職務(wù)犯罪偵查中電子數(shù)據(jù)的收集、固定和使用

職務(wù)犯罪偵查中電子數(shù)據(jù)的收集、固定和使用

【本期主講】

匡凌，現(xiàn)任湖南省長沙市人民檢察院檢察員、法律政策研究室副主任、長沙市檢察學(xué)會(huì)副秘書長。1994年至2007年在湖北省石首市人民法院工作，歷任審判員、副庭長、研究室主任；2007年選調(diào)至湖南省長沙市人民檢察院工作。主要研究方向?yàn)樽C據(jù)法、網(wǎng)絡(luò)法。著作：《證據(jù)失權(quán)制度質(zhì)疑》、《非法證據(jù)排除規(guī)則在公訴環(huán)節(jié)的準(zhǔn)確適用》等;與人合著、編著有《中華人民共和國婚姻法釋義與適用》、《道路交通維權(quán)妙計(jì)》、《企業(yè)電子商務(wù)中的法律風(fēng)險(xiǎn)及防范》等書。

核心提示：電子數(shù)據(jù)作為一種新的證據(jù)類型，在刑事訴訟中日益顯現(xiàn)出其作為證據(jù)打擊犯罪的重要作用。職務(wù)犯罪偵查中如何收集、固定和使用電子數(shù)據(jù)，是每一個(gè)檢察機(jī)關(guān)偵查人員值得關(guān)注的問題。本文從職務(wù)犯罪偵查實(shí)戰(zhàn)出發(fā)，探討電子數(shù)據(jù)的定義、類型、適用的法律以及如何收集、固定和使用電子數(shù)據(jù)，以期對檢察機(jī)關(guān)偵查人員辦理涉及電子數(shù)據(jù)類型的案件有所裨益。

20 12年修改的《中華人民共和國刑事訴訟法》第48條將電子數(shù)據(jù)列為一種新的證據(jù)種類。如何在職務(wù)犯罪偵查環(huán)節(jié)獲取和運(yùn)用好電子數(shù)據(jù)，準(zhǔn)確、有效地查辦職務(wù)犯罪，是當(dāng)前檢察機(jī)關(guān)職務(wù)犯罪偵查部門和偵查人員面臨的新任務(wù)和亟待解決的新問題。

一、電子數(shù)據(jù)的概念及分類

何為電子數(shù)據(jù)？《人民檢察院電子證據(jù)鑒定程序規(guī)則》所稱的電子證據(jù)是指電子信息技術(shù)應(yīng)用而出現(xiàn)的各種能夠證明案件真實(shí)情況的材料及派生物?！豆矙C(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》所稱的電子數(shù)據(jù)是指以數(shù)字化形式存儲、處理、傳輸?shù)臄?shù)據(jù)?！队?jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子證據(jù)檢查規(guī)則》所稱的電子證據(jù)包括電子數(shù)據(jù)、存儲媒介和電子設(shè)備?！峨娮訑?shù)據(jù)司法鑒定操作規(guī)范》所稱的電子數(shù)據(jù)指基于計(jì)算機(jī)應(yīng)用和通信等電子技術(shù)手段形成的客觀資料，用以表示文字、圖形符號、數(shù)字、字母等信息，包括以電子形式存儲或傳輸?shù)撵o態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。

電子數(shù)據(jù)表現(xiàn)為電子形式的各種數(shù)據(jù)，它無法被人直接感知，必須要通過固定轉(zhuǎn)化才能具體運(yùn)用。當(dāng)它轉(zhuǎn)化為文字和視聽性的資料的時(shí)候，就容易與書證、視聽資料混淆。電子數(shù)據(jù)只能存儲在相關(guān)媒介和電子設(shè)備之中，電子數(shù)據(jù)是否包括存儲的媒介和電子設(shè)備呢？筆者認(rèn)為，從電子數(shù)據(jù)轉(zhuǎn)化的書證，只能作為電子數(shù)據(jù)證據(jù)使用。而與視聽資料相比，電子數(shù)據(jù)的范圍更大，視聽資料只是電子數(shù)據(jù)的一部分，即電子數(shù)據(jù)包含視聽資料。由于修改后的刑事訴訟法將視聽資料與電子數(shù)據(jù)一起列為一個(gè)證據(jù)種類，因此，法律規(guī)定的電子數(shù)據(jù)，應(yīng)該是指除視聽資料外的其他電子數(shù)據(jù)。電子數(shù)據(jù)雖然只能存儲在相關(guān)媒介和電子設(shè)備之中，但不應(yīng)包括存儲的媒介和電子設(shè)備，存儲的媒介和電子設(shè)備如果符合物證的特征，在刑事訴訟中應(yīng)作為物證使用。

