裴兆斌

內(nèi)容摘要：在信息全球化和科學(xué)技術(shù)突飛猛進(jìn)的今天，出現(xiàn)了一大批以電子計(jì)算機(jī)、互聯(lián)網(wǎng)、系統(tǒng)軟件、通信工程技術(shù)為犯罪手段的犯罪活動(dòng)，而且發(fā)展速度逐年加快。偵破此類案件的過(guò)程中，大量的相關(guān)電子信息被廣泛使用。因此，非常必要找出一種能夠涵蓋整個(gè)電子數(shù)據(jù)現(xiàn)場(chǎng)的取證方法。我國(guó)應(yīng)當(dāng)借鑒和推廣“獨(dú)立于特定技術(shù)和計(jì)算機(jī)犯罪的抽象取證模式”，加大計(jì)算機(jī)證據(jù)的識(shí)別力度。在面對(duì)海量的數(shù)據(jù)，識(shí)別是最重要的一個(gè)環(huán)節(jié)，能夠?qū)⒂?jì)算機(jī)犯罪證據(jù)與普通合法的數(shù)據(jù)區(qū)別開(kāi)來(lái)，還要注重?cái)?shù)據(jù)分析方法的創(chuàng)新，優(yōu)化原有的數(shù)據(jù)分析方法，尋找出適合計(jì)算機(jī)數(shù)據(jù)分析的新方法。

關(guān)鍵詞：刑事訴訟電子數(shù)據(jù)取證模式取證方法抽象取證模式

信息化時(shí)代特征可以描述為改造傳統(tǒng)方法的計(jì)算機(jī)技術(shù)、電子技術(shù)、通信技術(shù)的應(yīng)用。將計(jì)算機(jī)系統(tǒng)作為一種工具納入私人的、商業(yè)的、教育的、政府的及現(xiàn)代生活的其他層面已經(jīng)提高了這些實(shí)體的生產(chǎn)力和效率，讓人們步入了一種新的信息化的生活方式。同時(shí)，也引發(fā)了許多新的社會(huì)問(wèn)題和法律問(wèn)題，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)上發(fā)布虛假信息、色情賭博網(wǎng)站、電子郵件炸彈、散發(fā)電子垃圾郵件及網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)等問(wèn)題。同樣以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為手段的計(jì)算機(jī)犯罪活動(dòng)也迅速地在發(fā)展，信息化生活受到來(lái)自計(jì)算機(jī)犯罪活動(dòng)的巨大威脅。由于網(wǎng)絡(luò)工具犯罪和網(wǎng)絡(luò)對(duì)象犯罪在客觀方面表現(xiàn)為極強(qiáng)的隱蔽性，勢(shì)必增加了對(duì)此類犯罪案件的偵破難度。這些“與計(jì)算機(jī)等有關(guān)的犯罪”不一定是新型犯罪，但它確具有嚴(yán)重的危害性。這些案件是犯罪分子過(guò)度利用和精通計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、電子技術(shù)、通信技術(shù)的結(jié)果。為了有效打擊此類犯罪及時(shí)獲取電子數(shù)據(jù)證據(jù)，司法人員必須采用科學(xué)的取證方法和手段。本文探討了電子數(shù)據(jù)取證的發(fā)展進(jìn)程，對(duì)比分析了20世紀(jì)90年代后期業(yè)內(nèi)專家提出的幾種電子數(shù)據(jù)取證方法，最后提出了我國(guó)應(yīng)當(dāng)借鑒和推廣“獨(dú)立于特定技術(shù)和計(jì)算機(jī)犯罪的抽象取證模式”。

一、我國(guó)電子數(shù)據(jù)取證的發(fā)展進(jìn)程

我國(guó)1996年《刑事訴訟法》第42條規(guī)定的刑事訴訟的證據(jù)有七種形式，分別為：物證、書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定結(jié)論；勘驗(yàn)、檢查筆錄；視聽(tīng)資料。隨著偵查技術(shù)的發(fā)展與犯罪手段的日益復(fù)雜化，我國(guó)1996年《刑事訴訟法》規(guī)定的法定證據(jù)種類已經(jīng)無(wú)法涵蓋司法實(shí)踐中出現(xiàn)的證據(jù)形式，實(shí)踐中出現(xiàn)的證據(jù)形式不只這七種，而這些證據(jù)對(duì)定案來(lái)講有時(shí)起著關(guān)鍵性作用。在證據(jù)種類中將物證與書證并列為第一類證據(jù)形式，在司法實(shí)踐中容易產(chǎn)生誤解。另外，由于計(jì)算機(jī)通訊技術(shù)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)商業(yè)化的進(jìn)一步發(fā)展，引發(fā)了許多新的社會(huì)問(wèn)題和法律問(wèn)題，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)上發(fā)布虛假信息、色情賭博網(wǎng)站、電子郵件炸彈、散發(fā)電子垃圾郵件及網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)等問(wèn)題。偵破此類案件的過(guò)程中，大量的相關(guān)電子信息被廣泛使用，而這些證據(jù)形式在我國(guó)1996年《刑事訴訟法》證據(jù)制度中卻找不到合法性依據(jù)，駐足于原有的法定證據(jù)范疇不利于對(duì)當(dāng)前實(shí)踐中出現(xiàn)的證據(jù)形式進(jìn)行定位，全國(guó)人民代表大會(huì)第五次會(huì)議于2012年3月14日通過(guò)修改的《中華人民共和國(guó)刑事訴訟法》均采用了“電子數(shù)據(jù)”的概念。

