电子物证(共12篇)
电子物证 篇1
0 引言
我国自1978年实施改革开放政策以及在新世纪加入世界贸易组织 (WTO) 以来, 我国在各个领域都取得了较为快速地发展。其中, 侦查技术就发生了根本性的变化, 侦查技术逐渐发展成为以信息技术为主体的专业的科学技术, 通过融入信息技术, 这就使得侦查的效率变得十分之高, 各种犯罪行为也在信息技术这双“慧眼”的监视下一个个被侦破, 这也在很大程度上减少了犯罪行为的发生。因此, 可以说电子物证现场取证技术是时代的进步, 也是信息技术发展到一定阶段的重要产物。本文主要对电子物证的现场取证技术的相关内容及重要组成部分进行了阐述, 以及对电子物证取证及检验的重要意义以及作用进行了论述。具体的方法为主要是对欧美以及国内的有关电子物证现场取证技术方面的资料进行了研究, 最终得出了电子物证现场取证及检验的涵义、取证对象、具体的方法以及特点等方面进行了介绍, 进而得出这样的结论:电子物证现场取证技术关乎到识别、发现、提取、保存、恢复以及分析鉴定等方面的科学技术, 能够为案件侦查提供必要的证据, 从而增加了犯罪侦查的效率。
1 电子数据的预检
在正式确定目标物证之前, 要对其进行电子数据预检, 其主要目的就是为了对相关案件加以锁定和发现, 以及对整个的发生过程进行事先安排。由于电子数据具有很多特点, 如易复制、易损坏以及易传播等特点, 现场调查取证的工作人员应该加强对证据安全的风险意识进行提高, 以不断提高电子数据的原始性以及完整性。
1.1 对手机的预检
目前, 手机主要分为3种类型, 即GSM、CDMA和CDMA/GSM3种类型。对于数据的存储一般使用的是SIM卡、手机本身带有的内存以及扩展卡 (或者称为可以替换的存储卡) , 此种存储介质的一大特点就是保存了与案件有关的电子数据如通话记录、信息、记事本、视频信息等, 而这些信息往往都与发生的案件有很大的联系, 因此这种渠道来获取电子数据也是电子物证现场取证的一个重点内容。现场取证的工作人员能开启手机对相关数据进行预检, 在对手机进行预检时, 应该注意应该对相关信号进行屏蔽, 除了该案件需要对拨人电话或者发短信息的人实施跟踪。这样做的主要的原因就是手机处于一种全开放的在线工作状态, 这就可能会发生随时将信息泄漏出去的现象, 而且短信也可能会被删除或是被泄漏出去, 而这些被泄漏出去的信息往往和案件有很大的关系。因此, 笔者认为, 应该加强对手机信息加以保护, 以避免手机信息的外泄而影响了案件的快速侦查。
1.2 对电子计算机设备中的电子数据进行预检
现场的调查取证人员为了对运行中的检验设备以及设备中的电子数据进行预检, 一般都会按照常规的方式进行开机查阅, 然后对系统中的相关文件加以浏览, 那么这样做的坏处就是很有可能对所储存的电子数据的有关属性进行了改变, 电子数据的属性改变了, 就会带来一定的风险。这些风险主要包括如下几个方面:改变了系统中的文件时间属性, 对于Windows各个系统的影响是不同的, 其中对于Windows98系统而言, 会造成约为300个文件属性的改变, 对于Windows2000系统, 一般会造成约为500个文件属性发生改变, 如果此案件要涉及到电脑开机时间的取证与检验, 那么势必会导致取证及检验的条件发生重要的扭变。因此, 可以说现场取证调查工作人员不要对处于关机状态下的设备中硬盘的电源, 拔下硬盘数据线, 将BIOS的引导设备修改为软盘, 阻断被预检的硬盘启动系统, 之后采用专用的系统启动盘 (如专用的Encase启动盘) 重新启动系统。
2 涉案设备封存收缴时应该注意的几个问题
2.1 涉案实体对象封存收缴
对于涉案实体对象封存收缴, 是一种获取物证十分重要的方式。当前时期下, 涉案实体对象主要分为四个方面, 即存储的介质、文档、电子设备及其他资料。其中, 存储介质主要有以下几个方面, 即硬盘、软盘、U盘、光盘、磁带以及各类存储卡等, 上述这些设备可以存储相关的数据。电子设备主要包括PC机等、mp4、手机、数码设备、集线器、路由器、磁带机以及数据线等, 这些设备可以对电子物证进行外在的反映。文档以及其他资料主要包括计算的程序方面的内容以及各种设备的用户手册、打印的各类文档资料等。上述设备主要是对电子数据进行记录。
2.2 开机状态的设备的封存收缴
对于开机状态的设备而言, 一般不能对其进行简单的处理, 大部分人都会将电源直接关闭进行收缴封存, 如果按照这样做的话, 势必会使得重要的数据受到破坏以及丢失, 且对后续的数据分析以及取证检验增加更大的技术难度。例如一个正在运行的应用系统, 将电源关闭之后, 可能会造成两个方面的不良后果:1) 使得内存中处于动态运行的程序以及文件的相关数据大量丢失, 这样就会使得屏幕上所显示的全部信息不能很好地重现;2) 各种存储介质中的相关数据即使能够进行很好的克隆和备份, 但是对于需要在实际运行中分析检验的专用系统, 重新搭建系统运行环境, 则很有可能会遇到系统启动密码, 文件加密、应用系统运行时需要支持的各种工具软件的安装等。
3电子物证现场取证的具体方法
当现场调查取证的工作人员在进行现场取证时, 由于受到各种外界条件的影响以及限制, 根本无法对正在运行的系统进行停止处理或者对设备封存收缴, 尤其是在面对某些专用的应用系统, 例如金融、医疗以及大型的网站等, 对系统进行停止运行势必会对被调查部门或者是用户正常的工作秩序造成一定程度的影响或是伤害, 它们会承受经济上的巨大损失以及风险, 但是对于现场调查取证的工作人员而言, 对相关的电子数据实施静态或是动态的分析, 面对巨大的存储数据, 一是对其分析相当耗时;二是令人难以承受。所以, 笔者认为, 现场调查的工作人员应该选择那些物理存储介质中的电子数据, 当前时期下, 随着信息技术以及其他各类技术的快速发展, 对电子数据的获取主要采用的技术方法是对物理存储介质的实体镜像以及逻辑进行复制。目前各国普遍使用的保存数据的方法为物理存储介质的实体镜像, 同时它也是世界各个国家司法鉴定机构普遍认为最好的取证方式之一。物理存储介质的实体镜像, 可以实现对整个物理存储介质进行逐步的整体复制, 对于在这个过程中所复制的目标数据不仅包括操作系统中可以进行访问的正常数据文件, 而且还包括了操作系统不能进行识别的已经被删除的文件、文件碎片以及没有进行磁盘空间分配等, 在上述空间中可能包含了文件删除之后没有被覆盖的大量残余的信息, 而这些数据一般与已经发生的案件具有十分密切的关系。所谓逻辑复制指的就是对物理存储介质中的某个分区或是文件进行复制, 这些文件以及分区, 操作系统可以进行正常地访问。
参考文献
[1]尹春社.对电子数据现场获取存在问题的分析与探讨[J].刑事技术, 2008 (3) .
[2]李盛, 朱秀云, 韩杰, 等.电子物证检验中常用数据恢复工具对比研究[J].刑事技术, 2008 (4) .
[3]王桂强.电子物证检验[J].刑事技术, 2003 (4) .
[4]罗文华.信息上传操作在客户端主机中留有痕迹的检验[J].刑事技术, 2010 (1) .
[5]徐茂.犯罪嫌疑人手机储存信息在侦查破案中的价值刍议[J].铁道警官高等专科学校学报, 2008 (6) .
