电子数据证据

电子证据的审查与判断

中国政法大学电子证据研究中心主任中国电子学会计算机取证专家委员会委员limeiw@

王立梅背景

大背景：人类已经进入了电子证据的时代。就司法证明的历史而言，人类曾经从“神证”时代走入“人证时代”，又从“人证”时代走入“物证”时代，也许，我们即将走入另一个司法证明时代，即电子证据时代。1999年，中国人民大学法学院的何家弘教授就曾经撰文指出人类司法证明历史中司法证明的方法和手段所发生的两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明的转变；第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主的证明的转变。在这一进程中，科学技术的进步发挥着决定性的作用。

与应用技术手段密切联系的是，对技术性专家意见的依赖也在增加：必须对结构复杂的机器得出的结论进行解释，还要评估该证据的证明价值。不过，即使撇开专家作为仪器这一“哑巴证人”之翻译者的需要，人们为了在诉讼中揭示案件事实而正在寻找的科学性或经验性信息的事项范围也已经大为拓展了：许多不久前还被视为背景信息的问题，现在都需要证明了，这就是说，事实认定者可以对正式提交法庭的有关证据进行评价了。于是在为法院审判提供事实认定结论方面，常识和传统的证明方法就遭遇了科学数据的竞争。这些数据往往概念复杂，数量非常丰富，而且有时甚至是违反直觉的。

进而法院频频遭遇复杂的科学技术证据，只有那些拥有高度专业化知识或杰出技艺的人才能毫无困难的领会。对科学证据的依赖加重了事实认定者的负担，无论是对英美法系的陪审员还是大陆法系的检察官和法官。他们所共同的对技术本身的理解力局限和不善于应用技术的过程和结论，展示出有说服力的事实都成为我们面临的难题。

如何使事实认定者适应这一变化和要求？概念计算机取证OR电子取证OR数据取证科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行行保护（preservation）、收集(collection)、验证（validation）、鉴定（identification）、分析（analysis）、解释（interpetation）、存档（documentation）和出示（presentation），以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。信息安全解决事前防护，取证解决事后究责。新诉讼法的提法是“电子数据”（刑诉法P37民诉法P22）几者之间的关系如图所示。初步发展时期旪间：九十年代中期至九十年代末期。典型的计算机取证产品：Encase：美国Guidance软件公司开发，用亍证据数据的收集和分析。DIBS：由美国计算机取证公司开发，对数据进行镜像的备份系统。FlightServer：由英国Vogon公司开发。用于证据数据的收集和分析。其他工具：密码破解工具、列出磁盘上所有分区的LISTDRV、软盘镜像工具DISKIMAG、在特定的逻辑分区上搜索未分配的或者空闲的空间的工具FREESECS等等。理论完善时期时间：九十年代末期至现在计算机取证的概念及过程模型被充分研讨较为典型的五类模型：基本过程模型事件响应过程模型法律执行过程模型过程抽象模型其他模型学科体系建设研究数字取证的强国美国：最早开展研究，有很多科研机构、大学和司法部门在积极从事这方面的研究英国：比较早开展取证研究，特别是在和恐怖分子的斗争中很有经验澳大利亚：近年来的研究很有成效，2008年年初开始组织e-forensics国际会议韩国：早在1995年，韩国就组建了“黑客”侦查队，积极开展工作，此后分别于1997年和1999年建立了计算机犯罪侦查队和网络犯罪侦查队，并于2000年成立了网络恐怖监控中心，由此韩国成为了“网络侦查强国”。各国纷纷派人前去学习或请韩国人协助取证数字取证在中国的启动我国网络安全界曾经从战略高度上提出了如何建立使入侵者感到有威慑的主动防御策略。基于主动防御的网络安全技术改变了以往仅仅依靠防火墙、扫描、检测这些传统的网络安全工具，推动了我国的信息监控、数字取证等技术的发展以及相应产品的面市。2000年5月,公安部确立了以办理计算机犯罪案件为主线,以电子数据证据为核心，以计算机犯罪侦查为主要内容开展专门技术研究计算机取证研究列入课题项目，出现一批早期的研究论文和文章。（2003-2005）现场电子化电子化、网络化现场现场再现：技术+科学证据（技术侦查）电子“现场”法律中的电子证据√

