電子取證流程
電子取證流程
電子證據(jù),是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的,以其記錄內(nèi)容來證明案件事實的電磁記錄物。以下是小編為您整理的電子取證流程,希望對您有幫助。
電子取證流程如下
一、電子取證的操作流程
(1)受理案件
調(diào)查機關(guān)在受理案件時,要詳細記錄案情,全面地了解潛在的與案件事實相關(guān)的電子證據(jù)材料,如涉案的計算機系統(tǒng)、打印機等電子設(shè)備的情況,包括系統(tǒng)日志、IP地址、網(wǎng)絡(luò)運行狀態(tài)、日常設(shè)備軟件使用情況、受害方和犯罪嫌疑人的信息技術(shù)水平等。
(2)保護涉案現(xiàn)場
取證人員進入現(xiàn)場后,應(yīng)迅速封鎖整個計算機區(qū)域,將人、機、物品之間進行物理隔離;保護目標(biāo)計算機系統(tǒng),及時維持計算機網(wǎng)絡(luò)運行狀態(tài),保護諸如移動硬盤、U盤、光盤、打印機、錄音機、數(shù)碼相機等相關(guān)電子設(shè)備,查看各類設(shè)備連接及使用情況,在操作過程中要避免任何更改系統(tǒng)設(shè)置、硬件損壞、數(shù)據(jù)破壞或病毒感染等情況的發(fā)生,以免破壞電子證據(jù)的客觀性或造成證據(jù)的丟失。
(3)收集電子證據(jù)
由于電子證據(jù)的脆弱性,在證據(jù)收集過程中,應(yīng)當(dāng)由調(diào)查人員或是聘請的司法鑒定專家檢查硬件設(shè)備,切斷可能存在的其他輸入、輸出設(shè)備,保證計算機儲存的信息在取證過程中不被修改或損毀。之后對原始存儲介質(zhì)進行備份,在備份過程中,應(yīng)當(dāng)使用安全只讀接口,使用寫保護技術(shù)進行操作,備份結(jié)束后檢查備份文件是否與原文件一致,注意在此過程中需要進行全程錄像并要求有第三方現(xiàn)場見證,以保證電子證據(jù)的客觀真實性。
(4)固定和保管電子證據(jù)
在對計算機中的資料和數(shù)據(jù)進行備份過程后,應(yīng)當(dāng)及時記錄各設(shè)備的基本信息、備份的時間、地點、數(shù)據(jù)來源、提取過程、使用方法、備份人及見證人名單并簽名。在存儲電子證據(jù)時,必須按照科學(xué)方法保全,要遠離磁場、高溫、灰塵、潮濕、靜電環(huán)境,避免造成電磁介質(zhì)數(shù)據(jù)丟失,防止破壞重要的線索和證據(jù)。還要注意防磁,特別是使用安裝了無線電通訊設(shè)備的交通工具運送電子證據(jù)時,要關(guān)掉車上的無線設(shè)備,以免其工作時產(chǎn)生的電磁場破壞計算機及軟盤、磁帶等存儲的數(shù)據(jù)。
(5)分析電子證據(jù)
在電子證據(jù)分析階段,應(yīng)當(dāng)使用相應(yīng)的備份數(shù)據(jù)進行非破壞性分析,即通過一定的數(shù)據(jù)恢復(fù)方法將嫌疑人所刪除、修改、隱藏和加密的證據(jù)進行盡可能的恢復(fù),在恢復(fù)出來的文件資料中分析查找相關(guān)線索和證據(jù)。同時,詳細記錄數(shù)據(jù)恢復(fù)方法、操作步驟、操作時間、地點、人員信息等內(nèi)容,以使證據(jù)經(jīng)得起法庭的質(zhì)證。
(6)歸檔電子證據(jù)
應(yīng)及時整理取證與分析鑒定的結(jié)果并進行分類歸檔保存,主要包括證據(jù)收集時,對涉案電子設(shè)備的檢查結(jié)果,即調(diào)查時間、地點、硬盤分區(qū)情況、操作系統(tǒng)版本、設(shè)備運行狀態(tài)等;取證分析階段,設(shè)備備份完整性、用戶系統(tǒng)信息、日常軟件操作情況以及對電子證據(jù)的分析結(jié)果和評估報告等相關(guān)信息。讓偵查人員、鑒定人員、檢察官在需要查看證據(jù)時,可以迅速的找到并了解相關(guān)證據(jù)資料。
二、電子取證的基本原則
(1)依法取證原則
1、主體合法,電子證據(jù)的取證與司法鑒定主體必須具備法定的取證與司法鑒定資格,只有具備合法的調(diào)查取證與司法鑒定身份,才能執(zhí)行相應(yīng)的取證與司法鑒定活動。2、對象合法,在調(diào)查取證過程中,對于與案件事實無關(guān)的數(shù)據(jù),不能進行任意地取證,以免侵犯了所有人的隱私權(quán)等合法權(quán)益。3、手段合法,要求取證人員符合技術(shù)操作規(guī)范,取證所使用的工具和程序必須通過國家有關(guān)主管部門的評測。4、過程合法,要保證備份數(shù)據(jù)與源文件一致;在不改變數(shù)據(jù)的前提下對其進行分析;要利用傳統(tǒng)的音視頻采集工具,對取證過程進行全程記錄,保證證據(jù)連續(xù)性;要有兩個合法的取證人員同時在場取證;整個取證和鑒定過程必須主動接受監(jiān)督。
(2)無損取證原則
1、為了防止由于對涉案設(shè)備、系統(tǒng)的操作而損毀某些電子證據(jù),造成證據(jù)收集不充分,在電子取證的過程中,不能對涉案設(shè)備、系統(tǒng)進行任何修改操作,以維護涉案設(shè)備、運行環(huán)境等全部信息的完整狀態(tài)。在數(shù)據(jù)分析階段,必須先通過只讀鎖對原始數(shù)據(jù)進行鏡像拷貝,然后再對拷貝數(shù)據(jù)進行分析,以保證電子證據(jù)的客觀性。2、電子證據(jù)的實質(zhì)是存儲在電磁介質(zhì)中的電磁信息,如果受到外界磁場影響,有可能被消磁而損壞原始數(shù)據(jù),因此,對于收集到的電子證據(jù)應(yīng)妥善保管,采取遠離高磁場、高溫環(huán)境、避免靜電、潮濕、灰塵和擠壓等措施,以保證電子證據(jù)的完整性。
(3)全面取證原則
在電子取證與鑒定過程中,應(yīng)該盡可能地全面調(diào)查取證,認(rèn)真分析電子證據(jù)的來源并進行全方位、多角度的取證和分析,在確保證據(jù)與案件事實關(guān)聯(lián)的基礎(chǔ)上,將獲得的所有電子證據(jù)結(jié)合案件的其他證據(jù),相互印證,排除矛盾的電子證據(jù),最終形成完整的證據(jù)鏈條。
(4)及時取證原則
電子證據(jù)一般是在操作系統(tǒng)運行過程中自動、實時生成,系統(tǒng)經(jīng)過一段時間的運行,很可能會造成信息系統(tǒng)的變化,如網(wǎng)絡(luò)的審核記錄、系統(tǒng)日志、進程通信信息都會或多或少產(chǎn)生變化,這些數(shù)據(jù)信息則不再能夠如實反映案件事實。因而電子證據(jù)具有一定的時效性,在確定取證對象之后,應(yīng)該盡早收集證據(jù),保證相關(guān)電子數(shù)據(jù)沒有受到任何破壞或損失,維持其與案件事實的關(guān)聯(lián)性。
電子取證流程相關(guān)文章: