作者简介:李亮,衡水市人民检察院,副主任科员,信息工程中级工程师。
摘 要:本文介绍了电子证据这一新的证据类型,以及电子取证的取证规则和技术手段,最后阐述了电子取证过程中应该注意的问题。
关键词:电子证据;电子物证;电子取证;取证技术
电子证据是计算机网络科技与法律相结合的一种新的证据类型。随着计算机网络技术的快速发展,在司法实践中涉及到电子物证的实例越来越多,电子证据的取证规则、取证方式都不同于传统证据,需要通过特定的技术方法进行获取和分析,所以在电子证据的取证过程中应当规范取证流程和取证方法。
一、电子取证应严格规范取证程序
鉴于电子证据本身所具有的无形、多样和易被破坏等特点,任何人为因素或其他不定因素导致的对电子数据的修改、删除、覆盖都无形当中加大了电子证据取证的难度,因此电子证据取证工作是相对困难的,必须要掌握一定的计算机知识,依照准确严格的方法和程序。
1、保护证据现场。证据现场的保护是电子取证的前提条件,也是电子取证程序的第一步。其对于收集犯罪证据及认定犯罪事实有重要影响。如果犯罪嫌疑人事先得到消息,就很可能立即销毁或者修改电子证据导致取证无效,因此必须快速对证据现场实施保护措施。取证人员进入现场后,应迅速封锁整个计算机及相关电子设备区域,实行人机物理隔离;如计算机处于开机状态,应保护好计算机日志,对数据进行备份,切断远程控制;封存现场的信息系统、各种可能涉及到的其他电子设备,内部人员使用的工作记录、程序备份和数据备份;提取涉案计算机硬盘、移动存储介质、光盘等,应特别注意对当事人随身携带的手机和存储介质的提取。有效的保护证据现场能够避免电子证据受到破坏,保护好数据信息资料,防止发生人为更改数据、损坏硬盘、感染病毒等破坏电子证据的情况。
2、提取和固定电子证据。电子证据的提取和固定是整个电子取证的基础,也是电子证据得以运用的前提,指的是用一定的形式将电子证据固定下来,加以妥善保管,以便将来进行数据分析和认定案件事实时使用。电子证据丢失风险大且难以弥补,如果取得的电子证据没有进行正确的证据固定,则可能会导致电子证据丧失可采性和证明力。因此电子证据的提取和固定是保证其有效的重要措施。
3、电子证据的数据分析。电子取证数据分析是指运用计算机技术和信息网络技术,对提取到的电子数据进行分析,发现能够体现案件事实相关的数据,以确定电子证据应该采纳的内容和方向。电子取证数据分析是电子取证的核心和关键,所有的分析工作应该在克隆硬盘或备份文件上进行,以保证原始证据的可靠性和合法性。
二、电子取证的技术手段
常用的取证技术方法有数据复制技术、数据恢复技术、数据挖掘技术和密码破解技术等。
1、数据复制技术。电子取证中的数据复制指的是将合法提取的电子设备上的数據备份到另外一个或几个计算机硬盘中,从而保证源数据与备份数据的一致性。在电子取证过程中,如果我们直接在被调查的电子设备中对电子证据进行分析操作,很可能会由于误操作或设备故障导致原始数据遭到损坏,比如直接开启涉案计算机就会导致系统日志的修改,这将严重影响电子证据的完整性和合法性,进而影响到后续的取证工作。为了出现避免这种情况,电子证据的提取和分析工作不能直接在原计算机上进行,除非涉案计算机在取证现场处于开机状态,利用在线取证工具对内存及其他易失数据进行提取和固定后,再对涉案计算机进行后续处理。
2、数据恢复技术。数据恢复就是把被破坏或由硬件故障等各种原因导致丢失的数据还原成可见的正常数据。在犯罪实施过程中,犯罪嫌疑人可能会更改或者删除一些与犯罪事实相关的数据,案件发生后,犯罪嫌疑人也可能在得到一些风声后人为的破坏电子证据,因此数据恢复技术是电子取证过程中常用的提取数据手段。数据恢复技术大多依靠一些数据恢复工具软件来实现。
3.数据挖掘技术。数据挖掘技术是指从大量的、模糊的、随机的应用数据中提取潜在有利于案件侦破或直接反映犯罪事实的信息的过程。随着信息技术的发展,各种数据量成倍增长,如何快速的从海量数据中提取到有价值的信息成为电子取证工作的重中之重。因此我们需要对提取的电子数据进行分析,运用关联规则提取犯罪信息的关联特征,挖掘出各种与案件有关的信息证据。
4.密码破解技术。在某些情况下,文件夹或者文件被设置了密码保护,这就需要对文件夹或者文件进行破译解密,如对加密后的压缩文档,需要利用密码破解工具软件对其破译解密后,才能分析出其是否与案件有关联,进行一般取证。
三、电子取证是一项极其细致的工作,电子证据可能由于操作者的失误、硬件故障、突然断电、感染病毒等各种因素而丢失,因此与传统证据相比较,对电子证据的提取和审查就有更大的困难。电子取证过程中除了必须掌握正确的取证规则和取证方法之外,为了保证获取证据的法律有效性,取证过程应当注意以下几个问题:
1、对原始数据要进行冗余备份。提取的电子证据应该有两个或两个以上完整的拷贝。冗余备份既可以避免由于电子证据不稳定性造成的备份数据丢失,还可以在数据分析过程中同时对拷贝文件进行调查和分析,以提高分析取证的工作效率。
2、在备份复制过程中,以及对备份的硬盘或镜像文件进行数据分析检验时,应当使用写保护技术进行操作,并采取加密技术和数字签名等技术,以确保提取到的电子证据的真实性、准确性和合法性。
3、通过照相、录像等形式将电子证据从提取之后到提交法庭作为审判依据的过程中产生的所有变化都进行记录和说明。在移动涉案硬件之前,把需提取的设备在现场中的位置、外观及连接状态用照相、录像等形式记录下来,并采用录像的方式记录检验分析的全过程,尤其对改变封存状态、分析过程的关键操作等重要步骤时应当进行多角度录像,以提高证据的合法性。
4、保障电子取证的工作环境安全可靠。存储电子证据的介质必须远离磁场、避免高温、避免灰尘、避免潮湿的环境中科学存放,避免电子设备损坏,防止重要的线索和证据被破坏。还要注意阻止无线信号干扰,在对手机等无线通讯设备进行取证时,一定要在防屏蔽环境中进行,如手机屏蔽袋或者屏蔽室内,以免无线通讯时产生的数据污染待提取数据。
(作者单位:衡水市人民检察院)
参考文献:
[1] 李辽.刑事电子证据取证研究.燕山大学2009
[2] 仇学敏.计算机取证技术初探.电脑知识与技术2014(32)