电子物证检验(精选8篇)
电子物证检验 篇1
信息时代, 随着网络技术和电子技术的快速发展, 刑事犯罪作案过程中的大量电子物证随之而来。电子物证检验是指关于发现、识别、提取、恢复、保存、分析、鉴定和展示电子设备中存在电子信息的科学技术, 电子物证检验结果可作为办案部门的侦查线索或移送法院的审判证据。与其它物证检验技术相比, 电子物证检验具有检材多样且易损坏、检验结果易受质疑、检验技术更新快以及检验场所不定等特点。电子证据是以电子形式存在, 能够证明案件真实情况的材料及其派生物。我国法律规定“证明案件真实情况的一切事实, 都是证据”。因此在刑事犯罪侦查中, 只要按照相关程序, 运用科学技术方法获取的电子证据, 完全可被法庭所采用。因此, 如何依法按照程序, 使用科学的技术手段, 全面、准确、及时的发现、固定、分析和提取相关电子物证, 已成为刑侦部门面临的新课题。
一、电子物证检验在刑事犯罪侦查中的应用
据统计, 我国各地的刑侦部门电子物证检验量, 呈逐年递增的趋势, 电子物证检验在刑事侦查中的应用也越来越多。根据不同案件类型、不同现场、不同电子物证, 可以将电子物证检验工作分为电子物证检查、电子物证现场勘查、电子物证远程勘查以及电子数据鉴定。
(一) 电子物证现场勘查。
为确保能够及时、准确、全面获取相关电子证据, 对有计算机、服务器等电子设备的刑事犯罪案件现场, 必须要对电子物证进行现场勘查。通过开展现场勘查, 可直接获取有用的电子证据, 或固定电子物证, 为鉴定检查提供可靠检材。当前电子物证现场勘查工作主要包括以下几个方面:
1.受理。受理电子物证现场勘查时, 受理人员必须严格按照相关规定对委托主体和有关手续是否符合规定进行审核, 并向负责办案的侦查人员详细了解案件的相关情况, 以及勘验检查的目的。
2.制定勘验检查方案。现场勘验检查指挥员在熟悉案情和勘查目的基础上, 对现场进行模拟思考并制定勘验检查方案, 确保现场勘验检查时能够有的放矢。
3.现场勘验检查。现场勘验检查工作分为三个阶段进行。第一个阶段是现场拍摄和现场保护。拍摄内容中包括现场概貌, 系统重要证据 (设备) 和运行状况。此外, 在对数据库服务器运行的现场进行勘验时, 不能于人机分离后立即进行断电式关机。因为采取断电式关闭数据库服务器方式很可能造成数据库的崩溃, 且犯罪案件的电子证据很多是数据库里正常储存的数据, 而非一些系统正常开关时影响系统文件和日记文件等的数据。第二个阶段是详细询问现场计算机或网络, 及其他电子设备的操作人员或管理人员。仔细了解现场设备所安装的操作、应用系统及数据库系统的密码和类型等一些情况, 有必要时还需要了解网络结构的情况。第三个阶段是固定和提取电子证据等勘查取证工作。对于一些可以现场打印出来的证据, 最好现场将其打印出来, 由电子物证所属的人员或部门确认。
4.制作现场勘验检查工作笔录。现场勘验检查工作完成后, 须制作现场勘验检查工作笔录, 针对个别现场还需要另外附上制作相关设备的拓扑图。
(二) 电子物证检查。
电子物证检查是指电子物证检验技术人员, 针对现场勘验检查时无法全部完成检查的电子物证, 及侦查人员根据需要自行扣押的电子物证中所包含的电子数据等内容, 进行分析、检查, 提取其中与案件相关联的电子证据和线索。刑事犯罪案件侦查过程中的电子物证检验工作主要包括以下几个方面:
1.受理。电子物证检查受理时, 受理人员需要按照有关规定审核委托主体的资格及相关手续是否符合规定, 检材送检人提出的检验目的是否明确, 最后还要对检材进行相关的完整性校验。完整性校验数值不符或根本没有进行完整性保护的设备, 受理人必须进行记录并要求送检人签名确认。
2.检查。进行电子物证检查前, 检验人员必须要对相关物证拍照固定, 对物证检查前的状态进行记录。同时根据电子证据可完全复制的特性, 开始检查前应该对原始物证进行完整全面的克隆, 接着使用克隆软件进行分析与检查, 全面客观的提取与案件相关联的电子证据和线索。对于确实无法进行复制克隆的电子物证, 可直接对该电子物证进行分析与检查。为确保电子物证的完整性不受影响, 分析与检查时, 要确保被检验的电子物证处于只读状态下, 并客观详细记录对电子物证所进行的操作。此外, 我国法律规定, 使用非法手段所获取的证据法庭将不予以采信。所以, 在进行电子物证检验时, 绝不能使用盗版软件。
3.制作撰写电子物证检查工作记录。所撰写的电子证物检查工作记录内容, 包括提取电子数据清单、电子证物检查笔录、原始证物使用记录和打印输出的材料等内容。
(三) 电子数据鉴定。
电子证物的勘验检查一般来说仅是检查电子物证中所存储的有哪些数据, 是相对客观的。而对电子数据进行鉴定则是对电子物证中所储存的数据进行分析、推理, 然后形成结论, 所以鉴定并不是去证实所检查的电子物证里存储什么样的数据, 而是针对所存储的数据进行分析后得出相应的主观结论。电子物证检查是在侦查过程中所允许的操作。因此, 在对刑事犯罪案件侦查过程中, 刑事侦查部门可自行开展对电子物证中储存何种数据的勘验检查工作。如个别案件确有需要对电子数据进行鉴定时, 可送至专业司法鉴定部门进行鉴定。刑事侦查部门只负责对电子物证进行固定和提取, 同时对证据的完整性做好保护工作, 保证电子物证的正常状态, 从提取现场到相关鉴定机构期间不出现任何改变。
(四) 电子物证远程勘查。
电子物证远程勘验检查是指利用网络远程对目标 (系统) 进行勘验检查, 从而固定、提取远程目标 (系统) 的状态以及所储存的内容。为逃避打击, 犯罪嫌疑人经常使用国外的电子邮箱或其它通讯工具进行通信。犯罪嫌疑人利用互联网络跨国特性, 在国 (境) 外租用网络空间建立数据库和网站, 储存相关重要数据。在调查取证过程中, 侦查人员无法直接到国 (境) 外提取这些证据。如目前采用较多的网络诈骗、网上银行诈骗等一些案件, 就会经常出现这种情况。一旦遇到这种情况时, 侦查人员就需要通过电子物证进行远程勘验检查, 提取相关内容作为侦查定罪的证据。
此外, 在刑事犯罪案件侦查过程中, 刑事侦查部门所需要提取一些储存在境内的聊天记录、邮件等物证, 或相关网上商务记录数据作为证据时, 侦查人员可按照传统常规的调查取证方法, 在当地网监部门协助下进行调取。
二、加强刑事犯罪侦查部门电子物证检验工作的对策思考
随着经济与技术的快速发展, 相关涉及电子物证检验工作的刑事犯罪案件不断增多。刑事侦查部门应进一步强化电子物证检验工作的投入与建设, 以适应新历史条件下刑事犯罪侦查工作的需要。
(一) 加大经费投入和机构改革力度, 完善电子物证机制。