电子物证 篇2
物证的特点:物证是以其外部特征、物品属性、存在状况等来发挥证明作用的。所谓书证是指以其记载的内容和反映的思想来证明案件真实情况的书面材料或其他物质材料。书证的表现形式通常是文字,但是也可以是图标或者符号,形成书证的惯常工具是纸和笔,但并不拘泥于此。
书证的特点是:书证以其记载的内容和反映的思想来证明案件事实。
书证和物证的区别是:第一,书证以其内容来证明案件事实,物证则以其物质属性和外观特征证明案件事实;但是注意:一个物体上有可能同时以上述两种方式发挥证明作用,也就是说它既是物证又是书证。例如:发案现场收集到一封书信,内容与被害人死亡原因有关,属于书证;同时又需要鉴定是否为被害人本人所写,则为物证。
第二,物证的客观性较强,比较容易查实,在证明活动中不但应用广泛,而且有其他证据不能代替的特征;书证比较直观,因为书证都有明确的意思表示,而且大多是在诉讼开始前就已形成,所以一经收集并查证属实,就可以比较直观地证明案件中的一定事实,特别是一些书证可以直接证明案件的性质,被告人等的作案动机和目的,可以揭穿犯罪分子的狡诈和虚假的供述,可以鉴别其他证据的真伪。
浅析微量物证 篇3
关键词:微量物证 侦查 证据
微量物证是指能证明案件真实情况的一切量小体微的物质。量小是指所获得的物证检材绝对量或未被污染的纯净检材的量小,用肉眼难以发现,必须使用特殊的手段、方法才能发现和提取。微量物证的检验不同于一般的检测,必须运用微量或更灵敏的方法才能实现。
犯罪现场是犯罪分子实施犯罪活动的场所,犯罪行为是一种物质运动。任何犯罪现场都不可避免地会遗留货带走运动后的物质,尤其是一些微量的物质,如毛发、纤维、油脂、玻璃碎片、橡胶残渣等。尽管犯罪分子也知道它们可能成为证实犯罪的证据,但在现场上却不可能像指纹那样容易避免,也不像足迹那样容易去除。不论犯罪分子有多狡猾,绝不可能将其犯罪的遗迹全部消除,必然会留下微量或痕量的物证。瑞典学者阿恩·斯文森经说过,物证可能以任何形式出现,它可能像房子那么大,也可能像纤维那么细;可能像气味那样转瞬即逝,也可能像爆炸现场那样显而易见,警官能遇到的物质的确是包罗万象的。
一、微量物证的分类
刑事技术中常见的微量物证有纤维、塑料、橡胶、涂料、粘合剂等高分子材料;金属、玻璃、矿物、水泥、土壤等无机物;纸张、油墨、墨水等书写材料;火药、炸药等爆炸残留物;纵火剂、油脂等化学试剂等。微量物证来源广泛,种类繁多,主要有两种分类方法。
按照出产来源进行分类,微量物证可以分为工业产品、农产品和自然物质三类。工业产品主要包括炸药、火药、油脂、涂料、纤维、塑料、橡胶、纸张、金属、玻璃、陶瓷、砖瓦等。农产品主要包括动植物油、粮食、蔬菜、水果等。自然物质主要包括木屑、灰尘、泥土、石块、杂草、花粉、木灰、煤灰、羽毛、贝壳等。
按照检验分析范围,微量物证可以分为高聚物、油、文书材料、化妆品、炸药及其残留物和金属、泥土及硅酸盐制品六类。高聚物主要包括纤维、橡胶、塑料和涂料等;油包括石油、动物油、植物油、香精油等;文书材料包括纸张、黏合剂、墨水等;金属、泥土及硅酸盐制品包括金属、泥土、玻璃、陶瓷、水泥等。
二、微量物证的特征
微量物证是物证的一部分,与常规物证相比,有其自身的特征,主要表现在以下几个方面:
(一) 出现的几率大。微量物证来源广泛,种类繁多,而且微量物证一般比较细小,甚至无色无味,犯罪分子很难掩盖或销毁它们,在现场保留的可能性很大。
(二) 易被破坏。在现场的微量物证多数附着在其他物体上或混杂在其他物体中,很容易被周围的环境或其他外界物质污染,稍有不慎就会破坏其价值。
(三) 不易发现和提取。由于微量物证量小体微,甚至无色无味,不容易引起注意,所以在现场勘查时不易被发现和采取,必须采用放大镜、显微镜、特种光源等专用工具去发现和提取。不仅如此,微量物证还必须运用专门的、高灵敏的技术手段才可以保证物证提供更多的精细结构和更准确的信息。
(四) 具有不完整性。微量物证大部分是从整体物上分离下来的,常常以破碎或分离的形式存在,不能完全反映物体的形象。因此,在分析微量物证时要与现场情况、案情及其他有关证据相结合,进行综合分析,才能做出符合客观实际的结论。
三、微量物证的作用
要侦破案件,首先必须查清案件事实。在掌握证据的情况下,尽管案件事实已无法完全重现,但却可以对案件事实有一个明确的了解和认识。物证与案件有着内在的联系,这种内在的联系具体体现在与时间的联系、与空间的联系、与犯罪嫌疑人的联系、与犯罪行为的联系等。因此,通过对微量物证的分析检验,可以给案情分析提供可靠依据,为案件侦破提供线索、缩小范围,为证实犯罪提供科学的依据。
通过对犯罪现场提取到的微量物证进行分析检验,可以及时否定部分犯罪嫌疑人、缩小侦查范围,为侦查破案提供线索、指明方向。侦查人员通过现场侦查,可以判断是否是案件的原始现场,这对案件的侦破和犯罪过程的推断是至关重要的。通过对所提取的微量物证进行检验分析,有助于判断犯罪嫌疑人的职业或者生活环境,有利于缩小侦查范围,加快案情进展。
微量物证不仅可为公安人员所利用,而且也适用于检察机关、法院等部门对案件的审理和定罪量刑。这正是微量物证及其勘查与检验技术越来越受到世界各国警察和法庭科技界高度重视的原因所在。通过对微量物证进行分析鉴定,有助于澄清某些案件的事实,阐明事实真相。刑事诉讼法规定,证明案件真实情况的一切事实都是证据。证据包括人证和物证,物证不仅指犯罪现场提取的手印、足迹,而且也应包括从现场提取到的各种微量物证。这些微量物证是犯罪分子作案时留下的,通过对现场的仔细勘察并及时地提取,再利用先进的检验技术进行鉴定,确定该物质的种类、组成成分及其来源,并与从犯罪嫌疑人处提取的物质进行比对分析,从而找出现场遗留的微量物证与犯罪嫌疑人之间的联系,这就为揭露和证实犯罪提供了依据。
参考文献:
[1]王俭.犯罪现场微量物证勘查[M].北京:警官学院出版社,1995
[2]刘耀.物证鉴定科学[M].北京:群众出版社,1998
电子物证中数据恢复技术浅析 篇4
电子取证和数据恢复都是近十几年来才开始在国内开展研究的项目, 与国外相比较其起步较晚, 但发展空间却很大, 两者之间的关系也是互相交叉, 密不可分。 随着数据恢复技术探讨的不断深入, 实际应用的需求也各不相同, 需要对各类检材进行分类研究。 因此, 计算机取证要求对数据恢复的内容更加丰富, 技术要求也更加严格, 必须加以规范, 以确保其证据效力。 为了增加公安机关的破案手段, 提高破案率, 为案件侦破提供重要线索, 主要论述数据存储的原理、 数据恢复的几种分类、 如何运用数据恢复工具恢复数据等方面的内容[1]。
2 数据存储相关原理
2.1 硬盘
硬盘的构成一般都是由磁头、 磁头控制器、 盘片、 主轴、控制电机、 数据转换器、 接口、 缓存等几个部份组成。
硬盘的组装是将盘片固定在主轴上, 盘片与盘片之间是平行的, 磁头装在盘片的存储面上, 磁头与盘片之间的距离微小。 而所有的磁头通过磁头控制器连接, 由其负责磁头与盘片之间的运动。 磁头在沿盘片半径方向运动, 而由于盘片以高速旋转, 因此磁头能对盘片上进行数据读写。
2.2 硬盘分区与逻辑结构
当通过操作系统对文件进行访问时, 操作系统通过定位硬盘相应位置来调用需要访问的文件, 而这些文件的分布是由盘片上的逻辑参数所决定的。 一般硬盘盘片具有类似的格式, 操作系统划分硬盘所有区域, 划分的区域被称为磁道、扇区、 柱面, 而硬盘寻址则通过这几个参数进行。
一般而言, 硬盘容量比以前有了很大的提高, 操作系统则利用分区操作将容量较大的硬盘划分为若干较小容量的逻辑区域, 经过分区后的硬盘, 能更好地利用空间; 更有效地进行管理; 能更好地提高系统效率; 更方便地为用户分配相应的权限; 更有利于数据的安全和隔离病毒[2]。
2.3 硬盘分区表
在对硬盘分区之后, 操作系统则会在硬盘的0 柱面、 0 磁头、 1 扇区处创建硬盘分区表, 这个分区表也称为硬盘主引导扇区, 简称为MBR, MBR的功能则在操作系统之前进行工作, 通过根据主分区表中的信息管理硬盘, 后再将硬盘控制权交与活动分区的操作系统。 而MBR磁盘的分区形式一般有3 种, 主分区、 扩展分区、 非DOS分区这3 类。 而第一个分区表总是位于硬盘的0 柱面, 0 磁头, 1 扇区, 其余的分区表位置则可以通过主分区表进行推导。
3 常见的Windows下数据恢复
3.1 FAT及FAT32 格式下数据恢复理论
由于FAT与FDT对数据的链式存储管理的, 因此可以通过链式搜索查找相关数据。 而只有将FAT表和FDT联合使用, 才可以管理整个磁盘内的相关文件, 也同样可以准确找到被删除的文件的具体位置。 例如, 在Windows操作系统下对一般文件的删除, 是将FDT中该文件的第一个特征字符改为 “E5” 来操作, 同时对引导扇区的第二个扇区中信息进行改写, 该操作是修改删除文件分区点用空间大小的相应信息[4]。在恢复文件的时候, 根据文件的存储结构, 对相应的地方进行操作, 主要是搜索E5 删除标志, 而后对被删文件数据链进行反向恢复。 具体步骤如下:
(1) 提取磁盘分区类型、 相对应的存储空间、 FAT分区表、 FDT表、 文件等的存储起始扇区。
(2) 提取FAT表和FDT表内的信息, 包含所删除、 未使用簇、 坏簇、 文件所占用簇等的起始扇区信息。
