淺談電子數據取證現場勘驗方法

楊開開，石 磊

（南通市公安局，江蘇 南通 226000）

淺談電子數據取證現場勘驗方法

楊開開，石 磊

（南通市公安局，江蘇 南通 226000）

電子科學技術的不斷更新發展在給人們的日常生活帶來極大便利和幫助的同時，也為不法分子提供了許多高科技的犯罪手段。針對其犯罪手段，南通市公安局采用了電子數據取證現場勘驗的方法，這對迅速破獲案件、搜集獲取犯罪證據提供了很大的幫助，能為公安局快速抓獲犯罪嫌疑人提供幫助。文章介紹了電子數據取證現場勘驗的流程、原則，分析了電子數據取證在公安局辦案中的困難及發展現狀，并提供了一些建議。

電子數據；取證；現場勘查；犯罪證據

隨著現代網絡技術及電子商務的飛速發展，各式各樣的網絡犯罪日益增多，使得電子數據取證技術成為了司法機關，執法部門重點關注的問題。而電子數據取證中現場勘驗檢查的規范性直接決定了電子證據的司法有效性，所以尤為重要。現場勘驗檢查，即在案發現場實施勘驗，以提取固定現場存留的與本案有關的電子證據和其他相關證據；我國是由縣級以上公安機關相關部門負責組織實施，必要時，可以指派或者聘請具有專門知識的人參加。如何更好地規范電子數據取證現場勘驗是對執法部門工作的有力保障和支撐。

1 電子數據取證的概念與基本原則

電子數據取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。電子數據取證包括計算機文檔取證、網絡信息偵查取證、財務數據取證、手機偵查取證等。因為電子數據證據容易遭到破壞的特征，為保障電子數據取證的準確、完整、原始性，其必須遵守以下原則。

1.1 及時原則

因為電子數據有脆弱、容易損毀或被覆蓋的特點，所以為了避免數據被篡改、丟失或者覆蓋，應該及時地對證據進行收集和固定，一旦錯過最佳取證時機，就可能無法再次獲取。

1.2 避免原始數據被使用

在對搜集的電子數據進行數據分析時，應該避免使用原始數據，防止原始數據被覆蓋或者篡改，對數據造成不可挽回的損失。在進行數據分析的同時應該確保原始數據的信息安全和完整性。

1.3 無損原則

任何法律案件都是以證據為依托的，所以證據是陳述事實的最好依據，在向法庭提交證據時，應該確保證據獲取的原始性，在證據被認定并得到使用期間，必須保證其沒有任何變故，應該詳細記錄電子信息數據在固定、收集、分析、恢復等步驟的信息，保證這些信息的完整、安全、原始性，避免其受到任何破壞。

1.4 操作的合法性

在對案件的記錄以及搜集證據時，應選擇合理合法的手段，在對全部檢查、取證的過程進行監督管理，遵守相關的法律法規。

2 電子數據現場勘驗取證流程

2.1 確認犯罪對象

在現場勘驗取證中最好向辦案部門了解詳細犯罪對象的情況，主要了解犯罪對象使用的犯罪工具，包括電腦還是手機作案、使用數量的多少、使用的是筆記本電腦還是臺式機、手機大概什么型號等信息。

2.2 做好現場勘驗取證準備

在取證人員對現場進行勘驗取證之前，應該做好充分的取證準備工作，包括對案件的基本了解，現場所在位置、人員等，并針對了解的情況，選擇現場所需攜帶設備，做好取證準備。

2.3 物證識別

到了現場后結合前期掌握的物證線索情況，進行物證識別，盡量找齊現場所有與電子數據有關的設備與存儲介質，包括硬盤、手機、相機、U盤等。如前期掌握的物證需要在現場著重查找。

2.4 證據的收集

對于證據應保護其原始性，保證證據不被破壞或覆蓋，包括計算機的內存信息、屏幕信息以及計算機里的程序進程。證據收集完后，現場有些易丟失的數據，需要現場證據固定及獲取，這里的易丟失數據指的是電腦等設備在斷電后數據會丟失，不易恢復的數據。

以上取證準備、證據識別、證據收集、證據固定及獲取4個環節屬于現場勘查部分，后面就是把證據帶回保存，再通過取證工具進行證據分析，最后生成報告。

3 電子數據取證現場勘驗步驟及方法

3.1 現場勘驗步驟

取證準備→現場安保→現場拍照→收集相關物證（其中收集到的外部介質和設備可以直接填寫清單）→封存物證（收集到的計算機得先查看計算機狀態，如果是關機狀態，填寫提取時間信息等，如果是開機狀態，要先進行在線取證固定，斷電）→介質復制→填寫清單→保存物證→結束勘查。

3.2 現場勘驗的方法

第一步，首先要做好充分的準備，了解具體的案情，包括案件類型、案件背景、涉案使用的工具等；人員的準備，確定現場勘查人員、安保人員、對方協助人員、第三方證人等；設備準備，準備現場勘查箱、硬盤復制機、硬盤、移動存儲介質、封條標簽等。

第二步，現場安保目的：保障人身安全—防止現場勘查過程中因被調查人不配合產生沖突，或其他可能造成人身傷害的情形；保障設備安全：防止現場勘查過程中直接或間接地破壞證物或設備。

