电子证据的采集与鉴定
陈赠汪(禹会区人民检察院,安徽 蚌埠 233000)
〔摘要〕本文基于电子证据的归类极其特性,提出了电子证据取证应当遵守的原则,介绍了一些取证方法、检验鉴定方法以及对于鉴定人素质和鉴定工具要求。
[关键词]电子证据;取证原则;检验;设备
[中图分类号]TP393.08 [文献标识码]B
互联网及信息技术的发展给社会生活带来深刻变革,也带来许多新问题与挑战,表现之一计算机网络犯罪日益凸显。在各类犯罪案件中,包括经济诈骗,恐吓骚扰,敲诈勒索,贩卖毒品、行贿受贿、信用盗窃等。能够证明犯罪事实的电子数据通常称为电子证据。打击网络犯罪离不开电子证据这一新型证据的收集取证和审查。
一、电子证据的概念
电子证据是一种存在于计算机以及网络介质外围设备中的新型证据,是指以物理形式存储于计算机系统内部及其存储器当中的指令与资料。包括计算机程序和存储于计算机系统中的除计算机程序外的一切信息资料,即那些由计算机系统所有者及用户采集并输入计算机系统的、非本系统本身运行所不可缺少的信息。对于其如何归类,学术届近年来有“物证说”、“书证说”、“试听资料说”、“独立证据说”、“鉴定结论说”、“混合证据说”等。即将实施的新《刑事诉讼法》对此做了结论,定名为“电子数据”,与试听资料并列归为第八类证据。
二、电子证据的特点
数字性:作为电子物证与传统证据相比,其载体形式发生了根本变化。作为电子数据的信息是以二进制代码0和1组成的,形式储存于计算机的存储介质之中(如磁盘、光盘、U盘等),且必须采用特定的输出形式。
脆弱性:电子数据证据生成储存传输的信息容易被篡改,从表面上看难以区分其复印件和原件,真实件和伪造件。因而电子证据具有脆弱性的特点。
安全性:计算机硬盘上的每一次擦写记录都可以轻松被捕捉到。最新的计算机研究结果表明,电子证据任何被删除、复制修改都能够通过技术手段分析认定,电子证据比传统证据具有安全性和稳定性。
无形性:被删除、被格式化或者被物理损坏的电子数据,对一般人说是无形的,需要通过专业人员的恢复,才能成为可见的证据。
隐蔽性:电子数据的传递往往具有隐蔽性,特别是在网络上,电子数据的传递通常是以电子邮件、QQ等即时通讯软件、http、ftp、plp等下载形式完成的。这些形式在网络上一般都不以实名制进行,所以电子证据的查证具有一定的隐蔽性。
共享性:电子数据证据由于以电讯号代码形式存储于计算机的存储介质中,比较容易被查看、复制和输出,其电子数据资源可以被广泛共享。无论是法人、其他组织和个人均可以通过单机和网络共享其电子数据资源。
真实性:电子证据必须是真实存在于RAM、磁盘、或其他介质中,产生电子数据信息的计算机软硬件系统应当正常运行和工作,电子数据所反映的内容应当是在进行正常业务中形成且在业务完成或稍后输入的。
三、对电子证据的采集的原则
针对电子证据的上述特性,其采集取证也必然有别于传统物质的收集。要保证电子证据采集的有效性和客观可醒信度,必须遵循如下基本原则:
不破坏可还原原则:取证的过程不能改变存储介质中的数据,使用只读设备来接纳分析原介质。
操作过程记录注释的原则:需要对采集过程作全程录像、拍照对才操作记录予以固定,以便通过审查记录来验证过程的科学性和客观性。
不使用原始证据的原则:取证时尽可能用原始证据的副本操作,确保原始证据处于固定状态。 合法性原则:证据收集获取的途径和方法需要符合程序法规定,以防作为非法证据被排除。
四、电子证据的采集方法
(一)现场拍摄法
对于第一时间计算机屏幕显示状态、网络连接、电脑基本配置等不宜提取以及描述的证据,可以现场拍照和摄像。
(二)远程取证法
将命令制成脚本,远程系统的一些信息可以通过网络运行脚本来获取,将脚本工具和Sysinternals的psexee.exe相配合使用。或者通过Windows的管理机制WMI采集。