√

√

电子证据的主要法律条款行政诉讼法修正案第35条第一款，证据包括：（一）书证；（二）物证；（三）视听资料；（四）电子数据；（五）证人证言；（六）当事人的陈述；（七）鉴定意见；（八）勘验笔录、现场笔录。电子证据的主要法律条款刑诉法第48条第2款：证据包括：（一）物证；（二）书证；（三）证人证言：（四）被害人陈述；（五）犯罪嫌疑人、被告人供述和辩解；（六）鉴定意见；（七）勘验、检查、辨认、侦查实验等笔录；（八）视听资料、电子数据。民诉法第63条第1款：证据包括：（一）当事人的陈述；（二）书证；（三）物证；（四）视听资料；（五）电子数据；（六）证人证言；（七）鉴定意见；（八）勘验笔录。电子证据的主要规则最高人民法院、最高人民检察院和公安部于2016年9月联合下发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》），对于刑事诉讼中电子数据的收集、提取、审查、认定等行为予以规范。多媒体信息：通讯录（联系人）通话记录短信彩信关联关系……

录音录像照片……通信信息：上网信息：上网时间浏览记录聊天记录习惯背景圈子……导航、定位信息：GPS导航信息网络定位与导航信息手机移动与漫游信息新增、异常出现与消失……其他信息：如使用信息游戏信息广播、电视……201电话证据、传真证据、电报证据等等2计算机证据（电子文件、计算机日志等）、计算机输出物、计算机打印物等3电子邮件、电子数据交换、电子聊天记录、电子公告牌记录、博客记录、微博记录、电子报关单、电子签名、域名、网页、IP地址以及电子痕迹（系统文件、休眠文件、日志记录、上网痕迹）等4手机录音证据、手机录像证据、手机短消息证据（第五媒体证据）、通讯记录；信令数据、上网痕迹、通讯痕迹5雷达记录证据、录音证据、录像证据、摄像证据、GPS痕迹（即所谓的“视听资料”）电子证据从哪里来？现代通信技术电子计算机技术互联网技术手机技术网络技术其他信息技术从有关国际文献来看，迄今为止具有代表性的相关思想是计算机证据国际组织于2000年12月4日在八国集团的会议上提出的“六原则论”。（1）在处理电子证据时，各种普遍性的法科学原则和程序原则必须得到遵守；（2）扣押电子证据时必须保证其不发生改变；（3）任何需要接触原始电子证据的人员必须经过专业的培训；（4）对电子证据进行扣押、接触、存储或转移的一切行为，都必须完整记录，并加以归档备查；（5）有关人员在保管电子证据时，对其上所实施的一切操作负责；（6）任何负责扣押、接触、存储或转移电子证据的机构，均有责任落实上述原则。电子证据取证原则及时取证（易失性）全面取证（全面分析---侵权边界）合法取证（合法性）不损害取证（避免证据二次破坏）避免使用原始证据原则（复制，避免证据污染）记录所作操作原则（录像）《互联网信息服务管理办法》第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。真正重要的事物，肉眼是看不到的鉴定机构鉴定工作