(3) 利用FAT表和FDT表计算出不同文件在扇区内的起始位置。
(4) 改写E5 删除位的信息, 通过上一步得到的结果, 利用FAT表对文件进行链式查找, 当搜寻到文件的簇尾区域时, 便停止操作。
(5) 对相关的数据进行操作, 生成恢复文件。
3.2 NTFS格式下数据恢复理论
在对NTFS格式下进行删除文件操作, 操作系统则在文件头部中将标志字节设置为00/02H, 而对文件的其他属性没有其他操作; 对于正在运行的文件, 则释放该文件所占用的空间, 不改变该文件占用数据区的数据, 只将运行所占用的簇信息在文件$Bitmap中相对应的位均设置为0[5]操作。 因此针对NTFS文件系统下数据恢复按照以下步骤:
(1) 通过扫描MFT主文件表, 定位到所删除文件的文件记录位。
(2) 分析文件记录位相关信息, 确定删除文件的相关数据区。
(3) 通过搜索文件记录的INDEX ROOT、 INDEX ALLOCATION以及Bitmap, 对被删除文件进行定位。 找到该文件的存储位置。
(4) 对删除文件进行恢复, 生成恢复文件。
4 目前司法部门常使用的数据取证工具
计算机电子取证领域内常用的产品有以下几种, Encase、X -Ways Forensics、 FTK、 取证大师等, 数据恢复软件Easy Recovery, Final Data、 Photo Recovery、 Win Hex等。 简要介绍Encase、 FTK、 Win Hex这3 款常用软件。
4.1 Encase取证软件
Encase这款国外软件是目前使用最广泛的计算机取证工具。 该软件有精准的磁盘复制功能, 能够将硬盘数据镜像为只读文件, 可以存储为DD格式、 E01 格式等, 通过SHA-1校验码和MD5 值来保证数据的一致性。 改软件通过集成各种取证调查模块的功能, 提供处理案件中批量多任务、 一键式调查等服务, 从而提高取证工作的效率[6]。 得到了包括公检法司等机构的广泛认同, 是取证界专业的计算机取证调查软件。
4.2 FTK取证软件
FTK也是国外一款优秀的计算机取证分析软件, 它能够对硬盘进行位对位的克隆复制, 通过对镜像加载后按照取证习惯重新组织文件结构, 采用友好界面显示镜像文件内的内容, 如BMP、 GIF、 JPEG以及TIE'F等格式。 该软件还支持各类邮件和浏览器, 通过其内集成的多种查看器解析多类复合的文档, 而且, 凭借其强劲的搜索引擎能快速对文件进行深层过滤, 迅速定位到相关数据地址。
4.3 Win Hex软件
Win Hex是一款能在Windows环境下运行的十六进制编辑软件, 因其功能强大, 能专门应对复杂的计算机取证、 数据恢复以及各种紧急情况。 能对文件进行修复, 尤其对从底层恢复删除的文件、 硬盘出现的物理或逻辑损坏造成的数据丢失能提供强大技术支持。 同时该软件能完善分区功能和各类文件的管理功能, 能对硬盘从物理层进行克隆复制, 对各类文件能够进行十六进制编辑, 是人工恢复删除数据的首选工具[7]。
5 结语
介绍了计算机取证中的概念、 原理、 工具等, 但随着计算机取证技术的不断发展, 取证领域依然面临着众多困难, 而如何加快取证工具的发展和完善, 通过技术进步促进计算机取证体系统的完善, 有待进一步研究与探讨。
摘要:目前, 计算机技术发展迅速, 公安机关在办理的案件中会涉及越来越多的电子设备, 而随着犯罪嫌疑人反侦察意识的不断增强, 以及计算机信息处理水平的提高, 往往会对电子设备中的数据进行删除等操作, 而这些数据对于案件的破获至关重要。就对电子物证中数据恢复技术进行分析与研究。
关键词:数据恢复,电子物证,硬盘,取证工具
参考文献
[1]艾绍新.Windows数据恢复技术在电子取证中的应用研究[D].黑龙江:东北石油大学, 2013.
[2]戴士剑.数据恢复技术与方法探析[J].信息网络安全, 2009.
[3]王常亮, 张春琴, 王大伟.数据恢复技术[J].计算机安全, 2008, (8) :64-66.
[4]王强.Windows平台下磁盘数据恢复技术的研究与实现[D].四川:四川师范大学, 2008.
[5]赵双峰, 费金龙, 刘楠, 武东英.Windows NTFS下数据恢复的研究与实现[J].计算机工程与设计, 2008, (29) :306-308.
[6]李卫卫.基于Encase系统的计算机取证分析[J].吉林师范大学学报, 2011, (2) :110-113.
物证技术的概念及其作用 篇5
(一)物证技术的概念
物证技术,是指对案件中各种物证所进行的发现、记录、提取、显现、保管、检验和鉴定的科学技术的总称。它不仅能够解决刑事案件中有关物证方面的专门性问题,也可解决民事案件和行政案件中关于物证方面的专门性问题,因此是整个司法活动中解决物证专门性问题的科学技术。
长期以来,公、检,法机关以及法学界从各自不同的角度对解决物证专门性问题的技术进行了命名,如公安系统称之为“刑事技术”,检察院系统称之为“检察技术”,法院系统称之为“司法技术”,法学界称之为“物证技术”、“司法鉴定”或“法科学”等。其实,“技术”、“鉴定”或“科学”与“物证技术”在主体内容上没有实质差别。
物证技术学的研究对象是物证,而物证的表现形式是多种多样的,通过研l究物证需要解决的问题也是各式各样的,物证技术与物理学(力学、光学、电学等)、化学、生物学等学科知识都具有密切的联系。
(二)物证技术的研究内容
物证技术主要包括物证摄影技术、痕迹检验技术、文件检验技术、法医检验技术、物质成分检验技术、音像物证检验技术等内容。
1、寻找、发现、识别物证的技术。任何一个刑事案件的侦破都是从寻找、发现物证开始的。犯罪现场的痕迹、物证往往是潜在的、微量的,如果不借助一定的技术手段和仪器设备就根难发现。闻此,物证技术的研究内容包括在犯罪现场寻找、发现物证的各项技术。同时,对在寻找、发现阶段找到的痕迹要进行识别,确定哪些痕迹可能是作案人所遗留的。
2、记录、提取物证的技术。在现场勘查过程中,对已发现的物证必须进行记录、提取,这是证实物iIE与案件的关联性的重要步骤。对物证的记录必须做客观、全面、准确,除了进行文字记录以外,还必须进行照相、绘图和摄像;对不同的物证要分别采用相应的技术方法予以记录,保证记录曲质量。对现场所发现的各种物证,条件许可的情况都要进行提取。物证的种类不同,提取的方法也各异,无论采取何种提取方法,一是要保证提取的质量,不能破坏、污染物证,要求按照规定的提取方法、要求和程序提墩;=是要征得事主的同意并办理登记手续。
非法物证的排除 篇6
关键词:煤矿安全培训;问题;误区;建设性意义
证据排除规则(exclusionary rule)又称非法证据排除规则。从字面意义及汉语用语习惯理解,应指一切不合法的证据都不能用作法庭裁判的依据。我国绝大多数学者在谈到非法证据排除规则时都将“非法”视为取证手段违法 。对非法证据排除规则之含义的最大分歧在“证据”方面,即其所指的究竟是包括言词证据和实物证据在内的一切证据还是仅指实物证据。
一、非法物证概念的界定
研究非法物证的排除问题必须先明白研究的立足点。
证据和取证行为是刑事诉讼法的两个独立概念。证据合法与取证行为合法的法律要求也不相同。所谓证据合法是指证据本身应当符合法律规定的证据法定内容要件和法定形式要件。因而,如果证据材料不具备证据的法定形式要件和法定内容要件或者不具备二者之一,便是证据不合法。所谓取证行为是指司法工作人员依照法定权限和法定程序调查、发现、取得、保全与案件有关的情况和材料的活动。世界各国对本身不合法的证据予以摒弃并不存在任何争议,而真正困扰刑诉理论与实践的非法物证仅仅是指证据本身合法,证据的获取方法却违背了法律要求的那部分证据。易言之,在非法物证排除问题中,非法物证是指,虽经查证属实确是国家机关违反法律规定的权限或程序或者以非法方法取得的物证。
二、国外有关物证排除的立法概况
英美是较早关注非法实物证据作证资格的国家。1914年,美国联邦最高法院在Weeks案中创设一项非法物证排除规则——侦查人员违法收集的物证缺乏容许性,其证据资格应予以排除。在此后的六七十年中,又相继形成了若干具有典型意义的判例,如Mirandan判例、Mapp判例等,使得该规则曾一度被全面性地适用,成为美国刑事诉讼中最引人注目的规则,从而发动了一场至今对美国司法仍有重大影响的正当程序革命,非法物证排除规则也成为被告人对抗控方的强有力的武器。继英美之后,一些大陆法系国家也部分吸纳了英美非法物证排除规则的精神。日本最高法院并未直接引用该规则,只是在有关判例中指出:在物证扣押等手续中,存有……重大违法情事……一旦被认为不适当时,即应否定该证据之证据能力。
三、我国司法实务中非法物证现状
(一)非法证据范围仅限于言辞证据。刑诉法对非法实物证据的排除只字未提。《最高人民法院关于执行<中华人民共和国刑事诉讼法>若干问题的解释》第61条明确规定:“严禁以非法的方法收集证据。凡经查证确实属于采用刑讯逼供或者威胁、引诱、欺骗等非法的方法取得的证人证言、被害人陈述、被告人供述,不能作为定案的根据。”该条表明最高人民法院排除非法取得的言词证据的态度。
