电子证据概述及实际运用Word文档格式.docx
《电子证据概述及实际运用Word文档格式.docx》由会员分享,可在线阅读,更多相关《电子证据概述及实际运用Word文档格式.docx(20页珍藏版)》请在冰点文库上搜索。
、尽管从概念的内涵和外延等角度考量,这几种关于电子证据的本质属性和对象范围的描述仍有认知上的差异,我们还是能够在一定范围内达成共识:
首先电子证据的产生、存储和运输离不开计算机技术、存储技术、网络技术的支持;
其次,经过现代化的计算工具和信息处理设备的加工,信息经历了数字化的过程,转换为二进制的机器语言,实现了证据电子化。
“电磁记录物”、“数码信息”、“计算机存储的材料”、“电子数据”等用语实际上正说明了电子证据的独特存在形式。
再次,电子证据是能够证明一定案件事实的证据,这是其作为诉讼证据的必要条件,因此,不能把保存在计算机及其外围设备中的数据都看成是电子证据。
笔者认为,由于电子证据的研究在司法和计算机科学等领域还是一个新课题,因此对电子证据的概念一时难有定论。
令人欣慰的是,目前的研究者虽然对电子证据的理解程度和角度有所不同,但是对电子证据的本质属性却达成了一定的共识,这就为进一步的合作研究与交流打下了基础。
2.
电子证据的特征
特征是作为人或事物特点的征象、标志等。
特点是人或事物所具有的独特之处,因此它排除了与他人或他事物共性的东西。
既然电子证据是一种新的证据形式,我们就要分析它的“独特之处”。
对电子证据特点的归纳主要有以下两种观点可供参考:
观点1:
电子证据具有无形性、多样性、客观真实性、易破坏性等特征
电子证据首先具有内在实质上的无形性,也就是说电子证据实质上只是一堆按编码规则处理成的“0”和“1”,看不见,摸不着。
其次,电子证据外在表现形式的多样性,它不仅可体现为文本形式,还可以图形、图像、动画、音频及视频等多媒体形式出现,由于其借助具有集成性、交互性、实时性的计算机及其网络系统,极大地改变了证据的运作方式。
再次,电子证据具有客观真实性。
排除人为篡改、差错和故障等因素,电子证据是所有证据中最具证明力的一种,它存储方便,表现丰富,可长期无损保存及随时反复重现。
另外,电子证据具有易破坏性,由于电子数据是以“比特”的形式存在的,是非连续的,数据被人为篡改后,如果没有可资对照的副本、映像文件就难以查清、难以判断。
至于误操作、病毒、软硬件故障、系统崩溃、突然断电等意志以外的因素也可导致数据失真。
观点2:
电子证据除具有高科技性、无形性、复合性、易破坏性等特征外,还具有收集迅速,易于保存,占用空间少,传送和运输方便,可以反复重现,作为证据易于使用、审查、核对,便于操作等特点。
观点3:
电子证据具有双重性、多媒体性、隐蔽性、易保管、传输方便、可反复重现、便于使用等特征。
双重性是指电子证据具有较高的精密性和脆弱性,既有高科技为依托,又存在易错和易毁损的不利情形;
多媒体性与前述的“多样性”、“复合性”说法不同,实际上并无多大出入;
隐蔽性是指电子证据必须用特定的二进制编码表示,数据存储于磁性介质中,一切都由这些不可见的无形编码来传递。
观点4:
电子证据是现代高科技发展的重要产物和先进成果,是现代科学技术的发展在诉讼证据上的体现,它与其他证据相比主要有技术含量高、易被伪造和篡改、复合性、间接性,此外,电子证据由其本身的特性决定了它具有无形性、易收集性、易保存性、可以反复重现等特性。
值得注意的是观点4认为由于电子证据容易被伪造、篡改,再加上电子证据由于人为的原因或环境和技术条件的影响容易出错,以及我国现阶段执法人员和专业技术人员的实际水平还很难做到电子证据遭破坏后还原,所以,在很多情况下,电子证据常常作为间接证据使用。
因此,间接性亦是电子证据的特点之一。
不过亦有学术观点认为,电子证据的法律属性不应是间接性的,不论是因为其本身的特点,还是依据社会发展,国际通行做法;
