信息取证

2024-09-12

信息取证（通用12篇）

信息取证篇1

1 前言

随着计算机网络技术的高速发展, 网络已经成为了社会生活中的重要组成部分, 但近年来计算机犯罪严重威胁信息的安全性。最近的一项统计结果显示, 在我国, 由计算机犯罪产生的民事、刑事案件呈逐年上升的趋势。因此, 如何获取最全面、最客观的犯罪电子证据, 有效打击计算机犯罪, 并将犯罪分子由法律制裁是摆在我们面前的一个重要课题。对此, 计算机主机隐秘信息取证技术应用而生。该技术能够迅速出击, 准确将其相关的犯罪证据搜集, 同时还能将黑客入侵的情景再现, 也能系统的分析其攻击所用的方法。因此, 计算机取证技术的使用, 使黑客入侵的风险大大降低, 从而有针对性地应对黑客入侵。因此, 计算机取证技术逐渐成为打击计算机犯罪和解决争议的重要举证途径。

2 计算机取证技术概述

由于计算机的发展和网络的普及, 计算机技术对现代社会生活的各个方面都产生了深入的影响, 其不仅为人们的日常生活提供极大的便利, 更使人们的思想观念发生改变, 更有利于建立更加开放包容的交流环境。然而, 计算机在使用的过程中, 通过注册等多种形式, 不同人员将个人的信息留存在计算机内, 一些不法分子利用网络的便利和相关的计算机专业知识与技能盗取他人信息或其他财产, 损害其合法权益。所谓计算机信息取证技术 (Computer Forensics) , 是专业人士利用计算机软件等相关工具收集和分析犯罪分子在计算机主机中留下的犯罪痕迹, 以便其形成诉讼证据, 进而能辅助警方破案。在取证过程中, 专业人士通过分析计算机主机中的数据、资料、文档以及保密性的文件, 提取其电子证据, 从而抓捕犯罪分子。

3 计算机取证原则

3.1 依法取证的原则

中华人名共和国法律对计算机主机隐秘信息取证进行了明确的规定。具体来说, 一条完整的证据链条, 要使其具有合法性, 必须包括四个要素, 分别为犯罪主体、犯罪对象、犯罪过程以及犯罪实施的方法。在进行计算机取证时, 要想保证取证工作的顺利进行, 必须采用有资质的专业人士, 以确保取证的准确性和合理性。计算机隐秘信息的取证过程相当复杂, 必须严格按照程序, 划定其取证的相关范围, 保障其他不相关人员的合法权益, 还要确保不能滥用权力, 私自调查犯罪不相关的人员。

3.2 及时性原则和准确性原则

在进行计算机取证时, 务必要确保其及时性原则和准确性原则这两个特性。一方面, 计算机的数据存储由两个方面构成, 在断电或电脑重启的情况下候丢失计算机缓存的数据, 造成原始数据不准确, 因此, 计算机取证要把握好时机, 确保取得第一手证据;此外, 在进行计算机取证时, 其准确性要得到保障。计算机是由相关的逻辑原件构成的, 其是一种具有人工智能效果的应用设备。因此, 在进行计算机取证时, 专业人员必须遵循相关的步骤来进行, 保取证地准确性。

3.3 备份取证原则和无损原则

在取证过程中, 还要遵循备份取证原则和无损原则这两个原则。目前, 计算机取证时, 通过拍摄照片来保证其备份原则。备份原则可保证证据的随取随用和原始证据的完整性。而所谓无损原则, 是指专业人员在取证时, 需要小心应对, 保证其证据不被破坏, 其现场具有完整性。此外, 在现场, 若有涉案的设备存在, 必须要做到现场仪器的完整性, 尽量使其处于案发时的状态, 以便对此案件进行持续性的调查。

3.4 过程监督和管理原则

在计算机取证时, 搜集的电子数据十分容易遭到破坏和丢失。因此, 在此过程中, 一定要要有专业人士进行全程及时监控和在线指导。而与涉案的证据被搜取到之后, 应采取相应的管理原则, 对相关的证据进行必要的保存和复制, 需制定严密的管理措施, 保障重要数据的破坏和丢失。

4 计算机取证技术系统分析

目前, 在进行计算机取证时, 所应用的软件相对固定, 构成其软件的模块也相对固定。因此, 其具有的取证功能也比较固定。一般其过程包括信息的采集、信息的分析、信息的加工、信息传输等。计算机取证的过程, 最为重要的内容就是对计算机主机的取证过程。计算机主机的取证过程相对复杂, 因为其包括很多相对独立的模块, 而最核心的模块为加载模块和自动隐藏模块, 计算机隐秘系统的取证过程的关键之处就是这两个模块能否进场运行。同时, 在进行计算机取证时, 软件的实际行为要密切观察, 以确保其运行的完整性。

除了加载模块和自动隐藏模块, 计算机主机的取证还包括自动卸载的模块。该模块的主要作用是接受指令后, 通过一系列的反映对计算机产生的痕迹进行清理。相关的数据文件在进行取证时, 在其自动卸载模块的作用下得到计算机主机上所存储的信息, 再将所得的数据文件进行压缩和加密, 最终通过软件的数据回传功能将搜集到的数据传输到外界, 从而将计算机取证的任务圆满完成。

5 当前计算机取证存在的问题

计算机信息取证技术也存在一定的问题。其在我国的发展时间相对较短, 与其相关的工具、应用技术、软件也具有一定局限性, 导致其在电子数据信息采集系统中应用的不足。主要包括相关取证专业技术人员缺乏;取证过程效率低下、科学性不足;取证技术存在局限等。随着网络犯罪行为的不断上升, 计算机信息取证技术的应用范围逐渐扩大, 随着科技的不断发展进步, 会不断完善电子证据的提取系统以及相应的软件, 该技术在未来会变得更加成熟。

6 结语

虽然计算机主机隐秘信息取证技术发展较短, 相对不成熟, 但它能引领未来计算机取证行业的发展趋势。计算机的取证技术能够有力的支持相关法律的可靠实施, 并能有效解决当前计算机犯罪证据难以获取的问题。随着我国计算机信息技术的高速发展与不断完善, 以及相关法律政策的建立和健全, 相信在不久的将来计算机信息取证技术将会发挥更好地作用并得到重视。

摘要：随着计算机技术和网络的不断发展, 计算机犯罪案件逐年增加, 因此, 对计算机主机隐秘信息取证的工作变得尤为重要。本文对计算机主机隐秘信息取证原则和其取证的系统分析展开论述, 提出当前取证所存在的问题, 并对其发展趋势进行了展望。

关键词：计算机,取证技术,隐秘信息

参考文献

[1]董炜.现代信息技术环境中的信息安全问题及其对策[J].信息化建设, 2015 (04) :1-2.

[2]陈之彦.现代信息技术环境中的信息安全问题及其对策[J].数字技术与应用, 2015 (02) :196.

[3]张浩波.计算机主机隐秘信息取证技术研究[J].无线互联科技, 2015, 12 (01) :89-89.

信息取证篇2

四、评域外直接取证

1.法理上的两难问题

如前文所述，无论直接取证还是间接取证，都存在法理上的问题。

如果采取间接取证方式，则法院审理涉外案件时，需要由外国法院或有关机关代为取证，表明他们直接或间接地介入了内国地审判活动。而且，这还使本国的诉讼活动要受外国司法体制和诉讼法律的制约。因而，需要域外取证的案件与纯粹的国内案件比较起来，将给受案机关和当事人造成法律上的不利。

而如果采取直接取证方式，则表明本国法院在他国领域内为审判行为。假如它是单方面在另一国境内进行取证，未获外国明示或a示的同意，这实际上是对外国主权的侵犯。所以，如果没有国际条约的存在，一般是不允许这种情况发生的。

这也正是各国反对美国进行单方面的直接域外证据开示的原因。

2.存在的分歧

（1）取证制度上的分歧

取证制度，在各国诉讼法中有所不同，有的甚至存在严重的抵触。如按英美法系国家的诉讼理论和实践，在审理案件前调查必要的.证据，不属法官和司法机关的职权范围，而是由当事人及其律师进行，法官仅在审理案件时对双方当事人提出的证据作出法律上的判断。对于国外取证，只要有关的人自愿提供证据，且未施加强制措施，这种纯属私人性质的取证，国家并不介入和干预。大陆法系国家则认为，调查取证专属法官和司法机关的职权，所以取证属公法性质，属国家司法行为，必须由官方机关或经法律授权的个人进行。此外，在国外取证的情况下，究竟应依哪国法律所规定的程序规则进行，也是一个必须解决的重要问题。

（2）域外取证方式上的分歧

在传统的国际司法协助当中，最主要的取证方式是请求书方式。取证请求书是一国法院向另一国法院发出的正式请求，请求对方协助进行取证。作为一种间接取证方式，请求书取证不会损害外国的国家主权，因为外国国家有权决定是否提供协助，而且在该外国进行的取证过程通常也是在该国法官主持下进行的。因而，请求书取证方式得到了各国的认可。在《海牙取证公约》第一章中，对请求书取证方式作了较为全面的规定。

分歧主要集中在域外直接取证特别是美国实行的单方面域外证据开示程序上。

对于美国法院而言，通过请求书方式取证，似乎是一种迫于无奈的选择。[1]即对于那些不受美国法院属人管辖、也无法向其送达传唤状的外国证人或其拥有的文件，以及那些禁止美国在其境内直接取证的国家，美国法院只好按照请求书方式进行取证。而通常情况下，美国法院倾向于根据《联邦民事诉讼程序规则》采用直接域外证据开示命令，以获取所需证据。在美国人眼里，间接取证即请求书取证方式存在较大的弊端：首先，在没有条约的情况下，外国法院就没有义务必须执行美国法院的取证请求书。两国交恶或争议问题涉及外国的公共政策，都有可能导致外国法院拒绝执行美国提出的取证请求书。其次，即使外国法院同意提供司法协助，但它们通常要按照本国法律规定的司法程序进行取证。例如，在某些国家，录取口头证词时，证人无须宣誓，甚至不作逐字记录。此外，外国法院也很少全面执行美国法院提出的取证请求，因为许多国家对美国证据开示请求的范围予以限制。最后，由于必须通过外交途径将取证请求书转送有关国家法院，所以美国法院的取证请求书通常要先送交美国国务院，由其转交给接收国外交部，然后再由该国外交部转送给本国有关法院。这一过程少则三个月多则一年以上，因此，美国法院往往抱怨这种方式过于缓慢。[2]

可以说，美国进行单方面直接域外取证，是侵犯他国主权，无视他国法律的表现。因为，由于许多国家都针对美国制定了障碍性立法，美国法院发布的域外直接证据开示命令，时常会与外国的这些障碍立法发生冲突。在早期，如果进行域外证据开示将违反证据所在地法律，美国法院通常就拒绝发布此类命令。[3]不过，随着美国霸权主义思想的不断膨胀，美国政府到处推行强权政治，美国法院也紧随左右，放弃了以往的做法，而违反外国法进行直接域外证据开示，并采取了一种所谓的“两步骤”分析法：[4]第一，美国法院认为自己有权命令在国外进行证据开示，即使这种命令违反外国法律；第二，接下来，如果当事人没有服从域外证据开示命令，美国法院就要考虑以何种

电子证据取证规则和取证方法研究篇3

摘要：本文介绍了电子证据这一新的证据类型，以及电子取证的取证规则和技术手段，最后阐述了电子取证过程中应该注意的问题。

关键词：电子证据；电子物证；电子取证；取证技术

电子证据是计算机网络科技与法律相结合的一种新的证据类型。随着计算机网络技术的快速发展，在司法实践中涉及到电子物证的实例越来越多，电子证据的取证规则、取证方式都不同于传统证据，需要通过特定的技术方法进行获取和分析，所以在电子证据的取证过程中应当规范取证流程和取证方法。

一、电子取证应严格规范取证程序

鉴于电子证据本身所具有的无形、多样和易被破坏等特点，任何人为因素或其他不定因素导致的对电子数据的修改、删除、覆盖都无形当中加大了电子证据取证的难度，因此电子证据取证工作是相对困难的，必须要掌握一定的计算机知识，依照准确严格的方法和程序。

1、保护证据现场。证据现场的保护是电子取证的前提条件，也是电子取证程序的第一步。其对于收集犯罪证据及认定犯罪事实有重要影响。如果犯罪嫌疑人事先得到消息，就很可能立即销毁或者修改电子证据导致取证无效，因此必须快速对证据现场实施保护措施。取证人员进入现场后，应迅速封锁整个计算机及相关电子设备区域，实行人机物理隔离；如计算机处于开机状态，应保护好计算机日志，对数据进行备份，切断远程控制；封存现场的信息系统、各种可能涉及到的其他电子设备，内部人员使用的工作记录、程序备份和数据备份；提取涉案计算机硬盘、移动存储介质、光盘等，应特别注意对当事人随身携带的手机和存储介质的提取。有效的保护证据现场能够避免电子证据受到破坏，保护好数据信息资料，防止发生人为更改数据、损坏硬盘、感染病毒等破坏电子证据的情况。

2、提取和固定电子证据。电子证据的提取和固定是整个电子取证的基础，也是电子证据得以运用的前提，指的是用一定的形式将电子证据固定下来，加以妥善保管，以便将来进行数据分析和认定案件事实时使用。电子证据丢失风险大且难以弥补，如果取得的电子证据没有进行正确的证据固定，则可能会导致电子证据丧失可采性和证明力。因此电子证据的提取和固定是保证其有效的重要措施。

3、电子证据的数据分析。电子取证数据分析是指运用计算机技术和信息网络技术，对提取到的电子数据进行分析，发现能够体现案件事实相关的数据，以确定电子证据应该采纳的内容和方向。电子取证数据分析是电子取证的核心和关键，所有的分析工作应该在克隆硬盘或备份文件上进行，以保证原始证据的可靠性和合法性。

二、电子取证的技术手段

常用的取证技术方法有数据复制技术、数据恢复技术、数据挖掘技术和密码破解技术等。

1、数据复制技术。电子取证中的数据复制指的是将合法提取的电子设备上的数据备份到另外一个或几个计算机硬盘中，从而保证源数据与备份数据的一致性。在电子取证过程中，如果我们直接在被调查的电子设备中对电子证据进行分析操作，很可能会由于误操作或设备故障导致原始数据遭到损坏，比如直接开启涉案计算机就会导致系统日志的修改，这将严重影响电子证据的完整性和合法性，进而影响到后续的取证工作。为了出现避免这种情况，电子证据的提取和分析工作不能直接在原计算机上进行，除非涉案计算机在取证现场处于开机状态，利用在线取证工具对内存及其他易失数据进行提取和固定后，再对涉案计算机进行后续处理。

2、数据恢复技术。数据恢复就是把被破坏或由硬件故障等各种原因导致丢失的数据还原成可见的正常数据。在犯罪实施过程中，犯罪嫌疑人可能会更改或者删除一些与犯罪事实相关的数据，案件发生后，犯罪嫌疑人也可能在得到一些风声后人为的破坏电子证据，因此数据恢复技术是电子取证过程中常用的提取数据手段。数据恢复技术大多依靠一些数据恢复工具软件来实现。

3.数据挖掘技术。数据挖掘技术是指从大量的、模糊的、随机的应用数据中提取潜在有利于案件侦破或直接反映犯罪事实的信息的过程。随着信息技术的发展，各种数据量成倍增长，如何快速的从海量数据中提取到有价值的信息成为电子取证工作的重中之重。因此我们需要对提取的电子数据进行分析，运用关联规则提取犯罪信息的关联特征，挖掘出各种与案件有关的信息证据。

4.密码破解技术。在某些情况下，文件夹或者文件被设置了密码保护，这就需要对文件夾或者文件进行破译解密，如对加密后的压缩文档，需要利用密码破解工具软件对其破译解密后，才能分析出其是否与案件有关联，进行一般取证。

三、电子取证是一项极其细致的工作，电子证据可能由于操作者的失误、硬件故障、突然断电、感染病毒等各种因素而丢失，因此与传统证据相比较，对电子证据的提取和审查就有更大的困难。电子取证过程中除了必须掌握正确的取证规则和取证方法之外，为了保证获取证据的法律有效性，取证过程应当注意以下几个问题：

1、对原始数据要进行冗余备份。提取的电子证据应该有两个或两个以上完整的拷贝。冗余备份既可以避免由于电子证据不稳定性造成的备份数据丢失，还可以在数据分析过程中同时对拷贝文件进行调查和分析，以提高分析取证的工作效率。

2、在备份复制过程中，以及对备份的硬盘或镜像文件进行数据分析检验时，应当使用写保护技术进行操作，并采取加密技术和数字签名等技术，以确保提取到的电子证据的真实性、准确性和合法性。

3、通过照相、录像等形式将电子证据从提取之后到提交法庭作为审判依据的过程中产生的所有变化都进行记录和说明。在移动涉案硬件之前，把需提取的设备在现场中的位置、外观及连接状态用照相、录像等形式记录下来，并采用录像的方式记录检验分析的全过程，尤其对改变封存状态、分析过程的关键操作等重要步骤时应当进行多角度录像，以提高证据的合法性。

4、保障电子取证的工作环境安全可靠。存储电子证据的介质必须远离磁场、避免高温、避免灰尘、避免潮湿的环境中科学存放，避免电子设备损坏，防止重要的线索和证据被破坏。还要注意阻止无线信号干扰，在对手机等无线通讯设备进行取证时，一定要在防屏蔽环境中进行，如手机屏蔽袋或者屏蔽室内，以免无线通讯时产生的数据污染待提取数据。

