門給出統(tǒng)一的定義，但可以肯定的是，電子數(shù)據(jù)取證的定義是從計算機取證逐步發(fā)展而來的。

計算機取證(ComputerForensics)一詞由計算機調(diào)查專家國際聯(lián)盟(InternationalAssociationofComputerInvestigativeSpecialists，IACIS)在1991年舉行的會議上首次提出，并在2001年舉行的第十三屆國際事件響應(yīng)與安全組論壇(ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST，)上成為當(dāng)時的主要議題。

2001年召開的數(shù)字取證研討會(DFRW)定義了數(shù)字取證學(xué)(DigitalForensicScience，也稱計算機取證)的概念。這次會議的總結(jié)報告指出：數(shù)字取證學(xué)包括計算機取證的框架(Framework)、模型(Model)、技術(shù)環(huán)境抽象(AbstractionsforTechnicalEnvironment)以及有關(guān)證據(jù)和過程等重要概念(Conception)。這次研討會為計算機取證的理論研究奠定了基礎(chǔ)。

LeeGarber在IEEESecurity&Privacy發(fā)表的文章中認(rèn)為：“計算機取證就是分析硬盤、光盤、軟盤、zip盤、Jazz盤、內(nèi)存緩沖以及其他存儲形式的存儲介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程?！弊鳛橛嬎銠C取證方面的資深專家，JuddRobbins給出定義：“計算機取證是將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取。證據(jù)可以在計算機犯罪或誤用這一大范圍中收集，包括竊取商業(yè)機密、竊取或破壞知識產(chǎn)權(quán)和欺詐行為等?！?/p>

美國計算機緊急事件響應(yīng)組(ComputerEmergencyResponseTeam，CERT)和取證咨詢公司NTI(NewTechnologiesIncorporated)進(jìn)一步擴展了該定義：“計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。”世界著名的計算機取證機構(gòu)SANS認(rèn)為：“計算機取證是使用軟件和工具，按照一些預(yù)定的程序，全面地檢查計算機系統(tǒng)，以提取和保護(hù)有關(guān)計算機犯罪的證據(jù)?！庇嬎銠C取證機構(gòu)Sensei信息技術(shù)咨詢公司則將計算機取證簡單概括為對電子證據(jù)的收集、保存、分析和陳述。

Enterasys公司的CTO、辦公網(wǎng)絡(luò)安全設(shè)計師DickBussiere認(rèn)為：“計算機取證是指把計算機看作犯罪現(xiàn)場，運用先進(jìn)的辨析技術(shù)，對計算機犯罪行為進(jìn)行法醫(yī)式的解剖，搜索確認(rèn)犯罪及其犯罪證據(jù)，并據(jù)此提起訴訟的過程和技術(shù)?！?/p>

我國重慶郵電大學(xué)的陳龍教授等人提出，計算機取證是運用計算機及其相關(guān)科學(xué)和技術(shù)的原理及方法獲取與計算機相關(guān)的證據(jù)以證明某個客觀事實的過程。它包括計算機證據(jù)的確定、收集、保護(hù)、分析、歸檔以及法庭出示。

我國網(wǎng)安部門的劉浩陽提出，電子數(shù)據(jù)取證涉及法律和技術(shù)兩個層面，其實質(zhì)為采用技術(shù)手段獲取、分析、固定電子數(shù)據(jù)作為認(rèn)定事實的科學(xué)。這是能夠使法庭接受的、足夠可靠和有說服性的、存在于計算機和相關(guān)外設(shè)中的電子數(shù)據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程，是對存儲介質(zhì)中保存的數(shù)據(jù)所進(jìn)行的一種科學(xué)的檢查和分析方法。對于電子數(shù)據(jù)取證來說，取和證是一個閉環(huán)的過程，最終的目標(biāo)是形成證據(jù)鏈。

1.2.2電子數(shù)據(jù)取證的原則

由于各國在法律、道德和意識形態(tài)上存在差異，故取證與司法鑒定原則在具體使用上可能有所不同。在國內(nèi)，學(xué)者對有關(guān)電子數(shù)據(jù)取證原則有不同的論述，但在法律上還缺乏相應(yīng)的規(guī)定。鑒于網(wǎng)絡(luò)技術(shù)和計算機技術(shù)的無國界性，各國電子數(shù)據(jù)取證原則的目的都是為了保證獲取證據(jù)的合法性、客觀性和關(guān)聯(lián)性，綜合起來電子數(shù)據(jù)取證原則應(yīng)該包括以下幾個方面。

