裴兆斌

內(nèi)容摘要：在信息全球化和科學(xué)技術(shù)突飛猛進(jìn)的今天，出現(xiàn)了一大批以電子計算機(jī)、互聯(lián)網(wǎng)、系統(tǒng)軟件、通信工程技術(shù)為犯罪手段的犯罪活動，而且發(fā)展速度逐年加快。偵破此類案件的過程中，大量的相關(guān)電子信息被廣泛使用。因此，非常必要找出一種能夠涵蓋整個電子數(shù)據(jù)現(xiàn)場的取證方法。我國應(yīng)當(dāng)借鑒和推廣“獨(dú)立于特定技術(shù)和計算機(jī)犯罪的抽象取證模式”，加大計算機(jī)證據(jù)的識別力度。在面對海量的數(shù)據(jù)，識別是最重要的一個環(huán)節(jié)，能夠?qū)⒂嬎銠C(jī)犯罪證據(jù)與普通合法的數(shù)據(jù)區(qū)別開來，還要注重數(shù)據(jù)分析方法的創(chuàng)新，優(yōu)化原有的數(shù)據(jù)分析方法，尋找出適合計算機(jī)數(shù)據(jù)分析的新方法。

關(guān)鍵詞：刑事訴訟電子數(shù)據(jù)取證模式取證方法抽象取證模式

信息化時代特征可以描述為改造傳統(tǒng)方法的計算機(jī)技術(shù)、電子技術(shù)、通信技術(shù)的應(yīng)用。將計算機(jī)系統(tǒng)作為一種工具納入私人的、商業(yè)的、教育的、政府的及現(xiàn)代生活的其他層面已經(jīng)提高了這些實(shí)體的生產(chǎn)力和效率，讓人們步入了一種新的信息化的生活方式。同時，也引發(fā)了許多新的社會問題和法律問題，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)上發(fā)布虛假信息、色情賭博網(wǎng)站、電子郵件炸彈、散發(fā)電子垃圾郵件及網(wǎng)絡(luò)知識產(chǎn)權(quán)等問題。同樣以計算機(jī)網(wǎng)絡(luò)技術(shù)為手段的計算機(jī)犯罪活動也迅速地在發(fā)展，信息化生活受到來自計算機(jī)犯罪活動的巨大威脅。由于網(wǎng)絡(luò)工具犯罪和網(wǎng)絡(luò)對象犯罪在客觀方面表現(xiàn)為極強(qiáng)的隱蔽性，勢必增加了對此類犯罪案件的偵破難度。這些“與計算機(jī)等有關(guān)的犯罪”不一定是新型犯罪，但它確具有嚴(yán)重的危害性。這些案件是犯罪分子過度利用和精通計算機(jī)網(wǎng)絡(luò)技術(shù)、電子技術(shù)、通信技術(shù)的結(jié)果。為了有效打擊此類犯罪及時獲取電子數(shù)據(jù)證據(jù)，司法人員必須采用科學(xué)的取證方法和手段。本文探討了電子數(shù)據(jù)取證的發(fā)展進(jìn)程，對比分析了20世紀(jì)90年代后期業(yè)內(nèi)專家提出的幾種電子數(shù)據(jù)取證方法，最后提出了我國應(yīng)當(dāng)借鑒和推廣“獨(dú)立于特定技術(shù)和計算機(jī)犯罪的抽象取證模式”。

一、我國電子數(shù)據(jù)取證的發(fā)展進(jìn)程

我國1996年《刑事訴訟法》第42條規(guī)定的刑事訴訟的證據(jù)有七種形式，分別為：物證、書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定結(jié)論；勘驗(yàn)、檢查筆錄；視聽資料。隨著偵查技術(shù)的發(fā)展與犯罪手段的日益復(fù)雜化，我國1996年《刑事訴訟法》規(guī)定的法定證據(jù)種類已經(jīng)無法涵蓋司法實(shí)踐中出現(xiàn)的證據(jù)形式，實(shí)踐中出現(xiàn)的證據(jù)形式不只這七種，而這些證據(jù)對定案來講有時起著關(guān)鍵性作用。在證據(jù)種類中將物證與書證并列為第一類證據(jù)形式，在司法實(shí)踐中容易產(chǎn)生誤解。另外，由于計算機(jī)通訊技術(shù)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)商業(yè)化的進(jìn)一步發(fā)展，引發(fā)了許多新的社會問題和法律問題，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)上發(fā)布虛假信息、色情賭博網(wǎng)站、電子郵件炸彈、散發(fā)電子垃圾郵件及網(wǎng)絡(luò)知識產(chǎn)權(quán)等問題。偵破此類案件的過程中，大量的相關(guān)電子信息被廣泛使用，而這些證據(jù)形式在我國1996年《刑事訴訟法》證據(jù)制度中卻找不到合法性依據(jù)，駐足于原有的法定證據(jù)范疇不利于對當(dāng)前實(shí)踐中出現(xiàn)的證據(jù)形式進(jìn)行定位，全國人民代表大會第五次會議于2012年3月14日通過修改的《中華人民共和國刑事訴訟法》均采用了“電子數(shù)據(jù)”的概念。