（作者单位：衡水市人民检察院）

参考文献：

[1] 李辽.刑事电子证据取证研究.燕山大学2009

浅析计算机主机隐秘信息取证技术篇4

关键词：计算机,主机隐秘,取证技术

0 引言

随着计算机技术的不断的发展, 打击互联网犯罪也成为目前解决互联网安全的主要手段之一, 在获取互联网犯罪证据时必须用到计算机取证技术, 通常情况下需要对计算机软件和工具进行详细的分析和研究, 然后在通过特定的活动提取和寻找有法律依据的证据, 我国现阶段对互联网犯罪的打击越来越强, 相关部门也出台了一些法律法规, 一些电子的证据也慢慢的被法律认可, 因此研究计算机取证技术越来越重要。目前通过计算机进行取证的方法有很多, 这些方法所要完成的任务是相同的, 都是为了获取有效的电子证据, 这些电子证据主要有5个方面:时间、地点、事件、人物、经过。对于现在来讲计算机犯罪虽然越来越多但是主要的犯罪种类有2种:一种是利用计算机存储相关的犯罪信息;另一种就是利用计算机从事犯罪活动。

1 计算机系统可获取证据的途径

计算机系统可获取证据的途径有很多, 主要包括一些文本文档、数据库文档以及视频音频文件等, 这些文件一般都是由用户自己创建的, 包含了很多的隐私信息以及个人的资料, 其中还包括用户设置隐藏的文件以及计算机运行过程中自动生成的文件等等, 最后还包括硬盘中的一些待删除的文件或者扇区的空间、隐藏分区等, 犯罪分子在实施犯罪的过程中会对文件进行删除、移动或者是创建等操作, 这些操作都是利用犯罪分子自己设计的计算机软件进行的, 所以在犯罪分子操作的硬盘中都会遗留一些信息, 这些信息就是取证的重要证据之一。

2 计算机系统取证的基本原则

2.1 依法取证的原则

在我国法律中规定, 司法鉴定和取证中必须存在以下4个主体时才能证明证据的合法性即主体、对象、方法和过程同时存在。计算机网络中的取证也需要合法的调查人员进行取证和鉴定, 这些合法的人员必须是一些资质鉴定的技术专家。对于以上所讲的对象合法, 就是指在取证时只是对与案件相关的电子信息进行取证, 对于超出与案件相关信息的范围时调查人员要停止鉴定, 这样主要就是避免发生侵犯受害者的隐私权、商业秘密等合法的权益。

2.2 备份取证原则和无损原则

无损原则顾名思义就是保证一些设备的完好无损, 这主要是指在取证的过程中一定要爱护涉案设备, 使得涉案设备的运行环境等保持完整, 不能做任何修改。并且在收集一些电子信息时必要要对这些重要的数据进行备份, 常用的备份方法就是镜像技术, 这样既能保证原始数据的完整性还能够在原始数据丢失时能够及时得到补充, 其中多备份原则就是这个目的, 原始的数据可以保存起来, 备份的数据可以用来操作和分析。

2.3 及时性和准确性

由于这些取证的信息都是在计算机运行过程中实时提取的一些数据, 这些数据不是认为生成的, 而是自动生成的, 因此如果计算机运行超过一定的时间后这些数据就可能发生一些变化, 所以如果鉴定人员在发现可以收集的数据时要尽快进行收集防止时间长了数据会产生变化, 给取证造成不便, 以上就是说的及时性的原则, 准确性主要是指一些调查取证人员在取证的过程中一定要仔细认真, 严格的按照相关的规定来进行取证, 只有这样才能获取真实的取证结果, 保证证据的完好无损。

2.4 全面的取证原则

全面的取证原则就是指在调查取证人员对电子证据进行取证时要奔着全面取证的原则进行取证。

2.5 环境安全原则

环境安全原则就是要保证取证的数据不要受到外部环境的影响, 比如高磁场、静电、灰尘、高温等因素的影响, 只有避免以上因素才能保证数据收集的安全性, 才能准确的得到所要的电子证据。

2.6 过程监督和管理原则

电子证据是一种无形的信息, 要保证这些证据的完好无损必须要有专门的人员进行监督, 在计算机取证的过程中要有全程的技术专家进行现场的指导和实时的监控, 这些数据的保存和转移也必须得到相关部门的批准才能进行处理, 并且在处理时要进行备份, 处理的过程中还要对处理的过程进行相关的记录。

3 计算机信息隐秘取证存在的问题

如今计算机隐秘取证存在着很多的问题, 这些问题归结起来主要包含以下几个方面:

第一、缺乏一些正规的取证过程, 目前计算机隐秘取证过程都是一些传统的取证过程不能保证取证的科学性和规范性。随着计算机犯罪日益的增多, 我国相关的部门也制定了计算机隐秘取证的原则, 但是这些原则只是一些笼统的概念, 并没有对一些操作的过程进行详细的说明和解释, 所以在计算机隐秘取证的过程中会很容易不按正规的方式来进行取证, 这样就会使得取得的电子争取的可信度大打折扣, 造成这些证据在法庭上的价值降低。

第二、是信息的分析难度大, 由于在计算机取证时的数据是庞大的, 就向大海捞针一样从大量的数据中得出有用的数据, 分析的难度非常之大, 表现的形式也非常的复杂。

第三、取证软件不足, 目前我国研发的一些取证软件远远不能达到相关的取证要求, 必须要引进国外的一些取证软件, 并且这些取证软件价格非常昂贵有时还不适合我国的基本国情, 在目前大部门的取证都是使用临时制作的小程序, 或者是人工操作进行收集, 这样收集的信息可信度就比较低。

4 计算机主机隐秘信息取证系统的分析

我国的计算机取证软件有很多, 但是最常用的只有几种, 比如金诺网安介质取证系统等, 这些软件在对计算机进行取证时主要包含一下几个过程:对信息进行采集、分析、加工、传输, 其中计算机的主机取证时最为主要的取证, 其中包含很多子模块, 这些模块主要包括自动隐藏模块、卸载模块、文档数据取证模块等, 整个系统的开始就是自动隐藏和加载模块, 只有它顺利的工作才能保证整个计算机隐秘系统的正常运行, 在这个过程中腰时刻注意软件的启动和关闭过程, 这些模块必须具有以外关闭自启动功能, 还要具有防病毒软件躲避的功能。

自动卸载模块的功能最主要的技术就是卸载组建的顺序和卸载的过程隐蔽性, 这个模块工作时必须要先将主机上的一些文本数据进行清理, 然后在进行卸载, 其中文档数据的取证是整个取证过程中的核心部分, 基本上所有的取证都是通过这个模块来完成的。自动卸载模块主要能够得到以下几种信息:移动接入设备的数据、主机密码证书以及一些密码文档。

5 结论

以上探讨了计算机隐秘取证技术, 通过以上的分析得出计算机取证不仅仅是一些科学技术上的问题, 还有相关的法律问题, 在计算机取证存在的问题中可以看出, 这些技术必须配合相关的法律法规和相关的操作流程才能使得取得的电子争取可信度提高, 只有这样才能使得电子争取在法庭上有效, 目前计算机隐秘取证的技术会慢慢的进行革新, 基本上会采用动态和静态相结合的取证方式, 还有网络取证和单机取证相结合的取证方式, 只有这样才能不断的完善计算机取证体系, 才能使得计算机取证不断的规范化、全面化

参考文献

[1]黄传河, 等编著.网络安全[M].武汉:武汉大学出版社, 2004.

[2][美]Michael Dea著.Windows安全手册[M].北京:清华大学出版社.

[3]许榕生, 吴海燕, 刘宝旭.计算机取证概述[M].计算机工程与应用, 2011.

[4]钱桂琼, 杨泽明, 许榕生.计算机取证的研究与设计[M].计算机工程, 2012.

[5]李德全, 等著.信息系统安全事件响应[M].北京:科学出版社, 2005.