1.依法取證原則

任何證據(jù)的有效性和可采用性都取決于證據(jù)的客觀性、與案件事實的關(guān)聯(lián)性和取證活動的合法性。

第一，調(diào)查取證的人員要合法，應(yīng)經(jīng)過相關(guān)培訓(xùn)，具備法定資質(zhì)；

第二，作為電子數(shù)據(jù)取證的對象范圍應(yīng)明確確定，不能對與案件事實無關(guān)的數(shù)據(jù)隨意取證；

第三，取證所使用的方法必須符合相關(guān)技術(shù)標(biāo)準(zhǔn)，工具必須通過國家有關(guān)主管部門的評測；

第四，取證必須按照法律的規(guī)定公開進(jìn)行。采取非法手段獲取的證據(jù)不具備可采用性，所以也就喪失了其證明力。

2.保護(hù)證據(jù)完整性原則

《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第五條規(guī)定：“對作為證據(jù)使用的電子數(shù)據(jù)，應(yīng)當(dāng)采取以下一種或者幾種方法保護(hù)電子數(shù)據(jù)的完整性；

(一)扣押、封存電子數(shù)據(jù)原始存儲介質(zhì)；

(二)計算電子數(shù)據(jù)完整性校驗值；

(三)制作、封存電子數(shù)據(jù)備份；

(四)凍結(jié)電子數(shù)據(jù)；

(五)對收集、提取電子數(shù)據(jù)的相關(guān)活動進(jìn)行錄像；

(六)其他保護(hù)電子數(shù)據(jù)完整性的方法。”

一般情況下，為了避免電子數(shù)據(jù)在分析處理過程中遭受意外損壞，對電子數(shù)據(jù)證據(jù)做多個備份是必要的。不應(yīng)在原始介質(zhì)上進(jìn)行分析，而應(yīng)對原始介質(zhì)做備份，然后將原始介質(zhì)作為證據(jù)保存起來，在備份上進(jìn)行檢驗。因為，有時使用寫保護(hù)設(shè)備長時間對原始證據(jù)盤進(jìn)行分析，有可能會損害原始硬盤。比如，原始證據(jù)盤已經(jīng)存在一定的壞扇區(qū)或弱扇區(qū)，如果長時間對硬盤進(jìn)行分析，可能損害原始硬盤。因此，推薦的做法是先用硬盤復(fù)制機將原始硬盤復(fù)制一個或多個副本，再將原始證據(jù)盤封存，后續(xù)都通過只讀鎖對證據(jù)副本硬盤進(jìn)行分析。

在特殊情況下，如需訪問在原始計算機或存儲介質(zhì)中的數(shù)據(jù)，訪問人員必須有能力勝任此操作，且必須對操作的全過程進(jìn)行錄像，并能給出相關(guān)解析說明要訪問原始證據(jù)的理由。

3.及時取證原則

電子數(shù)據(jù)證據(jù)的獲取具有實效性，一旦確定對象后，應(yīng)盡快提取證據(jù)，防止證據(jù)變更和丟失。因為電子數(shù)據(jù)證據(jù)最重要的特點之一就是易破壞性，必須盡早收集證據(jù)，并保證其沒有受到任何破壞。這一原則要求計算機證據(jù)的獲取要有一定的時效性。電子數(shù)據(jù)證據(jù)從形成到獲取間隔的時間越長，被刪除、毀壞和修改的可能性就越大。因此，確定取證對象后，應(yīng)該盡可能早地獲取電子數(shù)據(jù)證據(jù)，保證其沒有受到任何破壞和損失。

4.證據(jù)連續(xù)性原則

為了在法庭采用時能證明整個調(diào)查取證過程的合法性、真實性和完整性，在電子數(shù)據(jù)證據(jù)從最初的獲取狀態(tài)到法庭提交狀態(tài)(包含證據(jù)的移交、保管、開封、拆卸等)的整個過程中，若存在任何變化都能明確說明此過程中沒有人對證據(jù)進(jìn)行惡意的篡改，則該證據(jù)是連續(xù)性的。這也就是取證過程中一直強調(diào)的證據(jù)連續(xù)性(ChainofCustody)原則。