電子數(shù)據(jù)（electronic data），是指基于計算機(jī)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段形成包括文字、圖形符號、數(shù)字、字母等的客觀資料。刑事訴訟電子數(shù)據(jù)證據(jù)是指以計算機(jī)或計算機(jī)系統(tǒng)為媒介載體產(chǎn)生，以數(shù)字電子符號為表現(xiàn)形式，收集、審查和判斷時必須借助電子計算機(jī)和電子計算機(jī)相關(guān)專業(yè)知識的，能夠證明刑事案件真實(shí)情況的所有數(shù)據(jù)。也就是說，一切由信息技術(shù)形成的、用以證明刑事案件事實(shí)的數(shù)據(jù)信息都屬于刑事訴訟電子數(shù)據(jù)證據(jù)。從目前的司法實(shí)踐來看，在刑事訴訟中常見的電子數(shù)據(jù)類證據(jù)主要是開放型計算機(jī)系統(tǒng)中的刑事訴訟電子證據(jù)，主要有局域網(wǎng)、互聯(lián)網(wǎng)中的電子證據(jù)，如電子郵件、電子公告板（BBS）、開放性電子數(shù)據(jù)交換、聊天室等，還包括封閉型計算機(jī)系統(tǒng)中的刑事訴訟電子證據(jù)，主要指單個電子文件、數(shù)據(jù)庫生傳統(tǒng)電子數(shù)據(jù)交換（EDI）等。由于電子數(shù)據(jù)是由現(xiàn)代信息技術(shù)衍生的一種新型證據(jù)，因此世界各國司法界對電子數(shù)據(jù)取證存在各種各樣的表述，英文相關(guān)術(shù)語有“Electronic Forensics”、“Computer Forensics”、“Digital Forensics”、“Network ForensiCS”數(shù)種，我國目前引用較多的術(shù)語有“電子取證”、“計算機(jī)取證”、“數(shù)字取證”、“網(wǎng)絡(luò)取證”等。大學(xué)科研教育中多采用“計算機(jī)取證”說法，能夠體現(xiàn)出取證與計算機(jī)科學(xué)與技術(shù)的關(guān)聯(lián)性，方便推廣；科研院所和檢察系統(tǒng)多采用“數(shù)字取證”，源于這一術(shù)語在國外司法界較高的使用率。刑事訴訟中的電子取證是一種相對新型的科學(xué)，它是由計算機(jī)取證衍生而成，現(xiàn)在已擴(kuò)大到包含了所有電子化技術(shù)手段的取證。取證專家Reith Clint Mark把計算機(jī)取證定義為“從計算機(jī)中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具” 〔1 〕。筆者認(rèn)為刑事訴訟中電子數(shù)據(jù)取證可以定義為：“在刑事訴訟活動中，審判人員、檢察人員、偵查人員，依照法定程序，依托于科學(xué)原理以及經(jīng)過科學(xué)實(shí)驗(yàn)檢驗(yàn)的方法，發(fā)現(xiàn)、收集、固定、提取、分析、解釋、證實(shí)、記錄和描述電子設(shè)備中存儲的電子數(shù)據(jù)，以發(fā)現(xiàn)案件線索、認(rèn)定案件事實(shí)的行為?！彪娮尤∽C與計算機(jī)取證是有所區(qū)別的：計算機(jī)取證的主體對象是計算機(jī)系統(tǒng)內(nèi)與案件有關(guān)的數(shù)據(jù)信息；而電子取證的主體對象是指電子化存儲的、能反映有關(guān)案件真實(shí)情況的數(shù)據(jù)信息。隨著社會的進(jìn)步，科學(xué)技術(shù)的發(fā)展，電子證據(jù)的重要性已經(jīng)越來越凸顯，越來越多的刑事案件涉及以電子數(shù)據(jù)記錄的信息為載體的證據(jù)資料。遺憾的是，現(xiàn)在還沒有一個標(biāo)準(zhǔn)化或一致的電子取證方法，只有一套由執(zhí)法部門、系統(tǒng)管理員和黑客的經(jīng)驗(yàn)組成的程序和設(shè)備。電子取證是從特定工具和技術(shù)進(jìn)化而成，而不同于其他許多傳統(tǒng)的取證科學(xué)起源于科學(xué)研究機(jī)構(gòu)。〔2 〕這是有問題的，因?yàn)樽C據(jù)必須通過可靠方法獲得，這種方法被證明能毫無偏見地獲取和分析證據(jù)。

二、國外幾種電子數(shù)據(jù)取證模式的分析

20世紀(jì)90年代后期，業(yè)內(nèi)許多專家針對計算機(jī)取證基本理論和基本方法滯后所帶來的種種問題，開始對取證程序及取證標(biāo)準(zhǔn)等基本問題進(jìn)行研究，并提出了幾種典型的取證過程模式，即基本過程模式（Basic Process Model）、事件響應(yīng)過程模式（Incident Response Process Model）、法律執(zhí)行過程模式（Law Enforcement Process Model）、過程抽象模式（An Abstract Process Model）和其他過程模式：

（一）基本過程模式

這一時期最早開始對電子數(shù)據(jù)取證基本理論進(jìn)行研究的專家Farmer和Venema，在1999年提出了電子取證的基本過程模式。具體步驟包括：“保證安全并進(jìn)行隔離，對現(xiàn)場信息進(jìn)行記錄，全面查找證據(jù)，對證據(jù)進(jìn)行提取和打包，維護(hù)監(jiān)督鏈。” 〔3 〕基本過程模式是國外電子取證的最常見的模式之一，也是實(shí)踐中比較成熟模式，其優(yōu)點(diǎn)在于應(yīng)用廣泛，操作簡單便捷，但是這種模式也存在明顯的缺陷。例如整個取證中缺少了取證準(zhǔn)備階段，取證準(zhǔn)備階段是基本過程模式設(shè)計的6個階段的基礎(chǔ)和前提，缺少該階段會一定程度上影響取證的完整性；再有取證工具運(yùn)行平臺單一也是該模式的另一大弊端。基本過程模式的取證工具只能在UNIX平臺上運(yùn)行，而不能在其他平臺上運(yùn)行，這就使得該模式的實(shí)踐操作性大打折扣，所以該模式要想在實(shí)踐中得到廣泛的應(yīng)用還需要克服很多關(guān)鍵性問題。

（二）事件響應(yīng)過程模式

2001年，Chris Prosise和Kevin Mandia在Incident Response： Investigating Computer Crime一書中提出了事件響應(yīng)過程模式的概念，這一模式分為以下各個階段：攻擊預(yù)防階段、事件偵測階段、初始響應(yīng)階段、響應(yīng)策略匹配、備份、調(diào)查、安全方案實(shí)施、網(wǎng)絡(luò)監(jiān)控、恢復(fù)、報告、補(bǔ)充?！? 〕事件響應(yīng)過程模式在基本過程模式的基礎(chǔ)上作了很大的改進(jìn)，也解決了一些基本過程模式在實(shí)踐中出現(xiàn)的問題，例如突破了基本過程模式取證工具運(yùn)行平臺單一的瓶頸，在其原有的UNIX平臺基礎(chǔ)上，拓展了Windows 2000/NT和Cisco路由器等平臺，而且特別是設(shè)計了攻擊預(yù)防階段，使整個模式更加具體、全面，而且操作性強(qiáng)，越來越多的人將攻擊預(yù)防階段作為一個取證模式專業(yè)與否的主要標(biāo)志。這一模式的缺點(diǎn)是：所設(shè)計的模式中，注意力重點(diǎn)只在計算機(jī)犯罪方面，因而沒從數(shù)字設(shè)備角度解決電子數(shù)據(jù)取證程序問題，如個人數(shù)字助理、外圍設(shè)備、移動電話甚至未來的數(shù)字技術(shù)、電腦等。本應(yīng)在整個取證過程中占比重最大的系統(tǒng)分析僅占了1/11，而且雖然設(shè)計了“攻擊預(yù)防階段”，但是很多地方還存在很多不足，僅僅是作了一些探索，如“事先準(zhǔn)備取證工具及設(shè)備，熟練取證技能，不斷學(xué)習(xí)新的技術(shù)以便應(yīng)對突發(fā)事件”。