取证申请书篇5

申请人：王学工性别：男年龄：45 籍贯：山西省绛县民族：汉, 住址：东莞市塘厦镇骏景高尔夫花园骏祥苑J座802房联系电话：***

请求事项：

请求东莞市第三人民法院调取本案原告于2011年7月15时12分因为被告侵害原告相邻权一事向110报警受理内容。

事实与理由：

二被告于2011年7月6日开始施工当天，就因为野蛮施工，导致原告所居住的房子主、次卧楼板出现多处1-4米不等的裂缝,原告及小区物业多次要求二被告停止施工,但二被告一直坚持施工,于2011年7月15日下午即将施工完毕,原告只得打110报警。因110报警受理内容原告无法取得,所以特此申请人民法院调取。

备注:

原告报警回执号为:07151524,110受理单位为:东莞市公安局塘厦分局石鼓派出所,电话0769-87728999,地址:东莞市塘厦镇石鼓社区。

此致

东莞市第三人民法院

证人出庭作证申请书

东莞市第三人民法院：

贵院受理王福生、王赵健与王学工相邻关系纠纷一案，为查明案件事实，根据最高人民法院《关于民事诉讼证据的若干规定》第五十四条第一款之规定，申请东莞骏景高尔夫花园物业管理中心作为证人出庭作证，请予准许。

附:

证人:广东康景物业服务有限公司东莞分公司

地址:塘厦镇平山骏景高尔夫花园内

电话:0769-86250002

此致

中式院落取证入市篇6

楼盘名称：泰禾·北京院子

项目地址：朝阳区孙河乡京密路与顺黄路交叉口往西500米

推荐理由：东方庭院、中式园林

开盘时间：2014年1月19日取得预售证

价格：预售均价77243元/平米

户型：主力户型为230-250平米独院；220平米联排别墅

入住时间：待定

实地探访：

作为2013年最受关注的豪宅项目之一，北京院子终于赶在农历新年之前取证入市。此次其被批准预售的产品包括350个地下车库和274套住宅，地下2层，地上3层，整体预售均价达到77243元/平米，其中最高均价87345元/平米。

北京院子所处的孙河板块，是中央别墅区与朝阳十大发展基地“温榆河生态休闲区”的重叠地段。项目紧邻地铁15号线孙河站，邻近京承、京平、机场高速等，周边有多家医院、学校及马术俱乐部、高尔夫球场等各类商业休闲配套。

与区域内其他项目清一色的西式建筑风格不同，北京院子的亮点在于彰显东方意境。整个院子项目通过考究的街巷、宅门、屋顶、深墙、院落、厅堂四方围合，层层递进，实现了中国传统民居的“内向型”院落空间；在园林打造上采用了中国传统的皇家造院方式，依照“一池三山”设计手法，规划了山院、水园两处主题园林。

在样板间，无论空间格局还是功能设计上，融入了现代家居模式，中西厨合一、大客厅、起居室、明厨明卫、高挑空、大幅落地窗……使得中国传统居住文化得到了焕然一新的感觉。

那些事：

该地块在公开竞拍之前已接到了11份报价，最高报价为13亿元。2013年1月24日，参与孙河地块拍卖的房企包括龙湖、融创、九龙仓等十几家房企。经过多轮“厮杀”，泰禾集团最终以18.5亿触线，后又以配建2000平米公租房胜出，溢价率近50%。

开发商说：

泰禾集团相关负责人表示，在别墅市场，泰禾不惧怕任何对手，与其他产品类型的定位有所不同，集团对于别墅市场的战略就是要“领跑”。

记者点评：

浅析计算机主机隐秘信息取证技术篇7

计算机主机秘密信息取证技术作为当前广泛采用的获取网络犯罪证据的重要技术, 通过利用计算机工具、软件等实现获取犯罪案件的电子证据, 从而辅助破案。然而, 由于其当前在法律范畴中未取得相应的地位与效力, 因而受到了高度关注, 计算机信息取证是否可靠、安全已经成为当前相关人员的主要研究问题。

2 计算机取证技术概述

随着计算机技术的不断发展, 现代社会生活的方方面面都受到了计算机技术的深入影响, 其不仅影响着人们的日常工作与生活, 提供了极大便利, 更改变着人们的思想观念, 建立了一个更为开放、互动的交流环境[1,2]。然而, 不同人员在使用计算机的过程中, 通过注册等形式将个人信息留存在计算机内, 从而导致一些不法分子通过利用计算机专业知识与技能与网络便利盗取他人信息或其他财产, 导致他人合法权益受到损害。计算机信息取证技术 (Computer Forensics) 通过利用计算机软件、工具等对犯罪分子在计算机主机中留下的犯罪痕迹进行分析和收集, 从而形成诉讼证据, 辅助破案。在利用该技术的过程中, 专业人员通过对计算机主机中的文档、数据、资料以及保密性文件进行分析, 提取电子证据, 从而使得犯罪分子落入法网。

3 计算机取证的基本原则

计算机信息取证的过程中, 需要遵循几方面原则, 从而确保电子证据的有效性: (1) 依法取证原则, 即取证的整个过程应具有相应的合法性, 确保在同时具有取证主体、对象、过程、方法的前提下进行。其中取证主体包括具有相应取证资格的专业人员以及合法的专家等;取证对象包括在维护受害者信息隐私权、商业秘密等前提下, 以与调查案件相关的计算机信息内容作为合法的调查范围, 对于超出范围的取证行为立即停止且信息不能被作为电子证据;调查过程、方法即在相关法律法规的要求下, 保证信息来源的真实性、合法性与可靠性。 (2) 尽早搜集证据原则, 即尽可能在第一时间进行取证, 避免数据在长时间存储的过程中改变。 (3) 证据连续性原则, 即证据应具有一致性、完整性, 能够全面反映出犯罪行为的数据资料。 (4) 证据公正性原则, 即应由技术人员对取证过程进行指导、监督, 并由审计人员核实证据的合法性、可靠性[3]。

4 计算机主机隐秘信息取证系统分析

计算机主机隐秘信息取证系统主要包括两大平台, 即计算机主机取证平台与取证管理平台, 分别包括5 个功能模块。计算机主机取证平台的技术水平直接决定着整体系统的运行功能, 其功能模块主要发挥自动化隐藏与加载、卸载、文档数据取证、取证数据隐蔽存储以及取证数据回传五项功能, 五个模块通过相互协调发挥作用, 共同在控制平台的指挥下完成取证过程:

(1) 自动隐藏与加载模块:作为在计算机主机上运行的第一个模块, 它发挥着重要的基础作用, 直接决定着后续模块的工作情况, 其功能主要包括隐藏程序进程、伪装自身文件、自启动程序以及躲避防病毒软件, 以上功能均依靠rootkit工具来实现。Rootkit通过覆盖Windows系统中包含的API调用, 使它们只向取证人员编写的代码而不是Windows代码, 从而达到隐藏程序进程、文件的目的。

(2) 卸载模块:利用编程设定指定条件可以实现程序自动卸载, 其关键在于隐蔽卸载过程, 同时应注意卸载顺序, 在条件满足时, 通过删除计算机主体的文本证据, 随后卸载功能模块, 最终实现注入痕迹完全抹除。如, 利用COM中的Co Free All Libraries函数对所有在进程中运行的组件程序进行检测, 在某一条件得到满足后, 通过调用Free Library即可实现自动卸载。

(3) 文档数据取证模块:该模块处于整个系统的核心位置, 决定着电子证据的获取过程。数据取证的内容主要包括主机重要文档、移动设备接入时留存的数据、登录型密码数据以及计算机主机EFS密码证书。

(4) 取证数据隐蔽存储模块:该模块主要负责对初步获取的电子证据进行保存、处理, 包括取证数据加密、隐藏存储、控制文件大小以及通过管理平台动态配置数据存储位置、文件大小等参数。

(5) 取证数据回传模块:通过利用网络及计算机主机的后门程序, 实现将取证数据秘密回传, 此时利用的通信机制成为秘密通道, 即利用隧道技术实现目标协议经过某一协议进行传送, 同时采取加解密技术确保数据传输前后避免出现被截获导致文件、目录等暴露的问题[4]。

取证管理平台主要包括用户身份认证、用户管理、数据处理、用户操作审计以及数据交互五项功能:

(1) 用户身份认证模块:主要对人员的登录进行管理, 用户角色包括管理员、操作员以及审计员, 因此需要控制不同角色的使用权限, 当密码连续三次不符合时, 将会自动关闭程序。

(2) 用户管理模块:包括对登录用户的添加、删除以及修改, 由于其具有管理的容错性, 因此不能一次性全部删除所有登录用户, 其操作界面如图1、图2。

用户管理工作区的操作权限只限管理员, 其中包括了所有软件用户的信息, 实现了对用户信息的修改、添加和删除。

(3) 数据处理模块:主要负责守护取证管理平台的后台运行, 监听网络以及确保取证软件实现在计算机主体上主动连接, 在协商通讯完成后, 完成取证证据的自动获取。同时, 该模块还负责解密、分析以及分类存储取证数据[5]。

(4) 用户操作审计模块:该模块的主要功能即确保取证数据具有相应的合法性。在这一模块中, 审计人员通过对计算机主机登录用户的操作日志进行查看、存储, 对数据的可靠性进行审计。同时, 审计人员对未获取权限的部分取证过程及数据资料无法进行查看。

(5) 数据交互模块:该模块与主机取证平台中的数据回传功能相对应, 可以实现系统内平台间相互通信的功能, 主要负责配置取证文件, 并对系统参数进行设置, 包括数据文件大小、命名以及存储等;文档自动复制时的大小、类型以及数据回传过程中的通讯时间段、第三方服务器地址、数据包发送间隔时间以及文件路径等。参数设置完毕后, 该模块通过生成配置文件, 与主机取证平台建立回传路径发送数据。

5 当前计算机取证存在的问题

计算机信息取证技术在我国的发展时间较短, 与其相关的应用技术、工具、软件也具有一定局限性, 因此其在电子数据信息系统中的应用仍存在诸方面不足, 主要包括取证过程效率较低、科学性有待进一步提高;相关取证专业技术人员不足;取证技术有限等。

网络犯罪行为的逐年增加使得计算机信息取证技术的应用需求不断扩大, 随着该技术的不断发展, 相应系列软件、电子证据提取系统的不但完善, 相信该技术在未来将会更加成熟。

6 结束语

综上所述, 由于我国计算机信息取证仍处于发展阶段, 同时受到软件技术、计算机工具、法律环境等多方面因素的影响, 因此在应用过程中仍存在诸多问题。但是, 随着我国计算机信息技术的不断发展与完善, 以及相关法律政策的建立健全, 计算机信息技术在可预见的未来将会更好地发挥作用并得到重视。

参考文献

[1]向桢.浅析计算机主机隐秘信息取证技术[J].价值工程, 2015, 10 (6) :227-228.