传统法律的框架,装不下包罗万象的社会问题,而电子证据的发展一定会冲破传统证据法律的束缚。
3.电子证据的种
从广义上来讲,任何类型的电子证据都是一群由0和1以二进制形式组成的电子数据。
但对于检察机关来讲,主要接触到的电子证据有如下几类:
1.电子账目。
由于贪污和渎职类犯罪大多会涉及到单位的账目,而现在的单位又大多都采用电子记账,因此电子账目是检察机关侦查部门最常接触到的电子证据类型之一,主要包括包含账目内容的电子表格和由账目管理软件生成的电子账簿。
2.Office文档。
单位内部或单位之间的往来公文多以word文档的形式进行,以取代过去的纸质文件,而简单的数据录入和统计则多以excel表格的形式进行反应。
这类office文档自然成为检察机关侦查案件的重点关注对象。
3.数码相片。
随着数码相机的普及,一些数码相片可能包含与案件相关的信息。
但数码相片不同于传统的胶卷底片,对其修改和编辑相对简单,且隐蔽性强,其甄别工作则需更加谨慎。
4.音、视频资料。
现在的录音录像设备种类繁多,成本低廉,连我们日常使用的手机都可以进行录音录像。
但需要注意的是,作为证据使用的音、视频资料应当保证声音清楚,图像清晰,确保其可靠无疑异。
若要对音频资料进行声纹鉴定,则需要确保音频的采样率和编码率达到检测仪器的要求。
5.电子邮件。
现如今自然人、法人之间通过电子邮件进行联系及公务往来的行为越来越频繁,乃至于合同的谈判、磋商和订立都可通过电子邮件完成,其快速、便捷,易保存及易销毁的特性已被人们所熟知,而电子邮件中往往存在着重要的信息,对于案件起着关键的作用。
6.手机信息。
手机信息分为两部分,一是通讯录、通话记录和短信息等,这类信息主要存储在手机内存和存储卡上;
二是手机录音和录像,这类信息亦可归为音视频资料类,主要存储在存储卡上。
凡是存储在存储卡上的数据删除后可利用恢复软件恢复,存储在手机内存中的数据删除后不易恢复。
研究背景及意义
随着信息技术的不断发展,计算机犯罪变得日益猖獗,其严重影响了人们的生活方式,阻碍了经济、政治的良好发展。
计算机犯罪是与高科技相伴而生的新型犯罪,它具有手段越来越智能化和隐蔽性的特点,单靠传统的网络安全技术来防范计算机犯罪已经越来越困难,因此需要增强人们的安全意识及完善相关法律法规。
计算机取证就是在这种背景下诞生的,所谓计算机取证是对电子证据进行获取、保存、分析和出示的一个过程,其任务就是挖掘和收集犯罪分子的犯罪痕迹。
通过研究计算机取证,可以有效地打击和预防计算机犯罪,对完善计算机网络安全体系有重要意义。
本文通过研究国内外的计算机取证发展状况,指出了当前取证技术存在的问题,提出了主动取证模型的思想。
主动取证系统通过植入取证代理实时监控目标主机,能对目标计算机实时取证,克服了静态取证方式缺乏实时性的缺点,提高了取证的有效性。
主动取证系统并没有抛弃静态取证的优势,通过实现一个告警功能,使静态取证与主动取证相结合,当告警发生时,能及时通知相关取证人员到犯罪现场,利用静态取证优势进一步获取证据。
动态取证是计算机取证的发展趋势,但当前其主要聚焦于理论的研究,涉及到的动态取证方式也主要与防御思想的入侵检测技术和蜜罐技术相结合,而很少涉及到与主动出击获取证据的技术相结合,主动系统通过使用远程控制等技术能针对某一目标主动出击获取电子证据,这是对当前动态取证系统的有力补充,体现了计算机取证从主动防御到主动出击的转变。
本系统是一个使用多代理的网络取证系统,在功能设计上分为:
证据获取模块、证据传输模块、证据存储模块、证据分析模块以及管理控制模块五个主要模块,并分别进行了设计、技术研究及开发。
同时,系统设计时通过运用分层、模块化、可移植性等设计原则,实现了一个可跨平台、动态扩张的机制,并为各种操作系统平台取证提供了一个统一的管理接口。
电子证据是计算机和网络科技高速发展的产物,是将法律与高科技相结合的一种新形式的证据。
