电子取证流程
电子证据,是指在计算机或计算机系统运行过程中产生的,以其记录内容来证明案件事实的电磁记录物。以下是小编为您整理的电子取证流程,希望对您有帮助。
电子取证流程如下
一、电子取证的操作流程
(1)受理案件
调查机关在受理案件时,要详细记录案情,全面地了解潜在的与案件事实相关的电子证据材料,如涉案的计算机系统、打印机等电子设备的情况,包括系统日志、IP地址、网络运行状态、日常设备软件使用情况、受害方和犯罪嫌疑人的信息技术水平等。
(2)保护涉案现场
取证人员进入现场后,应迅速封锁整个计算机区域,将人、机、物品之间进行物理隔离;保护目标计算机系统,及时维持计算机网络运行状态,保护诸如移动硬盘、U盘、光盘、打印机、录音机、数码相机等相关电子设备,查看各类设备连接及使用情况,在操作过程中要避免任何更改系统设置、硬件损坏、数据破坏或病毒感染等情况的发生,以免破坏电子证据的客观性或造成证据的丢失。
(3)收集电子证据
由于电子证据的脆弱性,在证据收集过程中,应当由调查人员或是聘请的司法鉴定专家检查硬件设备,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不被修改或损毁。之后对原始存储介质进行备份,在备份过程中,应当使用安全只读接口,使用写保护技术进行操作,备份结束后检查备份文件是否与原文件一致,注意在此过程中需要进行全程录像并要求有第三方现场见证,以保证电子证据的客观真实性。
(4)固定和保管电子证据
在对计算机中的资料和数据进行备份过程后,应当及时记录各设备的基本信息、备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。在存储电子证据时,必须按照科学方法保全,要远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。还要注意防磁,特别是使用安装了无线电通讯设备的交通工具运送电子证据时,要关掉车上的无线设备,以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。
(5)分析电子证据
在电子证据分析阶段,应当使用相应的备份数据进行非破坏性分析,即通过一定的数据恢复方法将嫌疑人所删除、修改、隐藏和加密的证据进行尽可能的恢复,在恢复出来的文件资料中分析查找相关线索和证据。同时,详细记录数据恢复方法、操作步骤、操作时间、地点、人员信息等内容,以使证据经得起法庭的质证。
(6)归档电子证据
应及时整理取证与分析鉴定的结果并进行分类归档保存,主要包括证据收集时,对涉案电子设备的检查结果,即调查时间、地点、硬盘分区情况、操作系统版本、设备运行状态等;取证分析阶段,设备备份完整性、用户系统信息、日常软件操作情况以及对电子证据的分析结果和评估报告等相关信息。让侦查人员、鉴定人员、检察官在需要查看证据时,可以迅速的找到并了解相关证据资料。
二、电子取证的基本原则
(1)依法取证原则
1、主体合法,电子证据的取证与司法鉴定主体必须具备法定的取证与司法鉴定资格,只有具备合法的调查取证与司法鉴定身份,才能执行相应的取证与司法鉴定活动。2、对象合法,在调查取证过程中,对于与案件事实无关的数据,不能进行任意地取证,以免侵犯了所有人的隐私权等合法权益。3、手段合法,要求取证人员符合技术操作规范,取证所使用的工具和程序必须通过国家有关主管部门的评测。4、过程合法,要保证备份数据与源文件一致;在不改变数据的前提下对其进行分析;要利用传统的音视频采集工具,对取证过程进行全程记录,保证证据连续性;要有两个合法的取证人员同时在场取证;整个取证和鉴定过程必须主动接受监督。
(2)无损取证原则
1、为了防止由于对涉案设备、系统的操作而损毁某些电子证据,造成证据收集不充分,在电子取证的过程中,不能对涉案设备、系统进行任何修改操作,以维护涉案设备、运行环境等全部信息的完整状态。在数据分析阶段,必须先通过只读锁对原始数据进行镜像拷贝,然后再对拷贝数据进行分析,以保证电子证据的客观性。2、电子证据的实质是存储在电磁介质中的电磁信息,如果受到外界磁场影响,有可能被消磁而损坏原始数据,因此,对于收集到的电子证据应妥善保管,采取远离高磁场、高温环境、避免静电、潮湿、灰尘和挤压等措施,以保证电子证据的完整性。
(3)全面取证原则
在电子取证与鉴定过程中,应该尽可能地全面调查取证,认真分析电子证据的来源并进行全方位、多角度的取证和分析,在确保证据与案件事实关联的基础上,将获得的所有电子证据结合案件的其他证据,相互印证,排除矛盾的电子证据,最终形成完整的证据链条。
(4)及时取证原则
电子证据一般是在操作系统运行过程中自动、实时生成,系统经过一段时间的运行,很可能会造成信息系统的变化,如网络的审核记录、系统日志、进程通信信息都会或多或少产生变化,这些数据信息则不再能够如实反映案件事实。因而电子证据具有一定的时效性,在确定取证对象之后,应该尽早收集证据,保证相关电子数据没有受到任何破坏或损失,维持其与案件事实的关联性。