[2]张浩波.计算机主机隐秘信息取证技术研究[J].无线互联科技, 2015, 12 (1) :89-89.

[3]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊, 2013, 12 (4) :157-159.

[4]徐越.计算机动态取证系统的设计与实现[D].东南大学, 2011.

探讨计算机主机隐秘信息取证技术篇8

关键词：计算机,主机隐秘信息,取证技术,探究

一、计算机主机系统可获取证据的途径

对于许多的计算机主机系统中而言, 其获取证据主要途径可以包括用户创建文档 (如各种数据库文档、文本文件、音视频文件以及电子邮件等) ;这些数据信息是由用户自主创建的, 是一些个人资料、信息文件的总和;当然这层儿文档, 也可以是一些具有保护性、隐秘性特点的文件, 简单就是将文件的属性设置为隐藏、或者是软件加密等。此外计算机在实际的运行过程中, 也会相应地创建一些为记录系统运行状态而自动生成的文件, 比较具有代表意义的就是一些日志文件, 这些文件实际上都可以被看作一些计算机主机可获取的电子证据[2]。而计算机主机可获取的证据还包括一些其它方面的数据资料, 比如说像硬盘上的引导扇区、删除而恢复出来的文件等, 这些都可以作为获取一些具有一定证据价值的信息而被人们所利用起来。

二、计算机主机隐秘信息取证需要遵循的原则

2.1 依法取证。因为在取证的过程中必然会涉及到对一些个人私密、隐蔽信息的获取、读取, 因此相关的操作都是应该在一个法律允许的范围内进行。进行取证的人员不能泄露主机所有者其个人的隐私, 同时需要具备相应的机制, 向被取证对象说明确证的缘由、依据等。

2.2 备份取证与无损取证。要求在取证的过程中, 对一些重要的信息进行备份, 防止重要信息的破坏, 同时不应该对主机中的信息进行任何修改。具体的电子证据收集时, 可以考虑一些镜像、云存储技术等来进行备份, 保证原始数据的完整性。

2.3 及时性、准确。很多时候提取的电子证据都是一些系统自动生成的日志文件, 这些文件都是实时提取的, 一旦超过时限往往这些文件信息就极有可能会发一些变化, 甚至会出现一些损坏。所以, 在确定取证对象以后, 需要及时地进行取证工作。而取证的过程则需要相关的人员, 务必要做东认真仔细, 严格地按照相应的操作规范规进行以获取最为真实取证信息[4]。

三、计算机主机隐秘信息取证技术的体系

3.1 计算机主机隐秘信息取证其所具备的职能。在一个大型的计算机取证系统中, 一个系统是由多个子模块构成的, 这些模块其所具备的功能就是实现对一些数据的采集、传输、分析及加工。系统中, 计算机主机是主体, 这个主体可以包含一些自动隐藏、自动加载以及对文档中数据进行取证存储的功能模块。在这其中, 自动隐蔽、加载模块属于整个取证系统的首要部分, 也是保证整个系统得以正常运行的根本。此模块, 需要保证其隐蔽性或者是采取伪装文件的方式来加以保护[5]。

3.2 计算机主机隐秘信息取证系统的构成。在计算机主机隐秘信息取证系统中, 计算机主机隐秘信息取证系统是把相关的数据信息进行收集、传输和远程控制融合到了一起。在计算机主机隐秘信息取证系统中, 系统主要是由主机取证平台和相关的管理平台所构成的, 在主机中进行隐蔽运行, 主要是利用一些自动加载等技术来实现电子证据的收集。

四、结语

总的来说, 计算机主机隐秘信息取证很多时候并不是单纯意义上的技术问题, 其在很多时候更多的是涵盖了一些相关法律、法规的问题, 这项技术的应用对于破获网络犯罪是具有积极意义的。而相关技术的不断发展和更新, 计算机主机隐蔽信息取证技术也会得到不断进步, 计算机取证系统也会随之日趋完善。

参考文献

[1]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊, 2013, 04:157-159.

[2]向洪波.基于计算机数据库的备份和恢复技术的研究[J].山东省农业管理干部学院学报, 2013, 03:154-155.

[3]张浩波.计算机主机隐秘信息取证技术研究[J].无线互联科技, 2015, 01:89.

[4]张晨.浅析计算机数据库备份与恢复技术的应用[J].中国新通信, 2015, 10:76.

信息取证篇9

随着电子和信息技术飞速发展, 财务信息化成为当今企业的必然选择, 它提高了企业财会工作质量和效率。伴随企业财务信息化的普及, 审计环境也发生了巨大变化, 审计方法、内容受到了巨大的冲击, 传统的审计理论已不能应对诸多文件管理系统、数据处理系统和网络信息系统。

审计证据是审计人员为得出审计结论、形成审计意见使用的信息, 包括财务报表依据的会计记录中含有的信息和其他信息。审计人员只有获取充分、适当的审计证据, 才能得出合理的审计结论, 作为形成审计意见的基础。在财务信息化系统中, 传统的账簿被数据库代替, 职务分工被授权定格, 审计证据不再停留在以前的纸质、实物层面, 更多的被储存在磁盘中。计算机审计取证是交叉学科的综合体现, 涉及审计学、计算机科学、法学、刑事侦查等多个领域, 因此, 在刑事调查、司法鉴定、计算机审计等诸多领域存在现实需求。数字化的审计证据、审计取证对审计人员的综合技术水平提出了新的要求, 对审计理论法规发出了新的挑战, 也考验着报告信息使用者对其的信心。

二、审计取证质量降低的原因

信息化的发展使审计人员面对的会计环境越来越复杂, 会计舞弊形式也在发生变化。计算机取证既涉及技术问题又受相关法律法规的约束, 取证过程必须遵循严格的过程和程序, 否则就会导致所获取的证据缺乏可靠性和合法性, 不被采信。引起审计取证可靠性降低的原因有以下几点:

(一) 信息载体的改变

财务信息化系统中, 信息的载体由低介质过度到磁性介质。磁性介质的保存条件要求较高, 不仅易受到高温、磁性物质、剧烈震动的影响, 其本身也具有不稳定性。另外, 磁性介质一旦受到破坏, 则破坏程度将比较严重, 恢复较难。同时这种存储媒体是易变的, 通过信息技术容易被访问和滥用, 非授权人员可以通过获取口令或非法访问数据库中所有的数据, 使存储的信息数据易受舞弊犯罪人员攻击, 加大了电子审计证据的审计风险。

(二) 财会软件存在的漏洞

市场上的通用软件存在的一些漏洞, 在特殊情况下成为企业的“补救措施”。财务信息化系统对各类明细账、总账以及报表都由计算机将凭证按程序自动生成, 特别是存在“反记账”和”反结账”功能的情况下, 即使篡改也不会留有痕迹。这些是通用软件公开的秘密, 而部分企业自行开发的软件的特殊功能更是不为审计人员所知。同时, 在财务信息化方式下, 由于系统时间的可变性, 企业可在短时间内做不同时间的账, 甚至是其他年度的账, 审计人员也很难发现。

(三) 财务信息化中取证材料不够规范且取证方式要求甚高

由于审计人员受传统习惯的影响, 审计过程偏好就账查账, 审计取证习惯于片面地对照法规从账目中找问题, 这使取证材料局限于摘录和复制会计凭证、账簿、报表等资料。然而, 在财务信息化下的审计取证, 可获得的被审计单位各种有关记录大部分是电子形式的记录。在图像处理系统中, 文件可以被扫描和转换成电子图像以便存储和检索, 而原始凭证可能在转换后未被保存;某些电子信息可能只存在于特定的时间。如此取得的审计证据虽具有相关性且相对充分, 但这样取得的审计证据片面、说服力不够。作为审计人员必须懂得相关的计算机辅助审计技术和高要求的取证方式, 以便实施审计程序。

(四) 财务信息化下审计风险扩大

在手工系统中, 由原始凭证到记账凭证, 由过账到财务报表的编制, 每一步都有文字记录和经手人签字, 审计线索十分清楚, 审计过程完全可根据需要进行顺查、逆查或抽查。但在信息化会计系统中, 从原始数据进入计算机到财务报表的输出, 中间的全部会计处理集中由计算机按程序指令自动完成, 传统账簿、审计线索和绝大部分的文字记录消失了, 取而代之的是电子存储媒介的信息。这些信息机器可读但肉眼不能识别, 审计人员发现错误的可能性降低, 审计风险增加。