电子证据的取证规则、取证方式都有别于传统证据,需要通过特定的技术手段进行分析和获取,因此在电子证据的取证过程中应当注意规范取证流程,遵循一定的原则和方法。
电子取证的原则和方法
一、电子证据的取证程序应严格规范
1.证据现场的保护。
取证人员进入现场后,应迅速封锁整个计算机区域,将人、机、物品之间进行物理隔离;
保护好计算机日志,对数据进行备份,切断远程控制;
封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份;
提取涉案计算机硬盘、移动磁介质、光盘等,特别应注意对当事人随身携带的存储介质的提取。
2.证据的提取和固定。
提取和固定电子证据时,一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏,只有这样,才能保证电子证据的真实性、完整性和安全性。
在取证过程中,应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份,记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。
3.证据的分析。
应当注意的是,所有的检查和分析工作应该在备份件上进行,以保证原始证据的可靠性和可信性。
对电子证据进行数据分析,必须考虑计算机的类型,采用的操作系统,是否有隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境。
对数据进行全面的分析,还应该注意检查所有的日志文件,对在该系统上使用过的用户操作时间以及操作记录进行登记,查看可能进入或使用过该机器系统的可疑程序。
二、电子证据取证过程中应注意保持证据原始性
1.对原始数据进行备份后利用备份的数据进行分析,不能对原始数据直接进行分析。
要在不破坏原始介质的前提下,对所获得的数据进行分析,从而提取出有效证据。
为保证原始介质数据的完整性,在进行数据分析之前,必须对原始数据进行镜像拷贝,然后对拷贝进行分析。
2.对原始数据要进行冗余备份。
电子证据在保存时应该有两个或两个以上完整的拷贝。
冗余备份一方面避免了由于电子证据本身的不稳定性造成备份数据的丢失,另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析,提高取证效率。
3.在备份复制过程中,以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时,应当使用安全只读接口,使用写保护技术进行操作。
对重要证据文件还应采取必要的加密技术和数字签名等技术,并且应当记录分析过程所使用的设备型号、序列号,所使用的软件的名称、版本号、具体操作过程以及检查结果等,制作相应的工作记录或检验文书。
4.详细记录取证全程,保证证据连续性。
将电子证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。
在移动硬件之前,把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来,用摄像机记录检验分析的全过程,尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像。
5.保障硬件环境安全可靠。
存储电子证据的介质必须按照科学方法保全,应该远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。
还要注意防磁,特别是使用安装了无线电通讯设备的交通工具运送电子证据时,要关掉车上的无线设备,以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。
电子证据收集步骤以及保存方法
目前在许多国家立法确定电子数据具有证据资格,我国在《民事诉讼法》第68条第1款规定:
“书证应当提交原件,物证应当提交原物,提交原件或者原物确有困难的,可以提交复制品、照片、副本、节录本。
要将电子数据采用为证据,电子数据不仅要具有法定证据的形式特征,还要符合证据的三个基本特征,即客观性、关联性和合法性。
(一)客观性
客观性指证据反映案件事实的内容应当是客观存在,是真实的。
电子数据通过物理方式存储于计算机系统内部及存储器当中,是客观存在,同时电子数据是网络犯罪过程中所遗留的痕迹和线索,是对客观案件的反映,内容是客观的。
所以电子数据完全符合证据客观性的要求。
(二)关联性
关联性指证据必须与需要证明的案件事实或其它有争议事实具有一定的联系。
如果证据材料与案件不存在客观联系,就无法作为定案依据。
判断证据与待证事实之间是否存在关联性,可从两个方面进行推论:
一是从形式上,证据应当与待证事实之间存在逻辑联系,通过形式推理推论出证据与待证事实的关系;
二是从内容上,证据所反映内容直接或者间接证明案件情况。
任何证据与待证事实之间的关联性都必须是可以认知的,否则就是没有关联性。
由于证据与待证事实之间的关系可能存在千差万别,证据的关联性并不要求被所有人员认知。
只要该关系已经被科学所确认,即使只有少数专业人员才能认知,也是具有关联性的。
(三)合法性
证据的合法性指证据必须是按照法律的要求和法定程序取得的事实材料。
我国的民事诉讼法和刑事诉讼法尽管没有明文规定合法性原则,但也有一些条款涉及此问题。
证据的合法性,要从证据的主体、证据的形式要件、证据的收集程序或收集、提取方法这三个方面来衡量。
因此,电子数据是否具有合法性,要看电子数据的提取是否是严格按照法律规定的程序或方法进行的。
(1)在计算机犯罪案件侦查过程中,侦查人员提取电子数据时是否出示搜查证,扣押涉案的电子设备是否办理扣押手续并有证人在场。
(2)电子商务纠纷当事人提交的电子数据是否以合法方式收集。
(3)固定存储于计算机系统内的电子数据所用方法是否合法,是否有证人在场,证人是否在有关固定过程或方法的记录上签字,履行相关手续等。
只有提取的电子数据具备了证据的基本特征,即客观性、关联性和合法性时,电子数据才能真正作为诉讼证据在诉讼过程中得以采纳,进而成为定案的依据。
三、电子证据鉴定相关内容
(一)检验过程的基本要求
1999年英国警察局长协会和电子数据证据国际组织联合制定计算机司法检验的四项原则:
(1)任何处理行为均不更改被检验介质上的数据;
(2)
访问者接触原始介质,要具备相应的处理能力,要考虑其行为的是否必要,并在处理过程中可能造成的后果;
(3)对证据处理的整个过程要完整记录,第三方可根据记录重复检验处理过程并产生相同结果;
(4)介质处理人及相关负责人要严格遵守相关法律和以上原则,电子证据司法鉴定过程,是检验的过程。
四、电子证据检验的相关要求
为确保证据的有效性,在检验过程中,要遵循以下基本要求:
1.不对原始数据直接分析。
电子证据容易被损坏或者被修改,一个字节的改变都将失去证据的有效性,检验的关键是不破坏原始介质,检验前,必须对原始数据进行镜像拷贝,然后对拷贝资料进行分析,保证原始介质的数据完整性。
对于镜像拷贝使用的介质,应在复制电子证据前进行格式化,并标注说明,确保是空白干净的。
2.通过数学手段保障被检验介质完整性。
对原始数据分析前必须进行数字签名,每一个分析步骤要进行完整性校验,如果每次的校验值一致,就证明在取证过程中没有修改电子数据,这样就保证了获取证据的可信度。
3.使用合法软件分析检验。
分析数据的软硬件要合法、安全、可信,因此要使用合法软件进行分析检验,并记录检验的全过程。
有条件的使用摄像机记录检验分析的全过程,对解除封存状态、检查过程的关键操作、重新封存等主要步骤必须多角度录像,以增加证据的硬度;
无条件的要同时有两人以上人员进行详细记录,并有第三方人员进行全程监督。
4.保存检验环境。