電子數(shù)據(jù)（electronic data），是指基于計(jì)算機(jī)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段形成包括文字、圖形符號(hào)、數(shù)字、字母等的客觀資料。刑事訴訟電子數(shù)據(jù)證據(jù)是指以計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)為媒介載體產(chǎn)生，以數(shù)字電子符號(hào)為表現(xiàn)形式，收集、審查和判斷時(shí)必須借助電子計(jì)算機(jī)和電子計(jì)算機(jī)相關(guān)專業(yè)知識(shí)的，能夠證明刑事案件真實(shí)情況的所有數(shù)據(jù)。也就是說(shuō)，一切由信息技術(shù)形成的、用以證明刑事案件事實(shí)的數(shù)據(jù)信息都屬于刑事訴訟電子數(shù)據(jù)證據(jù)。從目前的司法實(shí)踐來(lái)看，在刑事訴訟中常見(jiàn)的電子數(shù)據(jù)類證據(jù)主要是開(kāi)放型計(jì)算機(jī)系統(tǒng)中的刑事訴訟電子證據(jù)，主要有局域網(wǎng)、互聯(lián)網(wǎng)中的電子證據(jù)，如電子郵件、電子公告板（BBS）、開(kāi)放性電子數(shù)據(jù)交換、聊天室等，還包括封閉型計(jì)算機(jī)系統(tǒng)中的刑事訴訟電子證據(jù)，主要指單個(gè)電子文件、數(shù)據(jù)庫(kù)生傳統(tǒng)電子數(shù)據(jù)交換（EDI）等。由于電子數(shù)據(jù)是由現(xiàn)代信息技術(shù)衍生的一種新型證據(jù)，因此世界各國(guó)司法界對(duì)電子數(shù)據(jù)取證存在各種各樣的表述，英文相關(guān)術(shù)語(yǔ)有“Electronic Forensics”、“Computer Forensics”、“Digital Forensics”、“Network ForensiCS”數(shù)種，我國(guó)目前引用較多的術(shù)語(yǔ)有“電子取證”、“計(jì)算機(jī)取證”、“數(shù)字取證”、“網(wǎng)絡(luò)取證”等。大學(xué)科研教育中多采用“計(jì)算機(jī)取證”說(shuō)法，能夠體現(xiàn)出取證與計(jì)算機(jī)科學(xué)與技術(shù)的關(guān)聯(lián)性，方便推廣；科研院所和檢察系統(tǒng)多采用“數(shù)字取證”，源于這一術(shù)語(yǔ)在國(guó)外司法界較高的使用率。刑事訴訟中的電子取證是一種相對(duì)新型的科學(xué)，它是由計(jì)算機(jī)取證衍生而成，現(xiàn)在已擴(kuò)大到包含了所有電子化技術(shù)手段的取證。取證專家Reith Clint Mark把計(jì)算機(jī)取證定義為“從計(jì)算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具” 〔1 〕。筆者認(rèn)為刑事訴訟中電子數(shù)據(jù)取證可以定義為：“在刑事訴訟活動(dòng)中，審判人員、檢察人員、偵查人員，依照法定程序，依托于科學(xué)原理以及經(jīng)過(guò)科學(xué)實(shí)驗(yàn)檢驗(yàn)的方法，發(fā)現(xiàn)、收集、固定、提取、分析、解釋、證實(shí)、記錄和描述電子設(shè)備中存儲(chǔ)的電子數(shù)據(jù)，以發(fā)現(xiàn)案件線索、認(rèn)定案件事實(shí)的行為。”電子取證與計(jì)算機(jī)取證是有所區(qū)別的：計(jì)算機(jī)取證的主體對(duì)象是計(jì)算機(jī)系統(tǒng)內(nèi)與案件有關(guān)的數(shù)據(jù)信息；而電子取證的主體對(duì)象是指電子化存儲(chǔ)的、能反映有關(guān)案件真實(shí)情況的數(shù)據(jù)信息。隨著社會(huì)的進(jìn)步，科學(xué)技術(shù)的發(fā)展，電子證據(jù)的重要性已經(jīng)越來(lái)越凸顯，越來(lái)越多的刑事案件涉及以電子數(shù)據(jù)記錄的信息為載體的證據(jù)資料。遺憾的是，現(xiàn)在還沒(méi)有一個(gè)標(biāo)準(zhǔn)化或一致的電子取證方法，只有一套由執(zhí)法部門、系統(tǒng)管理員和黑客的經(jīng)驗(yàn)組成的程序和設(shè)備。電子取證是從特定工具和技術(shù)進(jìn)化而成，而不同于其他許多傳統(tǒng)的取證科學(xué)起源于科學(xué)研究機(jī)構(gòu)?！? 〕這是有問(wèn)題的，因?yàn)樽C據(jù)必須通過(guò)可靠方法獲得，這種方法被證明能毫無(wú)偏見(jiàn)地獲取和分析證據(jù)。

二、國(guó)外幾種電子數(shù)據(jù)取證模式的分析

20世紀(jì)90年代后期，業(yè)內(nèi)許多專家針對(duì)計(jì)算機(jī)取證基本理論和基本方法滯后所帶來(lái)的種種問(wèn)題，開(kāi)始對(duì)取證程序及取證標(biāo)準(zhǔn)等基本問(wèn)題進(jìn)行研究，并提出了幾種典型的取證過(guò)程模式，即基本過(guò)程模式（Basic Process Model）、事件響應(yīng)過(guò)程模式（Incident Response Process Model）、法律執(zhí)行過(guò)程模式（Law Enforcement Process Model）、過(guò)程抽象模式（An Abstract Process Model）和其他過(guò)程模式：

（一）基本過(guò)程模式

這一時(shí)期最早開(kāi)始對(duì)電子數(shù)據(jù)取證基本理論進(jìn)行研究的專家Farmer和Venema，在1999年提出了電子取證的基本過(guò)程模式。具體步驟包括：“保證安全并進(jìn)行隔離，對(duì)現(xiàn)場(chǎng)信息進(jìn)行記錄，全面查找證據(jù)，對(duì)證據(jù)進(jìn)行提取和打包，維護(hù)監(jiān)督鏈?！?〔3 〕基本過(guò)程模式是國(guó)外電子取證的最常見(jiàn)的模式之一，也是實(shí)踐中比較成熟模式，其優(yōu)點(diǎn)在于應(yīng)用廣泛，操作簡(jiǎn)單便捷，但是這種模式也存在明顯的缺陷。例如整個(gè)取證中缺少了取證準(zhǔn)備階段，取證準(zhǔn)備階段是基本過(guò)程模式設(shè)計(jì)的6個(gè)階段的基礎(chǔ)和前提，缺少該階段會(huì)一定程度上影響取證的完整性；再有取證工具運(yùn)行平臺(tái)單一也是該模式的另一大弊端。基本過(guò)程模式的取證工具只能在UNIX平臺(tái)上運(yùn)行，而不能在其他平臺(tái)上運(yùn)行，這就使得該模式的實(shí)踐操作性大打折扣，所以該模式要想在實(shí)踐中得到廣泛的應(yīng)用還需要克服很多關(guān)鍵性問(wèn)題。

（二）事件響應(yīng)過(guò)程模式

2001年，Chris Prosise和Kevin Mandia在Incident Response： Investigating Computer Crime一書中提出了事件響應(yīng)過(guò)程模式的概念，這一模式分為以下各個(gè)階段：攻擊預(yù)防階段、事件偵測(cè)階段、初始響應(yīng)階段、響應(yīng)策略匹配、備份、調(diào)查、安全方案實(shí)施、網(wǎng)絡(luò)監(jiān)控、恢復(fù)、報(bào)告、補(bǔ)充?！? 〕事件響應(yīng)過(guò)程模式在基本過(guò)程模式的基礎(chǔ)上作了很大的改進(jìn)，也解決了一些基本過(guò)程模式在實(shí)踐中出現(xiàn)的問(wèn)題，例如突破了基本過(guò)程模式取證工具運(yùn)行平臺(tái)單一的瓶頸，在其原有的UNIX平臺(tái)基礎(chǔ)上，拓展了Windows 2000/NT和Cisco路由器等平臺(tái)，而且特別是設(shè)計(jì)了攻擊預(yù)防階段，使整個(gè)模式更加具體、全面，而且操作性強(qiáng)，越來(lái)越多的人將攻擊預(yù)防階段作為一個(gè)取證模式專業(yè)與否的主要標(biāo)志。這一模式的缺點(diǎn)是：所設(shè)計(jì)的模式中，注意力重點(diǎn)只在計(jì)算機(jī)犯罪方面，因而沒(méi)從數(shù)字設(shè)備角度解決電子數(shù)據(jù)取證程序問(wèn)題，如個(gè)人數(shù)字助理、外圍設(shè)備、移動(dòng)電話甚至未來(lái)的數(shù)字技術(shù)、電腦等。本應(yīng)在整個(gè)取證過(guò)程中占比重最大的系統(tǒng)分析僅占了1/11，而且雖然設(shè)計(jì)了“攻擊預(yù)防階段”，但是很多地方還存在很多不足，僅僅是作了一些探索，如“事先準(zhǔn)備取證工具及設(shè)備，熟練取證技能，不斷學(xué)習(xí)新的技術(shù)以便應(yīng)對(duì)突發(fā)事件”。

