计算机取证常见问题

计算机取证常见问题

计算机取证常见问题

1根据现行法律规定及司法实践活动，对于数字证据的来源应审查些什么？

（1）数字证据的来源是否是客观真实的存在，而不是主观臆断的产物。

（2）数字证据收集的主体，时间，地点，过程，对象等是否合法。

（3）数字证据的内容是否真实反映案件事实。

（4）数字证据是否为在正常运行的计算机等设备在正常工作中形成的。

（5）数字证据是否被用户非法输入和控制。

（6）自动生成数字证据的计算机程序是否产生了故障。

2对于数字证据的保全可采用什么样的方法？（1）凡是将可擦写的原始软件和查获的媒体作为证据的，为了保证其证据的不可变性，应当在现场对所有原始的软件和查获的媒体采取写保护措施，并由现场见证人和当事人签名（盖章）并按指印。

（2）勘查中发现的一切有用证据都要及时固定按照有关规定要求拍摄现场全过程的照片和录像，制作《现场勘查笔录》及现场图，并记录现场照相和录像的内容，数量及现场图的种类和数量。

3）用打印输出的方式将计算机证据进行文书化，打印后表明提取时间，地点，机器，提取人，见证

人，在计算机证据文书化后，统一在文书材料右

上角加盖印章并逐项填写。

4）电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份，作为证据使用的电子

数据存储介质应记明案由，对象，内容，录取，

复制的时间，地点，规格，类别，存储容量，文

件格式等，并复制两个以上的电子数据备份。

5）妥善保管存储电子数据证据的介质，远离高磁场，高温环境，避免静电，潮湿，灰尘，挤压和

试剂的腐蚀，应使用纸袋装计算机元件或精密设

备不能使用塑料袋防止静电消磁，证据要集中保

存，以备随时重组试验或展示。

3根据DFRWS 框架，从取证过程的角度取证技术分为哪几类？

（1）识别类（判定可能与断言或与突发事件时

间相关的项目（Items ），成分

（Components ）和数据。）

（2）保存类（保证证据状态的完整性，该类技术处理那些与证据管理相关的元素。）

（3）收集类（提取（Extracting ）或捕获（Harvesting ）突发事件的项

（Items ）及其属性（或特征）。）

（4）检查类（对突发事件的项（Items ）及其属性（或特征）进行仔细地查看。）

（5）分析类（为了获得结论而对数字证据进行融合，关联和同化。）

（6）呈堂类（客观，有条不紊，清晰，准确地报告事实。）

4计算机取证人员除了具有司法鉴定人所具有的一般性权利和义务，还具有哪些权利和义务？

权利：①在取证或鉴定中所涉及的计算机设备

中安装软件和硬件，建立新用户。

②使用取证或鉴定所涉及的计算机。

③对取证或鉴定所涉及的计算机及其网

络进行监测和扫描

④能够复制与取证或鉴定工作有关的计

算机信息。

义务：①不能对取证或鉴定所涉及的计算机信

息进行删除，修改或破坏。

②在完成取证或鉴定工作后卸载和拆除其安装

的软/硬件设备，注销其用户。不能继续通过其

他途径进行监测和扫描。

③遵循取证，鉴定程序规定。

④对作出的取证结果和鉴定结论负责。

5结合我国一般刑事案件取证原则和国内外学者的研究成果，可以总结出适合我国国情的哪些计算机取证原则？第一，取证合法原则（计算机取证程序必须合法，在取证过程中必须按照合法的程序开展工作；取证的工具必须合法，取证过程中要采取合法的技术手段和工具软件，保证电子证据从收集到分析的合法性；取证人员的资格必须合法，取证人员必须是经过有

关部门认可的。）

第二，实事求是原则（实事求是，一切从实际出发，对

计算机取证的结果，不能加以推测评估，应完全

按照事实给出取证分析结论。）

第三，技术优先原则（为了符合其发展，计算机取证也必须采用先进的技术和工具，在必要的情况下，

还要聘请具有专业技术的计算机专家协助工

作。）

第四，保密原则（取证人员在取证过程中，应尽量在自己的本职工作范围内进行取证，不查阅与本案无

关的其他数据信息，如因工作需要了解了上述信

息，应对信息进行严格保密。）

第五，固定保全原则（收集到的电子证据应当妥善保管，远离高磁场，高温环境，避免静电，潮湿，

灰尘，挤压和试剂的腐蚀。）

6现场情况调查的内容哪几个方面？第一，计算机信息网络工作人员基本情况调查。

（掌握工作人员情况是寻找侦查线索的基础工

作，内容有，档案资料是否完整，有无犯罪前科，是否接受过相关的安全教育，录用审查是否合格等。）第二，犯罪技能调查。（计算机的高技术性决定了从事犯罪活动必须有相应的技能。）第三，作案动机调查。（如果明确犯罪动机，很容易确定

侦查或调查对象。）第四，计算机信息网络系统安全管理情况调查。

（内容：工作人员工作职责划分是否妥当，工作关系是否协调，工作过程有无监督，牵制机制，外部人员出入控制是否严格，个噢你做环境中是否存在密码泄露，是否存在渗透的可能，是否存在利用工作人员疏漏获取信息进行犯罪的可能。）第五，特殊人员调查。（有时把一般操作人员有无作案能力，有无作案条件，有无反常表现等作为特殊人员进行调查，根据计算机信息网络系统犯罪活动实际情况而定。）第六，外围人员调查。（对非计算机信息网络系统工作人员，但有作案技能，有可能获取作案机会的外围人员也应纳入调查范围。）第七，有无内外勾结作案迹象的调查。（对于不存在外部人员单独作案的犯罪案件，应重

点调查内外勾结串谋的内应，这样侦查方向既明确又容易突破。）第八，周围环境调查。（主要内容是调查通信线

路有无窃听装置，附近有无定向天线，有无可疑

现象等。）

7电子数据可采用哪些保存方法？第一，将电子数据做备份，将数据复制到其他存储介质当中。（电子数据的