‘壹’ 数字取证的基本原则和一般步骤是怎样的
数字证据的取证原则和方法
数字证据是计算机和网络科技高速发展的产物,是将法律与高科技相结合的一种新形式的证据。数字证据的取证规则、取证方式都有别于传统证据,需要通过特定的技术手段进行分析和获取,因此在数字证据的取证过程中应当注意规范取证流程,遵循一定的原则和方法。
一、数字证据的取证程序应严格规范
1.证据现场的保护。取证人员进入现场后,应迅速封锁整个计算机区域,将人、机、物品之间进行物理隔离;保护好计算机日志,对数据进行备份,切断远程控制;封存现场的信息系统、各种可能涉及到的磁介质、内部人员使用的工作记录、程序备份和数据备份;提取涉案计算机硬盘、移动磁介质、光盘等,特别应注意对当事人随身携带的存储介质的提取。
2.证据的提取和固定。提取和固定数字证据时,一个重要的原则就是确保对目标计算机中的原始数据不产生任何改动和破坏,只有这样,才能保证数字证据的真实性、完整性和安全性。在取证过程中,应在对案件有关的计算机中的数据和资料不进行任何改动或损坏的前提下进行备份,记录备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。
3.证据的分析。应当注意的是,所有的检查和分析工作应该在备份件上进行,以保证原始证据的可靠性和可信性。对数字证据进行数据分析,必须考虑计算机的类型,采用的操作系统,是否有隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境。对数据进行全面的分析,还应该注意检查所有的日志文件,对在该系统上使用过的用户操作时间以及操作记录进行登记,查看可能进入或使用过该机器系统的可疑程序。
二、数字证据取证过程中应注意保持证据原始性
1.对原始数据进行备份后利用备份的数据进行分析,不能对原始数据直接进行分析。要在不破坏原始介质的前提下,对所获得的数据进行分析,从而提取出有效证据。为保证原始介质数据的完整性,在进行数据分析之前,必须对原始数据进行镜像拷贝,然后对拷贝进行分析。
2.对原始数据要进行冗余备份。数字证据在保存时应该有两个或两个以上完整的拷贝。冗余备份一方面避免了由于数字证据本身的不稳定性造成备份数据的丢失,另一方面还可以在数据分析过程中同时对拷贝文件进行调查和分析,提高取证效率。
3.在备份复制过程中,以及对备份复制的硬盘或镜像文件进行数据分析、恢复、检验时,应当使用安全只读接口,使用写保护技术进行操作。对重要证据文件还应采取必要的加密技术和数字签名等技术,并且应当记录分析过程所使用的设备型号、序列号,所使用的软件的名称、版本号、具体操作过程以及检查结果等,制作相应的工作记录或检验文书。
4.详细记录取证全程,保证证据连续性。将数字证据从获取生成之后到提交法庭作为审判依据的过程中产生的变化都进行记录和说明。在移动硬件之前,把被提取的设备在现场中的相对位置、具体外观和连接状态用照相、录像、绘图、文字的形式记录下来,用摄像机记录检验分析的全过程,尤其对解除封存状态、检查过程的关键操作、重新封存等主要步骤应当多角度录像。
5.保障硬件环境安全可靠。存储数字证据的介质必须按照科学方法保全,应该远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。还要注意防磁,特别是使用安装了无线电通讯设备的交通工具运送数字证据时,要关掉车上的无线设备,以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。
‘贰’ 本案例中有哪些数字取证的相关内容
收集原始数据,保留原始数据等。
收集原始数据:在很多情况下,对受损或遗失数据进行数字取证的第一步是尽可能快地收集原始数据。这可能包括保存被黑的电脑的硬盘、电子邮件、数据库或其他相关系统的备份。
保留原始数据:原始数据往往包含了大量有用的信息,这些信息在任何形式的篡改或消除后都会丢失。因此,必须确保原始数据的完整性和可用性。这通常可以通过专业的数据存储设备进行备份来完成。
‘叁’ 电子数据取证的四大基本原则是什么电子证据的特点有哪些
1.合法性原则。一是主体合法,即电子数据取证工作必须由侦查人员主导,由相关技术人员协助配合予以进行。二是程序合法,即应依法收集、存储、传递、出示电子数据证据,并载明其形成的时间、地点、制作人、制作过程及设备情况等,必要时需配备
见证人员。三是来源合法,即电子数据所依附存储介质和设备获取的合法性。
2.及时性原则。由于电子数据具有唯一性,一旦灭失便难以恢复,及时取证要求在电子数据收集过程中显得尤为突出。
3.全面性原则。电子数据取证过程必须全方位、多角度、多层次地进行,不能因疏忽而遗漏任何与案件事实相关联的电子数据,以进行相互印证、排除矛盾并形成完整的证据链。
4.专业性原则。基于电子计算机和信息技术而存在的电子数据,无法完全依靠传统
刑事证据收集技术,为了保证电子数据证据的证明力,应在侦查人员主导下,由专业技术人员借助专门设备和技术手段,遵循一系列专业操作规范对相关电子数据进行提取和固定。
5.无损性原则。收集、固定电子数据的过程应避免不当操作,始终确保涉案设备和运行环境的一致性,对存储介质的保存应远离磁场、高温、灰尘、潮湿的环境,避免造成电磁介质数据丢失,确保电子数据的无损状态。