(二)法律规定模糊。刑事訴讼法第43条规定:“严禁刑讯逼供和以威胁、引诱、欺骗以及其他非法的方法收集证据。”对于所谓的“刑讯逼供或者威胁、引诱、欺骗等非法方法”没有做出明确界定。众所周知我国司法实务中非法取证现象十分泛滥,不当搜查违法扣押等行为早已为人们所熟视无睹,非法物证几乎总是毫无阻碍地成为定案的根据,从而出现大量违反法律的行为其后果却被法律肯定的现象。
四、对我国非法物证排除的建议
关于非法物证的排除,我认为既能一概排除也不能一概采纳,应当有物证排除的例外。
(一)从我国的法文化和诉讼传统来讲,采取物证例外是符合我国的国情的。中国传统诉讼文化与西方现代诉讼文化是在不同历史条件下生长出来的法律精神载体,具有诸多不同的特征区别。从公众心理看,由于受几千年封建专制统治和儒家思想的影响,我国民众普遍接受了集体本位、国家本位、权力本位等观念,他们对犯罪的恐惧、痛恨远远超过对政府作恶的担忧,对国家机关打击犯罪、维护社会安全寄予了较高的期望。
(二)从我国刑事诉讼独特的诉讼模式来看,非法物证排除的例外是中国特色刑事诉讼模式的必然。从立法角度看,尽管修改后的刑诉法在传统职权主义基础上,吸收了不少当事人主义的合理因素,但查明事实、惩罚犯罪作为刑事诉讼法的首要价值目标,仍未得到改变。在我国的诉讼模式下刑事诉讼立法的价值追求必然要求在非法证据排除规则中对物证采取例外态度。
(三)从对国外排除规则的发展经验和教训的总结来看,在我国现阶段采取物证例外也是刑事诉讼发展的阶段性要求。从排除规则的发展历史来看,在我国现阶段采取物证例外应该说是我国刑事诉讼发展的阶段性要求。
(四)从我国的司法体制和物证本身的属性来说,采取物证例外是可取的。我国在立法上没有建立非法证据排除规则体系。散见于立法和司法解释中的相关规定也没有明确非法物证排除规则。较为彻底的非法物证排除规则是与审判独立密切相联的,而我国法院及法官目前还不能完全独立行使审判权。
(五)从我国目前的社会治安形势和打击犯罪的严峻性来看,采取物证例外是必须的也是合理可行的。如果非法物证一概排除,或许犯罪嫌疑人、被告人的权利得到了保护,公安司法人员依法办案的观念得到了加强,但惩罚犯罪、保护社会的价值观念会遭到破坏,甚至会出现与犯罪作斗争彻底失败的危险。所以,在目前情况下,甚至在今后相当长的一段时期内,对非法物证还不能大量排除,而更为合理和可行的做法相反的应该采取例外规则。因此,法物证的取舍上还不宜采取彻底的排除,而采取非法物证排除的例外更加合理。
参考文献:
[1]李心鉴.刑事诉讼构造论[M].北京:中国政法大学出版社,1992.
[2]樊崇义.刑事诉讼法学[M].北京:中国政法大学出版社,2009.
电子物证 篇7
一、电子物证检验在刑事犯罪侦查中的应用
据统计, 我国各地的刑侦部门电子物证检验量, 呈逐年递增的趋势, 电子物证检验在刑事侦查中的应用也越来越多。根据不同案件类型、不同现场、不同电子物证, 可以将电子物证检验工作分为电子物证检查、电子物证现场勘查、电子物证远程勘查以及电子数据鉴定。
(一) 电子物证现场勘查。
为确保能够及时、准确、全面获取相关电子证据, 对有计算机、服务器等电子设备的刑事犯罪案件现场, 必须要对电子物证进行现场勘查。通过开展现场勘查, 可直接获取有用的电子证据, 或固定电子物证, 为鉴定检查提供可靠检材。当前电子物证现场勘查工作主要包括以下几个方面:
1.受理。受理电子物证现场勘查时, 受理人员必须严格按照相关规定对委托主体和有关手续是否符合规定进行审核, 并向负责办案的侦查人员详细了解案件的相关情况, 以及勘验检查的目的。
2.制定勘验检查方案。现场勘验检查指挥员在熟悉案情和勘查目的基础上, 对现场进行模拟思考并制定勘验检查方案, 确保现场勘验检查时能够有的放矢。
3.现场勘验检查。现场勘验检查工作分为三个阶段进行。第一个阶段是现场拍摄和现场保护。拍摄内容中包括现场概貌, 系统重要证据 (设备) 和运行状况。此外, 在对数据库服务器运行的现场进行勘验时, 不能于人机分离后立即进行断电式关机。因为采取断电式关闭数据库服务器方式很可能造成数据库的崩溃, 且犯罪案件的电子证据很多是数据库里正常储存的数据, 而非一些系统正常开关时影响系统文件和日记文件等的数据。第二个阶段是详细询问现场计算机或网络, 及其他电子设备的操作人员或管理人员。仔细了解现场设备所安装的操作、应用系统及数据库系统的密码和类型等一些情况, 有必要时还需要了解网络结构的情况。第三个阶段是固定和提取电子证据等勘查取证工作。对于一些可以现场打印出来的证据, 最好现场将其打印出来, 由电子物证所属的人员或部门确认。
4.制作现场勘验检查工作笔录。现场勘验检查工作完成后, 须制作现场勘验检查工作笔录, 针对个别现场还需要另外附上制作相关设备的拓扑图。
(二) 电子物证检查。
电子物证检查是指电子物证检验技术人员, 针对现场勘验检查时无法全部完成检查的电子物证, 及侦查人员根据需要自行扣押的电子物证中所包含的电子数据等内容, 进行分析、检查, 提取其中与案件相关联的电子证据和线索。刑事犯罪案件侦查过程中的电子物证检验工作主要包括以下几个方面:
1.受理。电子物证检查受理时, 受理人员需要按照有关规定审核委托主体的资格及相关手续是否符合规定, 检材送检人提出的检验目的是否明确, 最后还要对检材进行相关的完整性校验。完整性校验数值不符或根本没有进行完整性保护的设备, 受理人必须进行记录并要求送检人签名确认。
2.检查。进行电子物证检查前, 检验人员必须要对相关物证拍照固定, 对物证检查前的状态进行记录。同时根据电子证据可完全复制的特性, 开始检查前应该对原始物证进行完整全面的克隆, 接着使用克隆软件进行分析与检查, 全面客观的提取与案件相关联的电子证据和线索。对于确实无法进行复制克隆的电子物证, 可直接对该电子物证进行分析与检查。为确保电子物证的完整性不受影响, 分析与检查时, 要确保被检验的电子物证处于只读状态下, 并客观详细记录对电子物证所进行的操作。此外, 我国法律规定, 使用非法手段所获取的证据法庭将不予以采信。所以, 在进行电子物证检验时, 绝不能使用盗版软件。
3.制作撰写电子物证检查工作记录。所撰写的电子证物检查工作记录内容, 包括提取电子数据清单、电子证物检查笔录、原始证物使用记录和打印输出的材料等内容。
(三) 电子数据鉴定。
电子证物的勘验检查一般来说仅是检查电子物证中所存储的有哪些数据, 是相对客观的。而对电子数据进行鉴定则是对电子物证中所储存的数据进行分析、推理, 然后形成结论, 所以鉴定并不是去证实所检查的电子物证里存储什么样的数据, 而是针对所存储的数据进行分析后得出相应的主观结论。电子物证检查是在侦查过程中所允许的操作。因此, 在对刑事犯罪案件侦查过程中, 刑事侦查部门可自行开展对电子物证中储存何种数据的勘验检查工作。如个别案件确有需要对电子数据进行鉴定时, 可送至专业司法鉴定部门进行鉴定。刑事侦查部门只负责对电子物证进行固定和提取, 同时对证据的完整性做好保护工作, 保证电子物证的正常状态, 从提取现场到相关鉴定机构期间不出现任何改变。
(四) 电子物证远程勘查。
电子物证远程勘验检查是指利用网络远程对目标 (系统) 进行勘验检查, 从而固定、提取远程目标 (系统) 的状态以及所储存的内容。为逃避打击, 犯罪嫌疑人经常使用国外的电子邮箱或其它通讯工具进行通信。犯罪嫌疑人利用互联网络跨国特性, 在国 (境) 外租用网络空间建立数据库和网站, 储存相关重要数据。在调查取证过程中, 侦查人员无法直接到国 (境) 外提取这些证据。如目前采用较多的网络诈骗、网上银行诈骗等一些案件, 就会经常出现这种情况。一旦遇到这种情况时, 侦查人员就需要通过电子物证进行远程勘验检查, 提取相关内容作为侦查定罪的证据。
此外, 在刑事犯罪案件侦查过程中, 刑事侦查部门所需要提取一些储存在境内的聊天记录、邮件等物证, 或相关网上商务记录数据作为证据时, 侦查人员可按照传统常规的调查取证方法, 在当地网监部门协助下进行调取。
二、加强刑事犯罪侦查部门电子物证检验工作的对策思考
随着经济与技术的快速发展, 相关涉及电子物证检验工作的刑事犯罪案件不断增多。刑事侦查部门应进一步强化电子物证检验工作的投入与建设, 以适应新历史条件下刑事犯罪侦查工作的需要。
(一) 加大经费投入和机构改革力度, 完善电子物证机制。
公安部2005年颁发实行的《公安机关鉴定机构登记管理办法》, 对电子物证检验部门和机构作出了相应的规定。但是, 我国绝大部分公安机关都尚未设置电子物证检验的部门和机构, 刑侦等侦查部门的电子物证具体由哪个部门或机构负责, 也没有相关明确的规定。因此, 刑侦部门应结合自身工作实际, 成立专门的电子物证检验部门或机构, 积极购买和配置国内外的先进软硬件设备, 不断坚持完善电子物证检验机制, 以切实适应新形势、新时期的刑侦工作需要。
(二) 规范电子物证检验流程, 加强执法规范化建设。
在电子物证检验的过程中, 检材非常容易被破坏, 检验结果也易受到质疑, 且不同的检验程序和检验方法都有可能影响到检验结果。但如果按规定的程序、使用科学的方法检验, 就可有效提高法庭认定电子物证检验结果的采信率。但目前我国还没有一套较为完善的电子物证检验程序和方法的标准和规定, 刑侦部门应该充分利用大量的实践经验, 制定完善符合自身实际应用、法律规定和管理的电子物证检验流程模式, 进一步确保检验结果的法律地位和法律效力。
