电子物证提取以及检验的污染问题探究

杨 冀 侯海涛

（437100 咸宁市公安局 湖北 咸宁）

近年来电子信息科技高速发展，电子产品大量普及。利用计算机电子设备获取信息十分容易，电子信息常被不法分子利用。计算机与手机等电子设备成为犯罪侵害的对象。电子证据无处不在，司法部门运用计算机技术收集可电子物证，有效打击网络犯罪行为成为维护社会公共安全的重要内容。

一、电子物证提取检验要求

为避免在检验中破坏源储存介质，需在检验前精确备份源存储介质行。镜像设备对硬盘等存储介质复制，具有良好的兼容性。光盘复制机为高速复制设备，操作简便，具有载入，对比等功能，不同类型的取证产品各有优势。必须深入挖掘各种产品的功能，建立取证勘察工具集合。以增强取证能力。

常见的存储介质只读设备只读读卡器，只读锁等，设备可直接进行取证分析，保证取证检验过程的司法有效性。专用电子物证检验分析设备由制造商专门设计集成，可直接获取数字证据。

电子物证提取指具有取证资格的检验人员，运用计算机相关科技原理，对案件现场及相关电子设备存储数据发现提取的过程，电子物证具有时效性，不恰当的处理方式会损坏电子物证的法律效力。电子物证的提取应遵循科学客观，公正独立的原则。

电子数据广泛存在于电子计算机单机系统及其他电子设备中，电子物证检验任务包括认定信息的存在性，认定信息的量，来源，认定程序功能，重构犯罪事件等。电子物证检验为识别，提取与鉴定电子设备中存在的电子证据。用以案件侦查，常用的检验方法包括直接读取文件，关键字搜索技术，对比分析技术，交换空间分析技术，密码破解技术等。

二、我国电子物证提取检验现状

1.我国计算机犯罪现状

电子物证通过对电子信息内容，软硬件及运行情况检验得到犯罪证据。通过对电子证据的提取固定为侦破犯罪案件提供线索。体现其在打击计算机犯罪方面的作用。

电子物证检验通过对电子证据检验，在可预见的范围内对犯罪进行有针对性的可行性预防。如在合理范围内，针对可能出现的计算机犯罪新手段，侵害目标进行预警。为国家团体及个人提供防范准备，会减少很多的损失。我国电子物证检验在公安工作实际需求下逐渐发展，目前已发展到100多个实验室可从事电子物证检验工作。

计算机犯罪分子具有较高的文化水平，具备一定的反侦察能力，大大增加了打击计算机犯罪的难度。犯罪分子对数据文件进行加密，增加了电子物证检验技术人员的工作难度。我国电子物证检验起步较晚，当前公安打击网络犯罪中在提取设备，分析设等方面对快速增多的计算机犯罪中严重不足。此问题普遍存在于公安机关电子物证检验部。此危害较当地经济状况对电子物证检验影响更大。

2.提升电子物证检验水平措施

目前电子物证检验依赖于检验工具与检验软件，关于检验工具的核心技术尚未掌握。在此方面的人力物力投入不足，自主研发的检验工具会有很好的向下兼容性，在实际检验工作中遇到检材有时是几种检验工具同时工作。要强调电子物证检验自主研发，打破电子犯罪侦查技术的发展瓶颈。电子物证检验是最有可能率先完成发展模式转变的侦查技术。我国电子物证检验是最先与新型计算机犯罪手段接触的，计算机犯罪案件侦查中，电子物证检验工具使用者，不同案件会产生不同的使用问题，为改进检验工具的功能提供了很好的方向。检验工具开发工作可与各类厂商与科研院校合作，电子物证检验仅需投入犯罪手段与检验工具的使用经验，彻底摆脱资金限制。

电子物证检验对检验工作技术人员专业技能要求较高。从事电子检验工作的技术人员是检验活动的何香凝，检验人员要凭借自身业务知识对检材进行观察判断，保护检验对象的初始状态，尽量缩减检验周期。电子检验技术人员的专业技能水平很大程度上决定了检验任务的成败。

电子物证检验技术人员要能抵挡诱惑，利益是犯罪的根源，从事电子检验工作的技术人员要拒绝犯罪分子的诱惑。时刻保持清醒的意识。

当前各国根据本国实际情况，相继出台了系列的法律法规，以规范电子取证与检验人员，操作等规程。随着计算机技术的快速发展，一些法律已不能满足打击犯罪的新手段需求，如新的犯罪手段无明确的法律规定，必然会导致犯罪行为法律缺失，从而损害社会团体及个人的合法权益。