綜上，電子數(shù)據(jù)應(yīng)專指電子化技術(shù)手段形成的客觀數(shù)據(jù)資料。

通過梳理近年來涉及電子數(shù)據(jù)方面的形態(tài)，大概有如下幾種表現(xiàn)形式：一是文檔數(shù)據(jù)和程序類；二是圖片類；三是聊天語音視頻類；四是網(wǎng)上交易、支付類；五是網(wǎng)站、電子郵箱類；六是手機(jī)信息類。隨著網(wǎng)絡(luò)、手機(jī)上各類軟件功能越來越強(qiáng)大，電子數(shù)據(jù)的分類逐步有交叉、融合之勢。

二、電子數(shù)據(jù)在偵查中的收集、固定和使用

隨著信息化的發(fā)展和智能手機(jī)的普及，收集、固定和使用電子數(shù)據(jù)成為職務(wù)犯罪偵查人員必須掌握的辦案手段。電子數(shù)據(jù)作為證據(jù)的一種類型，應(yīng)該遵循證據(jù)收集、審查、判斷中的一般規(guī)則，要符合證據(jù)的合法性、真實(shí)性、關(guān)聯(lián)性。但由于電子數(shù)據(jù)必須存在于一定的載體中，具有數(shù)據(jù)的海量性、高速流轉(zhuǎn)性、自動(dòng)生成性和脆弱性，偵查人員在收集、固定和使用電子數(shù)據(jù)時(shí)應(yīng)特別注意電子證據(jù)取證的程序規(guī)范化、過程的標(biāo)準(zhǔn)化和工具專業(yè)化等因素。從某些方面來說，電子數(shù)據(jù)取證程序是否合法往往比電子數(shù)據(jù)的內(nèi)容真實(shí)性顯得更為重要。

（一）根據(jù)案情確定取證方案

1．了解犯罪嫌疑人的作案手段。在辦案中要根據(jù)案情了解犯罪嫌疑人的犯罪手段，初步判斷電子數(shù)據(jù)的存放方式、地點(diǎn)，然后準(zhǔn)備相應(yīng)的人員和軟硬件，全面獲取相關(guān)電子數(shù)據(jù)證據(jù)。

2．注重現(xiàn)場保護(hù)。到達(dá)現(xiàn)場后，首先，應(yīng)立即阻止嫌疑人使用計(jì)算機(jī)，需切斷計(jì)算機(jī)網(wǎng)絡(luò)連接（拔除網(wǎng)線或者關(guān)閉無線網(wǎng)卡），防止計(jì)算機(jī)被遠(yuǎn)程控制導(dǎo)致檢材損壞。其次，要觀察電腦狀態(tài)，察看是否有破壞性程序在運(yùn)行，如刪除操作、磁盤整理、運(yùn)行殺毒程序等，如有則立即切斷電源；筆記本可通過移除電池達(dá)到切斷電源目的。再次，對現(xiàn)場拍照并描繪現(xiàn)場草圖，需要對計(jì)算機(jī)接線狀態(tài)、連接外設(shè)進(jìn)行拍照和記錄，有條件的應(yīng)全程攝像。

3．做好人員和器材上的準(zhǔn)備。根據(jù)最高人民法院、最高人民檢察院、公安部《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問題的意見》第5條規(guī)定，收集、提取電子數(shù)據(jù)，應(yīng)當(dāng)由兩名以上具備相關(guān)專業(yè)知識的偵查人員進(jìn)行。同時(shí)，還應(yīng)當(dāng)邀請與案件無關(guān)的公民作為見證人。提取器材和工具一般應(yīng)包括硬件和軟件。常用的硬件：現(xiàn)場勘查箱、筆記本電腦、移動(dòng)硬盤、硬盤克隆機(jī)、取證U盤（或光盤）、空白刻錄光盤；軟件：OFFICE系統(tǒng)，圖片查看軟件，手機(jī)信息備份、查看、提取軟件等。

