电子证据的取证规则与提取方法刍探
开篇:润墨网以专业的文秘视角,为您筛选了一篇电子证据的取证规则与提取方法刍探范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:该文主要探讨电子证据的取证规则以及提取方法,所谓取证规则的司法解释是人民法院、行政主体及其相对人和其它利害关系人收集、调取证据所应遵循的程序、方法和应满足的条件。而电子证据的取证规则就是电子证据在调查取证过程中应当遵循的原则、程序、注意事项。所谓电子证据提取方法就是进入计算机犯罪现场以后所面临的技术难题而采取的相应措施。该文介绍一些从开机状态下如何收集电子证据简单方法,供同行借鉴和参考。
关键字:电子证据;取证规则;物理对象;逻辑对象
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2011)13-3048-02
Talking about Rules of Electronic Evidence and Methods of Extraction
FANG Zhong-yun
(Chinese People's Public Security University, Beijing 100038, China)
Abstract: This paper mainly discusses the rules of electronic evidence and methods of extraction. The judicial interpretation of evidence rules is the procedures, methods, and conditions that people's court, the administrative subject and its relative and other stakeholders that should be abided by when collect and obtaining evidence. Forensics rules of electronic evidence is the principles, procedures, precautions that should be abided by when collect Electronic evidence in the process of investigation. The extraction methods of electronic evidence are the corresponding measures which were picked up when one face with the difficult problems after entering computer crime scene. This paper introduces some simple methods of how to collect electronic evidence from the boot condition, and for fellow reference. This paper introduces some simple methods of how to collect electronic evidence from the boot condition, and for fellow reference.
Key words: electronic evidence; forensics rules; physical objects; logic objects
1 概述
随着计算机技术及其网络互联技术的普及,计算机犯罪和其他犯罪的很多证据都以数字形式存在并通过计算机或以网络形式进行处存储和传输,从而诞生了电子证据。从证据学方面看,电子证据研究的重要性日益突出,电子证据已经发展成为一种超越传统的全新证据形式,在现代信息社会中,电子证据被称为“证据之王”,我们现在正进入另一个全新的司法证明时代,即电子证据时代,电子证据在司法证明的舞台上发挥巨大的作用。
2 电子证据的概念
这一概念目前争论已久,有从法律上进行界定的,有从实质出发进行界定的,还有的从证据学角度进行界定,电子证据还有“数字证据”、“计算机证据”、“网络证据”等别称,但我们这里统一称为电子证据。电子证据包括以储存的电子化信息资料来证明案件真实情况的所有实物证据,以及计算机开机状态下正在运行的处于计算机内部现场的电子数据。
电子证据具有多样性、无形性、易变性、易破坏性等特征。首先,电子证据具有我们肉眼所能见到的多样性,象现场可能出现的一切移动介质,包括移动硬盘、U盘、存储卡、大容量的MP3和MP4播放器、光盘,还有就是从计算机上拆解下来的硬盘(重要的实物证据)、内存条、网卡、显卡(后面这三种因带有临时缓存现在可以通过一些硬件和软件的技术恢复一些只言片语的证据)。其次,可以从电子证据的字面意思上也可以看出,电子在物理学上就一直是一个无形的名词,只能从思维深处去领会,这也是电子证据现在仍然无法作为呈堂证供的一个原因,但是可以辅助其他涉及电子证据的刑事案件的侦察工作。再次,电子证据具有开机状态下的易变性,比如说目标计算机系统时间的流逝,系统进程的变化,计算机内存的变化(移动鼠标、敲击一个小小的按键都可以引起,诺卡德原理对此就是一个很好的解释),这也是计算机的硬件性质决定的。最后,电子证据的易破坏性是很多人都了解的,也是一些犯罪嫌疑人狡辩的原因,现在可以用MD5软件可以对原始数据作校验生成原始的校验码,只有当出示的证据的校验码和原始校验码一致,就可以说明原始数据没有被破坏。
3 电子证据的取证规则
3.1 以易失程度为序规则
当收集证据时应该遵循从易失部分到非易失部分的顺序。下面是些典型的按易失程度排序的系统。
1) 寄存器,高速缓存;2) 路由表,ARP缓存,进程表,内核状态,内存;3) 临时文件系统;4) 硬盘;5) 与可疑系统相关的远程日志和镜像数据;6) 物理配置,网络拓扑;7) 归档介质。
3.2 避免发生事项规则
破坏证据是非常容易的,常常可以是在不经意间。
1) 在完成证据收集前不应该关机,否则许多证据将丢失。同时,攻击者可能设置删除证据的开关机脚本和服务。
2) 不要轻信系统中程序,从有适当保护的介质中运行自己的证据收集程序。
3) 不要运行能够改变系统中文件访问时间的程序。
4) 当删除外部更改的途径时,应注意如果简单的断网可能会触发“无反应开关”,从而擦除了证据。
3.3 隐私考虑规则
1) 私人条目、公司战略以及法律权限应该得到重视。特别的,应确信收集的证据信息不是是属于没有权限访问的信息。这包括访问日志文件(可能会暴露用户行为的特性),就如个人数据文件。
2) 除非有正当理由,不要涉及个人的隐私。特别的,除非足够的理由证明与事件相关,不要收集你没有权限访问(如保存的个人文件)的信息。
3) 当实施收集一个事件证据时,应确信有公司的一个既定程序来支持。
3.4 合法性考虑规则
计算机证据必须满足:
1) 可接受:在被提交法庭前,必须遵循确定的法律条例。
2) 真实性:必须能够肯定地将证据材料和事件联系起来。
3) 完整性:必须能够描述这个事件而不是特定的片断。