（三）法律執(zhí)行過程模式

2001年美國司法部（The U.S. Department of Justice，DOJ）在《電子犯罪現(xiàn)場調(diào)查指南》中提出了一個計算機(jī)取證程序調(diào)查模式，即法律執(zhí)行過程模式。此模式分為準(zhǔn)備階段、收集階段、檢驗(yàn)、分析、報告五個階段。〔5 〕這一模式的優(yōu)點(diǎn)是：能更有效地辨別取證過程的核心部分并采取措施對其支撐，而不是糾纏于特定技術(shù)和方法的細(xì)節(jié)，使傳統(tǒng)的物理取證知識應(yīng)用到了電子數(shù)據(jù)取證，這是一種值得推薦的方法。此外，美國司法部沒有對運(yùn)用到計算機(jī)的取證或適用于其他電子設(shè)備的取證加以區(qū)別。相反，它試圖建立一個適用于大部分電子設(shè)備的推廣程序。美國司法部還列出了電子設(shè)備可能找到的證據(jù)類型，獲得證據(jù)的可能位置以及與證據(jù)可能有聯(lián)系的犯罪類別。例如，它能列出隱藏的證據(jù)位置，如已刪除的文件、隱蔽的隔區(qū)和被疏忽的空間。還能列出何種類型的信息可能藏匿于此，例如安全號碼、源代碼和一些圖像。這些信息會分別對照可疑罪行如身份盜取、電腦入侵或壓榨兒童反復(fù)查對。確定潛在的證據(jù)類型和不同電子設(shè)備搜索出的證據(jù)可能藏匿的地點(diǎn)，對取證實(shí)踐來說是發(fā)展推廣程序的積極步驟，由此程序才能通過特定技術(shù)實(shí)例化，對偵查破案產(chǎn)生有意義的結(jié)果。這一模式的缺點(diǎn)是：由于它的面向?qū)ο笫且恢睆氖挛锢矸缸锶∽C（非數(shù)字取證）的司法人員，重點(diǎn)在于滿足他們的需要，對于系統(tǒng)的分析涉及較少。

（四）過程抽象模式

在過程抽象模式中比較具有代表意義的有兩種：一種是美國空軍研究院設(shè)計的AIRFORCE過程抽象模式；另一種是美國司法部設(shè)計的DOJ過程抽象模式。過程抽象模式的出現(xiàn)對在數(shù)字取證基本理論和基本方法研究意義重大。

1.AIRFORCE過程抽象模式

抽象即意味著在具體基礎(chǔ)上的求同，前幾種模式雖然在特定即技術(shù)和方法上有所改進(jìn)和創(chuàng)新，但是并沒有將其總結(jié)到抽象意義上的規(guī)律。美國空軍研究院在以往模式的基礎(chǔ)上，進(jìn)行批判的總結(jié)，尋求不同模式的共同之處，總結(jié)規(guī)律，尋求共性，在經(jīng)過對大量具體模式的比對和分析的基礎(chǔ)上尋求規(guī)律性，并將這些共性上升為抽象意義上的通用模式。這種模式汲取了大量的物理取證知識和有益之處，并將其應(yīng)用和擴(kuò)展到電子數(shù)據(jù)取證中來，發(fā)展和創(chuàng)新了原有的電子數(shù)據(jù)取證技術(shù)基本方法和基本原理。這一模式分為識別、準(zhǔn)備、策略制定、保存、收集、檢驗(yàn)、分析、提交等8個階段。但這個模式提出的“檢驗(yàn)”和“分析”名稱的相似使得這兩個階段常被混淆。

2.DOJ過程抽象模式

該模式包含收集、檢驗(yàn)、分析、報告等過程。DOJ過程抽象模式的創(chuàng)新之處在于“分類整理”，增加了對電子設(shè)備中證據(jù)的識別功能，能夠準(zhǔn)確地定位到潛在證據(jù)的存在位置。準(zhǔn)確無誤的識別和定位功能是該模式對證據(jù)“分類整理”的基礎(chǔ)，也使得證據(jù)類型、潛在的存儲位置和犯罪類型能得到區(qū)分，DOJ過程抽象模式豐富了抽象模式，使得該模式得到了進(jìn)一步的發(fā)展，對于電子證據(jù)取證程序具有重大的理論和現(xiàn)實(shí)意義。我們還應(yīng)該看到DOJ才剛剛起步，也面臨著諸多潛在不確定的因素，但是令人欣喜的是，該模式已經(jīng)對電子數(shù)據(jù)取證研究的核心問題進(jìn)行了探索。但這個模式與AIRFORCE過程抽象模式存在同樣的問題，模式提出的“檢驗(yàn)”和“分析”名稱的相似使得這兩個階段常被混淆。

（五）其他過程模式

其他過程模式是由數(shù)字取證研究組設(shè)計的，這個組織的宗旨是致力于數(shù)字取證基本理論及方法研究，數(shù)字取證研究是美國學(xué)術(shù)界牽頭并領(lǐng)導(dǎo)的第一個大規(guī)模組織，其背后具有的強(qiáng)大資金支持，資金來源主體分別是美國信息戰(zhàn)督導(dǎo)、美國空軍研究院、防御局。目前學(xué)術(shù)界在數(shù)字取證領(lǐng)域研究過程中存在的最突出的問題是沒有形成數(shù)字取證標(biāo)準(zhǔn)化的術(shù)語，也就更談不上標(biāo)準(zhǔn)的數(shù)字取證分析過程及協(xié)議，因?yàn)闃?biāo)準(zhǔn)的術(shù)語是學(xué)術(shù)界在這一領(lǐng)域進(jìn)行研究的前提，沒有標(biāo)準(zhǔn)的術(shù)語研究將難以進(jìn)行。〔6 〕數(shù)字取證研究組提出了一個初步的計算機(jī)取證科學(xué)的基本框架，框架包括“證據(jù)識別、證據(jù)保存、證據(jù)收集、證據(jù)檢驗(yàn)、證據(jù)分析、證據(jù)保存和提交” 〔7 〕。這個框架的科學(xué)性與否我們暫時不談，而該框架的真正意義在于確定了學(xué)術(shù)界在電子數(shù)據(jù)取證中的重要地位，也能夠進(jìn)一步激發(fā)學(xué)術(shù)界對電子數(shù)據(jù)取證過程的熱情，推動電子數(shù)據(jù)取證的進(jìn)一步發(fā)展。

