电子数据取证原则与流程20170519A
电子数据取证规则
电子数据取证规则近年来,因计算机技术的发展,电子数据在法律调查和诉讼中发挥着重要作用。
随着计算机技术的发展,人们越来越多地使用电子数据来储存信息,而电子数据取证技术也相应地得到了发展,成为司法机构不可缺少的一种技术工具。
一、定义电子数据取证是指由专业的取证人员运用专业的方法和技术,从电脑系统,存储设备,数据库或其它电子数据存储媒介上检索并取得案件有关以及重要线索的信息,以便数据分析或司法证明,在鉴定过程中提取、加工、存储等过程。
二、步骤电子数据取证通常是步骤较复杂并且耗时较长的过程,它分为三个步骤:1.取证准备:取证前,要进行严格的熟悉计算机环境、了解案件情况、准备取证器材、准备取证文件等;2.取证采集:在取证器材的帮助下,将案件当事人或者相关人员的磁盘或其它存储设备中的相关电子数据文件进行采集;3.取证处理:将取证采集的文件进行处理,对文件使用MD5等算法进行数字指纹校验,以便得到更可靠的证据;三、技术要求电子数据取证所需要技术要求有:1.备计算机系统安全知识,能够审查操作系统中的配置文件;2.悉计算机网络工作原理,能够审查网络系统配置文件;3.握外部设备、储存设备取证技术,能够审查外部设备中的数据;4.握电子数据分析的技术,能够分析电子数据文件;5.悉数字指纹算法,掌握数字指纹证据与案件信息的关联性;四、技术保护由于现在可以使用电子数据以及网络,因此,要保证电子数据取证质量,首先要采取有效的技术保护措施,确保取证过程中的数据完整、真实可靠。
1.强存储设备的保护措施:电子数据取证过程中,要求存储设备运行稳定,只有存储设备运行正常,才能保证取证的质量,因此,应该加强对存储设备的保护;2.强计算机系统安全:电子数据取证过程中,为了防止恶意破坏或攻击,应加强有关政策和规定,强化计算机系统安全;3.强取证技术:取证技术不断发展,应与时俱进,研究新的取证技术,开发新的取证工具,以提高现有的取证方法;4. 保护被取证的人的信息:电子数据取证过程中,除了取证必要的信息外,应当保护被取证的人的信息不被滥用;五、总结电子数据取证虽然过程复杂,但是十分重要。
电子证据的收集方法和措施
电子证据的收集方法和措施
电子证据的收集方法和措施是指在收集电子证据过程中需要遵循的一系列方法和步骤,以确保证据的完整性、可靠性和合法性。
以下是一些常见的电子证据收集方法和措施:
1. 搜索和获取数据存储介质:搜索和获取需要收集的电子证据所存储的数据存储介质,例如计算机硬盘、移动设备等。
2. 确保证据不被篡改:在收集过程中,应采取措施确保电子证据不被篡改,例如保持数据存储介质的完整性,使用安全的获取工具等。
3. 文档和记录整个收集过程:在收集过程中,应详细记录整个过程,包括收集的时间、地点、人员等信息,以确保整个过程的可跟踪性和可证明性。
4. 保护现场:在需要对电子设备现场进行收集时,应采取措施保护现场,避免任何操作对电子证据的损害或污染。
5. 保持证据的完整性:在收集过程中,应采取措施确保电子证据的完整性,例如制作数据镜像、计算和验证哈希值等。
6. 确保证据的可读性和可分析性:在收集的电子证据中,应确保数据的可读性和可分析性,以方便后续的取证、分析和检验。
7. 遵守法律和隐私规定:在收集过程中,应遵守相关的法律和隐私规定,尊重当事人的隐私权和合法权益。
8. 保护证据的备份和存储:在收集到电子证据后,应制作证据的备份并妥善存储,以备将来的审查和证明需要。
需要注意的是,电子证据的收集方法和措施可能会因不同的案件类型、司法管辖区等而有所不同,应根据具体情况进行合理选择和操作。
同时,如果不具备相关专业知识和技能,建议请专业人士参与和指导收集过程。
电子数据取证原则与步骤
电子数据取证原则与步骤电子物证检材提取有二种基本形式:提取硬件物证检材和电子信息物证检材。
如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物,或者是电子设备内含有大量与案件相关的信息,就有可能需要提取硬件作为物证检材。
在准备提取整台计算机作为检材时,应考虑同时提取该计算机的外围硬件,如打印机、磁盘驱动器、扫描仪、软盘和光盘等。
如果在案件中电子信息可能是用于证明犯罪的证据,或者电子信息是非法占有的,这时候电子物证检材提取的焦点是电子设备内的电子信息内容,而不是硬件本身。
提取电子信息物证检材通常有二种选择:复制电子设备储存的所有电子信息,或者是仅仅复制需要的电子信息。
选择哪种方式主要根据案件情况和侦查需要决定。
网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。
如果一个计算机网络涉及犯罪活动,电子数据证据通常分布在多台计算机中,应尽可能地提取所有硬件或网络中的电子信息作为物证检材。
提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验,一般需要由专业的电子物证专家完成。