公安部2005年颁发实行的《公安机关鉴定机构登记管理办法》, 对电子物证检验部门和机构作出了相应的规定。但是, 我国绝大部分公安机关都尚未设置电子物证检验的部门和机构, 刑侦等侦查部门的电子物证具体由哪个部门或机构负责, 也没有相关明确的规定。因此, 刑侦部门应结合自身工作实际, 成立专门的电子物证检验部门或机构, 积极购买和配置国内外的先进软硬件设备, 不断坚持完善电子物证检验机制, 以切实适应新形势、新时期的刑侦工作需要。
(二) 规范电子物证检验流程, 加强执法规范化建设。
在电子物证检验的过程中, 检材非常容易被破坏, 检验结果也易受到质疑, 且不同的检验程序和检验方法都有可能影响到检验结果。但如果按规定的程序、使用科学的方法检验, 就可有效提高法庭认定电子物证检验结果的采信率。但目前我国还没有一套较为完善的电子物证检验程序和方法的标准和规定, 刑侦部门应该充分利用大量的实践经验, 制定完善符合自身实际应用、法律规定和管理的电子物证检验流程模式, 进一步确保检验结果的法律地位和法律效力。
(三) 培养电子物证检验专家, 建立一支高素质的专门人才队伍。
公安部2005年颁发实行的《公安机关鉴定人登记管理办法》, 对电子物证检验的专业技术人员作了相关规定, 并进行了第一次电子物证检验专业技术资格考试。但由于电子物证检验是刑事侦查学、法学和计算机科学的交叉学科, 从事电子物证检验的工作人员, 不但要熟练掌握计算机及数据库、网络等信息技术, 且要具备一定侦查取证的法律知识, 掌握检验鉴定的程序与方法。目前, 我国电子物证检验人员仍比较缺乏, 刑侦部门应重点培养一批侦查、法律、信息技术较强的电子物证检验专家, 以有效适应刑侦工作需要。
参考文献
[1].何家弘.电子证据法研究[M].北京:法律出版社, 2002
电子物证检验 篇2
电子物证是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。除了具有物证的客观性和可知性之外,电子物证还具有非直观性和多态性、电子物理和诉讼证据的双重属性。电子物证的提取与固定,首先对载有电子物证信息数据的物理实体进行扣押、封存,再采用专门的技术方法对物理实体中的电子信息数据进行提取和固定,形成电子物证。为了维系电子物证的客观真实性,在获取电子物证时,应采用取证专用的数据拷贝机和电子物证勘验取证技术(如,SDII服务器恢复系统、效率源DCK等),附加上时间戳信息数据,一次性提取和固定介质载体中的全部电子物证信息。
与传统证据相比较,电子物证有以下五个特点:
1、高科技性 电子物证的高科技性使取证变得便捷和高效,具体表现为收集电子物证快速,保存和固定电子物证便利(电子物证信息量虽大,却占用很小的物理空间并易于保存)。但要求取证技术人员具备与电子物证相关的技术专业知识与技能,并配备SDII服务器恢复系统等专业的电子物证勘验取证设备。
2、存储和提交形式多样性 电子物证以文本、图形、图像、动画、音频、视频等多种信息形成、存储于计算机硬盘、软盘、光盘、磁带等设备及介质中的,其生成和还原却离不开相关的计算机等电子设备。电子物证的提交形式相应地表现为文书、计算机硬盘、光盘等介质,因而具有与书证、视听资料、物证等证据种类相同或相似的表现形式,并随着科技成果的不断增加,电子物证的提交形式将会更加多样化。
3、客观实在易变性 电子物证一经生成必然会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志(系统日志、安全日志等)或第三方软件形成的日志中,客观真实地记录了案件事实情况,但由于计算机数字信息存储、传输不连续和离散,容易被截取、监听、剪接、删除,同时还可能由于计算机系统、网络系统、物理系统的原因,造成其变化且难有痕迹可寻。因此在进行电子物证勘验提取时,必须配备专业的数据恢复设备以保证电子物证的绝对完整、准确。
4、存在的广域性 电子物证因行为人使用网络的种类不同或目的不同而存在于局域网或互联网中,而在遍布全球的互联网中的各地网络服务商提供的服务器就会留有电子物证。基于电子物证的这一特性,使人们对电子物证所在地的认识有了新突破,因而,取证活动将常常不局限于一地区、一国界,且由于各地区、各国分属不同的法域,对电子物证的法律规定自然存在差异,必然带来取证的障碍和冲突。
5、实时准确性 计算机及网络的使用,是一个实时产生电子物证的过程,除了使用者操作下形成的电子物证外,还存在计算机及网络针对使用
者的操作活动自动记录的相关电子物证,特别是网络中电子物证都是实时形成的,并可以通过取证获得具体、详细而准确的时间记载以及变化情况。即使遭到人为篡改或系统故障等外在因素的破坏,仍可以使用SDII服务器恢复系统等专业电子物证勘验设备,通过数据恢复手段进行电子物证的恢复、固定和提取。电子物证的这一特性决定了他具有其它证据种类难以比肩的优越性。同时也使实时犯罪线索搜集与其它取证活动成为可能并富有成效。
近年来的实践证明,从手机中提取的信息可以给犯罪侦查工作提供重要帮助,其重要性被越来越多的人所认识,手机也已经迅速成为物证检验鉴定的新对象。近年来得到各方面高度关注的电子物证检验,也因为手机检验技术在物证鉴定领域的迅速崛起,获得了更大的推动力和发展机遇。
一、手机检材的提取和送检
相对于常规物证鉴定的检材,电子物证检材的一个重要特点是其非常脆弱。作为电子物证检验检材对象之一,手机包含的电子信息也具有脆弱性,易灭失和被改变。在提取、保管、送检和检验过程中,任何不恰当的操作都可能会改变或丢失手机检材的电子信息,进而使检验结果或证据价值降低,甚至产生负面效果。
手机检材提取遇到的第一个问题就是在提取后是否关闭或开启手机。如果手机在提取时处于关闭状态,一般原则是不要开启它。如果手机在提取时处于开启状态,采用的一般规则是先拍照记录手机上的短信息、通话记录、电话簿等内容,然后及时关闭它。提取后及时关闭手机,一方面可以防止手机电池能量耗尽后丢失手机内各存储器中的部分内容,另一方面可以防止新的来自网络的通信信息进入手机造成对检材的污染破坏,引起手机通话记录等信息发生变化,或新进入的通信信息在存储过程中重写被删除的存储器空间而彻底毁坏被删除的信息,而这些被删除信息往往具有较高的侦查和证据价值。新信息进入开启手机对手机检验的危害极大,发生的可能性很高,因此关闭手机或将手机放进金属信号屏蔽袋内存放(注意及时给手机充电),以阻止网络信号进入手机是非常必要的。在案件侦查有特别需求的情况下,侦查员才可以让检材手机开启以监视手机通信情况。
与其它电子物证检材提取一样,侦查人员在提取手机检材时,要特别注意不要让任何嫌疑人员以任何理由接触到手机检材,防止手机信息被有意或无意破坏或更改。此外,现场侦查员还要询问或寻找获取手机的PIN码或PUK码,并注意提取手机的充电器、连接线缆等附件和使用说明书等,它们可能对检验手机有帮助作用。
