美國司法學(xué)會（National Institute of Justice, NIJ）定義電子數(shù)據(jù)是以二進(jìn)制形式存儲或傳輸?shù)男畔?，可以在法庭上被依賴，可以在電腦硬盤、移動電話、個(gè)人數(shù)字助手、數(shù)碼相機(jī)中的閃存卡等中找到。電子數(shù)據(jù)證據(jù)可用于起訴所有類型的犯罪，而不僅僅是電子犯罪[1]。

       根據(jù)我國最高人民法院、最高人民檢察院、公安部《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》（2016年9月發(fā)），電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實(shí)的數(shù)據(jù)[2]。電子數(shù)據(jù)包括但不限于下列信息、電子文件：

（一）網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的信息；

（二）手機(jī)短信、電子郵件、即時(shí)通信、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息；

（三）用戶注冊信息、身份認(rèn)證信息、電子交易記錄、通信記錄、登錄日志等信息；

（四）文檔、圖片、音視頻、數(shù)字證書、計(jì)算機(jī)程序等電子文件。

       Wiki百科中對電子數(shù)據(jù)的定義是以數(shù)字形式存儲或傳輸?shù)娜魏巫C明性信息，法院案件的一方可以在審判中使用電子數(shù)據(jù)作為證據(jù)[3]。

      電子數(shù)據(jù)取證是一門側(cè)重實(shí)踐與應(yīng)用的綜合學(xué)科，涉及到的知識包括計(jì)算機(jī)軟硬件知識體系、網(wǎng)絡(luò)技術(shù)、密碼學(xué)、通信技術(shù)以及法學(xué)知識等，既有保證電子數(shù)據(jù)證據(jù)特性的基礎(chǔ)技術(shù)，又有電子數(shù)據(jù)取證過程中廣泛使用的密碼破解、數(shù)據(jù)挖掘、數(shù)據(jù)分析等其他知識。

       目前學(xué)術(shù)界對電子數(shù)據(jù)取證還沒有一個(gè)統(tǒng)一的定義。電子數(shù)據(jù)取證這個(gè)術(shù)語最初被用作計(jì)算機(jī)取證的同義詞，現(xiàn)在已擴(kuò)展到涵蓋所有能夠存儲數(shù)字?jǐn)?shù)據(jù)設(shè)備的取證。典型的取證過程包括對數(shù)字媒體的緝獲、取證成像（采集）和分析以及將收集到的證據(jù)制作成報(bào)告。Wiki百科中對電子數(shù)據(jù)取證的定義是：電子數(shù)據(jù)取證是法醫(yī)學(xué)的一個(gè)分支，涵蓋數(shù)字設(shè)備中發(fā)現(xiàn)材料的恢復(fù)和調(diào)查，通常涉及計(jì)算機(jī)犯罪[4][5]。計(jì)算機(jī)取證是電子數(shù)據(jù)取證的重要組成部分，作為電子數(shù)據(jù)取證方面的專業(yè)及資深人士，Judd Robbins[6]曾對計(jì)算機(jī)取證給出了如下的定義：計(jì)算機(jī)取證不過是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上。New Technologies[7]作為一家專業(yè)的計(jì)算機(jī)應(yīng)急響應(yīng)和計(jì)算機(jī)取證咨詢公司，進(jìn)一步擴(kuò)展了該定義：計(jì)算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。SANS[8]公司則將計(jì)算機(jī)取證歸結(jié)為如下的說法：計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序全面的檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

       除了識別犯罪的直接證據(jù)外，電子數(shù)據(jù)取證還可用于將證據(jù)歸類于特定嫌疑犯，確認(rèn)理由或陳述、確定意圖、確定來源（例如版權(quán)案例中）或鑒定文件等。調(diào)查的范圍比法醫(yī)分析的其他領(lǐng)域的范圍要廣泛得多，這些問題通常涉及復(fù)雜的時(shí)間線或假設(shè)。