不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。
第一节电子数据取证原则电子数据取证的原则:1.尽早地搜集整理证据,能够得到第一手的信息,并尽可能地做到取证的过程公正和公开;2.不要破坏或改变证据,尽可能少的改变系统状态,在不对原有物证进行任何改动或损坏的前提下获取证据;3.证明所获取的证据和原有的数据是相同的;4.在不改变数据的前提下对其进行分析;5.在取证时使用的软件应是合法的。
为此,在进行电子物证检验的过程中,要采取以下做法来保证原证据不被改变或损坏:1.尽早收集证据,以防原证据被改变或计算机系统状态被改变;2.对送检的材料采用专用的设备进行克隆,然后将原始介质作为证据保存,所有的检查都在副本上进行。
原证据创建副本时,必须是逐位复制的准确拷贝;3.如果需要浏览,要采用专用只读设备进行检查;4.原证据的副本克隆在适合供法庭使用的介质上。
现场勘察电子取证流程
现场勘察电子取证流程今天来唠唠现场勘察电子取证的流程。
一、到达现场。
咱到了现场啊,可不能慌慌张张的。
先得打量一下周围的环境,看看有没有啥特殊的情况。
比如说,有没有那种一看就很可疑的电子设备摆放位置,或者周围有没有啥干扰电子设备正常运行的东西,像大功率的电器之类的。
这时候啊,咱心里就得有个底儿了。
二、设备确认。
接下来呢,就是确认那些需要取证的电子设备啦。
这就像在一堆宝贝里挑出最关键的那几个。
电脑、手机、平板这些常见的肯定不能放过。
而且要仔细看看设备的状态,是开着的呢,还是关着的。
要是开着的,屏幕上有没有啥正在运行的奇怪程序。
要是关着的,也得小心,说不定里面藏着大秘密。
三、证据保护。
找到设备了,那保护证据可就是重中之重了。
就像守护自己心爱的小宠物一样。
对于正在运行的设备,咱可不能随便乱操作,万一不小心把重要的数据给弄没了,那可就糟糕透顶了。
要是设备已经关闭了,那也别轻易开机,得先检查一下有没有啥物理损坏,比如说有没有被摔过或者进水了之类的。
四、数据提取。
等证据保护好了,就该提取数据了。
这可是个技术活呢。
对于电脑,可能要用到专门的取证软件,从硬盘里把数据一点一点地揪出来。
手机也是一样的道理,不过手机的系统种类多,就更得小心谨慎了。
这过程就像是在小心翼翼地掏鸟窝,生怕把鸟蛋给弄破了。
五、数据存储。
数据提取出来了,可不能就这么乱放着呀。
得找个安全可靠的地方把它们存起来。
就像把宝贝放进保险箱一样。
一般来说,会用那种专门的存储设备,而且还得做好标记,注明是从哪个设备里取出来的数据,啥时候取的,这样以后查看的时候就清清楚楚的啦。
六、记录与报告。
最后呢,要把整个现场勘察和电子取证的过程详细地记录下来。
这就像是写日记一样,把自己看到的、做的都写清楚。
然后根据这个记录再写个报告,报告里要把重点数据、可疑的地方都指出来。
这可不光是为了交差,也是为了以后万一有啥问题,咱能有据可查呀。
宝子们,现场勘察电子取证的流程大概就是这样啦。
电子数据侦查取证程序
在搜查过程中,采取措施保护搜查到的电子数据,确保其完整性和 真实性。
扣押阶段
扣押电子数据
01
在搜查阶段结束后,对需要扣押的电子数据进行扣押,并制作
扣押清单。
存储电子数据
02
将扣押的电子数据存储在安全的地方,确保其不被篡改或丢失
。
对扣押物品进行标识
03
对扣押的电子设备或存储介质进行标识,并确保其安全存放。
06
电子数据侦查的未来展望与建 议
加强技术研发与应用
继续研发高效的电子数据取证技术
随着电子数据的种类和数量不断增加,需要进一步研发高效的电子数据取证技术,包括 数据挖掘、机器学习和大数据分析等技术。
推广应用智能辅助办案系统
通过人工智能技术,开发智能辅助办案系统,可以帮助侦查人员快速、准确地获取和分 析电子数据,提高办案效率。
案例四:网络传销案件的侦查
总结词
网络传销案件的侦查需要全面调查、重点打击,同时加强宣 传教育和综合治理。
详细描述
在侦查网络传销案件时,应全面调查、重点打击。通过勘验 、检查和鉴定等手段收集涉案证据,并依法追究相关人员的 法律责任。同时,需要加强宣传教育和综合治理工作,提高 公众对传销的识别能力和防范意识。
ห้องสมุดไป่ตู้
数字取证技术
数字痕迹收集
数据恢复技术
通过收集计算机系统中的数字痕迹, 如文件属性、系统日志等,可以推断 出发生过的事件。
通过数据恢复技术,可以恢复被删除 或格式化的数据,如聊天记录、邮件 等。
图像处理技术
通过对图像进行处理和分析,可以提 取出有用的信息,如时间戳、地理位 置等。
加密与解密技术
对称加密技术
分析阶段
浅谈电子数据取证的原则和鉴定的合法性
浅谈电子数据取证的原则和鉴定的合法性作者:高虎孙伟焜来源:《北极光》2016年第12期近年来,电子计算机和互联网技术得到迅猛地发展,渗透到了社会生活的方方面面,极大地改变了人们的生活方式。
电子计算机和互联网技术在为人们提供便利的同时,也成为了实施犯罪行为的工具。
网络诈骗、网络淫秽、网络赌博等新型涉网案件层出不穷;分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈;木马病毒、钓鱼网站等网络安全威胁有增无减。