电子物证检验 篇3
(一) 电子物证的概念
作为物证的一种, 电子物证是指存在于各种介质当中的电子数据, 用以证明犯罪事实的证据。电子物证可以分为电子信息, 比如视频、图片、电脑程序等, 也可以是电子信息的附属品, 比如电子文本的打印文件等。
(二) 电子物证的特征
电子物证与其它的物证相比较, 有以下几种特征: (1) 电子物证的提取和保存依靠高科技的技术手段, 因此在提取的过程比较简单迅速、数据保存所占据的空间面积极小; (2) 电子物证的保存介质主要是U盘、磁带等, 因此电子物证保存离不开计算机。电子物证在提交的时候多是通过文书、光盘等展示。
二、电子物证易受污染的原因分析
(一) 直接使用带有系统的硬盘检材
有的硬盘是带有系统软件的, 部分工作人员为了节省时间, 会直接使用带有系统软件的硬盘启动系统, 此时会导致硬盘当中文件的时间被改变。对于市面上常见到的几个Windows系统, 都会造成上百个文件信息被改变。移动硬盘使用不当。
如果将带有检材信息的移动硬盘直接连接到非取证的计算机设备中, 计算机中的杀毒软件会反复分析、扫描硬盘当中的内容, 不断地读取硬盘中的数据信息, 如此反复容易导致硬盘当中的信息数据出现篡改的问题, 严重情况下还容易导致数据被删除。
如果将硬盘介入到带有系统的检材计算机当中, 计算机中的系统会自动对硬盘当中的数据信息进行扫描和记录, 亦或是打印, 这样容易造成信息数据的泄露。
(二) 设备检材操作不规范
因为工作人员对录音、视频设备的操作不当, 在常规性的检查或者运输的过程中, 由于误按了某些操作按钮, 导致机器自动录音、录像, 或者删除与案件相关的重要物证资源, 导致物证资料的丢失。
如果在物证鉴定的时候直接打开了手机或者其它移动通讯设备, 比如调查当事人手机当中的短信、通话记录、视频资料等信息, 如果未打开屏蔽网络的设备, 很容易会再次接受到新的信息, 或者接听到新电话, 导致原本检材的内容发生改变。特别是手机信息内存已满, 此时如果再来新短信, 则会导致原来短信自动删除。
在没有准确把握计算机性能的时候, 如果该计算机安装了系统还原的软件, 此时重新启动计算机, 或者关闭计算机, 则会导致原本记录在计算机当中的数据完全丢失。
对设备的保护不当同样会引起有效证据的丢失, 将设备置放在潮湿、高温、高磁场的环境当中, 或者在设备搬运的过程中保护措施不到位, 导致设备的严重碰撞, 直接导致设备性能的发挥。
三、电子物证提取的正确途径探索
(一) 现场的保护工作
针对案件的具体情况, 来判断网络是否需要断开。保持网络的畅通主要是在持续性的网络犯罪案件当中, 需要通过网络获取更多犯罪信息, 通过搜集数据获取更多有力的证据;而断开网络更多的是为了保证网络系统的稳定性, 以免外来入侵者进入到网络中篡改数据。其次对现场工作人员加强管理, 防止有人恶意破坏数据信息, 或者删除有力的电子数据;再者及时查看正在运行中的计算机设备, 避免数据受到正在运行的程序破坏;最后, 在现场发现电子设备之后要做好备用电源的稳定供应, 避免突发性断电导致已经缓存在计算机或者正在缓存的数据丢失。仔细检查犯罪现场, 避免周边存在较强的磁场影响到硬件设备的运行。
(二) 物证的搜查
注重证物的搜查, 在犯罪现场要关注部分非电子数据的证据信息, 比如日记本中的内容、账号、密码等;在现场搜查的时候, 需要注意小零件、设备的摆放位置, 及时做好拍照记录工作, 对设备数量、种类、名称都记录在案;在搜查计算机设备的时候, 要关注计算机是否存在蓝牙、无线网等外部连接情况。
(三) 电子物证的初步提取
针对在犯罪过程中被抓获的案件, 比如淫秽网站运行、网络赌博等行为, 工作人员可以直接对现场网页进行截屏保存, 打印出网页信息, 成为有力的证据;如果该计算机处于关机的状态, 尽量不要开机。如果必须要开启计算机设备, 应将源计算机当中的硬盘直接插入到只读计算机当中, 将硬盘当中的全部数据复制下来, 在打开设备调查取证, 保证信息不会丢失;在打开计算机系统之后, 需要校准核对计算机时间与标准时间之间是否存在差别, 及时做好记录工作。
四、结语
随着犯罪分子作案手法越来越多, 很多案件都涉及到电子设备, 需要依靠工作人员提取电子物证来辅助案件的侦破。电子物证在提取、检验中涉及到多个环节, 每个环节都可能导致物证被“污染”
摘要:在电子物证提取和检验中, 由于工作人员操作不规范、工作粗心等原因, 容易导致物证信息受到“污染”, 影响物证的证据效力。本文在分析电子物证概念和特征基础之上, 具体针对电子物证受“污染”的原因和解决对策进行分析。
关键词:电子物证,提取,检验,污染
参考文献
[1]戴士剑.电子物证之证据考量[J].人民检察, 2011 (18) :26
浅谈计算机犯罪中的电子物证检验 篇4
一、计算机犯罪中电子物证检验的概念和特点
国家机关公安部计算机管理检查司定义的计算机犯罪是指: 信息活动当中, 以计算机系统或计算机信息知识为手段, 或是针对计算机信息系统, 对国家、个人或团体造成危害的依法应当予以刑罚处罚的行为。而所谓电子物证检验是指相关工作人员按照一定的技术标准, 识别、发现、提取、保存、恢复、展示、分析和鉴定电子设备内的存储信息的, 并出具检验结果的全过程。
由于电子证据和传统证据赖以存在的存储介质是不同的, 因此, 电子物证检验的原理和原则与传统物证检验相似。此外, 应该注意的是电子物证检验具备自身特有的诸多特点。第一, 检验对象种类繁多。日常的公安检验活动中, 电子物证检验的检验对象是最多的, 而且涉及范围也比较广, 比如一个单位的计算机网络、个人的手机存储以及家庭的影音播放器、数码相机等大多数的电子产品和存储介质。种类的繁多直接导致了检验操作方式的各不相同, 因此延长了电子物证检验的时间, 增大了检验的难度。第二, 电子物证检验对象存储介质差异大。这种差异来源于不同中存储介质的理论结构和技术标准捡的差异以及生产技术水平不断提高带来的差异。第三, 检验设备要求高、差异大。电子物证检查对检验设备要求很高, 同时, 由于各种电子信息都存储于不同种的存储介质当中, 所以必须要求在检验的过程当中借助必要的电子设备。
二、目前计算机犯罪中的电子物证检验工作的不足之处
由于我国的电子物证检验起步比较晚, 当前各公安机关电子物证检验部门依然存在很多的问题。首先, 检察院内部相关人员的配备及专业技术能力亟需完善。目前, 广泛应用于计算机犯罪当中的电子物证检验处于起步阶段, 缺乏推广认知度, 技术数量应用度和相关人员的储备和培养都略显不足。这些都给电子物证检验工作的正常开展带来了很多不便, 降低了工作效率。其次, 电子物证检验鉴定机构缺失。当前我国各司法机关都缺乏电子物证检验鉴定机构, 因此, 很多基层检察院在遇到计算机犯罪案件的时候不能做到及时地处理和解决, 造成电子物证检验工作难以正常开展。
