电子数据取证原则与步骤

电子数据取证原则与步骤电子物证检材提取有二种基本形式：提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物，或者是电子设备内含有大量与案件相关的信息，就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时，应考虑同时提取该计算机的外围硬件，如打印机、磁盘驱动器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明犯罪的证据，或者电子信息是非法占有的，这时候电子物证检材提取的焦点是电子设备内的电子信息内容，而不是硬件本身。提取电子信息物证检材通常有二种选择：复制电子设备储存的所有电子信息，或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要决定。网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。如果一个计算机网络涉及犯罪活动，电子数据证据通常分布在多台计算机中，应尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验，一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。第一节电子数据取证原则电子数据取证的原则：1．尽早地搜集整理证据，能够得到第一手的信息，并尽可能地做到取证的过程公正和公开；2．不要破坏或改变证据，尽可能少的改变系统状态，在不对原有物证进行任何改动或损坏的前提下获取证据；3．证明所获取的证据和原有的数据是相同的；4．在不改变数据的前提下对其进行分析；5．在取证时使用的软件应是合法的。为此，在进行电子物证检验的过程中，要采取以下做法来保证原证据不被改变或损坏：1．尽早收集证据，以防原证据被改变或计算机系统状态被改变；2．对送检的材料采用专用的设备进行克隆，然后将原始介质作为证据保存，所有的检查都在副本上进行。原证据创建副本时，必须是逐位复制的准确拷贝；3．如果需要浏览，要采用专用只读设备进行检查；4．原证据的副本克隆在适合供法庭使用的介质上。这要求所用的介质必须保证是未拆封过的、新的且完好无损的，或者将目标介质事先进行过严格擦除；5．绝不允许用有证据的驱动器启动计算机；6．检查中绝对禁止对证据的任何修改。第二节电子数据取证步骤一、保护现场和现场勘查现场勘查是取证的第一步，这项工作可为下面的环节打下基础。冻结目标计算机系统，避免发生任何的改变、数据破坏或病毒感染。绘制犯罪现场图、网络拓扑图，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和犯罪现场还原提供直接依据。必须保证“证据连续性”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。整个检查、取证过程必须是受到监督的。也就是说最好所有调查取证工作，都应该有其他方委派的专家的监督。积极要求证人、犯罪嫌疑人配合协作，从他们那里了解操作系统、用户名口令、储存数据的硬盘位置、文件目录等等。二、分析数据分析数据是取证的核心和关键。分析电子数据的类型、采用的操作系统，是否为多操作系统或有隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前系统的网络环境。注意开机、关机过程，尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。检验该计算机的用户名、电子签名、密码、交易记录、邮件信箱、邮件发送服务器的日志、上网IP等计算机特有信息。结合全案其他证据进行综合审查。注意该电子数据证据要同其他证据相互印证、相互联系起来综合分析；同时，要注意证据能否为侦破该案提供其他线索或确定可能的作案时间、犯罪人；审查数据备份以及有否可恢复的其他数据。三、追踪上面提到的取证步骤是基于静态的，即事件发生后对目标系统的静态分析。随着犯罪技术手段升级，这种静态的分析已经无法满足要求，发展趋势是将取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。对某些特定案件，如网络遭受黑客攻击，应收集的证据包括：系统登录文件、应用登录文件、网络日志、防火墙登录、磁盘驱动器、文件备份、电话记录等等。当在取证期间犯罪还在不断的入侵计算机系统，采用入侵检测系统对网络攻击进行监测是十分必要的，或者通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。四、提交结果通过全面分析结果，给出分析结论：整体情况，发现的文件结构、数据和作者的信息，对信息的任何隐藏、删除、保护、加密企图以及在调查中发现的其他的相关信息。标明提取时间、地点、机器、提取人及见证人。第三节计算机取证工作中的现场勘查现场勘查是刑侦破案工作的第一步，也是重要环节之一。这项工作做得充分，可以为今后破案工作打下了基础，否则可能造成不必要的周折，甚至无法破案。现场勘查工作核心和重点是要保留下现场原始资料和数据，做到宁多勿缺。在进行计算机取证现场勘查时，主要完成以下一些工作：（一）首先用录像机和照相机设备将现场情况进行记录，并保护现场先对整个犯罪现场进行拍摄，然后逐步靠近可疑的电子设备，直到能够清楚地拍摄到该设备的前后两面，重点拍摄整个现场情况、机器的屏幕状态、外接设备情况、网络连接情况、一些特殊性序列号和标志。在拍摄过程中应该保持系统各种电缆的连接。在某些情况下需要断开电源再进行拍摄，并记录下当时设备的状态（开关状态、屏幕状态等）。同时绘制犯罪现场图、网络拓扑图，为今后模拟和犯罪现场还原提供直接依据。同时，保护现场，防止犯罪嫌疑人、调查人员故意或无意破坏现场的证据。（二）提取计算机易失性数据计算机易失性数据是指经过一段时间、关闭电源或者计算机重新启动后可能改变或丢失的信息。要用相机拍照、屏幕抓屏、打印等方式记录以下信息：·屏幕上正在编辑或浏览的文档内容·正在浏览的网页信息，网页上用户名、个人资料信息·当前网络连接状态，此时上网的IP地址、MAC地址·计算机内存中的内容·系统时间、日期和时区信息注意：1．要正确判断计算机开机状态。如果计算机已经打开，不要关闭计算机，不要关闭计算机上的任何窗口和软件。如果计算机没有打开，不要打开计算机。2．不要打开计算机上的任何文件、运行任何程序。3．有些网页或正在编辑的文档内容较多，要采用多次拍照、抓屏的办法固定证据。（三）进行采集指纹、足迹等传统的现场勘查工作（四）封存计算机·在提取易失性数据后，首先要直接拔掉电源。·在封存前，记录下该计算机信息系统和相关设备的连接状态。·拆卸计算机及其连接设备。拆卸设备时，每一对连接点分别粘上相应标签，标以相同序号。同时，为每个设备编号，记录设备型号等参数。·用一次性封条将机箱和各接口封起来，注明提取时间、地点、设备编号等信息，加盖单位公章。（五）收集、封存现场其它证物·其它计算机外部存储介质，如移动硬盘、光盘、U盘、MP3、MP4、各种存储卡等，特殊存储介质还要找到其配套的读取设备和说明书。·数码相机、数码摄像机、数码录音笔等·移动电话和PDA·上机记录、工作日志、各种打印结果等·各种传统证物（六）对不能停止运行的计算机系统的做法对不能停止运行的系统，要在短时间内完成对系统现场数据的备份工作，恢复系统运行。这种备份不是文件一级的备份，而是将磁盘中所有数据按其物理存放格式（如：逐扇区，包括坏扇区）进行备份。对某些特定案件（如ISP招受黑