网络犯罪手段和危害后果远超一般概念上的传统犯罪。
因此,电子数据取证作为网络安全的重要组成部分,在获取犯罪证据、打击网络犯罪方面起到了不可替代的作用,成为形式诉讼中不可缺少的证据。
电子证据,是以电子数据的方式保存,伴随着电子信息的普及而出现,并且能够在审判中证明案件真实情况的所有电子数据材料,也就是信息数字化过程中形成的以数字形式存在的能够证明案件事实情况的数据。
所有通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者储存在电子介质中的信息均为电子数据。
1991年,在美国召开的第一届国际计算机调查专家会议上,首次提出“计算机证据”(computer evidence)的概念,我国在2012年3月修订的《刑事诉讼法》第四十八条第八项,将“电子数据”与“视听资料”并列为一类证据类型。
2012年8月修订的《民事诉讼法》第六十三条第五项规定证据包括“电子证据”。
2014年12月修订的《行政诉讼法》第三十四条第四项规定证据包括“电子数据”。
从立法上,将“电子数据”明确为证据种类之一。
一、电子数据取证的原则2000年,计算机证据国际组织颁布了计算机取证的基本原则:取证过程必须符合规定和标准;获取电子证据时,不得改变证据的原始性;接触原始证据的人员应该得到培训;任何对电子证据进行获取、访问、存储或转移的活动必须有完整记录;任何人接触电子证据时,必须对其在该证据上的任何操作活动负责;任何负责获取、访问、存储或转移电子证据的机构须遵从上述原则。
电子数据取证原则与流程20170519A
(2)数据类型相对单一
网络环境的犯罪行为主要为网络入侵行为,决定了其入口较少,留存在数据类型明确的文件 中,例如日志。
(3)数据格式复杂化
不同的网络应用保存的数据格式不同,需要进行格式化再进行分析。同时,特殊的网络应用 可能会使用加密和特殊算法。
请各位同仁点评,谢谢!
6.密码破解
当找到的文件被密码保护,需要利用密码破解技术破解密码,以达到访问内容的目 的。
7.书签和记录找到的数据
对上述找到的文件和内容进行书签,以方便再次分析,同时也记录分析的动作,满 足司法需要。通过分析和关联书签的数据,形成证据链。
4、报告
电子数据取证的最后阶段,也是最终目的,是整理取证分析的结果,将其形成 “证据链”供法庭作为诉讼证据。 取证人员应当根据取证的原始记录,按照司法要求形成鉴定意见或者检验报告。 意见或报告里要体现犯罪行为的时间、地点、直接证据信息、系统环境信息,同时 要包括取证过程以及对电子数据的分析结果和报告。
2获取a在电子数据取证过程中主要从嫌疑人机器的文件中寻找犯罪证据然而有些重要的犯罪证据往往存在于嫌疑人机器的寄存器缓存或内存中这些证据包括当前登录的用户列表整个文件系统的时间日期戳当前运行着的进程列表当前打开的套接字列表在打开的套接字上监听的应用程序等这些数据往往被称为易失性数据系统关闭后这些数据便全部丢失且不可能恢复
三、典型的电子数据取证流程
2.网络环境电子数据取证
当前,网络环境下的电子数据取证相比于单机环境下的电子数据取证难度更高。由 于网络环境下的电子数据取证通常涉及多台计算机设备或者移动终端,该环境下的电子数 据取证呈现以下特点:
(1)数据量大
电子数据取证的法律程序与技术方法
电子数据取证的法律程序与技术方法随着科技的快速发展和互联网的普及应用,电子数据在我们的日常生活和商业活动中扮演着越来越重要的角色。
然而,与此同时,电子数据的安全性和可信度也面临着极大的挑战,而电子数据取证则成为了保护个人隐私、维护社会公正和打击犯罪行为的重要手段。
本文将重点讨论电子数据取证的法律程序与技术方法,并对其进行相关分析。
一、电子数据取证的法律程序电子数据取证在法律程序中扮演着至关重要的角色,它是调查取证的法律手段之一,对于维护公民权益、打击犯罪行为和解决纠纷具有重要的法律意义。
在国内,我国《刑事诉讼法》和《网络安全法》等法律法规对电子数据取证的程序作了明确规定。
首先,电子数据取证的程序包括侦查、搜索、查封、扣押、复制等环节。
侦查人员有权依法查封、扣押涉案电子设备,并依法进行数据提取和复制。
此外,侦查人员还可以依法要求电信运营商、网络服务提供商等配合进行数据提取。
其次,电子数据取证的程序需符合法律要求,确保合法性和证据完整性。
在电子数据取证的过程中,必须保证程序合法合规,遵守法律程序和相关规定,确保取证过程的可靠性和可信度。
最后,电子数据取证的程序需要保护个人隐私和商业秘密。
在实施电子数据取证的过程中,侦查人员应当严格遵守法律规定和相关保密制度,保护被调查人的合法权益,不得滥用权力侵犯个人隐私和商业秘密。
二、电子数据取证的技术方法除了法律程序之外,电子数据取证还需要借助一系列的技术方法和工具。
下面将介绍几种常用的电子数据取证技术方法:1. 数据采集与提取技术:数据采集与提取是电子数据取证的核心环节之一,它包括硬盘镜像、文件恢复、数据提取等技术。