三、针对计算机犯罪中电子物证检验工作的建议
( 一) 加强检验工具和软件的自主研发
目前, 国内所使用的电子物证检验的工具和软件由于没有掌握技术核心, 因此, 在很大程度上对国外的先进技术存在依赖性。究其根本, 是源于国内相关研究起步晚, 资金缺乏。没有足够的资金和人员的投入自然难以为电子物证检验工具和软件的开发提供强有力的支持。为了使得电子物证检验走上良性发展的道路, 所以必须注重当前我国的电子物证检验的自主研发。
( 二) 加强电子物证检验人员储备培训和检验机构的建设
为了及时地改变当前各检察机关电子物证检验相关工作人员的储备缺失现象比较严重地现状, 需要个部门积极引进电子物证检验先关专业技术人员对在职人员进行长期、有效、系统的知识培训, 全面提升在职人员的专业技术水平, 使得各检察机关内部电子物证检验人员的整体实力得到有效提升, 从而在根本上提升电子物证检验工作的工作质量。
( 三) 完善电子物证检验鉴定的相关法律法规制度
随着计算机和计算机技术的高速发展, 现存的相关法律法规略显滞后, 对于计算机犯罪的新手段和方法难以起到理想的作用, 因此, 及时补充现存的法律法规显得特别重要。针对犯罪主体和计算机犯罪侵害对象范围都要做到及时有效的补充。也只有这样才能为电子物证检验工作的有效开展和实施提供强有力的支持。
四、结语
当前, 计算机技术仍处于高速发展的状态, 计算机犯罪也将不断滋生新的手段和方法, 有效的打击计算机犯罪显得越来越重要。为了维护社会的稳定秩序, 确保经济水平能够持续快速发展, 我们应该在今后积极转变电子物证检验的发展模式, 逐渐使之进入良性循环的道列之中。
参考文献
[1]刘然.论计算机犯罪中的电子物证检验[D].黑龙江大学, 2010 (学位年度) .
电子物证检验 篇5
1.1电子物证概念
电子物证是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。因此总体上对计算机上的数据恢复,包括客户端数据恢复和网络服务器端数据恢复。
电子证据的来源很多,主要有系统日志IDS、防火墙、ftp、 www和反病毒软件日志,系统的审计记录,网络监控流量, E-mail,Windows操作系统和数据库的临时文件或隐藏文件,数据库的操作记录,硬盘驱动的交换分区、slack区和空闲区,软件设置,完成特定功能的脚本文件,Web浏览器数据缓冲,书签、 历史记录或会话日志、实时聊天记录等。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
所以不单针对客户机犯罪,网络服务器也经常遇到网络攻击,删除、修改目标计算机上的数据,这些数据的丢失或许会给国家、人民造成重大损失,因此探讨更多的数据恢复的方法以及在取证过程中应遵循的一些程序和规则,就显得尤为重要。
1.2数据恢复基础知识
不管是客户机还是网络服务器,其存储的数据都是存储于硬盘等存储介质内,对于弄明白硬盘的结构及数据的存储方式,对于数据恢复会起到很大的指导作用。
刚生产出来的硬盘要先分区、格式化,然后再安装操作系统。 而这一过程,要将硬盘分成主引导(MBR)、操作系统引导记录(DBR)、FAT表、DIR目录区和DATA数据区等五个部分。
MBR位于整个硬盘的0磁道0柱面1扇区中,512字节的主引导扇区中,MBR占了446字节,另外的64字节交给DPT(硬盘分区表),最后两个字节“55AA”是分区结束标志。
DBR位于硬盘的0磁道1柱面1扇区,是操作系统直接访问的第一个扇区,它包括引导程序和BPB分区参数记录表,最后结束标志为“55AA”。BPB参数块记录着本分区的起始扇区、结束扇区、 文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元的大小等参数。
在FAT区之后便是DIR目录区与DATA数据区,其中目录区起到定位的作用,通过这些目录可以找到相应的数据。数据区是真正存储数据的地方。
1.3数据恢复原理
客户机及网络服务器上存储、处理的数据都保存在硬盘等存储介质内。数据恢复总体分为软件恢复和硬件恢复。但在电子物证检验中大多指的就是软件恢复。案件中涉及到的恢复类型有格式化恢复、删除恢复、全盘扫描恢复、底层数据解析恢复、网络数据恢复等。
数据区没有被彻底覆盖,保护措施到位,通过相关软件可以顺利恢复。以嫌疑人删除操作及网络黑客攻击计算机删除操作为例,保存在硬盘及服务器上的数据并没被完全覆盖,只是数据存储空间的链条被删除,真正的数据还是以二进制的方式存储在硬盘上。这些数据不被覆盖,就可以通过相应的方法扫描存储介质, 对数据进行分析、编译,最后把丢失的数据找回来。
2电子物证检验常用数据恢复方法
2.1使用Easy Recovery软件恢复数据
该软件提供了非常强大的数据恢复功能,尤其是针对存储器中的指定受损数据进行恢复效果甚佳。该软件内置高级恢复、删除恢复、格式化恢复、原始恢复、继续恢复等数据恢复方案,能够轻松的找到丢失的恢复数据并予以有效恢复。
其专业版包括了磁盘诊断、数据恢复、文件修复、E-mail修复等全部4大类目19个项目的各种数据文件修复和磁盘诊断方案。因此取证人员利用该款软件可以针对性的取证恢复,便于取证工作的针对性。
2.2使用Final Data软件恢复数据
该软件具有强大的数据恢复功能,当文件被误删除、FAT表或磁盘根区被病毒侵蚀造成文件丢失、物理故障造成FAT表或者磁盘根区不可读及磁盘格式化造成的全部数据丢失等情况下,能够通过直接扫描目标磁盘抽取并恢复出文件信息,可以根据这些信息方便地查找和恢复自己需要的文件,甚至在数据文件已经被部分覆盖以后,专业版也可以将剩余部分文件恢复出来。
该软件是专业数据恢复软件,可以很容易地从格式化后的文件和病毒破坏的文件恢复,甚至在极端的情况下,如果目录结构被部分破坏也可以恢复,只要数据仍然保存在硬盘上。
2.3使用winhex软件手工恢复数据
该软件是在Windows系统下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容,其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区, 是手工恢复数据的首选工具软件。
该款软件,需要通过底层数据的分析,找出相应的数据区域, 手动添加文件头,因此取证人员要有较强的专业素质。
3数据恢复在电子物证检验中的应用
