• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      職務(wù)犯罪偵查中電子數(shù)據(jù)的收集、固定和使用

      2014-02-03 11:14:56匡凌
      中國檢察官 2014年24期
      關(guān)鍵詞:檢材校驗(yàn)克隆

      職務(wù)犯罪偵查中電子數(shù)據(jù)的收集、固定和使用

      【本期主講】

      匡凌,現(xiàn)任湖南省長沙市人民檢察院檢察員、法律政策研究室副主任、長沙市檢察學(xué)會(huì)副秘書長。1994年至2007年在湖北省石首市人民法院工作,歷任審判員、副庭長、研究室主任;2007年選調(diào)至湖南省長沙市人民檢察院工作。主要研究方向?yàn)樽C據(jù)法、網(wǎng)絡(luò)法。著作:《證據(jù)失權(quán)制度質(zhì)疑》、《非法證據(jù)排除規(guī)則在公訴環(huán)節(jié)的準(zhǔn)確適用》等;與人合著、編著有《中華人民共和國婚姻法釋義與適用》、《道路交通維權(quán)妙計(jì)》、《企業(yè)電子商務(wù)中的法律風(fēng)險(xiǎn)及防范》等書。

      核心提示:電子數(shù)據(jù)作為一種新的證據(jù)類型,在刑事訴訟中日益顯現(xiàn)出其作為證據(jù)打擊犯罪的重要作用。職務(wù)犯罪偵查中如何收集、固定和使用電子數(shù)據(jù),是每一個(gè)檢察機(jī)關(guān)偵查人員值得關(guān)注的問題。本文從職務(wù)犯罪偵查實(shí)戰(zhàn)出發(fā),探討電子數(shù)據(jù)的定義、類型、適用的法律以及如何收集、固定和使用電子數(shù)據(jù),以期對檢察機(jī)關(guān)偵查人員辦理涉及電子數(shù)據(jù)類型的案件有所裨益。

      20 12年修改的《中華人民共和國刑事訴訟法》第48條將電子數(shù)據(jù)列為一種新的證據(jù)種類。如何在職務(wù)犯罪偵查環(huán)節(jié)獲取和運(yùn)用好電子數(shù)據(jù),準(zhǔn)確、有效地查辦職務(wù)犯罪,是當(dāng)前檢察機(jī)關(guān)職務(wù)犯罪偵查部門和偵查人員面臨的新任務(wù)和亟待解決的新問題。

      一、電子數(shù)據(jù)的概念及分類

      何為電子數(shù)據(jù)?《人民檢察院電子證據(jù)鑒定程序規(guī)則》所稱的電子證據(jù)是指電子信息技術(shù)應(yīng)用而出現(xiàn)的各種能夠證明案件真實(shí)情況的材料及派生物?!豆矙C(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》所稱的電子數(shù)據(jù)是指以數(shù)字化形式存儲、處理、傳輸?shù)臄?shù)據(jù)?!队?jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子證據(jù)檢查規(guī)則》所稱的電子證據(jù)包括電子數(shù)據(jù)、存儲媒介和電子設(shè)備?!峨娮訑?shù)據(jù)司法鑒定操作規(guī)范》所稱的電子數(shù)據(jù)指基于計(jì)算機(jī)應(yīng)用和通信等電子技術(shù)手段形成的客觀資料,用以表示文字、圖形符號、數(shù)字、字母等信息,包括以電子形式存儲或傳輸?shù)撵o態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。

      電子數(shù)據(jù)表現(xiàn)為電子形式的各種數(shù)據(jù),它無法被人直接感知,必須要通過固定轉(zhuǎn)化才能具體運(yùn)用。當(dāng)它轉(zhuǎn)化為文字和視聽性的資料的時(shí)候,就容易與書證、視聽資料混淆。電子數(shù)據(jù)只能存儲在相關(guān)媒介和電子設(shè)備之中,電子數(shù)據(jù)是否包括存儲的媒介和電子設(shè)備呢?筆者認(rèn)為,從電子數(shù)據(jù)轉(zhuǎn)化的書證,只能作為電子數(shù)據(jù)證據(jù)使用。而與視聽資料相比,電子數(shù)據(jù)的范圍更大,視聽資料只是電子數(shù)據(jù)的一部分,即電子數(shù)據(jù)包含視聽資料。由于修改后的刑事訴訟法將視聽資料與電子數(shù)據(jù)一起列為一個(gè)證據(jù)種類,因此,法律規(guī)定的電子數(shù)據(jù),應(yīng)該是指除視聽資料外的其他電子數(shù)據(jù)。電子數(shù)據(jù)雖然只能存儲在相關(guān)媒介和電子設(shè)備之中,但不應(yīng)包括存儲的媒介和電子設(shè)備,存儲的媒介和電子設(shè)備如果符合物證的特征,在刑事訴訟中應(yīng)作為物證使用。