(三)工具取证法
制作调查工具盘,将相同和反复运作的命令制作成批处理文件和脚本工具,刻录成光盘。例如:把tlist.exe-c>%1\tlist-c.log、netstar.exe-ano>%1\netstar-ano.log、
tlist.exe-s>%1\tlist-s.log做成一个批处理文件loc.bat,和其它一些脚本文件、批处理文件一起刻在工具盘上,运行这些文件就可以了。
五、电子证据的检验
电子信息在大多数情况下需要通过专门的技术方法检验,即电子物证技术。电子物证技术就是对在利用电子载体进行违法犯罪活动中的各种证据进行收集、固定、审查和确认,它包括涉案计算机现场勘察、搜查与扣押、网络监控、邮件监控、技术鉴定等多种活动技术。其检验结果可以作为案件侦查线索或法庭证据。
根据计算机存储原理,对任何删除、复制、修改电子数据的痕迹,都有可能通过技术手段加以显现。从技术原理上讲,电子磁盘记录数据的格式是先将盘面分成若干个同心圆,每一个同心圆叫做一个磁道,每个磁道分为若干个扇区,两个或两个以上扇区组成一簇,即数据储存最小单位。这种格式的目的在于方便快捷地对磁盘文件进行存储管理,磁盘上的文件按簇存放。如果人们存放小于一个簇容量的文件,那么这个簇剩余的空间,便不能再存储其
他数据,以免相互干扰。磁盘对每一簇中的数据建立索引,存放在FAT(文件分配表)中。如果删除文件,实际删除的是其在FAT中的索引,真正的数据依然保存在磁盘中。当存储新文件时,就会覆盖旧的数据。只要新的数据不能占有该簇的全部空间,那么旧文件的一部分就可以被恢复。同理,只要存储磁盘等介质遭受的人为损坏不是毁灭性的,那么就能够部分或全部恢复和复制所谓的坏簇,就可以获取被“删除”的数据。这种技术不单适用于封闭的电子系统,在浩瀚的网络也能大显神威。计算机网络可以分为七个有序的层次:应用层、表示层、会话层、传输层、传输层、网络层、数据链接层与物理层。其中应用层、传输层、会话层与数据链接层中都隐含有海量的电子数据,电子物证技术正好能够帮助人们从浩如烟海的网络数据中找到所需。
电脑如果遭到了外力破坏,这并不意味着其中存储的电子数据完全消失。通过技术手段分析、提取出相关的数据信息,也可以在计算机系统中提取日志记载,这些日志记载显然可以证明电脑的使用情况。
六、对电子证据检验坚定的要求
(一)对鉴定人的要求
电子证据检验鉴定工作对鉴定人员的素质要求比较高。一方面,检验鉴定人员要树立良好的职业道德,遵守国家法律,具有一定的法庭科学知识,掌握鉴定程序和鉴定方法,依法检验;另一方面,检验鉴定人员必须熟练掌握和运用计算机技术、网络技术、存储技术和通信技术,才能使用适当的方法及工具,来正确地分析及获取电子物证。
(二)对鉴定技术与设备的要求
按照检验过程,电子物证检验可以分为四个大的阶段:提取数据;检验数据;分析数据并得出结果;形成鉴定文书(报告检验结果、意见或结论)。提取、检验、分析数据必然需要电子物证检验鉴定设备及软件工具。电子物证检验鉴定设备及软件工具的来源必须经得起法庭质证。使用的工具也必须是合法的正版,电子物证检验鉴定仪器必须要有稳定的电源和电信号的屏蔽条件,否则很容易失去检验条件,并且整个检验鉴定过程、方法、步骤必须有由设备及工具自动跟踪记录系统,以达到整个检验鉴定过程的真实、客观。
[参考文献]
[1]黄晓亮.电子证据的采集与运用[N].检查日报,2008-11-17.
[2]陈兴良.违法性认识研究[J]中国法学,2005,(04)
[3]贾宇.罚与刑的思辨[M]法律出版社,2002.
[4]周光权.关于计算机网络犯罪 [M]中国法学,2006,(1).
[5]陈兴良.故意责任论[J]政法论坛,1999,(5).