内容

电子证据内容一致性的认定

电子数据内容的认定

已删除电子数据内容的认定机密文件数据内容的认定

计算机程序功能或系统状况的认定

电子证据的真伪及形成过程的认定取证的方法和步骤电子证据的取证涉及到对电子证据的保存、识别、提取、归档和解释，以作为证据或作为动机分析的依据。电子证据取证工作需要遵循一种明确的、严格定义的方法和程序，对于非同一般的事件又需要灵活机动的处理不可墨守成规。电子证据取证的事前态度：电子证据取证和其他类型传统证据的调查取证工作有所不同。传统的暴力案件现场需要在拍照，搜寻证据和供比对的样本并且需要控制样本以便和证物对照。电子证据的调查工作当中也存在有类似的工作。但许多时候，调查人员向需要对整个系统（无论是单机还是大容量的磁盘阵列服务器甚至是整个网络）进行重建，这是不同于传统证据取证但在电子证据取证中常见的工作。因此调查初始，就要认真对待每一个案件。不要随意的开始检查某一台计算机，判定它是否有问题然后再将其作为一个证物来对待；而应该一开始就把计算机作为证物来对待，即便以后发现它并不能成为证物。如果在开始时主观的认为某一台计算机没有取证价值而后来发现了有不法行为的痕迹，就需要确认已经完整的记录下来所采取的某一个步骤及采取该步骤的原因。记录的工作对于任何证据调查工作都很重要，尤其对电子证据调查更是这样。电子证据取证的基本的思想方法:取证的基本思想方法是相对固定（fixed）的，一定时期内不会随着计算机技术的量变而改变，除非计算机技术产生了根本性的质变。基本的方法（AAA法，取证的框架）：1，在不对原有的证物进行任何损坏或改动的前提之下获取证据；（Acquire）2，证明所获取的证据和原有的数据是相同的；（Authenticate）3，在不改动数据的前提之下对其进行分析。（Analyze）第一步：获取证物情境一：面对现场一正在运行的计算机，让其继续运行，还是立即拔掉电源抑或进行正常的关机过程立即拔掉电源时许多人的做法，被认为能使计算机停留于当前状态。但有先例表明这有可能毁掉攻击过程相关的数据，甚至可能损坏硬盘上的数据。而如果系统内有软件炸弹，管理员登录时会自动销毁所有数据，这时拔电源就成为唯一可能的选择，而且能帮助我们有更多的时间拟定调查计划，备份原有数据灵活性在处理问题是非常重要，没有任何两次调查的情况是一样的，也没有完全适用于各种场景的普遍方法。情境二：对一个系统进行检查并保持可辩护的证据的最理想方法是把系统冻结并分析所有数据的拷贝。很多情况下我们并不能这样做，尤其是网络运行的管理层拒绝这样长时间的关掉系统（有可能会带来其他方面巨大的损失），而且当一个系统内还有恶意代码在运行时，相关联的信息也极有可能在关掉电源时消失，通常我们还难以判别机器上是否运行有这样的恶意代码。获取证物环节的大体步骤：处理证据

记录调查工作一、处理证据1，证据监督链（chainofCustody）做好监督链的目的为了保护证物的完整性而且能够证明在这一过程中证物并没有被改动。监督链是一个简单有效的过程，记录了证物在案件周期内的完整经历。谁收集的证物？在何处收集，怎样收集的？谁拥有该证物？证物如何存储，受到了怎样的保护？谁将证物从存储设备中取出以及取出的原因？任何接触过证物的人员取走和归还的时间，使用证物的目的都应该有完整的记录。而且接触的人员应该尽可能的少，“每个有能力接触到证物的人都有能力篡改证物。”2，收集证物收集的复杂性反映出事件本身的复杂性。收集证物时应尽可能收集一切通过合法手段所获得的东西。包括一些看上去没有证据价值的东西，甚至是废纸。现场的呈现仅有一次。对于和ISP有关的证物必须尽快行动。因为日志文件的保存都是受时间限制的。对于准备作为证据使用的日志应要求服务商合适的保存。