《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第十四條規(guī)定：“收集、提取電子數(shù)據(jù)，應(yīng)當(dāng)制作筆錄，記錄案由、對象、內(nèi)容、收集、提取電子數(shù)據(jù)的時間、地點、方法、過程，并附電子數(shù)據(jù)清單，注明類別、文件格式、完整性校驗值等，由偵查人員、電子數(shù)據(jù)持有人(提供人)簽名或者蓋章；電子數(shù)據(jù)持有人(提供人)無法簽名或者拒絕簽名的，應(yīng)當(dāng)在筆錄中注明，由見證人簽名或者蓋章。有條件的，應(yīng)當(dāng)對相關(guān)活動進(jìn)行錄像?！?/p>

在取證過程中，應(yīng)該記錄相關(guān)的重要操作步驟及其細(xì)節(jié)，如所有可能接觸證據(jù)的人、接觸時間以及對電子數(shù)據(jù)證據(jù)進(jìn)行的相關(guān)操作。任何取證分析的結(jié)果或結(jié)論可以在另外一名取證人員的操作下重現(xiàn)。

1.2.3電子數(shù)據(jù)取證面臨的問題與發(fā)展

1.面臨的問題

目前，電子數(shù)據(jù)取證面臨的問題如下：

(1)培訓(xùn)流于形式，嚴(yán)重滯后發(fā)展需求。

電子數(shù)據(jù)取證是一個嚴(yán)謹(jǐn)?shù)倪^程，因為它需要符合法律訴訟的要求。因此，取證機構(gòu)必須從人、機、料、法、環(huán)、測等多個方面規(guī)范電子數(shù)據(jù)取證工作。

目前，國內(nèi)尚未有權(quán)威的電子數(shù)據(jù)取證的培訓(xùn)認(rèn)證體系，

一是缺少培訓(xùn)的分級分類，既包括對不同背景、不同知識層次人員制訂不同的培訓(xùn)計劃，也包括對電子數(shù)據(jù)不同領(lǐng)域、不同難度制訂出分層次的培訓(xùn)計劃；

二是缺少權(quán)威的成體系的教材，

目前市面上關(guān)于電子數(shù)據(jù)取證的書籍林林總總，但是沒有一套真正成體系的教材，歸根結(jié)底還是缺少培訓(xùn)認(rèn)證的頂層設(shè)計；

三是沒有成熟的師資隊伍，部分高校的教師基本理論功底扎實，但是缺少大量公安一線實戰(zhàn)工作經(jīng)驗的積累，一線優(yōu)秀取證人員又缺少將自己的經(jīng)驗轉(zhuǎn)化為教學(xué)成果的平臺；

四是缺少權(quán)威的培訓(xùn)認(rèn)證制度。目前只是根據(jù)相關(guān)規(guī)定達(dá)到一定知識背景和工作年限就可以取得鑒定人資格，但對于電子數(shù)據(jù)取證工作，這是遠(yuǎn)遠(yuǎn)不夠的，需要有關(guān)部門盡快制定一套行之有效的認(rèn)證制度，并由權(quán)威機構(gòu)或部門進(jìn)行認(rèn)證。

國際上，電子數(shù)據(jù)取證領(lǐng)域的培訓(xùn)已經(jīng)成為一種成熟產(chǎn)業(yè)，既有基于產(chǎn)品的認(rèn)證培訓(xùn)，如EnCase認(rèn)證調(diào)查員(EnCE)和AccessData認(rèn)證調(diào)查員(ACE)，也有包含電子數(shù)據(jù)取證整個技術(shù)體系的綜合培訓(xùn)，如計算機入侵調(diào)查取證員(CHFI)、計算機檢驗員(CCE)、計算機取證檢驗員(CFCE)及GIAC認(rèn)證取證分析員(GCFA)、認(rèn)證取證檢驗員(GCFE)等。

要想把電子數(shù)據(jù)取證的培訓(xùn)做到位，首先，必須建立適應(yīng)中國國情的電子數(shù)據(jù)取證培訓(xùn)體系，要有國家權(quán)威部門進(jìn)行的頂層設(shè)計；

其次，要借鑒國際培訓(xùn)經(jīng)驗，立足于國際視野，在吸納國外先進(jìn)理念的同時，建立具有中國特色的體系化、專業(yè)化的培訓(xùn)教案、師資隊伍和認(rèn)證制度。

