浅谈电子数据取证现场勘验方法

杨开开，石 磊

（南通市公安局，江苏 南通 226000）

浅谈电子数据取证现场勘验方法

杨开开，石 磊

（南通市公安局，江苏 南通 226000）

电子科学技术的不断更新发展在给人们的日常生活带来极大便利和帮助的同时，也为不法分子提供了许多高科技的犯罪手段。针对其犯罪手段，南通市公安局采用了电子数据取证现场勘验的方法，这对迅速破获案件、搜集获取犯罪证据提供了很大的帮助，能为公安局快速抓获犯罪嫌疑人提供帮助。文章介绍了电子数据取证现场勘验的流程、原则，分析了电子数据取证在公安局办案中的困难及发展现状，并提供了一些建议。

电子数据；取证；现场勘查；犯罪证据

随着现代网络技术及电子商务的飞速发展，各式各样的网络犯罪日益增多，使得电子数据取证技术成为了司法机关，执法部门重点关注的问题。而电子数据取证中现场勘验检查的规范性直接决定了电子证据的司法有效性，所以尤为重要。现场勘验检查，即在案发现场实施勘验，以提取固定现场存留的与本案有关的电子证据和其他相关证据；我国是由县级以上公安机关相关部门负责组织实施，必要时，可以指派或者聘请具有专门知识的人参加。如何更好地规范电子数据取证现场勘验是对执法部门工作的有力保障和支撑。

1 电子数据取证的概念与基本原则

电子数据取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。电子数据取证包括计算机文档取证、网络信息侦查取证、财务数据取证、手机侦查取证等。因为电子数据证据容易遭到破坏的特征，为保障电子数据取证的准确、完整、原始性，其必须遵守以下原则。

1.1 及时原则

因为电子数据有脆弱、容易损毁或被覆盖的特点，所以为了避免数据被篡改、丢失或者覆盖，应该及时地对证据进行收集和固定，一旦错过最佳取证时机，就可能无法再次获取。

1.2 避免原始数据被使用

在对搜集的电子数据进行数据分析时，应该避免使用原始数据，防止原始数据被覆盖或者篡改，对数据造成不可挽回的损失。在进行数据分析的同时应该确保原始数据的信息安全和完整性。

1.3 无损原则

任何法律案件都是以证据为依托的，所以证据是陈述事实的最好依据，在向法庭提交证据时，应该确保证据获取的原始性，在证据被认定并得到使用期间，必须保证其没有任何变故，应该详细记录电子信息数据在固定、收集、分析、恢复等步骤的信息，保证这些信息的完整、安全、原始性，避免其受到任何破坏。

1.4 操作的合法性

在对案件的记录以及搜集证据时，应选择合理合法的手段，在对全部检查、取证的过程进行监督管理，遵守相关的法律法规。

2 电子数据现场勘验取证流程

2.1 确认犯罪对象

在现场勘验取证中最好向办案部门了解详细犯罪对象的情况，主要了解犯罪对象使用的犯罪工具，包括电脑还是手机作案、使用数量的多少、使用的是笔记本电脑还是台式机、手机大概什么型号等信息。

2.2 做好现场勘验取证准备

在取证人员对现场进行勘验取证之前，应该做好充分的取证准备工作，包括对案件的基本了解，现场所在位置、人员等，并针对了解的情况，选择现场所需携带设备，做好取证准备。

2.3 物证识别

到了现场后结合前期掌握的物证线索情况，进行物证识别，尽量找齐现场所有与电子数据有关的设备与存储介质，包括硬盘、手机、相机、U盘等。如前期掌握的物证需要在现场着重查找。

2.4 证据的收集

对于证据应保护其原始性，保证证据不被破坏或覆盖，包括计算机的内存信息、屏幕信息以及计算机里的程序进程。证据收集完后，现场有些易丢失的数据，需要现场证据固定及获取，这里的易丢失数据指的是电脑等设备在断电后数据会丢失，不易恢复的数据。

以上取证准备、证据识别、证据收集、证据固定及获取4个环节属于现场勘查部分，后面就是把证据带回保存，再通过取证工具进行证据分析，最后生成报告。

3 电子数据取证现场勘验步骤及方法

3.1 现场勘验步骤

取证准备→现场安保→现场拍照→收集相关物证（其中收集到的外部介质和设备可以直接填写清单）→封存物证（收集到的计算机得先查看计算机状态，如果是关机状态，填写提取时间信息等，如果是开机状态，要先进行在线取证固定，断电）→介质复制→填写清单→保存物证→结束勘查。

3.2 现场勘验的方法

第一步，首先要做好充分的准备，了解具体的案情，包括案件类型、案件背景、涉案使用的工具等；人员的准备，确定现场勘查人员、安保人员、对方协助人员、第三方证人等；设备准备，准备现场勘查箱、硬盘复制机、硬盘、移动存储介质、封条标签等。

第二步，现场安保目的：保障人身安全—防止现场勘查过程中因被调查人不配合产生冲突，或其他可能造成人身伤害的情形；保障设备安全：防止现场勘查过程中直接或间接地破坏证物或设备。