3，标识对于证物进行准确的标识和统计是必要的。标识中应该有案件编号、简要描述、签名和收集的时间等信息。标识工作的进行可以借助一些表格软件或是手工进行。4，运输运输工作应以保证证物的安全为基本要求。针对证物的不同情况采取不同的措施来加以保证。运输的容器上应有封条。5，存储恰当存储证物既是器材本身物理上的要求也是其作为证物的法律价值要求。证物应存储在安全且访问受到限制的地方。二、记录调查工作记录的工作显得乏味但非常必要。记录的内容要充分照顾到细节，如软件的版本号、收集时用到的工具、方法、步骤以及原因。调查所使用的软件是合法软件是一项起码的要求，否则其结果不被承认。记录的工作对于旷日持久的诉讼尤显重要。第二步鉴别证物这个环节里需要证明调查人员在取证过程中没有造成任何对原证物的改变；或者虽然有改变，这种改变也是由计算机的本质特征造成的，同时这种改变对证物在取证意义的价值没有任何影响。比如计算机磁盘驱动器会逐渐老化，但无论是可读的文本还是图片都不会因为这种老化而显示出别的不相关信息。任何文本和图片的存储、设置都是源于有动机的人类的行为。可以采取在取证过程中的一些方法保护证物：通过证物监督链可以证明在取证过程没有引起对原有证物的任何改变，由证物所推测出来的事件发生的情况也是真实可信的。（规程上）对证物的完整性验证和对其添加时间戳也能解决证物真实可靠性问题。（技术上）一般是通过计算一种类似电子指纹的值加以实现的。电子指纹的对象可以是单个文件到整个硬盘。这是来于密码学的技术，指纹值称之为哈希值，可以通过软件计算完成，这只需要在取证的软件中添加这种功能。收集数据时就要计算和记录哈希值，日后可由此证明用做检查的数据拷贝和收集的原始数据是完全相同的。第三步分析分析阶段在一定程度上是取证工作的核心部分。基于客观、科学的技术原理对电子数据、程序代码、电子设备及相关的文字资料进行分析：就电子数据之来源、特征、传播途径和范围；程序的来源和功能；电子设备的功能；嫌疑人的特征、行为动机及后果作出定性或定量的分析结论。获取阶段为了得到完整的映象需要在一个不对原始证物产生任何改变的环境中进行，这要求只能使用那些可以从软盘引导的操作系统。而对证物分析的过程对环境的要求较为宽松，可以使用自己喜欢的系统进行，这可以仅仅是一个习惯。除了选取合适的操作系统以外，还需要准备多种工具软件以备需要。对证物的分析工作常常是在物理层进行，意外损坏证据的可能性很大。一般的原则是使用原始证物的数字拷贝分析，这样即便受损也很容易恢复。一般都需要对原始的驱动器做两份（甚至更多）备份。这往往需要使用一些专门为取证设计的软件来制作。总的原则是尽可能使备份过程中的步骤最少，这样发生错误的可能性就会最小。对于讲到取证意义上的备份，需要是对原始驱动器上面每一个比特的精确克隆。一般意义上的备份并不会拷贝已被删除的部分。电子数据的可恢复性

Window

资源管理器数据恢复软件取证软件数据冰山

常见的取证软件：1.EnCase(GuidanceSoftware)2.FTK(AccessData)3.X-WaysForensic4.取证大师(ForensicsMaster)EnCase电子证据的审查判断电子数据提供主体的审查电子数据来源的审查合法性审查（取证主体、证据表现形式、取证手段、法庭调查程序）相关性审查真实性审查（存在性、完整性、充分性）1、立法上关于电子证据的真实性探索2005《中华人民共和国电子签名法》2008《公安部电子数据鉴定规则》2010《关于办理死刑案件审查判断证据若干问题的规定》2006《人民检察院院电子证据鉴定程序规则（试行）》2009《电子认证服务管理办法》电子证据的真实性探究2016关于办理刑事案件收集提取和审查判断电子数据若干问题的规定2、立法上关于电子证据真实性探索的不足电子证据真实性的认定问题规定不全面《民事诉讼法》和《刑事诉讼法》解决了电子证据的法律定位问题，《民事诉讼法司法解释》仅规定了电子数据证据所包括的基本类型，并没有对该类特殊证据的具体认定方法有细则规定，稍有规定的《电子签名法》适用范围有限，基本法在该领域几乎处于空白。2.电子证据真实性的认定规则没有明确规定我国没有统一的证据法典，关于证据法的认定规则散件于诉讼法和其他部门法规的篇章中，规定不全面也不统一。对于普通证据的内容真实性认定，法官多是结合经验法则、审判事实及举证责任分配来“自由心证”。若涉及电子证据，一般结合普通证据的判断规则（如《行政证据若干规定》第56条）或运用“高度盖然性”标准（如《民诉证据若干规定》第72条和73条）。3.