三、過程抽象取證模式的借鑒

（一）借鑒過程抽象取證模式的重要意義

1.取證主體的需要

我國現(xiàn)行《刑事訴訟法》第50條規(guī)定：“審判人員、檢察人員、偵查人員必須依照法定程序，收集能夠證實(shí)犯罪嫌疑人、被告人有罪或者無罪、犯罪情節(jié)輕重的各種證據(jù)。”從該法律條文可以看出，在我國只有審判機(jī)關(guān)、檢察機(jī)關(guān)和偵查機(jī)關(guān)有刑事取證權(quán)，而且取證的范圍囊括了全部證據(jù)種類，但是隨著互聯(lián)網(wǎng)的出現(xiàn)，利用網(wǎng)絡(luò)為手段進(jìn)行犯罪的案件大量發(fā)生，由于網(wǎng)絡(luò)載體與其它證據(jù)載體存在著很大的不同，這就給司法工作人員的取證帶來了巨大的困難，利用傳統(tǒng)收集證據(jù)的方式很難獲得電子證據(jù)，而司法工作人員也缺乏相應(yīng)的專業(yè)性技術(shù)。就我國目前來講，在中央和省級公安機(jī)關(guān)成立了公共信息網(wǎng)絡(luò)安全監(jiān)察機(jī)構(gòu)，但仍然缺乏經(jīng)過法律授權(quán)的、具有豐富電子證據(jù)知識的調(diào)查人員及機(jī)構(gòu)。沒有專業(yè)的知識和技術(shù)成為困擾司法工作人員取證的難題，這樣專家介入也就不可避免，但電子專家雖在電子領(lǐng)域游刃有余，但是取證并不是簡單的取得證據(jù)。因?yàn)樵谛淌略V訟領(lǐng)域，取證需要按照嚴(yán)格的程序來進(jìn)行，不懂得法律的電子專家很多時候的取證并不一定符合法律要求?？赡苋〉玫降淖C據(jù)也會成為“非法證據(jù)”。換個角度來看，在很多時候電子技術(shù)專家在收集電子證據(jù)時起到的作用超過司法工作人員，雖然名義上說的是電子技術(shù)專家起協(xié)助作用，但是此時取證權(quán)已經(jīng)從司法工作人員轉(zhuǎn)移到了電子專家手中，這也是不符合法律規(guī)定。主體身份不對，但是實(shí)踐中為了案件的順利偵破，這種不合法也就習(xí)以為常了。此外，電子證據(jù)易丟失，難保存，如果保存得不及時，可能就會造成該電子證據(jù)的永久性滅失，且難以恢復(fù)。

為了使犯罪嫌疑人能夠得到法律的制裁，被害人及其近親屬利用自己手中掌握的網(wǎng)絡(luò)技術(shù)進(jìn)行取證，也會雇傭電子專家，甚至電腦黑客進(jìn)行取證，他們的取證手段和方式并沒有合法的法律依據(jù)，我國法律也并沒有賦予上述主體刑事取證權(quán)，即便是律師也必須經(jīng)過《刑事訴訟法》規(guī)定的程序進(jìn)行取證。在目前電子取證技術(shù)面臨困境的情況下，司法機(jī)關(guān)對于一些依靠社會力量和中間組織來調(diào)查收集的證據(jù)也成為了司法機(jī)關(guān)取證的一個重要手段，但是面臨的同樣一個問題就是主體取證的合法性還是沒有解決，取證的程序也很不規(guī)范，要解決這一問題就必須設(shè)立專門的計算機(jī)取證實(shí)驗(yàn)室?，F(xiàn)在美國至少70%的法律部門擁有自己的計算機(jī)取證實(shí)驗(yàn)室，而且美國成立了FBI紐約計算機(jī)犯罪專業(yè)防治隊(duì)，專門從事網(wǎng)絡(luò)犯罪偵查工作，針對不同類型的犯罪案件，有不同分組，專門進(jìn)行某一項(xiàng)犯罪活動的偵查。

就目前我國的現(xiàn)實(shí)狀況而言，可以從一些科研院所、高等院校和專業(yè)性機(jī)構(gòu)選拔一批熟悉計算機(jī)知識、操作手段嫻熟的專家和學(xué)者組成取證實(shí)驗(yàn)室，而且最重要的是進(jìn)行法律的授權(quán)，形成電子證據(jù)取證制度。從法律上賦予他們專門從事電子取證的權(quán)利，同時也對他們?nèi)∽C過程進(jìn)行合法性監(jiān)督。這些可以參照我國的司法鑒定機(jī)構(gòu)有關(guān)方面的做法和經(jīng)驗(yàn)，同時要加強(qiáng)對實(shí)驗(yàn)室取證人員的后期培訓(xùn)。國外在這方面已經(jīng)走在前面，如美國的聯(lián)邦執(zhí)法培訓(xùn)中心已經(jīng)成為培訓(xùn)警察的基地，學(xué)員們可以學(xué)習(xí)怎樣從電子公告上發(fā)現(xiàn)證據(jù)，如何偵破計算機(jī)詐騙等偵查技術(shù)。這樣，只要是電子證據(jù)的取證就可以由計算機(jī)取證實(shí)驗(yàn)室進(jìn)行取證，自訴案件的自訴人也可以提出申請，由計算機(jī)取證實(shí)驗(yàn)室代為取證，從而不斷規(guī)范電子證據(jù)的取證。

2.破解目前我國電子取證領(lǐng)域面臨的問題的需要

（1）科學(xué)、規(guī)范的電子取證程序缺乏。程序是實(shí)體的基礎(chǔ)，取證也必須在法定的程序內(nèi)進(jìn)行，如果取證不按照法定的程序，那么取證權(quán)也會被濫用。我國出臺的《計算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子證據(jù)檢查規(guī)則》沒有具體的程序性規(guī)范，只是對電子計算機(jī)犯罪的證據(jù)作出了原則性，甚至模糊的規(guī)定，實(shí)踐中也難以操作。沒有程序的引導(dǎo)，取證的科學(xué)性和合法性就難以得到保證，而未經(jīng)過合法程序取得的證據(jù)也是沒有價值的。在這一方面亟需進(jìn)行立法，確定電子取證的程序，從而也便于對司法人員的取證進(jìn)行監(jiān)督。