      綜上,電子數(shù)據(jù)應(yīng)專指電子化技術(shù)手段形成的客觀數(shù)據(jù)資料。

      通過梳理近年來涉及電子數(shù)據(jù)方面的形態(tài),大概有如下幾種表現(xiàn)形式:一是文檔數(shù)據(jù)和程序類;二是圖片類;三是聊天語音視頻類;四是網(wǎng)上交易、支付類;五是網(wǎng)站、電子郵箱類;六是手機(jī)信息類。隨著網(wǎng)絡(luò)、手機(jī)上各類軟件功能越來越強(qiáng)大,電子數(shù)據(jù)的分類逐步有交叉、融合之勢。

      二、電子數(shù)據(jù)在偵查中的收集、固定和使用

      隨著信息化的發(fā)展和智能手機(jī)的普及,收集、固定和使用電子數(shù)據(jù)成為職務(wù)犯罪偵查人員必須掌握的辦案手段。電子數(shù)據(jù)作為證據(jù)的一種類型,應(yīng)該遵循證據(jù)收集、審查、判斷中的一般規(guī)則,要符合證據(jù)的合法性、真實(shí)性、關(guān)聯(lián)性。但由于電子數(shù)據(jù)必須存在于一定的載體中,具有數(shù)據(jù)的海量性、高速流轉(zhuǎn)性、自動(dòng)生成性和脆弱性,偵查人員在收集、固定和使用電子數(shù)據(jù)時(shí)應(yīng)特別注意電子證據(jù)取證的程序規(guī)范化、過程的標(biāo)準(zhǔn)化和工具專業(yè)化等因素。從某些方面來說,電子數(shù)據(jù)取證程序是否合法往往比電子數(shù)據(jù)的內(nèi)容真實(shí)性顯得更為重要。

      (一)根據(jù)案情確定取證方案

      1.了解犯罪嫌疑人的作案手段。在辦案中要根據(jù)案情了解犯罪嫌疑人的犯罪手段,初步判斷電子數(shù)據(jù)的存放方式、地點(diǎn),然后準(zhǔn)備相應(yīng)的人員和軟硬件,全面獲取相關(guān)電子數(shù)據(jù)證據(jù)。

      2.注重現(xiàn)場保護(hù)。到達(dá)現(xiàn)場后,首先,應(yīng)立即阻止嫌疑人使用計(jì)算機(jī),需切斷計(jì)算機(jī)網(wǎng)絡(luò)連接(拔除網(wǎng)線或者關(guān)閉無線網(wǎng)卡),防止計(jì)算機(jī)被遠(yuǎn)程控制導(dǎo)致檢材損壞。其次,要觀察電腦狀態(tài),察看是否有破壞性程序在運(yùn)行,如刪除操作、磁盤整理、運(yùn)行殺毒程序等,如有則立即切斷電源;筆記本可通過移除電池達(dá)到切斷電源目的。再次,對現(xiàn)場拍照并描繪現(xiàn)場草圖,需要對計(jì)算機(jī)接線狀態(tài)、連接外設(shè)進(jìn)行拍照和記錄,有條件的應(yīng)全程攝像。

      3.做好人員和器材上的準(zhǔn)備。根據(jù)最高人民法院、最高人民檢察院、公安部《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》第5條規(guī)定,收集、提取電子數(shù)據(jù),應(yīng)當(dāng)由兩名以上具備相關(guān)專業(yè)知識的偵查人員進(jìn)行。同時(shí),還應(yīng)當(dāng)邀請與案件無關(guān)的公民作為見證人。提取器材和工具一般應(yīng)包括硬件和軟件。常用的硬件:現(xiàn)場勘查箱、筆記本電腦、移動(dòng)硬盤、硬盤克隆機(jī)、取證U盤(或光盤)、空白刻錄光盤;軟件:OFFICE系統(tǒng),圖片查看軟件,手機(jī)信息備份、查看、提取軟件等。

