浅论电子取证的方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

浅论电子取证的方法电子证据,是指由计算机设备储存的,经法定程序作为证据收集固定的数据信息。电子证据,除具备一般证据属性外,还具有多重性、可修改性、可灭失性和技术性特点。随着计算机被广泛应用,计算机存储设备所储存的数据信息已逐渐成为诉讼证据的一个重要来源,在取证工作中,如何搞好电子证据的收集、固定工作就成为迫在眉睫的主要问题。一、电子证据的重要性及取证的要求电子证据,除具备一般证据的客观性和合法性外,还有以下几个特点:1、证据属性的多重性。由计算机提供的电子证据具有视听资料、书证、物证等多重证据意义。电子证据的视听资料意义,是指电子证据能够通过计算机输出的画面、声音来证明案件事实,例如:影视画面可以证明历史现场情况,声音则可以证明谁在什么场合说了什么话等;电子证据的书证意义,是指电子证据能够通过计算机输出的文字、数字及符号的内容来证明案件事实,例如:电子书信、软件、电算化资料等;电子证据的物证意义,是指电子证据能够以其被储存的位置、方式以及载体的外观形象来证明案件事实,例如:电子证据被储存在不同文件夹中,可以证明存储者对计算机文件的理解、使用意图,电子证据被储存在计算机硬盘中或是被储存在软盘、光盘、磁带中将会证明这一证据文件的是否被拷贝等事实,软盘、光盘等电子证据载体的外观形象,可以证明其是否受到物理破坏的事实。电子

证据属性的多样性,要求取证人员在收集电子证据时,要注意到电子证据的不同证据意义。在固定电子证据时,应当根据案件侦查需要及电子证据的用途,采取相应的证据固定方法,例如:仅需要电子证据的书证意义时,只将电子文件打印成书面文件即可;而如果需要其视听资料意义时,则应当采用拷贝、拍摄等方法进行固定。2、证据内容的可修改性。计算机储存的信息是可以被修改的。电子证据可修改性有两层含义:一是,数据信息在被作为证据固定前可能已被修改,因而当其被作为证据固定时,其内容已发生变化,造成所取证据的失真;二是,采用拷贝方式收集

的电子证据,从证据固定到使用的过程中,也可以被修改,造成其在被使用时的内容与原证据内容不符。同时,实践中由于存在着后一种可修改性,在庭示证据时辩方会就证据是否被修改提出质疑,而控方如提不出未进行修改的证据,则法庭会不采信该证据。电子证据内容的可修改性,要求取证人员在收集和固定电子证据时,一是要注意收集和固定有关数据信息形成时间方面的证据,如计算机中有关该文件形成时间的记录,与其他有关该信息形成时间的证据进行比较,确认该数据信息是否被修改过;二是

注意对电子证据内容的现场固定,如通过现场录像、现场打印等方式进行可视性固定。另外,电子证据被作为视听资料使用前,检察人员应当注意对电子证据内容的审查,防止在出庭时出现差错。3、证据内容的可灭失性。计算机储存的信息会因人为删盖、病毒感染、物理破坏等原因灭失。电子证据的可灭失性,要

求取证人员在收集和固定电子证据时,一是一但发现电子证据,应当立即收集,防止证据被毁灭;二是在计算机中未发现原有文件时,应当及时通过电子证据专业技术人员查找原因,判明能否恢复;三是尽量采用现场打印的方法收集电子证据;四是如果采取拷贝方法收集电子证据,应当现场检查拷贝质量,防止因拷贝了病毒等原因打不开所收集到的计算机文件;五是存放和使用存有拷贝证据的软盘、光盘、磁带时应当注意安全,例如,存放时应当远离强磁场,使用时应当注意计算病毒的检测。4、证据的技术性。电子证据的技术性主要表现为:①计算机储存的信息是通过特殊技术方法形成的;②很多情况下,发现、收集、固定和使用电子证据需要一定计算机技术;③数据信息中的软件能够以其特定的技术性语言来证据案件事实。电子证据的技术性,要求取证人员应当了解或通晓计算机技术,以便于及时采取相应的技术方法收集证据,调查案情。电子证据的技术性,还要求在涉及与软件的制作、使用等专门性问题时,应指派或聘请专业技术人员进行鉴定。二、如何对电子证据进行取证(一)电子证据的简单取证。如有不需要专业技术人员协助进行的数据证据的收集和固定活动是简单取证。对不涉及计算机使用或维护人员的案件,可以采取简单取证程序收集和固定电子证据。取证时,首先由提供证据单位的计算机操作人员打开计算机,查找所需收集的证据。当找到证据时,取证人员应当通过显示器观察和确认该文件的形成时间。然后由操作人员打开文件,由取证人员确认该文件系所

要收集的证据后,采用相应的方式予以提取固定。在查找证据过程中,如遇文件找不到或打不开等问题,应及时通知电子证据专业技术人员予以协助。常用的固定电子证据的方式,有打印和拷贝两种。通常情况下应当采用打印方式,或两种方式同时使用。只有在文件较多不方便现场打印的情况下,才可以单独使用拷贝方式。采用打印方式取证,是将计算机文件打印到纸张上。打印文件时,取证人员必须现场监督打印过程,防止计算机操作人员在打印过程中修改文件。打印完毕后,可以按照书证的固定方法,予以固定,但应当注明数据信息在计算机中的位置(如存放于那个文件夹中等)。采用拷贝方式取证,是将计算机文件拷贝到软盘、光盘中。取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查。首先进行病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先消毒,后打开文件检查。无论采取那种取证方式,在固定证据后,应当现场制作检查笔录。检查笔录主要记载电子证据的收集和固定情况。包括:①案由。②参加检查的人员姓名及职务。③检查的简要过程。主要包括检查时间、检查地点及检查顺序等。④检查中出现的问题及解决方法。⑤取证方式及取证份数。⑥参与检查的人员签名。⑦提供电子证据人员签名。(二)电子证据的复杂取证。如有需要专业技术人员协助进行的电子证据的收集和固定活动就是复杂取证。对涉及计算机使用、维护人员的犯罪案件,就应当采取复杂取证程序收集和固定电子证据。1、现场检查与现

场访问,首先由计算机专家检查硬件设备,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不被修改或损毁。与此同时,侦查人员应当询问计算机使用或维护人员下列问题:⑴有无为计算机设置密码及密码的组成。⑵计算机的软件情况:①已使用的软件有哪些;②软件的来源,如软件是购买的还是自行设计的等;③软件的维护情况,例如:由谁负责软件的维护、调整,对软件作过哪些修改等。⑶计算机的使用情况:①如何进行计算机的日常管理;②谁能够打开并使用计算机;③计算机是否出现过影响或可能影响文件质量的故障(如病毒感染等),故障是如何解决的。⑷案件所涉及的资料存放于存储设备的什么位置,有无备份。对计算机使用者拒绝提供密码的情形,可考虑由计算机专家解密,但由于解密工作可能会对计算机储存的资料造成损害,因而在做出这一决定时,应当十分慎重。检查计算机文件时,计算机专家应当注意对隐蔽文件的查找。有备份的,应由计算机专家同时检查备份文件,查明备份文件与原文件是否一致。2、提取证据按照前述方法打印和拷贝计算机文件,固定电子证据。如发现在备份文件与原文件不一致时,应当同时提取备份文件。3、电子证据内容涉及电算化资料的,应当由会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由会计专家现场对电算化软件进行数据测试(侦查实验)。经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。4、制作检查笔录除前述检

相关文档
最新文档