（2）難以準(zhǔn)確有效地定位、查找和獲取計算機(jī)犯罪證據(jù)。計算機(jī)中保存著大量的數(shù)據(jù)，一個計算機(jī)能夠容納多少數(shù)據(jù)，這個問題是很難回答的。隨著存儲技術(shù)的提高，計算機(jī)的存儲信息量也越來越大，但是計算機(jī)取證技術(shù)仍然十分落后，而且兩者之間的矛盾越來越明顯。而且計算機(jī)的每個系統(tǒng)之間都是緊密相聯(lián)系的，可以說是牽一發(fā)而動全身，一個計算機(jī)犯罪行為會與多個數(shù)據(jù)系統(tǒng)，多個程序混雜在一起，如果要查找該犯罪行為的證據(jù)就要在多個系統(tǒng)程序中進(jìn)行查找、定位和搜尋。實(shí)踐中計算機(jī)證據(jù)都是呈片段式，散見在各個數(shù)據(jù)系統(tǒng)中，常常與正常的數(shù)據(jù)混雜在一起，這也加大了區(qū)分和篩選的難度。如果篩選不當(dāng)，有可能對合法的數(shù)據(jù)造成損害。再有計算機(jī)存儲系統(tǒng)的不穩(wěn)定性也增加的計算機(jī)取證的難度。一個數(shù)據(jù)程序的變化會導(dǎo)致與之相對應(yīng)的多個數(shù)據(jù)程序變化，人為操作不當(dāng)，與黑客、木馬病毒的攻擊都會改變原有的數(shù)據(jù)系統(tǒng)。所以面對這些問題，如何在復(fù)雜的計算機(jī)系統(tǒng)中查找到，定位出犯罪信息的難度可想而知。

（3）證據(jù)不夠充分。面對反取證技術(shù)的發(fā)展，實(shí)際的計算機(jī)取證案件可能會面臨證據(jù)不足的問題?，F(xiàn)有的取證技術(shù)在面對復(fù)雜的計算機(jī)程序時已經(jīng)顯得捉襟見肘，力不從心，在這樣的情況下面對反取證就更加辦法不多。實(shí)踐中反取證技術(shù)多種多樣，常見的反取證方式有數(shù)據(jù)隱藏、數(shù)據(jù)刪除和數(shù)據(jù)加密，而且這些反取證技術(shù)既可以單獨(dú)使用，也可以結(jié)合起來使用，這也就無形中又增加了取證的難度。我們在取證中開發(fā)了利用日志分析工具的方法，利用該方法可以獲得查找犯罪信息的線索，但是針對日志分析系統(tǒng)的反取證方法則隨之出現(xiàn)了，通過系統(tǒng)后門、木馬程序等避開日志系統(tǒng)，這樣就使得日志分析系統(tǒng)的作用蕩然無存，入侵者可以輕易刪除和修改，甚至破壞數(shù)據(jù)源。

（4）計算機(jī)證據(jù)的出示困難。證據(jù)的出示是刑事訴訟活動中的重要環(huán)節(jié)，計算機(jī)證據(jù)也不例外，但是與傳統(tǒng)的證據(jù)出示相比，計算機(jī)證據(jù)出示難度較大且程序較為復(fù)雜，計算機(jī)證據(jù)的出示需要依賴一定的工具，而且有些證據(jù)只有利用特殊工具，在這特殊的條件下才能夠出現(xiàn)，受制于多方面因素。此外，由于計算機(jī)證據(jù)的散見在其他數(shù)據(jù)系統(tǒng)中，不能像傳統(tǒng)證據(jù)那樣采取證據(jù)保全措施。

（5）計算機(jī)取證專業(yè)人員及具備一定取證知識的計算機(jī)系統(tǒng)、網(wǎng)絡(luò)等方面的安全管理人員比較缺乏。應(yīng)當(dāng)建立計算機(jī)專業(yè)取證人員的職業(yè)準(zhǔn)入制度。因?yàn)橛嬎銠C(jī)取證要求必須具有嫻熟的計算機(jī)應(yīng)用技術(shù)，能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，定位、查找計算機(jī)證據(jù)。此外，由于計算機(jī)系統(tǒng)是相關(guān)聯(lián)的，一旦操作不當(dāng)就會對公民的合法信息造成侵害，必須加強(qiáng)對計算機(jī)取證人員的職業(yè)道德規(guī)范的培養(yǎng)，最后還要對已經(jīng)通過職業(yè)準(zhǔn)入人員進(jìn)行定期考核。

（6）現(xiàn)有計算機(jī)取證的局限性。雖然計算機(jī)取證近年來得到了很大的發(fā)展，成績也是有目共睹的，但是我們不得不承認(rèn)的一個現(xiàn)實(shí)就是：我國計算機(jī)取證的起點(diǎn)非常低，這也就導(dǎo)致雖然快速發(fā)展但是水平依然很低，在理論上和計算機(jī)軟件工具上都有很大的局限性。從理論來說，我們現(xiàn)在還停留在：計算機(jī)證據(jù)如保留完好的狀態(tài)，沒有被大規(guī)模破壞，而且證據(jù)沒有被其他數(shù)據(jù)系統(tǒng)覆蓋，取證人員能夠判斷出這些證據(jù)與犯罪相關(guān)。軟件取證局限在兩個方面：第一，我國現(xiàn)有的原件取證過分依賴磁盤，利用磁盤進(jìn)行數(shù)據(jù)存儲、復(fù)制、刪除和丟失數(shù)據(jù)的恢復(fù)。而隨著計算機(jī)的發(fā)展，磁盤的應(yīng)用和作用正在逐步地下降，也就導(dǎo)致現(xiàn)有的軟件工具跟不上軟件工具的發(fā)展更新。第二，計算機(jī)軟件的取證是一個新的市場，很多商家也都看好這個市場的發(fā)展?jié)摿?，但是由于在計算機(jī)取證領(lǐng)域缺乏相關(guān)的法律依據(jù)和統(tǒng)一的規(guī)范，每個商家都在標(biāo)新立異，系統(tǒng)之間的兼容性差，這也就給使用者應(yīng)用起來造成了麻煩，需要對其有效性和可靠性進(jìn)行判斷和比較。

