电子数据取证办案速查手册

电子数据取证办案速查手册

第一章速查手册概述

计算机取证是一门发展非常迅速的学科，时代需要一批能不断吸收最新的知识，掌握最新的技能，使用最新的工具，不断提高自身素质的网络精英，来应对同样在飞速进步的高科技犯罪分子。为电子数据取证与勘察过程中提供一本速查手册，协助办案人员快速查询一些细节性的易遗忘的知识点，这是这本手册设计的初衷。

第二章计算机犯罪现场勘察指南

一：保护现场

现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。

在保护现场时需要依循以下原则：

1 禁止嫌疑人接触数字化设备

现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息，但必须禁止嫌疑人直接操作计算机。

如果所勘查的现场是公共上网场所（如网吧），必须尽量根据预先掌握的情况（如嫌疑人的体貌特征、当前登录的帐号

等）和技术手段确定嫌疑人身份，并采用隐蔽的方式控制嫌疑人。除非案件特别重大或特别紧急，否则不得采用公开的方式控制犯罪嫌疑人。

2 防止嫌疑人采用隐蔽手段故意破坏证据

嫌疑人可能通过网络、拨入设备远程控制计算机或者网络，在紧急情况下，可以切断相关的有线网络和无线网络连接（关闭交换机、HUB 或无线接入设备）和拨入设备（关闭MODEM）。

嫌疑人可能通过切断电源的方式破坏数据，在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。

嫌疑人可能在系统上安装专门的程序，在满足特定条件下该程序自动清除相关证据。在现场勘查时要评估嫌疑人是否可能具备这一技术水平，如果这种可能性较大，要立即关闭计算机电源。在现场勘查中不应听从嫌疑人的建议实施操作，因为嫌疑人提供的操作方法有可能会导致证据损毁。

3 防止调查人员无意中破坏证据

如果电子设备（包括计算机、PDA 、移动电话、打印机、传真设备等）已经打开，不要立即关闭该电子设备。如果电子设备已经关闭，不要打开该电子设备。

计算机在长期不使用的情况下，显示器可能处在节电模式（黑屏状态），或者用户可能临时关闭显示器，而计算机确正在运行之中。在现场勘查时要观察显示器电源是否打开，

如果没有打开，打开显示器电源。如果屏幕处在黑屏状态，移动鼠标或者单击“Ctrl” 键以查看计算机是否处在运行状态。

如果计算机上应用程序正在运行，一般情况下暂时不要关闭。但禁止重新运行计算机上原有的任何应用程序。

如果打印机正在执行打印任务，不要停止该打印任务，让打印机将打印任务执行完毕。

如果嫌疑人正在编辑电子文档，不要直接保存该电子文档，必须将该电子文档另存到勘查人员自带的存储媒介。

如果发现非接触式智能卡，要注意避免将该智能卡放置在智能卡读写器临近。

如果发现调查人员无法识别的设备，要与相关的专家联系提供技术支持。如果未能获得专家支持，可以直接关闭电源，但不得尝试对该设备进行任何操作。

如果案件中需要提取指纹、DNA 等线索（比如嫌疑人刚离开作案现场）时，注意不要接触任何设备。如果现场情况紧急，而且数字化设备中存储的数据可能受到严重破坏，要优先提取数字化证据。

4 防止正在运行的系统破坏证据

如果操作系统正在实施整理硬盘、格式化硬盘、批量拷贝信息、批量下载信息、杀毒等可能大量访问存储媒介的操作，要立即终止这些操作。

如果数码摄像机正在摄像，要停止该数码摄像机，因为当前拍摄内容会覆盖以前存留的信息。

如果数码录音设备正在录音，要停止该录音设备，因为当前录音内容会覆盖以前存留的信息。

二：搜查证物

搜查证物的目的是发现所有可能与案件相关的证据和设备。在搜查证据时应依照以下原则：

1：检查与目标计算机互联的系统

现场勘查时要注意查看网络、电缆、电源等线路的连接走向，查看是否有通过这些线路连接到其它地理位置（比如房屋中隐蔽的角落或者隔壁的房屋）。

现场勘查时要注意查看是否有无线局域网或其它无线网络连接方式，如果有则必须了解这些无线连接方式可能覆盖的范围以及可能通过无线网络接入该目标网络的主机情况和人员情况。必要情况下要搜查可能通过无线局域网络接入到该目标网络的主机。

现场勘查时要注意检查系统是否通过调制解调器提供拨入服务，如果是则必须向嫌疑人了解该拨入服务器向那些客户提供拨入服务，拨入到该系统的电话号码是什么。

2：搜查数字化证据存储设备

由于存储设备体积可能很小，嫌疑人身上（比如衣服中）可能携带有重要的存储设备（比如存储卡等），在控制现场时

要优先搜查嫌疑人身上携带的设备，防止嫌疑人破坏这些证据。

搜查所有可能存储有数字化证据的设备，一般包括（不限于）计算机、PDA 、移动存储媒介（包括优盘、活动硬盘、ZIP 盘、软盘、光盘、存储卡，如SD 卡、CF 卡、记忆棒等）、移动电话、备份磁带、数码相机、数码摄像机、数码录音笔、智能卡、磁卡等。

3：外部设备的搜查

如果发现现场存在特殊的存储媒介（如特殊的存储卡）要注意搜查该存储媒介的读写设备。如果发现存储媒介的读写设备（比如存储卡或智能卡读写器、数字录音设备等），要注意搜查与该读写设备相关的存储设备。

如果存在针打打印机，并且嫌疑人的犯罪行为与打印信息有关（比如制作有害信息宣传品），要注意搜查打印机使用的色带（包括废弃的色带和当前使用的色带），色带上可能存留有最近打印的信息。

如果发现现场存在调查人员无法识别的设备，要搜查与该设备相关的说明书、软件、配套硬件（如电源等）和配套光盘。如果发现计算机上运行专用的软件，要搜查与该软件相关的说明书、软件狗、配套光盘、配套硬件等外部设备。

4：其它证据的搜查

调查中要注意搜查嫌疑人使用的笔记本、纸张等记录信息，