關于當前電子物證取證工作的探討

胡丹

衡水市人民檢察院

關于當前電子物證取證工作的探討

胡丹

衡水市人民檢察院

依照法律程序，運用科學的技術手段，準確及時地發(fā)現(xiàn)、提取以及分析有關電子物證，是當前案件偵查部門所面臨的一個全新的課題。

電子物證；取證；恢復

現(xiàn)代社會是一個電子信息時代，伴隨著電子信息技術以及網絡技術的迅猛發(fā)展，在眾多犯罪作案中會經常出現(xiàn)各種電子物證，因此電子物證檢驗工作顯得尤為重要。電子物證檢驗是關于發(fā)現(xiàn)、識別、提取、保存、恢復、顯示、分析和鑒定電子設備中存在的電子信息（電子證據）的科學技術。在犯罪案件偵查工作過程中，只要根據正規(guī)的程序，通過科學技術手段獲得的合法電子證據，完全能夠被法庭所采信。所以，如何依照法律程序，運用科學的技術手段，準確及時地發(fā)現(xiàn)、提取以及分析有關電子物證，是當前案件偵查部門所面臨的一個全新的課題。

電子證據的取證方式、取證規(guī)則都是不同于傳統(tǒng)證據的，對于傳統(tǒng)證據的收集手段、認證就不能完全照搬使用了，因此，電子證據的提取、固定是有一定難度的。盡管如此，根據案件的具體情況，利用電子證據自身的特點，并對其進行取證，可以為案件的偵破提供幫助。

一、電子證據的一般取證方式一般取證

電子證據的一般取證是指電子證據在未經偽飾、修改、破壞等情形下進行的取證。主要的方式有：

1、打印。在文字內容上有證明意義的網絡犯罪案件，可以直接把有關內容直接打印出來進行取證。打印后，可以按照提取書證的方法予以保管、固定，并注明打印的時間、數據信息在計算機中的位置（如存放于那個文件夾中等）、取證人員等。如果是普通操作人員進行的打印，應當監(jiān)督打印過程，防止原內容被修改、刪除等。

2、拷貝。是將對偵辦案件有價值的計算機文件拷貝到U盤、光盤或活動硬盤中。在拷貝之前，取證人員要檢驗所準備的u盤、光盤或活動硬盤，確認沒有感染病毒。拷貝之后，也要及時對拷貝的質量進行檢查，防止因保存方式不當等原因而導致拷貝不成功等。取證后，同樣要注明提取的時間并封閉取回。

3、拍照、攝像。如果該證據是視聽資料，可以采用拍照、攝像的方法進行證據的提取和固定，以便充分、全面地體現(xiàn)證據的證明作用。同時對取證全程進行拍照、攝像，起到防止翻供和增加證明力的作用。

4、制作司法文書。一般包括檢查筆錄與鑒定。檢查筆錄是指對于取證證據方式、種類、內容、過程等在取證中的全部情況進行的記錄。鑒定是專業(yè)人員就取證中的專門問題進行的認定，也是一種固定證據的方式。

5、查封、扣押。對于涉及案件的證據材料、物件，可以采取查封、扣押的方式來防止其被損毀或破壞，并由司法機關進行保管、查封、扣押。由于措施得當，證據提取及時，既有效地證明犯罪，也防止了商業(yè)秘密的泄露。對于已經加密的數據文件進行查封、扣押，往往需要將整個存儲器從機器中拆卸出來并聘請專門人員對數據進行還原處理，這種情況下進行的查封、扣押措施必須相當審慎，以免對原用戶、或其他合法客戶的正常工作造成侵害，一旦硬件損壞或誤操作導致數據不能讀取或數據毀壞，其帶來的損失將是不可估量的。

二、電子證據的復雜取證方式復雜取證

電子證據的復雜取證方式復雜取證是指需要專業(yè)技術人員協(xié)助進行的電子證據的收集和固定工作。多使用于電子證據不能順利獲取，如被人為的破壞、刪改或被加密、計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：