(三) 培养电子物证检验专家, 建立一支高素质的专门人才队伍。
公安部2005年颁发实行的《公安机关鉴定人登记管理办法》, 对电子物证检验的专业技术人员作了相关规定, 并进行了第一次电子物证检验专业技术资格考试。但由于电子物证检验是刑事侦查学、法学和计算机科学的交叉学科, 从事电子物证检验的工作人员, 不但要熟练掌握计算机及数据库、网络等信息技术, 且要具备一定侦查取证的法律知识, 掌握检验鉴定的程序与方法。目前, 我国电子物证检验人员仍比较缺乏, 刑侦部门应重点培养一批侦查、法律、信息技术较强的电子物证检验专家, 以有效适应刑侦工作需要。
参考文献
电子物证 篇8
(一) 电子物证的概念
作为物证的一种, 电子物证是指存在于各种介质当中的电子数据, 用以证明犯罪事实的证据。电子物证可以分为电子信息, 比如视频、图片、电脑程序等, 也可以是电子信息的附属品, 比如电子文本的打印文件等。
(二) 电子物证的特征
电子物证与其它的物证相比较, 有以下几种特征: (1) 电子物证的提取和保存依靠高科技的技术手段, 因此在提取的过程比较简单迅速、数据保存所占据的空间面积极小; (2) 电子物证的保存介质主要是U盘、磁带等, 因此电子物证保存离不开计算机。电子物证在提交的时候多是通过文书、光盘等展示。
二、电子物证易受污染的原因分析
(一) 直接使用带有系统的硬盘检材
有的硬盘是带有系统软件的, 部分工作人员为了节省时间, 会直接使用带有系统软件的硬盘启动系统, 此时会导致硬盘当中文件的时间被改变。对于市面上常见到的几个Windows系统, 都会造成上百个文件信息被改变。移动硬盘使用不当。
如果将带有检材信息的移动硬盘直接连接到非取证的计算机设备中, 计算机中的杀毒软件会反复分析、扫描硬盘当中的内容, 不断地读取硬盘中的数据信息, 如此反复容易导致硬盘当中的信息数据出现篡改的问题, 严重情况下还容易导致数据被删除。
如果将硬盘介入到带有系统的检材计算机当中, 计算机中的系统会自动对硬盘当中的数据信息进行扫描和记录, 亦或是打印, 这样容易造成信息数据的泄露。
(二) 设备检材操作不规范
因为工作人员对录音、视频设备的操作不当, 在常规性的检查或者运输的过程中, 由于误按了某些操作按钮, 导致机器自动录音、录像, 或者删除与案件相关的重要物证资源, 导致物证资料的丢失。
如果在物证鉴定的时候直接打开了手机或者其它移动通讯设备, 比如调查当事人手机当中的短信、通话记录、视频资料等信息, 如果未打开屏蔽网络的设备, 很容易会再次接受到新的信息, 或者接听到新电话, 导致原本检材的内容发生改变。特别是手机信息内存已满, 此时如果再来新短信, 则会导致原来短信自动删除。
在没有准确把握计算机性能的时候, 如果该计算机安装了系统还原的软件, 此时重新启动计算机, 或者关闭计算机, 则会导致原本记录在计算机当中的数据完全丢失。
对设备的保护不当同样会引起有效证据的丢失, 将设备置放在潮湿、高温、高磁场的环境当中, 或者在设备搬运的过程中保护措施不到位, 导致设备的严重碰撞, 直接导致设备性能的发挥。
三、电子物证提取的正确途径探索
(一) 现场的保护工作
针对案件的具体情况, 来判断网络是否需要断开。保持网络的畅通主要是在持续性的网络犯罪案件当中, 需要通过网络获取更多犯罪信息, 通过搜集数据获取更多有力的证据;而断开网络更多的是为了保证网络系统的稳定性, 以免外来入侵者进入到网络中篡改数据。其次对现场工作人员加强管理, 防止有人恶意破坏数据信息, 或者删除有力的电子数据;再者及时查看正在运行中的计算机设备, 避免数据受到正在运行的程序破坏;最后, 在现场发现电子设备之后要做好备用电源的稳定供应, 避免突发性断电导致已经缓存在计算机或者正在缓存的数据丢失。仔细检查犯罪现场, 避免周边存在较强的磁场影响到硬件设备的运行。
(二) 物证的搜查
注重证物的搜查, 在犯罪现场要关注部分非电子数据的证据信息, 比如日记本中的内容、账号、密码等;在现场搜查的时候, 需要注意小零件、设备的摆放位置, 及时做好拍照记录工作, 对设备数量、种类、名称都记录在案;在搜查计算机设备的时候, 要关注计算机是否存在蓝牙、无线网等外部连接情况。
(三) 电子物证的初步提取
针对在犯罪过程中被抓获的案件, 比如淫秽网站运行、网络赌博等行为, 工作人员可以直接对现场网页进行截屏保存, 打印出网页信息, 成为有力的证据;如果该计算机处于关机的状态, 尽量不要开机。如果必须要开启计算机设备, 应将源计算机当中的硬盘直接插入到只读计算机当中, 将硬盘当中的全部数据复制下来, 在打开设备调查取证, 保证信息不会丢失;在打开计算机系统之后, 需要校准核对计算机时间与标准时间之间是否存在差别, 及时做好记录工作。
四、结语
随着犯罪分子作案手法越来越多, 很多案件都涉及到电子设备, 需要依靠工作人员提取电子物证来辅助案件的侦破。电子物证在提取、检验中涉及到多个环节, 每个环节都可能导致物证被“污染”
摘要:在电子物证提取和检验中, 由于工作人员操作不规范、工作粗心等原因, 容易导致物证信息受到“污染”, 影响物证的证据效力。本文在分析电子物证概念和特征基础之上, 具体针对电子物证受“污染”的原因和解决对策进行分析。
关键词:电子物证,提取,检验,污染
参考文献
[1]戴士剑.电子物证之证据考量[J].人民检察, 2011 (18) :26
浅谈计算机犯罪中的电子物证检验 篇9
一、计算机犯罪中电子物证检验的概念和特点
国家机关公安部计算机管理检查司定义的计算机犯罪是指: 信息活动当中, 以计算机系统或计算机信息知识为手段, 或是针对计算机信息系统, 对国家、个人或团体造成危害的依法应当予以刑罚处罚的行为。而所谓电子物证检验是指相关工作人员按照一定的技术标准, 识别、发现、提取、保存、恢复、展示、分析和鉴定电子设备内的存储信息的, 并出具检验结果的全过程。
由于电子证据和传统证据赖以存在的存储介质是不同的, 因此, 电子物证检验的原理和原则与传统物证检验相似。此外, 应该注意的是电子物证检验具备自身特有的诸多特点。第一, 检验对象种类繁多。日常的公安检验活动中, 电子物证检验的检验对象是最多的, 而且涉及范围也比较广, 比如一个单位的计算机网络、个人的手机存储以及家庭的影音播放器、数码相机等大多数的电子产品和存储介质。种类的繁多直接导致了检验操作方式的各不相同, 因此延长了电子物证检验的时间, 增大了检验的难度。第二, 电子物证检验对象存储介质差异大。这种差异来源于不同中存储介质的理论结构和技术标准捡的差异以及生产技术水平不断提高带来的差异。第三, 检验设备要求高、差异大。电子物证检查对检验设备要求很高, 同时, 由于各种电子信息都存储于不同种的存储介质当中, 所以必须要求在检验的过程当中借助必要的电子设备。
二、目前计算机犯罪中的电子物证检验工作的不足之处
由于我国的电子物证检验起步比较晚, 当前各公安机关电子物证检验部门依然存在很多的问题。首先, 检察院内部相关人员的配备及专业技术能力亟需完善。目前, 广泛应用于计算机犯罪当中的电子物证检验处于起步阶段, 缺乏推广认知度, 技术数量应用度和相关人员的储备和培养都略显不足。这些都给电子物证检验工作的正常开展带来了很多不便, 降低了工作效率。其次, 电子物证检验鉴定机构缺失。当前我国各司法机关都缺乏电子物证检验鉴定机构, 因此, 很多基层检察院在遇到计算机犯罪案件的时候不能做到及时地处理和解决, 造成电子物证检验工作难以正常开展。
三、针对计算机犯罪中电子物证检验工作的建议
( 一) 加强检验工具和软件的自主研发
目前, 国内所使用的电子物证检验的工具和软件由于没有掌握技术核心, 因此, 在很大程度上对国外的先进技术存在依赖性。究其根本, 是源于国内相关研究起步晚, 资金缺乏。没有足够的资金和人员的投入自然难以为电子物证检验工具和软件的开发提供强有力的支持。为了使得电子物证检验走上良性发展的道路, 所以必须注重当前我国的电子物证检验的自主研发。
( 二) 加强电子物证检验人员储备培训和检验机构的建设
为了及时地改变当前各检察机关电子物证检验相关工作人员的储备缺失现象比较严重地现状, 需要个部门积极引进电子物证检验先关专业技术人员对在职人员进行长期、有效、系统的知识培训, 全面提升在职人员的专业技术水平, 使得各检察机关内部电子物证检验人员的整体实力得到有效提升, 从而在根本上提升电子物证检验工作的工作质量。
( 三) 完善电子物证检验鉴定的相关法律法规制度
随着计算机和计算机技术的高速发展, 现存的相关法律法规略显滞后, 对于计算机犯罪的新手段和方法难以起到理想的作用, 因此, 及时补充现存的法律法规显得特别重要。针对犯罪主体和计算机犯罪侵害对象范围都要做到及时有效的补充。也只有这样才能为电子物证检验工作的有效开展和实施提供强有力的支持。
四、结语
当前, 计算机技术仍处于高速发展的状态, 计算机犯罪也将不断滋生新的手段和方法, 有效的打击计算机犯罪显得越来越重要。为了维护社会的稳定秩序, 确保经济水平能够持续快速发展, 我们应该在今后积极转变电子物证检验的发展模式, 逐渐使之进入良性循环的道列之中。
参考文献
[1]刘然.论计算机犯罪中的电子物证检验[D].黑龙江大学, 2010 (学位年度) .