3.計算機(jī)取證發(fā)展趨勢的需要

經(jīng)過多年的發(fā)展和探索，計算機(jī)取證學(xué)作為一個新興的學(xué)科，無論是在理論研究上還是在實(shí)踐應(yīng)用中都取得了不俗的成績，在司法工作人員計算機(jī)取證中起到重要的作用。但是網(wǎng)絡(luò)計算機(jī)發(fā)展變化是日新月異的，落后一天就可能落后一個時代，計算機(jī)取證面臨著新困境、新問題和新局面。如何應(yīng)對網(wǎng)絡(luò)上的挑戰(zhàn)也是計算機(jī)取證學(xué)亟需面對和應(yīng)對的問題，而且時不我待。從理論和實(shí)踐兩方面來看，計算機(jī)取證領(lǐng)域?qū)⑾蛞韵聨讉€方向發(fā)展：（l）取證方式從治標(biāo)走向治本，由事后被動的收集走向事前主動的準(zhǔn)備。具體說來，就是計算機(jī)取證逐步向研發(fā)領(lǐng)域拓展，以往計算機(jī)研發(fā)領(lǐng)域在設(shè)計之初并沒有為取證留有足夠的空間，這就使得事后取證往往與該計算機(jī)系統(tǒng)不兼容，甚至產(chǎn)生排異反應(yīng)。在未來的計算機(jī)系統(tǒng)的研究和設(shè)計之初，就應(yīng)該考慮到為計算機(jī)取證留有空間，把計算機(jī)取證作為必要的環(huán)節(jié)，事先做好準(zhǔn)備，變被動為主動，這樣不但減少取證成本，也使取證方便快捷，幫助司法工作人員能夠準(zhǔn)確。方便快捷地獲取所需證據(jù)。將來可能有信息資產(chǎn)、業(yè)務(wù)依賴于計算機(jī)與網(wǎng)絡(luò)的單位設(shè)置網(wǎng)絡(luò)與信息安全管理部門、安排安全管理職位、采取主動取證措施等將和現(xiàn)在每個單位設(shè)置安全保衛(wèi)部門一樣普遍。（2）取證工具自動化、智能化與集成化。隨著計算機(jī)發(fā)展速度的加快，信息全球化要求電子計算機(jī)的存儲功能必須與日益加快的信息存儲需求相適應(yīng)，所以計算機(jī)的存儲功能也相當(dāng)驚人，就連我們現(xiàn)在用的硬盤存儲量也要上百G。存儲能力增長本是好事，我們面對的關(guān)鍵的、本質(zhì)的問題是數(shù)據(jù)量的爆炸增長。面對這大量的信息，利用什么樣的工具對數(shù)據(jù)進(jìn)行篩選和識別，利用人工已經(jīng)是不可能了，利用一般的工具也是杯水車薪。我們需要自動化、智能化和集成化的工具對數(shù)據(jù)進(jìn)行處理，這樣才能應(yīng)對海量的數(shù)據(jù)系統(tǒng)。自動化使得數(shù)據(jù)的處理速度大大加快，智能化能夠識別和篩選信息是否有用，也能融入人的智慧，避免計算機(jī)系統(tǒng)的固有弊端。（3）計算機(jī)取證領(lǐng)域需要繼續(xù)拓展。隨著電子設(shè)備的發(fā)展變化，電子計算機(jī)已經(jīng)不局限于原來的臺式計算機(jī)和筆記本計算機(jī)，目前絕大多數(shù)的移動電話已經(jīng)具備了上網(wǎng)功能，也具有電子驅(qū)動和數(shù)據(jù)處理器。比如，最新出品的蘋果和三星手機(jī)已經(jīng)具有8核處理器，而且無線網(wǎng)絡(luò)也是鋪天蓋地地擴(kuò)展，信息交流的方式也出現(xiàn)了多樣化，微信、微博等新的信息交流方式逐步擴(kuò)大。所以計算機(jī)取證的領(lǐng)域也就被無形地擴(kuò)大了，要找到合適的證據(jù)就需要針對不同的場合設(shè)計專門化產(chǎn)品（包括硬件和信息格式方面），做出相應(yīng)的取證工具。（4）完善電子計算機(jī)取證方面的立法。《刑事訴訟法》對于取證作出了明確的規(guī)定，當(dāng)然也適用于電子計算機(jī)取證，但是計算機(jī)領(lǐng)域的取證與傳統(tǒng)的取證既有共性，又有諸多的不同。所以針對特殊性和新領(lǐng)域，應(yīng)該制定相關(guān)的單行法規(guī)或者由司法機(jī)關(guān)作出司法解釋，彌補(bǔ)法律上的空白，為電子計算機(jī)取證標(biāo)準(zhǔn)化工作提供法律依據(jù)。（5）計算機(jī)取證、計算機(jī)司法鑒定等的規(guī)范管理。目前我國計算機(jī)取證領(lǐng)域處于比較混亂的局面，由于缺少職業(yè)準(zhǔn)入制度，對進(jìn)入計算機(jī)取證領(lǐng)域的機(jī)構(gòu)和人員沒有過多的限制，也使得魚龍混雜。缺乏資質(zhì)的取證機(jī)構(gòu)和工作人員取得的計算機(jī)證據(jù)難以獲得普遍的認(rèn)可。而且沒有職業(yè)準(zhǔn)入制度，也不利于對取證機(jī)構(gòu)和人員進(jìn)行管理，所以當(dāng)務(wù)之急是建立計算機(jī)領(lǐng)域的職業(yè)準(zhǔn)入制度，認(rèn)真審核機(jī)構(gòu)和人員的資質(zhì)。通過檢查和考核，對不符合條件的予以清除，這樣才能使得結(jié)果具有可信性，計算機(jī)司法鑒定活動等將得到規(guī)范管理。

4.國內(nèi)外研究現(xiàn)狀的需要

2005年11月，我國在北京成立了電子取證專家委員會并舉辦了首屆計算機(jī)取證技術(shù)研討會，2007年8月，在烏魯木齊舉辦了第二屆計算機(jī)取證技術(shù)研討會。2005年l月以來，CCFC計算機(jī)取證技術(shù)峰會和高峰論壇也非?；钴S，舉辦了三次大型活動。2007年和2008年，在北京舉行的國際反恐警用裝備展中，電子取證的軟硬件等設(shè)備開始成為亮點(diǎn)。目前，國內(nèi)的一些科研院所也在加大這一領(lǐng)域的研究力度，中科院在網(wǎng)絡(luò)入侵取證、武漢大學(xué)和復(fù)旦大學(xué)在密碼技術(shù)、吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤、電子科技大學(xué)在網(wǎng)絡(luò)誘騙、北京航空航天大學(xué)在入侵誘騙模型等方面都展開了研究工作。湖北警官學(xué)院在計算機(jī)取證和司法鑒定方面的研究工作走在公安院校的前列。2004年8月，湖北警官學(xué)院建立電子取證重點(diǎn)實(shí)驗(yàn)室，承擔(dān)了國家、公安部和湖北省的一系列項(xiàng)目。2006年8月，依托湖北警官學(xué)院電子取證重點(diǎn)實(shí)驗(yàn)室，成立了具有司法鑒定資質(zhì)的湖北丹平司法鑒定所（后改名為湖北三真司法鑒定所），擁有12位國家計算機(jī)司法鑒定人，承辦了大量的計算機(jī)取證和司法鑒定案件。但是，在國內(nèi)，有關(guān)計算機(jī)取證方面的研究和實(shí)踐才剛起步，司法機(jī)關(guān)對計算機(jī)取證工具的應(yīng)用，大多是利用國外一些常用取證工具或者自身技術(shù)經(jīng)驗(yàn)開發(fā)的工具，在程序上計算機(jī)取證的流程缺乏比較深入的研究，證據(jù)收集、文檔保存很不完善，而且數(shù)字證據(jù)分析和解釋也存在不足，造成電子數(shù)字證據(jù)的可靠性、有效性、可信度不強(qiáng)。到目前為止，專門的權(quán)威機(jī)構(gòu)對計算機(jī)取證機(jī)構(gòu)或工作人員的資質(zhì)認(rèn)定還沒有形成規(guī)范，計算機(jī)取證工具的評價標(biāo)準(zhǔn)尚未建立，計算機(jī)取證操作規(guī)范的執(zhí)行也有所欠缺。