通过将电子设备进行镜像或复制,可以保证数据的完整性和可靠性。
2. 数据分析与挖掘技术:在大量的电子数据中提取有用的信息并进行分析是电子数据取证的重要任务。
数据分析与挖掘技术包括文本分析、关联分析、数据可视化等方法,可以帮助侦查人员发现隐藏的线索和关联关系。
安全法对电子取证的规定
安全法对电子取证的规定随着信息技术的迅速发展和广泛应用,电子数据已经成为各种刑事和民事案件中重要的证据形式之一。
电子取证作为一种新兴的证据形式,已经受到广泛关注。
为了确保电子取证的有效性和合法性,我国于2017年6月1日出台了《中华人民共和国网络安全法》(以下简称“安全法”),该法对电子取证进行了规范和约束。
一、电子取证的定义根据安全法的规定,电子取证是指在刑事诉讼、民事诉讼和行政诉讼中,通过采集、保存、鉴定和呈现电子数据,以证明事件发生或者某个事实存在的一种方法。
电子取证的主要任务是保证证据的完整性、可靠性和可追溯性,确保取证过程的合法性和准确性。
二、电子证据的形式根据安全法的规定,电子证据主要包括电子数据、电子文书和电子文件。
其中,电子数据是指以电子方式存储的数据信息,如电子邮件、短信记录、通话记录等;电子文书是指以电子方式生成的书面文件,如电子合同、电子发票等;电子文件是指以电子方式保存的各类文件,如电子图片、电子音频等。
三、电子取证的程序安全法对电子取证的程序进行了详细规定,主要包括以下几个环节:1. 采集证据:电子取证的第一步是采集证据,包括获取被采集证据的许可或者授权;采用正确的技术手段提取电子证据,确保证据的完整性和准确性;记录电子证据的采集过程,留存相关的采证记录。
2. 保存证据:电子证据的保存是非常重要的环节,安全法规定,电子证据应当保存原始的电子数据、电子文书和电子文件,不得随意删除或修改;应当采用合规的存储设备和技术手段,确保证据的安全可靠;同时,应当保护证据的秘密性,防止证据被非法获取。
3. 鉴定证据:电子证据的鉴定是为了确定证据的真实性和可信度,安全法规定,电子证据的鉴定应当由具备相应资质的鉴定机构进行;鉴定过程中应当遵循科学、客观、公正、独立的原则;鉴定结果应当详细准确,有助于法院的判决。
4. 呈现证据:电子证据的呈现是将电子证据提供给法院或者其他有关机关使用的过程,安全法规定,当事人可以通过书面形式或者电子形式将电子证据呈现给法院;呈现的方式应当符合法律法规的要求,确保证据的完整性和可信度。
收集提取电子数据的一般流程
收集提取电子数据的一般流程(一)观察评估在收集提取电子数据之前,或面对某一存储电子数据载体时,取证人员要观察了解与取证目标相关的情况,并对取证情况进行初步的全面评估。
通过评估,确定取证重点、顺序,选择拟用的收集提取工具、方法,拟定取证方案。
在观察评估过程,具体会涉及以下内容:(1)检查准备工作是否妥当。
比如,现场环境是否了解透彻;取证难点能否克服;器材设备是否备好;相关法律手续是否履行;法律文书是否完备;见证人是否到位;遇到意外紧急情况该如何应对等。
(2)进一步了解案情。
比如,了解受害情况;受害人情况;犯罪嫌疑人情况;受害人计算机水平;犯罪嫌疑人犯罪手法;取证目标数据权限分配等。
(3)确定取证范围、目标。
明确多大范围内的电子数据载体应该收集提取;明确是否需要展开网络取证;明确是否需要收集提取基站数据;明确是否需要收集提取现场视频数据;明确现场中哪些电子设备、电子数据是需要收集的;明确现场中哪些传统痕迹、物品应连同电子数据一并提取。
(4)观察、了解取证目标。
观察取证目标所处环境,进一步了解目标情况。
了解取证目标是家庭单机,还是IDC机房服务器集群;了解是否涉及境外或异地远程电子数据取证;了解与取证相关的电子设备操作权限。
(5)确定取证人员。
在前期准备的基础上,根据取证人员的特长和取证任务要求确定两名以上取证人员具体取证。
(6)选定取证器材。
根据取证任务备好器材设备,如硬盘只读设备、复制设备、手机取证设备、信号屏蔽设备、备用电源、备用存储等。
(7)拟定取证方案。
根据现场环境、具体取证任务、器材、取证人员情况等拟定具体的取证方案,即应采用怎样的取证顺序?选择怎样的取证方法?(二)固定获取存储电子数据的载体是十分复杂的。
电子数据不仅存在于单独的文件中,还会存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲硬盘空间、打印机缓存、网络数据、用户进程存储、堆栈、文件缓冲区、文件系统本身等不同的位置,电子数据遍布存储介质。
电子取证流程
电子取证流程电子证据,是指在计算机或计算机系统运行过程中产生的,以其记录内容来证明案件事实的电磁记录物。
以下是小编为您整理的电子取证流程,希望对您有帮助。
电子取证流程如下一、电子取证的操作流程(1)受理案件调查机关在受理案件时,要详细记录案情,全面地了解潜在的与案件事实相关的电子证据材料,如涉案的计算机系统、打印机等电子设备的情况,包括系统日志、IP地址、网络运行状态、日常设备软件使用情况、受害方和犯罪嫌疑人的信息技术水平等。
