試論涉及電子證據(jù)的犯罪現(xiàn)場(chǎng)取證調(diào)查

計(jì)算機(jī)取證期中作業(yè)涉及電子證據(jù)的犯罪現(xiàn)場(chǎng)取證調(diào)查計(jì)算機(jī)學(xué)院信息安全專(zhuān)業(yè)〔3〕組員：何丹、周夢(mèng)甜、賴(lài)江琴〔3、王棟〔1〕20231015試論涉及電子證據(jù)的犯罪現(xiàn)場(chǎng)取證調(diào)查引言隨著信息化社會(huì)的到來(lái)，越來(lái)越多的刑事案件涉及到電子證據(jù)。到達(dá)拋磚引玉的目的。一、簡(jiǎn)介-----對(duì)電子證據(jù)的法律強(qiáng)制回應(yīng)------潛在種類(lèi)的電子證據(jù)------數(shù)字取證的規(guī)章------取證過(guò)程1、對(duì)電子證據(jù)的法律強(qiáng)制回應(yīng)-------計(jì)算機(jī)涉及的犯罪行為可能包括工具、證據(jù)的貯存庫(kù)、目標(biāo)-------很多類(lèi)型的工作人員參與應(yīng)對(duì)犯罪涉及計(jì)算機(jī)操作系統(tǒng)、調(diào)-------首先回應(yīng)的可能是法律強(qiáng)制中的任何人留意保護(hù)電子證據(jù)的損失或篡改2、潛在種類(lèi)的電子證據(jù)-------電子證據(jù)是指有爭(zhēng)論性?xún)r(jià)值的通過(guò)電子設(shè)備存儲(chǔ)或傳輸?shù)男畔⒑蛿?shù)據(jù)。-------電子證據(jù)之所以潛在〔像指紋、基因證據(jù)〕是由于不能明顯業(yè)的指正去解釋剖析。------電子證據(jù)的脆弱性要的。3、數(shù)字取證的規(guī)章不損害任何證據(jù)！例如不讓業(yè)余人員搜集數(shù)字證據(jù)4、取證過(guò)程------搜集：掃瞄、區(qū)分、搜集、證據(jù)文檔------檢驗(yàn)〔技術(shù)透視〕記錄的內(nèi)容、證據(jù)的狀態(tài)；顯露隱蔽的數(shù)據(jù)；識(shí)別相關(guān)的數(shù)據(jù)------分析〔合法的透視〕------報(bào)告特地證據(jù)的過(guò)程筆記；結(jié)果；牢靠性。二、電子證據(jù)的種類(lèi)電子證據(jù)是以數(shù)字化信息編碼的形式消滅是以數(shù)字化信息編碼的形式消滅的數(shù)據(jù)表現(xiàn)形式據(jù)收集的傳統(tǒng)方法有較大的區(qū)分。筆者認(rèn)為，對(duì)電子證據(jù)的收集，必需強(qiáng)的證明力。------它常常作為指紋或基因證據(jù)潛藏在同樣的現(xiàn)場(chǎng)------可以輕松快速地跨越國(guó)界------它是脆弱的，可以很簡(jiǎn)潔地涂改、損毀或銷(xiāo)毀。------有時(shí)候會(huì)有時(shí)間敏感度------因此只有那些具有專(zhuān)長(zhǎng)的人應(yīng)當(dāng)可以處理電子證據(jù)據(jù)捕獲工具常常需要訓(xùn)練。電子證據(jù)收集的四個(gè)步驟；三、在犯罪現(xiàn)場(chǎng)處理電子證據(jù)1、預(yù)備工作 打印對(duì)于可以直觀或直接反映或證明案件事實(shí)的電子證據(jù)機(jī)中的位置〔如存放于那個(gè)文件夾中等〕或來(lái)源、取證人員等。 拷貝U盤(pán)、移動(dòng)硬盤(pán)或光盤(pán)U盤(pán)，移動(dòng)硬盤(pán)或光盤(pán)，確認(rèn)式不當(dāng)?shù)染売啥鴮?dǎo)致的拷貝不成功或感染有病毒等取的時(shí)間并封閉。------拍照、攝像證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。