此外, 手工系统的内部控制测试触手可及, 但财务信息化系统的内控的技术和方法发生了很大的变化, 信息处理和存储高度集中于计算机, 很大程度上依赖于计算机处理, 导致手工会计系统中的某些职责分离、互相牵制的控制失效, 使得手工系统中的许多原有的控制措施都已不适合了。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确;内控环境的复杂性使舞弊行为有机可乘, 更增加了审计风险和审计取证的难度。

(五) 政策法规技术理论不够成熟导致审计取证失效

我国目前还没有计算机审计取证准则, 有关计算机审计取证的规范也大多是笼统的、原则性的。实际的计算机审计工作中该政策法规技术理论明显不够成熟, 从而导致审计人员计算机审计取证时无从参考, 审计程序难以规范, 程序违法, 并直接导致审计证据的无效及审计取证的失效。

三、财务信息化下提高审计取证质量的对策

随着计算机审计技术的推广, 传统的审计线索正在信息化系统中停滞甚至消失, 审计取证难度倍增, 审计证据可靠性降低。针对问题产生的原因, 应采取相应措施提高审计取证质量。

(一) 建立健全的审计法制环境

实现财务信息化后, 计算机审计也已进入加速发展阶段, 但计算机审计取证方面的法制建设相对滞后, 有关计算机审计取证的规范也大多数只是原则性的。显然, 应在原有的审计标准和准则的基础上, 建立一系列与新情况相适应的新的审计标准和准则, 审计机关应当根据审计取证过程中的需要制订相关的取证工作表格, 规范审计取证格式, 以规范审计人员的审计取证行为, 减少人为差错, 提高审计证据的质量, 全方位规范计算机审计取证, 否则无法适应新形势的需要。近两年来, 审计取证工作准则等规范化文件陆续出台, 计算机也已经成为审计工作的重要手段。因此, 计算机审计取证工作规范化已成必然趋势, 应抓紧研究制订相关计算机审计取证规范, 进一步明确和落实取证责任。

(二) 重视详细审计

在计算机会计信息系统中可靠性控制得不到保证时, 就必须有足够多的审计证据以支持审计报告。详细审计要求以经济业务为基础, 通过审核所有的经济业务、会计凭证、会计账簿和会计报表, 来发现记账差错和舞弊行为, 以至所有账面层次和事实层次的会计舞弊, 有证据表明他们在计算机环境下有增无减, 从而使计算机环境下的审计风险最低。

(三) 加强对内部控制的审计

从Internet诞生起, 信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段, 安全问题也都是基础性的、关键性的因素。对于网络审计, 其首先遇到的是网络的安全性测试, 与安全性相应的是网络系统内部控制的测试问题, 这就要求必须加强对内部控制的审计。对于已经实现了会计电算化的企事业单位, 审计人员必须通过调查信息系统的内部控制和实施依据性试验来查明会计控制和管理控制是否有效地发挥作用, 并对内部控制的可靠程度进行评价。审计人员在对被审单位的内部控制进行最终评定之前, 要实施符合性测试。

(四) 加快审计复合型人才的培养

计算机的广泛应用使审计人员需要更新知识, 不仅需要会计、财务、审计、工程技术知识和技能, 熟悉审计法规和其他审计规范准则, 还须掌握一定的计算机数据处理知识, 掌握系统分析设计和信息化系统评审技术、信息化审计软件的开发使用和维护技术等。为此可采取的措施有:对现有审计人员在计算机、会计电算化系统的控制及计算机审计技术等方面加以培训;聘请计算机专家进行指导, 开展审计正规教育等等, 培养面向未来的复合型审计人才。着重培养信息系统审计师, 既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全, 又熟悉经济管理的核心要义, 能够利用规范和先进的审计技术, 对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造, 这样的人才才能完成信息技术发展对审计取证提出的挑战。

结语

实现计算机审计须要不断采用新的审计技术和手段, 更新和补充新知识, 掌握新技能和熟悉新的法律、法规制度, 从而提高审计取证、用证的能力, 相应提高审计证据的质量。当然, 财务信息化下审计证据质量的提高不是一蹴而就的事, 只有在发展中不断完善和提高审计证据的质量, 采取相关的应对措施和策略, 我们的审计质量工作水平才会得到进一步的提升。

摘要：介绍了当前财务信息化环境下审计证据的变化, 从信息载体改变、财务软件存在的漏洞、取证材料规范等方面说明审计证据面临的问题, 并由此提出相应提高取证质量的应对措施。

关键词：审计证据,审计取证,财务信息化

参考文献

[1]陈太辉, 杨明月.审计取证的思维流程与思维要素研究[J].审计研究, 2011, (6) :9-12.

[2]黄培, 张丹媚;财务信息化审计探讨[J].中国管理信息化, 2012, (12) :32-33.

[3]苏运法, 王海洪, 等.计算机审计[M].北京:首都经济贸易大学出版社, 2005:70-74.

[4]钱玲.电算化审计判断业绩研究[M].上海:上海财经大学出版社, 2006:110-135.

[5]刘文华.会计电算化带来的审计风险[J].中国审计, 2010, (11) :60-62.

信息取证篇10

一、信息化背景下国家审计取证研究的意义

国家审计是由国家审计部门依据相关的法律法规所独立实施的审计, 国家审计成果是以大量的审计证据作为支撑的, 国家审计取证工作决定着审计工作的成效。因此在信息化背景下加强对审计取证工作的研究具有重要的现实意义:首先对审计取证的研究是贯彻落实“互联网+”行动和《国务院关于加强审计工作的意见》的体现。在“互联网+”行动实施的关键时期以及实现审计工作全覆盖的要求下, 加强对审计电子证据的研究有助于提高国家审计部门对电子证据的认知程度, 提高审计结果的科学性与真实性;其次有助于提高审计工作人员的综合素质。信息技术的快速发展对审计工作的影响是非常明显的, 但是审计人员的综合素质与信息化工作的要求还有不少的差距, 因此开展电子取证工作的研究对提高国家审计工作人员的综合素质具有重要的促进意义;最后有助于降低审计成本, 提高工作效率。国家审计的全覆盖必须要借助于互联网技术, 因为信息技术的全面应用, 使得审计客体发生了很大的变化, 审计环境变得更加复杂, 因此必须要依靠创新审计取证模式才能降低审计成本。

二、信息化对审计取证的影响

信息化对国家审计取证工作的影响是非常大的, 其主要表现在:

1.信息化改变了审计证据的存在形式

传统的审计工作环境主要是对书面的信息资料进行审计, 比如原始记账凭证、合同以及财务报表等, 但是在信息化环境下, 审计对象的工作模式发生了巨大的变化, 实现了电子信息化工作, 因此需要审计机关在取证方式上也要进行改变, 既要注重传统的肉眼可以看见的审计证据, 也要观察到隐藏在电子设备中的电子数据审计证据。

2.信息化改变了审计取证的方式方法

信息化技术的应用对审计证据取证的方式方法的影响主要表现在审计方法与信息技术的结合上, 传统的审计取证主要是采取面对面或者手工审计的方式, 而信息技术的应用使得审计环境变得更加的复杂, 因此审计取证的方式也出现了新特点与变化, 比如审计人员可以通过互联网进入到审计对象内部的财务报表中进行有目的的审计, 实现了远程审计, 另外对复杂的审计工作还可以通过相应的软件实现综合分析, 避免了审计过程的人为干预, 大大提高了审计取证过程的科学化与规范化。

3.信息化促进了审计取证手段的变革

审计取证手段的变革主要体现在审计应用计算机上, 基于利益的考虑很多审计对象在对待审计机关的审计时存在内在的“阻力”, 尤其是在信息化环境下, 被审计对象将财务信息置于隐蔽的区域, 审计机关很难准确的掌握, 而信息化技术则实现了对被审计对象的全面审计:一方面实现了对被审计机关的实时审计, 强化了对审计机关的实时取证, 有效解决了被审计对象消灭不利证据的弊端;另一方面实现了审计手段的科学化与技术化, 提高了审计取证工作的效率。

三、信息化背景下国家审计取证存在的突出问题

随着“互联网+”的发展及普及, 国家审计机关在审计取证过程中所暴露出来的各种问题, 阻碍了审计工作的全面覆盖, 影响构建全面小康社会的目标实现, 结合笔者的工作实践, 在信息化背景下国家审计取证所存在的突出问题主要体现在:

1.我国电子审计证据没有被广泛地采集与使用

在实践中基于技术与传统思维的影响, 电子审计取证所获得证据在审计工作中没有被广泛地应用到, 一方面是因为网络的复杂性影响了电子证据的真实性。由于网络技术在不断地发展, 因此通过网络技术获悉的证据在真实性上存在问题, 比如一些网络黑客可能会利用网络漏洞对计算机中的证据进行修改, 从而达到迷惑审计机关的目的。另一方面通过网络技术而获得的电子证据在完整性上也缺乏明确的规定。比如审计机关获得的电子证据在向被审计单位进行核实时会被被审计单位以各种理由推脱, 否定证据的真实性。

2.规范电子数据证据的政策法规不成熟

电子技术在审计工作的普遍应用大大提高了审计工作效率, 但是与审计工作手段创新不同, 关于电子证据取证的相关法律法规还不成熟, 其主要表现在以下两个方面:一是我国还没有制定专门针对电子证据的法律法规, 使得电子证据的获取方式没有具体的说明与规定, 这样容易导致审计人员在电子数据取证过程中没有统一的标准开展工作;二是关于电子取证的相关法规的宣传力度不足。目前社会各界对电子证据的认识水平总体还不高, 这主要是因为我国相关部门对审计电子证据取证的相关政策的宣传力度不高有关。

3.审计工作人员自身的综合素质不高

信息化电子审计取证的过程是利用各种信息系统对被审计单位的财务信息进行审计, 因此需要审计人员要具有较强的计算机专业知识, 但是从审计机关队伍结构现状看, 很多人员缺乏相应的知识, 导致其在具体的取证过程中因为计算机知识的匮乏而不能很好地应用计算机知识。另外审计人员的安全保密意识也不高。比如被审计单位的电子数据都会涉及到被审计单位的商业以及业务秘密, 需要审计人员在这方面要具有保密意识, 但是很多审计人员在对待电子数据证据上存在安全意识差、管理不重视的问题, 导致相关数据证据泄露。

四、完善信息化背景下审计取证工作的对策

1.建立完善的信息电子证据的法律法规

随着审计工作位置的日益提高, 审计工作在全面构建小康社会, 实现伟大中国梦目标中发挥着重要的作用, 因此基于现实考虑要建立完善的电子审计取证法规体系:一是清理现有的法规体系, 对与审计署规定和署党组加强作风建设要求不相一致的规章制度及时废除, 消除不利于作风建设和审计科学发展的制度禁锢;二是针对审计实践中电子证据取证普遍但相应管理尚不健全等新情况, 制定切合实际的相关规章制度, 规范电子审计证据取证行为, 严格电子证据结果运用, 严格审计质量控制和管理, 并推进党风廉政建设主体责任的落实;三是加强审计资源整合, 要破除审计机关之间和审计机关各部门之间狭隘的“地盘”意识, 横向纵向全方位推进审计工作高度融合, 探索矩阵式沟通协调, 推进扁平化业务管理, 重要事项按规定及时报告, 全面提升审计监督效能。

2.依托互联网技术, 构建审计平台

探索建立财政联网审计平台, 一级财政预算单位与审计机关建立网络连接, 在被审计对象中普及推广《预算单位和重要部门数据报送平台》, 实现“金审”与“金财”的对接, 建立“预警跟踪+联网核查”审计模式, 充分发挥联网审计“实时、高效、全程”三项突出优势, 可以利用审计数据采集接口、远程审计取证的联网审计模式, 对被审计单位的实时、持续监控, 对于审计中发现的重要问题, 及时通知主管部门, 避免损失扩大化。联网审计借助现代技术, 实现远程的数据采集、审计取证、分析评价, 降低审计成本, 整合审计资源, 提高审计效率。

3.强化教育培训, 提高审计工作的综合素质

审计单位要采用“走出去、请进来”与自学的方式, 组织审计人员参加上级审计机关举办的各种培训班, 主动邀请上级机关、兄弟单位进行计算机审计和AO系统操作的培训。坚持每周一次计算机培训课, 由年轻骨干引领大家学习, 讲解计算机知识和解答实际工作中遇到的一些疑难问题, 切实增强审计人员的计算机操作技能。另一方面审计机关也要购置计算机书籍, 供审计人员自学。逐渐形成了以计算机领军人物为龙头、以各科室业务能手为龙骨、以科室其他人员为龙尾的“龙头带动、龙骨支撑、龙尾推进”三级审计信息化队伍。

综上所述, 随着信息化大时代的到来, 电子审计证据的运用是势在必行的, 因此, 我们必须克服电子审计证据在运用过程中出现的各种障碍, 不断扩大电子审计证据的应用范围, 让电子审计证据在审计的过程中发挥其自身的优势, 为我国审计工作的快速发展作出贡献。

参考文献

[1]胡金辉, 杨淑琴.审计取证中存在的问题及对策[J].审计与理财, 2013, (11) :15-16.

[2]郑石桥.审计主题、审计取证模式和审计意见[J].会计之友, 2015, (3) :125-133.

[3]张晶.规范审计取证提高审计质量——浅谈审计取证中存在的问题及改进方法[J].中国内部审计, 2014, (10) :76-78.

电子取证技术措施研究篇11

关键词：电子取证；程序；技术

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）18-0040-02

1 电子证据取证概述

作为新生事物，电子证据自诞生那天起就引起了人们的广泛关注，在法律界也争议不断。虽然已经出现在了法律条文中，但是仅模糊地用“视听资料”来形容，至于是否包含电子证据，包含哪些电子证据尚不能明确界定。在命名上也是各有所表，有计算机证据、数字证据、网络证据等称呼。电子本身所具有的高科技性及复杂性，给其下定义也带来了难题。一般认为，电子证据就是以高科技电子载体为证据，具体包括电子文件、电子材料、聊天内容、视听音像等与计算机及电子产品有关的内容。

电子证据具有以下几个特点：首先是科技性高。获得电子证据是一项技术性很强的工作，没有高深的专业技术是不行的；其次是多样性。这主要表现在存储、传播和表现形式方面，可以存储在硬盘或U盘，可以互相转换或远程传输，可以表现为文件或视频等；还有就是脆弱性。电子证据的保存会因操作不当而丢失，也会受不法分子的攻击而被篡改，因此保证电子证据的完整性与真实性问题多，困难大。

2 电子取证技术措施

对于电子证据取证，在我国目前的法律法规中表意还很不明确，于是导致在具体的司法实践中也难以实务操作。从法律的角度出发，采用高新技术与相应方法，通过法律理念与技术方法的完美结合，提供有效的电子证据。

2.1 电子取证程序

电子取证程序与传统的取证程序大同小异。

首先确定和保护证据现场。以网络犯罪为例，规模小者如一台电脑的家庭用户，规模大者如拥有数百台电脑的计算中心；运用个人网络终端可以作案，运用国际互联网也可以作案。那么，在进行电子证据取证现场确定时，现场就是计算机本身，通过对计算机硬件的扣留查验，寻找犯罪嫌疑人网络犯罪的时间与具体内容，从而成为证实犯罪的电子证据。对于犯罪证据的收集，犯罪事实的认定方面，保护好证据取证现场至关重要。与普通警察封锁犯罪现场，搜索证物不同的是，网络警察要及时冻结计算机系统，让犯罪分子无法破坏证据。在提取证据时，使该电脑避免与互联网连接，避免黑客入侵与病毒感染的状况发生。

其次是发现和识别证据。每台电脑存储的内容都很多，哪些是与犯罪有关的内容，哪些是与犯罪无关的内容，要逐一筛选核实。所以说电子证据的发现和识别是一项细心且繁重的工作。将这些证据查实并安全保持之后，可以将冻结电脑联网，再次对聊天记录、电子邮件、上网记录等情况进行全盘清查，确保犯罪证据确凿无遗漏。

接着就是安全保存证据。前面已经提及，将犯罪者运用电脑查封后，立马进行证据提取，提取出的证据要固定下来，这样以便在电脑联网时，即是受到网络黑客的恶意入侵或病毒感染也不会前功尽弃。如何进行安全保存证据，常用的方法如表1所示：

然后是分析和鉴定证据。对证据掌握之后，随后进行的就是分析与鉴定。也就是对犯罪嫌疑人洗脱罪名的一次机会。是不是有人借用电脑作案呢？本着公平公正的原则，必须对犯罪证据进行分析和鉴定。分析的内容很多，如所谓的犯罪证据是不是被别有用心之人恶意制作或篡改？犯罪嫌疑人在何时，采用何种手段进行犯罪的？登陆密码是否有他人知晓等等问题。结合分析情况进行鉴定，如个人电脑就要鉴定个人登陆时间，假如该台电脑晚上8时进行了犯罪行为，你却身在外地，那么具体是谁实施了犯罪行为要落实到人。从电脑上查找出的犯罪证据是不是原件，要进行真伪鉴定。通过对电脑系统的检测来鉴定犯罪行为是不是被恶意软件控制或病毒感染而造成的。总之，通过鉴定的电子证据才可以在后来的庭审过程中被采纳及认同。所以，电子证据的鉴定一定要有资质的合法单位来完成。