如，某檢察院偵查的中國電信李某等人受賄系列案。該案涉案人員內(nèi)外勾結(jié)，通過網(wǎng)絡(luò)和信息聯(lián)系，利用相關(guān)技術(shù)占用電信部門的資源，以低于公司定價(jià)的價(jià)格私攬短信群發(fā)業(yè)務(wù)，收取回扣。破案后為中國電信集團(tuán)挽回直接經(jīng)濟(jì)損失3000余萬元，追繳犯罪所得200余萬元。該案電子數(shù)據(jù)方面主要涉及兩大系統(tǒng)：一是超級信使系統(tǒng)，通過這個(gè)系統(tǒng)發(fā)送短信；二是支付寶系統(tǒng)，通過支付寶收、付款。他們還利用騰訊QQ，作案分工、共同分贓。該檢察院在當(dāng)?shù)毓膊块T的配合下，施行三地布控，統(tǒng)一指揮，同時(shí)抓捕，將李某等四名主要犯罪嫌疑人抓獲，并同時(shí)對四人的辦公場所、住所依法進(jìn)行搜查，扣押了電腦等涉案物品，有效提取了電子數(shù)據(jù)，確保證據(jù)不遭到人為的破壞、滅失。

（二）電子數(shù)據(jù)的勘驗(yàn)檢查

電子數(shù)據(jù)的勘驗(yàn)檢查主要包括現(xiàn)場勘驗(yàn)檢查、遠(yuǎn)程勘驗(yàn)檢查。

現(xiàn)場勘驗(yàn)檢查中對存儲有電子數(shù)據(jù)的原始存儲介質(zhì)和電子設(shè)備進(jìn)行扣押的，應(yīng)當(dāng)開具扣押清單，制作扣押筆錄?？垩汗P錄一般應(yīng)包括扣押的時(shí)間、地點(diǎn)、扣押人的姓名和單位、扣押物品持有人身份、扣押對象、扣押的目的、扣押原始存儲介質(zhì)和電子設(shè)備的數(shù)量和特征等，對扣押的原始存在介質(zhì)和電子設(shè)備的來源，存儲的電子數(shù)據(jù)有無修改、刪除、增加以及備份情況都應(yīng)予以注明。

在遠(yuǎn)程勘驗(yàn)檢查時(shí)，要向操作人員詳細(xì)了解數(shù)據(jù)產(chǎn)生的過程，查看產(chǎn)生數(shù)據(jù)的應(yīng)用軟件，了解數(shù)據(jù)格式，根據(jù)不同情況，向操作人員提出要求，從應(yīng)用系統(tǒng)中檢索出符合要求的數(shù)據(jù)，并制作遠(yuǎn)程勘驗(yàn)筆錄和提取電子數(shù)據(jù)筆錄。需要注意的是：一是對簡單的數(shù)據(jù)可以直接拍照或打印到紙上固定；二是對復(fù)雜的數(shù)據(jù)必須用一次性寫入光盤的形式保存，方便統(tǒng)計(jì)、匯總和展示，光盤數(shù)據(jù)應(yīng)計(jì)算其完整性校驗(yàn)值（MD5），在筆錄中予以體現(xiàn)。三是有些通過軟件查詢精準(zhǔn)獲取的電子證據(jù)可以轉(zhuǎn)換為方便查看的方式。

對無法扣押的原始存儲介質(zhì)和電子設(shè)備應(yīng)當(dāng)交由有關(guān)部門保管，偵查人員應(yīng)采用足以反映電子數(shù)據(jù)內(nèi)容的視頻、照片以及其他轉(zhuǎn)化方式對電子數(shù)據(jù)予以固定。