电子物证 篇10
随着计算机的普及,违法犯罪分子的作案手段也有了新的途径。通过计算机进行信息的窃取、篡改、盗取商业机密等案件层出不穷,给案件的侦破带来了一定的难度。在高科技犯罪安监站中,采用传统的电子物证取证已经无法起到良好的效果,可信时间戳技术的发明也应用有效的解决了这一问题。本文就对这一技术的发展和应用进行了详细的说明及分析。
1 电子物证相关概念
1.1 电子物证
根据我国《行政诉讼法》对物证的定义,犯罪嫌疑人在作案过程中使用、产生、遗留、移动的所有物品都被称为物证。电子物证是物证的一种类型,它是通过电子设备对信息进行记录和传输的。电子信息包括计算机程序、声音、图像、文字以及这些信息的派生物。电子物证可以分为本地电子物证和远程电子物证两种类别。本地电子物证是储存在本地介质中的一类电子物证。它可以直接从电子的源文件中进行获取,而远程电子物证是指存储在远程服务器上的物证,不能直接通过电子源文件进行获取,只能以文件的形式进行传输。
1.2 电子证取证
物证的取证是指执法人员为调查案件的情况,依照相关的法律规定和程序对电子物证进行提取、保存、分析等过程。电子物证的取证通常是通过电子载体中数据信息的读取来实现的。在提取了电子载体中的信息后,执法人员必须对其中的信息进行分析、整理和审查,对数据进行合理的筛选,选择那些能够为案件的侦破提供帮助的数据。
2 可信时间戳
2.1 时间戳
时间戳是指描述某一个事件发生时间的计算机字符。在一般的计算机系统中,对文件的操作分为创建、修改和访问三种类型,相应的,系统中的每一个文件都拥有三个时间戳。但需要引起注意的是,计算机中记录的时间戳是以计算机内部的时钟为依据的,有时候会与实际的时间存在一定的偏差。
2.2 可信时间戳
可信时间戳是由具有一定权威性的第三方公布的时间戳依据,具有较强的法律效益和凭证。在可信时间戳中,时间戳与计算机中的数据是一一对应的,数据内容包括数据的生成时间、时间戳的信息等。
3 电子物证的种类
电子物证具有多种存在方式,常见的形式包括视频、声音、图像、文字等。只要其中任何一种形式的物证能够证明犯罪情况的存在,都能够成为案件中重要的物证。电子文件主要有五种类型,分别是字处理文件、图形处理文件、数据库文件、程序文件、影音文件等。字处理文件是指经过文字处理后形成的文件,通常由文字、标点、编码、符合等组成。由不同文字处理程序产生的字处理文件有时在打开时不能兼容,因此文件不能直接进行读取,需要经过一定的程序转换。图形处理文件是指通过计算机辅助的图形处理软件处理过的图形数据。图形文件具有更高的直观性,能够更好的反映信息内容。数据库文件是指原始数据记录而成的文件。数据库中的大多数信息都属于源文件,具有很高的参考价值。但通常需要经过整理和分析后才能成为有效的物证。程序文件是指计算机内部所包含的各个程序软件,是实现人机交流的主要途径。影音文件也就是人们常说的多媒体文件。这些文件通常是通过扫描、捕捉、录入的方式进行记录的。
4 电子物证取证的任务
4.1 认定信息的存在性
电子物证取证的首要任务是确定存储媒介上的信息是否真实存在。这一过程需要对存储媒介进行深入的分析,并排除其中的有害信息。存储媒介中包含许多的种类,如硬盘、软盘、内存、读卡器、打印机等。
4.2 认定信息的量
物证信息的量对罪犯的定罪有着直接影响。因此,对于物证信息量的确定是十分关键的。特别是对于制作传播淫秽物品的案件来说,只有对淫秽信息的数量进行确定后,才能对案件的性质进行确认。
4.3 认定信息的来源
通过对信息的分析确定信息的传播方式、产生形式、产生时间等,从而从根本上确定信息传播的目的。例如对网上某张图片是由哪一种类型的相机进行拍摄、某个程序代码的发布者等都属于对信息来源的调查。
4.4 认定程序功能
认定程序功能就是指对程序进行静态和动态的分析,从而确定程序是否具有某种特定的功能。例如对一些恶意程序和木马软件的分析可以确定犯罪过程的各项信息,并且实现远程的控制。通过对计算机病毒的分析,可以确定计算机是否具有破坏计算机的功能或自我复制的能力。
5 电子物证的法律定位
5.1 国际通行做法
当前,各个国家都在推行电子物证在案件侦查过程中的应用。美国在各项电子交易条款中都对电子物证作为了一项单独的条款,并对电子物证的相关执行细节进行了规定。英国和法国等欧洲国家在国家的法律体系中也将电子物证作为了重要的内容。亚洲的一些国家,如新加波、印度等也将电子物证作为了法律体系中的重要内容。
5.2 电子物证在我国的法律地位
电子物证在我国的应用起步较晚,截至当前,我国还尚未将电子物证作为一种独立的物证来进行应用。通常,我国在案件的侦破过程中是将电子物证作为一种听证材料来进行利用的。对于电子物证的重要性,在司法界中已经形成了共识,但对其在案件侦破过程中的效力还存在较大的争议。争议的主要内容是是否应当将电子物证作为一种单独的证据,还是将视听证据。这决定着电子物证是作为一种直接物证还是作为一种间接物证在司法案件中进行应用。
法律的修改和调整是需要一定时间的,但在实际的案件审查过程中,电子物证的作用已经充分的显现出来了,并且在很多案件的审理过程中都将电子物证作为定罪量刑的重要依据。
6 将可信时间戳技术引入电子物证取证的必要性
6.1 电子物证与传统物证的区别
与传统的物证相比,电子物证的优势主要体现在两个方面。首先,电子物证容易遭到破坏,在运输和读取的过程中,若处理的方式不当就会对信息产生改变或破坏。其次,电子物证很容易被修改。电子物证与传统物证相比较,在真实性和可靠性的保障较低,容易受到质疑。电子信息易受损、易篡改的特点使得电子文件的真实性很难得到确认,一旦在案件的侦破过程中进行使用,很容易遭到违法犯罪分子的抵赖。一旦在电子物证的提取或检测过程中出现了问题,对其法律效力将会产生极大的影响。
6.2 时间参数对于电子物证取证工作的意义
在电子物证的取证过程中时间参数是一个关键的数据。对犯罪过程的调查都是围绕着时间展开的。当电子物证的时间参数出现问题时,电子物证的法律效力就会受到极大的降低。从一定程度上可以说,时间参数是电子物证最重要的价值,是电子物证法律效力的保障。
计算机系统中的每一个文件都具有其特定的时间戳,通过时间戳的对比可以对文件的创建、修改和访问时间进行确定。例如,当犯罪嫌疑人在网站上发布一条犯罪信息时,公安机关就可以通过对该人计算机的软件上的时间戳进行对比,从而证明信息的发布者。时间轴的对比对时间的精确度要求较高。随着网络的普及,信息可以在极短的时间内进行传播。因此,虚假信息可以对社会的和谐和稳定造成极大的破坏。
7 电子物证平台体系结构设计
7.1 总体体系结构设计
在总体体系结构的设计上通常采用三层结构,分别由取证终端、本地服务器、远端服务器。取证终端主要负责证据的收集工作。本地服务器负责对登录用户的身份进行认证。远程服务器负责对电子物证的时间戳进行加盖服务。电子物证取证平台将会提取电子物证的Hash值,并将其提交给时间戳认证服务器进行认证,固化之后的证据包中将含有电子物证源文件、时间戳文件和数字签名文件。
7.2 系统安全性设计
电子物证的安全性需要有第三方的参与来保证。第三方公共机构不直接接触电子物证,而通过文件的读取来进行取证,这样就能更好的安全保障。系统安全性的设计包括下述一系列的过程:(1)标准时间的校验。电子物证取证系统本身的系统应通过第三方公共时间戳服务机构的时间服务器校准,并对取证时间进行基于国家标准时间的实时校验。(2)取证人员身边信息校验。为了确保取证人员身份的合法性,在取证的过程中可以采用数字签名技术。常用的数字签名技术有PKI技术和数字证书技术。在取证时,取证人员应当出示由国家所发放的身份标志,并把身份信息在计算机中进行记录。(3)远程电子物证IP地址校验。在进行远程电子物证的取证时,获取的IP地址是无法进行篡改的,从而能够充分的保障信息的准确性。(4)操作过程保护。在取证过程中对生成的文件取Hash值,等生成完整的文件以后再取Hash值,判断两个Hash值是否一样,一样则证明文件没有被篡改,可以进行证据保全,不一样则证明文件被篡改了,不能作为证据被保全,以此保证取得证据的真实性。(5)自动生成电子物证取证报告。电子物证取证的优势在于,系统可以根据取证的内容自动生成取证报告。报告中包括取证的时间、取证人员的身份、取证信息的简单描述等。电子报告的内容通过电子报告的方式呈现出来,平台能够将案件的分析结构形成一个完整的报告。