(2)保护涉案现场取证人员进入现场后,应迅速封锁整个计算机区域,将人、机、物品之间进行物理隔离;保护目标计算机系统,及时维持计算机网络运行状态,保护诸如移动硬盘、U盘、光盘、打印机、录音机、数码相机等相关电子设备,查看各类设备连接及使用情况,在操作过程中要避免任何更改系统设置、硬件损坏、数据破坏或病毒感染等情况的发生,以免破坏电子证据的客观性或造成证据的丢失。
(3)收集电子证据由于电子证据的脆弱性,在证据收集过程中,应当由调查人员或是聘请的司法鉴定专家检查硬件设备,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不被修改或损毁。
之后对原始存储介质进行备份,在备份过程中,应当使用安全只读接口,使用写保护技术进行操作,备份结束后检查备份文件是否与原文件一致,注意在此过程中需要进行全程录像并要求有第三方现场见证,以保证电子证据的客观真实性。
(4)固定和保管电子证据在对计算机中的资料和数据进行备份过程后,应当及时记录各设备的基本信息、备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。
在存储电子证据时,必须按照科学方法保全,要远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。
还要注意防磁,特别是使用安装了无线电通讯设备的交通工具运送电子证据时,要关掉车上的无线设备,以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。
电子物证取证法律规定(3篇)
第1篇一、引言随着信息技术的飞速发展,电子数据在日常生活和司法实践中扮演着越来越重要的角色。
电子物证作为一种新型证据形式,其取证法律规定对于保障司法公正、维护当事人合法权益具有重要意义。
本文旨在梳理我国电子物证取证法律规定,为相关实践提供参考。
二、电子物证的概念及特征(一)电子物证的概念电子物证是指以电子数据形式存在的证据,包括但不限于电子文档、电子邮件、手机短信、社交媒体信息、网络聊天记录等。
电子物证具有以下特点:1. 存储形式:以数字形式存储在电子设备中,如硬盘、光盘、U盘等。
2. 可复制性:电子数据可以轻松复制、修改,但修改痕迹往往会被保留。
3. 易篡改性:电子数据容易被篡改,修改痕迹不易察觉。
4. 证据链脆弱:电子数据在传输、存储、处理过程中,可能因人为或技术原因导致证据链断裂。
(二)电子物证的特征1. 真实性:电子物证反映的是客观事实,具有客观性。
2. 完整性:电子物证在取证过程中应保持完整,不得遗漏关键信息。
3. 可靠性:电子物证应具有科学性,通过合法手段获取,确保其真实、完整、可靠。
4. 可查性:电子物证应便于查询、检索,以便在司法实践中发挥作用。
三、电子物证取证法律规定(一)电子物证取证原则1. 依法取证原则:取证活动必须符合法律规定,尊重当事人合法权益。
2. 客观、全面原则:取证应客观、全面,确保电子物证的真实性、完整性。
3. 及时、准确原则:取证应及时、准确,防止电子物证被篡改、丢失。
4. 保护隐私原则:在取证过程中,应保护当事人隐私,不得泄露敏感信息。
(二)电子物证取证程序1. 证据保全申请:当事人或检察机关可向人民法院申请证据保全。
2. 法院审查:人民法院对证据保全申请进行审查,决定是否采取保全措施。
3. 取证实施:人民法院指派专业人员或委托第三方机构进行电子物证取证。
4. 取证报告:取证完成后,出具取证报告,详细记录取证过程、取证结果。
5. 证据提交:将电子物证及取证报告提交给人民法院。
电子数据取证操作规范
电子数据取证操作规范
一是内容要素要齐全。
包括勘验检查的人员、对象、地点、起始时间、方式、目的、经过、结果及案由等基本信息,标明是首次还是补充勘验检查。
发现的重要线索和证据,可以通过拍照、截图等方式附在勘验笔录中。
最后形成的勘验检查笔录由勘验检查人员和见证人签名或盖章。
二是过程记载要全面。
包括勘验检查过程中使用的软硬件设备的基本信息、运行状态,比如设备型号、屏显内容、设备间连接关系等。
数据提取、存储、检查、完整性校验的操作过程,也要根据实际操作顺序翔实反映在勘验检查笔录中。
三是主要结论要精准。
要能够客观准确地反映电子数据的真实情况,主要记录提取出的信息内容、完整性校验值等,并对数据逻辑性关系进行审查。
要求语言规范、不加评论,比如分析或推测出来的可能性结论就不能记录。
电子数据证据的认定、取证及审查
电子数据证据的认定、取证及审查根据2012年新刑诉法规定,电子数据证据成为新一类证据形式,此举奠定了其在刑事诉讼法中的独立地位。
随着电子商务的发展,电子证据的种类及内涵都在不断扩展,电子证据的证明力必将不断增强,司法机关对电子证据的取证及审查也必将面临新的挑战。
笔者结合司法一线工作实践,浅谈电子数据证据的认定、取证及审查,希望广大读者批评指正。
标签:电子数据证据认定取证审查为进一步完善我国司法制度,适应当今社会网络科技的发展、电子商务的普及、新媒体产业的兴起,新刑诉法第48条第2款规定,证据包括“视听资料、电子数据”,使电子数据证据单独成为一类证据形式。