1、恢復。當存儲介質出現(xiàn)損傷或由于人員誤操作、操作系統(tǒng)本身故障所造成的數據看不見、無法讀取、丟失。數據恢復(Data recovery)是指通過技術手段，將保存在臺式機硬盤、筆記本硬盤、服務器硬盤、存儲磁帶庫、移動硬盤、U盤、數碼存儲卡、Mp3等等設備上丟失的電子數據進行搶救和恢復的技術。文件恢復軟件是指把從硬盤或U盤等存儲設備上永久刪除（即從回收站里永久刪除或按shift+del永久刪除）的文件恢復過來的軟件。由于NTFS、FAT等文件系統(tǒng)在文件刪除時并不是立即把文件所有內容從存儲設備上清掉，因此利用一些工具軟件可以把這些文件恢復過來。常用的數據恢復軟件有：頂尖數據恢復軟件、迅龍數據恢復軟件、安易硬盤數據恢復軟件、Recuva(硬盤數據恢復軟件)、RecoverNT EXPD等等。

2、解密。所需要的證據已經被行為人設置了密碼，隱藏在文件中時，這就需要對密碼進行解譯。在找到相應的密碼文件后，請專業(yè)人員選用相應的解除密碼口令軟件。如：用Word軟件制作的密碼文件，選用Word軟件解譯；解密后，將對案件有價值的文件，即可進行一般取證；在解密的過程中，必要的話，可以采取錄象的方式。同時應當將被解密文件備份，以防止因解密中的操作使文件丟失或因病毒損壞。如：在辦理一起某國際投資公司的職務犯罪案件中，偵查人員在搜查辦公室時發(fā)現(xiàn)，其使用辦公桌的抽屜和文件櫥內有11張微機軟盤，懷疑盤內存有其犯罪的重要證據，取回后立即送技術科進行檢驗，我技術人員按要求，進行了詳細檢驗，無病毒，并查清了這些軟盤中用Word軟件所制作的文件，并加入了密碼，即針對所用軟件采用了Advanced Word 97 Password Recovery 1.23軟件成功的破譯了其中的密碼，解出了108份文件，從而掌握了其犯罪的重要書證，又擴大了辦案線索，使案件深入發(fā)展。

3、測試。電子證據內容涉及電算化資料的，應當由司法會計專家對提取的資料進行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設計或軟件使用有關的問題時，應當由司法會計專家現(xiàn)場對電算化軟件進行數據測試（偵查實驗）。主要是使用事先制作的測試文件，經測試確認軟件有問題時，則由計算機專家對軟件進行檢查或提取固定。

三、與電子證據相關的幾項工作

1.制定電子證據的取證制度。

電子證據的特點，決定了電子證據的收集、固定和使用工作的特殊性。因此，檢察機關有必要建立電子證據的取證制度，以規(guī)范電子證據的收集、固定活動，使辦案人員能夠及時有效的收集到電子證據，也為電子證據的在法庭上的合法使用提供依據。

2.注重對電子證據專家的培養(yǎng)。

一則，電子證據所涉及的技術是不斷發(fā)展的，相關取證人員都需要不斷學習、研究和掌握新的技術方法；二則，雖然電子證據專家各有所長，但為了方便證據的收集與固定，計算機專家需要熟悉訴訟程序、證據規(guī)格和電算化等業(yè)務，司法會計專家和偵查人員也需要了解計算機知識。因此，檢察機關應當注意對電子證據專家的業(yè)務培訓，不斷提高他們的專業(yè)機能，使之在工作中能夠得心應手。

隨著信息化程度的提高，電子證據取證將成為偵查取證工作的重點環(huán)節(jié)。加強對偵查人員和技術人員的相關培訓，加強和提高對偵查工作中電子證據取證問題的認識和重視，加強對電子證據以及取證過程所涉及的法律問題的研究，逐步建立和完善電子證據取證體系。