取这 砦 相 关 物 品检 材 。 ２ 电子 物 证 检 验 要 求 和 作 用 ．
电子物证榆验 作 的第 ・ 阶段是识别 、 提取 和保存 电子物证榆材和 样本。识别电 于物 检材包含两方面 的意义 ： 一是识别 含有电子信息 的 硬件， 二是识别 犯罪活动相关 的电子信息。识别硬件 电子物证检材相 对容易 ， 而识别电子信息物 证检 材则要求 提取人 员 了解犯罪 案件 的性 质， 并熟悉计算机硬件系统 、 操作系统和应用程序等。 类似于传统物证 ， 提取 电子物证检材最重要的原则是 以能够保持被 检验物证检材的证据价值的方式处置物证检材样本 ， 保持 物证证据价值 不仅仅足指检材物品的物理完整性 ， 也包括其所包含的电子信息的完整
电子 物 证 检 验 技 术研 究
杨 勇 湖 南公安高等专科 学校 ４ ０ ３ １ １８
【 要】 摘Байду номын сангаас本篇论 文主要 阐述 了电子物证检验技术的专业 内容和组成 ， 以及开展 电子物证检验 的作用和重要意义 ， 出 了电子物证检验定 义、 提 检验
对象、 技术方 法、 特点作用以及尽快在 国内建立电子物证检验 专业等观点。 【 关键词 】 电子物证 检验 技术研究 中图分类号 ：６ １ 文献标识码 ： 文章编号 ：０ ９— ０７（００）５—０ ９ ０ Ｉ ３ ） Ａ １０ ４６ ２ １ ０ １８— ２
性。
电子物证检材提取有两种基本形式 ： 提取硬 件物证 检材和电子信息 物证检材 。如果电子设备 可能被用 作犯 罪工具 、 为犯罪 目标 或是赃 作
检验电子物证检材和样本 ， 有可能得到有证据价值或侦查作用 的电 子信息 内容或鉴定结论。电子物证 检验 的要求 和作用 可以分为 四大类 型。最 常见 的应用类型是电子信息内容检验 ， 包括搜寻与犯罪相关 的文 件资料 、 读取加密文件 、 恢复和读取 被删除的文件 、 读取被损坏存储介质 中的文件等 ， 其检验结果是能够证 明犯罪事实或能够提供侦察线索 的文 件资料 。在相关计算机中搜寻 、 发现 有证据或 侦查价值 的文件资料 ， 已 经成 为犯罪案件侦查 中非常有效的常规做法 。 电子物证检验的第二类应用是 电子信息 的真实性检验 ， 其检验结果 是说 明电子物证是否真实的意见。对于一些 与案件事实有很强关联性 ， 但 可能会 因其真实性受到质疑而影响其证 明的电子信息 ， 需要通过检验
一
、
引 言
物证检材也有很大危害 ， 此不 要将检材长 时间存放在 汽车内。此外 ， 因
电子技术 的发展 ， 特别是计算机技 术的发展 ， 使世 界进入 了信息时 代。电子设备 已经深入到人 们 Ｉ 和生活的各个 环节 ， 作 与此 同时 ， 犯罪 活动也不 可避免地受到信息时代影响 ， 并且也越来越多的涉及电子技术 和 电子 设 备 ， 此 出 现 了 用 于 侦 查 犯 罪 案 件 和 证 明 犯 罪 活 动 的 新 型 证 因 据， 即电子证据 ， 相应Ｈ 现了电子物证检验这一新的物证检验专业 。 ｛
物， 或者足电子设 备内含有大毋 与案件相 关的信息 ， 有可能需 要提取 就 硬件作为物证检材。在准备提取整台计算机作 为检材 时， 应考虑同时提 取该计算机的外围硬件 ， 如打印机 、 磁盘驱动器 、 扫描仪 、 盘和光盘等 。 软 如果在案件中电子信息可能被用作犯罪工具 ， 或者电子信息是非法 占有的， 或者电子设 备仅仅用 于储 存 了少 量犯罪记 录 ， 这时候 电子物证 检材提取的焦点是电子设备 内的电子信息内容， 而不是 硬件本身。提取 电子信息物汪检材通常有 二种选择 ： 复制 电子设 备储存 的所 有 电子信 息， 或者是仅仅复制需要 的电子信息。选择哪种方式主要 根据案件情况 和侦查需要。如果有足够的时 间并 且还不 能够确定需 要搜 寻的信息 内 容， 但又怀疑电子设备储存的 电子信息 中含有关键证 据 ， 复制 提取全部 信息是很有必要 的。提取全部 电子 信息物证 检材 的基 本做法是 用外置 存储器 ， 采用镜像 复制方式 ， 贝复制 电子设备 中储存 的电子信息 。如 拷 果在现场搜查时需要及时地在电子设备中找到线索 ， 者在电子设备 中 或 只有很小一部分 电子信息是证据 ， 则更实际的做 法是在现 场搜查电子信 息内容 ， 然后只复制需要的电子信 息作为检 材 ， 并在现 场检查 复制提取 结果 。无论是提取全部 电子信息还是提取选定的电子信息 ， 了保证 复 为 制提取的电子信 息的可靠性 ， 至少应复制二份检 材。复制 提取 电子信息 检材必须用完全空白的新磁 盘 、 新格 式化 的移动 硬盘 或一 次性写 入光 盘， 以防止旧盘上原有 的信息对物证的干扰。 网络连接的计算机储存的 电子信息可以快速传 递 、 多处储存和远程 操作删改 。如果一个计算机 网络涉及犯罪活动 ， 电子证据 通常分布在 多 台计算机 中， 收集提取所有硬件或网络中全部电子信息作 为物证检材是 不现实的 。提取 网络计算机 内的电子证据需 要更多 的计算机技 术和案 件调查经验 ， 一般需要 由专业的电子物证专家完 成。不适 当的提取操作 很可能造成电子证据丢失或提取不完整的严 重后果 。 电子设备硬件和储存介质是相当容易受 到损坏 的， 有提取的硬件 所
二、 电子 物 证检 验 的 技 术
１ 电子 物 证 验材 的提 取 和 保 存 ．
电子物证检材提取后要及时送检 ， 因为有些 电子设备在接收新信息时可 能 自动删除 旧的信息 ， 如手机的通话信息或传呼机收到的信息 等。 在涉及 电子物证检材的犯罪现场 ， 可能还存在一些与电子证据有关 联 的非 电子信息物证 ， 如记录 在纸张 中的 口令 、 印的文 字 、 打 图表 和照 片、 硬件 和软件手册等 。这些相关的非 电子物证检材可能对后期 的犯 罪 侦查 或电子物证检验有重要帮助 ， 因此在 提取 电子物证检材也应 同时提