      如,某檢察院偵查的中國電信李某等人受賄系列案。該案涉案人員內(nèi)外勾結(jié),通過網(wǎng)絡(luò)和信息聯(lián)系,利用相關(guān)技術(shù)占用電信部門的資源,以低于公司定價(jià)的價(jià)格私攬短信群發(fā)業(yè)務(wù),收取回扣。破案后為中國電信集團(tuán)挽回直接經(jīng)濟(jì)損失3000余萬元,追繳犯罪所得200余萬元。該案電子數(shù)據(jù)方面主要涉及兩大系統(tǒng):一是超級信使系統(tǒng),通過這個(gè)系統(tǒng)發(fā)送短信;二是支付寶系統(tǒng),通過支付寶收、付款。他們還利用騰訊QQ,作案分工、共同分贓。該檢察院在當(dāng)?shù)毓膊块T的配合下,施行三地布控,統(tǒng)一指揮,同時(shí)抓捕,將李某等四名主要犯罪嫌疑人抓獲,并同時(shí)對四人的辦公場所、住所依法進(jìn)行搜查,扣押了電腦等涉案物品,有效提取了電子數(shù)據(jù),確保證據(jù)不遭到人為的破壞、滅失。

      (二)電子數(shù)據(jù)的勘驗(yàn)檢查

      電子數(shù)據(jù)的勘驗(yàn)檢查主要包括現(xiàn)場勘驗(yàn)檢查、遠(yuǎn)程勘驗(yàn)檢查。

      現(xiàn)場勘驗(yàn)檢查中對存儲有電子數(shù)據(jù)的原始存儲介質(zhì)和電子設(shè)備進(jìn)行扣押的,應(yīng)當(dāng)開具扣押清單,制作扣押筆錄??垩汗P錄一般應(yīng)包括扣押的時(shí)間、地點(diǎn)、扣押人的姓名和單位、扣押物品持有人身份、扣押對象、扣押的目的、扣押原始存儲介質(zhì)和電子設(shè)備的數(shù)量和特征等,對扣押的原始存在介質(zhì)和電子設(shè)備的來源,存儲的電子數(shù)據(jù)有無修改、刪除、增加以及備份情況都應(yīng)予以注明。

      在遠(yuǎn)程勘驗(yàn)檢查時(shí),要向操作人員詳細(xì)了解數(shù)據(jù)產(chǎn)生的過程,查看產(chǎn)生數(shù)據(jù)的應(yīng)用軟件,了解數(shù)據(jù)格式,根據(jù)不同情況,向操作人員提出要求,從應(yīng)用系統(tǒng)中檢索出符合要求的數(shù)據(jù),并制作遠(yuǎn)程勘驗(yàn)筆錄和提取電子數(shù)據(jù)筆錄。需要注意的是:一是對簡單的數(shù)據(jù)可以直接拍照或打印到紙上固定;二是對復(fù)雜的數(shù)據(jù)必須用一次性寫入光盤的形式保存,方便統(tǒng)計(jì)、匯總和展示,光盤數(shù)據(jù)應(yīng)計(jì)算其完整性校驗(yàn)值(MD5),在筆錄中予以體現(xiàn)。三是有些通過軟件查詢精準(zhǔn)獲取的電子證據(jù)可以轉(zhuǎn)換為方便查看的方式。

      對無法扣押的原始存儲介質(zhì)和電子設(shè)備應(yīng)當(dāng)交由有關(guān)部門保管,偵查人員應(yīng)采用足以反映電子數(shù)據(jù)內(nèi)容的視頻、照片以及其他轉(zhuǎn)化方式對電子數(shù)據(jù)予以固定。

      (三)電子數(shù)據(jù)提取的規(guī)則

      要用科學(xué)的、符合刑事訴訟規(guī)則的方法提取,才能在訴訟中作為證據(jù)使用。提取的時(shí)候一般要達(dá)到“三化”的要求。

      1.程序規(guī)范化。提取任何電子數(shù)據(jù)要以庭審證據(jù)的標(biāo)準(zhǔn)和要求來慎重對待,要符合相關(guān)的操作規(guī)范。以常用的電子數(shù)據(jù)載體電腦和手機(jī)為例:在現(xiàn)場搜查時(shí),如果電腦處于開機(jī)狀態(tài),應(yīng)使用取證工具進(jìn)行現(xiàn)場保存數(shù)據(jù)。如果無法現(xiàn)場取證的,應(yīng)當(dāng)直接拔掉電源,這樣可以防止丟失易失性數(shù)據(jù),確保電腦中臨時(shí)文件和內(nèi)存中數(shù)據(jù)的完整性。對手機(jī)的電子數(shù)據(jù)取證,如果是開機(jī)狀態(tài),應(yīng)將手機(jī)放入屏蔽袋(箱)或屏蔽室中,以攝像方式記錄調(diào)閱手機(jī)中的短信、彩信、聯(lián)系人記錄、電話簿、錄音、錄像、照片、即時(shí)聊天信息、電子郵件等內(nèi)容;或者將其接入取證工具,獲取手機(jī)中的信息,恢復(fù)手機(jī)中刪除的信息。對處于關(guān)機(jī)狀態(tài)的手機(jī)進(jìn)行的取證:首先,是對手機(jī)身份卡(目前有SIM卡、USIM卡和RUIM卡三種類型)和存儲卡的取證,還要查看機(jī)身上的標(biāo)識獲得機(jī)身碼(IMEI或ESN);隨后,在屏蔽室中按照開機(jī)取證的程序獲取手機(jī)中的電子數(shù)據(jù)。