（三）電子數(shù)據(jù)提取的規(guī)則

要用科學(xué)的、符合刑事訴訟規(guī)則的方法提取，才能在訴訟中作為證據(jù)使用。提取的時(shí)候一般要達(dá)到“三化”的要求。

1．程序規(guī)范化。提取任何電子數(shù)據(jù)要以庭審證據(jù)的標(biāo)準(zhǔn)和要求來慎重對待，要符合相關(guān)的操作規(guī)范。以常用的電子數(shù)據(jù)載體電腦和手機(jī)為例：在現(xiàn)場搜查時(shí)，如果電腦處于開機(jī)狀態(tài)，應(yīng)使用取證工具進(jìn)行現(xiàn)場保存數(shù)據(jù)。如果無法現(xiàn)場取證的，應(yīng)當(dāng)直接拔掉電源，這樣可以防止丟失易失性數(shù)據(jù)，確保電腦中臨時(shí)文件和內(nèi)存中數(shù)據(jù)的完整性。對手機(jī)的電子數(shù)據(jù)取證，如果是開機(jī)狀態(tài)，應(yīng)將手機(jī)放入屏蔽袋（箱）或屏蔽室中，以攝像方式記錄調(diào)閱手機(jī)中的短信、彩信、聯(lián)系人記錄、電話簿、錄音、錄像、照片、即時(shí)聊天信息、電子郵件等內(nèi)容；或者將其接入取證工具，獲取手機(jī)中的信息，恢復(fù)手機(jī)中刪除的信息。對處于關(guān)機(jī)狀態(tài)的手機(jī)進(jìn)行的取證：首先，是對手機(jī)身份卡（目前有SIM卡、USIM卡和RUIM卡三種類型）和存儲卡的取證，還要查看機(jī)身上的標(biāo)識獲得機(jī)身碼（IMEI或ESN）；隨后，在屏蔽室中按照開機(jī)取證的程序獲取手機(jī)中的電子數(shù)據(jù)。

2．過程的標(biāo)準(zhǔn)化。要符合相關(guān)技術(shù)規(guī)范要求，收集、提取電子數(shù)據(jù)應(yīng)當(dāng)制作筆錄，記錄案由、對象、內(nèi)容，收集、提取電子數(shù)據(jù)的時(shí)間、地點(diǎn)、方法、過程，電子數(shù)據(jù)的清單、規(guī)格、類別、文件格式、完整性校驗(yàn)值等，并由收集、提取電子數(shù)據(jù)的偵查人員以及電子數(shù)據(jù)持有人、見證人簽名。在遠(yuǎn)程提取電子數(shù)據(jù)時(shí)，特別要注意操作人員的級別和權(quán)限問題。操作人員的級別和權(quán)限不同，提取的數(shù)據(jù)就不相同。如提取銀行賬號信息、手機(jī)通訊信息等，要特別予以注意，并在提取筆錄中注明操作人的權(quán)限。

3．工具專業(yè)化。當(dāng)今電腦、手機(jī)技術(shù)一日千里，對檢察技術(shù)的要求日益提高，必須要加強(qiáng)與檢察技術(shù)部門的配合力度，只有技術(shù)力量和工具軟件保持先進(jìn)性，才能確保提取電子數(shù)據(jù)的真實(shí)、有效。當(dāng)前，一般的工具對該系統(tǒng)電子數(shù)據(jù)提取還無法做到100%完整，因此，對此類手機(jī)數(shù)據(jù)的提取應(yīng)保持慎重，不斷更新相關(guān)軟件，力求做到無損提取的電子數(shù)據(jù)。

如某檢察院在查處陳某某涉嫌行賄犯罪一案時(shí)，該行賄人是娛樂城的負(fù)責(zé)人，其負(fù)責(zé)財(cái)務(wù)工作的筆記本電腦使用量很大，且對檢察機(jī)關(guān)偵查行為有所察覺，已經(jīng)采取了相應(yīng)的防范措施。為防止涉及行賄的電子數(shù)據(jù)被完全破壞，檢察機(jī)關(guān)依照技術(shù)規(guī)范程序，及時(shí)查封該筆記本電腦，之后，技術(shù)人員按照技術(shù)規(guī)范，無損備份筆記本電腦上的數(shù)據(jù)，對備份的數(shù)據(jù)采用數(shù)據(jù)恢復(fù)工具軟件WinHex對已刪除資料進(jìn)行了數(shù)據(jù)恢復(fù)。共恢復(fù)出各類文檔、表格、幻燈片共計(jì)282個(gè)；其中可以直接打開利用的文件260個(gè)，加密文件22個(gè)（通過解密軟件Passware Kit enterprise軟件對22個(gè)文件全部進(jìn)行了解密）。技術(shù)人員對以上恢復(fù)出的所有282個(gè)文件以及解密的22個(gè)文件已刻錄成光盤進(jìn)行保存。通過分析搜索這些恢復(fù)的電子數(shù)據(jù)，發(fā)現(xiàn)了犯罪嫌疑人行賄的證據(jù)。