目前我国仅刑法规定单位犯罪负刑事责任。补充法律法规对计算机犯罪主体主要是将单位作犯罪主体。当前利用计算机技术手段报复商业对手的犯罪行为屡屡发生，直接侵害竞争对手的商业利益，应视为计算机犯罪。

3.设计电子物证提取检验系统

电子物证的检验随新型犯罪形式出现，电子物证具有多样性，因此电子物证检验系统与其他取证工具的整合能力非常重要。其检验必须强调程序的科学合法性，确保提取检统应满足使用者处理多种存储介质的需求。实现对案件与物证唯一性，对检验工具的监控，通过系统自动生成具有法定证据效力的检验结果。

系统功能模块包括用户接口模块，物证提取模块，检验分析模块，用户提取模块中完成电子物证的受理，物证信息的录入，物证提取模块中完成收集设备与提取信息。检验分析模块中完成提取摘要信息，关键字匹配。生成法定证据模块功能是收集数据与生成报告。

电子物证的提取步骤为现场勘查，拍照记录，离线提取，封装保存等，执行取证对各步骤情况进行记录归档。确保证据具备法定效力。电子物证的提取类型包括实物物证与逻辑物证。实物物证包括电子设备，存储介质与文档资料，逻辑物证包括易失性数据与非易失性数据。提取逻辑物证分为复制电子设备存储所有电子信息与所需电子信息，应根据案件情况决定取证方式。提取中必须保障现场电子设备的电子安全，避免发生数据破坏。以便为翻转现场还原提供直接依据。

构建电子物证检验系统目标是针对被保护状态下采集的电子物证进行检验分析，使电子物证成为侦破认定犯罪的有力证据。建立功能完善的专业电子物证检验系统，需具备计算机电子设备数据检验能力。实现系统要加入数据信息与综合管理。

三、电子物证提取检验污染问题

一些硬盘带有系统软件，部分工作人员直接使用带系统软件的硬盘启动导致硬盘文件时间变化；如将带有检材信息的移动硬盘直接连接到非取证计算机设备中，杀毒软件反复读取分析文件数据信息内容，易导致篡改硬盘中信息数据被。将硬盘介入到带有系统的检材计算机中，系统自动对硬盘中数据进行扫描记录，易造成信息数据泄露。

因工作人员对录音等设备操作不当，在常规性检查中因误操作导致机器自动录音录像，导致物证资料丢失。若在物证鉴定中直接打开手机等设备，如调查当事人手机中短信等信息，未打开屏蔽网络设备，易导致原本检材内容改变，如手机内存已满，接收新短信导致原短信被删除。

在未准确把握计算机性能时，如对按照系统还原软件，启闭计算机会导致计算机中的数据丢失。对设备保护不当亦会导致证据丢失。将设备放在潮湿等环境中，或设备保护措施不到位，导致设备碰撞损坏，也会影响物证的取证。

四、电子物证提取检验污染防治

应针对案件具体情况，判断是否需连接网络。如在持续性网络犯罪案件中保持网络畅通，通过网络获取犯罪信息，断开网络为保护网络系统稳定性，避免入侵网络者篡改数据。加强管理现场工作人员，防止出现破坏数据信息的行为。查看运行中的计算机设备，避免破坏运行程序。犯罪现场发现电子设备后要避断电导致缓存数据丢失。认真检查犯罪现场，避免周围磁场影响硬件设备运行。

在犯罪现场要关注部分非电子设备数据的证据信息，如日记本内容等，现场搜查时，需注意小物件的摆放位置，做好拍照记录工作。搜查计算机设备时，应关注设备是否存在蓝牙等外部连接情况，避免信息被盗取泄露。

针对犯罪中被抓案件，如网络赌博等行为，工作人员可对现场网页进行截屏保存，成为有法律效力的电子物证。如计算机处于关机状态，不可进行开机操作，如需开启设备，应将源计算机硬盘数据复制下，打开设备调查取证，以保证信息不会丢失。打开系统后，需校对计算机时间，及时做好档案记录工作。

总之，随着电子设备与网络技术的普及，很多犯罪案件都涉及到电子设备，需依靠相关司法工作人员提取电子物证辅助案件侦破。电子物证在提取检验中涉及多个环节，应做好电子物证的保护工作，避免电子物证被窃取破坏，保证电子物证的法律效力。