专项法规适用范围窄，立法思路模糊《电子签名法》是针对电子签名的专项规则，主要用于消除电子政务发展和电子商务贸易往来过程中电子证据适用的法律障碍，民事诉讼案件的其他电子证据认定问题仍然无法可依。各部委出台的电子数据鉴定规则及认证服务管理办法，更偏向于在部门内部适用，对其余部门的约束力小，适用范围窄。3、司法实践中电子证据真实性认定的难点及问题

1.电子证据真实性认定的主要争议点集中于主体和内容对电子证据真实性的争议主要集中于对证据制作主体身份的不确定和证据内容真伪的不确定。如对电子邮箱实际控制人无法确定，对手机短信的发送人无法确定，对电子聊天记录双方真实身份无法确定，对微博内容发布用户无法确定，法官多是按照综合认定方法结合案件其他证据进行判断。对证据内容真伪不确定的情况更为复杂，证据来源途径多样，证据完整性不一，公证或鉴定的瑕疵问题，都有可能造成法官对电子证据证据能力的否认。2.法院对电子证据真实性的认可度不一由于缺乏统一的法律规范，法官审查电子证据的真实性多是“自由心证”，不同地区的类似案件甚至出现了不同的判决结果。有有的法院为避免争议会直接排除电子证据的适用，有的法院会另辟蹊径，对未经公证的电子证据资料结合电子证据的其他显著特征来综合认定。3.电子证据的呈证形式不规范不同的证据制作主体提供了不同形式的电子证据，包括截屏、打印、拷贝、拍照摄像、制作司法文书、当庭展示等多种形式，同一种电子证据可能同时存在多种呈证形式，却时常没有可以考据的原始内容。4.不同地区公证和鉴定机构的技术水平发展不均，规范性有差异目前法院更倾向于认可经过公证和鉴定的电子证据的真实性，但受制于不同地区公证和鉴定技术水平发展不均衡的现状，法院也会排除某些经过公证和鉴定的电子证据的适用。5.缺乏可靠的电子证据公证技术和真伪鉴定技术保障大量司法案例显示，目前公证机构出具的公证书只能保证该电子证据在公证时及公证后状态的稳定性，确定该电子证据公证时是客观存在的，而不能确定公证前电子证据是否有经过篡改的可能。公证人员以法学背景居多，缺乏专业技术知识。鉴定意见的技术水平局限性大，尽管近年来数据恢复技术、数据扫描技术、数据挖掘技术等鉴定技术的发展极大地提高了鉴定水平，但是对诸如电子聊天记录的真实性鉴定和手机短信的真实性鉴定仍然是技术难题。4、国外对电子证据的审查和规定1、电子证据的最佳证据规则美国《联邦证据规则》第1001（3）条认为，对于存储于电脑中的数据，任何精确反映该数据的输出或打印的副本，均可被视为原件；联合国国际贸易委员会的《电子商务示范法》将具有最终完整性和可用性等功能的电子副本视为原件，只要数据电文确实起到了在功能上等同或基本等同于书面原件的效果。2、提供电子证据的附带性说明《美国法律报告》通过总结法院判例，建议律师使用电子证据时，同时提供材料以说明以下事项：1.计算机设备的可靠性；2.基础数据的初始输入方式；3.为确保数据准确性采取的措施；4.数据存储方式以及为防止数据丢失采取的保护措施；5.处理数据的计算机系统的可靠性；6.证明系统准确性的措施。4、国外对电子证据的审查和规定3、英国对于电子证据保全的规范，移动电子计算机的时候，比如反不正当竞争，反垄断的时候，到一个企业去查抄电脑，查抄的过程里面有一个要求，该指南规定了11个步骤：检查该计算机周围环境将人员驱离计算机和电源对于计算机及所处环境拍照向使用者询问登陆信息对屏幕拍照，并书面记录屏幕的内容不要触碰键盘或者鼠标必要时采集切断电源就可能丢失的数据谨慎听取计算机所有人或者使用人的描述保证打印机打完当前的文件没有专家建议时断开电源时不应关闭任何程序移除其他与计算机相连的电线5、认定电子证据真实性的一般方法1、从证据来源判断电子证据的真实性当事人提供的证据1公证机构提供的电子证据2鉴定机构提供的电子证据和鉴定意见3网络服务商或电信服务商提供的电子证据4律师鉴定人公证人行政人员公检法当事人5、认定电子证据真实性的一般方法2、用全面审查方法审查电子证据真实性鉴证法STEP01专家辅助法STEP02对比法STEP03综合分析法STEP04（1）鉴证法电子证据的“鉴证”[是指对电子证据系统和程序或者打印输出物进行描述或辨别，并且确认该系统和程序产生了正确结果的过程。这里的鉴证不局限于鉴定机构的鉴定方式，任何在日常的工作或履职中曾经接近或使用过电子数据的技术人员、有专业资质的技术人员、网络服务商的技术人员等都可以对电子证据本身进行技术真伪鉴定。（2）专家辅助法我国《民事诉讼法》第79条规定，当事人可以向人民法院申请，通知有专门知识的人出庭作证，对鉴定结论或专业问题提出意见。电子证据的鉴证主体多样，如果出现了对同一份证据的不同鉴证结果，就需要有一位在相关领域经验丰富的专家辅助人对鉴证结果的真伪发表意见和看法。专家辅助人可以由当事人申请，也可以由人民法院自行指任。（3）对比法包括与原始数据的对比、同一证据不同组成要素的对比和不同证据间差异和联系的对比。电子数据的打印输出物或其他输出物，尤其要注意与原始系统和原始数据的对比。同一电子证据，要根据其生成、传输、存储、展示的整体联系判断真实。不同电子证据之间往往会互相依存构成一个整体，与案件的前因后果、时间地点等也会发生联系。只有这些证据相互一致，形成证据链，才能成为定案的依据。（4）综合分析法电子证据是科学技术发展的产物，对电子证据的审查既要运用一般证据审查的规律和方法，也要综合各种技术手段，采用更加科学的手段有适应电子证据的特殊性需要。以上三种方法都离不开技术分析，技术分析的局限性也要求有其他方法辅助。