目前，公安部和司法部相應(yīng)機構(gòu)已經(jīng)著手編撰了一系列關(guān)于電子數(shù)據(jù)取證的教材，并且結(jié)合每年的能力驗證活動、大比武、警務(wù)技術(shù)改革等一系列方式，加強對取證人員進(jìn)行培訓(xùn)。

(2)標(biāo)準(zhǔn)重復(fù)嚴(yán)重，質(zhì)量較差，修訂周期過長。

與國際相比，我國發(fā)布的電子數(shù)據(jù)取證和鑒定領(lǐng)域的標(biāo)準(zhǔn)及規(guī)范看上去數(shù)量很多，但是由于標(biāo)準(zhǔn)制定機構(gòu)之間缺乏協(xié)調(diào)和統(tǒng)一規(guī)劃，導(dǎo)致標(biāo)準(zhǔn)內(nèi)容出現(xiàn)重復(fù)現(xiàn)象嚴(yán)重。以國家標(biāo)準(zhǔn)為例，僅有的4個國標(biāo)中，有兩個方向重復(fù)，分別出自不同部門。不僅行業(yè)標(biāo)準(zhǔn)和司法鑒定技術(shù)規(guī)范幾乎大部分重復(fù)，而且行業(yè)標(biāo)準(zhǔn)本身也存在重復(fù)現(xiàn)象。而作為標(biāo)準(zhǔn)，其基本要求之一就是要統(tǒng)一，要得到各部門、社會各界的共同認(rèn)可。

此外，個別申報標(biāo)準(zhǔn)的部門對標(biāo)準(zhǔn)把關(guān)不嚴(yán)，只注重申報數(shù)量，不注重申報質(zhì)量，導(dǎo)致某些標(biāo)準(zhǔn)中出現(xiàn)了嚴(yán)重的錯誤。電子數(shù)據(jù)鑒定實驗室如果在實際案件中按照標(biāo)準(zhǔn)進(jìn)行操作，則會帶來不可避免的風(fēng)險。

相應(yīng)的，電子數(shù)據(jù)取證活動也應(yīng)以“三性”原則為指導(dǎo)，針對電子數(shù)據(jù)證據(jù)的自身特性，從各個方面規(guī)范電子數(shù)據(jù)取證工作。

(3)設(shè)備準(zhǔn)確度難以保證，缺乏相應(yīng)的產(chǎn)品準(zhǔn)入機制。

目前，我國在電子數(shù)據(jù)取證領(lǐng)域的研發(fā)實力和技術(shù)積累已經(jīng)走在國際前列，擁有了包括電子數(shù)據(jù)取證的硬件(硬盤復(fù)制機、只讀鎖、取證工作站)以及取證軟件(計算機取證分析、手機取證分析)等全系列自主研發(fā)的取證產(chǎn)品，成為繼美國后第二個擁有電子數(shù)據(jù)取證軟硬件綜合研發(fā)能力的國家。但是，我國在取證產(chǎn)品的檢測上與國際相比處于明顯劣勢，既沒有編制取證工具的測試標(biāo)準(zhǔn)，也沒有形成配套的標(biāo)準(zhǔn)化測試鏡像。很多取證產(chǎn)品為了搶占市場，往往沒有經(jīng)過縝密的測試就推向市場。尤其是手機取證產(chǎn)品，利用同一產(chǎn)品的不同版本進(jìn)行取證經(jīng)常會得出不同的結(jié)果，嚴(yán)重影響了取證結(jié)果的公信力。

目前，我國對取證設(shè)備還沒有制定準(zhǔn)入制度，針對取證工具的檢測標(biāo)準(zhǔn)也僅有GA/T754—2008和GA/T755—2008，隨著取證領(lǐng)域和技術(shù)的不斷發(fā)展以及大量新型取證工具的涌現(xiàn)，這些標(biāo)準(zhǔn)已不能滿足實戰(zhàn)的需要。我國應(yīng)積極學(xué)習(xí)NIST建立的取證設(shè)備的測試機制，建立一個切合我國實際國情，符合工作需要的取證工具檢驗檢測標(biāo)準(zhǔn)體系，并制定相應(yīng)的準(zhǔn)入機制，由授權(quán)的權(quán)威機構(gòu)對產(chǎn)品(包括同一產(chǎn)品的不同版本)進(jìn)行檢驗和定期檢測，以保證電子數(shù)據(jù)取證工作的有效性、可靠性和穩(wěn)定性。所幸，關(guān)于取證工具的可靠性問題已經(jīng)引起了廣泛關(guān)注，如何對此類工具進(jìn)行評測也已經(jīng)被提上相應(yīng)機構(gòu)的議事日程。

