计算机取证与司法鉴定流程

计算机取证与司法鉴定流程

一、法律依据和鉴定要求

进行计算机取证与分析鉴定，必须严格按照法律依据，紧密围绕鉴定要求。例如分析鉴定“熊猫烧香”案件，整个鉴定意见是按照刑法286条的相关内容“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，按照第一款的规定处罚”来制作的，主要从“故意制作”和“故意传播和非法营利”来分析和提供证据。

二、鉴材的接收与克隆

为了在鉴定过程中不破坏和修改硬盘原有数据的完整性，通过硬盘复制机将鉴材硬盘中的内容复制到备份硬盘中。

使用克隆件来进行计算机证据鉴定，注意加上数字签名和MD5校验，以证明原始的计算机证据没有被改变，并且整个鉴定过程可以重现。证据分析过程中不得故意篡改存储媒介中的数据，对于可能造成数据变化的操作需要记录鉴定人员实施的操作以及可能造成的影响。

三、制定鉴定方案

根据案情的特点，制作详细的计算机证据鉴定计划，以便有方法、有步骤地对计算机证据进行鉴定。可以利用提取的电子证据来综合分析并确定罪犯之间相互关联的犯罪动机、行动、相互作用和时间安排。在不同的计算机犯罪现场汇总起

来的电子证据可以用来推断犯罪嫌疑人在何时、何地、采用何种方式做了什么事情。

四、分析鉴定

1、空间性分析：在犯罪分子的整个犯罪事件活动中，由于涉及多个犯罪现场、犯罪的参与程度的不同等方面，根据计算机以磁盘为中心的鉴定分析一般无法说明犯罪的全部活动，因此需要将涉及嫌疑人的相关电子证据进行融合推理分析。

2、功能性分析：用来揭示犯罪嫌疑人的犯罪过程。

3、时间性分析：用来确定某一时间段事态的证据，帮助识别时间的顺序和事件的即时模式。

4、相关性分析：用来确定犯罪的组成、它们的位置和相互关系。

5、结构分析和粒度分析：一般而言，结构和粒度越大，分析越简单，结构和粒度越小，分析越需要技术和设备。

6、数据分析和代码分析：扫描文件类型，通过对比各类文件的特征，将各类文件分类，以便搜索案件线索，特别要注意那些隐藏和改变属性存储的文件，里面往往有关键和敏感的信息。

五、鉴定结论和出庭

制作计算机证据鉴定意见，要对证据提取、证据分析、综合评判等每个程序都要做详细、客观的审计记录。

证据部分只提交作为证据的数据，包括从存储媒介和其他电子设备中提取的计算机证据、分析生成的计算机证据及其相关描述信息。

能够转换成书面文件并可以直观理解的数据必须尽量转换为书面文件，作为鉴定意见的文本附件。不宜转换为书面文件或无法直观理解的数据以计算机证据的形式提交作为鉴定意见的附件。