电子证据的采集与鉴定
陈赠汪(禹会区人民检察院,安徽 蚌埠 233000)
〔摘要〕本文基于电子证据的归类极其特性,提出了电子证据取证应当遵守的原则,介绍了一些取证方法、检验鉴定方法以及对于鉴定人素质和鉴定工具要求。
[关键词]电子证据;取证原则;检验;设备
[中图分类号]TP393.08 [文献标识码]B
互联网及信息技术的发展给社会生活带来深刻变革,也带来许多新问题与挑战,表现之一计算机网络犯罪日益凸显。在各类犯罪案件中,包括经济诈骗,恐吓骚扰,敲诈勒索,贩卖毒品、行贿受贿、信用盗窃等。能够证明犯罪事实的电子数据通常称为电子证据。打击网络犯罪离不开电子证据这一新型证据的收集取证和审查。
一、电子证据的概念
电子证据是一种存在于计算机以及网络介质外围设备中的新型证据,是指以物理形式存储于计算机系统内部及其存储器当中的指令与资料。包括计算机程序和存储于计算机系统中的除计算机程序外的一切信息资料,即那些由计算机系统所有者及用户采集并输入计算机系统的、非本系统本身运行所不可缺少的信息。对于其如何归类,学术届近年来有“物证说”、“书证说”、“试听资料说”、“独立证据说”、“鉴定结论说”、“混合证据说”等。即将实施的新《刑事诉讼法》对此做了结论,定名为“电子数据”,与试听资料并列归为第八类证据。
二、电子证据的特点
数字性:作为电子物证与传统证据相比,其载体形式发生了根本变化。作为电子数据的信息是以二进制代码0和1组成的,形式储存于计算机的存储介质之中(如磁盘、光盘、U盘等),且必须采用特定的输出形式。
脆弱性:电子数据证据生成储存传输的信息容易被篡改,从表面上看难以区分其复印件和原件,真实件和伪造件。因而电子证据具有脆弱性的特点。
安全性:计算机硬盘上的每一次擦写记录都可以轻松被捕捉到。最新的计算机研究结果表明,电子证据任何被删除、复制修改都能够通过技术手段分析认定,电子证据比传统证据具有安全性和稳定性。
无形性:被删除、被格式化或者被物理损坏的电子数据,对一般人说是无形的,需要通过专业人员的恢复,才能成为可见的证据。
隐蔽性:电子数据的传递往往具有隐蔽性,特别是在网络上,电子数据的传递通常是以电子邮件、QQ等即时通讯软件、http、ftp、plp等下载形式完成的。这些形式在网络上一般都不以实名制进行,所以电子证据的查证具有一定的隐蔽性。
共享性:电子数据证据由于以电讯号代码形式存储于计算机的存储介质中,比较容易被查看、复制和输出,其电子数据资源可以被广泛共享。无论是法人、其他组织和个人均可以通过单机和网络共享其电子数据资源。
真实性:电子证据必须是真实存在于RAM、磁盘、或其他介质中,产生电子数据信息的计算机软硬件系统应当正常运行和工作,电子数据所反映的内容应当是在进行正常业务中形成且在业务完成或稍后输入的。
三、对电子证据的采集的原则
针对电子证据的上述特性,其采集取证也必然有别于传统物质的收集。要保证电子证据采集的有效性和客观可醒信度,必须遵循如下基本原则:
不破坏可还原原则:取证的过程不能改变存储介质中的数据,使用只读设备来接纳分析原介质。
操作过程记录注释的原则:需要对采集过程作全程录像、拍照对才操作记录予以固定,以便通过审查记录来验证过程的科学性和客观性。
不使用原始证据的原则:取证时尽可能用原始证据的副本操作,确保原始证据处于固定状态。 合法性原则:证据收集获取的途径和方法需要符合程序法规定,以防作为非法证据被排除。
四、电子证据的采集方法
(一)现场拍摄法
对于第一时间计算机屏幕显示状态、网络连接、电脑基本配置等不宜提取以及描述的证据,可以现场拍照和摄像。
(二)远程取证法
将命令制成脚本,远程系统的一些信息可以通过网络运行脚本来获取,将脚本工具和Sysinternals的psexee.exe相配合使用。或者通过Windows的管理机制WMI采集。