本文将结合司法工作实践浅谈电子数据证据的认定、取证及审查。
一、电子数据证据的认定电子数据证据指基于计算机应用通信和现代管理技术等电子化技术手段形成的,能够证明案件事实的电子数据,包括文字、凸显符号、字母等内容的客观资料。
简而言之,证明案件事实的电子数据即为电子证据。
对电子数据证据立法定位之前,无论是理论界还是司法工作实践中多将电子证据划为视听资料。
电子证据和视听资料都需要一定的载体,且都易更改、易灭失,感观上它们应该是一类的,但二者表现形式仍有不同。
最高人民检察院在其颁行的《关于印发检察机关贯彻刑诉法若干问题的意见的通知》中规定:“视听资料是指以图像和声音形式证明案件真实情况的证据。
包括与案件事实、犯罪嫌疑人以及犯罪嫌疑人实施反侦查行为有关的录音、录像、照片、胶片、声卡、视盘、电子計算机内存信息资料等。
视听资料特指录音录像形式证明案件事实情况的资料。
具有客观真实性强、直观形象的特征。
从视听资料的定义来看,“计算机内存信息资料”是视听资料证据的组成部分,可这并不能囊括全部电子证据形式,电子证据至少还应包括“电子计算机生成的资料”。
电子数据证据不像视听资料仅以所记载的声音或影像对案件事实单纯的进行再现,而是要通过重组以达到有序的排列从而达到证明目的,计算机的后台工作记录及其他电子化设备的电子资料也在电子数据证据范畴内。
电子技术取证的主要流程及技术方法
电子技术取证的主要流程及技术方法下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!电子技术取证的主要流程及技术方法引言随着信息化时代的到来,电子数据在我们生活和工作中占据着越来越重要的地位。
电子数据取证应遵循的原则
电子数据取证应遵循的原则修改后的刑事诉讼法第四十八条将电子数据新增为法定证据种类之一。
与传统证据形式相比,电子数据的特性决定了其取证过程既要遵循合法性、及时性和全面性等一般原则,也要遵循某些特定原则,以确保所获取电子数据证据的证据效力和证明力。
1.合法性原则。
一是主体合法,即电子数据取证工作必须由侦查人员主导,由相关技术人员协助配合予以进行。
二是程序合法,即应依法收集、存储、传递、出示电子数据证据,并载明其形成的时间、地点、制作人、制作过程及设备情况等,必要时需配备见证人员。
三是来源合法,即电子数据所依附存储介质和设备获取的合法性。
2.及时性原则。
由于电子数据具有唯一性,一旦灭失便难以恢复,及时取证要求在电子数据收集过程中显得尤为突出。
3.全面性原则。
电子数据取证过程必须全方位、多角度、多层次地进行,不能因疏忽而遗漏任何与案件事实相关联的电子数据,以进行相互印证、排除矛盾并形成完整的证据链。
4.专业性原则。
基于电子计算机和信息技术而存在的电子数据,无法完全依靠传统刑事证据收集技术,为了保证电子数据证据的证明力,应在侦查人员主导下,由专业技术人员借助专门设备和技术手段,遵循一系列专业操作规范对相关电子数据进行提取和固定。
5.无损性原则。
收集、固定电子数据的过程应避免不当操作,始终确保涉案设备和运行环境的一致性,对存储介质的保存应远离磁场、高温、灰尘、潮湿的环境,避免造成电磁介质数据丢失,确保电子数据的无损状态。
(新蔡县检察院熊志强徐俊峰)作者:新蔡县检察院熊志强徐俊峰修改后的刑事诉讼法第四十八条将电子数据新增为法定证据种类之一。
与传统证据形式相比,电子数据的特性决定了其取证过程既要遵循合法性、及时性和全面性等一般原则,也要遵循某些特定原则,以确保所获取电子数据证据的证据效力和证明力。
1.合法性原则。
一是主体合法,即电子数据取证工作必须由侦查人员主导,由相关技术人员协助配合予以进行。
二是程序合法,即应依法收集、存储、传递、出示电子数据证据,并载明其形成的时间、地点、制作人、制作过程及设备情况等,必要时需配备见证人员。
电子数据取证
电子数据取证成为信息安全产业的新引擎计算机和网络技术的迅速普及大大改变了人们的生活和生产方式,人们在享受计算机和互联网所带来的便利的同时,也面临着大量有关电子数据的安全问题,如网络信息窃取、木马病毒、网络色情、网络诈骗等等。
计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件,不法分子不但可以将计算机等电子设备做为违法犯罪的目标,而且也可以将其做为实施违法犯罪的工具,所造成的危害也越来越大。
近年来在西方一些发达国家,计算机犯罪每年都在翻番,成为十分严重的社会问题。
据报道美国计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿至上百亿美元。
英国、德国在这方面的年损失也达几十亿美元。
为了对付计算机犯罪,美国去年在网络保安工作上花费了60亿美元,英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。