此外，在電子證據(jù)取證過(guò)程中，對(duì)取證全程進(jìn)展拍照、攝像，對(duì)被固定采集的電子證據(jù)的真實(shí)性具有確定的增加作用。------查封、扣押申請(qǐng)執(zhí)法機(jī)關(guān)對(duì)于涉及案件的電子證據(jù)的載體進(jìn)展實(shí)行查封、扣押，將有關(guān)載體置于執(zhí)法機(jī)關(guān)保管之下。之后再對(duì)該電子證據(jù)進(jìn)展分析、解讀。 公證通過(guò)公證機(jī)構(gòu)以證據(jù)保全公證的方式對(duì)有關(guān)電子證據(jù)進(jìn)展公證有效獵取電子證據(jù)的便捷途徑。------數(shù)據(jù)解析對(duì)于不能直接或直觀的證明案件事實(shí)的電子證據(jù)狀況下，運(yùn)用特定的軟件工具，對(duì)相關(guān)數(shù)據(jù)進(jìn)展分析、轉(zhuǎn)化，使得其可以直觀的形態(tài)為人們所認(rèn)知或了解。 恢復(fù)大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)能。因此，當(dāng)有關(guān)電子證據(jù)已經(jīng)被修改、破壞的，可以通過(guò)對(duì)自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過(guò)的數(shù)據(jù)證據(jù)進(jìn)展比較、恢復(fù)，獵取電子證據(jù)，也可以使用一些特地的恢復(fù)性軟件或特地設(shè)備來(lái)恢復(fù)2、電子證據(jù)固定采集的留意事項(xiàng)集進(jìn)展目標(biāo)、方法、步驟上的指導(dǎo)和要求。------電子證據(jù)固定采集的具體操作人員實(shí)際進(jìn)展。應(yīng)在公證機(jī)關(guān)或中立第三方的工作場(chǎng)所進(jìn)展。他數(shù)碼設(shè)備，建議使用公證機(jī)關(guān)或中立第三方的設(shè)備。IP關(guān)電子證據(jù)的真實(shí)性。用于固定相關(guān)電子證據(jù)的載體應(yīng)當(dāng)是干凈的、未受污染的。------在使用非第三方的計(jì)算機(jī)或電子設(shè)備進(jìn)展電子證據(jù)的固定采集時(shí)，須由專(zhuān)業(yè)人員對(duì)該計(jì)算機(jī)及電子設(shè)備進(jìn)展“清潔性檢查”。所謂“清潔性檢查”是指對(duì)相關(guān)計(jì)算機(jī)或電子設(shè)備中的軟件系統(tǒng)、功能、配置進(jìn)展查看或固定，以確保通過(guò)該計(jì)算機(jī)或電子設(shè)備所獵取的電子證據(jù)的真實(shí)性以及數(shù)據(jù)來(lái)源的唯一性。設(shè)備、介質(zhì)等，應(yīng)當(dāng)提存原物并伴同電子證據(jù)一并固定采集。------某些專(zhuān)業(yè)的電子證據(jù)取證設(shè)備或軟件供給的電子證據(jù)固定采集的相關(guān)專(zhuān)業(yè)技術(shù)效勞定采集的一種有效途徑。這有助于提高相關(guān)電子證據(jù)的證明力。------電子證據(jù)的脆弱性和易篡改的兩個(gè)副本復(fù)制在只能寫(xiě)入一次的介質(zhì)上〔如非可擦寫(xiě)光盤(pán)，防止被提取到的電子證據(jù)意外被轉(zhuǎn)變。------第三方所作的提取筆錄形式將復(fù)制的時(shí)間處理人員、使用軟硬件、復(fù)制過(guò)程等事項(xiàng)記錄下來(lái)，以確保電子證據(jù)的合法性、真實(shí)性、關(guān)聯(lián)性與完整性。------得轉(zhuǎn)變?cè)甲C據(jù)或原始數(shù)據(jù)。3、電子證據(jù)的鑒定電子證據(jù)司法鑒定的主體應(yīng)具有確定的資格具備計(jì)算機(jī)科學(xué)網(wǎng)絡(luò)特地學(xué)問(wèn)的人法律、規(guī)律、審計(jì)等學(xué)問(wèn)。