计算机犯罪案件证据收集提取的注意事项一、计算机犯罪的特点近年来，计算机犯罪呈现出了一些特点，主要表现在以下几个方面：1)高智商性：计算机是现代社会科学技术发展的产物，计算机犯罪则是一种高智商的犯罪，这种高智商体现在：①作案者多采用高科技犯罪手段。

②犯罪分子犯罪前都经过了精心的策划和预谋。

③犯罪主体都具有相当高的计算机知识，或者是计算机领域的拔尖人才，有一些还是从事计算机工作多年的骨干人员。

2)作案动机简单化：计算机犯罪中，大多数犯罪主体精心研制计算机病毒，破坏计算机信息系统，特别是计算机黑客，他们犯罪的目的很多时候并不是为了金钱，也不是为了权利，而是为了显示自己高超的计算机技术，他们认为这些病毒的传播就是他们成果的体现，通过这种方式来认可自己研究成果，其目的之简单有时令破案者都吃惊。

3)实施犯罪容易：只需要一根网线，就能够对整个世界实施犯罪。

这反映了网络犯罪特别容易实施，很多犯罪活动在网吧中就可以进行，如此方便的实施手段给计算机网络犯罪创造了孳生的环境。

从1996年以来，我国的计算机网络犯罪数量呈直线上升。

自动化的病毒生产机和木马生成器大大降低了计算机犯罪的门槛，让许多未成年人也能够容易的实施计算机犯罪。

4)教强的隐蔽性：计算机犯罪分子作案大都比较隐蔽，这种隐蔽性不但体现在犯罪行为本身，还体现在犯罪结果上。

计算机犯罪侵害的多是无形的目标，比如电子数据或信息，而这些东西一旦存入计算机，人的肉眼无法看到，况且这种犯罪一般很少留有痕迹，一般很难侦破。

5)巨大的危害性：计算机犯罪所造成的损失往往是巨大的，是其他犯罪所无法比拟的，2000年据美国“信息周研究社”发表的研究报告称，全球今年因电脑病毒造成的损失将高达150000亿美元。

二、计算机犯罪取证光有法律并不能完全解决问题，计算机犯罪隐蔽性极强，可以足不出户而对千里之外的目标实施犯罪活动，甚至进行跨过犯罪。

并且一般在实施犯罪活动前会先通过某个国家预先被“黑”掉的主机为跳板进行犯罪活动，这样更加增大破获犯罪活动的难度。

因此破获计算机犯罪活动也是高智商的活动，其获取犯罪证据的方法也与普通证据收集的方法有所不同。

“计算机犯罪取证”(Cybercrime Computer Forensics)又称“数字取证”或“电子取证”，是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。

它融合了计算机和刑侦两个专业领域的知识和经验。

具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

三、计算机犯罪取证的流程计算机犯罪取证将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼。

计算机犯罪取证工作主要围绕以下两个方面进行：证据的获取和证据的分析。

本文着重介绍证据采集方面的技术方法、流程和原则。

1)准备工作：无论如何，准备的越充分，就越有可能顺利的完成调查工作，也越有可能保证证据被完整的采集。

在这里主要介绍需要准备的软件和硬件方面的工具，当然，如果事先总是在背包里放一些记录工作流程、问询信息的空白表格，工作肯定会更加有条不紊而且更具专业素质。

通常来说调查人员并不拥有超级技能，所以使用的工具从很大程度上决定了工作能有多出色。

首先，我们应该制作各种操作系统的基本工具集。

这样做主要是因为攻击者通常会替换受害机器的二进制命令，如果利用被调查机器中的程序进行工作，产生的结果可能与期望中的全然不同。

在采集证据的过程中最主要的工作就是对各种介质进行镜像。

Class UNIX环境下，是能够完成这项工作的通用命令，尽量在你的工具包里包含各种类型、各种版本Class UNIX系统的命令吧，通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。

Windows平台上也有很多类似的软件，通常选择Ghost来完成这项工作。

用于存放证据的存储介质一定要事先进行处理，使用公认可靠的数据擦除软件进行擦除，以避免介质中的残余数据对证据的分析和取信造成影响。

在存储证据时，最常用的硬件设备是移动硬盘，除了应该具备尽量大的容量之外，硬盘盒的接口也应该尽量丰富，至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。

除了这些，现在市场上还可以购买到很多专用的调查设备，比如以Forensic MD5为代表的手持式取证设备，以及Forensic Computer出品的便携式取证箱等等，这些产品在复制数据的时候速度很快，具备丰富的让你不敢相信的接口，可以应付各种取证要求，而且便于携带，是计算机犯罪取证人员真正的百宝箱。

2)根据情况做决定：在这里我们需要根据所发生的安全事件类型决定我们应该采取怎样的工作步骤，在一台Internet主机上发现非法的登录和局域网服务器上被隐秘的存放了一些恶意程序明显应该使用不同的方法进行调查。

同时我们还需要征询计算机设备拥有方的意见，他们可能想彻底的调查该事件并提出起诉，也可能只想大致评估一下目前的状况可能造成的损失，值得注意的是，即使面对的是后一种情况，我们仍需要对证据进行符合手续的处理，也许几个月后我们的委托人突然觉得，应该教训一下冒犯他的家伙。

3)生成鉴定副本：在进行实际取证工作的时候我们需要遵循一个重要的原则：“尽量避免在被调查的计算机上进行工作”。

一方面是因为我们在犯罪环境中所做的操作越多，我们就越无法证明提取的“证据”还是原来的样子，而对诉讼过程产生影响；更重要的是可能会对“犯罪现场”造成破坏，而永远失去那些证据，也许一个“应该”无害的命令就可能引起侵入者的警觉，或触发了事先设定好的处理机制，导致证据被销毁。

