電子證據(jù)是計(jì)算機(jī)和網(wǎng)絡(luò)科技高速發(fā)展的產(chǎn)物�,是將法律與高科技相結(jié)合的一種新形式的證據(jù)。電子證據(jù)的取證規(guī)則��、取證方式都有別于傳統(tǒng)證據(jù)�,需要通過特定的技術(shù)手段進(jìn)行分析和獲取,因此在電子證據(jù)的取證過程中應(yīng)當(dāng)注意規(guī)范取證流程���,遵循一定的原則和方法�。
一、電子證據(jù)的取證程序應(yīng)嚴(yán)格規(guī)范
1.證據(jù)現(xiàn)場的保護(hù)�����。取證人員進(jìn)入現(xiàn)場后����,應(yīng)迅速封鎖整個(gè)計(jì)算機(jī)區(qū)域,將人�、機(jī)、物品之間進(jìn)行物理隔離;保護(hù)好計(jì)算機(jī)日志��,對(duì)數(shù)據(jù)進(jìn)行備份�����,切斷遠(yuǎn)程控制;封存現(xiàn)場的信息系統(tǒng)�、各種可能涉及到的磁介質(zhì)、內(nèi)部人員使用的工作記錄��、程序備份和數(shù)據(jù)備份;提取涉案計(jì)算機(jī)硬盤����、移動(dòng)磁介質(zhì)�、光盤等�,特別應(yīng)注意對(duì)當(dāng)事人隨身攜帶的存儲(chǔ)介質(zhì)的提取。
2.證據(jù)的提取和固定��。提取和固定電子證據(jù)時(shí)�����,一個(gè)重要的原則就是確保對(duì)目標(biāo)計(jì)算機(jī)中的原始數(shù)據(jù)不產(chǎn)生任何改動(dòng)和破壞�,只有這樣�,才能保證電子證據(jù)的真實(shí)性、完整性和安全性�。在取證過程中,應(yīng)在對(duì)案件有關(guān)的計(jì)算機(jī)中的數(shù)據(jù)和資料不進(jìn)行任何改動(dòng)或損壞的前提下進(jìn)行備份�,記錄備份的時(shí)間、地點(diǎn)��、數(shù)據(jù)來源�����、提取過程�、使用方法、備份人及見證人名單并簽名���。
3.證據(jù)的分析�。應(yīng)當(dāng)注意的是,所有的檢查和分析工作應(yīng)該在備份件上進(jìn)行���,以保證原始證據(jù)的可靠性和可信性�����。對(duì)電子證據(jù)進(jìn)行數(shù)據(jù)分析��,必須考慮計(jì)算機(jī)的類型����,采用的操作系統(tǒng)����,是否有隱藏的分區(qū),有無可疑外設(shè)����,有無遠(yuǎn)程控制、木馬程序及當(dāng)前計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)環(huán)境�����。對(duì)數(shù)據(jù)進(jìn)行全面的分析,還應(yīng)該注意檢查所有的日志文件����,對(duì)在該系統(tǒng)上使用過的用戶操作時(shí)間以及操作記錄進(jìn)行登記,查看可能進(jìn)入或使用過該機(jī)器系統(tǒng)的可疑程序�����。
二�、電子證據(jù)取證過程中應(yīng)注意保持證據(jù)原始性
1.對(duì)原始數(shù)據(jù)進(jìn)行備份后利用備份的數(shù)據(jù)進(jìn)行分析�,不能對(duì)原始數(shù)據(jù)直接進(jìn)行分析。要在不破壞原始介質(zhì)的前提下�����,對(duì)所獲得的數(shù)據(jù)進(jìn)行分析���,從而提取出有效證據(jù)��。為保證原始介質(zhì)數(shù)據(jù)的完整性�,在進(jìn)行數(shù)據(jù)分析之前����,必須對(duì)原始數(shù)據(jù)進(jìn)行鏡像拷貝��,然后對(duì)拷貝進(jìn)行分析����。
2.對(duì)原始數(shù)據(jù)要進(jìn)行冗余備份����。電子證據(jù)在保存時(shí)應(yīng)該有兩個(gè)或兩個(gè)以上完整的拷貝。冗余備份一方面避免了由于電子證據(jù)本身的不穩(wěn)定性造成備份數(shù)據(jù)的丟失�����,另一方面還可以在數(shù)據(jù)分析過程中同時(shí)對(duì)拷貝文件進(jìn)行調(diào)查和分析���,提高取證效率����。
3.在備份復(fù)制過程中�,以及對(duì)備份復(fù)制的硬盤或鏡像文件進(jìn)行數(shù)據(jù)分析、恢復(fù)���、檢驗(yàn)時(shí)���,應(yīng)當(dāng)使用安全只讀接口�,使用寫保護(hù)技術(shù)進(jìn)行操作���。對(duì)重要證據(jù)文件還應(yīng)采取必要的加密技術(shù)和數(shù)字簽名等技術(shù)�����,并且應(yīng)當(dāng)記錄分析過程所使用的設(shè)備型號(hào)��、序列號(hào)�����,所使用的軟件的名稱、版本號(hào)��、具體操作過程以及檢查結(jié)果等����,制作相應(yīng)的工作記錄或檢驗(yàn)文書。
4.詳細(xì)記錄取證全程����,保證證據(jù)連續(xù)性。將電子證據(jù)從獲取生成之后到提交法庭作為審判依據(jù)的過程中產(chǎn)生的變化都進(jìn)行記錄和說明。在移動(dòng)硬件之前�����,把被提取的設(shè)備在現(xiàn)場中的相對(duì)位置�����、具體外觀和連接狀態(tài)用照相�����、錄像����、繪圖、文字的形式記錄下來�����,用攝像機(jī)記錄檢驗(yàn)分析的全過程�����,尤其對(duì)解除封存狀態(tài)���、檢查過程的關(guān)鍵操作����、重新封存等主要步驟應(yīng)當(dāng)多角度錄像。
5.保障硬件環(huán)境安全可靠���。存儲(chǔ)電子證據(jù)的介質(zhì)必須按照科學(xué)方法保全�����,應(yīng)該遠(yuǎn)離磁場���、高溫、灰塵����、潮濕�����、靜電環(huán)境���,避免造成電磁介質(zhì)數(shù)據(jù)丟失���,防止破壞重要的線索和證據(jù)�。還要注意防磁�,特別是使用安裝了無線電通訊設(shè)備的交通工具運(yùn)送電子證據(jù)時(shí),要關(guān)掉車上的無線設(shè)備�����,以免其工作時(shí)產(chǎn)生的電磁場破壞計(jì)算機(jī)及軟盤���、磁帶等存儲(chǔ)的數(shù)據(jù)����。
(作者單位:河南省鄭州市二七區(qū)人民檢察院)