数据恢复的每一个步骤都要严格依照法律规定的程序,确保得到的数据可以作为具有法律效力的证据。电子物证检验的数据具有可修改性、多重性、易失性等特点,任何一点失误或疏漏都可能造成证据灭失。因此进行数据恢复,要详细记录操作的方法、 步骤、使用的工具以及存储、包装、提取过程等。数据恢复在电子物证检验中的应用有多种情况,在取证过程中也会遇到各种不同的数据恢复,采用的方法也有区别。目前,数据恢复技术在电子物证检验中的应用一般按照下面步骤进行:
(1)按照电子物证现场勘查规则提取物证,注意提取时候的原则:对于客户端计算机开机状态就直接断电,而网络服务器则在开机时要按照正常的关机程序操作。保护现场计算机系统, 避免发生任何的改变、伤害、数据破坏或病毒感染。
(2)复制客户端计算机或服务器硬盘源盘数据或制作镜像文件存放到目标盘内,将源盘封存,保证数据的完整性,最大程度对原始数据的保护。
(3)对目标盘分析现存的正常文件和未被覆盖的数据,以及有密码保护的文件和加密文件。使用取证软件的过滤功能能够方便的得到目标盘现有的数据。
(4)对目标盘全盘扫描,发现更多可恢复数据。使用取证软件搜索或过滤隐藏文件、临时文件和交换文件的内容。
(5)在目标盘上动态仿真,访问被保护或加密文件的内容, 或者提供给极光网络密码破解系统。
(6)在目标盘上使用取证软件的“搜索”功能分析未分配磁盘空间,发现其中的数据残留。其中搜索时需要使用关键字搜索, 能够在未分配磁盘空间内快速搜索所需内容。
(7)同上一步骤,使用“搜索”功能分析文件中的slack空间即每单位簇内的剩余空间内的数据,往往会发现有用的证据。
(8)制作取证报告,分析取证结果,并将数据刻成光盘, 附卷移送司法机关。对于具备鉴定资质的电子物证实验室,可以出具法庭认可的鉴定书,其可信度更大。
4总结
数据恢复是电子物证检验非常重要的一个步骤,其技术博大精深,不同的软件处理,得到的数据也有所不同,有时候只有通过分析底层二进制数据,才能获取较好的恢复效果,因此要想从数据中得到更多的犯罪信息,只有不断磨砺宝剑,在工作中不断总结,为打击犯罪尽到自己绵薄之力!
参考文献
[1]戴士剑,陈永红.数据恢复技术.北京:电子工业出版社.2003.
[2]汪中夏,刘伟.数据恢复高级技术[M].北京:电子工业出版社,2006.
[3]梁宇恩,沈建刚,梁启来.计算机数据恢复技术[M】.西安:西安电子科技大学出版社,2009.
电子物证检验 篇6
一、文件物证检验意见属性分析
文件物证检验是司法实践体系中的组成部分, 新刑诉法吸收了全国人大常委会《关于司法鉴定管理问题的决定》和 (规定 (一) ) 中的规定, 将“鉴定结论”改为“鉴定意见”。司法机关审理任何案件做出最终结论时必须要以能客观真实反应案件事实的证据为支撑, 因此, 司法实践中文件物证检验意见具有重要的地位。
文件物证检验意见在英美法系国家归属为专家证言, 在我国通常被定位为鉴定结论。根据其最终的表现形式一般分为检验报告、鉴定书、鉴定意见书等, 这归根结底都是对案件相关的文件物证进行检验甄别, 得出结论, 来证明案件本身的客观真实情况。文件物证检验意见在我国的各项诉讼程序中, 都是一项非常重要的证据。从证据学的角度上说, 文件物证检验意见不是直接对案件本身起证明作用, 而是对证据材料进行检验, 不随意作延伸解释, 可见文件物证检验意见只能对文件证据或实物证据本身起证明作用, 经过对文件物证进行检验后得出的结论证明所检验的证据材料与案件有关, 这对案件来说就起了决定性的作用。
二、文件物证检验意见证据效力的审查
文件物证检验意见的证据效力体现在两个方面。一是证明能力, 证明能力指证据是否有提出、证明案件的法律资格, 即证据的程序价值, 反映的是证据的合法性。二是证明效力, 在对文件物证检验意见的证明能力进行考察时, 侧重点往往放在它的合法性、客观性与关联性上。文件物证检验意见在符合上述合法性、客观性的条件下, 还需同时考察其与案件是否相关, 与其他证据能否相互印证。只有程序合法, 鉴定手段客观真实, 并且对案件能起到证明效果, 文件物证检验意见才具有证明效力。
(一) 文件物证检验机构合法
文件物证的检验是指运用语言学、文字学、生理学、物理化学及其他相关科学的理论和方法对诉讼中涉及的可疑文书, 进行分析鉴别, 借以确定该可疑文书与案件事实的关系及其与一定的人的关系的技术科学。文件物证检验意见是由公安机关、检察机关和人民法院指派或聘请的鉴定人运用其所掌握的专门知识和技术手段, 针对案件专门性问题检验分析后所做出的鉴别与判断。由此可见, 对鉴定机构和文检技术人员必须有严格的要求。
1. 机构资质
鉴定机构依法成立必须要达到国家司法部规定的要求, 鉴定机构必须具有营业执照, 机构内必须有一定数量的具有鉴定资格的文检技术人员, 办公场所中的检测仪器等专业设施必须具有资质证书等等。鉴定机构的成立要经过国家相关部门的考核、审批, 方能取得相应资质。
2. 鉴定人资质
从事文件物证检验的技术人员不仅需要具备专业知识、技术能力, 还需具备较高的法律素养。文检技术人员即使掌握着很高的理论知识和技术水平, 但法律素养不高, 文件检验过程中则可能会弄虚作假, 作出错误的检验结论, 这会造成司法不公, 激化社会矛盾。
(二) 文件物证检验程序合法
文件物证检验意见是对存疑证据进行鉴别判断的结果, 但其是否都具有证明能力, 这就需要依据其是否是经过合法程序来判断。根据我国《最高人民法院关于民事诉讼证据的若干规定》第二十六条:当事人申请鉴定经人民法院同意后, 由双方当事人协商确定有鉴定资格的鉴定机构、鉴定人员, 协商不成立的, 由人民法院制定。在诉讼中对存疑的证据, 首先要依据上述法规来确定鉴定机构, 再根据其规定的第二十九条“审判人员对鉴定人出具的鉴定书应当审查是否具有下列内容; (一) 委托人姓名或名称、委托鉴定的内容; (二) 委托鉴定的材料”来进行具体实施操作。只有经上述法律法规规定的程序取得的和依法审校确认的鉴定结论才具有证明能力。根据非法证据排除规则, 获取文件物证必须合法。由此可见, 鉴定资料的获取手段上要合法, 在该文件物证的产生过程和产生根源上也必须要合法, 并且需要严格审查。依据非法手段获取的文件物证不能作为证据使用, 即使是经过合法的鉴定机构作出了合法的鉴定结论, 它也只具有证明能力, 不具有证明效力。
(三) 文件物证检验意见的质证
文件物证检验意见即使经过上述法律规定的程序取得了证明能力, 但不一定在案件诉讼过程中能取得证据效力。在民事案件诉讼中, 文件物证检验意见是对某一文件物证的本身证明力的鉴别判断, 此结论是否具有证明效力, 有多大的证明效力, 依据我国法律规定, 鉴定结论必须经过法定程序当庭出示, 并由当事人相互质疑、辩论。根据我国现有立法和司法来看, 质证就是指诉讼当事人在法庭审核过程中就出现的证件进行对质和核实的一种活动方式。《民事诉讼法》第七十九条:当事人可以申请人民法院通知有专门知识的人出庭, 就鉴定人作出的鉴定意见或者专业问题提出意见。由此可见文件物证检验意见要想具备证明效力, 就必须依法在案件审理过程中, 当庭进行质证、认证, 否则不具有证明力。