在已经关机的设备上，我们首先要做的是利用准备的工具为所有的数据介质生成鉴定副本。

再次提醒大家，除了尽量避免在被调查的机器上操作，我们也不能在该计算机上进行分析和检查，我们制作鉴定副本的主要目的就是在尽量少接触被调查机器的情况下进行证据分析，对原始介质的操作可能使其完全丧失作为证据的可信性。

有些情况下我们无法获取完整的鉴定副本，例如被调查的机器不支持任何热插拔设备，而内存中重要的罪证正在运行，我们就只有在开机状态来获取证据了。

这种情况下需要特别的小心，以避免对证据的破坏。

我们应该在整个取证过程中详细的记录操作的步骤、方式、方法和时间等。

4)鉴定副本的管理：在获取了所有证据之后，应该妥善封存被调查的机器和设备，连同生成的鉴定副本一同加入“证据保管链”，以待进行下一阶段的分析工作。

保管链的意义主要在于每次对被保管物的使用和变更都能够被记录和验证。

在实际工作中会为每一项证据（甚至我们的工具包）粘贴保管标签，在保管标签上必须体现的内容包括证据的来源、生成的时间、证据当前的保存位置、证据转手时的位置、证据转手的原因以及保管人和接手人的签字，必要时可以增加第三在场人进行签字以作为证明。

因为证据大部分情况下是以数字形式进行保存的，我们还可以利用数字签名技术为证据生成电子指纹，这种方式对于证明原始证据没有被变更是比较有说服力的。

四、总结随着计算机的不断发展，计算机犯罪也在发展，犯罪的数量在大幅度的提高，破坏性越来越大，给国家和社会造成了很大的损失，目前国内已经形成了一条计算机犯罪的“黑色产业链”。

对付计算机犯罪需要采取预防和打击相结合的方式，一手加强信息系统的安全建设，另一方面公安机关要加强计算机犯罪的打击力度。

而计算机犯罪取证技术的发展能够为计算机犯罪案件的侦破提供破案线索和证据。

参考文献：[1]王一心.浅析计算机网络犯罪及对策[J].中国电子教育,2007(4):31-32.[2]陈海燕.论我国计算机犯罪新的特点和对策[J].信息安全与通信保密,2007(11):42-43.[3]王彩玲.网络犯罪的调查取证初探[J].中国科技信息,2005(23):88-89.[4]罗文华,胡欣,吴连锋.计算机犯罪现场的认定[J].警察技术,2007(3):35-36.[5]吴小平.计算机系统遭到犯罪入侵后的电子证据取证[J].河北公安警察职业学院学报,2007(2):33-34.[6]张鑫.计算机病毒犯罪案件浅析[J].信息网络安全,2007(9):23-24.计算机犯罪证据的收集这里主要是谈物证、鉴定结论、勘验检查笔录这几种证据的具体种类和收集。

(一)收集物证对于计算机犯罪来说,物证主要有:作为犯罪工具的计算机,被犯罪行为侵害的计算机信息系统,信息数据载体,实施犯罪所留下的各种痕迹。

这里主要指可直接感知或观察的痕迹,如留在计算机特殊部位的指纹等。

收集这几种物证的办法是:1、不要轻易搬动作为犯罪工具或受到侵害的计算机系统,而是对它们进行拍照或录像(包括它们之间的连接)。

对确实需要搬走的计算机系统,在拍照、录像后,要及时复制其存储的信息(如原单位需使用这些信息,可使用复制品,调查取证的必须是原始信息)。

2、收集涉案的计算机信息载体,如软盘、硬盘、光盘等。

受害人或受害单位如果需要使用这些资料,侦查人员可进行复制,让受害人或单位使用复制品。

3、常规的痕迹,如足迹、手印、工具痕迹等可用常规方法收集,而作为计算机犯罪的特殊的、技术性⑴运用痕迹物证检验技术,研究收集的书写痕迹以及文件上使用的夹子、固定器、橡皮筋、订书钉、穿孔等等痕迹特点。

⑵根据与案件有关的文件上的文字、符号等特点,分析打印机的类型,看是否与涉案地点的打印机的一致,然后从可疑打印机上收取文字样本,与文件上的字迹痕迹进行比较检验,以分析认定打印机。

⑶应用特种照相或其它技术方法,显现被烧毁的纸张、记录残片、修改为伪造文件的真实内容,复原并读出被撕碎、污染、浸泡过的文件上的文字内容,发现犯罪线索和证据。

⑷应用各种仪器分析方法,分析机器上的灰尘及其他残留物,分析推断犯罪分子作案地点、生活区域范围及个人特点等。

⑸必要时可进行取证实验,对证据的产生、采集等进行实验。

4、在勘验检查硬件时,要注意任何外部设备(如多路调制器、路由器、网桥、打印机等)都可能有存储器,里面可能有所需要的证据。

(四)对涉案的信息系统进行技术检测以涉案的信息系统进行技术检测,可以发现重要的犯罪痕迹。

尽管有此技术痕迹法律上不一定承认,但对认定犯罪事实、确定犯罪时间、排查嫌疑人很有帮助。

而且技术痕迹在审讯中对揭露犯罪嫌疑人的行为,促使其如实供认具有十分重要的作用。

1、检查必须要由具有一定计算机专业技术的办案人员进行。

对计算机的操作步骤、操作内容应尽可能详细地在勘验检查笔录中记录清楚,并让见证人予以确认。

技术上的痕迹如磁盘中的记录要尽量打印出来形成纸面文字或图像,以便于在法庭上使用。