電子證據(jù)司法鑒定是司法鑒定中較為特別的一類(lèi)鑒定司法鑒定工作需要提取相應(yīng)的計(jì)算機(jī)信息關(guān)于其定義，眾說(shuō)紛紜，筆者認(rèn)為法鑒定的定義應(yīng)當(dāng)包含以下幾點(diǎn)：------電子證據(jù)司法鑒定的主體應(yīng)具有確定的資格是具備計(jì)算機(jī)科學(xué)網(wǎng)絡(luò)特地學(xué)問(wèn)的人有法律、規(guī)律、審計(jì)等學(xué)問(wèn)。------電子證據(jù)司法鑒定客體的范圍定，對(duì)取證過(guò)程中取得的證據(jù)鏈進(jìn)展鑒定等等。從廣義的范圍來(lái)說(shuō)，還包括對(duì)電子證據(jù)的提取、分析等內(nèi)容。------電子證據(jù)司法鑒定應(yīng)符合規(guī)定的程序一樣，都要分為申請(qǐng)、托付、受理、實(shí)施、出具結(jié)論等階段。由于電子證據(jù)具有脆弱性、易更改性等特點(diǎn)，收集電子證據(jù)的程序合法，程4、全面做好現(xiàn)場(chǎng)記錄現(xiàn)場(chǎng)記錄可將現(xiàn)場(chǎng)狀況永久性保存下來(lái)可以為El備的位置。例如鼠標(biāo)放在計(jì)算機(jī)左側(cè)，則操作者可能慣用左手操作。運(yùn)轉(zhuǎn)的聲音，來(lái)推斷其是否是在工作。假設(shè)計(jì)算機(jī)確實(shí)是關(guān)閉的，感3600畫(huà)面是活動(dòng)的，例如某項(xiàng)程序正在執(zhí)行，則應(yīng)快速用攝像機(jī)將其記錄下來(lái)。5、收集和保全電子證據(jù)搜集：證據(jù)的收集，必需針對(duì)電子證據(jù)易偽造、具有隱蔽性的特性，才能使電子證據(jù)發(fā)揮更強(qiáng)的證明力。------依法收集電子證據(jù)網(wǎng)頁(yè);偽造的電子信件等等，偵查人員就必需推斷其內(nèi)容的真實(shí)性。收集中除了遵循刑事訴訟法對(duì)取證的規(guī)定外特點(diǎn)嚴(yán)格依據(jù)法律規(guī)定的程序進(jìn)展體，必需有見(jiàn)證人在場(chǎng)等。------全面收集電子證據(jù)收集電子證據(jù)時(shí)必需對(duì)一樣內(nèi)容的證據(jù)全部收集的原始狀態(tài)具有重要作用。收集電子證據(jù)的同時(shí)要收集存儲(chǔ)的載體CPU、MAC收集電子證據(jù)同時(shí)要收集與電子證據(jù)相關(guān)聯(lián)的電子程序軟件的證據(jù)時(shí)應(yīng)當(dāng)同時(shí)記錄電子證據(jù)所處的操作系統(tǒng)呈現(xiàn)。收集電子證據(jù)同時(shí)要收集與電子證據(jù)相關(guān)聯(lián)的收集電子證據(jù)的據(jù)會(huì)因形不成證據(jù)鏈而失去證明力的放置地點(diǎn)、連接網(wǎng)絡(luò)狀況、各接口的連接狀況、計(jì)算機(jī)的IP地址等相關(guān)外部信息。6、正確扣押電子證據(jù)等;留意安全，例如，存放時(shí)應(yīng)當(dāng)遠(yuǎn)離強(qiáng)磁場(chǎng)、高溫、高壓、靜電等，使用時(shí)應(yīng)當(dāng)留意對(duì)計(jì)算機(jī)病毒的檢測(cè)。進(jìn)展公證。7、科學(xué)固定電子證據(jù)電子證據(jù)由于簡(jiǎn)潔被偽造、刪除、篡改，故科學(xué)固定電子證據(jù)是只有在文件較多不便利現(xiàn)場(chǎng)打印的狀況下，才可以單獨(dú)使用拷貝方式。印過(guò)程中修改文件。打印完畢后，可以依據(jù)書(shū)證的固定方法，予以固等)。承受拷貝方式固定電子證據(jù)進(jìn)展檢查。