      2.過程的標(biāo)準(zhǔn)化。要符合相關(guān)技術(shù)規(guī)范要求,收集、提取電子數(shù)據(jù)應(yīng)當(dāng)制作筆錄,記錄案由、對象、內(nèi)容,收集、提取電子數(shù)據(jù)的時(shí)間、地點(diǎn)、方法、過程,電子數(shù)據(jù)的清單、規(guī)格、類別、文件格式、完整性校驗(yàn)值等,并由收集、提取電子數(shù)據(jù)的偵查人員以及電子數(shù)據(jù)持有人、見證人簽名。在遠(yuǎn)程提取電子數(shù)據(jù)時(shí),特別要注意操作人員的級別和權(quán)限問題。操作人員的級別和權(quán)限不同,提取的數(shù)據(jù)就不相同。如提取銀行賬號信息、手機(jī)通訊信息等,要特別予以注意,并在提取筆錄中注明操作人的權(quán)限。

      3.工具專業(yè)化。當(dāng)今電腦、手機(jī)技術(shù)一日千里,對檢察技術(shù)的要求日益提高,必須要加強(qiáng)與檢察技術(shù)部門的配合力度,只有技術(shù)力量和工具軟件保持先進(jìn)性,才能確保提取電子數(shù)據(jù)的真實(shí)、有效。當(dāng)前,一般的工具對該系統(tǒng)電子數(shù)據(jù)提取還無法做到100%完整,因此,對此類手機(jī)數(shù)據(jù)的提取應(yīng)保持慎重,不斷更新相關(guān)軟件,力求做到無損提取的電子數(shù)據(jù)。

      如某檢察院在查處陳某某涉嫌行賄犯罪一案時(shí),該行賄人是娛樂城的負(fù)責(zé)人,其負(fù)責(zé)財(cái)務(wù)工作的筆記本電腦使用量很大,且對檢察機(jī)關(guān)偵查行為有所察覺,已經(jīng)采取了相應(yīng)的防范措施。為防止涉及行賄的電子數(shù)據(jù)被完全破壞,檢察機(jī)關(guān)依照技術(shù)規(guī)范程序,及時(shí)查封該筆記本電腦,之后,技術(shù)人員按照技術(shù)規(guī)范,無損備份筆記本電腦上的數(shù)據(jù),對備份的數(shù)據(jù)采用數(shù)據(jù)恢復(fù)工具軟件WinHex對已刪除資料進(jìn)行了數(shù)據(jù)恢復(fù)。共恢復(fù)出各類文檔、表格、幻燈片共計(jì)282個(gè);其中可以直接打開利用的文件260個(gè),加密文件22個(gè)(通過解密軟件Passware Kit enterprise軟件對22個(gè)文件全部進(jìn)行了解密)。技術(shù)人員對以上恢復(fù)出的所有282個(gè)文件以及解密的22個(gè)文件已刻錄成光盤進(jìn)行保存。通過分析搜索這些恢復(fù)的電子數(shù)據(jù),發(fā)現(xiàn)了犯罪嫌疑人行賄的證據(jù)。

      (四)電子數(shù)據(jù)的轉(zhuǎn)化和使用

      對于傳統(tǒng)的書證與物證來說,電子數(shù)據(jù)證據(jù)表現(xiàn)為電子形式的各種數(shù)據(jù),它無法被人直接感知。要作為證據(jù)使用,電子數(shù)據(jù)必須要轉(zhuǎn)化、固定為可以被認(rèn)知的東西。偵查人員在提取電子證據(jù)后,應(yīng)及時(shí)將存有電子證據(jù)的存儲設(shè)備以及扣押、提取的數(shù)據(jù)文件交由專門的技術(shù)部門進(jìn)行固定轉(zhuǎn)化。以幾種常用電子數(shù)據(jù)的轉(zhuǎn)化為例:

      1.文檔、圖片和手機(jī)信息類的固定轉(zhuǎn)化。在控制了涉案對象的電腦、手機(jī)等電子設(shè)備后,通過技術(shù)手段登錄電腦和手機(jī)后,導(dǎo)出相關(guān)的文字及圖案記錄,經(jīng)過偵查人員的分析,挑選出與案件有關(guān)的內(nèi)容截屏打印,隨后交對象確認(rèn)無誤后簽字,證明系對象電腦或手機(jī)中的內(nèi)容。如某檢察院在偵查馬某某涉嫌受賄一案中,偵查部門在提取其手機(jī)后,采取技術(shù)手段并運(yùn)用專業(yè)軟件從馬某某手機(jī)中恢復(fù)了刪除的受賄短信,并到移動(dòng)通信部門調(diào)取行賄方與其的短信記錄,通過轉(zhuǎn)化固定,確保了電子數(shù)據(jù)內(nèi)容的真實(shí)性。

      2.網(wǎng)上交易、銀行類的固定轉(zhuǎn)化。對網(wǎng)上交易信息,除了登陸網(wǎng)上交易系統(tǒng)對有關(guān)內(nèi)容截屏打印,還應(yīng)到提供網(wǎng)上交易的服務(wù)商或銀行取證,確認(rèn)所打印的內(nèi)容與其服務(wù)器上的內(nèi)容一致。

      3.電子郵件的固定轉(zhuǎn)化。在選定與案件相關(guān)的電子郵件后,交由技術(shù)部門統(tǒng)一復(fù)制備份,隨后對備份的電子郵件進(jìn)行截屏打印,經(jīng)對象確認(rèn)為其所提供文件后可作為電子數(shù)據(jù)證據(jù)使用。有必要的,也需要找電子郵件的服務(wù)商出具相關(guān)的證明。

      如郭某某受賄一案。郭某某系湖南某上市公司財(cái)務(wù)總監(jiān)、董事會(huì)秘書、副總裁,其利用職務(wù)便利,共收受兩筆賄賂。一是為某證券公司獲得其所在的上市公司相關(guān)信息提供幫助,事后收受某證券公司副總黃某某賄賂共計(jì)人民幣11萬元。二是郭某某利用負(fù)責(zé)增資擴(kuò)股工作的職務(wù)便利,為溫州某公司在股權(quán)認(rèn)購中獲得2000萬股份額提供幫助,收受溫州某公司賄賂共計(jì)人民幣369萬元。據(jù)郭某某交代,兩筆受賄行為在其與行賄人的電子郵件中有所反映。為提取、固定該證據(jù),檢察機(jī)關(guān)依法調(diào)取了郭某某電子郵箱中的相關(guān)郵件作為證據(jù)使用。該案電子數(shù)據(jù)調(diào)取過程如下:

      調(diào)取人的主體身份:按照取證規(guī)范,由二名以上的的具備相關(guān)專業(yè)知識的偵查和技術(shù)人員實(shí)施調(diào)取,并邀請了一名與案件無關(guān)的公民作見證人。

      調(diào)取數(shù)據(jù)的環(huán)境:在互聯(lián)網(wǎng)的環(huán)境下。

      數(shù)據(jù)存在形式:電子郵箱類。

      調(diào)取證據(jù)的程序:犯罪嫌疑人郭某某在聯(lián)網(wǎng)的電腦上當(dāng)場輸入其郵箱地址及密碼后,由技術(shù)人員在郵箱中將相關(guān)郵件打印,并由偵查員、技術(shù)人員、見證人及犯罪嫌疑人本人簽字確認(rèn)。

      調(diào)取數(shù)據(jù)的存儲方式及存儲介質(zhì)種類:打印電子郵箱中電子郵件的內(nèi)容,并將電子數(shù)據(jù)提取后存儲于保密硬盤中。

      電子數(shù)據(jù)的完整性和真實(shí)性:該證據(jù)系犯罪嫌疑人郭某某主動(dòng)交代,且其郵箱系vip實(shí)名郵箱,郵件的內(nèi)容經(jīng)過其本人辨認(rèn)后準(zhǔn)確完整并簽字確認(rèn)。

      該案還制作了現(xiàn)場勘驗(yàn)、檢查筆錄,提取、固定電子證據(jù)清單,并履行了相關(guān)簽字、證明手續(xù)。

      4.對需要鑒定的電子數(shù)據(jù)的轉(zhuǎn)化。應(yīng)當(dāng)在鑒定前將原始電子數(shù)據(jù)備份后委托有鑒定資質(zhì)的機(jī)構(gòu)進(jìn)行鑒定,并由鑒定機(jī)構(gòu)中具有鑒定資格的鑒定人以鑒定機(jī)構(gòu)名義出具鑒定報(bào)告。

