计算机取证期中作业涉及电子证据的犯罪现场取证调查计算机学院信息安全专业组长：柴婷婷（3班）组员：何丹、周梦甜、赖江琴（3班）、王栋（1班）2010年10月15日试论涉及电子证据的犯罪现场取证调查引言随着信息化社会的到来，越来越多的刑事案件涉及到电子证据。

电子证据相对于传统的痕迹物证而言，其表现形式、取证方式都有其特殊性。

我们主要对犯罪现场的一些取证工作以及调查进行浅议，以达到抛砖引玉的目的。

一、简介-----对电子证据的法律强制回应------潜在种类的电子证据------数字取证的规则------取证过程1、对电子证据的法律强制回应-------计算机涉及的犯罪行为可能包括工具、证据的储藏库、目标-------许多类型的工作人员参与应对犯罪涉及计算机操作系统、调查人员(私人，公司)、取证检验人员、经理(案例、企业、政治)。

-------首先回应的可能是法律强制中的任何人注意保护电子证据的损失或篡改2、潜在种类的电子证据-------电子证据是指有研究性价值的通过电子设备存储或传输的信息和数据。

-------电子证据之所以潜在（像指纹、基因证据）是因为不能明显地用肉眼看到，需要电子设备或者专门技术，也可能需要在法庭上专业的指正去解释剖析。

------电子证据的软弱性很容易被破坏或者替换；监督链条和技术安全防卫对成功的诉讼是必要的。

3、数字取证的规则不损害任何证据！例如不让业余人员搜集数字证据4、取证过程------搜集：浏览、辨别、搜集、证据文档------检验（技术透视）记录的内容、证据的状态；显露隐藏的数据；识别相关的数据------分析（合法的透视）------报告专门证据的过程笔记；结果；可靠性。

二、电子证据的种类电子证据是以数字化信息编码的形式出现，存储于磁性介质中，能准确地反映有关案件的情况，具有证据作用的数据。

由于电子证据是以数字化信息编码的形式出现的数据表现形式，因而具有高科技性、间接性、隐蔽性等特点，决定了电子证据的收集与刑事诉讼中其它证据收集的传统方法有较大的区别。

笔者认为，对电子证据的收集，必须针对电子证据易伪造、具有隐蔽性的特性，才能使电子证据发挥更强的证明力。

------它经常作为指纹或基因证据潜藏在同样的现场------可以轻松快速地跨越国界------它是脆弱的，可以很容易地涂改、损毁或销毁。

------有时候会有时间敏感度------因此只有那些具有专长的人应该可以处理电子证据例如,因为重启而改变或者毁坏的数据,可以用来进行调查；取证的数据捕捉工具经常需要训练。

电子证据收集的四个步骤：依法收集电子证据；全面收集电子证据；正确扣押电子证据；科学固定电子证据三、在犯罪现场处理电子证据1、准备工作第一电子证据的固定采集基本方法------打印对于可以直观或直接反映或证明案件事实的电子证据，可以直接将有关内容打印在纸张上的方式进行取证。

打印后，可以按照提取书证的方法予以保管、固定，并注明电子证据打印的时间、数据信息在计算机中的位置（如存放于那个文件夹中等）或来源、取证人员等。

------拷贝是将作为电子证据的电子文件，通过拷贝复制到U盘、移动硬盘或光盘中的方式。

取证人员应当检验所准备的U盘，移动硬盘或光盘，确认没有病毒感染。

拷贝之后，应当及时检查拷贝的质量，防止因保存方式不当等原因而导致的拷贝不成功或感染有病毒等。

取证后，注明提取的时间并封闭。

------拍照、摄像对于具备视听资料特征的电子证据，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。

此外，在电子证据取证过程中，对取证全程进行拍照、摄像，对被固定采集的电子证据的真实性具有一定的增强作用。

------查封、扣押申请执法机关对于涉及案件的电子证据的载体进行采取查封、扣押，将有关载体置于执法机关保管之下。

之后再对该电子证据进行分析、解读。

------公证通过公证机构以证据保全公证的方式对有关电子证据进行公证。

这是有效获取电子证据的便捷途径。

------数据解析对于不能直接或直观的证明案件事实的电子证据，在确保数据真实的情况下，运用特定的软件工具，对相关数据进行分析、转化，使得其可以直观的形态为人们所认知或了解。

------恢复大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能。

因此，当有关电子证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取电子证据，也可以使用一些专门的恢复性软件或专门设备来恢复、获取电子证据。