1. 对鉴定程序的质证
文件物证检验需要经过复杂的程序, 程序的合法与否决定了文件物证检验材料是否具有作为证据使用的准入资格。根据程序正义原则, 文件物证检验的每个环节的合法性都必须进行审查, 检验程序的合法性是检验结论合法性的一个重要方法, 检验过程中的任何一个环节、步骤, 如委托程序、受理程序、检验步骤、检验结论的文书格式、内容等存在着不合法的情形, 那么检验结论就不具有证据效力。
2. 对鉴定机构及人员的质证
我国现行法律法规都有对具备法定鉴定资格的鉴定机构的规定, 也明确了鉴定人法定资格的取得方式, 应具备的知识、技能和经验等, 因而, 法官在审查检验机构、文检技术人员的资格时, 相应地也就有章可循。文检技术人员的专业技术水平、从业经历和、进行检验时的步骤、程序等就对该检验结论的可靠性有着决定性的作用。同时, 检验人的主管倾向也是个不容忽视的问题, 所以, 我国法律还规定了检验人在与当事人有利害关系等情况下需要进行回避, 应当回避而没有回避的情况下所作出的检验结论应该予以排除。
3. 对鉴定时所依据的技术标准、行业规范的质证
任何一项成熟的检验技术, 都必须有充分的科学论证及实践印证。鉴定人对鉴定客体进行检验所利用的方法必须是科学的、学术界没有争议的, 通过鉴定作出的鉴定结论应当是有说服力的。文件物证检验意见所依据的技术标准是落后的, 或依据未得到行业内普遍认同的新技术, 其科学可靠性则会受到质疑。
三、文件物证检验意见在司法实践中的运用
对文件物证检验的关键在于判断案件事实的证据的真实性、关联性和客观性, 不论是公安机关在刑事案件侦查过程中还是人民检察院对案件审查批捕、提起公诉过程中, 或是人民法院对案件的审理过程中, 都必须对任何涉案证据进行审查。
(一) 为刑事侦查工作明确方向
公安机关在一起刑事案件的侦查过程中, 现场获取及侦查缴获的一些可疑文件物证可以证明作案过程, 揭露犯罪事实, 为公安机关的侦查明确方向。一份正确的文件物证检验意见是人的个体认识与科学技术和知识理论的统一结合, 它能让事实真相很直观地展现出来, 让侦查机关在侦查过程中快速地分辨出是否与案件事实相关, 是否是嫌犯故意损毁或污损, 从而分析出嫌烦的犯罪手段、犯罪目的和犯罪心态, 为侦查工作起到事半功倍的作用。
(二) 为人民检察院的诉讼及侦查工作提供判断依据
人民检察院的公诉、抗诉及职务犯罪的侦查工作中, 对某些存疑的文件物证必须要经过司法鉴定机构的文检技术人员的检验鉴别, 再针对案件的情形, 作出定性决定。国家工作人员利用工作的便利实施了贪污行为, 在本人拒不承认的情况下, 只有通过搜集证据并对相关证据进行鉴定来判断其是否为嫌疑人。如果不经过文件物证检验程序, 仅仅依据搜集到的证据和相关的法律法规, 是很难判断嫌疑人的。
(三) 为诉讼案件提供证据
在我国目前的司法实践中, 无论是刑事案件、民事案件还是行政案件, 所有的司法机关都必须重视对案件中存疑的文件物证的检验鉴定, 但这不代表要完全依赖文件物证检验意见。我国《刑事诉讼法》、《行政诉讼法》以及《民事诉讼法》等相关程序法都有明确的规定, 所有证据都应该经过诉讼双方的质证, 才能作为定案的根据①。文件物证检验意见的质证涉及多个方面, 包括对检验机构的质疑和认定, 对分析方法、检验人员的主观性进行质证等。除质证外, 还应综合其他证据来分析确定证据材料的客观真实性、来源的合法性和与案件的关联性, 最后才能将之作为最终的定案依据。定案根据都是法定证据;但是法定证据不一定都能成为定案根据。鉴定结论不享有当然的证据力, 其有无证据能力以及证据能力的大小与强弱必须经过质证后由法官依职权审查认定。
(四) 完善文件物证检验意见体制的几项措施
1. 制定完善的法律制度
随着经济全球化发展, 我国的法律制度也将与国际接轨。制定完善统一的法律制度能从根本上解决文件物证检验的问题。针对我国目前的文件物证检验现状, 除了完善相关的法律法规外, 还需要建立工作人员的道德考核制度, 通过道德的考察提升整个行业领域的风气。另外制定统一的行业标准, 要求各个环节严格遵守, 并且设置有效的监督机制, 由内而外地提高文件物证检验意见的权威性。
2. 完善检验人员出庭的制度
在文件物证检验中, 文检技术人员的出庭具有必要性。案件评判者往往对文件物证检验意见深信不疑, 这可能会增加出现错案的概率。因此, 对文件物证检验意见的质证制度要更加科学, 以保证案件评判者采信的是足够可靠的证据。在对文件物证检验意见进行质证的环节, 应该建立完善的检验人员出庭制度。检验人员出庭接受质证仅仅为了解释说明, 是具有客观性、中立性的。为此, 可以在这一环节设立相应的专家辅助人制度, 帮助解决质证时专业知识不足的问题。
3. 重视人才培养
文件物证检验具有较强的专业性, 与现代科学技术运用联系紧密。我国在发展科技上将人力、物力以及资金大量投入到尖端领域, 而文件物证检验方面的人才储备少, 设备投入少, 技术手段相较国外落后, 发展上也相较缓慢。在文件物证检验意见的得出上, 它的理论往往容易受到质疑。国家应加大对文件物证检验的技术设备的资金投入, 重视文件物证检验的人才培养, 在已经接受了足够的专业教育的前提下, 多进行国内外的交流合作, 吸取国内外的先进经验, 并且需要定期进行思想道德宣传教育, 全面提高人才后备军的专业素养。
四、结论
在我国司法实践体系中, 文件物证检验意见的价值主要体现在证据效力上。随着我国司法制度的改革与发展, 在案件的侦查审理过程中, 无论是公安机关、检察机关还是人民法院, 都对文件物证检验意见越来越重视, 对文件物证检验过程的要求也越来越严格。只有不断完善文件物证检验机构的体制, 文件物证检验意见才会具有公平公正性, 才会让司法的公平公正更加得以体现。
摘要:文件物证检验意见在我国司法实践中具有重要的作用。根据我国目前的司法制度和“以事实为依据, 以法律为准绳”的司法原则, 以及以客观证据为基础, 还原案件本来面目的角度, 本文论证文件物证检验意见在我国司法实践体系中的价值及在司法实践中的具体运用。通过分析我国文件物证检验制度现状, 发现制度中隐藏的问题, 提出相应的建议, 力求充分发挥文件物证检验意见的证据价值, 进一步推动司法改革的进程, 更好地实现我国司法的公平与公正。
关键词:文件物证,检验意见,证明力
参考文献
[1]贾治辉.文书检验[M].北京:中国检察出版社, 2010.96.