      三、需要注意的問題

      第一,要合法合規(guī)。要嚴(yán)格依照相關(guān)法律的規(guī)定和技術(shù)操作流程,以程序的合法性保障電子數(shù)據(jù)作為證據(jù)的合法性。當(dāng)前,對電子數(shù)據(jù)的提取、固定和鑒定,除了要遵循刑事訴訟法和相關(guān)司法解釋的規(guī)定,還要參照和依據(jù)《人民檢察院電子證據(jù)鑒定程序規(guī)則》、《計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子證據(jù)檢查規(guī)則》、《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》、《電子數(shù)據(jù)司法鑒定操作規(guī)范》、GA/ T976-2012《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》等規(guī)定的程序和要求。

      第二,要全面及時(shí)。注意提取該電子數(shù)據(jù)周邊的設(shè)備和相關(guān)物證。收集證據(jù)必須抓緊進(jìn)行,力求及時(shí)主動(dòng),不要錯(cuò)過任何有利時(shí)機(jī),防止情況發(fā)生變化。如網(wǎng)絡(luò)郵箱具有自動(dòng)刪除郵件的功能,超過一定的時(shí)間、容量之后,早期收件箱、發(fā)件箱里的電子郵件就會(huì)被自動(dòng)刪除。而網(wǎng)絡(luò)服務(wù)提供者保存數(shù)據(jù)亦有一定保留期,超過保留期的數(shù)據(jù)就無法提取到了。在現(xiàn)場搜查時(shí),應(yīng)當(dāng)同時(shí)提取該計(jì)算機(jī)、手機(jī)的外圍硬件。如打印機(jī)、掃描儀、U盤、光盤、移動(dòng)硬盤、存儲卡等。同時(shí)也要提取周邊的非電子數(shù)據(jù)物證,如打印的文字、記錄在紙上的用戶名、密碼等,這些物證都可能對電子數(shù)據(jù)檢驗(yàn)起到重要的輔助作用。

      第三,要無損提取。保管好電子數(shù)據(jù)的原始存儲介質(zhì)和電子設(shè)備。由于電子數(shù)據(jù)的脆弱性,對搜查到的電子數(shù)據(jù)存儲介質(zhì)和電子設(shè)備,要注意防火、防水、防濕、防震、防高溫、防高磁場和防盜,確保電子數(shù)據(jù)的安全。

      鏈接一:

      克?。℅host)方面的小知識

      在電子數(shù)據(jù)的提取和鑒定中,要遵循對存儲有電子數(shù)據(jù)的介質(zhì)進(jìn)行無損提取,即不能對存儲介質(zhì)進(jìn)行任何改變,因此一定要對存儲有電子數(shù)據(jù)的介質(zhì)進(jìn)行“克隆”,即復(fù)制一個(gè)與原來一模一樣的電子數(shù)據(jù)以被檢驗(yàn)和鑒定。

      Q:克隆和拷貝的區(qū)別

      A:克隆指位對位的物理鏡像,拷貝指操作系統(tǒng)能夠管理的數(shù)據(jù)的復(fù)制。通俗的說克隆就是看的見的和看不見的數(shù)據(jù)一起復(fù)制,而拷貝只是復(fù)制看的見的數(shù)據(jù)。

      Q:硬盤有哪幾種

      A:按照接口種類:IDE、SATA、SAS、SCSI(50針,68針,80針)。按照尺寸:臺式機(jī)硬盤(3.5英寸)和筆記本計(jì)算機(jī)的硬盤(2.5英寸)。按照內(nèi)部結(jié)構(gòu)分:機(jī)械硬盤和固態(tài)硬盤(SSD)

      Q:智能手機(jī)常用的系統(tǒng)有哪幾種

      A:iOS(蘋果)、Android(谷歌安卓)、Blackberry(黑莓)、Windowsmobile(微軟)等

      Q:哪些介質(zhì)可以克隆

      A:主要是對硬盤進(jìn)行克隆檢驗(yàn)(手機(jī)SIM卡也可以)。其他的存儲介質(zhì)如U盤、存儲卡等,主要通過只讀接口結(jié)合鏡像制作工具進(jìn)行證據(jù)固定,后期對獲取的檢材鏡像進(jìn)行檢驗(yàn)分析。

      Q:什么數(shù)據(jù)需要校驗(yàn),一定要進(jìn)行校驗(yàn)嗎?

