牛耕

摘要：隨著計算機在生活中的普及及在各領(lǐng)域中的廣泛應(yīng)用，網(wǎng)絡(luò)犯罪、電子商務(wù)糾紛等事件也層出不窮。電子證據(jù)自然產(chǎn)生并走進了司法領(lǐng)域。電子取證涉及法律及計算機技術(shù)，開展電子取證技術(shù)研究，對于保障司法公正有著十分重要的現(xiàn)實意義。

關(guān)鍵詞：電子取證；程序；技術(shù)

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）18-0040-02

1 電子證據(jù)取證概述

作為新生事物，電子證據(jù)自誕生那天起就引起了人們的廣泛關(guān)注，在法律界也爭議不斷。雖然已經(jīng)出現(xiàn)在了法律條文中，但是僅模糊地用“視聽資料”來形容，至于是否包含電子證據(jù)，包含哪些電子證據(jù)尚不能明確界定。在命名上也是各有所表，有計算機證據(jù)、數(shù)字證據(jù)、網(wǎng)絡(luò)證據(jù)等稱呼。電子本身所具有的高科技性及復(fù)雜性，給其下定義也帶來了難題。一般認為，電子證據(jù)就是以高科技電子載體為證據(jù)，具體包括電子文件、電子材料、聊天內(nèi)容、視聽音像等與計算機及電子產(chǎn)品有關(guān)的內(nèi)容。

電子證據(jù)具有以下幾個特點：首先是科技性高。獲得電子證據(jù)是一項技術(shù)性很強的工作，沒有高深的專業(yè)技術(shù)是不行的；其次是多樣性。這主要表現(xiàn)在存儲、傳播和表現(xiàn)形式方面，可以存儲在硬盤或U盤，可以互相轉(zhuǎn)換或遠程傳輸，可以表現(xiàn)為文件或視頻等；還有就是脆弱性。電子證據(jù)的保存會因操作不當(dāng)而丟失，也會受不法分子的攻擊而被篡改，因此保證電子證據(jù)的完整性與真實性問題多，困難大。

2 電子取證技術(shù)措施

對于電子證據(jù)取證，在我國目前的法律法規(guī)中表意還很不明確，于是導(dǎo)致在具體的司法實踐中也難以實務(wù)操作。從法律的角度出發(fā)，采用高新技術(shù)與相應(yīng)方法，通過法律理念與技術(shù)方法的完美結(jié)合，提供有效的電子證據(jù)。

2.1 電子取證程序

電子取證程序與傳統(tǒng)的取證程序大同小異。

首先確定和保護證據(jù)現(xiàn)場。以網(wǎng)絡(luò)犯罪為例，規(guī)模小者如一臺電腦的家庭用戶，規(guī)模大者如擁有數(shù)百臺電腦的計算中心；運用個人網(wǎng)絡(luò)終端可以作案，運用國際互聯(lián)網(wǎng)也可以作案。那么，在進行電子證據(jù)取證現(xiàn)場確定時，現(xiàn)場就是計算機本身，通過對計算機硬件的扣留查驗，尋找犯罪嫌疑人網(wǎng)絡(luò)犯罪的時間與具體內(nèi)容，從而成為證實犯罪的電子證據(jù)。對于犯罪證據(jù)的收集，犯罪事實的認定方面，保護好證據(jù)取證現(xiàn)場至關(guān)重要。與普通警察封鎖犯罪現(xiàn)場，搜索證物不同的是，網(wǎng)絡(luò)警察要及時凍結(jié)計算機系統(tǒng)，讓犯罪分子無法破壞證據(jù)。在提取證據(jù)時，使該電腦避免與互聯(lián)網(wǎng)連接，避免黑客入侵與病毒感染的狀況發(fā)生。

其次是發(fā)現(xiàn)和識別證據(jù)。每臺電腦存儲的內(nèi)容都很多，哪些是與犯罪有關(guān)的內(nèi)容，哪些是與犯罪無關(guān)的內(nèi)容，要逐一篩選核實。所以說電子證據(jù)的發(fā)現(xiàn)和識別是一項細心且繁重的工作。將這些證據(jù)查實并安全保持之后，可以將凍結(jié)電腦聯(lián)網(wǎng)，再次對聊天記錄、電子郵件、上網(wǎng)記錄等情況進行全盤清查，確保犯罪證據(jù)確鑿無遺漏。

接著就是安全保存證據(jù)。前面已經(jīng)提及，將犯罪者運用電腦查封后，立馬進行證據(jù)提取，提取出的證據(jù)要固定下來，這樣以便在電腦聯(lián)網(wǎng)時，即是受到網(wǎng)絡(luò)黑客的惡意入侵或病毒感染也不會前功盡棄。如何進行安全保存證據(jù)，常用的方法如表1所示：

然后是分析和鑒定證據(jù)。對證據(jù)掌握之后，隨后進行的就是分析與鑒定。也就是對犯罪嫌疑人洗脫罪名的一次機會。是不是有人借用電腦作案呢？本著公平公正的原則，必須對犯罪證據(jù)進行分析和鑒定。分析的內(nèi)容很多，如所謂的犯罪證據(jù)是不是被別有用心之人惡意制作或篡改？犯罪嫌疑人在何時，采用何種手段進行犯罪的？登陸密碼是否有他人知曉等等問題。結(jié)合分析情況進行鑒定，如個人電腦就要鑒定個人登陸時間，假如該臺電腦晚上8時進行了犯罪行為，你卻身在外地，那么具體是誰實施了犯罪行為要落實到人。從電腦上查找出的犯罪證據(jù)是不是原件，要進行真?zhèn)舞b定。通過對電腦系統(tǒng)的檢測來鑒定犯罪行為是不是被惡意軟件控制或病毒感染而造成的?？傊?，通過鑒定的電子證據(jù)才可以在后來的庭審過程中被采納及認同。所以，電子證據(jù)的鑒定一定要有資質(zhì)的合法單位來完成。