（四）電子數(shù)據(jù)的轉(zhuǎn)化和使用

對于傳統(tǒng)的書證與物證來說，電子數(shù)據(jù)證據(jù)表現(xiàn)為電子形式的各種數(shù)據(jù)，它無法被人直接感知。要作為證據(jù)使用，電子數(shù)據(jù)必須要轉(zhuǎn)化、固定為可以被認(rèn)知的東西。偵查人員在提取電子證據(jù)后，應(yīng)及時(shí)將存有電子證據(jù)的存儲設(shè)備以及扣押、提取的數(shù)據(jù)文件交由專門的技術(shù)部門進(jìn)行固定轉(zhuǎn)化。以幾種常用電子數(shù)據(jù)的轉(zhuǎn)化為例：

1.文檔、圖片和手機(jī)信息類的固定轉(zhuǎn)化。在控制了涉案對象的電腦、手機(jī)等電子設(shè)備后，通過技術(shù)手段登錄電腦和手機(jī)后，導(dǎo)出相關(guān)的文字及圖案記錄，經(jīng)過偵查人員的分析，挑選出與案件有關(guān)的內(nèi)容截屏打印，隨后交對象確認(rèn)無誤后簽字，證明系對象電腦或手機(jī)中的內(nèi)容。如某檢察院在偵查馬某某涉嫌受賄一案中，偵查部門在提取其手機(jī)后，采取技術(shù)手段并運(yùn)用專業(yè)軟件從馬某某手機(jī)中恢復(fù)了刪除的受賄短信，并到移動(dòng)通信部門調(diào)取行賄方與其的短信記錄，通過轉(zhuǎn)化固定，確保了電子數(shù)據(jù)內(nèi)容的真實(shí)性。

2．網(wǎng)上交易、銀行類的固定轉(zhuǎn)化。對網(wǎng)上交易信息，除了登陸網(wǎng)上交易系統(tǒng)對有關(guān)內(nèi)容截屏打印，還應(yīng)到提供網(wǎng)上交易的服務(wù)商或銀行取證，確認(rèn)所打印的內(nèi)容與其服務(wù)器上的內(nèi)容一致。

3．電子郵件的固定轉(zhuǎn)化。在選定與案件相關(guān)的電子郵件后，交由技術(shù)部門統(tǒng)一復(fù)制備份，隨后對備份的電子郵件進(jìn)行截屏打印，經(jīng)對象確認(rèn)為其所提供文件后可作為電子數(shù)據(jù)證據(jù)使用。有必要的，也需要找電子郵件的服務(wù)商出具相關(guān)的證明。

如郭某某受賄一案。郭某某系湖南某上市公司財(cái)務(wù)總監(jiān)、董事會(huì)秘書、副總裁，其利用職務(wù)便利，共收受兩筆賄賂。一是為某證券公司獲得其所在的上市公司相關(guān)信息提供幫助，事后收受某證券公司副總黃某某賄賂共計(jì)人民幣11萬元。二是郭某某利用負(fù)責(zé)增資擴(kuò)股工作的職務(wù)便利，為溫州某公司在股權(quán)認(rèn)購中獲得2000萬股份額提供幫助，收受溫州某公司賄賂共計(jì)人民幣369萬元。據(jù)郭某某交代，兩筆受賄行為在其與行賄人的電子郵件中有所反映。為提取、固定該證據(jù)，檢察機(jī)關(guān)依法調(diào)取了郭某某電子郵箱中的相關(guān)郵件作為證據(jù)使用。該案電子數(shù)據(jù)調(diào)取過程如下：

調(diào)取人的主體身份：按照取證規(guī)范，由二名以上的的具備相關(guān)專業(yè)知識的偵查和技術(shù)人員實(shí)施調(diào)取，并邀請了一名與案件無關(guān)的公民作見證人。

調(diào)取數(shù)據(jù)的環(huán)境：在互聯(lián)網(wǎng)的環(huán)境下。

數(shù)據(jù)存在形式：電子郵箱類。

調(diào)取證據(jù)的程序：犯罪嫌疑人郭某某在聯(lián)網(wǎng)的電腦上當(dāng)場輸入其郵箱地址及密碼后，由技術(shù)人員在郵箱中將相關(guān)郵件打印，并由偵查員、技術(shù)人員、見證人及犯罪嫌疑人本人簽字確認(rèn)。

調(diào)取數(shù)據(jù)的存儲方式及存儲介質(zhì)種類：打印電子郵箱中電子郵件的內(nèi)容，并將電子數(shù)據(jù)提取后存儲于保密硬盤中。