20世紀(jì)90年代中期，隨著Internet等網(wǎng)絡(luò)技術(shù)的發(fā)展，以計算機(jī)犯罪為主的電子犯罪呈現(xiàn)更加猖獗的勢頭，司法機(jī)關(guān)對取證技術(shù)及取證工具的需求更加強(qiáng)烈。由于看好取證產(chǎn)品的廣闊市場，許多商家相繼推出了許多關(guān)于取證的專用產(chǎn)品，如美國GUIDANCE軟件公司開發(fā)的Encase等產(chǎn)品。由于主要受商家和應(yīng)用技術(shù)的驅(qū)動，理論發(fā)展比較滯后，標(biāo)準(zhǔn)不統(tǒng)一。這種趨勢導(dǎo)致在調(diào)查取證時既沒有一致性也沒有可依靠的標(biāo)準(zhǔn)，因此急切需要對計算機(jī)取證技術(shù)的理論和方法進(jìn)行更深入的研究。

（二）刑事訴訟中電子數(shù)據(jù)取證模式的借鑒

借鑒之前的取證協(xié)議，我們能抽象定義出一些常見步驟來建立一個獨(dú)立于特定技術(shù)和電子犯罪的模式。這一模式的基礎(chǔ)是確定上述協(xié)議的關(guān)鍵部分以及傳統(tǒng)取證的思想，特別是聯(lián)邦調(diào)查局的物理犯罪現(xiàn)場調(diào)查?！? 〕所提議的模式可以被看作是DFRW模式的提升版，因?yàn)殪`感來自于DFRW。這一模式的關(guān)鍵組成部分包括：（1）鑒定。識別出指示器反映的事件并確定其類型。在取證領(lǐng)域內(nèi)這一步并不突顯，但是它能影響其他步驟，所以非常重要。（2）準(zhǔn)備。預(yù)備好工具、技術(shù)、搜查證并監(jiān)控授權(quán)與管理支撐系統(tǒng)。（3）方法策略。根據(jù)對旁觀者可能產(chǎn)生的影響以及討論采用的具體技術(shù)制定一個動態(tài)方案。策略的目標(biāo)應(yīng)該是將收集未被破壞的證據(jù)最大化和將對受害者產(chǎn)生的影響最小化。（4）保存。隔離、保護(hù)和保存好物理和數(shù)字證據(jù)。這包括防止人們使用數(shù)字設(shè)備以及在受影響范圍內(nèi)使用其他電磁設(shè)備。（5）收集。通過標(biāo)準(zhǔn)化的被認(rèn)可的規(guī)程記錄案件物理場景，復(fù)制數(shù)字化證據(jù)。（6）檢查。深入系統(tǒng)地搜尋與可疑罪行相關(guān)的證據(jù)，重點(diǎn)要放在識別與定位可能藏匿在非常規(guī)地點(diǎn)的證據(jù)，并且建立詳細(xì)的分析文件。（7）分析。確定重點(diǎn)，重建數(shù)據(jù)碎片，并根據(jù)所得證據(jù)得出結(jié)論。這可能要經(jīng)過幾個迭次的檢查與分析來支撐犯罪理論。分析的不同之處在于它不需要高超技術(shù)就能完成，這樣，更多人能參與到調(diào)查中來。（8）陳述。總結(jié)并解釋結(jié)論。這些應(yīng)該用抽象術(shù)語標(biāo)明給外行看。所有抽象術(shù)語都應(yīng)該參照具體細(xì)節(jié)。（9）歸還證據(jù)。保證物質(zhì)財產(chǎn)和數(shù)字化財產(chǎn)歸還原主，并且確定為何要遷移某些犯罪證據(jù)以及何種犯罪證據(jù)須移走。這也不是取證明確規(guī)定的步驟，許多掌控證據(jù)的模式很少處理這一方面。

需要注意的是，這些步驟和傳統(tǒng)用于收集物理證據(jù)的方法不是不一樣，而實(shí)際上不同在于它們是當(dāng)前應(yīng)用于涉及數(shù)字化證據(jù)犯罪慣例的抽象概念。〔9 〕“許多經(jīng)標(biāo)定的調(diào)查技術(shù)與方法存在于更為傳統(tǒng)的取證規(guī)范中。其中的大部分適用于網(wǎng)絡(luò)，但人們對此還未深思熟慮過。” 〔10 〕這些步驟涉及的數(shù)字技術(shù)類型至此能被抽象定義出來，這點(diǎn)很重要。因?yàn)樗沟靡粋€標(biāo)準(zhǔn)化程序能被定義而無需說明其采用的具體技術(shù)，這就確立了一種以簡單易懂和能被廣泛接受的方式處理過去、現(xiàn)在和未來的數(shù)字設(shè)備的方法。比如，這種方法能適用于多種數(shù)字設(shè)備，從計算器到桌面電腦，甚至是還未實(shí)現(xiàn)的未來數(shù)字設(shè)備。通過這種模式，未來的技術(shù)和取證中需分析的技術(shù)細(xì)節(jié)能被實(shí)例化來為獲取電子證據(jù)提供一個一致的標(biāo)準(zhǔn)化方法。取證科學(xué)由此能得到發(fā)展，因?yàn)樗鼮榉治鰯?shù)字或電子技術(shù)打下了基礎(chǔ)，與此同時為執(zhí)法部分和司法機(jī)構(gòu)在法律可行范圍內(nèi)構(gòu)建了共同框架。