3

对电子证据的产生、运用过程进行全面审查：生成A电子证据的生成主要是审查电子证据生成设备、生成系统和生成程序的安全可靠性。B电子证据的传输主要审查数据信息传输渠道的安全性和数据信息传输内容的完整性。传输电子证据的保存主要审查保存方式的正确性和保管记录的可考性。C保存D电子证据的展示主要审查展示方式的合规性、展示设备和展示人员的可靠性。展示4、运用鉴定技术验证电子证据真实性审查电子证据真实性的技术手段数据挖掘技术（DataMining）数据对比技术ContrastingTechnology）文件指纹特征分析技术

数据恢复技术（RecoveryTechnology）数据扫描技术（DigitalScanning）数据恢复技术（RecoveryTechnology）是指根据数据的破坏程度进行不同等级的恢复，也包括不可见区域数据的再现。数据对比技术（ContrastingTechnology）顾名思义就是通过对比方法找出数据共性、突出数据个性。当计算机系统、程序或文件遭到破坏时，如若不能准确限度被破坏的范围，可以将目标磁盘与另一个完好无损的原装备系统对比，找出被篡改的部分。数据恢复技术（RecoveryTechnology数据对比技术（ContrastingTechnology）5、各类电子证据的真实性认定方法

电子邮件证据微博证据电子聊天记录手机短信证据各类证据由于其生成方式、传递方式及终端展示的不同，因此认定方法也不尽相同。A电子卡取证—市政交通一卡通A电子卡取证—市政交通一卡通案件——公交卡破案河南省郑州市发生了一起攀爬入室抢劫杀人的案件侦查人员发现，其一张公交卡不见了。经查，这个公交卡在案发之后仍然在使用，通过对这个卡的使用信息进行调查，侦查人员发现了犯罪嫌疑人的行走路线，最终将其逐步归案。B网络取证网络取证

