電子證據取證規(guī)則和取證方法研究

作者簡介：李亮，衡水市人民檢察院，副主任科員，信息工程中級工程師。

摘 要：本文介紹了電子證據這一新的證據類型，以及電子取證的取證規(guī)則和技術手段，最后闡述了電子取證過程中應該注意的問題。

關鍵詞：電子證據；電子物證；電子取證；取證技術

電子證據是計算機網絡科技與法律相結合的一種新的證據類型。隨著計算機網絡技術的快速發(fā)展，在司法實踐中涉及到電子物證的實例越來越多，電子證據的取證規(guī)則、取證方式都不同于傳統(tǒng)證據，需要通過特定的技術方法進行獲取和分析，所以在電子證據的取證過程中應當規(guī)范取證流程和取證方法。

一、電子取證應嚴格規(guī)范取證程序

鑒于電子證據本身所具有的無形、多樣和易被破壞等特點，任何人為因素或其他不定因素導致的對電子數據的修改、刪除、覆蓋都無形當中加大了電子證據取證的難度，因此電子證據取證工作是相對困難的，必須要掌握一定的計算機知識，依照準確嚴格的方法和程序。

1、保護證據現場。證據現場的保護是電子取證的前提條件，也是電子取證程序的第一步。其對于收集犯罪證據及認定犯罪事實有重要影響。如果犯罪嫌疑人事先得到消息，就很可能立即銷毀或者修改電子證據導致取證無效，因此必須快速對證據現場實施保護措施。取證人員進入現場后，應迅速封鎖整個計算機及相關電子設備區(qū)域，實行人機物理隔離；如計算機處于開機狀態(tài)，應保護好計算機日志，對數據進行備份，切斷遠程控制；封存現場的信息系統(tǒng)、各種可能涉及到的其他電子設備，內部人員使用的工作記錄、程序備份和數據備份；提取涉案計算機硬盤、移動存儲介質、光盤等，應特別注意對當事人隨身攜帶的手機和存儲介質的提取。有效的保護證據現場能夠避免電子證據受到破壞，保護好數據信息資料，防止發(fā)生人為更改數據、損壞硬盤、感染病毒等破壞電子證據的情況。

2、提取和固定電子證據。電子證據的提取和固定是整個電子取證的基礎，也是電子證據得以運用的前提，指的是用一定的形式將電子證據固定下來，加以妥善保管，以便將來進行數據分析和認定案件事實時使用。電子證據丟失風險大且難以彌補，如果取得的電子證據沒有進行正確的證據固定，則可能會導致電子證據喪失可采性和證明力。因此電子證據的提取和固定是保證其有效的重要措施。

3、電子證據的數據分析。電子取證數據分析是指運用計算機技術和信息網絡技術，對提取到的電子數據進行分析，發(fā)現能夠體現案件事實相關的數據，以確定電子證據應該采納的內容和方向。電子取證數據分析是電子取證的核心和關鍵，所有的分析工作應該在克隆硬盤或備份文件上進行，以保證原始證據的可靠性和合法性。

二、電子取證的技術手段

常用的取證技術方法有數據復制技術、數據恢復技術、數據挖掘技術和密碼破解技術等。

1、數據復制技術。電子取證中的數據復制指的是將合法提取的電子設備上的數據備份到另外一個或幾個計算機硬盤中，從而保證源數據與備份數據的一致性。在電子取證過程中，如果我們直接在被調查的電子設備中對電子證據進行分析操作，很可能會由于誤操作或設備故障導致原始數據遭到損壞，比如直接開啟涉案計算機就會導致系統(tǒng)日志的修改，這將嚴重影響電子證據的完整性和合法性，進而影響到后續(xù)的取證工作。為了出現避免這種情況，電子證據的提取和分析工作不能直接在原計算機上進行，除非涉案計算機在取證現場處于開機狀態(tài)，利用在線取證工具對內存及其他易失數據進行提取和固定后，再對涉案計算機進行后續(xù)處理。

2、數據恢復技術。數據恢復就是把被破壞或由硬件故障等各種原因導致丟失的數據還原成可見的正常數據。在犯罪實施過程中，犯罪嫌疑人可能會更改或者刪除一些與犯罪事實相關的數據，案件發(fā)生后，犯罪嫌疑人也可能在得到一些風聲后人為的破壞電子證據，因此數據恢復技術是電子取證過程中常用的提取數據手段。數據恢復技術大多依靠一些數據恢復工具軟件來實現。

3.數據挖掘技術。數據挖掘技術是指從大量的、模糊的、隨機的應用數據中提取潛在有利于案件偵破或直接反映犯罪事實的信息的過程。隨著信息技術的發(fā)展，各種數據量成倍增長，如何快速的從海量數據中提取到有價值的信息成為電子取證工作的重中之重。因此我們需要對提取的電子數據進行分析，運用關聯規(guī)則提取犯罪信息的關聯特征，挖掘出各種與案件有關的信息證據。

4.密碼破解技術。在某些情況下，文件夾或者文件被設置了密碼保護，這就需要對文件夾或者文件進行破譯解密，如對加密后的壓縮文檔，需要利用密碼破解工具軟件對其破譯解密后，才能分析出其是否與案件有關聯，進行一般取證。

三、電子取證是一項極其細致的工作，電子證據可能由于操作者的失誤、硬件故障、突然斷電、感染病毒等各種因素而丟失，因此與傳統(tǒng)證據相比較，對電子證據的提取和審查就有更大的困難。電子取證過程中除了必須掌握正確的取證規(guī)則和取證方法之外，為了保證獲取證據的法律有效性，取證過程應當注意以下幾個問題：

1、對原始數據要進行冗余備份。提取的電子證據應該有兩個或兩個以上完整的拷貝。冗余備份既可以避免由于電子證據不穩(wěn)定性造成的備份數據丟失，還可以在數據分析過程中同時對拷貝文件進行調查和分析，以提高分析取證的工作效率。

2、在備份復制過程中，以及對備份的硬盤或鏡像文件進行數據分析檢驗時，應當使用寫保護技術進行操作，并采取加密技術和數字簽名等技術，以確保提取到的電子證據的真實性、準確性和合法性。

3、通過照相、錄像等形式將電子證據從提取之后到提交法庭作為審判依據的過程中產生的所有變化都進行記錄和說明。在移動涉案硬件之前，把需提取的設備在現場中的位置、外觀及連接狀態(tài)用照相、錄像等形式記錄下來，并采用錄像的方式記錄檢驗分析的全過程，尤其對改變封存狀態(tài)、分析過程的關鍵操作等重要步驟時應當進行多角度錄像，以提高證據的合法性。

4、保障電子取證的工作環(huán)境安全可靠。存儲電子證據的介質必須遠離磁場、避免高溫、避免灰塵、避免潮濕的環(huán)境中科學存放，避免電子設備損壞，防止重要的線索和證據被破壞。還要注意阻止無線信號干擾，在對手機等無線通訊設備進行取證時，一定要在防屏蔽環(huán)境中進行，如手機屏蔽袋或者屏蔽室內，以免無線通訊時產生的數據污染待提取數據。

（作者單位：衡水市人民檢察院）

參考文獻：

[1] 李遼.刑事電子證據取證研究.燕山大學2009

[2] 仇學敏.計算機取證技術初探.電腦知識與技術2014（32）