如何獲取電子證據
電子證據的取證規(guī)則、取證方式都有別于傳統證據,傳統的證據收集手段、認證都不能完全照搬使用,因此,網絡犯罪中證據的提取、固定有一定難度。盡管如此,針對案件的具體情況,利用電子證據自身的特點,可以進行取證,為案件的偵破提供幫助。
(一)電子證據的一般取證方式
一般取證,是指電子證據在未經偽飾、修改、破壞等情形下進行的取證。主要的方式有:
1、打印。對網絡犯罪案件在文字內容上有證明意義的情況下,可以直接將有關內容打印在紙張上的方式進行取證。打印后,可以按照提取書證的方法予以保管、固定,并注明打印的時間、數據信息在計算機中的位置(如存放于那個文件夾中等),取證人員 等。如果是普通操作人員進行的打印,應當采取措施監(jiān)督打印過程,防止操作人員實施修改、刪除等行為。
2、拷貝。是將計算機文件拷貝到軟盤、活動硬盤或光盤中的方式。首先,取證人員應當檢驗所準備的軟盤、活動硬盤或光盤,確認沒有病毒感染?截愔螅瑧敿皶r檢查拷貝的質量,防止因保存方式不當等原因而導致的拷貝不成功或感染有病毒等。取證后,注明提取的時間并封閉取回。
3、拍照、攝像。如果該證據具有視聽資料的證據意義,可以采用拍照、攝像的方法進行證據的提取和固定,以便全面、充分地反映證據的證明作用。同時對取證全程進行拍照、攝像,還具有增加證明力、防止翻供的作用。
4、制作司法文書。一般包括檢查筆錄和鑒定。檢查筆錄是指對于取證證據種類、方式、過程、內容等在取證中的全部情況進行的記錄。鑒定是專業(yè)人員就取證中的專門問題進行的認定,也是一種固定證據的方式。使用司法文書的方式可以通過權威部門對特定事實的認定作為證據,具有專門性、特定性的特點,具有較高的證明力。主要適用于對具有網絡特色的證據的提取,如數字簽名、電子商務等,目前在我國專門從事這種網絡業(yè)務認證的中介機構尚不完善,處在建立階段。如1998年,經廣東省人民政府批準成立了以提供電子認證服務為主營業(yè)務的廣東省電子商務認證中心,到目前為止,該中心已簽發(fā)各類數字證書超過6萬張,為用戶在Internet網絡的電子商務活動提供了安全保障。
5、查封、扣押。對于涉及案件的證據材料、物件,為了防止有關當事人進行損毀、破壞,可以采取查封、扣押的方式,將有關材料置于司法機關保管之下。可以對通過上述幾種方式導出的證據進行查封、扣押,也可以對于一些已經加密的證據進行。如在侵犯商業(yè)秘密的案件查辦中,公安機關依法查封、扣押了辦公用具及商業(yè)資料,將硬盤從機箱里拆出,在筆錄上注明“扣押X品牌X型號硬盤一塊”。由于措施得當,證據提取及時,既有效地證據犯罪,也防止了商業(yè)秘密的泄露。對于已經加密的數據文件進行查封、扣押,往往需要將整個存儲器從機器中拆卸出來并聘請專門人員對數據進行還原處理,這種情況下進行的查封、扣押措施必須相當審慎,以免對原用戶、或其他合法客戶的正常工作造成侵害,一旦硬件損壞或誤操作導致數據不能讀取或數據毀壞,其帶來的損失將是不可估量的。
6、公證。由于電子證據極易被破壞、一旦被破還又難以恢復原狀,所以,通過公證機構將有關證據進行公證固定是獲取電子證據的有效途徑之一。2001年3月的新浪網《育兒論壇》被控刊載有損害他人名譽權的文章,南京市第三公證處接受申請,對新浪網頁上的《育兒論壇》內容進行了保全證據公證:對操作電腦的步驟,包括電腦型號、打開電腦和進入網頁的程序以及對電腦中出現的內容進行復制等全過程進行了現場監(jiān)督,在現場監(jiān)督和記錄的同時,對現場情況進行拍照。之后,公證人員出具保全證據公證書。但是,由于公證具有高成本、低效率的特點,也不能在電子證據的獲取上片面迷信公證的方式,應當根據案件的具體情況,具體決定采取上述哪種方式進行取證。
(二)電子證據的復雜取證方式
復雜取證,是指需要專業(yè)技術人員協助進行的電子證據的收集和固定活動。多使用于電子證據不能順利獲取,如被加密或是被人為的刪改、破壞的情況下,如計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括:
1、解密。所需要的證據已經被行為人設置了密碼,隱藏在文件中時,就需要對密碼進行解譯。在找到相應的密碼文件后,請專業(yè)人員選用相應的解除密碼口令軟件。如:用Word軟件制作的密碼文件,選用Word軟件解譯;解密后,將對案件有價值的文件,即可進行一般取證;在解密的過程中,必要的話,可以采取錄象的方式。同時應當將被解密文件備份,以防止因解密中的操作使文件丟失或因病毒損壞。如:在辦理一起某國際投資公司的職務犯罪案件中,偵查人員在搜查辦公室時發(fā)現,其使用辦公桌的抽屜和文件櫥內有11 張微機軟盤,懷疑盤內存有其犯罪的重要證據,取回后立即送技術科進行檢驗,我技術人員按要求,進行了詳細檢驗,無病毒,并查清了這些軟盤中用Word軟件所制作的文件,并加入了密碼,即針對所用軟件采用了Advanced Word 97 Password Recovery 1.23軟件成功的破譯了其中的密碼,解出了108份文件,從而掌握了其犯罪的重要書證,又擴大了辦案線索,使案件深入發(fā)展。
2、恢復。大多數計算機系統都有自動生成備份數據和恢復數據、剩余數據的功能,有些重要的數據庫安全系統還會為數據庫準備專門的備份。這些系統一般是由專門的設備、專門的操作管理組成,一般是較難篡改的。因此,當發(fā)生網絡犯罪,其中有關證據已經被修改、破壞的,可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復,獲取定案所需證據。如1997年7月底,重慶市某農業(yè)大學學生處計算機辦公網遭到破壞,直接影響到8月份即將開始的招生工作。偵查人員在接到報案后,及時進行了現場保護,從網絡的5號無盤站上得到了一個破壞程序正對系統進行的破壞過程,這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的,偵查人員通過這個線索找到了源程序,破獲了全案。 如果數據連同備份都被改變或刪除,可以在系統所有者的協助下,通過計算機系統組織數據的鏈指針進入小塊磁盤空間,從中發(fā)現數據備份或修改后的剩余數據,進行比較分析,恢復部分或全部的數據。另外,也可以使用一些專門的恢復性軟件,如Recover98、RecoverNT EXPD等。
3、測試。電子證據內容涉及電算化資料的,應當由司法會計專家對提取的資料進行現場驗證。驗證中如發(fā)現可能與軟件設計或軟件使用有關的問題時,應當由司法會計專家現場對電算化軟件進行數據測試(偵查實驗)。主要是使用事先制作的測試文件,經測試確認軟件有問題時,則由計算機專家對軟件進行檢查或提取固定。
(聲明:本站所使用圖片及文章如無注明本站原創(chuàng)均為網上轉載而來,本站刊載內容以共享和研究為目的,如對刊載內容有異議,請聯系本站站長。本站文章標有原創(chuàng)文章字樣或者署名本站律師姓名者,轉載時請務必注明出處和作者,否則將追究其法律責任。) |