电子取证特性及电子取证方法

电子取证特性及电子取证方法信息社会使我们融入了数字世界，信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题，与讣算机相关的诉讼不断出现,一种新的证据形式一一电子证据成为人们研究与关注的焦点。电子证据即为电子数据证据，也被称作汁算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据，通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的il•算机软、硬件，毫无疑问它具有一般证据所具有的客观存在性，既是可信的、准确的、完整的、符合法律法规的，同时它乂具有自身的特殊性。掌握了电子证据独特的性质，有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输，所以电子证据的形成具有高科技性；电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息,是通过看不见摸不着的讣算机语言记载的，其数据是以磁性介质保存，它乂具有无形性；电子数据以“比特”的形式存在，是非连续的，…改动、伪造不易留下痕迹，数据或信息被人为地篡改后，如果没有可对照的副本、映像文件则难以查清、难以判断，电子证据还表现为易改动性；人为的恶意删除、误操作、电脑病毒、电脑故障等等原因，均有可能造成电子证据的消失，电子证据乂呈现易消失性；电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息，其外在表现形式具有多样性;此外，电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。电子证据的上述性质，决定了其取证过程有别于许多传统的取证方法，它对司法和讣算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交义科学，电子证据取证正逐渐成为人们研究与关注的焦点。电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则,要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素，才能保证电子证据的真实性、合法性。在快播一案中，我们第一次接触电子数据取证，印象最深刻的就是电子证据对系统的依赖性使得在收集电子证据时，不能仅收集电子证据,还需收集与系统稳定性及软件的使用等情况的证明。因为电子证据的真实程度和能证性很大程度上取决于所依赖系统的质量和性能等方面的因素，只有借助于高灵敬度、高性能、高质量的技术设备,才能获得高度真实和能证性强的电子证据。如果电子证据的内容使用质量低劣、性能极差的设备记录下来的，就不能反映案件事实发生的全过程，；即使是高质量的设备，如果使用时介质超过了其本身的性能程度也会出现差误和失真。因此，对电子证据存在的系统和技术设备的性能及可靠程度，必要时需要系统管理人员、证据制作人就相关情况作出证明。其次，电子证据的脆弱性可能导致证据被篡改、破坏及复制，这就要求对在收集电子证据时一定要保证收集的证据符合可采性的要求，一般而言，要求收集的电子证据是原件。英美证据法的最佳证据规则就要求在证明书面文件（包括录音、照片或者X光片等）的内容时，除非有例外情况，当事人必须出示原件作为证据，这一规则同样适用于电子证据。但就电子证据而言，复制件也是可以作为证据使用的。因为设立最佳证据规则的最初LI的在于防止错误或欺诈行为，理山主要是书面文件复制件的精确性不高，但对于可以精确复制的电子证据来说,复制件与其本身具有相同效力，完全可以将其视为原件。美国联邦证据规则笫1001条对原件的解释就是：“文件或录音的原件即该文字或录音资料本身，或者山制作人或签发人使其具有与原件同等效力的副本、复本。照片的原件包括底片或任何由底片冲洗出来的照片等。如果数据储存在电脑或类似设备中，任何从电脑中打印或输出的能准确反映有关数据的可读物均为原件。”原件并不必然是原文件或数据本身，只要是能够准确反映电子文件或数据内容的输出物都可以被视为原件。依此种解释,在不具有法律规定的例外情况下，最佳证据规则并不构成电子证据在诉讼中应用的障碍，最佳证据规则完全适用于电子证据。我国《关于行政诉讼证据若干问题的规定》第64条也对电子邮件等新类型证据作出规定：“以有形载体固定或显示的电子数据交换、电子邮件以及其他数据资料，其制作情况和真实性经过对方当事人确认,或以公证等其他有效方式予以证明的，与原件具有同等的证明效力。”