“使用科学的证明方法来收集、融合、发现、检查、关联、分析以及存档数字证据，这些证据涉及多层次的主动处理过程以及数据源的传递证据，其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为，并为应急事件的响应和系统恢复提供有用的信息。”B网络取证证据来源网络服务器和网络应用主机网络通信数据网络安全产品和设施网络取证分析系统所产生的结果B网络取证主要技术

IP地址和MAC地址识别和获取技术网络入侵追踪技术人工智能和数据挖掘技术B网络取证——IP地址查询IP查询网站查询如www.IP138.com，在IP地址查询网中输域名可查询中国互联网络信息中心IP地址查询根据上一步初查，已查得域名对应的IP地址，在中国互联网络信息中心（）WHOIS查询中，选择IP地址查询，输入IP地址，点击查询即可通信部门协查作为通信主管部门，各省（市）通信管理局（电信局）拥有互联网网站注册、备案（审批）人等很多详细而精确的信息B网络取证——IP地址查询B网络取证——IP地址查询B网络取证案例——互联网聊天的IP定位清华北大爆炸案件网监处通过不断地删除有关此案的大量信息，使得犯罪分子未能达到预期的目的北京大学新闻中心收到自称犯罪嫌疑人的可疑邮件，后应要求在网上进行沟通交流，通过IP地址定位，抓获当事人。

B网络取证相关问题法律法规缺失数据海量隐私权网络反取证技术

B网络取证案件——网络赌球案件的电子证据挪用社保基金近亿元网络赌球的“10.7专案”

目前网络赌球的方式经常是一头服务器在外，两头庄家赌客在内的模式。境外提供赌球服务的服务器进行调查往往比较困难，因此对境内庄家和赌客赌球所用的计算机等相关设备便成了电子数据取证的重点对象。B网络取证赌球页面分析B网络取证赌球页面分析B网络取证赌球页面分析C电子邮件取证客户端例如OutlookExpress、Foxmail等WEB端通过用户名/密码登陆邮箱，直接访问邮件服务器。电子邮件证据的真实性审查认定电子邮件证据的真实性争议传输的一般方式电子邮件证据电子邮件发送方——发送方邮箱的网络服务提供商——接收方邮箱的网络服务提供商——电子邮件接收方第一，邮箱实际控制人的不确定第二，电子邮件发送和接收行为的不确定性第三，电子邮件发送和接收时间无法衔接，双方对时间节点存在争议第四，邮件内容的差异性电子邮件证据真实性审查方式从证据来源审查：当事人自认的电子邮件证据、网络服务商、公证机构和鉴定机构提供的电子邮件证据具有真实性，除非有相反证据证明或者法院认为有必要再次鉴定；全面审查，电子邮件的生成、传输、保存和展示过程：电子邮件发送和接收的计算机软件系统是否可靠；电子邮件要是在公司内部的局域网传输还是在外部的互联网传输；电子邮箱是否为加密邮箱，打印物保存和原始文档保存要区别对待；电子邮件展示时设备是否经过清洁检查；电子邮件是否运用了数字签名和数字时间戳技术、信息隐藏技术、加解密技术和电子认证技术等。C电子邮件取证案件——是否侵犯员工隐私

广东泰科电子有限公司企业私自打开员工邮箱搜集证据，发现其向科塑公司披露涉及公司与其他供应商的内部保密信息，并解雇员工。劳动仲裁部门作出裁决予以认可。争议的焦点是搜查员工邮件是否侵犯个人隐私？D手机取证电信部门从运营服务系统中获取相关信息，包括通话记录、短消息、上网信息等。手机本身从手机的存储器，SIM卡中提取恢复相应信息。D手机取证案例——手机短信认定事实

杨先生和韩小姐1.1万元借款纠纷，手机短信第一次作为证据被采信。

法院认为，杨先生提供的短信内容中载明的款项往来金额、时间，与中国工商银行个人业务凭证中体现的杨先