電子數(shù)據(jù)的完整性和真實(shí)性：該證據(jù)系犯罪嫌疑人郭某某主動(dòng)交代，且其郵箱系vip實(shí)名郵箱，郵件的內(nèi)容經(jīng)過其本人辨認(rèn)后準(zhǔn)確完整并簽字確認(rèn)。

該案還制作了現(xiàn)場勘驗(yàn)、檢查筆錄，提取、固定電子證據(jù)清單，并履行了相關(guān)簽字、證明手續(xù)。

4．對需要鑒定的電子數(shù)據(jù)的轉(zhuǎn)化。應(yīng)當(dāng)在鑒定前將原始電子數(shù)據(jù)備份后委托有鑒定資質(zhì)的機(jī)構(gòu)進(jìn)行鑒定，并由鑒定機(jī)構(gòu)中具有鑒定資格的鑒定人以鑒定機(jī)構(gòu)名義出具鑒定報(bào)告。

三、需要注意的問題

第一，要合法合規(guī)。要嚴(yán)格依照相關(guān)法律的規(guī)定和技術(shù)操作流程，以程序的合法性保障電子數(shù)據(jù)作為證據(jù)的合法性。當(dāng)前，對電子數(shù)據(jù)的提取、固定和鑒定，除了要遵循刑事訴訟法和相關(guān)司法解釋的規(guī)定，還要參照和依據(jù)《人民檢察院電子證據(jù)鑒定程序規(guī)則》、《計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子證據(jù)檢查規(guī)則》、《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》、《電子數(shù)據(jù)司法鑒定操作規(guī)范》、GA/ T976-2012《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》等規(guī)定的程序和要求。

第二，要全面及時(shí)。注意提取該電子數(shù)據(jù)周邊的設(shè)備和相關(guān)物證。收集證據(jù)必須抓緊進(jìn)行，力求及時(shí)主動(dòng)，不要錯(cuò)過任何有利時(shí)機(jī)，防止情況發(fā)生變化。如網(wǎng)絡(luò)郵箱具有自動(dòng)刪除郵件的功能，超過一定的時(shí)間、容量之后，早期收件箱、發(fā)件箱里的電子郵件就會(huì)被自動(dòng)刪除。而網(wǎng)絡(luò)服務(wù)提供者保存數(shù)據(jù)亦有一定保留期，超過保留期的數(shù)據(jù)就無法提取到了。在現(xiàn)場搜查時(shí)，應(yīng)當(dāng)同時(shí)提取該計(jì)算機(jī)、手機(jī)的外圍硬件。如打印機(jī)、掃描儀、U盤、光盤、移動(dòng)硬盤、存儲卡等。同時(shí)也要提取周邊的非電子數(shù)據(jù)物證，如打印的文字、記錄在紙上的用戶名、密碼等，這些物證都可能對電子數(shù)據(jù)檢驗(yàn)起到重要的輔助作用。

第三，要無損提取。保管好電子數(shù)據(jù)的原始存儲介質(zhì)和電子設(shè)備。由于電子數(shù)據(jù)的脆弱性，對搜查到的電子數(shù)據(jù)存儲介質(zhì)和電子設(shè)備，要注意防火、防水、防濕、防震、防高溫、防高磁場和防盜，確保電子數(shù)據(jù)的安全。

鏈接一：

克?。℅host）方面的小知識

在電子數(shù)據(jù)的提取和鑒定中，要遵循對存儲有電子數(shù)據(jù)的介質(zhì)進(jìn)行無損提取，即不能對存儲介質(zhì)進(jìn)行任何改變，因此一定要對存儲有電子數(shù)據(jù)的介質(zhì)進(jìn)行“克隆”，即復(fù)制一個(gè)與原來一模一樣的電子數(shù)據(jù)以被檢驗(yàn)和鑒定。

Q:克隆和拷貝的區(qū)別

A:克隆指位對位的物理鏡像，拷貝指操作系統(tǒng)能夠管理的數(shù)據(jù)的復(fù)制。通俗的說克隆就是看的見的和看不見的數(shù)據(jù)一起復(fù)制，而拷貝只是復(fù)制看的見的數(shù)據(jù)。

Q:硬盤有哪幾種

A：按照接口種類：IDE、SATA、SAS、SCSI（50針，68針，80針）。按照尺寸：臺式機(jī)硬盤（3.5英寸）和筆記本計(jì)算機(jī)的硬盤（2.5英寸）。按照內(nèi)部結(jié)構(gòu)分：機(jī)械硬盤和固態(tài)硬盤（SSD）