2、电子证据固定采集的注意事项------条件允许情况下，建议由公证机关做为电子证据固定采集的主体。

律师以代理人或公证委托人身份，只是对相关电子证据的固定采集进行目标、方法、步骤上的指导和要求。

------电子证据固定采集的具体操作，建议由专业的技术人员或公证人员实际进行。

------除非技术上必要，对电子证据进行固定采集的场所，建议一般应在公证机关或中立第三方的工作场所进行。

------非技术上必要，对电子证据固定采集所使用的计算机设备或其他数码设备，建议使用公证机关或中立第三方的设备。

------源于互联网的电子证据，须对证据的来源、域名、IP等相关因素进行保存。

孤立的网页文件，其真实性难以证明，证明效力很弱。

------电子证据固定采集过程中，应注意避免数据污染，从而影响相关电子证据的真实性。

用于固定相关电子证据的载体应当是干净的、未受污染的。

------在使用非第三方的计算机或电子设备进行电子证据的固定采集时，须由专业人员对该计算机及电子设备进行“清洁性检查”。

所谓“清洁性检查”是指对相关计算机或电子设备中的软件系统、功能、配置进行查看或固定，以确保通过该计算机或电子设备所获取的电子证据的真实性以及数据来源的唯一性。

------如有可能，对于记录、存储电子证据初始形成的电子证据载体、设备、介质等，应当提存原物并随同电子证据一并固定采集。

------某些专业的电子证据取证设备或软件，或者寻求中立的第三方提供的电子证据固定采集的相关专业技术服务，不失为对电子证据固定采集的一种有效途径。

这有助于提高相关电子证据的证明力。

------电子证据的脆弱性和易篡改，应当采用适当的储存介质进行原始的镜像备份，用“镜像复制”的方法复制若干个副本。

建议将其中的两个副本复制在只能写入一次的介质上（如非可擦写光盘），防止被提取到的电子证据意外被改变。

------第三方所作的提取笔录形式将复制的时间、地点、复制的方法、处理人员、使用软硬件、复制过程等事项记录下来，以确保电子证据的合法性、真实性、关联性与完整性。

------得改变原始证据或原始数据。

对于固定采集的电子证据进行鉴定和技术分析前，应当进行完整的备份，对备份的电子证据进行鉴定分析，不允许直接对原有存储介质直接进行技术操作。

3、电子证据的鉴定电子证据司法鉴定的主体应具有一定的资格。

司法鉴定人应该是具备计算机科学网络专门知识的人。

电子证据司法鉴定人还需要具有法律、逻辑、审计等知识。

电子证据司法鉴定是司法鉴定中较为特殊的一类鉴定，电子证据司法鉴定工作需要提取相应的计算机信息，甚至需要从已被删除或加密的文件、电子邮件中报取数据，经分析确认作为法庭上的诉讼凭据。

关于其定义，众说纷纭，笔者认为，电子证据司法鉴定就是在司法实践中依据证据法学理论、使用高端技术和先进设备，对电子信息载体存储的数据进行鉴定，并出具法庭采信的书面鉴定结论。

电子证据司法鉴定的定义应该包含以下几点：------电子证据司法鉴定的主体应具有一定的资格。

司法鉴定人应该是具备计算机科学网络专门知识的人。

电子证据司法鉴定人还需要具有法律、逻辑、审计等知识。

------电子证据司法鉴定客体的范围。

电子证据司法鉴定范围不仅包含对计算机内的数据进行鉴定，还包括对计算机中软件、程序进行鉴定，对取证过程中取得的证据链进行鉴定等等。

从广义的范围来说，还包括对电子证据的提取、分析等内容。

------电子证据司法鉴定应符合规定的程序。

与其它司法鉴定的程序一样，都要分为申请、委托、受理、实施、出具结论等阶段。

由于电子证据具有脆弱性、易更改性等特点，收集电子证据的程序合法，程序规范，严格按照法定程序操作，是保证电子证据合法性的关键一步。

4、全面做好现场记录现场记录可将现场情况永久性保存下来。

确切记载计算机及各种存储介质、其他电子设备和传统痕迹物证的位置、状态和使用条件等，可以为El后电子证据的检验和分析提供重要信息。

因此，现场记录应当贯穿于现场勘查的始终。

现场记录应当尽可能地详尽，包括各种设备的位置。

例如鼠标放在计算机左侧，则操作者可能惯用左手操作。

对计算机的工作状态也必须记录，如计算机系统是处于工作状态、关闭状态，还是处于休眠状态。

大多数计算机有指示灯可以说明计算机的工作状态。

如果计算机的指示灯未亮，应当仔细听一下是否有风扇运转的声音，来判断其是否是在工作。

假如计算机确实是关闭的，感受一下主机箱及显示器的温度，可以确定计算机是否刚刚关闭。

除文字记录外，还应当对计算机系统进行拍照，特别是对计算机显示器的内容进行拍照。

可能的话还应进行3600连续回转拍照。

如果显示器的画面是活动的，例如某项程序正在执行，则应迅速用摄像机将其记录下来。

5、收集和保全电子证据搜集：证据的收集，必须针对电子证据易伪造、具有隐蔽性的特性，才能使电子证据发挥更强的证明力。

------依法收集电子证据因为电子证据具有无形性，且安全性和真实性极易遭到外界的破坏，有时其所反映的事实并不是事实本身，而仅仅是表象的真实。

如拍摄下来的经过化装、伪装的影像;经过模仿的录音;链接标题与链接网址、内容的不符;虚拟网名与真实身份的不符;经过“黑客”篡改的网页;伪造的电子信件等等，侦查人员就必须判断其内容的真实性。

此外，依照合法的程序收集到的证据才是合法的证据，在电子证据的收集中除了遵循刑事诉讼法对取证的规定外，还必须根据电子证据的特点严格按照法律规定的程序进行。

采取网络监听的方法获取电子证据，应当由特定的侦查机关依照法定程序进行;搜查方式获取的电子证据，必须依法办理搜查的手续;扣押犯罪嫌疑人存有电子证据的载体，必须有见证人在场等。

------全面收集电子证据收集电子证据时必须对相同内容的证据全部收集。

对相同内容的电子证据，不论其在同一载体还是在不同的载体上，都应当全部收集。

这对证明电子证据的真实性，加强电子证据的证明力，搞清电子证据的原始状态具有重要作用。

收集电子证据的同时要收集存储的载体。

电子证据只能存在于特定的载体，所以收集电子证据时必须收集电子证据的载体，因为载体上的电子证据更符合最佳证据规则，证明力更强，且载体的属性和特征能从侧面证实电子证据的相关信息。