（三）法律執(zhí)行過(guò)程模式

2001年美國(guó)司法部（The U.S. Department of Justice，DOJ）在《電子犯罪現(xiàn)場(chǎng)調(diào)查指南》中提出了一個(gè)計(jì)算機(jī)取證程序調(diào)查模式，即法律執(zhí)行過(guò)程模式。此模式分為準(zhǔn)備階段、收集階段、檢驗(yàn)、分析、報(bào)告五個(gè)階段?！? 〕這一模式的優(yōu)點(diǎn)是：能更有效地辨別取證過(guò)程的核心部分并采取措施對(duì)其支撐，而不是糾纏于特定技術(shù)和方法的細(xì)節(jié)，使傳統(tǒng)的物理取證知識(shí)應(yīng)用到了電子數(shù)據(jù)取證，這是一種值得推薦的方法。此外，美國(guó)司法部沒(méi)有對(duì)運(yùn)用到計(jì)算機(jī)的取證或適用于其他電子設(shè)備的取證加以區(qū)別。相反，它試圖建立一個(gè)適用于大部分電子設(shè)備的推廣程序。美國(guó)司法部還列出了電子設(shè)備可能找到的證據(jù)類型，獲得證據(jù)的可能位置以及與證據(jù)可能有聯(lián)系的犯罪類別。例如，它能列出隱藏的證據(jù)位置，如已刪除的文件、隱蔽的隔區(qū)和被疏忽的空間。還能列出何種類型的信息可能藏匿于此，例如安全號(hào)碼、源代碼和一些圖像。這些信息會(huì)分別對(duì)照可疑罪行如身份盜取、電腦入侵或壓榨兒童反復(fù)查對(duì)。確定潛在的證據(jù)類型和不同電子設(shè)備搜索出的證據(jù)可能藏匿的地點(diǎn)，對(duì)取證實(shí)踐來(lái)說(shuō)是發(fā)展推廣程序的積極步驟，由此程序才能通過(guò)特定技術(shù)實(shí)例化，對(duì)偵查破案產(chǎn)生有意義的結(jié)果。這一模式的缺點(diǎn)是：由于它的面向?qū)ο笫且恢睆氖挛锢矸缸锶∽C（非數(shù)字取證）的司法人員，重點(diǎn)在于滿足他們的需要，對(duì)于系統(tǒng)的分析涉及較少。

（四）過(guò)程抽象模式

在過(guò)程抽象模式中比較具有代表意義的有兩種：一種是美國(guó)空軍研究院設(shè)計(jì)的AIRFORCE過(guò)程抽象模式；另一種是美國(guó)司法部設(shè)計(jì)的DOJ過(guò)程抽象模式。過(guò)程抽象模式的出現(xiàn)對(duì)在數(shù)字取證基本理論和基本方法研究意義重大。

1.AIRFORCE過(guò)程抽象模式

抽象即意味著在具體基礎(chǔ)上的求同，前幾種模式雖然在特定即技術(shù)和方法上有所改進(jìn)和創(chuàng)新，但是并沒(méi)有將其總結(jié)到抽象意義上的規(guī)律。美國(guó)空軍研究院在以往模式的基礎(chǔ)上，進(jìn)行批判的總結(jié)，尋求不同模式的共同之處，總結(jié)規(guī)律，尋求共性，在經(jīng)過(guò)對(duì)大量具體模式的比對(duì)和分析的基礎(chǔ)上尋求規(guī)律性，并將這些共性上升為抽象意義上的通用模式。這種模式汲取了大量的物理取證知識(shí)和有益之處，并將其應(yīng)用和擴(kuò)展到電子數(shù)據(jù)取證中來(lái)，發(fā)展和創(chuàng)新了原有的電子數(shù)據(jù)取證技術(shù)基本方法和基本原理。這一模式分為識(shí)別、準(zhǔn)備、策略制定、保存、收集、檢驗(yàn)、分析、提交等8個(gè)階段。但這個(gè)模式提出的“檢驗(yàn)”和“分析”名稱的相似使得這兩個(gè)階段常被混淆。

2.DOJ過(guò)程抽象模式

該模式包含收集、檢驗(yàn)、分析、報(bào)告等過(guò)程。DOJ過(guò)程抽象模式的創(chuàng)新之處在于“分類整理”，增加了對(duì)電子設(shè)備中證據(jù)的識(shí)別功能，能夠準(zhǔn)確地定位到潛在證據(jù)的存在位置。準(zhǔn)確無(wú)誤的識(shí)別和定位功能是該模式對(duì)證據(jù)“分類整理”的基礎(chǔ)，也使得證據(jù)類型、潛在的存儲(chǔ)位置和犯罪類型能得到區(qū)分，DOJ過(guò)程抽象模式豐富了抽象模式，使得該模式得到了進(jìn)一步的發(fā)展，對(duì)于電子證據(jù)取證程序具有重大的理論和現(xiàn)實(shí)意義。我們還應(yīng)該看到DOJ才剛剛起步，也面臨著諸多潛在不確定的因素，但是令人欣喜的是，該模式已經(jīng)對(duì)電子數(shù)據(jù)取證研究的核心問(wèn)題進(jìn)行了探索。但這個(gè)模式與AIRFORCE過(guò)程抽象模式存在同樣的問(wèn)題，模式提出的“檢驗(yàn)”和“分析”名稱的相似使得這兩個(gè)階段常被混淆。

（五）其他過(guò)程模式

其他過(guò)程模式是由數(shù)字取證研究組設(shè)計(jì)的，這個(gè)組織的宗旨是致力于數(shù)字取證基本理論及方法研究，數(shù)字取證研究是美國(guó)學(xué)術(shù)界牽頭并領(lǐng)導(dǎo)的第一個(gè)大規(guī)模組織，其背后具有的強(qiáng)大資金支持，資金來(lái)源主體分別是美國(guó)信息戰(zhàn)督導(dǎo)、美國(guó)空軍研究院、防御局。目前學(xué)術(shù)界在數(shù)字取證領(lǐng)域研究過(guò)程中存在的最突出的問(wèn)題是沒(méi)有形成數(shù)字取證標(biāo)準(zhǔn)化的術(shù)語(yǔ)，也就更談不上標(biāo)準(zhǔn)的數(shù)字取證分析過(guò)程及協(xié)議，因?yàn)闃?biāo)準(zhǔn)的術(shù)語(yǔ)是學(xué)術(shù)界在這一領(lǐng)域進(jìn)行研究的前提，沒(méi)有標(biāo)準(zhǔn)的術(shù)語(yǔ)研究將難以進(jìn)行?！? 〕數(shù)字取證研究組提出了一個(gè)初步的計(jì)算機(jī)取證科學(xué)的基本框架，框架包括“證據(jù)識(shí)別、證據(jù)保存、證據(jù)收集、證據(jù)檢驗(yàn)、證據(jù)分析、證據(jù)保存和提交” 〔7 〕。這個(gè)框架的科學(xué)性與否我們暫時(shí)不談，而該框架的真正意義在于確定了學(xué)術(shù)界在電子數(shù)據(jù)取證中的重要地位，也能夠進(jìn)一步激發(fā)學(xué)術(shù)界對(duì)電子數(shù)據(jù)取證過(guò)程的熱情，推動(dòng)電子數(shù)據(jù)取證的進(jìn)一步發(fā)展。