Q:智能手機(jī)常用的系統(tǒng)有哪幾種

A:iOS（蘋果）、Android（谷歌安卓）、Blackberry（黑莓）、Windowsmobile（微軟）等

Q：哪些介質(zhì)可以克隆

A：主要是對硬盤進(jìn)行克隆檢驗(yàn)（手機(jī)SIM卡也可以）。其他的存儲介質(zhì)如U盤、存儲卡等，主要通過只讀接口結(jié)合鏡像制作工具進(jìn)行證據(jù)固定，后期對獲取的檢材鏡像進(jìn)行檢驗(yàn)分析。

Q：什么數(shù)據(jù)需要校驗(yàn)，一定要進(jìn)行校驗(yàn)嗎？

A1:對所有電子數(shù)據(jù)都應(yīng)校驗(yàn)，校驗(yàn)是指電子數(shù)據(jù)所有數(shù)據(jù)位按照特定的算法（非常復(fù)雜的散列函數(shù)，有MD5，SHA，CRC等算法）進(jìn)行計(jì)算，得到特定的結(jié)果，該結(jié)果即為校驗(yàn)值（哈希值）。如果該數(shù)據(jù)區(qū)內(nèi)的任何一位數(shù)據(jù)發(fā)生了變化，那么經(jīng)過同樣的算法得到的校驗(yàn)值一定是和原始數(shù)據(jù)的校驗(yàn)值不一樣的，從而表明數(shù)據(jù)發(fā)生了變化。

A2:數(shù)據(jù)校驗(yàn)的作用：數(shù)據(jù)校驗(yàn)就是比較兩塊數(shù)據(jù)是否是完全一致的。兩塊數(shù)據(jù)只要有一位不同，兩塊數(shù)據(jù)就是有差別的。

A3:校驗(yàn)的意義：只有被克隆的復(fù)制件和原始證據(jù)的數(shù)據(jù)是完全一致的，檢驗(yàn)和鑒定才是具有證據(jù)價(jià)值。如果數(shù)據(jù)在克隆的過程中發(fā)生了變化，那檢驗(yàn)的結(jié)果自然也就是有差別的的。

Q:這么多校驗(yàn)算法該如何選擇？

A:常見的校驗(yàn)算法有CRC、MD5和SHA。它們之間的區(qū)別從本質(zhì)上講是采用了完全不同的算法，同時(shí)校驗(yàn)值的位數(shù)也不相同，CRC是32位，MD5是128位，SHA是256位。可靠性、安全性的級別CRC最低，MD5居中，SHA最高。但是，校驗(yàn)級別的提高是要以耗時(shí)增加為代價(jià)的，越高級別的校驗(yàn)，運(yùn)算量越大，耗時(shí)就越長。

鏈接二：

電腦中電子數(shù)據(jù)的現(xiàn)場勘查操作細(xì)則

（一）關(guān)機(jī)狀態(tài)下的電子證據(jù)固定

方法一，通過使用免拆機(jī)克隆工具，進(jìn)行目標(biāo)計(jì)算機(jī)硬盤的整個(gè)物理磁盤或邏輯磁盤的克隆鏡像制作，要求采用E01、DD等符合司法取證規(guī)范的鏡像格式，同時(shí)需要對鏡像計(jì)算哈希（hash）值。記錄信息包括操作人、操作時(shí)間、操作地點(diǎn)、檢材電腦狀況描述（品牌、型號、序列號、硬盤大小、硬盤序列號）。

方法二，將目標(biāo)計(jì)算機(jī)硬盤拆下后使用符合司法取證要求的硬盤克隆機(jī)進(jìn)行目標(biāo)硬盤的克隆，要求保存為E01、DD等符合司法取證規(guī)范的鏡像，計(jì)算檢材鏡像的哈希值，同時(shí)克隆機(jī)應(yīng)保存檢材克隆的日志信息：包括操作人、操作時(shí)間、操作地點(diǎn)、目標(biāo)硬盤型號和序列號。

方法三，通過使用取證U盤或光盤啟動(dòng)目標(biāo)計(jì)算機(jī)，并對進(jìn)行指定數(shù)據(jù)文件獲取，主要用于現(xiàn)場檢材無法提取或證據(jù)固定時(shí)間較短的情況。