2.2 電子取證技術(shù)

今非昔比，電子證據(jù)越來越多地進入到了人們的生活當(dāng)中。這是時代所需，也是法律必須，更要技術(shù)支撐。時代在發(fā)展，科技在進步，如電子商務(wù)的崛起，需要人們在歡喜雀躍的同時，也要冷靜明晰，犯罪分子也是與時俱進的，網(wǎng)上多少這樣的案件啊，今天銀行卡的錢消失了，明天信用卡被刷爆了；今天QQ被盜了，明天微信也不是自己的了。出現(xiàn)以上類似問題，網(wǎng)絡(luò)警察就要登上前臺了。

2.2.1 數(shù)據(jù)恢復(fù)技術(shù)

電子取證最主要運用的就是數(shù)據(jù)恢復(fù)技術(shù)。沒有傻瓜把證據(jù)活生生地擺在你面前，普通警察需要通過現(xiàn)場勘查以及走訪詢問來搜集證據(jù)，網(wǎng)絡(luò)警察則要通過數(shù)據(jù)恢復(fù)來掌握證據(jù)。數(shù)據(jù)恢復(fù)技術(shù)是一項技術(shù)含量高，工作難度大的活計，只有將犯罪嫌疑人已經(jīng)刪除、有意破壞的信息恢復(fù)原貌，才能查明犯罪動機，甚至犯罪過程。但是，電腦存儲的介質(zhì)很多，如硬盤，光盤，U盤等，雖然只是通過電腦操作而內(nèi)容并未存入電腦，從技術(shù)方面上講，只要通過電腦操作的內(nèi)容，都會在電腦中留下印跡，原理就不再解釋了。所以說，即便有的證據(jù)被刪除了，也還是有恢復(fù)復(fù)原的可能，前提就是問題發(fā)現(xiàn)的要及時，新數(shù)據(jù)沒能完全覆蓋時，短期內(nèi)被刪除的數(shù)據(jù)完全可以重見天日。文件一旦恢復(fù)，其創(chuàng)始時間，修改時間等關(guān)鍵數(shù)據(jù)也就一目了然了。

2.2.2 數(shù)據(jù)復(fù)制技術(shù)

一旦通過數(shù)據(jù)恢復(fù)技術(shù)發(fā)現(xiàn)了有關(guān)證據(jù)，就要進行復(fù)制備份。聯(lián)網(wǎng)復(fù)制是不可取的，說不定犯罪嫌疑人已經(jīng)準(zhǔn)備了，通過網(wǎng)絡(luò)攻擊來銷毀證據(jù)。這就需要應(yīng)用磁盤鏡像復(fù)制技術(shù)進行信息拷貝。以我國目前使用的NORTON及GHOST的本地鏡像為例，其功能已經(jīng)相當(dāng)強大了，可以對壞扇區(qū)及校驗錯誤的CRC數(shù)據(jù)進行拷貝備份，方便了下一步的取證分析。

2.2.3 數(shù)據(jù)過濾技術(shù)

如何從海量的數(shù)據(jù)中提取有用的信息？這就需要采用數(shù)據(jù)過濾技術(shù)。通過使用該技術(shù)，在網(wǎng)絡(luò)犯罪取證中，只要對電子證據(jù)源數(shù)據(jù)進行分析，運用關(guān)聯(lián)規(guī)則，就可以將犯罪行為之間的關(guān)聯(lián)特征一并搜出；運用應(yīng)用分類算法甄別犯罪嫌疑人是否具有犯罪的動機及行為；運用聯(lián)系分析法分析電腦程序與用戶的序列關(guān)系，理清先后次序，提供有效數(shù)據(jù)。

2.2.4 蜜罐取證技術(shù)

這就是兵法上講的“誘敵深入、關(guān)門打狗”的戰(zhàn)略。當(dāng)犯罪嫌疑人的電腦被控制之后，因其犯罪證據(jù)就在電腦中，勢必會聘請電腦黑客枕戈待旦進行網(wǎng)絡(luò)攻擊，對儲存的不利信息進行修改或破壞。蜜罐取證技術(shù)就是為了對付黑客應(yīng)運而生的。蜜罐技術(shù)會主動暴露虛擬的網(wǎng)絡(luò)漏洞，引誘黑客入侵。網(wǎng)絡(luò)警察一方面對黑客入侵的過程進行全程記錄，另一方面還會迅速鎖定黑客的位置，最終實現(xiàn)人證物證俱在的結(jié)果。

當(dāng)然，還可以運用日志分析技術(shù)，對犯罪嫌疑人每日的網(wǎng)上操作情況進行分析；通過網(wǎng)絡(luò)實名制制度，對IP號具體到人，然后利用網(wǎng)絡(luò)監(jiān)控及定位技術(shù)，可以很快的鎖定犯罪嫌疑人。

3 小結(jié)

計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)化生活的到來，電子證據(jù)會逐漸成為不久的將來人們最主要的證據(jù)類型。希望國家在《訴訟法》修訂方面也要與時俱進，讓電子證據(jù)早日堂堂正正地邁進人民法庭。

參考文獻：

[1] 朱翔.電子取證技術(shù)的發(fā)展與規(guī)范[J].警察技術(shù)，2006（4）.

[2] 劉澤.信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（1）.

[3] 彭建新，周元建.iOS設(shè)備取證技術(shù)研究[J].中國人民公安大學(xué)學(xué)報（自然科學(xué)版），2012（4）.