三、過(guò)程抽象取證模式的借鑒

（一）借鑒過(guò)程抽象取證模式的重要意義

1.取證主體的需要

我國(guó)現(xiàn)行《刑事訴訟法》第50條規(guī)定：“審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實(shí)犯罪嫌疑人、被告人有罪或者無(wú)罪、犯罪情節(jié)輕重的各種證據(jù)。”從該法律條文可以看出，在我國(guó)只有審判機(jī)關(guān)、檢察機(jī)關(guān)和偵查機(jī)關(guān)有刑事取證權(quán)，而且取證的范圍囊括了全部證據(jù)種類，但是隨著互聯(lián)網(wǎng)的出現(xiàn)，利用網(wǎng)絡(luò)為手段進(jìn)行犯罪的案件大量發(fā)生，由于網(wǎng)絡(luò)載體與其它證據(jù)載體存在著很大的不同，這就給司法工作人員的取證帶來(lái)了巨大的困難，利用傳統(tǒng)收集證據(jù)的方式很難獲得電子證據(jù)，而司法工作人員也缺乏相應(yīng)的專業(yè)性技術(shù)。就我國(guó)目前來(lái)講，在中央和省級(jí)公安機(jī)關(guān)成立了公共信息網(wǎng)絡(luò)安全監(jiān)察機(jī)構(gòu)，但仍然缺乏經(jīng)過(guò)法律授權(quán)的、具有豐富電子證據(jù)知識(shí)的調(diào)查人員及機(jī)構(gòu)。沒(méi)有專業(yè)的知識(shí)和技術(shù)成為困擾司法工作人員取證的難題，這樣專家介入也就不可避免，但電子專家雖在電子領(lǐng)域游刃有余，但是取證并不是簡(jiǎn)單的取得證據(jù)。因?yàn)樵谛淌略V訟領(lǐng)域，取證需要按照嚴(yán)格的程序來(lái)進(jìn)行，不懂得法律的電子專家很多時(shí)候的取證并不一定符合法律要求?？赡苋〉玫降淖C據(jù)也會(huì)成為“非法證據(jù)”。換個(gè)角度來(lái)看，在很多時(shí)候電子技術(shù)專家在收集電子證據(jù)時(shí)起到的作用超過(guò)司法工作人員，雖然名義上說(shuō)的是電子技術(shù)專家起協(xié)助作用，但是此時(shí)取證權(quán)已經(jīng)從司法工作人員轉(zhuǎn)移到了電子專家手中，這也是不符合法律規(guī)定。主體身份不對(duì)，但是實(shí)踐中為了案件的順利偵破，這種不合法也就習(xí)以為常了。此外，電子證據(jù)易丟失，難保存，如果保存得不及時(shí)，可能就會(huì)造成該電子證據(jù)的永久性滅失，且難以恢復(fù)。

為了使犯罪嫌疑人能夠得到法律的制裁，被害人及其近親屬利用自己手中掌握的網(wǎng)絡(luò)技術(shù)進(jìn)行取證，也會(huì)雇傭電子專家，甚至電腦黑客進(jìn)行取證，他們的取證手段和方式并沒(méi)有合法的法律依據(jù)，我國(guó)法律也并沒(méi)有賦予上述主體刑事取證權(quán)，即便是律師也必須經(jīng)過(guò)《刑事訴訟法》規(guī)定的程序進(jìn)行取證。在目前電子取證技術(shù)面臨困境的情況下，司法機(jī)關(guān)對(duì)于一些依靠社會(huì)力量和中間組織來(lái)調(diào)查收集的證據(jù)也成為了司法機(jī)關(guān)取證的一個(gè)重要手段，但是面臨的同樣一個(gè)問(wèn)題就是主體取證的合法性還是沒(méi)有解決，取證的程序也很不規(guī)范，要解決這一問(wèn)題就必須設(shè)立專門的計(jì)算機(jī)取證實(shí)驗(yàn)室?，F(xiàn)在美國(guó)至少70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室，而且美國(guó)成立了FBI紐約計(jì)算機(jī)犯罪專業(yè)防治隊(duì)，專門從事網(wǎng)絡(luò)犯罪偵查工作，針對(duì)不同類型的犯罪案件，有不同分組，專門進(jìn)行某一項(xiàng)犯罪活動(dòng)的偵查。

就目前我國(guó)的現(xiàn)實(shí)狀況而言，可以從一些科研院所、高等院校和專業(yè)性機(jī)構(gòu)選拔一批熟悉計(jì)算機(jī)知識(shí)、操作手段嫻熟的專家和學(xué)者組成取證實(shí)驗(yàn)室，而且最重要的是進(jìn)行法律的授權(quán)，形成電子證據(jù)取證制度。從法律上賦予他們專門從事電子取證的權(quán)利，同時(shí)也對(duì)他們?nèi)∽C過(guò)程進(jìn)行合法性監(jiān)督。這些可以參照我國(guó)的司法鑒定機(jī)構(gòu)有關(guān)方面的做法和經(jīng)驗(yàn)，同時(shí)要加強(qiáng)對(duì)實(shí)驗(yàn)室取證人員的后期培訓(xùn)。國(guó)外在這方面已經(jīng)走在前面，如美國(guó)的聯(lián)邦執(zhí)法培訓(xùn)中心已經(jīng)成為培訓(xùn)警察的基地，學(xué)員們可以學(xué)習(xí)怎樣從電子公告上發(fā)現(xiàn)證據(jù)，如何偵破計(jì)算機(jī)詐騙等偵查技術(shù)。這樣，只要是電子證據(jù)的取證就可以由計(jì)算機(jī)取證實(shí)驗(yàn)室進(jìn)行取證，自訴案件的自訴人也可以提出申請(qǐng)，由計(jì)算機(jī)取證實(shí)驗(yàn)室代為取證，從而不斷規(guī)范電子證據(jù)的取證。

2.破解目前我國(guó)電子取證領(lǐng)域面臨的問(wèn)題的需要

（1）科學(xué)、規(guī)范的電子取證程序缺乏。程序是實(shí)體的基礎(chǔ)，取證也必須在法定的程序內(nèi)進(jìn)行，如果取證不按照法定的程序，那么取證權(quán)也會(huì)被濫用。我國(guó)出臺(tái)的《計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn)與電子證據(jù)檢查規(guī)則》沒(méi)有具體的程序性規(guī)范，只是對(duì)電子計(jì)算機(jī)犯罪的證據(jù)作出了原則性，甚至模糊的規(guī)定，實(shí)踐中也難以操作。沒(méi)有程序的引導(dǎo)，取證的科學(xué)性和合法性就難以得到保證，而未經(jīng)過(guò)合法程序取得的證據(jù)也是沒(méi)有價(jià)值的。在這一方面亟需進(jìn)行立法，確定電子取證的程序，從而也便于對(duì)司法人員的取證進(jìn)行監(jiān)督。

（2）難以準(zhǔn)確有效地定位、查找和獲取計(jì)算機(jī)犯罪證據(jù)。計(jì)算機(jī)中保存著大量的數(shù)據(jù)，一個(gè)計(jì)算機(jī)能夠容納多少數(shù)據(jù)，這個(gè)問(wèn)題是很難回答的。隨著存儲(chǔ)技術(shù)的提高，計(jì)算機(jī)的存儲(chǔ)信息量也越來(lái)越大，但是計(jì)算機(jī)取證技術(shù)仍然十分落后，而且兩者之間的矛盾越來(lái)越明顯。而且計(jì)算機(jī)的每個(gè)系統(tǒng)之間都是緊密相聯(lián)系的，可以說(shuō)是牽一發(fā)而動(dòng)全身，一個(gè)計(jì)算機(jī)犯罪行為會(huì)與多個(gè)數(shù)據(jù)系統(tǒng)，多個(gè)程序混雜在一起，如果要查找該犯罪行為的證據(jù)就要在多個(gè)系統(tǒng)程序中進(jìn)行查找、定位和搜尋。實(shí)踐中計(jì)算機(jī)證據(jù)都是呈片段式，散見(jiàn)在各個(gè)數(shù)據(jù)系統(tǒng)中，常常與正常的數(shù)據(jù)混雜在一起，這也加大了區(qū)分和篩選的難度。如果篩選不當(dāng)，有可能對(duì)合法的數(shù)據(jù)造成損害。再有計(jì)算機(jī)存儲(chǔ)系統(tǒng)的不穩(wěn)定性也增加的計(jì)算機(jī)取證的難度。一個(gè)數(shù)據(jù)程序的變化會(huì)導(dǎo)致與之相對(duì)應(yīng)的多個(gè)數(shù)據(jù)程序變化，人為操作不當(dāng)，與黑客、木馬病毒的攻擊都會(huì)改變?cè)械臄?shù)據(jù)系統(tǒng)。所以面對(duì)這些問(wèn)題，如何在復(fù)雜的計(jì)算機(jī)系統(tǒng)中查找到，定位出犯罪信息的難度可想而知。

（3）證據(jù)不夠充分。面對(duì)反取證技術(shù)的發(fā)展，實(shí)際的計(jì)算機(jī)取證案件可能會(huì)面臨證據(jù)不足的問(wèn)題?，F(xiàn)有的取證技術(shù)在面對(duì)復(fù)雜的計(jì)算機(jī)程序時(shí)已經(jīng)顯得捉襟見(jiàn)肘，力不從心，在這樣的情況下面對(duì)反取證就更加辦法不多。實(shí)踐中反取證技術(shù)多種多樣，常見(jiàn)的反取證方式有數(shù)據(jù)隱藏、數(shù)據(jù)刪除和數(shù)據(jù)加密，而且這些反取證技術(shù)既可以單獨(dú)使用，也可以結(jié)合起來(lái)使用，這也就無(wú)形中又增加了取證的難度。我們?cè)谌∽C中開(kāi)發(fā)了利用日志分析工具的方法，利用該方法可以獲得查找犯罪信息的線索，但是針對(duì)日志分析系統(tǒng)的反取證方法則隨之出現(xiàn)了，通過(guò)系統(tǒng)后門、木馬程序等避開(kāi)日志系統(tǒng)，這樣就使得日志分析系統(tǒng)的作用蕩然無(wú)存，入侵者可以輕易刪除和修改，甚至破壞數(shù)據(jù)源。

（4）計(jì)算機(jī)證據(jù)的出示困難。證據(jù)的出示是刑事訴訟活動(dòng)中的重要環(huán)節(jié)，計(jì)算機(jī)證據(jù)也不例外，但是與傳統(tǒng)的證據(jù)出示相比，計(jì)算機(jī)證據(jù)出示難度較大且程序較為復(fù)雜，計(jì)算機(jī)證據(jù)的出示需要依賴一定的工具，而且有些證據(jù)只有利用特殊工具，在這特殊的條件下才能夠出現(xiàn)，受制于多方面因素。此外，由于計(jì)算機(jī)證據(jù)的散見(jiàn)在其他數(shù)據(jù)系統(tǒng)中，不能像傳統(tǒng)證據(jù)那樣采取證據(jù)保全措施。

（5）計(jì)算機(jī)取證專業(yè)人員及具備一定取證知識(shí)的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)等方面的安全管理人員比較缺乏。應(yīng)當(dāng)建立計(jì)算機(jī)專業(yè)取證人員的職業(yè)準(zhǔn)入制度。因?yàn)橛?jì)算機(jī)取證要求必須具有嫻熟的計(jì)算機(jī)應(yīng)用技術(shù)，能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，定位、查找計(jì)算機(jī)證據(jù)。此外，由于計(jì)算機(jī)系統(tǒng)是相關(guān)聯(lián)的，一旦操作不當(dāng)就會(huì)對(duì)公民的合法信息造成侵害，必須加強(qiáng)對(duì)計(jì)算機(jī)取證人員的職業(yè)道德規(guī)范的培養(yǎng)，最后還要對(duì)已經(jīng)通過(guò)職業(yè)準(zhǔn)入人員進(jìn)行定期考核。

（6）現(xiàn)有計(jì)算機(jī)取證的局限性。雖然計(jì)算機(jī)取證近年來(lái)得到了很大的發(fā)展，成績(jī)也是有目共睹的，但是我們不得不承認(rèn)的一個(gè)現(xiàn)實(shí)就是：我國(guó)計(jì)算機(jī)取證的起點(diǎn)非常低，這也就導(dǎo)致雖然快速發(fā)展但是水平依然很低，在理論上和計(jì)算機(jī)軟件工具上都有很大的局限性。從理論來(lái)說(shuō)，我們現(xiàn)在還停留在：計(jì)算機(jī)證據(jù)如保留完好的狀態(tài)，沒(méi)有被大規(guī)模破壞，而且證據(jù)沒(méi)有被其他數(shù)據(jù)系統(tǒng)覆蓋，取證人員能夠判斷出這些證據(jù)與犯罪相關(guān)。軟件取證局限在兩個(gè)方面：第一，我國(guó)現(xiàn)有的原件取證過(guò)分依賴磁盤，利用磁盤進(jìn)行數(shù)據(jù)存儲(chǔ)、復(fù)制、刪除和丟失數(shù)據(jù)的恢復(fù)。而隨著計(jì)算機(jī)的發(fā)展，磁盤的應(yīng)用和作用正在逐步地下降，也就導(dǎo)致現(xiàn)有的軟件工具跟不上軟件工具的發(fā)展更新。第二，計(jì)算機(jī)軟件的取證是一個(gè)新的市場(chǎng)，很多商家也都看好這個(gè)市場(chǎng)的發(fā)展?jié)摿?，但是由于在?jì)算機(jī)取證領(lǐng)域缺乏相關(guān)的法律依據(jù)和統(tǒng)一的規(guī)范，每個(gè)商家都在標(biāo)新立異，系統(tǒng)之間的兼容性差，這也就給使用者應(yīng)用起來(lái)造成了麻煩，需要對(duì)其有效性和可靠性進(jìn)行判斷和比較。

3.計(jì)算機(jī)取證發(fā)展趨勢(shì)的需要

經(jīng)過(guò)多年的發(fā)展和探索，計(jì)算機(jī)取證學(xué)作為一個(gè)新興的學(xué)科，無(wú)論是在理論研究上還是在實(shí)踐應(yīng)用中都取得了不俗的成績(jī)，在司法工作人員計(jì)算機(jī)取證中起到重要的作用。但是網(wǎng)絡(luò)計(jì)算機(jī)發(fā)展變化是日新月異的，落后一天就可能落后一個(gè)時(shí)代，計(jì)算機(jī)取證面臨著新困境、新問(wèn)題和新局面。如何應(yīng)對(duì)網(wǎng)絡(luò)上的挑戰(zhàn)也是計(jì)算機(jī)取證學(xué)亟需面對(duì)和應(yīng)對(duì)的問(wèn)題，而且時(shí)不我待。從理論和實(shí)踐兩方面來(lái)看，計(jì)算機(jī)取證領(lǐng)域?qū)⑾蛞韵聨讉€(gè)方向發(fā)展：（l）取證方式從治標(biāo)走向治本，由事后被動(dòng)的收集走向事前主動(dòng)的準(zhǔn)備。具體說(shuō)來(lái)，就是計(jì)算機(jī)取證逐步向研發(fā)領(lǐng)域拓展，以往計(jì)算機(jī)研發(fā)領(lǐng)域在設(shè)計(jì)之初并沒(méi)有為取證留有足夠的空間，這就使得事后取證往往與該計(jì)算機(jī)系統(tǒng)不兼容，甚至產(chǎn)生排異反應(yīng)。在未來(lái)的計(jì)算機(jī)系統(tǒng)的研究和設(shè)計(jì)之初，就應(yīng)該考慮到為計(jì)算機(jī)取證留有空間，把計(jì)算機(jī)取證作為必要的環(huán)節(jié)，事先做好準(zhǔn)備，變被動(dòng)為主動(dòng)，這樣不但減少取證成本，也使取證方便快捷，幫助司法工作人員能夠準(zhǔn)確。方便快捷地獲取所需證據(jù)。將來(lái)可能有信息資產(chǎn)、業(yè)務(wù)依賴于計(jì)算機(jī)與網(wǎng)絡(luò)的單位設(shè)置網(wǎng)絡(luò)與信息安全管理部門、安排安全管理職位、采取主動(dòng)取證措施等將和現(xiàn)在每個(gè)單位設(shè)置安全保衛(wèi)部門一樣普遍。（2）取證工具自動(dòng)化、智能化與集成化。隨著計(jì)算機(jī)發(fā)展速度的加快，信息全球化要求電子計(jì)算機(jī)的存儲(chǔ)功能必須與日益加快的信息存儲(chǔ)需求相適應(yīng)，所以計(jì)算機(jī)的存儲(chǔ)功能也相當(dāng)驚人，就連我們現(xiàn)在用的硬盤存儲(chǔ)量也要上百G。存儲(chǔ)能力增長(zhǎng)本是好事，我們面對(duì)的關(guān)鍵的、本質(zhì)的問(wèn)題是數(shù)據(jù)量的爆炸增長(zhǎng)。面對(duì)這大量的信息，利用什么樣的工具對(duì)數(shù)據(jù)進(jìn)行篩選和識(shí)別，利用人工已經(jīng)是不可能了，利用一般的工具也是杯水車薪。我們需要自動(dòng)化、智能化和集成化的工具對(duì)數(shù)據(jù)進(jìn)行處理，這樣才能應(yīng)對(duì)海量的數(shù)據(jù)系統(tǒng)。自動(dòng)化使得數(shù)據(jù)的處理速度大大加快，智能化能夠識(shí)別和篩選信息是否有用，也能融入人的智慧，避免計(jì)算機(jī)系統(tǒng)的固有弊端。（3）計(jì)算機(jī)取證領(lǐng)域需要繼續(xù)拓展。隨著電子設(shè)備的發(fā)展變化，電子計(jì)算機(jī)已經(jīng)不局限于原來(lái)的臺(tái)式計(jì)算機(jī)和筆記本計(jì)算機(jī)，目前絕大多數(shù)的移動(dòng)電話已經(jīng)具備了上網(wǎng)功能，也具有電子驅(qū)動(dòng)和數(shù)據(jù)處理器。比如，最新出品的蘋果和三星手機(jī)已經(jīng)具有8核處理器，而且無(wú)線網(wǎng)絡(luò)也是鋪天蓋地地?cái)U(kuò)展，信息交流的方式也出現(xiàn)了多樣化，微信、微博等新的信息交流方式逐步擴(kuò)大。所以計(jì)算機(jī)取證的領(lǐng)域也就被無(wú)形地?cái)U(kuò)大了，要找到合適的證據(jù)就需要針對(duì)不同的場(chǎng)合設(shè)計(jì)專門化產(chǎn)品（包括硬件和信息格式方面），做出相應(yīng)的取證工具。（4）完善電子計(jì)算機(jī)取證方面的立法?！缎淌略V訟法》對(duì)于取證作出了明確的規(guī)定，當(dāng)然也適用于電子計(jì)算機(jī)取證，但是計(jì)算機(jī)領(lǐng)域的取證與傳統(tǒng)的取證既有共性，又有諸多的不同。所以針對(duì)特殊性和新領(lǐng)域，應(yīng)該制定相關(guān)的單行法規(guī)或者由司法機(jī)關(guān)作出司法解釋，彌補(bǔ)法律上的空白，為電子計(jì)算機(jī)取證標(biāo)準(zhǔn)化工作提供法律依據(jù)。（5）計(jì)算機(jī)取證、計(jì)算機(jī)司法鑒定等的規(guī)范管理。目前我國(guó)計(jì)算機(jī)取證領(lǐng)域處于比較混亂的局面，由于缺少職業(yè)準(zhǔn)入制度，對(duì)進(jìn)入計(jì)算機(jī)取證領(lǐng)域的機(jī)構(gòu)和人員沒(méi)有過(guò)多的限制，也使得魚龍混雜。缺乏資質(zhì)的取證機(jī)構(gòu)和工作人員取得的計(jì)算機(jī)證據(jù)難以獲得普遍的認(rèn)可。而且沒(méi)有職業(yè)準(zhǔn)入制度，也不利于對(duì)取證機(jī)構(gòu)和人員進(jìn)行管理，所以當(dāng)務(wù)之急是建立計(jì)算機(jī)領(lǐng)域的職業(yè)準(zhǔn)入制度，認(rèn)真審核機(jī)構(gòu)和人員的資質(zhì)。通過(guò)檢查和考核，對(duì)不符合條件的予以清除，這樣才能使得結(jié)果具有可信性，計(jì)算機(jī)司法鑒定活動(dòng)等將得到規(guī)范管理。

4.國(guó)內(nèi)外研究現(xiàn)狀的需要

2005年11月，我國(guó)在北京成立了電子取證專家委員會(huì)并舉辦了首屆計(jì)算機(jī)取證技術(shù)研討會(huì)，2007年8月，在烏魯木齊舉辦了第二屆計(jì)算機(jī)取證技術(shù)研討會(huì)。2005年l月以來(lái)，CCFC計(jì)算機(jī)取證技術(shù)峰會(huì)和高峰論壇也非?；钴S，舉辦了三次大型活動(dòng)。2007年和2008年，在北京舉行的國(guó)際反恐警用裝備展中，電子取證的軟硬件等設(shè)備開(kāi)始成為亮點(diǎn)。目前，國(guó)內(nèi)的一些科研院所也在加大這一領(lǐng)域的研究力度，中科院在網(wǎng)絡(luò)入侵取證、武漢大學(xué)和復(fù)旦大學(xué)在密碼技術(shù)、吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤、電子科技大學(xué)在網(wǎng)絡(luò)誘騙、北京航空航天大學(xué)在入侵誘騙模型等方面都展開(kāi)了研究工作。湖北警官學(xué)院在計(jì)算機(jī)取證和司法鑒定方面的研究工作走在公安院校的前列。2004年8月，湖北警官學(xué)院建立電子取證重點(diǎn)實(shí)驗(yàn)室，承擔(dān)了國(guó)家、公安部和湖北省的一系列項(xiàng)目。2006年8月，依托湖北警官學(xué)院電子取證重點(diǎn)實(shí)驗(yàn)室，成立了具有司法鑒定資質(zhì)的湖北丹平司法鑒定所（后改名為湖北三真司法鑒定所），擁有12位國(guó)家計(jì)算機(jī)司法鑒定人，承辦了大量的計(jì)算機(jī)取證和司法鑒定案件。但是，在國(guó)內(nèi)，有關(guān)計(jì)算機(jī)取證方面的研究和實(shí)踐才剛起步，司法機(jī)關(guān)對(duì)計(jì)算機(jī)取證工具的應(yīng)用，大多是利用國(guó)外一些常用取證工具或者自身技術(shù)經(jīng)驗(yàn)開(kāi)發(fā)的工具，在程序上計(jì)算機(jī)取證的流程缺乏比較深入的研究，證據(jù)收集、文檔保存很不完善，而且數(shù)字證據(jù)分析和解釋也存在不足，造成電子數(shù)字證據(jù)的可靠性、有效性、可信度不強(qiáng)。到目前為止，專門的權(quán)威機(jī)構(gòu)對(duì)計(jì)算機(jī)取證機(jī)構(gòu)或工作人員的資質(zhì)認(rèn)定還沒(méi)有形成規(guī)范，計(jì)算機(jī)取證工具的評(píng)價(jià)標(biāo)準(zhǔn)尚未建立，計(jì)算機(jī)取證操作規(guī)范的執(zhí)行也有所欠缺。

20世紀(jì)90年代中期，隨著Internet等網(wǎng)絡(luò)技術(shù)的發(fā)展，以計(jì)算機(jī)犯罪為主的電子犯罪呈現(xiàn)更加猖獗的勢(shì)頭，司法機(jī)關(guān)對(duì)取證技術(shù)及取證工具的需求更加強(qiáng)烈。由于看好取證產(chǎn)品的廣闊市場(chǎng)，許多商家相繼推出了許多關(guān)于取證的專用產(chǎn)品，如美國(guó)GUIDANCE軟件公司開(kāi)發(fā)的Encase等產(chǎn)品。由于主要受商家和應(yīng)用技術(shù)的驅(qū)動(dòng)，理論發(fā)展比較滯后，標(biāo)準(zhǔn)不統(tǒng)一。這種趨勢(shì)導(dǎo)致在調(diào)查取證時(shí)既沒(méi)有一致性也沒(méi)有可依靠的標(biāo)準(zhǔn)，因此急切需要對(duì)計(jì)算機(jī)取證技術(shù)的理論和方法進(jìn)行更深入的研究。

（二）刑事訴訟中電子數(shù)據(jù)取證模式的借鑒

借鑒之前的取證協(xié)議，我們能抽象定義出一些常見(jiàn)步驟來(lái)建立一個(gè)獨(dú)立于特定技術(shù)和電子犯罪的模式。這一模式的基礎(chǔ)是確定上述協(xié)議的關(guān)鍵部分以及傳統(tǒng)取證的思想，特別是聯(lián)邦調(diào)查局的物理犯罪現(xiàn)場(chǎng)調(diào)查?！? 〕所提議的模式可以被看作是DFRW模式的提升版，因?yàn)殪`感來(lái)自于DFRW。這一模式的關(guān)鍵組成部分包括：（1）鑒定。識(shí)別出指示器反映的事件并確定其類型。在取證領(lǐng)域內(nèi)這一步并不突顯，但是它能影響其他步驟，所以非常重要。（2）準(zhǔn)備。預(yù)備好工具、技術(shù)、搜查證并監(jiān)控授權(quán)與管理支撐系統(tǒng)。（3）方法策略。根據(jù)對(duì)旁觀者可能產(chǎn)生的影響以及討論采用的具體技術(shù)制定一個(gè)動(dòng)態(tài)方案。策略的目標(biāo)應(yīng)該是將收集未被破壞的證據(jù)最大化和將對(duì)受害者產(chǎn)生的影響最小化。（4）保存。隔離、保護(hù)和保存好物理和數(shù)字證據(jù)。這包括防止人們使用數(shù)字設(shè)備以及在受影響范圍內(nèi)使用其他電磁設(shè)備。（5）收集。通過(guò)標(biāo)準(zhǔn)化的被認(rèn)可的規(guī)程記錄案件物理場(chǎng)景，復(fù)制數(shù)字化證據(jù)。（6）檢查。深入系統(tǒng)地搜尋與可疑罪行相關(guān)的證據(jù)，重點(diǎn)要放在識(shí)別與定位可能藏匿在非常規(guī)地點(diǎn)的證據(jù)，并且建立詳細(xì)的分析文件。（7）分析。確定重點(diǎn)，重建數(shù)據(jù)碎片，并根據(jù)所得證據(jù)得出結(jié)論。這可能要經(jīng)過(guò)幾個(gè)迭次的檢查與分析來(lái)支撐犯罪理論。分析的不同之處在于它不需要高超技術(shù)就能完成，這樣，更多人能參與到調(diào)查中來(lái)。（8）陳述?？偨Y(jié)并解釋結(jié)論。這些應(yīng)該用抽象術(shù)語(yǔ)標(biāo)明給外行看。所有抽象術(shù)語(yǔ)都應(yīng)該參照具體細(xì)節(jié)。（9）歸還證據(jù)。保證物質(zhì)財(cái)產(chǎn)和數(shù)字化財(cái)產(chǎn)歸還原主，并且確定為何要遷移某些犯罪證據(jù)以及何種犯罪證據(jù)須移走。這也不是取證明確規(guī)定的步驟，許多掌控證據(jù)的模式很少處理這一方面。

需要注意的是，這些步驟和傳統(tǒng)用于收集物理證據(jù)的方法不是不一樣，而實(shí)際上不同在于它們是當(dāng)前應(yīng)用于涉及數(shù)字化證據(jù)犯罪慣例的抽象概念?！? 〕“許多經(jīng)標(biāo)定的調(diào)查技術(shù)與方法存在于更為傳統(tǒng)的取證規(guī)范中。其中的大部分適用于網(wǎng)絡(luò)，但人們對(duì)此還未深思熟慮過(guò)?！?〔10 〕這些步驟涉及的數(shù)字技術(shù)類型至此能被抽象定義出來(lái)，這點(diǎn)很重要。因?yàn)樗沟靡粋€(gè)標(biāo)準(zhǔn)化程序能被定義而無(wú)需說(shuō)明其采用的具體技術(shù)，這就確立了一種以簡(jiǎn)單易懂和能被廣泛接受的方式處理過(guò)去、現(xiàn)在和未來(lái)的數(shù)字設(shè)備的方法。比如，這種方法能適用于多種數(shù)字設(shè)備，從計(jì)算器到桌面電腦，甚至是還未實(shí)現(xiàn)的未來(lái)數(shù)字設(shè)備。通過(guò)這種模式，未來(lái)的技術(shù)和取證中需分析的技術(shù)細(xì)節(jié)能被實(shí)例化來(lái)為獲取電子證據(jù)提供一個(gè)一致的標(biāo)準(zhǔn)化方法。取證科學(xué)由此能得到發(fā)展，因?yàn)樗鼮榉治鰯?shù)字或電子技術(shù)打下了基礎(chǔ)，與此同時(shí)為執(zhí)法部分和司法機(jī)構(gòu)在法律可行范圍內(nèi)構(gòu)建了共同框架。