2.發(fā)展趨勢

在以移動互聯(lián)網(wǎng)、云計算以及物聯(lián)網(wǎng)為代表的新一代網(wǎng)絡(luò)快速發(fā)展的背景下，網(wǎng)絡(luò)社會與物理社會相互交織、融為一體，改變了傳統(tǒng)的互聯(lián)網(wǎng)計算模式和體系結(jié)構(gòu)，也改變了傳統(tǒng)的取證方式。計算機犯罪是科技發(fā)展中的必然產(chǎn)物，而且隨著技術(shù)的創(chuàng)新而不斷轉(zhuǎn)變，加大信息安全防范技術(shù)和電子數(shù)據(jù)取證技術(shù)的研究力度勢在必行。

如何研制出在新型網(wǎng)絡(luò)環(huán)境下進(jìn)行電子數(shù)據(jù)取證的工具成為取證廠商亟待解決的一大難題，因此加大電子數(shù)據(jù)取證工具的研究力度勢在必行。展望未來，電子數(shù)據(jù)取證將會朝著以下幾個方向發(fā)展。

1)取證技術(shù)與新興技術(shù)結(jié)合

電子數(shù)據(jù)取證技術(shù)是一門跨領(lǐng)域的綜合性學(xué)科，要克服當(dāng)前的局限性就要吸收多學(xué)科的研究成果，因此必須通過和其他數(shù)字技術(shù)進(jìn)行結(jié)合才能取得發(fā)展。移動互聯(lián)網(wǎng)技術(shù)、云計算、大數(shù)據(jù)以及物聯(lián)網(wǎng)技術(shù)等的不斷發(fā)展，必將對電子數(shù)據(jù)取證技術(shù)的發(fā)展產(chǎn)生較大的影響。而在這種情況下，只有通過有效的結(jié)合手段才能推動電子數(shù)據(jù)取證技術(shù)的發(fā)展。

2)取證工具高速化、自動化、專業(yè)化與智能化發(fā)展

如今電子數(shù)據(jù)證據(jù)以不同形式分布在計算機、路由器、入侵檢測系統(tǒng)(IntrusionDetectionSystems，IDS)和移動存儲等不同設(shè)備中。此外，數(shù)字設(shè)備的存儲能力以超過摩爾定律的速度增長，經(jīng)常涉及海量數(shù)據(jù)，如果依靠人工來實現(xiàn)，取證的速度和可靠性將大大降低。所以，未來需要功能更強、速度更快、自動化程度更高的取證工具，才能有效進(jìn)行電子數(shù)據(jù)取證。取證工具也將不斷利用數(shù)據(jù)挖掘、人工智能以及硬件加速技術(shù)(如多核技術(shù)等)增強其智能化，以應(yīng)對大數(shù)據(jù)量、復(fù)雜數(shù)據(jù)的取證分析能力。綜上，取證工具必須高速化、自動化、專業(yè)化與智能化，才能滿足和提高不同領(lǐng)域電子數(shù)據(jù)取證調(diào)查需求。

3)新型加密和解密

與各種新型的智能設(shè)備不斷涌現(xiàn)相比，傳統(tǒng)設(shè)備也在不斷發(fā)展和豐富，普通計算機和移動設(shè)備都在安全性方面不斷強化，因此需要從硬件、軟件等多個角度研究加密算法。

從硬件角度看，越來越多的設(shè)備將安全模塊和加密芯片固化，使用獨立的硬件來處理系統(tǒng)的數(shù)據(jù)，如基于PC的TPM模塊、基于iOS的SecureEnclave模塊以及帶有硬件AES(AdvancedEncryptionStandard，高級加密標(biāo)準(zhǔn))功能的處理器、移動存儲上的各種加密芯片等，從硬件層次直接固化加密算法及密鑰信息，使這些設(shè)備的數(shù)據(jù)提取和解密難度不斷提升。

從軟件角度看，各類系統(tǒng)的加密策略不斷完善，加密算法的強度也在不斷提升。無論是iOS還是Android，都已經(jīng)將全盤加密作為系統(tǒng)的默認(rèn)選項，Windows系統(tǒng)中的BitLocker和macOS系統(tǒng)中的FileVault，其使用率隨著使用者安全意識的