(三)工具取证法
制作调查工具盘,将相同和反复运作的命令制作成批处理文件和脚本工具,刻录成光盘。例如:把tlist.exe-c>%1\tlist-c.log、netstar.exe-ano>%1\netstar-ano.log、
tlist.exe-s>%1\tlist-s.log做成一个批处理文件loc.bat,和其它一些脚本文件、批处理文件一起刻在工具盘上,运行这些文件就可以了。
五、电子证据的检验
电子信息在大多数情况下需要通过专门的技术方法检验,即电子物证技术。电子物证技术就是对在利用电子载体进行违法犯罪活动中的各种证据进行收集、固定、审查和确认,它包括涉案计算机现场勘察、搜查与扣押、网络监控、邮件监控、技术鉴定等多种活动技术。其检验结果可以作为案件侦查线索或法庭证据。
根据计算机存储原理,对任何删除、复制、修改电子数据的痕迹,都有可能通过技术手段加以显现。从技术原理上讲,电子磁盘记录数据的格式是先将盘面分成若干个同心圆,每一个同心圆叫做一个磁道,每个磁道分为若干个扇区,两个或两个以上扇区组成一簇,即数据储存最小单位。这种格式的目的在于方便快捷地对磁盘文件进行存储管理,磁盘上的文件按簇存放。如果人们存放小于一个簇容量的文件,那么这个簇剩余的空间,便不能再存储其
他数据,以免相互干扰。磁盘对每一簇中的数据建立索引,存放在FAT(文件分配表)中。如果删除文件,实际删除的是其在FAT中的索引,真正的数据依然保存在磁盘中。当存储新文件时,就会覆盖旧的数据。只要新的数据不能占有该簇的全部空间,那么旧文件的一部分就可以被恢复。同理,只要存储磁盘等介质遭受的人为损坏不是毁灭性的,那么就能够部分或全部恢复和复制所谓的坏簇,就可以获取被“删除”的数据。这种技术不单适用于封闭的电子系统,在浩瀚的网络也能大显神威。计算机网络可以分为七个有序的层次:应用层、表示层、会话层、传输层、传输层、网络层、数据链接层与物理层。其中应用层、传输层、会话层与数据链接层中都隐含有海量的电子数据,电子物证技术正好能够帮助人们从浩如烟海的网络数据中找到所需。
电脑如果遭到了外力破坏,这并不意味着其中存储的电子数据完全消失。通过技术手段分析、提取出相关的数据信息,也可以在计算机系统中提取日志记载,这些日志记载显然可以证明电脑的使用情况。
六、对电子证据检验坚定的要求
(一)对鉴定人的要求
电子证据检验鉴定工作对鉴定人员的素质要求比较高。一方面,检验鉴定人员要树立良好的职业道德,遵守国家法律,具有一定的法庭科学知识,掌握鉴定程序和鉴定方法,依法检验;另一方面,检验鉴定人员必须熟练掌握和运用计算机技术、网络技术、存储技术和通信技术,才能使用适当的方法及工具,来正确地分析及获取电子物证。
(二)对鉴定技术与设备的要求
按照检验过程,电子物证检验可以分为四个大的阶段:提取数据;检验数据;分析数据并得出结果;形成鉴定文书(报告检验结果、意见或结论)。提取、检验、分析数据必然需要电子物证检验鉴定设备及软件工具。电子物证检验鉴定设备及软件工具的来源必须经得起法庭质证。使用的工具也必须是合法的正版,电子物证检验鉴定仪器必须要有稳定的电源和电信号的屏蔽条件,否则很容易失去检验条件,并且整个检验鉴定过程、方法、步骤必须有由设备及工具自动跟踪记录系统,以达到整个检验鉴定过程的真实、客观。
[参考文献]
[1]黄晓亮.电子证据的采集与运用[N].检查日报,2008-11-17.
[2]陈兴良.违法性认识研究[J]中国法学,2005,(04)
[3]贾宇.罚与刑的思辨[M]法律出版社,2002.
[4]周光权.关于计算机网络犯罪 [M]中国法学,2006,(1).
[5]陈兴良.故意责任论[J]政法论坛,1999,(5).