       從定義的角度來看，電子數(shù)據(jù)取證技術(shù)是經(jīng)過資格認(rèn)定的專業(yè)人員基于計(jì)算機(jī)科學(xué)原理和技術(shù)，按照法律規(guī)定的程序發(fā)現(xiàn)、固定、提取、分析、檢驗(yàn)、記錄和展示電子設(shè)備中存儲的電子證據(jù)，找出與案件事實(shí)之間的客觀關(guān)系，確定其證明力并提供鑒定意見的活動。簡單來說，任何計(jì)算機(jī)犯罪都會在計(jì)算機(jī)或互聯(lián)網(wǎng)上留下蹤跡，電子數(shù)據(jù)取證技術(shù)的宗旨就是準(zhǔn)確辨別并提取犯罪者留下的痕跡信息，從而揭露其犯罪事實(shí)。

       美國是最早從事電子數(shù)據(jù)取證的國家，其技術(shù)發(fā)展具有代表性。美國電子數(shù)據(jù)取證技術(shù)的發(fā)展主要經(jīng)過了五個(gè)時(shí)期：1985年以前的孕育期、1985-1995前后的嬰兒期、1995-2005的童年期、2005-2010的青春期以及2010年至今的成熟期。下圖展示了各時(shí)期的人員、目標(biāo)、工具、社群以及取證群體的發(fā)展。

     美國警察學(xué)會（Association of Chief Police Officers，ACPO）[9]提出電子數(shù)據(jù)取證的4個(gè)原則，從事電子數(shù)據(jù)取證的技術(shù)人員必須遵循這些原則：

（一） 存儲在計(jì)算機(jī)或存儲介質(zhì)數(shù)據(jù)不能被修改或變更，因?yàn)檫@些數(shù)據(jù)可能以后會在法庭上作為證據(jù)提出。

（二） 一個(gè)人必須足以勝任處理計(jì)算機(jī)或存儲介質(zhì)上的原始數(shù)據(jù)，如果有必要，他/她也應(yīng)該能夠給自己的行為的相關(guān)性和過程的證據(jù)作出解釋。

（三） 基于電子數(shù)據(jù)取證過程的所有審計(jì)追蹤和其他文檔需要被創(chuàng)建和保存。一個(gè)獨(dú)立的第三方能夠檢查這些過程并能獲取相同的結(jié)果。

（四）負(fù)責(zé)取證的個(gè)人必須在法律和ACPO的原則下全面負(fù)責(zé)取證過程。

   在ACPO的標(biāo)準(zhǔn)之上還有ADAM（The Advanced Data Acquisition Model）原則[10]：

（一） 取證人員的活動不應(yīng)改變原始數(shù)據(jù)。如果工作要求意味著這是不可能的，那么應(yīng)該清楚地識別從業(yè)者的行為對原始數(shù)據(jù)的影響，并且引起任何改變的過程是合理的。

（二）必須保留與原始數(shù)據(jù)的獲取和處理相關(guān)的所有活動以及原始數(shù)據(jù)的任何副本的完整記錄。這包括遵守適當(dāng)?shù)淖C據(jù)規(guī)則，例如維護(hù)監(jiān)管鏈記錄，以及哈希等驗(yàn)證過程。

（三） 取證人員不得從事任何超出其能力或知識范圍的活動。

（四） 取證人員在開展工作時(shí)必須考慮個(gè)人和設(shè)備安全的各個(gè)方面。

（五）在任何時(shí)候都應(yīng)考慮受到取證行為影響的任何人的合法權(quán)利。

（六）從業(yè)者必須了解與其活動有關(guān)的所有組織政策和程序。

（七）溝通必須與客戶、法律執(zhí)業(yè)者、主管和其他團(tuán)隊(duì)成員保持適當(dāng)?shù)年P(guān)系。

   US-CERT（The United States Computer Emergency Readiness Team）在2012年提出“計(jì)算機(jī)取證是一個(gè)新的領(lǐng)域，并缺少一致性的法規(guī)和標(biāo)準(zhǔn)化”[11]。每個(gè)電子取證模型是專注于某一領(lǐng)域，目前還沒有被普遍接受的任何單一數(shù)字取證調(diào)查模型。人們普遍認(rèn)為，電子數(shù)據(jù)取證模型框架必須靈活，以便它可以支持任何類型的事件和新技術(shù)。以下介紹3種取證流程：