第三步，現場拍照：在對現場展開調查前，應通過拍照、錄像等方式記錄下當時的狀態，如設備的位置、連接狀態、顯示器屏幕信息等。

第四步，收集相關物證：注意識別哪些設備是與案件相關，紙質文件/材料，如便箋、已打印資料等；移動存儲介質，如U盤、移動硬盤、光盤；計算機及其外部設備，如電池、充電器、磁盤陣列卡、擴展卡等；手持設備以及各種連接線（如手機、GPS導航儀等）。

第五步，如果是電腦處于開機狀態，則需要在線取證：易丟失數據的固定應拍照以記錄系統當前的運行狀態及時間信息等關鍵數據，獲取工具提取其他信息；即時通訊數據提取應對正在運行的即時通訊程序，應及時導出相關聊天記錄及聯系人信息，如QQ，MSN，SKYPE，阿里旺旺、移動飛信等。

第六步，在現場查看完計算機狀態后，現場需要進行介質復制操作的，一般分為兩種情況：一種是計算機硬盤可拆卸的情況，通過硬盤復制機進行位對位的復制，并且每個源盤推薦做兩個以上的證據副本（前提是目標硬盤必須為擦除過的空硬盤，目標硬盤的容量要等于或略大于源盤容量）。另一種是計算機硬盤不可拆卸的情況，通過專用復制工具網口連接復制功能或是軟件啟動不拆機復制功能進行復制（同樣，每個源盤推薦做兩個以上的證據副本，目標硬盤必須為擦除過的空硬盤，目標硬盤的容量要等于或略大于源盤容量）。

第七步，以上步驟完成后同樣到了填寫清單的階段，但與前面外部介質和設備不同的是，除了物證的名稱、型號、特征等信息外，還需要對計算機拆卸硬盤進行拍照，填寫照片記錄表等。經過上述8個步驟就結束計算機現場勘查取證了。

4 電子數據取證現場勘查的處理原則及注意事項

4.1 對于處理計算機的原則

如果計算機處于開機狀態，不可立即關機，關閉計算機應該盡量減少數據丟失，一般采用將計算機的電源直接斷開的方式，如果強行關機，就有可能使計算機硬盤里的數據丟失或被其他數據覆蓋，采取一定的措施并提取容易丟失或被覆蓋的數據。如果計算機處于關機狀態，別去開啟它的系統，通過錄像等方式記錄下計算機設備的連接狀態，然后拔掉硬盤數據線和電源線，進入BIOS，記錄機器顯示的時間。

4.2 對于“封存物證”的處理原則

物證是與犯罪事實相關聯的實體物和犯罪痕跡的體現，對于封存物證要保證封條位置正確，若要使用封存設備就必須經過申請，通過破壞封條來對設備進行使用。對于可移動介質應標上標簽，裝入防靜電袋并在封口處貼上封條。對于每個封條應具有標識且是唯一的標識，并讓封存者在封條上簽字確認。對于證物須貼上標簽，并注明證物提取時間、人員姓名以及設備的名稱、型號等信息。

4.3 注意事項

首先，公安機關在進行電子數據取證收集和獲取時，一定要注重對公民的財產和隱私的保護，在對網絡秩序進行維護的同時也要保障公民的合法權益。其次，對于證據的合法程度應符合司法程序的合理合法化。包括取證步驟、方式的合法化，對于采用的技術手段的合理化等方面。在取證過程中應保持實體的正義與程序正義化的融合，避免出現違法行為。最后，對于調查人員來說，應以自身的安全為首要任務，了解案發現場所在的地理位置，保障調查人員和證據的安全性，對于案發地點有關的因素都應考慮并加大搜索范圍，采取及時有效的安全防護措施。

5 結語

在信息技術飛速發展的當下，電子證據扮演著相當重要的角色，作為一個先進且全新的課題需要更多相關人員進行研究學習，在不斷擴展視角的同時進一步對我國電子數據取證業務進行規劃設計，使其能被我國司法機關更好地應用。

[1]許慧敏.析檢察機關電子數據現場勘驗取證工作[J].安徽電氣工程職業技術學院學報，2013（2）：37-40.

[2]宋亦青.電子取證若干問題研究[D].北京：中國政法大學，2007.

[3]安德智.計算機取證技術應用[J].計算機安全，2006（9）：68-71.

Analysis on method of scene investigation method with electronic data

Yang Kaikai, Shi Lei
（Nantong Municipal Public Security Bureau, Nantong 226000, China）

Development of electronic science and technology has brought great convenience and help to our daily life, but at the same time it also provides a lot of high-tech crime means for criminals. According to the means of crime, Nantong Municipal Public Security Bureau adopted the investigation method on the scene with electronic data, which provides a great help for the public security bureau to quickly crack the case and collect evidence of a crime and quickly arrest the suspect. This paper introduces the electronic data forensics scene investigation process, principle, provides some suggestions to analyze the difficulties and development in the public security bureau in handling electronic data forensics.

electronic data; evidence collection; field investigation; criminal evidence

楊開開（1984— ），男，江蘇海門，碩士，助理工程師；研究方向：取證技術。