淺談電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)方法

楊開開，石 磊

（南通市公安局，江蘇 南通 226000）

淺談電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)方法

楊開開，石 磊

（南通市公安局，江蘇 南通 226000）

電子科學(xué)技術(shù)的不斷更新發(fā)展在給人們的日常生活帶來極大便利和幫助的同時，也為不法分子提供了許多高科技的犯罪手段。針對其犯罪手段，南通市公安局采用了電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)的方法，這對迅速破獲案件、搜集獲取犯罪證據(jù)提供了很大的幫助，能為公安局快速抓獲犯罪嫌疑人提供幫助。文章介紹了電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)的流程、原則，分析了電子數(shù)據(jù)取證在公安局辦案中的困難及發(fā)展現(xiàn)狀，并提供了一些建議。

電子數(shù)據(jù)；取證；現(xiàn)場勘查；犯罪證據(jù)

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)及電子商務(wù)的飛速發(fā)展，各式各樣的網(wǎng)絡(luò)犯罪日益增多，使得電子數(shù)據(jù)取證技術(shù)成為了司法機(jī)關(guān)，執(zhí)法部門重點(diǎn)關(guān)注的問題。而電子數(shù)據(jù)取證中現(xiàn)場勘驗(yàn)檢查的規(guī)范性直接決定了電子證據(jù)的司法有效性，所以尤為重要。現(xiàn)場勘驗(yàn)檢查，即在案發(fā)現(xiàn)場實(shí)施勘驗(yàn)，以提取固定現(xiàn)場存留的與本案有關(guān)的電子證據(jù)和其他相關(guān)證據(jù)；我國是由縣級以上公安機(jī)關(guān)相關(guān)部門負(fù)責(zé)組織實(shí)施，必要時，可以指派或者聘請具有專門知識的人參加。如何更好地規(guī)范電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)是對執(zhí)法部門工作的有力保障和支撐。

1 電子數(shù)據(jù)取證的概念與基本原則

電子數(shù)據(jù)取證是指對能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f服性的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。電子數(shù)據(jù)取證包括計(jì)算機(jī)文檔取證、網(wǎng)絡(luò)信息偵查取證、財(cái)務(wù)數(shù)據(jù)取證、手機(jī)偵查取證等。因?yàn)殡娮訑?shù)據(jù)證據(jù)容易遭到破壞的特征，為保障電子數(shù)據(jù)取證的準(zhǔn)確、完整、原始性，其必須遵守以下原則。

1.1 及時原則

因?yàn)殡娮訑?shù)據(jù)有脆弱、容易損毀或被覆蓋的特點(diǎn)，所以為了避免數(shù)據(jù)被篡改、丟失或者覆蓋，應(yīng)該及時地對證據(jù)進(jìn)行收集和固定，一旦錯過最佳取證時機(jī)，就可能無法再次獲取。

1.2 避免原始數(shù)據(jù)被使用

在對搜集的電子數(shù)據(jù)進(jìn)行數(shù)據(jù)分析時，應(yīng)該避免使用原始數(shù)據(jù)，防止原始數(shù)據(jù)被覆蓋或者篡改，對數(shù)據(jù)造成不可挽回的損失。在進(jìn)行數(shù)據(jù)分析的同時應(yīng)該確保原始數(shù)據(jù)的信息安全和完整性。

1.3 無損原則

任何法律案件都是以證據(jù)為依托的，所以證據(jù)是陳述事實(shí)的最好依據(jù)，在向法庭提交證據(jù)時，應(yīng)該確保證據(jù)獲取的原始性，在證據(jù)被認(rèn)定并得到使用期間，必須保證其沒有任何變故，應(yīng)該詳細(xì)記錄電子信息數(shù)據(jù)在固定、收集、分析、恢復(fù)等步驟的信息，保證這些信息的完整、安全、原始性，避免其受到任何破壞。

1.4 操作的合法性

在對案件的記錄以及搜集證據(jù)時，應(yīng)選擇合理合法的手段，在對全部檢查、取證的過程進(jìn)行監(jiān)督管理，遵守相關(guān)的法律法規(guī)。

2 電子數(shù)據(jù)現(xiàn)場勘驗(yàn)取證流程

2.1 確認(rèn)犯罪對象

在現(xiàn)場勘驗(yàn)取證中最好向辦案部門了解詳細(xì)犯罪對象的情況，主要了解犯罪對象使用的犯罪工具，包括電腦還是手機(jī)作案、使用數(shù)量的多少、使用的是筆記本電腦還是臺式機(jī)、手機(jī)大概什么型號等信息。

2.2 做好現(xiàn)場勘驗(yàn)取證準(zhǔn)備

在取證人員對現(xiàn)場進(jìn)行勘驗(yàn)取證之前，應(yīng)該做好充分的取證準(zhǔn)備工作，包括對案件的基本了解，現(xiàn)場所在位置、人員等，并針對了解的情況，選擇現(xiàn)場所需攜帶設(shè)備，做好取證準(zhǔn)備。

2.3 物證識別

到了現(xiàn)場后結(jié)合前期掌握的物證線索情況，進(jìn)行物證識別，盡量找齊現(xiàn)場所有與電子數(shù)據(jù)有關(guān)的設(shè)備與存儲介質(zhì)，包括硬盤、手機(jī)、相機(jī)、U盤等。如前期掌握的物證需要在現(xiàn)場著重查找。

2.4 證據(jù)的收集

對于證據(jù)應(yīng)保護(hù)其原始性，保證證據(jù)不被破壞或覆蓋，包括計(jì)算機(jī)的內(nèi)存信息、屏幕信息以及計(jì)算機(jī)里的程序進(jìn)程。證據(jù)收集完后，現(xiàn)場有些易丟失的數(shù)據(jù)，需要現(xiàn)場證據(jù)固定及獲取，這里的易丟失數(shù)據(jù)指的是電腦等設(shè)備在斷電后數(shù)據(jù)會丟失，不易恢復(fù)的數(shù)據(jù)。

以上取證準(zhǔn)備、證據(jù)識別、證據(jù)收集、證據(jù)固定及獲取4個環(huán)節(jié)屬于現(xiàn)場勘查部分，后面就是把證據(jù)帶回保存，再通過取證工具進(jìn)行證據(jù)分析，最后生成報(bào)告。

3 電子數(shù)據(jù)取證現(xiàn)場勘驗(yàn)步驟及方法

3.1 現(xiàn)場勘驗(yàn)步驟

取證準(zhǔn)備→現(xiàn)場安?！F(xiàn)場拍照→收集相關(guān)物證（其中收集到的外部介質(zhì)和設(shè)備可以直接填寫清單）→封存物證（收集到的計(jì)算機(jī)得先查看計(jì)算機(jī)狀態(tài)，如果是關(guān)機(jī)狀態(tài)，填寫提取時間信息等，如果是開機(jī)狀態(tài)，要先進(jìn)行在線取證固定，斷電）→介質(zhì)復(fù)制→填寫清單→保存物證→結(jié)束勘查。

3.2 現(xiàn)場勘驗(yàn)的方法

第一步，首先要做好充分的準(zhǔn)備，了解具體的案情，包括案件類型、案件背景、涉案使用的工具等；人員的準(zhǔn)備，確定現(xiàn)場勘查人員、安保人員、對方協(xié)助人員、第三方證人等；設(shè)備準(zhǔn)備，準(zhǔn)備現(xiàn)場勘查箱、硬盤復(fù)制機(jī)、硬盤、移動存儲介質(zhì)、封條標(biāo)簽等。

第二步，現(xiàn)場安保目的：保障人身安全—防止現(xiàn)場勘查過程中因被調(diào)查人不配合產(chǎn)生沖突，或其他可能造成人身傷害的情形；保障設(shè)備安全：防止現(xiàn)場勘查過程中直接或間接地破壞證物或設(shè)備。

第三步，現(xiàn)場拍照：在對現(xiàn)場展開調(diào)查前，應(yīng)通過拍照、錄像等方式記錄下當(dāng)時的狀態(tài)，如設(shè)備的位置、連接狀態(tài)、顯示器屏幕信息等。

第四步，收集相關(guān)物證：注意識別哪些設(shè)備是與案件相關(guān)，紙質(zhì)文件/材料，如便箋、已打印資料等；移動存儲介質(zhì)，如U盤、移動硬盤、光盤；計(jì)算機(jī)及其外部設(shè)備，如電池、充電器、磁盤陣列卡、擴(kuò)展卡等；手持設(shè)備以及各種連接線（如手機(jī)、GPS導(dǎo)航儀等）。

第五步，如果是電腦處于開機(jī)狀態(tài)，則需要在線取證：易丟失數(shù)據(jù)的固定應(yīng)拍照以記錄系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)及時間信息等關(guān)鍵數(shù)據(jù)，獲取工具提取其他信息；即時通訊數(shù)據(jù)提取應(yīng)對正在運(yùn)行的即時通訊程序，應(yīng)及時導(dǎo)出相關(guān)聊天記錄及聯(lián)系人信息，如QQ，MSN，SKYPE，阿里旺旺、移動飛信等。

第六步，在現(xiàn)場查看完計(jì)算機(jī)狀態(tài)后，現(xiàn)場需要進(jìn)行介質(zhì)復(fù)制操作的，一般分為兩種情況：一種是計(jì)算機(jī)硬盤可拆卸的情況，通過硬盤復(fù)制機(jī)進(jìn)行位對位的復(fù)制，并且每個源盤推薦做兩個以上的證據(jù)副本（前提是目標(biāo)硬盤必須為擦除過的空硬盤，目標(biāo)硬盤的容量要等于或略大于源盤容量）。另一種是計(jì)算機(jī)硬盤不可拆卸的情況，通過專用復(fù)制工具網(wǎng)口連接復(fù)制功能或是軟件啟動不拆機(jī)復(fù)制功能進(jìn)行復(fù)制（同樣，每個源盤推薦做兩個以上的證據(jù)副本，目標(biāo)硬盤必須為擦除過的空硬盤，目標(biāo)硬盤的容量要等于或略大于源盤容量）。

