淺論電子證據(jù)的提取與檢驗

蘇敏杰

摘要:隨著電子技術(shù)特別是網(wǎng)絡(luò)技術(shù)、通信技術(shù)的飛速發(fā)展,電子證據(jù)將越來越多地應(yīng)用到案件的偵破、訴訟實踐中,而電子證據(jù)的提取與檢驗過程也需要嚴謹?shù)膶I(yè)手段和具體的操作規(guī)程。本文針對電子證據(jù)的特點對電子證據(jù)的提取原則、分析、鑒定等方面加以論述。

關(guān)鍵詞:電子證據(jù)取證檢驗

中圖分類號:TP3 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0023-02

2012年3月14日十一屆全國人大五次會議14日表決通過《刑訴法修正案》已將“電子數(shù)據(jù)”作為獨立的證據(jù)種類納入修改內(nèi)容,修改后的《中華人民共和國刑事訴訟法》并將于2013年1月1日起正式實施。屆時,電子數(shù)據(jù)證據(jù)將會在各類訴訟中普遍應(yīng)用,而電子數(shù)據(jù)的提取和檢驗。需要有足夠的掌握高級計算機網(wǎng)絡(luò)技術(shù)又具有豐富實戰(zhàn)經(jīng)驗的網(wǎng)偵人才。筆者通過多年計算機安全監(jiān)察管理實踐,總結(jié)出一些對電子物證現(xiàn)場檢查的經(jīng)驗和心得,供大家商榷。

1 當前司法界對電子證據(jù)的界定及與相關(guān)表述方式的關(guān)系

“電子證據(jù)”是指由電子設(shè)備存儲或傳輸?shù)挠袀刹樽饔没蜃C據(jù)價值的電子信息及派生物?！半娮有畔ⅰ笔侵敢猿绦颉⑽谋?、聲音、圖像、影像等電子形式存在的數(shù)據(jù),“派生物”是指由電子信息轉(zhuǎn)化而來的附屬材料。通過對電子證據(jù)的固定、提取、封存,可以發(fā)現(xiàn)、揭露、證實犯罪行為,從而確定偵查方向和范圍,為破案提供線索和證據(jù)。

從目前各國研究狀況來看,電子證據(jù)同數(shù)字證據(jù)、計算機證據(jù)是比較容易混用的概念,其關(guān)系如下(圖1)。

2 電子證據(jù)的特點

作為一種新的證據(jù)種類,電子證據(jù)除必須具備所有證據(jù)的共同屬性客觀性、關(guān)聯(lián)性、合法性,同時與傳統(tǒng)的證據(jù)相比較,電子證據(jù)還具有以下顯著特點:

(1)高科技性:電子證據(jù)的高科技性不僅指在證據(jù)的產(chǎn)生、傳輸、儲存等離不開高科技含量的設(shè)備,而且表現(xiàn)在犯罪實施主體的高技術(shù)性和案件偵破主體的專業(yè)性。

(2)內(nèi)在實質(zhì)上的無形性:一切交由計算機處理的信息都必須經(jīng)過數(shù)字化的過程,因此電子證據(jù)實質(zhì)上只是一堆按編碼規(guī)則處理成的二進制信息,具有無形性,

(3)外在表現(xiàn)形式的多樣性:電子信息不僅可以表現(xiàn)為文字、圖像、聲音多種媒體,還可以是交互式的、可編繹的,并隨著科技成果不斷增加,因此電子證據(jù)依附于何種載體以及以何種表現(xiàn)形式來表達其傳遞的信息也具有多樣性。如可以以電子文件的形式提供,或以傳統(tǒng)物證、書證或視聽資料的形式提供,也可以由第三方公證或技術(shù)鑒定機構(gòu)鑒定作為證據(jù)提供。

(4)客觀真實性:電子物證一經(jīng)生成必然會在計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中留下相關(guān)的痕跡或記錄并被保存于系統(tǒng)自帶日志(系統(tǒng)日志、安全日志等)或第三方軟件形成的日志中,即使遭到人為篡改或系統(tǒng)故障等外在因素的破壞,仍可以使用SDII服務(wù)器恢復系統(tǒng)等專業(yè)電子物證勘驗設(shè)備,過數(shù)據(jù)恢復手段進行電子物證的恢復、固定和提取。

(5)實時有效性:如一些人為設(shè)定的“邏輯炸彈”,過了某一時限就會刪除某些電子數(shù)據(jù)。

(6)易破壞性:當有人為因素的或技術(shù)的障礙介入時,容易被截取、監(jiān)聽、剪接、篡改、偽造、刪除,同時還可能由于計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、物理系統(tǒng)以及非故意的行為如誤操作、病毒、硬件故障或沖突、軟件兼容性引起的數(shù)據(jù)丟失、系統(tǒng)崩潰、突然斷電等原因,造成電子物證的變化且不易發(fā)現(xiàn)其改變的痕跡。