[2]何家弘, 张卫平.外国证据法选择[M].北京:人民法院出版社, 2000.88.
[3]陈飞翔.文件鉴定结论的审查[J].江苏警官学院学报, 2004 (3) :182-185.
[4]齐晓凡.文件检验结论的证据价值及其实现[J].中国司法鉴定, 2006 (5) :31-33.
[5]邹明理.论鉴定结论及其属性[J].证据学论坛, 2001 (2) :294-297.
[6]徐立根.论鉴定[J].证据学论坛, 2000 (2) :16-19.
[7]沈丙友.质证规则研究[J].证据学论坛, 2001 (2) :258-292.
电子物证检验 篇7
关键词:法医物证,DNA,自动化检验技术,体系
在公安破案的过程中, DNA可以作为主要物证提供给法医进行检测。良好的DNA检测效果对于嫌疑人身份的判断能够起到较大的支持, 因此可以说, 对于公安人员而言, 对法医物证DNA自动化检验技术的可靠性的分析尤其重要, 只有选择出较为可靠的检验方式, 才能使检验结果更加具有可信度, 同时也才能使案件的破获效率得到更大程度的提高。
一、实验材料的准备
在实验正式开始之前, 需要做好实验材料的准备工作, 其中DNA材料准备、仪器准备以及样本准备都必须认真的完成。
首先, 实验中所需要的DNA材料包括血斑、精斑、毛发以及指甲等多种, 在上述材料中, 血斑较容易获取, 而毛发则为较难获取的一项材料[1]。
其次, 实验中需要的器械包括自动化工作站。取样机、扩增仪以及测序仪等。为使实验结果的准确性能够得到提高, 必须保证上述仪器的使用性能, 因此在实验开始前, 做好相应的性能测试工作十分必要。
最后, 对样本的选择同样属于实验需要做的准备工作之一。实验中需要将血斑的量、精斑的量以及毛发的量控制在合理的范围内, 从而在保证实验能够顺利完成的同时, 最大程度的节约资源。
二、实验方法的选择
法医物证DNA检测方法主要包括自动化检测技术以及手工检测技术两种。为了判断上述两种方法在检验效果方面存在的差别, 有关人员分别从DNA的提取、检测时间的比较以及交叉污染测试三个角度进行了实验[2]。
首先, 实验人员按照一定的标准, 在使用相应器械的前提下, 对DNA进行了提取, 其中工作站-Chelex方法以及磁珠法为主要DNA提取方法。
其次, 在保证材料的相同性的前提下, 实验人员对两种方法在检验过程中所需要的时间进行了判断, 并将数值进行记录, 为两者的比较提供了参考[3]。
最后, 实验人以血斑为样本, 在遵循相应原则的基础上, 对其DNA进行了提取, 并进行了STR检测, 完成了交叉污染测试。为使测试能够达到更好的效果, 本次实验的此时需要保持在5次。
三、实验结果的分析
(一) DNA检测方法结果对比
实验主要以Chelex法以及磁珠法为主要DNA检测方法完成了DNA的检测工作, 通过对检测结果的分析发现, 相对于前者而言, 后者在DNA的提取方面成功次数较多, 因此认为利用这一方法对DNA进行提取, 其成功的几率也比较大[4]。在案件破获的过程中, 公安人员可以选择这一方法作为法医物证DNA提取的主要方法。
(二) 手工与自动化检测所需时间对比
通过对手工与自动化检测技术所需要的检测时间的对比发现, 相对于前者而言, 后者在检测时间方面有所缩短, 其检测效率以及准确度均较强制具有优势。以DNA的提取为例, 本次实验中利用手工方法提取48例样本DNA需要的时间为3小时, 相对而言, 利用自动化技术进行提取所需要的时间则为2.8小时, 除此之外, 随着提取样本数量的增加, 自动化技术的优势越加明显。
(三) 交叉污染测试结果分析
由于实验中所采取的样本数量为92个, 每一样本均没有被隔离, 因此, 为判断这一情况下各样本是否存在交叉污染, 做好交叉污染测试十分必要。为提高测试的准确性, 本次实验共进行了五次测试工作。通过对测试结果的观察与分析发现, 相对于Chelex法而言, 基于自动化技术的磁珠法在提取DNA的过程中不会导致交叉污染问题的发生, 因此可以判断, 利用磁珠法进行DNA的提取其准确度能够得到保证。
四、结论
综上所述, 法医物证DNA自动化检测技术属于案件破获过程中所利用的一项主要技术, 相对于传统技术而言, 自动化技术在检测效率方面具有更大的优势, 且在磁珠法下, DNA提取的成功率也能够得到保证。通过交叉污染测试发现, 以自动化检测技术为基础的磁珠法并不存在交叉污染的可能, 因此, 公安人员可以以此方法为基础, 展开对物证的检测工作。
参考文献
[1]匡金枝, 聂同钢, 杨智, 朱巍, 王玉健, 孙睿, 马妍.法医物证DNA自动化检验技术体系的研究[J].中国法医学杂志, 2009, 03:164-167.
[2]管桦, 李英, 荣海博, 赵颖, 阮德林.磁珠DNA自动提取系统在法医检验中的应用[J].刑事技术, 2013, 05:29-32.
[3]张晨.D6S1043和D12S391基因座在辽宁地区汉族群体中的遗传多态性及复合扩增方法的研究[D].中国医科大学, 2010.