定義此模式下的數(shù)字技術(shù)各種不同類別還需附加的子程序。在此考慮檢查步驟下一個名叫檢查非易失性存儲（Examine Non-Volatile Storage）的子程序。它包括對所有維持自己穩(wěn)定狀態(tài)的數(shù)字技術(shù)的檢查。這些技術(shù)類似于紙質(zhì)文件、錄像和錄音，它們都接受作為證據(jù)性物件。借助這種類別的定義，司法人員使用抽象概念能比易失存儲類別中的技術(shù)更可靠。當(dāng)然，還有特定技術(shù)的許多具體細(xì)節(jié)需加以處理，但這種模式允許引入那些細(xì)節(jié)。通過這種模式，收集證據(jù)的方法可以從技術(shù)的各個子程序得出，并在子程序內(nèi)受審查以及改進(jìn)。從理想上說來，一個發(fā)展成熟的方法能影響其他技術(shù)方法的發(fā)展。模式內(nèi)加入特定證據(jù)搜集方法使得模式具備可信度，且能擔(dān)保非技術(shù)觀察員能將搜尋相似證據(jù)的經(jīng)驗(yàn)運(yùn)用到同一類別的某個案例中去。

繼續(xù)舉永久性儲存的例子，我們來考慮固定硬盤（通常用于傳統(tǒng)的計算機(jī)系統(tǒng)）和嵌入的非易失性閃速存儲器（用于個人數(shù)字助理、數(shù)碼相機(jī)和MP3）之間的關(guān)系。這個教學(xué)法例子中，兩種技術(shù)都可以存儲對司法人員有用的證據(jù)，通過把它看成一種永久的數(shù)字儲存，使之能對所發(fā)現(xiàn)內(nèi)容維持信用度。當(dāng)然實(shí)際的數(shù)據(jù)抽象依賴于技術(shù)，但內(nèi)容的檢查還需遵照標(biāo)準(zhǔn)化的程序，因?yàn)樗ǔＲ远问酱嬖?。抽象的?yōu)點(diǎn)在于大部分?jǐn)?shù)字設(shè)備，無論是計算機(jī)系統(tǒng)、個人數(shù)字助理、數(shù)碼相機(jī)或其它設(shè)備，都包含某種能用于分析得到潛在證據(jù)的非易失性存儲類型。若實(shí)現(xiàn)這種通用性，配套程序和工具能得以改進(jìn)，之前定義的方法可作為發(fā)展新技術(shù)的起點(diǎn)。

未被討論優(yōu)點(diǎn)及其缺點(diǎn)的模式是不完整的。之前已討論了優(yōu)點(diǎn)，現(xiàn)在來談?wù)勂淙秉c(diǎn)。首先，這一模式還未受檢驗(yàn)或證明它是否為數(shù)字取證的良方。它試圖通過確定數(shù)字技術(shù)的通用性并反向建立一種適用于多種而不是少數(shù)幾種數(shù)字技術(shù)的固定取證程序，以此來促進(jìn)數(shù)字取證實(shí)踐的發(fā)展。但必須考慮阻止添加一些對程序無用的抽象步驟，因?yàn)樗鼈儧]有實(shí)際運(yùn)用價值。其次，這種模式是為了應(yīng)用于數(shù)字技術(shù)領(lǐng)域。本文雖未考慮非數(shù)字技術(shù)，但它也可能需要取證分析。以下這種模式的優(yōu)缺點(diǎn)：首先，模式優(yōu)點(diǎn)。為數(shù)字取證發(fā)展構(gòu)建了一致和標(biāo)準(zhǔn)化的框架，提供了將此框架運(yùn)用到未來數(shù)字技術(shù)的機(jī)制。司法人員能利用這個推廣的方法把技術(shù)轉(zhuǎn)述給非技術(shù)觀察員。確定具體技術(shù)依賴型工具的需要并從之前同類中已確定的工具獲取靈感，使將非數(shù)字的、電子的技術(shù)納入抽象概念成為可能。其次，模式缺點(diǎn)。類別定義得太寬泛，不夠?qū)嵱?。沒有檢測此模式的簡易明確方法。附加于模式的子類別使得模式的使用更為不便。這一模式一個明顯未觸及的部分就是監(jiān)管鏈。當(dāng)然這是任何取證或調(diào)查工作當(dāng)中的一個重要部分。此模式假定一個牢固的監(jiān)管鏈會維持在整個調(diào)查過程中。但上述模式缺乏這一監(jiān)管鏈也并不是說監(jiān)管鏈不重要，而關(guān)鍵是它得運(yùn)用到取證研討中去。

四、結(jié)論

每年世界范圍內(nèi)的計算機(jī)犯罪量都有增長。隨著技術(shù)的加入、軟件的改進(jìn)以及使用者對數(shù)字化方面的精通，他們所犯的案件變得越來越復(fù)雜。執(zhí)法部門和這些罪犯們不斷較量以保證較量水平。開發(fā)一種能系統(tǒng)利用數(shù)字設(shè)備獲取相關(guān)證據(jù)的工具就是較量的一部分。隨著更多設(shè)備數(shù)字化，開發(fā)的工具也應(yīng)該包含這一特征。這場較量的另一個部分，且可能是更為關(guān)鍵的部分，是發(fā)展一種能夠涵蓋數(shù)字犯罪現(xiàn)場調(diào)查所有類別的取證分析方法論。這種方法須適用于當(dāng)前所有數(shù)字犯罪，也包括未來的現(xiàn)在還未出現(xiàn)的罪行。當(dāng)前的許多方法太針對某個特定技術(shù)。而提議的模式試圖通過整合常用技巧并改正方法缺點(diǎn)來改進(jìn)現(xiàn)存模式。筆者認(rèn)為，計算機(jī)系統(tǒng)處于一種動態(tài)之中，那么我們就應(yīng)該建立計算機(jī)取證的動態(tài)模式，加大計算機(jī)證據(jù)的識別力度。在面對海量的數(shù)據(jù)，識別是最重要的一個環(huán)節(jié)，能夠?qū)⒂嬎銠C(jī)犯罪證據(jù)與普通合法的數(shù)據(jù)區(qū)別開來，還要注重數(shù)據(jù)分析方法的創(chuàng)新，優(yōu)化原有的數(shù)據(jù)分析方法，尋找出適合計算機(jī)數(shù)據(jù)分析的新方法。具體而言，需要高效率的搜索算法、完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。事前準(zhǔn)備、準(zhǔn)確定位、事后收集三個環(huán)節(jié)貫穿于整個計算機(jī)取證的過程。此外，完善加密措施對計算機(jī)取證也有所裨益。此外，有的專家學(xué)者提出了基于聚類的流量壓縮算法和模型的評價機(jī)制。這些都是值得研究的。