(7)存在的廣域性:電子物證因行為人使用網(wǎng)絡(luò)的種類不同或目的不同而存在于局域網(wǎng)或互聯(lián)網(wǎng)中,由于網(wǎng)絡(luò)犯罪行為和網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性,所以分散于網(wǎng)絡(luò)各臺計算機中的電子證據(jù)往往具有時間空間上的連續(xù)性,并能相互印證,形成證明犯罪事實的直接證據(jù)。而在遍布全球的互聯(lián)網(wǎng)中的各地網(wǎng)絡(luò)服務(wù)商提供的服務(wù)器就會留有電子物證。基于電子物證的這一特性,取證活動將常常不局限于一地區(qū)、一國界,且由于各地區(qū)、各國分屬不同的法域,對電子物證的法律規(guī)定自然存在差異,必然帶來取證的障礙和沖突。

3 電子證據(jù)的分類

(1)按計算機在證據(jù)形成過程中所起的作用分為使用計算機活動記錄的證據(jù)和使用計算機生成的結(jié)果證據(jù)。前者通常由計算機中的軟件自動記錄,后者如我們通過計算機擬就的合同、協(xié)議,并通過網(wǎng)絡(luò)發(fā)送給交易對方并得以確認的信息。

(2)按證明事實的不同可分為證明犯罪過程的證據(jù)或證明損害結(jié)果的證據(jù),如數(shù)據(jù)的被篡改、破壞情況,以及證明之間因果關(guān)系的電子證據(jù)(如計算機病毒和軟件中邏輯炸彈本身即有證明其破壞性的證明效力)。

(3)按存儲的位置分為在網(wǎng)絡(luò)(服務(wù)機)上的證據(jù)和存放在網(wǎng)絡(luò)終端(客戶機)上甚至移動存儲設(shè)備上的證據(jù)。

(4)電子證據(jù)按其技術(shù)含量可分為普通數(shù)據(jù)、隱藏數(shù)據(jù)、加密數(shù)據(jù)。具有加密技術(shù)的數(shù)據(jù)信息無疑有極強的證明力。

4 電子證據(jù)取證的對象

4.1 數(shù)據(jù)電文證據(jù)

存在于計算機中的:與案件有關(guān)的程序、數(shù)據(jù)資料文檔;系統(tǒng)日志文件;備份介質(zhì);入侵者殘留物:如程序、腳本、進程、內(nèi)存映像;交換區(qū)文件;臨時文件;硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到);系統(tǒng)緩沖區(qū)。

4.2 存在于網(wǎng)絡(luò)中的

防火墻日志;IDS日志;其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。

附屬信息證據(jù):是指在對電子證據(jù)進行審查判斷時,除電子證據(jù)本身所包含的證據(jù)信息之外的,能夠影響電子證據(jù)本身可采性和證明力的信息。是收集證據(jù)的過程記錄(地點、時間、人員和流程)、方法等信息。

4.3 系統(tǒng)環(huán)境證據(jù)

電子物證的取證活動應(yīng)針對每一案件事實,分別明確取證的數(shù)據(jù)電文證據(jù)、附屬信息證據(jù)和系統(tǒng)環(huán)境證據(jù)的內(nèi)容和范圍,由上述三個相關(guān)聯(lián)的證據(jù)構(gòu)成的完整的證明體系,才能確保電子物證具有真實性和可靠性。

5 電子證據(jù)取證時的原則

5.1 電子證據(jù)的收集要注意合法化

(1)取證的人員的身份合法:只有我們依據(jù)相關(guān)法律規(guī)定具有取證資格的人提取的證據(jù)才具有合法性。

(2)取證的程序合法:電子證據(jù)的取得,必須遵守法律規(guī)定的范圍、程序和方法,不得侵害公民的合法權(quán)益。當事人不得以非法侵入他人計算機信息系統(tǒng)的方法獲取證據(jù);特別是向isp或?qū)I(yè)網(wǎng)絡(luò)公司、數(shù)據(jù)公司要求取得某項證據(jù)時,要嚴格遵守與客戶簽訂的保密協(xié)議和服務(wù)條款,不得隨意泄露用戶個人信息,更不得以訴訟需要為名肆意竊取他人隱私材料和保密信息。如果證據(jù)是由第三人提供,則該第三人應(yīng)出具保證證據(jù)自生成或收到后始終保持原始狀態(tài)及本人自愿提供該證據(jù)的文件或數(shù)字簽名;鑒于事實上在糾紛中當事人很難獲得對方的證據(jù),對于因侵權(quán)所引起的糾紛應(yīng)當由侵權(quán)行為人承擔舉證責任。在對網(wǎng)絡(luò)犯罪電子證據(jù)的采集過程中對非司法機關(guān)、司法工作人員主體收集的電子證據(jù)不應(yīng)采信。