随着技术不断更新,分析软件不断的升级、淘汰,可能导致庭审质证时不能重现与先前完全一致检验结果,造成对先前检验结果形成怀疑,因此要保存检验中使用的软件工具,确保检验结果的可重复性。
存储卡,这些存储介质保存了与案件相关的数据如电话号码本、通讯记录、短信息、视频资料、记事本等,这些信息都是电子物证搜集的重点,必须予以保留。
搜集手机数据时要做到三个禁止,一是禁止开启手机进行数据搜集;
二是禁止在没有任何屏蔽保护措施的环境下,浏览或查看手机内容;
三是禁止对拨入电话或短信息实施跟踪。
三个禁止的主要目的:
a.手机处于全开放的在线工作状态,随时发送至本机的外来短信息可能会覆盖原有的短信内容,被覆盖的短信内容或删除的数据,很可能就是案件需要的证据。
b.查看和浏览手机内容时,任何不当的操作都有可能会删除重要的数据,因此,对于涉案手机,最好直接送到专业实验室进行检验。
手机的电子数据的搜集步骤如下:
a.不要对处于关机状态下的手机实施开机;
b.手机的连接的方式主要通过数据线,红外、蓝牙等搜集手机与计算机或其他专用的检验设备进行连接的外接设备及数据连接线;
c.搜集相应的手机驱动软件、应用软件等;
d.搜集手机的电源充电器及操作说明书等。
2.对于处于关机状态的计算机设备电子数据的搜集
通用的开机查看、浏览系统中的文件,会导致电子数据的属性改变,如果案件涉及开机时间搜集,通常的操作将导致搜集条件的缺失,所以对处于关机状态的计算机电子数据的搜集步骤如下:
a.不要对处于关机状态下的计算机实施开机;
b.切断被检查设备中硬盘的电源;
c.拔下硬盘数据线,阻断被搜集的硬盘启动系统;
d.送交鉴定机构
3.对于处于运行状态的计算机设备电子数据的搜集
对处于开机状态的设备,不能采取简单的处理方式,直接关闭电源收缴封存设备,这种做法带来的后果不仅可能会导致重要的证据数据丢失或破坏,而且会对后续的数据分析与检验增加更大的技术难度。
例如对正在运行的应用系统,关闭电源后,一是造成内存中处于动态运行的程序和文件因此丢失,屏幕显示的全部信息不能重现;
二是即使能够对各种存储介质中的数据进行完整的克隆备份,但对于需要在实际运行中分析检验的专用系统,重新搭建系统运行环境,则有可能会遇到系统启动密码,文件加密、应用系统运行需要支持的各种工具软件的安装等。
对处于正在运行状态的设备的搜集步骤如下:
a.对内存中运行的数据、显示器显示的信息进行获取,录像,拍照或者屏幕拷贝;
b.搜集系统涉及的密码或者系统中对系统涉及的密码进行记录;
c搜集支持系统运行的各种软件,涉及依托网络运行的专用系统,要将服务器、客户端、中间件、交换机或路由器一并搜集封存;
d取消操作系统、应用系统、防火墙中的清理痕迹、清理垃圾、清理插件、清理注册表等功能;
如与黑客、病毒、木马有关,须暂停杀毒软件中的自动清除病毒、木马功能;
e.将剪贴板内容拷贝到WORD或画图软件中;
f.将以上的操作详细记录,备份,存档;
g.送交鉴定机构。
4.确定电子数据存储位臵和表现形式
用户要尽量明确与案件相关的电子数据所在的逻辑位臵,尽可能阐述电子数据存储的逻辑分区名,分区的格式、相关文件类型等,便于鉴定机构尽快获取信息:
a.缩短案件的检验周期。
因为现有的存储介质容量越来越大,进行数据恢复时间太长,易造成时间浪费,可能会延误案情,不利于案件的及时举证,如果造成犯罪嫌疑人出逃,将会给案件造成无法挽回的损失
b.提高检验结果的准确性。
将数据恢复操作确定在已知分区内恢复,文件数量、文件类型的大量减少,可提高检验结果的准确性,降低案件分析的复杂度。
鉴定机构对电子证据分析的通用做法
a.电子证据硬件设备来源分析
研究CPU、软盘、硬盘、磁盘阵列等计算机设备,研究网络接口卡、中继器、交换机、路由器等网络设备处理或存储数据的特征与规则,以此为内容建立标准设备特征数据库与规则库,利用模式识别等方法分析电子数据证据中所包含的设备特征,从而确定其硬件设备来源.
b.电子证据IP地址来源分析
研究建立路由信息数据库及关于IP算法的知识库,分析产生该电子数据证据的真实IP地址,对抗IP地址欺骗行为等.
c.电子证据软件与操作来源分析
研究办公系列软件、电子邮件收发程序等常用软件及远程操作、黑客、插件等有害软件或操作的特征及系统中可能发生的危险动作的共同特点,识别电子数据证据中包含的危险信息,对怀疑为有害的代码,利用虚拟运行技术,通过描述仿真与环境仿真令代码在受控状态下运行,记录运行过程与结果,并将其与实际的电子数据证据进行比较,从而认定电子数据证据是否来自有害软件或操作.
d.电子证据内容分析.
电子数据证据包括两种类型,一种是文件系统中所存在的本地数据或搜集来的网络数据,另一种是周边数据(如未分配的磁盘空间、临时文件或交换文件——其中可能含有与系统中曾发生过的软件的运行,特定操作的执行、曾经进行过的Internet浏览、Email交流等相关的信息),而电子数据证据内容分析技术就是通过在这两种数据流或信息流中寻找、匹配关键词或关键短语,以及对数据中所记录的系统曾进行的Internet访问的URL、Email交流的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系。
电子证据无法收集时可采取的相关措施
除了手机、计算机等电子设备外,目前还出现了越来越多的互联网数据,互联网数据主要通过数据传输实现信息交流,由于在互联网上传输的数据信息本身的流动性、不稳定性及目前对数据信息的储存均以磁性介质为载体,因此互联网电子数据搜集的存在以下难点:
1.互联网电子数据信息内容很容易被删改,极易遭到破坏且不留任何痕迹等特性,使其一旦作为电子证据被出示时,其内容的真实性和储存手段的安全性就难以保证。
2.互联网电子数据具有极强的技术性和精密性,权利人搜集存在难度。
3.互联网电子数据高度加密技术妨碍了权利人对证据的调取和保存。
为切实保障权利人利益,权利人可根据现实情况通过以下三种手段进行互联网电子数据保全:
1.权利人申请法院对涉讼的电子证据进行保全;
2.通过公证机关对涉讼的电子证据进行保全;
3.权利人通过网络服务提供者提供信息自行保全证据。
a.申请法院对涉讼的电子证据进行保全
我国《民事诉讼法》第74条规定“在证据可能灭失或者难以取得的情况下,诉讼参加人可以向法院申请证据保全。
人民法院也可以主动采取保全措施。
”在民事诉讼中只要符合这两个条件就可以申请证据保全。
权利人申请诉前证据保全的步骤:
(1)提供权利证明并说明其基本情况,以证明自己是权利人。
(2)提交初步的证据或材料。
证据或材料包括:
(a)申请人授权用户或者比较大的授权用户中不包括被申请人;
(b)已经收集到的关于被申请人实施侵权行为的详细线索;
(c)被申请人实施侵权行为的具体地点和使用设备;
(d)申请保全证据的具体内容、主要特征以及证据鉴别的基本方法;
(e)提交证据表明,在向法院提出申请以前,为获取相应证据,已经采取其他措施并付出了努力;
(f)按法庭要求的方式和数额,提供相应担保;
(g)权利人的姓名、联系方式和地址;
(h)要求删除或者断开链接的侵权数据的名称和网络地址。
b.通过公证机关对电子证据进行