我国于1986年首次发现计算机犯罪案件,进入90年代,随着我国计算机应用和普及程度的提高,涉及电子数据的违法犯罪案件呈迅猛增长态势,涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。
据公安部公布的信息显示,2005年,我国刑事案件的数量为4,648,401件,2006年为4,744,136件,2007年为4,807,517件,每年呈递增趋势。
据统计,这些案件中有50%的案件涉及计算机系统或网络中的电子数据,每年就有超过240万起案件需要进行电子数据取证,这里还不包括民事案件的数量。
随着社会信息化水平的提高,涉及电子数据的案件在总案件中的比例还将不断提高。
如何防范侵害计算机及网络系统中的电子数据的行为,获取与之相关的电子证据,将不法分子绳之以法,已成为司法和计算机科学领域中亟待解决的重要课题。
作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。
与传统的指纹、笔迹、DNA等取证对象所不同的是,电子数据取证的对象是虚拟空间的电子数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这个流程适用于电子数据取证的各个环节,包括侦查、勘验和电子数据检验鉴定。 其中,评估属于侦查阶段,获取在勘验阶段,分析贯穿于勘验和鉴定检验阶段,报告属于 鉴定检验阶段,整个流程中需要实时记录所有动作,以便证据具备效力和过程可以回溯。
6.密码破解
当找到的文件被密码保护,需要利用密码破解技术破解密码,以达到访问内容的目 的。
7.书签和记录找到的数据
对上述找到的文件和内容进行书签,以方便再次分析,同时也记录分析的动作,满 足司法需要。通过分析和关联书签的数据,形成证据链。
4、报告
电子数据取证的最后阶段,也是最终目的,是整理取证分析的结果,将其形成 “证据链”供法庭作为诉讼证据。 取证人员应当根据取证的原始记录,按照司法要求形成鉴定意见或者检验报告。 意见或报告里要体现犯罪行为的时间、地点、直接证据信息、系统环境信息,同时 要包括取证过程以及对电子数据的分析结果和报告。
2.确定取证的人员。
按照人员的不同专业特长,配备符合实际需要的取证人员。根据相关要求,无 论是现场勘验还是检验鉴定,都需要两人以上。
3.确定使用的取证设备。根据取证要求,挑选适合的取证设备,尽量做到有冗余。 4.确定取证目标,决定哪些设备和数据应该被获取。如硬盘、U盘、照片、图表、 文档、数据库等。如果进行现场取证,还获取案件有关的额外信息。例如,电子 邮箱账号、地址;ISP登录用户名;网络拓扑;用户、系统日志;用户名、密码 等。
(1)查看文件信息
例如文件名、文件大小等信息以及其他关联文件信息;确定关联文件的数量和类型。例如, IE历史访问记录关联的下载文件。
(2)检查文件内容 (3)检查文件元数据
通过分析文件数据结构,提取文件中隐含的数据。例如图像文件中的GPS定位信息。
3、分析
5.数据恢复
数据恢复技术是对已删除的、丢失的数据进行恢复,嫌疑人通过计算机进行犯罪后, 往往将计算机中可以反映或证明自己犯罪行为的数据删除掉,甚至对硬件设备进行损坏, 用于摧毁犯罪证据、掩盖犯罪事实。 数据恢复可以恢复删除文件、文件松弛区(Slack)和未分配空间中的数据。
3、分析
分析是电子数据取证的核心和关键,分析涵盖了所有取证技术,是最体现取证 人员取证能力的环节。 分析的内容包括系统信息、文件信息、长信息等多种信息。黑客入侵案件还有 进行功能分析,例如远程控制和木马程序的功能和危害程度等。
不同类型的案件需要不同的分析方法,典型的分析过程(步骤)主要包括:
1.获得取证目标的基本信息
电子数据取证原则与流程
河南开合软件技术有限公司
20170519
一、电子数据取证的基本原则
1.取证流程符合国家和地方的法律法规,从事取证的执法人员得到法律的授权。
2.必须采取完全可靠的取证方法来保证电子数据的完整性、连续性。作为证据使 用的电子数据被正式提交给法庭时,必须能够说明在数据从最。
2、获取
电子数据取证原则上不允许在原始存储介质上直接进行分析比如硬盘。即使提 取原始物证,例如硬盘、U盘,也要求对其进行写保护的前提下进行分析。对于手机 等移动设备,要求可回溯,记录过程。目前电子数据取证更倾向使用获取,在获取 的镜像和数据上进行分析。
写保护(只读),是获取和分析电子数据的前提。写保护对于电子数据取证, 主要有以下作用:
(B)易失性数据通常需要根据受害系统的性质和安全管理的政策规定来决定是让可疑计算机 继续运行以进行易失性证据的获取,还是立即拔掉电源或者进行正常的关机过程。比如在互 联网入侵案件中,如果未对计算机取得镜像之前切断网络或关机,就可能毁掉入侵者的登陆IP、 内存中运行的程序信息等有用证据。 (C)收集易失性数据的基本步骤:
a.运行可信的程序; b.记录系统时间和日期; c.确定登录信息(包括远程用户) ; d.记录所有文件的创建、修改和访问时间; e.确定打开的端口;
2、获取