8 结语
在许多国家的办案单位中,电子物证取证机构是一个独立的第三方部门,它的取证结果可靠性受到其操作流程规范性的影响。因此,相关部门应当对取证的过程进行规范,提高取证的准确性和可靠性。可信时间戳技术是电子物证取证中的一项重要内容,主要利用了时间唯一性的原理,对物证进行远程的提取。
摘要:信息技术和计算机设备的应用给人们生活带来便利的同时,也成为一些不法分子违法犯罪的手段。近年来,我国刑事案件中利用计算机进行犯罪的案件比例在逐年上涨,从而对我国打击犯罪的技术提出了更高的要求。可信时间戳技术是近年来发展起来的一种电子取证技术,在取证的有效性和可靠性上都有了显著的提升。本文对相关的技术理论进行了阐释,并分析了这一技术的具体应用方法。
关键词:时间戳,电子物证,取证
参考文献
[1]黄旭辉.可信时间戳技术在电子物证取证中的应用[J].科技资讯,2014.
[2]黄梅竹,裴莉.可信时间戳在电子档案安全防护中的应用[J].北京档案,2015.
故宫遭轰炸的物证 篇11
4月4日,有飞机飞过紫禁城,在南三所投掷了一颗炸弹。当时史学家陈垣和几位同仁目睹这一幕,本着对历史负责的精神,陈垣在炸弹的铜螺丝盖刻字,铭记此事:“丙寅寒食,有飞机掷炸弹于故宫南三所前,余与庄思缄、沈兼士、俞星枢、李玄伯、马叔平、胡文玉、吴稼农、吴景洲、李春圃诸君往观,拾铜螺盖、铁碎片各一。翌日植柏于其处,新会陈垣记。”虽然只有短短的71个字,却让这个铜螺盖成为军阀破坏国家古建文物的铁证。
陈垣之所以有招集同仁往观现场,拾取炸弹零件、刻字纪事之举,还要从他与故宫的渊源说起——
陈垣,字援庵,广东新会人。早年在广州参加反清斗争,辛亥革命以后,他以革命报人身份当选众议员,留居北京,从事历史研究和教育工作。1924年第二次直奉战争中,冯玉祥将军发动北京政变,推翻曹锟政府,驱逐溥仪出宫。为应事态之变,国务院紧急成立了“清室善后委员会”,全体委员由国务院聘任,李煜瀛任委员长,聘请蔡元培、陈垣、沈兼士、俞同奎等十人任委员。善委会成立后,李煜瀛经常出外公干,故宫方针大政,渐渐担在陈垣身上。1925年10月,善委会与北京各界人士在故宫乾清门广场召开故宫博物院成立大会,决定设古物馆与图书馆,陈垣担任故宫博物院理事会理事并任图书馆馆长。
在陈垣主持的清点中,故宫陆续发现了一批珍贵的典籍、孤本、底本、档案等。如在斋宫中发现了元刻本《元典章》,有汲古阁毛晋私印,以及在懋勤殿发现了当年罗马教宗就中国礼仪的通谕等珍贵档案。最重要的发现大概要算1925年4月发现了尘封多年的《四库全书荟要》。
1926年7月,吴佩孚主持北京政务,决定成立“故宫保管委员会”,以前清遗老赵尔巽、孙宝琦为正副委员长。赵孙二人与故宫博物院诸理事商洽接管事。理事会派陈垣、俞同奎等四人前往。谈判开始,陈垣发言说:“如果要接管故宫,必须组织点交、接收两个委员会办理接交手续。须点完一处,移交一处。接收一定要做到三点,故宫所有藏物:一不能还给溥仪;二不得变卖;三不能毁灭。如果你们不同意点交,可以登报声明说明自愿负故宫的全部责任……”陈垣的主张惹恼了很多觊觎故宫财宝的人。8月8日清晨,陈垣突然被宪兵司令部抓走了。故宫理事会同仁得到消息后,忙多方营救。后来陈垣虽然被释放回家,还有两名宪兵跟到陈宅,将陈垣软禁在家中一百多天。直到北伐胜利在即,南京国民政府正式公布《故宫博物院组织法》,接管了故宫,任命易培基为院长,李煜瀛、陈垣等37人为理事,故宫才安定下来。
从1926年至1952年,陈垣担任辅仁大学校长,一直到院系调整以后的北师大校长。陈先生一生撰写史学专著和论文近二百篇,不仅在宗教史、元史、历史文献等领域为中国史学作出了开创性的贡献,而且以刻苦的治学精神和优良的学风影响了代代学人。
电子物证 篇12
随着打击计算机犯罪活动的进一步深入,需要培养更多高素质的电子物证技术人员。近几年来,一些公安院校陆续开设了电子物证检验课程。电子物证检验课程是一门新兴的综合交叉学科,是培养学员进行电子物证的获取、分析和鉴定工作的。电子物证检验课程强调理论与实践并重,学员要在学好理论课程的同时,具有较强的实践动手能力。
1 传统教学模式的剖析
近年来,虽然教学手段从“粉笔+黑板”改变为了“计算机+大屏幕投影”,但是教学方式还大多沿用传统的教学模式。同时,虽然采用多媒体技术可以将内容生动、形象逼真、声音动听的文本、图像、声音、视频和数据等信息一起传输给学员,但由于信息量的加大,反而使学习更无从下手,学员一旦遇到实际问题可能会束手无策,从而束缚了思维发展,不利于培养创造性人才。
电子物证检验的传统教学方法是以知识点为主线来展开,按照教材的模块顺序授课,先基础、后应用。首先介绍电子物证、计算机司法检验等相关概念,然后提出电子物证检验的基本过程检验前所需掌握的相关知识及准备工作,接着介绍常用电子物证检验工具和Windows、Unix/Linux系统的检验方法,最后对典型案例进行分析。因为电子物证检验课程的知识点的分布是网络型的而不是线性的,并没有严格的学习次序,所以学员对它的知识体系较难把握。
在实践环节的教学中,教师先进行操作,然后由学员自己练习。尤其是在电子物证检验工具内容的教学中,由于检验工具的操作步骤繁多,针对不同案例的操作组合不同,学员很容易混淆,导致学习兴趣降低,教学时效低,最终导致理论与实践脱节。
因此,在电子物证检验的教学中采用传统教学方法和教学模式已不能满足时代的需求和学员的需要。寻找一种理论联系实际,能够解决教学过程中存在的“重知识,轻实践”的矛盾,培养学员根据实际问题进行动手能力的教学方法和教学模式势在必行。案例教学和任务驱动式教学都是极具发展潜力的教学方法,能很好解决理论与实践的衔接。
2 案例-任务驱动教学法
案例教学法是一种以案例为基础的教学法,用实际案例来进行教学,案例教学侧重于对学员综合能力的培养,有助于提高学员对所学知识的综合运用能力。案例教学提供一个近乎真实的场景,缩短了教学与实践之间的差距。案例教学中的案例通常是选取完整的实例,较为完整地叙述实例的起因、问题和处理过程。在学员掌握一定基础理论知识的基础上,教师有目的、有选择地把司法实践中的客观实际提供给学员,提出案例分析和解决问题的诸多方法,让学员对教师所提供的具体事实和原始材料进行思考、分析、研究、提出解决问题的方法,解决问题的种种方法都可以提出来并进行试验,对比各种方法的优缺点,最终得出正确的结果,从而培养学员的综合运用能力。
任务驱动教学法就是教师把教学内容设计成一个或多个具体的任务,让学员在完成这些任务的过程中来达到教学目标。由教师根据当前教学主题设计并提出任务,针对提出的任务,采取演示或讲解等方式,给出完成任务的思路、方法,然后引导学员边学边练,完成相应的学习任务。任务驱动教学不再以知识点作为线索,而是以任务为线索,其教学内容由多个精心设计的任务来组成。在完成任务的过程中,学员掌握相关教学内容和学会学习,教师由权威的知识传授者变成了教学的引导者、组织者和评价者。这种方法适用于培养学员分析问题、解决问题的能力和创新能力。