（一）四步取證過程（FSFP）

       2006年Karen Kent根據(jù)Venter的想法開發(fā)的一個(gè)基本的電子數(shù)據(jù)取證調(diào)查模型稱為四步取證過程——FSFP[12]，電子數(shù)據(jù)取證調(diào)查甚至可以通過非技術(shù)人員進(jìn)行。FSFP包含以下四個(gè)基本過程，如該圖所示：

       該模型比任何其他模式更加靈活，使組織可以采用基于已發(fā)生的事件選擇最適合的模型。箭頭表示在取證各個(gè)過程中需要保存和記錄所有的證書，以便證據(jù)可以在法庭中提交。

（二） 全生命周期取證流程

      2018年，世界知名取證公司Guidance Software提出全生命周期取證流程，如下如所示。

     Guidance Software的取證流程已完全在其EnCase產(chǎn)品中實(shí)現(xiàn)，調(diào)查人員可以借助EnCase完成調(diào)查。首先完全識別計(jì)算機(jī)和移動設(shè)備中的潛在證據(jù)并對其進(jìn)行優(yōu)先排序，以確定是否需要進(jìn)一步調(diào)查；然后對可能潛在證據(jù)的設(shè)備中的數(shù)據(jù)進(jìn)行收集，并進(jìn)行查找和分析；最后給客戶生成一份詳細(xì)的報(bào)告。

（三）其他取證流程

       Fireeye公司提出的取證流程如下：

      第一步：優(yōu)先。確定最重要的事件、能夠分辨目標(biāo)事件和非目標(biāo)事件之間的差異、不同的目標(biāo)有不同的策略。

      第二步：收集和存儲正確的數(shù)據(jù)。捕獲數(shù)據(jù)包、網(wǎng)絡(luò)數(shù)據(jù)流、認(rèn)證事件日志、企業(yè)管理日志這些數(shù)據(jù)中，哪些數(shù)據(jù)可以揭示攻擊者的意圖、這些日志需要存儲多久等。

      第三步：有效率的分析數(shù)據(jù)。適當(dāng)?shù)膯栴}可以快速找到答案，例如：在特定時(shí)間內(nèi)，哪臺機(jī)器使用地址發(fā)言？做了什么DNS請求？什么機(jī)器在什么時(shí)候有這個(gè)IP地址？此時(shí)誰登錄系統(tǒng)？顯式登錄，類型，來自哪里？收集上面列出的數(shù)據(jù)類型將為調(diào)查人員提供一個(gè)很好的解決方案[13]。

參考文獻(xiàn)：

1. National Institute of Justice.https://www./topics/forensics/evidence/digital/pages/

welcome.aspx, Accessed on April 14, 2016

2. 最高人民法院,最高人民檢察院,公安部. 關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定[S]. 2016.9.20

3. Casey E, Blitz A, Steuart C. Digital evidence and computer crime[J]. by Academic Press, 2000.

4. Reith M, Carr C, Gunsch G. An examination of digital forensic models[J]. International Journal of Digital Evidence, 2002, 1(3): 1-12

5. Carrier B. Defining digital forensic examination and analysis tools using abstraction layers[J]. International Journal of digital evidence, 2003, 1(4): 1-12.

6. Robbins J. An explanation of computer forensics[J]. National Forensics Center, 2008, 774: 10-143.

7. new technologies. http://www.

8. Lunn D A. Computer forensics–an overview[J]. Sans Institute, 2000, 2002.

9. Wilkinson S, Haagman D. Good practice guide for computer-based electronic evidence[J]. Association of Chief Police Officers, 2010.

10. Adams R, Hobbs V, Mann G. The Advanced Data Acquisition Model (Adam): A Process Model for Digital Forensic Practice[J]. Journal of Digital Forensics, Security and Law, 2013, 8(4): 2.

11. US-CERT. https://www./sites/default/files/publications/forensics.pdf, Accessed on February 06, 2013.

12. Kent K, Chevalier S, Grance T, et al. Guide to integrating forensic techniques into incident response[J]. NIST Special Publication, 2006, 10: 800-86.

13. FireEye. 3 Steps to Creating an Investigation Ready Organization [R]. https://www2./rs/848-DID-242/images/wp-3steps-creating-investigation-ready-org.pdfR25ZQllUSXBvb0ZVNkxJbXgifQ%3D%3D