2.2 电子取证技术

今非昔比，电子证据越来越多地进入到了人们的生活当中。这是时代所需，也是法律必须，更要技术支撑。时代在发展，科技在进步，如电子商务的崛起，需要人们在欢喜雀跃的同时，也要冷静明晰，犯罪分子也是与时俱进的，网上多少这样的案件啊，今天银行卡的钱消失了，明天信用卡被刷爆了；今天QQ被盗了，明天微信也不是自己的了。出现以上类似问题，网络警察就要登上前台了。

2.2.1 数据恢复技术

电子取证最主要运用的就是数据恢复技术。没有傻瓜把证据活生生地摆在你面前，普通警察需要通过现场勘查以及走访询问来搜集证据，网络警察则要通过数据恢复来掌握证据。数据恢复技术是一项技术含量高，工作难度大的活计，只有将犯罪嫌疑人已经删除、有意破坏的信息恢复原貌，才能查明犯罪动机，甚至犯罪过程。但是，电脑存储的介质很多，如硬盘，光盘，U盘等，虽然只是通过电脑操作而内容并未存入电脑，从技术方面上讲，只要通过电脑操作的内容，都会在电脑中留下印迹，原理就不再解释了。所以说，即便有的证据被删除了，也还是有恢复复原的可能，前提就是问题发现的要及时，新数据没能完全覆盖时，短期内被删除的数据完全可以重见天日。文件一旦恢复，其创始时间，修改时间等关键数据也就一目了然了。

2.2.2 数据复制技术

一旦通过数据恢复技术发现了有关证据，就要进行复制备份。联网复制是不可取的，说不定犯罪嫌疑人已经准备了，通过网络攻击来销毁证据。这就需要应用磁盘镜像复制技术进行信息拷贝。以我国目前使用的NORTON及GHOST的本地镜像为例，其功能已经相当强大了，可以对坏扇区及校验错误的CRC数据进行拷贝备份，方便了下一步的取证分析。

2.2.3 数据过滤技术

如何从海量的数据中提取有用的信息？这就需要采用数据过滤技术。通过使用该技术，在网络犯罪取证中，只要对电子证据源数据进行分析，运用关联规则，就可以将犯罪行为之间的关联特征一并搜出；运用应用分类算法甄别犯罪嫌疑人是否具有犯罪的动机及行为；运用联系分析法分析电脑程序与用户的序列关系，理清先后次序，提供有效数据。

2.2.4 蜜罐取证技术

这就是兵法上讲的“诱敌深入、关门打狗”的战略。当犯罪嫌疑人的电脑被控制之后，因其犯罪证据就在电脑中，势必会聘请电脑黑客枕戈待旦进行网络攻击，对储存的不利信息进行修改或破坏。蜜罐取证技术就是为了对付黑客应运而生的。蜜罐技术会主动暴露虚拟的网络漏洞，引诱黑客入侵。网络警察一方面对黑客入侵的过程进行全程记录，另一方面还会迅速锁定黑客的位置，最终实现人证物证俱在的结果。

当然，还可以运用日志分析技术，对犯罪嫌疑人每日的网上操作情况进行分析；通过网络实名制制度，对IP号具体到人，然后利用网络监控及定位技术，可以很快的锁定犯罪嫌疑人。

3 小结

计算机技术的发展，网络化生活的到来，电子证据会逐渐成为不久的将来人们最主要的证据类型。希望国家在《诉讼法》修订方面也要与时俱进，让电子证据早日堂堂正正地迈进人民法庭。

参考文献：

[1] 朱翔.电子取证技术的发展与规范[J].警察技术，2006（4）.

[2] 刘泽.信息化警务模式下网络取证技术完善的研究[J].网络安全技术与应用，2012（1）.

智能手机取证应用研究篇12

关键词：智能手机,取证,刑侦,工具

电子信息通信技术不断发展, 手机如今成为了人们生活当中兼具实用性与娱乐性的重要工具。而利用手机等移动通信设备进行违法犯罪行为也已经数见不鲜, 例如短信骚扰、邮件诈骗、非法交易等。随着智能手机的普及, 手机犯罪案件不断增多, 对于手机取证技术的研究也不断发展。刑事案件当中涉及到手机取证的情况也日益增多。智能手机当中有着大量的用户信息数据, 利用这些数据往往能够为刑侦工作带来很大的帮助。智能手机取证也成为了提供司法依据、打击犯罪的有效手段, 智能手机取证工作的意义十分重大。

1 智能手机取证概述

如今智能手机电子取证技术不断发展, 对于手机取证技术的研究也走向了新的高度。手机内存、移动运营商以及SIM卡是智能手机电子取证数据的三个主要来源, 可以利用此对手机中的基本信息进行初步数据提取。同时对于一些隐藏的数据, 例如日志空间、系统缓存等, 也需要进一步提取。

智能手机取证的主要特征表现为取证对象的移动性, 手机是移动终端, 监管的难度较大;其次为取证范围的广泛性, 如今智能手机的操作系统多样化, 市场上较为常见的有Android、ios、wp等手机操作系统, 这也使得手机电子信息的类型众多, 取证范围大并且手机的软硬件以及数据接口等方面也存在着差异, 这也增大了取证工作的难度;此外手机信息技术更新发展快, 产品的周期较短, 使得数据标准难以统一, 取证技术也不断发展。

2 智能手机取证流程

智能手机电子取证需要遵循全面取证原则、及时取证原则以及无损取证原则。全面取证原则是指利用手机技术分析, 确保对手机中的数据进行全面提取, 从而做到不遗漏数据证据;及时取证原则是指随着时间推移, 手机状态会发生一定的变化, 例如系统日志以及系统进程使得容量变小, 导致原来的信息被覆盖, 因而对于电子数据需要及时提取;无损原则是指在进行手机取证时, 不能对取证的物品进行任何的修改, 保持手机状态不变, 同时要使手机远离高磁场, 避免灰尘、高温、静电等, 保证提取信息的真实可靠。刑侦工作当中, 针对智能手机的电子调查取证流程主要有以下几点:

(1) 取证准备

取证准备工作为对案件进行初步了解分析, 掌握案件犯罪目的、犯罪动机等基本的情况;同时成立相关的调查小组, 分工实施;针对具体的手机品牌、型号以及软硬件特征, 选取合适的手机取证工具, 充分做好调查取证准备工作。

(2) 证据提取

证据提取工作为对所收集到的检材样本编号, 拍照与记录, 同时确定手机的型号与软硬件信息, 屏蔽手机信号, 预防手机数据变化而影响到证据提取的结果;选取相应的提取方式, 提取有效数据, 记录下检材样本数据。如手机中的短消息数据提取, 以iphone为例, iphone中的短信消息储存在SMS文件夹的sms.db文件当中, 其为SQLite3格式, 需要转化才能够阅读。并且短信消息发送与接收通过INTEGER类型枚举值表示, 其需要同手机中的信息对比才能够确定含义。

(3) 证据分析

证据分析工作主要包括对网络数据库、手机内存、SIM卡以及手机软件的取证分析。证据分析是刑侦工作中的一个重要环节, 主要的工作为取证所收集到的数据, 提取同案件相关联的一些数据信息, 对于同案件相关的管理工具例如语音洗洗、通讯录、电子邮件等, 进行研究比较;对于一些隐藏数据、删除工具等更改后证据进行深入分析, 对相关的数据信息进行检测与恢复。

(4) 证据提交

证据分析工作之后, 需要编写分析报告, 对收集的数据信息进行审查与转换, 并作为证据提交。收集数据信息要在诉讼中发挥作用, 必须要转化为刑事诉讼中规定的证据类型。我国刑诉法规定的八个证据种类有:物证;书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定意见;勘验、检查、辨认、侦查实验等笔录;视听资料、电子证据。因而手机取证数据需要转化为以上证据种类中的一种, 否则无法作为证据进入诉讼中。

3 常用的取证工具分析

手机用户不断增多, 手机中所储存的信息也越来越重要。如今越来越多的人投身于智能手机取证研究当中, 但市场上的手机协议各不相同, 当前取证工具一般为对某种手机的取证, 其全面性有待进一步发展。任何一种取证工具或多或少都存在着缺陷, 无法满足所有类型的智能手机的需求, 因而需要取证人员针对性地应用各种取证方式。

4 结束语

随着4G网络的到来, 智能手机的应用范围将进一步拓展, 智能手机取证的范围也将进一步扩大, 这也给手机取证工作不断带来了新的变化与难度。因而对于智能手机取证工作, 需要在实践中不断变化与进步, 努力解决智能手机取证当中存在的问题, 更新观念、完善法律法规, 从而更科学与合理地应用智能手机取证技术, 打击犯罪行为。

参考文献

[1]张明旺.基于手机的电子证据获取技术研究[J].电脑知识与技术, 2012, 08.

[2]任庆华.电子证据取证规范化初探[J].中国人民公安大学学报, 2010, 04.

【信息取证】推荐阅读：

自动取证09-08

法院取证论文08-28

取证工作计划07-22