f.列出与打开端口相关的应用程序; g.列出所有正在运行的进程; h.列出所有当前和最近的连接; i.再次记录系统时间和日期。
1.镜像获取
镜像获取是对源存储介质进行逐比特位的复制,可以提取到所有的数据内容, 需要分析的时间也最长。取证意义上的获取必须是对原始驱动器每一个比特的精确 镜像。因为一般的备份程序(例如Ghost)只能对单个的文件系统做备份,他无法捕 获松弛区、未分配空间及Swap文件。
2.数据获取 (1)文件获取
1、评估
电子数据取证可能在固定环境(实验室)或者移动环境(现场)中进行。无论 哪种环境,在评估阶段,电子数据取证人员需要获得以下授权和信息: 1.获得法律授权。 取证需要履行相关的审批手续,在符合法律要求的前提下方可以行动。
2.案件信息和嫌疑人信息。
案件信息有利于取证人员判断嫌疑人的行为动作。通过判断嫌疑人的计算机水 平,有助于判断是否有数据隐藏、加密、删除等损害证据的行为。
三、典型的电子数据取证流程
1.单机环境电子数据取证
单机环境电子数据取证主要是指从存储电子数据的介质中获取、分析电子数据证据 的过程。存储电子数据的介质不仅限于计算机存储介质,还应该包括各种可以存储数据的 电子设备,如移动存储器(例如U盘)、移动终端(例如手机、平板电脑)等。 单机环境电子数据取证具有以下特点:
某些案件中,仅仅需要获取特定的文件。例如,黑客入侵案件中,重点要获取各种日 志文件,例如Web日志、系统日志等,以及网站文件及其数据库。文件获取利用文件 属性和文件签名技术,可以快速地过滤和搜索到特定的文件,通过写保护的方式,将 文件提取到外置存储器上。
2、获取
(2)易失性证据获取
(A)在电子数据取证过程中,主要从嫌疑人机器的文件中寻找犯罪证据,然而有些重要的犯 罪证据往往存在于嫌疑人机器的寄存器、缓存或内存中,这些证据包括当前登录的用户列表、 整个文件系统的时间/日期戳、当前运行着的进程列表、当前打开的套接字列表、在打开的套 接字上监听的应用程序等,这些数据往往被称为易失性数据,系统关闭后这些数据便全部丢 失且不可能恢复。
三、典型的电子数据取证流程
2.网络环境电子数据取证
当前,网络环境下的电子数据取证相比于单机环境下的电子数据取证难度更高。由 于网络环境下的电子数据取证通常涉及多台计算机设备或者移动终端,该环境下的电子数 据取证呈现以下特点:
(1)数据量大
网络环境的电子数据往往分散保存在电子设备中,更有可能是云存储。这就决定了分析的数 据量巨大。
关键词搜索不依赖文件系统,设置的关键词以二进制的形式,在介质中进行遍历, 直到命中结果。关键词搜索往往可以搜索到删除文件、文件松弛区(Slack Space)和未 分配空间(Unallocated Space)的关键词,以达到找到数据的目的。
4.文件分析
针对过滤或者查找到的文件的信息和元数据进行分析,主要关注以下方面:
(2)数据类型相对单一
网络环境的犯罪行为主要为网络入侵行为,决定了其入口较少,留存在数据类型明确的文件 中,例如日志。
(3)数据格式复杂化
不同的网络应用保存的数据格式不同,需要进行格式化再进行分析。同时,特殊的网络应用 可能会使用加密和特殊算法。
请各位同仁点评,谢谢!
1.写保护符合电子数据“原始性”的要求。通过写保护,取证过程中的任何操作 都不会影响电子数据,保证获取和分析的电子数据的可靠性。 2.写保护符合“非法证据排除”的要求。通过写保护设备,任何人员,包括电子 数据取证人员,在监管的前提下,无法向存储介质写入数据。
2、获取
获取主要分为镜像获取和数据获取。
3.从事取证的执法人员必须经过专业的培训。
4.任何针对数据的获取、存储、运输、分析检查的活动都必须记录在案,存档待 查。
5.取证人员应该配备符合要求的取证工具。
二、电子数据取证的流程
1.评估:电子数据人员应该针对工作作出全面的评估,以决定下一步采取的行动。
2.获取:电子数据必须保存于原始状态中,它防止被不正确的处理方法所影响、 损坏或者被删除。
基本信息包括系统类型,账户信息、安装时间、关机时间等。基本信息可以为电子 数据取证人员提供目标的一个基本状况,为下一步的取证工作打下良好基础。
2.文件过滤
文件过滤依赖于操作系统、文件系统和应用程序。利用文件属性,例如M-A-C时间、 后缀名、逻辑大小、物理大小等属性信息进行过滤。
3、分析
3.关键词搜索
(1)数据保存在相对稳定的环境中
电子数据存储在单独的电子设备中,不容易受到其他因素的影响,获取和分析相对比较容易, 能够提取出完整的数据。
(2)人机关联
单机环境中,嫌疑人往往在场,因此对于电子数据与嫌疑人进行确定有比较充分的证据。
(3)取证的难度较低
对于单机存储的分析,时间要求不是很紧迫,可以利用多种取证工具,进行详细的挖掘。
3.电子数据存储的环境。
是保存在固定设施中还是保存在虚拟空间中,你确定属于单机取证还是网络取 证,还是二者兼有。
1、评估
获得以上信息后,可以根据情况进行取证的相关准备,包括:
1.制定取证策略。
按照取证的对象决定取证的方法、预案、取证顺序。包括是否需要与传统取证 方式配合,如DNA、痕迹等,以免毁灭证据。