案例教学法和任务驱动式教学法都强调在学习过程中学员的主动性。案例教学法是呈现案例,由教师分析、讲解案例中的知识点并提示学员对案例进行功能拓展。案例教学法的关键是根据课程的内容和特点选取恰当的案例,同时在案例的讨论中学习和理解相关的知识并由此拓展到新的知识内容中。而任务驱动式教学法是以任务为主线、教师为主导、学员为主体的教学方法。就是教师的教学活动与学员的学习过程都围绕着一个具体目标,通过对学习资源的积极主动应用,进行自主探索和互动协作学习,并在完成既定任务的同时又产生新的任务。任务驱动式教学法的关键是完成任务的动态过程。
由以上分析可以考虑将两种教学方法的优势相结合,同时汲取传统教学模式的优点,形成案例-任务驱动教学模式。在此教学模式下,在选取和呈现案例程序时遵循案例教学的特点和方法,充分体现出案例的作用;在学习进行中强调任务的实现过程,在有针对性地完成任务的同时让学员得到能力的锻炼。
3 案例-任务驱动教学过程
(1)案例准备
教师要依课程教学内容选择案例,选用的案例应与教学内容有密切的联系。选用的案例能反映同类案例的一般特征,能起到举一反三、触类旁通的作用。选用的案例还要有一定难度,使学员有思考的余地。教师要仔细分析案例材料,找出案例中的关键性问题和解决问题的思路。
(2)讲解案例
给每位学员提供证据文件和相应的背景资料。通过多媒体手段将案例展示出来并进行适当讲解,讲解案例应用背景,提出问题,明确本次课的教学目标。
(3)分析任务
应重点把握好任务的切分和层次推进问题。根据提出的问题引导学员进行思考,将案例分解并设计成一个个相对独立、简单的任务,分解的任务在功能上要保持一定的完整性,且各任务之间具有一定的渐进性、扩展性,存在一定的先后关系,层层推进。
(4)任务探究
在这一过程中,学员是完成任务的主体,教师起着引导作用。学员要分析、讨论任务,自主探究,完成任务,同时学习和掌握相应的知识,提高动手能力和综合分析能力。教师要把握总体教学目标,使任务的完成与教学目标的实现统一起来。根据学员学习层次的不同,教师还要做到因材施教。对基础差的学员多一些指导,使他们能顺利完成基础层的任务,树立自信;对优秀的学员,要鼓励他们去完成更高目标层次的任务,进行“发现性”学习。
(5)总结评价
虽然学员完成了任务,但还不够完善,要帮助学员进行知识的归纳与总结,加深对新知识的理解,建立起已学知识间的联系,完成知识构建。任务评价要注意客观性,以表扬鼓励为主,使学员体验到完成任务的成就感。
4 具体教学实例:走私案件的电子物证检验
(1)案例展示
在2010年2月的打击走私行动中,某海关查获一批手机,调查得知这批货物的主人为一名叫“阿强”的男子,警方随即抓获该男子并查封电脑一台。要求从电脑中查找相关证据。
(2)检验前的准备
为了避免证据的误损坏,在检验前要用磁盘镜像工具获取原始检材的精确备份。镜像工具可以使用如Safe Back、Snap Back、En Case和X-Ways等。为了保全证据的完整性,需要使用数字签名和时间戳技术,以证明从操作开始到取证过程结束证据没有被修改过。保全工具可使用Md5sum、En Case、X-Ways等,并将证据文件的hash值和生成时间等信息记录下来。接下来的任务才是对电子物证检材进行分析。
(3)案例分析
若嫌疑人使用过该电脑,则必然会留下操作痕迹,根据提取的内容可以反映出犯罪嫌疑人的活动情况。电脑中的基本信息是否存在与走私货物相关的信息呢?需要调查哪些基本信息呢?怎么查找被删除文件里面的内容呢?若文件的扩展名被更改了,如何识别这些文件的真实类型呢?在分析此案例中,从问题的提出到问题的解决,一步一步将学员引入到终点,使学员对电子物证检验过程中所使用的基本方法、基本过程和使用的工具有进一步理解。
(4)基本信息分析
首先要求学员提取电脑的基本信息,这部分信息包括:操作系统信息、用户操作痕迹、即时通讯、电子邮件、常用文件等,使用取证大师(Forensic Master)的自动取证功能来提取基本信息比较方便和全面。然后让学员对找到的信息进行分析。同学们会发现QQ聊天记录中有比较明显的线索,要求学员对聊天记录做进一步分析。
(5)聊天记录分析
聊天记录中与案情相关的内容如表1所示。
从QQ聊天记录中可分析出:嫌疑人把货物清单通过Email进行传送,并可能会使用QQ号或电话号码作为密码。因此,下一个任务是对电子邮件账号进行分析。
(6)电子邮件账号分析
电子邮件账号中与案情相关的信息如表2、表3、表4所示。
从邮件列表信息中可分析出:嫌疑人使用的邮箱为qia119@163.com。因此,下一个任务是对该电子邮件账号进行分析。
(7)账号qia119@163.com分析
因为在完整的邮件文件中未发现相关线索,所以需要对残缺邮件做进一步分析。这部分工作需要使用En Case工具的关键字搜索功能。可通过设置关键字qia119@163.com来查找残缺邮件信息。从未分配簇中发现相关的残缺邮件信息如图1所示。
从邮件碎片中可分析出:嫌疑人使用邮箱qia119@163.com发送了一个文件:table.doc。因此,下一个任务是对table.doc文件进行分析。
(8)文件table.doc分析
通过对table.doc进行过滤,未发现该文件。需要学员用数据恢复软件恢复被删除文件。可以选择Easy Recovery、Final Data等恢复软件,也可以使用En Case、X-Ways等软件中的关键字搜索功能来搜索相关文件碎片。从未分配簇中发现相关信息如图2所示。
从table.doc字符串相关碎片中可分析出:嫌疑人在word中新建了一个.doc文档,经过编辑,先后以文件名table.doc和cvb.doc保存。因此,下一个任务是对文件cvb.doc进行分析。
(9)文件cvb.doc分析
对硬盘中的文件进行过滤,未发现文件cvb.doc,却发现未知文件类型的文件cvb.isd。为了获得该文件的文件类型,需要使用文件签名功能进行验证,得知该文件的类型为Compound Document File,如图3所示,即可能为.doc类型文件。
将cvb.isd复制到检验工作站,重命名为cvb.doc,使用word尝试打开,发现该文件是加密的。下一个任务是对该文件进行密码破解。
(10)文件cvb.doc的密码破解
一般情况下,可以使用Advanced Office Password Recovery等Word密码解除软件进行密码破解,但是耗费的时间较长。有没有更好的办法呢?联想到聊天记录中的相关内容可知,该文件可能使用嫌疑人的QQ号码或电话号码作为密码。经试验,成功破解该文件读取到文件内容,如表5所示,内容正是所查获的走私手机的品牌、型号和数量,因此获得了嫌疑人走私手机的有力证据。
(11)任务评价
找到需要的证据后,学员要对获得的证据进行固定并整理资料,写出完整的分析报告。教师要对整个教学过程进行评价,帮助学员进行知识的归纳与总结,加深学员对新知识的理解。
5 总结
电子物证检验课程作为一门相对较新的课程,在利用案例-任务驱动这一教学模式时要根据教学目标,对教学案例、课程任务进行科学的设计与合理的组织,确保方法运用得合理。但其教学方式还存在相当大的探索空间,在很多方面还有待于扩充和完善,如:
(1)案例-任务驱动教学适用于复杂知识、专业知识的教学。简单知识的学习,反而会花费更多的时间。
(2)案例的形成过程往往花费较大,时间消耗过多。
(3)案例-任务驱动教学方法以学员的积极参与为前提,以教师的有效组织为保证,而要做到这些方面的有机结合往往较为困难,有时会产生耗费时间较多而教学效率较低。
(4)案例-任务驱动教学一般既要让学员了解过程,更要让他们领会内容,这两者常难以兼顾。
参考文献
[1]宋秀丽,陈龙,邓红耀.计算机取证课程实验教学探讨[J].实验室研究与探索.2007.
[2]生桂勇.计算机专业案例教学法初探[J].电脑知识与技术.2008.