（二）開機(jī)狀態(tài)下的電子證據(jù)固定

方法一，將取證光盤插入光驅(qū)，在開機(jī)狀態(tài)下進(jìn)行目標(biāo)計(jì)算機(jī)硬盤的克隆鏡像制作，要求采用E01、DD等符合司法取證規(guī)范的鏡像格式，同時(shí)計(jì)算鏡像哈希值、記錄操作人、操作時(shí)間、操作地點(diǎn)等信息。取證光盤要求含有能實(shí)現(xiàn)上述功能的取證工具

方法二，將取證U盤插入目標(biāo)計(jì)算機(jī)USB接口，取證方法同方法一，但需要額外記錄取證優(yōu)盤序列號信息。

方法三，通過使用光盤或U盤上的取證工具在開機(jī)下進(jìn)行指定數(shù)據(jù)獲取，根據(jù)案情不同，獲取文件類型要注意側(cè)重點(diǎn)，如文檔文件、圖片文件、注冊表文件等。

注意事項(xiàng)：在開機(jī)狀態(tài)下進(jìn)行電子證據(jù)固定，需注意內(nèi)存數(shù)據(jù)的獲取以及檢驗(yàn)前的屏幕截屏。

鏈接三：

手機(jī)中電子數(shù)據(jù)的現(xiàn)場勘查操作細(xì)則

1.進(jìn)行手機(jī)類檢材扣押或提取時(shí)，建議先將手機(jī)切換到飛行模式，如不能切換飛行模式則需要使用屏蔽設(shè)備。

2.進(jìn)行手機(jī)相關(guān)狀態(tài)的記錄和拍照，主要包括如下幾部分：

【常規(guī)信息】：手機(jī)品牌、型號、IMEI號碼、電池電量、手機(jī)正反外觀。

【關(guān)于密碼】是否有鎖屏密碼，如知道密碼建議取消密碼，并做相關(guān)記錄；如不知道密碼則不建議輕易嘗試解鎖，尤其是智能手機(jī)。如嘗試輸入密碼出現(xiàn)密碼錯(cuò)誤的提示，需記錄嘗試的次數(shù)（避免輸錯(cuò)次數(shù)過多導(dǎo)致手機(jī)鎖定，蘋果手機(jī)最多嘗試不能超過9次）。

3.盡量避免在手機(jī)上直接翻看短信、通話記錄和電話簿等信息數(shù)據(jù)，避免誤操作刪除相關(guān)數(shù)據(jù)。

4.如案情需要在現(xiàn)場查看手機(jī)中信息的，或需要進(jìn)行相關(guān)數(shù)據(jù)查看的，需使用符合手機(jī)取證規(guī)范的檢驗(yàn)工具設(shè)備對其進(jìn)行數(shù)據(jù)提取，提取時(shí)首先對手機(jī)機(jī)身進(jìn)行數(shù)據(jù)提取，提取順序遵循先邏輯再物理的方式，其次在對手機(jī)SIM卡進(jìn)行提取，提取過程需保留相關(guān)日志信息。

5.如現(xiàn)場進(jìn)行檢材固定并移交檢驗(yàn)鑒定部門進(jìn)行檢驗(yàn)分析的，在移交過程中需使用屏蔽袋進(jìn)行封存，在送檢時(shí)需要一同提交相關(guān)記錄信息，包括但不限于：

【案件相關(guān)信息】：檢材提取人（單位）、提取時(shí)間、提取地點(diǎn)、送檢人員。

【檢材相關(guān)信息】：檢材品牌、型號、手機(jī)提取時(shí)狀態(tài)（是否有密碼）、正反面照片、手機(jī)號碼（如有）。

【檢材封存及使用記錄】：檢材從扣押之時(shí)起到送檢過程中，如對檢材手機(jī)進(jìn)行的啟封和查驗(yàn)，都需要進(jìn)行記錄，如使用XX方法對檢材進(jìn)行了XX操作得到了XX結(jié)果。

【案情簡述】：由于不同的案情對于手機(jī)檢驗(yàn)的關(guān)注點(diǎn)會(huì)有所不同，所以送檢人員盡量詳細(xì)描述案情以及檢驗(yàn)要求。

6.如需對檢材手機(jī)進(jìn)行傳統(tǒng)證據(jù)固定的，如手印、DNA檢材等，在手機(jī)確保屏蔽的狀態(tài)下先進(jìn)行提取固定后在進(jìn)行電子證據(jù)的提取和檢驗(yàn)分析。