《关于民事诉讼证据的若干规定》笫22条规定：“调查人员调查收集计算机数据或者录音、录像等视听资料的，应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的，可以提供复制件。提供复制件的，调查人员应当在调查笔录中说明其来源和制作经过。”再次，电子证据的可挽救性及隐蔽性，决定了收集电子证据的活动要全面、综合地进行，运用高科技手段检测是否有隐藏文件及硬盘中是否有被删除的证据，或依当事人举证,可确认或推知文件曾在该存储介质中存放，但之后乂被删除，则可以对其运用相关技术恢复。对于恢复删除文件的证明力，应大于未被删除的文件。因电子证据的这种特点,取证主体在取证时是不应只局限于已发现和收集的证据，还要对磁盘中已被删除但可恢复的文件进行收集，以尽可能地查明案件事实。在看过了儿个案例之后,我们通过作业和实验的形式，进一步的了解了电子取证的技术。理解了电子取证过程中的各个技术细节。为保证涉案计算机系统中数据证据的原始完整性，应在备份完成后，封存涉案的汁算机及其相关的设备。其中包括各种打印结果、存储介质、工作日志等。对不能停止运行的讣算机系统，如果要求必须在短时间内恢复运行则应采用镜像备份，并将系统的状态及环境等进行详细的记录。刑事侦查人员和计•算机作业技术人员一同收集一切与案件有关资料，清理现场,提取证据，进行关联分析。同时创建时间表,排除犯罪嫌疑人和划定重点嫌疑人，各时间段日志文件的记录事件，刑事侦查人员调查和询问知情人、犯罪嫌疑人分析时间性信息，并要求犯罪嫌疑人提供计算机系统相关的所有信息。利用一些支持软件和对备份的数据来分析案件发生前后系统的状态、日志记录以及数据的情况，提交分析结果。LI前，计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化，计算机犯罪取证还需要更高的技术。包括数据复制技术、信息加密技术、电子证据复原技术、数据截取技术、数字签名和数字时间戳技术等。数据复制包括数据备份、数据镜像、拍照、摄像等。如，具有视听资料的证据,可以釆用拍照、摄像的方法对取证全程进行拍照、摄像,增加证明力、防止翻供。案发后，通过数据镜像将备份迅速恢复到另一台主机上，在映像上进行分析工作要比在原件上操作更安全。信息加密是信息安全的主要措施之一，是通过密钥技术,来保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性。数据加密技术是所有网络上通信安全所依赖的基本技术。有三种方式:链路加密方式、节点对节点加密方式和端对端加密方式。链路加密方式是一般网络通信安全主要采取这种方式。链路加密方式把网络上传输的数据报文每一个比特进行加密。不但对数据报文正文加密,而且把路山信息、校验和等控制信息全部加密。端对端加密方式山发送方加密的数据在没有到达最终LI的地接受节点之前是不被解密的，加解密只是在源、LI的节点进行。端对端加密方式是将来的发展趋势。电子证据复原即对不同程度上数据的破坏所进行的恢复，及不可见区域数据的恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是山专门的设备、专门的操作管理组成，较难篡改。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏时，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。数据截取是指在犯罪者进行计算机犯罪的同时，侦查人员利用某些技术把犯罪证据进行截获的技术。数据截取就是通过传输介质进行截取,数据传输分为有线传输和无线传输，在有线传输中采用网络监听，网络监听需要主机网卡设置为混杂模式,主机就能接受本网段内在统一物理通道上传输的所有信息，来获取本某次通信中的信息。常用的工具111Suffer、TCPDump。无线传输通道的截获是通过电磁波捕获。通过对捕获的证据进行分析作为犯罪证据。进行数据欺骗所采取的手段主要是陷阱和伪装等。通过构造一个虚拟等系统、服务或环境诱骗攻击者对其发起进攻。这种方式多用于网络攻击中的证据的获取，在攻击者不知情的情况下，取证系统就潜伏在这里记录下攻击者完整的攻击流程、路径等取得证实攻击或入侵行为的有力证据。蜜罐和迷网就是广泛使用的陷阱工具。数字签名和数字时间戳都可以证明数据有效性的内容。通常要进行时间标记的信息内容包括:被调查机器的硬盘的映像文件、关机询被保留下来的所有信息、在收集证据过程中得到的证据、在可疑机器上得到的调查结果、调查人员每天得到的副本等。扫描技术可分为主机扫描和网络扫描。端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中，如Su