(3)在取證時使用的工具、軟件合法。

5.2 電子證據(jù)的來源要真實可靠

(1)證據(jù)的來源必須是客觀存在的,排除臆造出來的可能性;盡早地搜集整理證據(jù),能夠得到第一手的信息,并盡可能地做到取證的過程公正和公開。

(2)確定證據(jù)來源的真實可靠性,根據(jù)電子證據(jù)形成的時間、地點、對象、制作人、制作過程及設(shè)備情況,明確電子證據(jù)所反映的是否真實可靠,有無偽造和刪改的可能。在提取電子證據(jù)時要必須保證“證據(jù)連續(xù)性”,即在證據(jù)被正式提交給法庭時,必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當然最好是沒有任何變化。

(3)要確保所獲取的證據(jù)和原有的數(shù)據(jù)是相同的。在電子物證的提取和檢驗過程中,如果不按程序進行提取和檢驗,很容易使檢材中的電子信息改變,甚至造成電子物證永久性的破壞,即電子物證的“污染”。常見的造成電子物證“污染”情況有:

1)使用帶有系統(tǒng)的硬盤檢材啟動

2)恢復刪除的數(shù)據(jù)后,將恢復出的數(shù)據(jù)存回原盤

3)檢驗時將硬盤檢材直接掛在系統(tǒng)中

4)筆記本中的硬盤數(shù)據(jù)檢驗時,直接開機進行檢驗,這樣很容易改變其中的數(shù)據(jù)。

5)直接開啟手機檢材進行檢驗

(4)整個檢查、取證過程必須是受到監(jiān)督的。最好所有調(diào)查取證工作,都有其他方委派的專家的監(jiān)督。偵查人員應(yīng)當對提取、復制、固定電子數(shù)據(jù)的過程制作相關(guān)文字說明,記錄案由、對象、內(nèi)容以及提取、復制、固定的時間、地點、方法,電子數(shù)據(jù)的規(guī)格、類別、文件格式等,并由提取、復制、固定電子數(shù)據(jù)的制作人、電子數(shù)據(jù)的持有人簽名或者蓋章,附所提取、復制、固定的電子數(shù)據(jù)一并隨案移送。對于電子數(shù)據(jù)存儲在境外的計算機上的,或者偵查機關(guān)從網(wǎng)站提取電子數(shù)據(jù)時犯罪嫌疑人未到案的,或者電子數(shù)據(jù)的持有人無法簽字或者拒絕簽字的,應(yīng)當由能夠證明提取、復制、固定過程的見證人簽名或者蓋章,記明有關(guān)情況。必要時,可對提取、復制、固定有關(guān)電子數(shù)據(jù)的過程拍照或者錄像。

5.3 電子證據(jù)要與案件事實有關(guān)聯(lián)

提取的電子證據(jù)所反映的事件和行為要與案件事實有關(guān)聯(lián),只有與案件相關(guān)的事實或邏輯上是相關(guān)的事實才能被認為是證據(jù)。

6 現(xiàn)場勘察取證實踐中的需注意的問題

(1)保護現(xiàn)場環(huán)境對現(xiàn)場進行勘查,凍結(jié)目標計算機系統(tǒng),避免發(fā)生任何的改變、數(shù)據(jù)破壞或病毒感染。

(2)繪制犯罪現(xiàn)場圖、網(wǎng)絡(luò)拓撲圖,在移動或拆卸任何設(shè)備之前都要拍照存檔,為今后模擬和犯罪現(xiàn)場還原提供直接依據(jù)。

(3)積極要求證人、犯罪嫌疑人配合協(xié)作,從他們那里了解操作系統(tǒng)、用戶名口令、儲存數(shù)據(jù)的硬盤位置、文件目錄等信息。

(4)如果發(fā)現(xiàn)犯罪嫌疑人處所的電腦處于關(guān)機狀態(tài),在未掌握其是否在電腦中安裝還原軟件的情況下或者沒有確實把握,不要輕易自行開機查看電腦中留存的信息或進行其他操作;如果發(fā)現(xiàn)犯罪嫌疑人處所的電腦處于開機狀態(tài),辦案民警可對其場所進行控制。因案情需要,需對電腦進行扣押或需要對電腦中的信息進行分析的,應(yīng)直接切斷主機電源(拔插頭),不得進行正常關(guān)機操作。

