试论涉及电子证据的犯罪现场取证调查

计算机取证期中作业涉及电子证据的犯罪现场取证调查计算机学院信息安全专业〔3〕组员：何丹、周梦甜、赖江琴〔3、王栋〔1〕20231015试论涉及电子证据的犯罪现场取证调查引言随着信息化社会的到来，越来越多的刑事案件涉及到电子证据。到达抛砖引玉的目的。一、简介-----对电子证据的法律强制回应------潜在种类的电子证据------数字取证的规章------取证过程1、对电子证据的法律强制回应-------计算机涉及的犯罪行为可能包括工具、证据的贮存库、目标-------很多类型的工作人员参与应对犯罪涉及计算机操作系统、调-------首先回应的可能是法律强制中的任何人留意保护电子证据的损失或篡改2、潜在种类的电子证据-------电子证据是指有争论性价值的通过电子设备存储或传输的信息和数据。-------电子证据之所以潜在〔像指纹、基因证据〕是由于不能明显业的指正去解释剖析。------电子证据的脆弱性要的。3、数字取证的规章不损害任何证据！例如不让业余人员搜集数字证据4、取证过程------搜集：扫瞄、区分、搜集、证据文档------检验〔技术透视〕记录的内容、证据的状态；显露隐蔽的数据；识别相关的数据------分析〔合法的透视〕------报告特地证据的过程笔记；结果；牢靠性。二、电子证据的种类电子证据是以数字化信息编码的形式消灭是以数字化信息编码的形式消灭的数据表现形式据收集的传统方法有较大的区分。笔者认为，对电子证据的收集，必需强的证明力。------它常常作为指纹或基因证据潜藏在同样的现场------可以轻松快速地跨越国界------它是脆弱的，可以很简洁地涂改、损毁或销毁。------有时候会有时间敏感度------因此只有那些具有专长的人应当可以处理电子证据据捕获工具常常需要训练。电子证据收集的四个步骤；三、在犯罪现场处理电子证据1、预备工作 打印对于可以直观或直接反映或证明案件事实的电子证据机中的位置〔如存放于那个文件夹中等〕或来源、取证人员等。 拷贝U盘、移动硬盘或光盘U盘，移动硬盘或光盘，确认式不当等缘由而导致的拷贝不成功或感染有病毒等取的时间并封闭。------拍照、摄像证据的提取和固定，以便全面、充分地反映证据的证明作用。此外，在电子证据取证过程中，对取证全程进展拍照、摄像，对被固定采集的电子证据的真实性具有确定的增加作用。------查封、扣押申请执法机关对于涉及案件的电子证据的载体进展实行查封、扣押，将有关载体置于执法机关保管之下。之后再对该电子证据进展分析、解读。 公证通过公证机构以证据保全公证的方式对有关电子证据进展公证有效猎取电子证据的便捷途径。------数据解析对于不能直接或直观的证明案件事实的电子证据状况下，运用特定的软件工具，对相关数据进展分析、转化，使得其可以直观的形态为人们所认知或了解。 恢复大多数计算机系统都有自动生成备份数据和恢复数据能。因此，当有关电子证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进展比较、恢复，猎取电子证据，也可以使用一些特地的恢复性软件或特地设备来恢复2、电子证据固定采集的留意事项集进展目标、方法、步骤上的指导和要求。------电子证据固定采集的具体操作人员实际进展。应在公证机关或中立第三方的工作场所进展。他数码设备，建议使用公证机关或中立第三方的设备。IP关电子证据的真实性。用于固定相关电子证据的载体应当是干净的、未受污染的。------在使用非第三方的计算机或电子设备进展电子证据的固定采集时，须由专业人员对该计算机及电子设备进展“清洁性检查”。所谓“清洁性检查”是指对相关计算机或电子设备中的软件系统、功能、配置进展查看或固定，以确保通过该计算机或电子设备所猎取的电子证据的真实性以及数据来源的唯一性。设备、介质等，应当提存原物并伴同电子证据一并固定采集。------某些专业的电子证据取证设备或软件供给的电子证据固定采集的相关专业技术效劳定采集的一种有效途径。这有助于提高相关电子证据的证明力。------电子证据的脆弱性和易篡改的两个副本复制在只能写入一次的介质上〔如非可擦写光盘，防止被提取到的电子证据意外被转变。------第三方所作的提取笔录形式将复制的时间处理人员、使用软硬件、复制过程等事项记录下来，以确保电子证据的合法性、真实性、关联性与完整性。------得转变原始证据或原始数据。3、电子证据的鉴定电子证据司法鉴定的主体应具有确定的资格具备计算机科学网络特地学问的人法律、规律、审计等学问。电子证据司法鉴定是司法鉴定中较为特别的一类鉴定司法鉴定工作需要提取相应的计算机信息关于其定义，众说纷纭，笔者认为法鉴定的定义应当包含以下几点：------电子证据司法鉴定的主体应具有确定的资格是具备计算机科学网络特地学问的人有法律、规律、审计等学问。------电子证据司法鉴定客体的范围定，对取证过程中取得的证据链进展鉴定等等。从广义的范围来说，还包括对电子证据的提取、分析等内容。------电子证据司法鉴定应符合规定的程序一样，都要分为申请、托付、受理、实施、出具结论等阶段。由于电子证据具有脆弱性、易更改性等特点，收集电子证据的程序合法，程4、全面做好现场记录现场记录可将现场状况永久性保存下来可以为El备的位置。例如鼠标放在计算机左侧，则操作者可能惯用左手操作。运转的声音，来推断其是否是在工作。假设计算机确实是关闭的，感3600画面是活动的，例如某项程序正在执行，则应快速用摄像机将其记录下来。5、收集和保全电子证据搜集：证据的收集，必需针对电子证据易伪造、具有隐蔽性的特性，才能使电子证据发挥更强的证明力。------依法收集电子证据网页;伪造的电子信件等等，侦查人员就必需推断其内容的真实性。收集中除了遵循刑事诉讼法对取证的规定外特点严格依据法律规定的程序进展体，必需有见证人在场等。------全面收集电子证据收集电子证据时必需对一样内容的证据全部收集的原始状态具有重要作用。收集电子证据的同时要收集存储的载体CPU、MAC收集电子证据同时要收集与电子证据相关联的电子程序软件的证据时应当同时记录电子证据所处的操作系统呈现。收集电子证据同时要收集与电子证据相关联的收集电子证据的据会因形不成证据链而失去证明力的放置地点、连接网络状况、各接口的连接状况、计算机的IP地址等相关外部信息。6、正确扣押电子证据等;留意安全，例如，存放时应当远离强磁场、高温、高压、静电等，使用时应当留意对计算机病毒的检测。进展公证。7、科学固定电子证据电子证据由于简洁被伪造、删除、篡改，故科学固定电子证据是只有在文件较多不便利现场打印的状况下，才可以单独使用拷贝方式。印过程中修改文件。打印完毕后，可以依据书证的固定方法，予以固等)。承受拷贝方式固定电子证据进展检查。首先进展病毒检测，然后翻开文件检查拷贝的质量过检测觉察病毒，则应领先消毒，后翻开文件检查。制作检查笔录。无论实行哪种取证方式，在固定证据后，应当现括:案由、参与检查的人员姓名及职务、检查的简要过程，主要包括检查时间、地点及检查挨次等、检查中消灭的问题及解决方法察院)的电子数据作为对方有过错的证据曾被法庭采信开电脑和进入网页的程序以及对电脑中消灭的内容进展复制等等进展全程现场监视和记录。同时，法律效力的保全证据公证书。