第七步，以上步驟完成后同樣到了填寫清單的階段，但與前面外部介質(zhì)和設(shè)備不同的是，除了物證的名稱、型號、特征等信息外，還需要對計(jì)算機(jī)拆卸硬盤進(jìn)行拍照，填寫照片記錄表等。經(jīng)過上述8個步驟就結(jié)束計(jì)算機(jī)現(xiàn)場勘查取證了。

4 電子數(shù)據(jù)取證現(xiàn)場勘查的處理原則及注意事項(xiàng)

4.1 對于處理計(jì)算機(jī)的原則

如果計(jì)算機(jī)處于開機(jī)狀態(tài)，不可立即關(guān)機(jī)，關(guān)閉計(jì)算機(jī)應(yīng)該盡量減少數(shù)據(jù)丟失，一般采用將計(jì)算機(jī)的電源直接斷開的方式，如果強(qiáng)行關(guān)機(jī)，就有可能使計(jì)算機(jī)硬盤里的數(shù)據(jù)丟失或被其他數(shù)據(jù)覆蓋，采取一定的措施并提取容易丟失或被覆蓋的數(shù)據(jù)。如果計(jì)算機(jī)處于關(guān)機(jī)狀態(tài)，別去開啟它的系統(tǒng)，通過錄像等方式記錄下計(jì)算機(jī)設(shè)備的連接狀態(tài)，然后拔掉硬盤數(shù)據(jù)線和電源線，進(jìn)入BIOS，記錄機(jī)器顯示的時間。

4.2 對于“封存物證”的處理原則

物證是與犯罪事實(shí)相關(guān)聯(lián)的實(shí)體物和犯罪痕跡的體現(xiàn)，對于封存物證要保證封條位置正確，若要使用封存設(shè)備就必須經(jīng)過申請，通過破壞封條來對設(shè)備進(jìn)行使用。對于可移動介質(zhì)應(yīng)標(biāo)上標(biāo)簽，裝入防靜電袋并在封口處貼上封條。對于每個封條應(yīng)具有標(biāo)識且是唯一的標(biāo)識，并讓封存者在封條上簽字確認(rèn)。對于證物須貼上標(biāo)簽，并注明證物提取時間、人員姓名以及設(shè)備的名稱、型號等信息。

4.3 注意事項(xiàng)

首先，公安機(jī)關(guān)在進(jìn)行電子數(shù)據(jù)取證收集和獲取時，一定要注重對公民的財(cái)產(chǎn)和隱私的保護(hù)，在對網(wǎng)絡(luò)秩序進(jìn)行維護(hù)的同時也要保障公民的合法權(quán)益。其次，對于證據(jù)的合法程度應(yīng)符合司法程序的合理合法化。包括取證步驟、方式的合法化，對于采用的技術(shù)手段的合理化等方面。在取證過程中應(yīng)保持實(shí)體的正義與程序正義化的融合，避免出現(xiàn)違法行為。最后，對于調(diào)查人員來說，應(yīng)以自身的安全為首要任務(wù)，了解案發(fā)現(xiàn)場所在的地理位置，保障調(diào)查人員和證據(jù)的安全性，對于案發(fā)地點(diǎn)有關(guān)的因素都應(yīng)考慮并加大搜索范圍，采取及時有效的安全防護(hù)措施。

5 結(jié)語

在信息技術(shù)飛速發(fā)展的當(dāng)下，電子證據(jù)扮演著相當(dāng)重要的角色，作為一個先進(jìn)且全新的課題需要更多相關(guān)人員進(jìn)行研究學(xué)習(xí)，在不斷擴(kuò)展視角的同時進(jìn)一步對我國電子數(shù)據(jù)取證業(yè)務(wù)進(jìn)行規(guī)劃設(shè)計(jì)，使其能被我國司法機(jī)關(guān)更好地應(yīng)用。

[1]許慧敏.析檢察機(jī)關(guān)電子數(shù)據(jù)現(xiàn)場勘驗(yàn)取證工作[J].安徽電氣工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（2）：37-40.

[2]宋亦青.電子取證若干問題研究[D].北京：中國政法大學(xué)，2007.

[3]安德智.計(jì)算機(jī)取證技術(shù)應(yīng)用[J].計(jì)算機(jī)安全，2006（9）：68-71.

Analysis on method of scene investigation method with electronic data

Yang Kaikai, Shi Lei
（Nantong Municipal Public Security Bureau, Nantong 226000, China）

Development of electronic science and technology has brought great convenience and help to our daily life, but at the same time it also provides a lot of high-tech crime means for criminals. According to the means of crime, Nantong Municipal Public Security Bureau adopted the investigation method on the scene with electronic data, which provides a great help for the public security bureau to quickly crack the case and collect evidence of a crime and quickly arrest the suspect. This paper introduces the electronic data forensics scene investigation process, principle, provides some suggestions to analyze the difficulties and development in the public security bureau in handling electronic data forensics.

electronic data; evidence collection; field investigation; criminal evidence

楊開開（1984— ），男，江蘇海門，碩士，助理工程師；研究方向：取證技術(shù)。