电子物证现场取证技术研究 篇8
我国自1978年实施改革开放政策以及在新世纪加入世界贸易组织 (WTO) 以来, 我国在各个领域都取得了较为快速地发展。其中, 侦查技术就发生了根本性的变化, 侦查技术逐渐发展成为以信息技术为主体的专业的科学技术, 通过融入信息技术, 这就使得侦查的效率变得十分之高, 各种犯罪行为也在信息技术这双“慧眼”的监视下一个个被侦破, 这也在很大程度上减少了犯罪行为的发生。因此, 可以说电子物证现场取证技术是时代的进步, 也是信息技术发展到一定阶段的重要产物。本文主要对电子物证的现场取证技术的相关内容及重要组成部分进行了阐述, 以及对电子物证取证及检验的重要意义以及作用进行了论述。具体的方法为主要是对欧美以及国内的有关电子物证现场取证技术方面的资料进行了研究, 最终得出了电子物证现场取证及检验的涵义、取证对象、具体的方法以及特点等方面进行了介绍, 进而得出这样的结论:电子物证现场取证技术关乎到识别、发现、提取、保存、恢复以及分析鉴定等方面的科学技术, 能够为案件侦查提供必要的证据, 从而增加了犯罪侦查的效率。
1 电子数据的预检
在正式确定目标物证之前, 要对其进行电子数据预检, 其主要目的就是为了对相关案件加以锁定和发现, 以及对整个的发生过程进行事先安排。由于电子数据具有很多特点, 如易复制、易损坏以及易传播等特点, 现场调查取证的工作人员应该加强对证据安全的风险意识进行提高, 以不断提高电子数据的原始性以及完整性。
1.1 对手机的预检
目前, 手机主要分为3种类型, 即GSM、CDMA和CDMA/GSM3种类型。对于数据的存储一般使用的是SIM卡、手机本身带有的内存以及扩展卡 (或者称为可以替换的存储卡) , 此种存储介质的一大特点就是保存了与案件有关的电子数据如通话记录、信息、记事本、视频信息等, 而这些信息往往都与发生的案件有很大的联系, 因此这种渠道来获取电子数据也是电子物证现场取证的一个重点内容。现场取证的工作人员能开启手机对相关数据进行预检, 在对手机进行预检时, 应该注意应该对相关信号进行屏蔽, 除了该案件需要对拨人电话或者发短信息的人实施跟踪。这样做的主要的原因就是手机处于一种全开放的在线工作状态, 这就可能会发生随时将信息泄漏出去的现象, 而且短信也可能会被删除或是被泄漏出去, 而这些被泄漏出去的信息往往和案件有很大的关系。因此, 笔者认为, 应该加强对手机信息加以保护, 以避免手机信息的外泄而影响了案件的快速侦查。
1.2 对电子计算机设备中的电子数据进行预检
现场的调查取证人员为了对运行中的检验设备以及设备中的电子数据进行预检, 一般都会按照常规的方式进行开机查阅, 然后对系统中的相关文件加以浏览, 那么这样做的坏处就是很有可能对所储存的电子数据的有关属性进行了改变, 电子数据的属性改变了, 就会带来一定的风险。这些风险主要包括如下几个方面:改变了系统中的文件时间属性, 对于Windows各个系统的影响是不同的, 其中对于Windows98系统而言, 会造成约为300个文件属性的改变, 对于Windows2000系统, 一般会造成约为500个文件属性发生改变, 如果此案件要涉及到电脑开机时间的取证与检验, 那么势必会导致取证及检验的条件发生重要的扭变。因此, 可以说现场取证调查工作人员不要对处于关机状态下的设备中硬盘的电源, 拔下硬盘数据线, 将BIOS的引导设备修改为软盘, 阻断被预检的硬盘启动系统, 之后采用专用的系统启动盘 (如专用的Encase启动盘) 重新启动系统。
2 涉案设备封存收缴时应该注意的几个问题
2.1 涉案实体对象封存收缴
对于涉案实体对象封存收缴, 是一种获取物证十分重要的方式。当前时期下, 涉案实体对象主要分为四个方面, 即存储的介质、文档、电子设备及其他资料。其中, 存储介质主要有以下几个方面, 即硬盘、软盘、U盘、光盘、磁带以及各类存储卡等, 上述这些设备可以存储相关的数据。电子设备主要包括PC机等、mp4、手机、数码设备、集线器、路由器、磁带机以及数据线等, 这些设备可以对电子物证进行外在的反映。文档以及其他资料主要包括计算的程序方面的内容以及各种设备的用户手册、打印的各类文档资料等。上述设备主要是对电子数据进行记录。
2.2 开机状态的设备的封存收缴
对于开机状态的设备而言, 一般不能对其进行简单的处理, 大部分人都会将电源直接关闭进行收缴封存, 如果按照这样做的话, 势必会使得重要的数据受到破坏以及丢失, 且对后续的数据分析以及取证检验增加更大的技术难度。例如一个正在运行的应用系统, 将电源关闭之后, 可能会造成两个方面的不良后果:1) 使得内存中处于动态运行的程序以及文件的相关数据大量丢失, 这样就会使得屏幕上所显示的全部信息不能很好地重现;2) 各种存储介质中的相关数据即使能够进行很好的克隆和备份, 但是对于需要在实际运行中分析检验的专用系统, 重新搭建系统运行环境, 则很有可能会遇到系统启动密码, 文件加密、应用系统运行时需要支持的各种工具软件的安装等。
3电子物证现场取证的具体方法
当现场调查取证的工作人员在进行现场取证时, 由于受到各种外界条件的影响以及限制, 根本无法对正在运行的系统进行停止处理或者对设备封存收缴, 尤其是在面对某些专用的应用系统, 例如金融、医疗以及大型的网站等, 对系统进行停止运行势必会对被调查部门或者是用户正常的工作秩序造成一定程度的影响或是伤害, 它们会承受经济上的巨大损失以及风险, 但是对于现场调查取证的工作人员而言, 对相关的电子数据实施静态或是动态的分析, 面对巨大的存储数据, 一是对其分析相当耗时;二是令人难以承受。所以, 笔者认为, 现场调查的工作人员应该选择那些物理存储介质中的电子数据, 当前时期下, 随着信息技术以及其他各类技术的快速发展, 对电子数据的获取主要采用的技术方法是对物理存储介质的实体镜像以及逻辑进行复制。目前各国普遍使用的保存数据的方法为物理存储介质的实体镜像, 同时它也是世界各个国家司法鉴定机构普遍认为最好的取证方式之一。物理存储介质的实体镜像, 可以实现对整个物理存储介质进行逐步的整体复制, 对于在这个过程中所复制的目标数据不仅包括操作系统中可以进行访问的正常数据文件, 而且还包括了操作系统不能进行识别的已经被删除的文件、文件碎片以及没有进行磁盘空间分配等, 在上述空间中可能包含了文件删除之后没有被覆盖的大量残余的信息, 而这些数据一般与已经发生的案件具有十分密切的关系。所谓逻辑复制指的就是对物理存储介质中的某个分区或是文件进行复制, 这些文件以及分区, 操作系统可以进行正常地访问。
参考文献
[1]尹春社.对电子数据现场获取存在问题的分析与探讨[J].刑事技术, 2008 (3) .
[2]李盛, 朱秀云, 韩杰, 等.电子物证检验中常用数据恢复工具对比研究[J].刑事技术, 2008 (4) .
[3]王桂强.电子物证检验[J].刑事技术, 2003 (4) .
[4]罗文华.信息上传操作在客户端主机中留有痕迹的检验[J].刑事技术, 2010 (1) .
【电子物证检验】推荐阅读:
电子物证07-14
物证制度10-02
时间的物证08-19
火灾痕迹物证10-07
法医物证司法鉴定10-29
物证保管室管理制度05-09
电子产品出厂检验标准09-11
电子材料来料检验标准11-15
食品药品检验电子档案管理探讨论文07-25
电子电子技术07-02