8、打包和转移电子证据四、电子设备数字取证工具箱：便携式根本硬件工具：螺丝刀，起子，钳子，防水的、稳定的塑料证据袋标签和不行消退的标记驱动媒体：DOS启动、光盘启动、USB设备启动、软件启动电缆：USB、火线、CAT5直流、电线带有工具和手提电脑集成拍摄功能或能与PC机连接的PDA〔为保护硬盘上的内容不受破坏〕行李推车电源板、配电盘记录簿手套USB为猎取数据的取证平台〔例如，专业工具〕专业取证工具：美国Logicube公司〔〕“://logicube/“://logicube/主流硬盘拷贝系统使用在〔IT部门〕支持各种各样的驱动借口和连接的设备：IDE(IntegratedDeviceElectronicsSATA(SerialAdvancedTechnologyAttachment)串行ATA接口标准、SAS〔statisticalanalysissystem〕SCIC(smallcomputersysteminterface)小型计算机系统接口、USB(UniversalSerialBus)通用串行总线构架1、建立你的搜寻参数什么样类型的证据，是否是照片，文档，区议会，电子邮件等；其次还要知道用户〔嫌疑人〕的计算机技能水平；取证所涉及的不同种硬件，包括电脑系统版本，以及关联的掌上电脑，手机，手表等；取证相关的软件；另外，还要考虑是否要搜集其他形式的证据，如指纹，〔分协议，拓扑„„〕〔ISP〕〔包括用户的ID，密码，是否加密等〕，取证现场是否装有定时炸弹等问题。2、现场的治理调查首先要留意保持完整的数据收集过程差，或者停顿。此外，还要对相关的设备作一些必要的评估工作。对2、找出计算机中的可疑数据DragonDictation语音识别软件Windows系统的语音识别程序必要，我们还可以实行强制行手段，决不允许他们再次接触电脑。3、保护现场为了保护现场，以备必要时恢复现场，我们要对现场进展拍照。目前我们通常使用数码相机来对现场进展拍摄。而作为证据的照片，都会经过真伪的区分前方可成为有效证据性。在现场，我们需要拍摄正在开启的电脑屏幕，特别是系统时间。再也不是一个考虑的因素，所以可以尽可能多的拍摄好现场。4、断开外把握断开外部的把握，主要指移除网络连接。这包括线户环路，有线/卫星的调至解调器。有可能可疑的数据正在被存储到远程的系统上。无线连接可能比较难处理，由于它们不明显，无线I/F可能被纳入电脑机箱，尤其是在笔记本电脑上。另外，还要留意家庭网络，有可能证据就是存放在某个位置。5、处理下载假设系统有迹象显示该用户正在下载文件要拍下整个下载的过程。6、计算机断电中。同时，我们还要考虑具体的操作系统脑。7、确定操作系统因此要确定操作系统的版本MacWindowsUnix系统，硬件的特定操作系统〔手机，掌上电脑〕等。不同的版本，必需要有适宜的工具和程序，以避开不准确拷贝。对此，我们将来还可能用到更先进的工具。8、保存正在运行的程序的相关数据假设观看某个程序正在运行(例如,在运行程序条)，我们是马上导致数据的丧失。从而我们要了解计算机内存工作的原理及其本质。电而遭到破坏。9、保存内存中的数据(VM据存储到贮存硬盘空间。数据流在虚拟机和RAMRAM禁用虚拟机，由于有大量的RAM〔例如2GB〕。我们可以用特地保存RAM于手机和掌上电脑，但是它们依靠电池供电的性内来存储数据。10、在现场处理的具体操作系统常用的操作系统有：微软操作系统，从Windows3.11到XP，麦金塔，Unix/Linux操作系统，特别工具用于PDA〔例如，棕榈，视窗CE〕。11、笔记本电脑拔下笔记本电脑的电源插座，它会马上切换到电池电源。因此，丝。我们需要留意的是，要使用套袋防止静电，及装运笔记本电脑电池。12、拆卸电脑拆卸电脑极为重要的是保证每台计算机都可以被重组合完全〔即完毕哪台计算机和端口行标记。六、现场记录附加证据的保护在计算机取证的过程中有多少外围设备需要我们扣押查封呢？查令中条款，依法扣押搜查令中授权的设备；其次，是依据说容问题。有时候，不起眼的外围设备中会隐蔽重要的取证线索和资料。〔可能拍摄有犯罪现场或有关嫌疑人的照片、玩耍机〔例如XboxPS、扫描仪〔检查电子扫描iPods〔可以装载电脑的数据和操作环境、计算器〔具有格外大的内存。其他证据。例如：一些纸质便签、文件；数字存储媒介〔磁质带中的具体内容等等。以前提到过的较为明显的设备，例如：掌上电脑、手机手表。较为小巧的USB变万化，在取证时难以觉察。运输前的预备工作OIC在