(5)取證工作中,如果發(fā)現(xiàn)犯罪嫌疑人正在電腦前上網(wǎng)或進行機前操作,應(yīng)立即對其進行控制,使其暫停任何機前動作,做到人機分離,保持電腦中的原始狀態(tài),并視案情及時通知網(wǎng)監(jiān)部門進行現(xiàn)場處理。

(6)網(wǎng)吧或其他公共場所發(fā)現(xiàn)犯罪嫌疑人使用過的電腦或其他可疑電腦,要對該場所或小范圍進行控制,避免任何人關(guān)機或重新啟動。同時,要迅速通知網(wǎng)管人員或其他相關(guān)技術(shù)人員進行配合,防止電腦被遠程操作。對事后發(fā)現(xiàn)的可疑電腦,也應(yīng)盡早通知相應(yīng)人員對該電腦進行控制,避免更多的無關(guān)人員進行操作。

(7)公司或其他部門里局域網(wǎng)中的可疑電腦,無論其是否處于關(guān)機狀態(tài),均須將網(wǎng)線拔除,以避免犯罪嫌疑人或其他關(guān)系人進行遠程登錄關(guān)機或喚醒進行其他操作。

(8)對工作中發(fā)現(xiàn)的各類可疑筆記本電腦,可參照上述對臺式電腦處置的方法和要求進行處置。但對筆記本電腦進行切斷電源操作時,要注意在切斷外接電源的同時,還要切斷筆記本電腦的內(nèi)置電源。

(9)對工作中發(fā)現(xiàn)的可疑PDA(俗稱掌上電腦),因其內(nèi)置中無硬盤,所有輸入數(shù)據(jù)均存儲在內(nèi)存中,其信息資料會因電源耗盡而丟失。因此,要注意及時對此類電腦中的資料進行備份。

(10)對處于開機狀態(tài)的各類電腦進行處置前,須對電腦中的系統(tǒng)時間與實際時間進行比對,并記錄備查。對已查獲并進行勘驗、檢查過的各類電腦,要杜絕進行使用,以避免因再次使用電腦而造成電子證據(jù)在訴訟程序上的無效。

7 電子物證的分析、檢驗鑒定

(1)要在不改變原始數(shù)據(jù)的前提下對電子證據(jù)進行分析檢驗。為避免在檢驗過程中破壞源數(shù)據(jù),需要在檢驗前對源數(shù)據(jù)磁盤做逐位精確的備份,對硬盤克隆方法分為軟件克隆和專用硬盤克隆機。

(2)對電子證據(jù)進行檢驗鑒定,目前常見的鑒定類型有:基本數(shù)據(jù)的檢驗、數(shù)據(jù)的恢復檢驗、與網(wǎng)絡(luò)有關(guān)的電子物證檢驗、軟件功能檢驗、軟件一致性檢驗、文件一致性檢驗、文件解檢驗、數(shù)碼照片屬性檢驗、關(guān)健字檢驗、手機電子證據(jù)的檢驗以及其它電子設(shè)備中電子物證的檢驗鑒定。

8 結(jié)語

電子證據(jù)的產(chǎn)生是隨著高科技的發(fā)展而不斷變化的,在網(wǎng)絡(luò)技術(shù)發(fā)達的國家,有許多專門的計算機取證部門、實驗室和咨詢公司,國外公司開發(fā)的取證工具也覆蓋了計算機取證的四個階段,進一步提高了取證工具的自動化和智能化程度,利用取證工具提高電子證據(jù)搜集、保全、分析和鑒別的可靠性。我國的電子證據(jù)研究與實踐尚在起步階段,目前的網(wǎng)絡(luò)安全研究多著眼于入侵防范,而對于入侵后的取證問題研究甚少,可利用的工具就更少了,取證技術(shù)的研究和相當操作的標準化建設(shè),能從從技術(shù)的角度解決電子證據(jù)的法律舉證問題,對于追究相關(guān)責任、威懾犯罪等方面有著非常積極的意義。

參考文獻

[1] 羅潔,張國臣.謹防電子物證提取和檢驗中的“污染”.刑事技術(shù),2007,2.

[2] 黃步根.電子證據(jù)的收集技術(shù).微計算機應(yīng)用,2005-26-5.

[3] 吳珊,蘭義華.計算機取證技術(shù)研究.湖北工業(yè)大學學報.