首先進(jìn)展病毒檢測(cè)，然后翻開(kāi)文件檢查拷貝的質(zhì)量過(guò)檢測(cè)覺(jué)察病毒，則應(yīng)領(lǐng)先消毒，后翻開(kāi)文件檢查。制作檢查筆錄。無(wú)論實(shí)行哪種取證方式，在固定證據(jù)后，應(yīng)當(dāng)現(xiàn)括:案由、參與檢查的人員姓名及職務(wù)、檢查的簡(jiǎn)要過(guò)程，主要包括檢查時(shí)間、地點(diǎn)及檢查挨次等、檢查中消滅的問(wèn)題及解決方法察院)的電子數(shù)據(jù)作為對(duì)方有過(guò)錯(cuò)的證據(jù)曾被法庭采信開(kāi)電腦和進(jìn)入網(wǎng)頁(yè)的程序以及對(duì)電腦中消滅的內(nèi)容進(jìn)展復(fù)制等等進(jìn)展全程現(xiàn)場(chǎng)監(jiān)視和記錄。同時(shí)，法律效力的保全證據(jù)公證書(shū)。8、打包和轉(zhuǎn)移電子證據(jù)四、電子設(shè)備數(shù)字取證工具箱：便攜式根本硬件工具：螺絲刀，起子，鉗子，防水的、穩(wěn)定的塑料證據(jù)袋標(biāo)簽和不行消退的標(biāo)記驅(qū)動(dòng)媒體：DOS啟動(dòng)、光盤(pán)啟動(dòng)、USB設(shè)備啟動(dòng)、軟件啟動(dòng)電纜：USB、火線、CAT5直流、電線帶有工具和手提電腦集成拍攝功能或能與PC機(jī)連接的PDA〔為保護(hù)硬盤(pán)上的內(nèi)容不受破壞〕行李推車(chē)電源板、配電盤(pán)記錄簿手套USB為獵取數(shù)據(jù)的取證平臺(tái)〔例如，專(zhuān)業(yè)工具〕專(zhuān)業(yè)取證工具：美國(guó)Logicube公司〔〕“://logicube/“://logicube/主流硬盤(pán)拷貝系統(tǒng)使用在〔IT部門(mén)〕支持各種各樣的驅(qū)動(dòng)借口和連接的設(shè)備：IDE(IntegratedDeviceElectronicsSATA(SerialAdvancedTechnologyAttachment)串行ATA接口標(biāo)準(zhǔn)、SAS〔statisticalanalysissystem〕SCIC(smallcomputersysteminterface)小型計(jì)算機(jī)系統(tǒng)接口、USB(UniversalSerialBus)通用串行總線構(gòu)架1、建立你的搜尋參數(shù)什么樣類(lèi)型的證據(jù)，是否是照片，文檔，區(qū)議會(huì)，電子郵件等；其次還要知道用戶(hù)〔嫌疑人〕的計(jì)算機(jī)技能水平；取證所涉及的不同種硬件，包括電腦系統(tǒng)版本，以及關(guān)聯(lián)的掌上電腦，手機(jī)，手表等；取證相關(guān)的軟件；另外，還要考慮是否要搜集其他形式的證據(jù)，如指紋，〔分協(xié)議，拓?fù)??〕〔ISP〕〔包括用戶(hù)的ID，密碼，是否加密等〕，取證現(xiàn)場(chǎng)是否裝有定時(shí)炸彈等問(wèn)題。2、現(xiàn)場(chǎng)的治理調(diào)查首先要留意保持完整的數(shù)據(jù)收集過(guò)程差，或者停頓。此外，還要對(duì)相關(guān)的設(shè)備作一些必要的評(píng)估工作。對(duì)2、找出計(jì)算機(jī)中的可疑數(shù)據(jù)DragonDictation語(yǔ)音識(shí)別軟件Windows系統(tǒng)的語(yǔ)音識(shí)別程序必要，我們還可以實(shí)行強(qiáng)制行手段，決不允許他們?cè)俅谓佑|電腦。3、保護(hù)現(xiàn)場(chǎng)為了保護(hù)現(xiàn)場(chǎng)，以備必要時(shí)恢復(fù)現(xiàn)場(chǎng)，我們要對(duì)現(xiàn)場(chǎng)進(jìn)展拍照。目前我們通常使用數(shù)碼相機(jī)來(lái)對(duì)現(xiàn)場(chǎng)進(jìn)展拍攝。而作為證據(jù)的照片，都會(huì)經(jīng)過(guò)真?zhèn)蔚膮^(qū)分前方可成為有效證據(jù)性。在現(xiàn)場(chǎng)，我們需要拍攝正在開(kāi)啟的電腦屏幕，特別是系統(tǒng)時(shí)間。再也不是一個(gè)考慮的因素，所以可以盡可能多的拍攝好現(xiàn)場(chǎng)。4、斷開(kāi)外把握斷開(kāi)外部的把握，主要指移除網(wǎng)絡(luò)連接。這包括線戶(hù)環(huán)路，有線/衛(wèi)星的調(diào)至解調(diào)器。有可能可疑的數(shù)據(jù)正在被存儲(chǔ)到遠(yuǎn)程的系統(tǒng)上。無(wú)線連接可能比較難處理，由于它們不明顯，無(wú)線I/F可能被納入電腦機(jī)箱，尤其是在筆記本電腦上。另外，還要留意家庭網(wǎng)絡(luò)，有可能證據(jù)就是存放在某個(gè)位置。5、處理下載假設(shè)系統(tǒng)有跡象顯示該用戶(hù)正在下載文件要拍下整個(gè)下載的過(guò)程。6、計(jì)算機(jī)斷電中。同時(shí)，我們還要考慮具體的操作系統(tǒng)腦。7、確定操作系統(tǒng)因此要確定操作系統(tǒng)的版本MacWindowsUnix系統(tǒng)，硬件的特定操作系統(tǒng)〔手機(jī)，掌上電腦〕等。不同的版本，必需要有適宜的工具和程序，以避開(kāi)不準(zhǔn)確拷貝。對(duì)此，我們將來(lái)還可能用到更先進(jìn)的工具。8、保存正在運(yùn)行的程序的相關(guān)數(shù)據(jù)假設(shè)觀看某個(gè)程序正在運(yùn)行(例如,在運(yùn)行程序條)，我們是馬上導(dǎo)致數(shù)據(jù)的喪失。從而我們要了解計(jì)算機(jī)內(nèi)存工作的原理及其本質(zhì)。電而遭到破壞。9、保存內(nèi)存中的數(shù)據(jù)(VM據(jù)存儲(chǔ)到貯存硬盤(pán)空間。數(shù)據(jù)流在虛擬機(jī)和RAMRAM禁用虛擬機(jī)，由于有大量的RAM〔例如2GB〕。我們可以用特地保存RAM于手機(jī)和掌上電腦，但是它們依靠電池供電的性?xún)?nèi)來(lái)存儲(chǔ)數(shù)據(jù)。10、在現(xiàn)場(chǎng)處理的具體操作系統(tǒng)常用的操作系統(tǒng)有：微軟操作系統(tǒng)，從Windows3.11到XP，麥金塔，Unix/Linux操作系統(tǒng)，特別工具用于PDA〔例如，棕櫚，視窗CE〕。11、筆記本電腦拔下筆記本電腦的電源插座，它會(huì)馬上切換到電池電源。因此，絲。我們需要留意的是，要使用套袋防止靜電，及裝運(yùn)筆記本電腦電池。12、拆卸電腦拆卸電腦極為重要的是保證每臺(tái)計(jì)算機(jī)都可以被重組合完全〔即完畢哪臺(tái)計(jì)算機(jī)和端口行標(biāo)記。六、現(xiàn)場(chǎng)記錄附加證據(jù)的保護(hù)在計(jì)算機(jī)取證的過(guò)程中有多少外圍設(shè)備需要我們扣押查封呢？查令中條款，依法扣押搜查令中授權(quán)的設(shè)備；其次，是依據(jù)說(shuō)容問(wèn)題。有時(shí)候，不起眼的外圍設(shè)備中會(huì)隱蔽重要的取證線索和資料?！部赡芘臄z有犯罪現(xiàn)場(chǎng)或有關(guān)嫌疑人的照片、玩耍機(jī)〔例如XboxPS、掃描儀〔檢查電子掃描iPods〔可以裝載電腦的數(shù)據(jù)和操作環(huán)境、計(jì)算器〔具有格外大的內(nèi)存。其他證據(jù)。例如：一些紙質(zhì)便簽、文件；數(shù)字存儲(chǔ)媒介〔磁質(zhì)帶中的具體內(nèi)容等等。以前提到過(guò)的較為明顯的設(shè)備，例如：掌上電腦、手機(jī)手表。較為小巧的USB變?nèi)f化，在取證時(shí)難以覺(jué)察。運(yùn)輸前的預(yù)備工作OIC在