第三步，现场拍照：在对现场展开调查前，应通过拍照、录像等方式记录下当时的状态，如设备的位置、连接状态、显示器屏幕信息等。

第四步，收集相关物证：注意识别哪些设备是与案件相关，纸质文件/材料，如便笺、已打印资料等；移动存储介质，如U盘、移动硬盘、光盘；计算机及其外部设备，如电池、充电器、磁盘阵列卡、扩展卡等；手持设备以及各种连接线（如手机、GPS导航仪等）。

第五步，如果是电脑处于开机状态，则需要在线取证：易丢失数据的固定应拍照以记录系统当前的运行状态及时间信息等关键数据，获取工具提取其他信息；即时通讯数据提取应对正在运行的即时通讯程序，应及时导出相关聊天记录及联系人信息，如QQ，MSN，SKYPE，阿里旺旺、移动飞信等。

第六步，在现场查看完计算机状态后，现场需要进行介质复制操作的，一般分为两种情况：一种是计算机硬盘可拆卸的情况，通过硬盘复制机进行位对位的复制，并且每个源盘推荐做两个以上的证据副本（前提是目标硬盘必须为擦除过的空硬盘，目标硬盘的容量要等于或略大于源盘容量）。另一种是计算机硬盘不可拆卸的情况，通过专用复制工具网口连接复制功能或是软件启动不拆机复制功能进行复制（同样，每个源盘推荐做两个以上的证据副本，目标硬盘必须为擦除过的空硬盘，目标硬盘的容量要等于或略大于源盘容量）。

第七步，以上步骤完成后同样到了填写清单的阶段，但与前面外部介质和设备不同的是，除了物证的名称、型号、特征等信息外，还需要对计算机拆卸硬盘进行拍照，填写照片记录表等。经过上述8个步骤就结束计算机现场勘查取证了。

4 电子数据取证现场勘查的处理原则及注意事项

4.1 对于处理计算机的原则

如果计算机处于开机状态，不可立即关机，关闭计算机应该尽量减少数据丢失，一般采用将计算机的电源直接断开的方式，如果强行关机，就有可能使计算机硬盘里的数据丢失或被其他数据覆盖，采取一定的措施并提取容易丢失或被覆盖的数据。如果计算机处于关机状态，别去开启它的系统，通过录像等方式记录下计算机设备的连接状态，然后拔掉硬盘数据线和电源线，进入BIOS，记录机器显示的时间。

4.2 对于“封存物证”的处理原则

物证是与犯罪事实相关联的实体物和犯罪痕迹的体现，对于封存物证要保证封条位置正确，若要使用封存设备就必须经过申请，通过破坏封条来对设备进行使用。对于可移动介质应标上标签，装入防静电袋并在封口处贴上封条。对于每个封条应具有标识且是唯一的标识，并让封存者在封条上签字确认。对于证物须贴上标签，并注明证物提取时间、人员姓名以及设备的名称、型号等信息。

4.3 注意事项

首先，公安机关在进行电子数据取证收集和获取时，一定要注重对公民的财产和隐私的保护，在对网络秩序进行维护的同时也要保障公民的合法权益。其次，对于证据的合法程度应符合司法程序的合理合法化。包括取证步骤、方式的合法化，对于采用的技术手段的合理化等方面。在取证过程中应保持实体的正义与程序正义化的融合，避免出现违法行为。最后，对于调查人员来说，应以自身的安全为首要任务，了解案发现场所在的地理位置，保障调查人员和证据的安全性，对于案发地点有关的因素都应考虑并加大搜索范围，采取及时有效的安全防护措施。

5 结语

在信息技术飞速发展的当下，电子证据扮演着相当重要的角色，作为一个先进且全新的课题需要更多相关人员进行研究学习，在不断扩展视角的同时进一步对我国电子数据取证业务进行规划设计，使其能被我国司法机关更好地应用。

[1]许慧敏.析检察机关电子数据现场勘验取证工作[J].安徽电气工程职业技术学院学报，2013（2）：37-40.

[2]宋亦青.电子取证若干问题研究[D].北京：中国政法大学，2007.

[3]安德智.计算机取证技术应用[J].计算机安全，2006（9）：68-71.

Analysis on method of scene investigation method with electronic data

Yang Kaikai, Shi Lei
（Nantong Municipal Public Security Bureau, Nantong 226000, China）

Development of electronic science and technology has brought great convenience and help to our daily life, but at the same time it also provides a lot of high-tech crime means for criminals. According to the means of crime, Nantong Municipal Public Security Bureau adopted the investigation method on the scene with electronic data, which provides a great help for the public security bureau to quickly crack the case and collect evidence of a crime and quickly arrest the suspect. This paper introduces the electronic data forensics scene investigation process, principle, provides some suggestions to analyze the difficulties and development in the public security bureau in handling electronic data forensics.

electronic data; evidence collection; field investigation; criminal evidence

杨开开（1984— ），男，江苏海门，硕士，助理工程师；研究方向：取证技术。