『壹』 數字取證的基本原則和一般步驟是怎樣的
數字證據的取證原則和方法
數字證據是計算機和網路科技高速發展的產物,是將法律與高科技相結合的一種新形式的證據。數字證據的取證規則、取證方式都有別於傳統證據,需要通過特定的技術手段進行分析和獲取,因此在數字證據的取證過程中應當注意規范取證流程,遵循一定的原則和方法。
一、數字證據的取證程序應嚴格規范
1.證據現場的保護。取證人員進入現場後,應迅速封鎖整個計算機區域,將人、機、物品之間進行物理隔離;保護好計算機日誌,對數據進行備份,切斷遠程式控制制;封存現場的信息系統、各種可能涉及到的磁介質、內部人員使用的工作記錄、程序備份和數據備份;提取涉案計算機硬碟、移動磁介質、光碟等,特別應注意對當事人隨身攜帶的存儲介質的提取。
2.證據的提取和固定。提取和固定數字證據時,一個重要的原則就是確保對目標計算機中的原始數據不產生任何改動和破壞,只有這樣,才能保證數字證據的真實性、完整性和安全性。在取證過程中,應在對案件有關的計算機中的數據和資料不進行任何改動或損壞的前提下進行備份,記錄備份的時間、地點、數據來源、提取過程、使用方法、備份人及見證人名單並簽名。
3.證據的分析。應當注意的是,所有的檢查和分析工作應該在備份件上進行,以保證原始證據的可靠性和可信性。對數字證據進行數據分析,必須考慮計算機的類型,採用的操作系統,是否有隱藏的分區,有無可疑外設,有無遠程式控制制、木馬程序及當前計算機系統的網路環境。對數據進行全面的分析,還應該注意檢查所有的日誌文件,對在該系統上使用過的用戶操作時間以及操作記錄進行登記,查看可能進入或使用過該機器系統的可疑程序。
二、數字證據取證過程中應注意保持證據原始性
1.對原始數據進行備份後利用備份的數據進行分析,不能對原始數據直接進行分析。要在不破壞原始介質的前提下,對所獲得的數據進行分析,從而提取出有效證據。為保證原始介質數據的完整性,在進行數據分析之前,必須對原始數據進行鏡像拷貝,然後對拷貝進行分析。
2.對原始數據要進行冗餘備份。數字證據在保存時應該有兩個或兩個以上完整的拷貝。冗餘備份一方面避免了由於數字證據本身的不穩定性造成備份數據的丟失,另一方面還可以在數據分析過程中同時對拷貝文件進行調查和分析,提高取證效率。
3.在備份復制過程中,以及對備份復制的硬碟或鏡像文件進行數據分析、恢復、檢驗時,應當使用安全只讀介面,使用防寫技術進行操作。對重要證據文件還應採取必要的加密技術和數字簽名等技術,並且應當記錄分析過程所使用的設備型號、序列號,所使用的軟體的名稱、版本號、具體操作過程以及檢查結果等,製作相應的工作記錄或檢驗文書。
4.詳細記錄取證全程,保證證據連續性。將數字證據從獲取生成之後到提交法庭作為審判依據的過程中產生的變化都進行記錄和說明。在移動硬體之前,把被提取的設備在現場中的相對位置、具體外觀和連接狀態用照相、錄像、繪圖、文字的形式記錄下來,用攝像機記錄檢驗分析的全過程,尤其對解除封存狀態、檢查過程的關鍵操作、重新封存等主要步驟應當多角度錄像。
5.保障硬體環境安全可靠。存儲數字證據的介質必須按照科學方法保全,應該遠離磁場、高溫、灰塵、潮濕、靜電環境,避免造成電磁介質數據丟失,防止破壞重要的線索和證據。還要注意防磁,特別是使用安裝了無線電通訊設備的交通工具運送數字證據時,要關掉車上的無線設備,以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等存儲的數據。
『貳』 本案例中有哪些數字取證的相關內容
收集原始數據,保留原始數據等。
收集原始數據:在很多情況下,對受損或遺失數據進行數字取證的第一步是盡可能快地收集原始數據。這可能包括保存被黑的電腦的硬碟、電子郵件、資料庫或其他相關系統的備份。
保留原始數據:原始數據往往包含了大量有用的信息,這些信息在任何形式的篡改或消除後都會丟失。因此,必須確保原始數據的完整性和可用性。這通常可以通過專業的數據存儲設備進行備份來完成。
『叄』 電子數據取證的四大基本原則是什麼電子證據的特點有哪些
1.合法性原則。一是主體合法,即電子數據取證工作必須由偵查人員主導,由相關技術人員協助配合予以進行。二是程序合法,即應依法收集、存儲、傳遞、出示電子數據證據,並載明其形成的時間、地點、製作人、製作過程及設備情況等,必要時需配備
見證人員。三是來源合法,即電子數據所依附存儲介質和設備獲取的合法性。
2.及時性原則。由於電子數據具有唯一性,一旦滅失便難以恢復,及時取證要求在電子數據收集過程中顯得尤為突出。
3.全面性原則。電子數據取證過程必須全方位、多角度、多層次地進行,不能因疏忽而遺漏任何與案件事實相關聯的電子數據,以進行相互印證、排除矛盾並形成完整的證據鏈。
4.專業性原則。基於電子計算機和信息技術而存在的電子數據,無法完全依靠傳統
刑事證據收集技術,為了保證電子數據證據的證明力,應在偵查人員主導下,由專業技術人員藉助專門設備和技術手段,遵循一系列專業操作規范對相關電子數據進行提取和固定。
5.無損性原則。收集、固定電子數據的過程應避免不當操作,始終確保涉案設備和運行環境的一致性,對存儲介質的保存應遠離磁場、高溫、灰塵、潮濕的環境,避免造成電磁介質數據丟失,確保電子數據的無損狀態。