定義此模式下的數(shù)字技術(shù)各種不同類別還需附加的子程序。在此考慮檢查步驟下一個(gè)名叫檢查非易失性存儲(chǔ)（Examine Non-Volatile Storage）的子程序。它包括對(duì)所有維持自己穩(wěn)定狀態(tài)的數(shù)字技術(shù)的檢查。這些技術(shù)類似于紙質(zhì)文件、錄像和錄音，它們都接受作為證據(jù)性物件。借助這種類別的定義，司法人員使用抽象概念能比易失存儲(chǔ)類別中的技術(shù)更可靠。當(dāng)然，還有特定技術(shù)的許多具體細(xì)節(jié)需加以處理，但這種模式允許引入那些細(xì)節(jié)。通過(guò)這種模式，收集證據(jù)的方法可以從技術(shù)的各個(gè)子程序得出，并在子程序內(nèi)受審查以及改進(jìn)。從理想上說(shuō)來(lái)，一個(gè)發(fā)展成熟的方法能影響其他技術(shù)方法的發(fā)展。模式內(nèi)加入特定證據(jù)搜集方法使得模式具備可信度，且能擔(dān)保非技術(shù)觀察員能將搜尋相似證據(jù)的經(jīng)驗(yàn)運(yùn)用到同一類別的某個(gè)案例中去。

繼續(xù)舉永久性儲(chǔ)存的例子，我們來(lái)考慮固定硬盤（通常用于傳統(tǒng)的計(jì)算機(jī)系統(tǒng)）和嵌入的非易失性閃速存儲(chǔ)器（用于個(gè)人數(shù)字助理、數(shù)碼相機(jī)和MP3）之間的關(guān)系。這個(gè)教學(xué)法例子中，兩種技術(shù)都可以存儲(chǔ)對(duì)司法人員有用的證據(jù)，通過(guò)把它看成一種永久的數(shù)字儲(chǔ)存，使之能對(duì)所發(fā)現(xiàn)內(nèi)容維持信用度。當(dāng)然實(shí)際的數(shù)據(jù)抽象依賴于技術(shù)，但內(nèi)容的檢查還需遵照標(biāo)準(zhǔn)化的程序，因?yàn)樗ǔＲ远问酱嬖?。抽象的?yōu)點(diǎn)在于大部分?jǐn)?shù)字設(shè)備，無(wú)論是計(jì)算機(jī)系統(tǒng)、個(gè)人數(shù)字助理、數(shù)碼相機(jī)或其它設(shè)備，都包含某種能用于分析得到潛在證據(jù)的非易失性存儲(chǔ)類型。若實(shí)現(xiàn)這種通用性，配套程序和工具能得以改進(jìn)，之前定義的方法可作為發(fā)展新技術(shù)的起點(diǎn)。

未被討論優(yōu)點(diǎn)及其缺點(diǎn)的模式是不完整的。之前已討論了優(yōu)點(diǎn)，現(xiàn)在來(lái)談?wù)勂淙秉c(diǎn)。首先，這一模式還未受檢驗(yàn)或證明它是否為數(shù)字取證的良方。它試圖通過(guò)確定數(shù)字技術(shù)的通用性并反向建立一種適用于多種而不是少數(shù)幾種數(shù)字技術(shù)的固定取證程序，以此來(lái)促進(jìn)數(shù)字取證實(shí)踐的發(fā)展。但必須考慮阻止添加一些對(duì)程序無(wú)用的抽象步驟，因?yàn)樗鼈儧](méi)有實(shí)際運(yùn)用價(jià)值。其次，這種模式是為了應(yīng)用于數(shù)字技術(shù)領(lǐng)域。本文雖未考慮非數(shù)字技術(shù)，但它也可能需要取證分析。以下這種模式的優(yōu)缺點(diǎn)：首先，模式優(yōu)點(diǎn)。為數(shù)字取證發(fā)展構(gòu)建了一致和標(biāo)準(zhǔn)化的框架，提供了將此框架運(yùn)用到未來(lái)數(shù)字技術(shù)的機(jī)制。司法人員能利用這個(gè)推廣的方法把技術(shù)轉(zhuǎn)述給非技術(shù)觀察員。確定具體技術(shù)依賴型工具的需要并從之前同類中已確定的工具獲取靈感，使將非數(shù)字的、電子的技術(shù)納入抽象概念成為可能。其次，模式缺點(diǎn)。類別定義得太寬泛，不夠?qū)嵱?。沒(méi)有檢測(cè)此模式的簡(jiǎn)易明確方法。附加于模式的子類別使得模式的使用更為不便。這一模式一個(gè)明顯未觸及的部分就是監(jiān)管鏈。當(dāng)然這是任何取證或調(diào)查工作當(dāng)中的一個(gè)重要部分。此模式假定一個(gè)牢固的監(jiān)管鏈會(huì)維持在整個(gè)調(diào)查過(guò)程中。但上述模式缺乏這一監(jiān)管鏈也并不是說(shuō)監(jiān)管鏈不重要，而關(guān)鍵是它得運(yùn)用到取證研討中去。

四、結(jié)論

每年世界范圍內(nèi)的計(jì)算機(jī)犯罪量都有增長(zhǎng)。隨著技術(shù)的加入、軟件的改進(jìn)以及使用者對(duì)數(shù)字化方面的精通，他們所犯的案件變得越來(lái)越復(fù)雜。執(zhí)法部門和這些罪犯?jìng)儾粩噍^量以保證較量水平。開(kāi)發(fā)一種能系統(tǒng)利用數(shù)字設(shè)備獲取相關(guān)證據(jù)的工具就是較量的一部分。隨著更多設(shè)備數(shù)字化，開(kāi)發(fā)的工具也應(yīng)該包含這一特征。這場(chǎng)較量的另一個(gè)部分，且可能是更為關(guān)鍵的部分，是發(fā)展一種能夠涵蓋數(shù)字犯罪現(xiàn)場(chǎng)調(diào)查所有類別的取證分析方法論。這種方法須適用于當(dāng)前所有數(shù)字犯罪，也包括未來(lái)的現(xiàn)在還未出現(xiàn)的罪行。當(dāng)前的許多方法太針對(duì)某個(gè)特定技術(shù)。而提議的模式試圖通過(guò)整合常用技巧并改正方法缺點(diǎn)來(lái)改進(jìn)現(xiàn)存模式。筆者認(rèn)為，計(jì)算機(jī)系統(tǒng)處于一種動(dòng)態(tài)之中，那么我們就應(yīng)該建立計(jì)算機(jī)取證的動(dòng)態(tài)模式，加大計(jì)算機(jī)證據(jù)的識(shí)別力度。在面對(duì)海量的數(shù)據(jù)，識(shí)別是最重要的一個(gè)環(huán)節(jié)，能夠?qū)⒂?jì)算機(jī)犯罪證據(jù)與普通合法的數(shù)據(jù)區(qū)別開(kāi)來(lái)，還要注重?cái)?shù)據(jù)分析方法的創(chuàng)新，優(yōu)化原有的數(shù)據(jù)分析方法，尋找出適合計(jì)算機(jī)數(shù)據(jù)分析的新方法。具體而言，需要高效率的搜索算法、完整性檢測(cè)算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。事前準(zhǔn)備、準(zhǔn)確定位、事后收集三個(gè)環(huán)節(jié)貫穿于整個(gè)計(jì)算機(jī)取證的過(guò)程。此外，完善加密措施對(duì)計(jì)算機(jī)取證也有所裨益。此外，有的專家學(xué)者提出了基于聚類的流量壓縮算法和模型的評(píng)價(jià)機(jī)制。這些都是值得研究的。