      A1:對所有電子數(shù)據(jù)都應(yīng)校驗(yàn),校驗(yàn)是指電子數(shù)據(jù)所有數(shù)據(jù)位按照特定的算法(非常復(fù)雜的散列函數(shù),有MD5,SHA,CRC等算法)進(jìn)行計(jì)算,得到特定的結(jié)果,該結(jié)果即為校驗(yàn)值(哈希值)。如果該數(shù)據(jù)區(qū)內(nèi)的任何一位數(shù)據(jù)發(fā)生了變化,那么經(jīng)過同樣的算法得到的校驗(yàn)值一定是和原始數(shù)據(jù)的校驗(yàn)值不一樣的,從而表明數(shù)據(jù)發(fā)生了變化。

      A2:數(shù)據(jù)校驗(yàn)的作用:數(shù)據(jù)校驗(yàn)就是比較兩塊數(shù)據(jù)是否是完全一致的。兩塊數(shù)據(jù)只要有一位不同,兩塊數(shù)據(jù)就是有差別的。

      A3:校驗(yàn)的意義:只有被克隆的復(fù)制件和原始證據(jù)的數(shù)據(jù)是完全一致的,檢驗(yàn)和鑒定才是具有證據(jù)價(jià)值。如果數(shù)據(jù)在克隆的過程中發(fā)生了變化,那檢驗(yàn)的結(jié)果自然也就是有差別的的。

      Q:這么多校驗(yàn)算法該如何選擇?

      A:常見的校驗(yàn)算法有CRC、MD5和SHA。它們之間的區(qū)別從本質(zhì)上講是采用了完全不同的算法,同時(shí)校驗(yàn)值的位數(shù)也不相同,CRC是32位,MD5是128位,SHA是256位。可靠性、安全性的級別CRC最低,MD5居中,SHA最高。但是,校驗(yàn)級別的提高是要以耗時(shí)增加為代價(jià)的,越高級別的校驗(yàn),運(yùn)算量越大,耗時(shí)就越長。

      鏈接二:

      電腦中電子數(shù)據(jù)的現(xiàn)場勘查操作細(xì)則

      (一)關(guān)機(jī)狀態(tài)下的電子證據(jù)固定

      方法一,通過使用免拆機(jī)克隆工具,進(jìn)行目標(biāo)計(jì)算機(jī)硬盤的整個(gè)物理磁盤或邏輯磁盤的克隆鏡像制作,要求采用E01、DD等符合司法取證規(guī)范的鏡像格式,同時(shí)需要對鏡像計(jì)算哈希(hash)值。記錄信息包括操作人、操作時(shí)間、操作地點(diǎn)、檢材電腦狀況描述(品牌、型號、序列號、硬盤大小、硬盤序列號)。

      方法二,將目標(biāo)計(jì)算機(jī)硬盤拆下后使用符合司法取證要求的硬盤克隆機(jī)進(jìn)行目標(biāo)硬盤的克隆,要求保存為E01、DD等符合司法取證規(guī)范的鏡像,計(jì)算檢材鏡像的哈希值,同時(shí)克隆機(jī)應(yīng)保存檢材克隆的日志信息:包括操作人、操作時(shí)間、操作地點(diǎn)、目標(biāo)硬盤型號和序列號。

      方法三,通過使用取證U盤或光盤啟動(dòng)目標(biāo)計(jì)算機(jī),并對進(jìn)行指定數(shù)據(jù)文件獲取,主要用于現(xiàn)場檢材無法提取或證據(jù)固定時(shí)間較短的情況。

      (二)開機(jī)狀態(tài)下的電子證據(jù)固定

      方法一,將取證光盤插入光驅(qū),在開機(jī)狀態(tài)下進(jìn)行目標(biāo)計(jì)算機(jī)硬盤的克隆鏡像制作,要求采用E01、DD等符合司法取證規(guī)范的鏡像格式,同時(shí)計(jì)算鏡像哈希值、記錄操作人、操作時(shí)間、操作地點(diǎn)等信息。取證光盤要求含有能實(shí)現(xiàn)上述功能的取證工具

      方法二,將取證U盤插入目標(biāo)計(jì)算機(jī)USB接口,取證方法同方法一,但需要額外記錄取證優(yōu)盤序列號信息。

      方法三,通過使用光盤或U盤上的取證工具在開機(jī)下進(jìn)行指定數(shù)據(jù)獲取,根據(jù)案情不同,獲取文件類型要注意側(cè)重點(diǎn),如文檔文件、圖片文件、注冊表文件等。

      注意事項(xiàng):在開機(jī)狀態(tài)下進(jìn)行電子證據(jù)固定,需注意內(nèi)存數(shù)據(jù)的獲取以及檢驗(yàn)前的屏幕截屏。

      鏈接三:

      手機(jī)中電子數(shù)據(jù)的現(xiàn)場勘查操作細(xì)則

      1.進(jìn)行手機(jī)類檢材扣押或提取時(shí),建議先將手機(jī)切換到飛行模式,如不能切換飛行模式則需要使用屏蔽設(shè)備。

      2.進(jìn)行手機(jī)相關(guān)狀態(tài)的記錄和拍照,主要包括如下幾部分:

      【常規(guī)信息】:手機(jī)品牌、型號、IMEI號碼、電池電量、手機(jī)正反外觀。

      【關(guān)于密碼】是否有鎖屏密碼,如知道密碼建議取消密碼,并做相關(guān)記錄;如不知道密碼則不建議輕易嘗試解鎖,尤其是智能手機(jī)。如嘗試輸入密碼出現(xiàn)密碼錯(cuò)誤的提示,需記錄嘗試的次數(shù)(避免輸錯(cuò)次數(shù)過多導(dǎo)致手機(jī)鎖定,蘋果手機(jī)最多嘗試不能超過9次)。

      3.盡量避免在手機(jī)上直接翻看短信、通話記錄和電話簿等信息數(shù)據(jù),避免誤操作刪除相關(guān)數(shù)據(jù)。

      4.如案情需要在現(xiàn)場查看手機(jī)中信息的,或需要進(jìn)行相關(guān)數(shù)據(jù)查看的,需使用符合手機(jī)取證規(guī)范的檢驗(yàn)工具設(shè)備對其進(jìn)行數(shù)據(jù)提取,提取時(shí)首先對手機(jī)機(jī)身進(jìn)行數(shù)據(jù)提取,提取順序遵循先邏輯再物理的方式,其次在對手機(jī)SIM卡進(jìn)行提取,提取過程需保留相關(guān)日志信息。

      5.如現(xiàn)場進(jìn)行檢材固定并移交檢驗(yàn)鑒定部門進(jìn)行檢驗(yàn)分析的,在移交過程中需使用屏蔽袋進(jìn)行封存,在送檢時(shí)需要一同提交相關(guān)記錄信息,包括但不限于:

      【案件相關(guān)信息】:檢材提取人(單位)、提取時(shí)間、提取地點(diǎn)、送檢人員。

      【檢材相關(guān)信息】:檢材品牌、型號、手機(jī)提取時(shí)狀態(tài)(是否有密碼)、正反面照片、手機(jī)號碼(如有)。

      【檢材封存及使用記錄】:檢材從扣押之時(shí)起到送檢過程中,如對檢材手機(jī)進(jìn)行的啟封和查驗(yàn),都需要進(jìn)行記錄,如使用XX方法對檢材進(jìn)行了XX操作得到了XX結(jié)果。

      【案情簡述】:由于不同的案情對于手機(jī)檢驗(yàn)的關(guān)注點(diǎn)會(huì)有所不同,所以送檢人員盡量詳細(xì)描述案情以及檢驗(yàn)要求。

      6.如需對檢材手機(jī)進(jìn)行傳統(tǒng)證據(jù)固定的,如手印、DNA檢材等,在手機(jī)確保屏蔽的狀態(tài)下先進(jìn)行提取固定后在進(jìn)行電子證據(jù)的提取和檢驗(yàn)分析。

      猜你喜歡
      檢材校驗(yàn)克隆
      克隆狼
      浙江:誕生首批體細(xì)胞克隆豬
      爐溫均勻性校驗(yàn)在鑄鍛企業(yè)的應(yīng)用
      疑難生物檢材DNA的檢驗(yàn)探究
      抗BP5-KLH多克隆抗體的制備及鑒定
      微量接觸類生物檢材的游離DNA問題分析
      直接擴(kuò)增法提取脫落細(xì)胞DNA
      大型電動(dòng)機(jī)高阻抗差動(dòng)保護(hù)穩(wěn)定校驗(yàn)研究
      電測與儀表(2015年1期)2015-04-09 12:03:02
      基于加窗插值FFT的PMU校驗(yàn)方法
      鍋爐安全閥在線校驗(yàn)不確定度評定
      峡江县| 庆云县| 乌兰察布市| 色达县| 九寨沟县| 皋兰县| 河津市| 静安区| 昆山市| 龙泉市| 望江县| 嫩江县| 拜泉县| 临泉县| 萍乡市| 招远市| 汕尾市| 咸阳市| 仲巴县| 龙陵县| 高要市| 名山县| 麻城市| 溆浦县| 柳州市| 清涧县| 商河县| 北安市| 揭阳市| 新密市| 商都县| 灌云县| 勃利县| 宁南县| 馆陶县| 长岭县| 孙吴县| 崇文区| 临西县| 吕梁市| 股票|