電子物證提取以及檢驗的污染問題探究

楊 冀 侯海濤

（437100 咸寧市公安局 湖北 咸寧）

近年來電子信息科技高速發展，電子產品大量普及。利用計算機電子設備獲取信息十分容易，電子信息常被不法分子利用。計算機與手機等電子設備成為犯罪侵害的對象。電子證據無處不在，司法部門運用計算機技術收集可電子物證，有效打擊網絡犯罪行為成為維護社會公共安全的重要內容。

一、電子物證提取檢驗要求

為避免在檢驗中破壞源儲存介質，需在檢驗前精確備份源存儲介質行。鏡像設備對硬盤等存儲介質復制，具有良好的兼容性。光盤復制機為高速復制設備，操作簡便，具有載入，對比等功能，不同類型的取證產品各有優勢。必須深入挖掘各種產品的功能，建立取證勘察工具集合。以增強取證能力。

常見的存儲介質只讀設備只讀讀卡器，只讀鎖等，設備可直接進行取證分析，保證取證檢驗過程的司法有效性。專用電子物證檢驗分析設備由制造商專門設計集成，可直接獲取數字證據。

電子物證提取指具有取證資格的檢驗人員，運用計算機相關科技原理，對案件現場及相關電子設備存儲數據發現提取的過程，電子物證具有時效性，不恰當的處理方式會損壞電子物證的法律效力。電子物證的提取應遵循科學客觀，公正獨立的原則。

電子數據廣泛存在于電子計算機單機系統及其他電子設備中，電子物證檢驗任務包括認定信息的存在性，認定信息的量，來源，認定程序功能，重構犯罪事件等。電子物證檢驗為識別，提取與鑒定電子設備中存在的電子證據。用以案件偵查，常用的檢驗方法包括直接讀取文件，關鍵字搜索技術，對比分析技術，交換空間分析技術，密碼破解技術等。

二、我國電子物證提取檢驗現狀

1.我國計算機犯罪現狀

電子物證通過對電子信息內容，軟硬件及運行情況檢驗得到犯罪證據。通過對電子證據的提取固定為偵破犯罪案件提供線索。體現其在打擊計算機犯罪方面的作用。

電子物證檢驗通過對電子證據檢驗，在可預見的范圍內對犯罪進行有針對性的可行性預防。如在合理范圍內，針對可能出現的計算機犯罪新手段，侵害目標進行預警。為國家團體及個人提供防范準備，會減少很多的損失。我國電子物證檢驗在公安工作實際需求下逐漸發展，目前已發展到100多個實驗室可從事電子物證檢驗工作。

計算機犯罪分子具有較高的文化水平，具備一定的反偵察能力，大大增加了打擊計算機犯罪的難度。犯罪分子對數據文件進行加密，增加了電子物證檢驗技術人員的工作難度。我國電子物證檢驗起步較晚，當前公安打擊網絡犯罪中在提取設備，分析設等方面對快速增多的計算機犯罪中嚴重不足。此問題普遍存在于公安機關電子物證檢驗部。此危害較當地經濟狀況對電子物證檢驗影響更大。

2.提升電子物證檢驗水平措施

目前電子物證檢驗依賴于檢驗工具與檢驗軟件，關于檢驗工具的核心技術尚未掌握。在此方面的人力物力投入不足，自主研發的檢驗工具會有很好的向下兼容性，在實際檢驗工作中遇到檢材有時是幾種檢驗工具同時工作。要強調電子物證檢驗自主研發，打破電子犯罪偵查技術的發展瓶頸。電子物證檢驗是最有可能率先完成發展模式轉變的偵查技術。我國電子物證檢驗是最先與新型計算機犯罪手段接觸的，計算機犯罪案件偵查中，電子物證檢驗工具使用者，不同案件會產生不同的使用問題，為改進檢驗工具的功能提供了很好的方向。檢驗工具開發工作可與各類廠商與科研院校合作，電子物證檢驗僅需投入犯罪手段與檢驗工具的使用經驗，徹底擺脫資金限制。

電子物證檢驗對檢驗工作技術人員專業技能要求較高。從事電子檢驗工作的技術人員是檢驗活動的何香凝，檢驗人員要憑借自身業務知識對檢材進行觀察判斷，保護檢驗對象的初始狀態，盡量縮減檢驗周期。電子檢驗技術人員的專業技能水平很大程度上決定了檢驗任務的成敗。

電子物證檢驗技術人員要能抵擋誘惑，利益是犯罪的根源，從事電子檢驗工作的技術人員要拒絕犯罪分子的誘惑。時刻保持清醒的意識。

當前各國根據本國實際情況，相繼出臺了系列的法律法規，以規范電子取證與檢驗人員，操作等規程。隨著計算機技術的快速發展，一些法律已不能滿足打擊犯罪的新手段需求，如新的犯罪手段無明確的法律規定，必然會導致犯罪行為法律缺失，從而損害社會團體及個人的合法權益。

目前我國僅刑法規定單位犯罪負刑事責任。補充法律法規對計算機犯罪主體主要是將單位作犯罪主體。當前利用計算機技術手段報復商業對手的犯罪行為屢屢發生，直接侵害競爭對手的商業利益，應視為計算機犯罪。

3.設計電子物證提取檢驗系統

電子物證的檢驗隨新型犯罪形式出現，電子物證具有多樣性，因此電子物證檢驗系統與其他取證工具的整合能力非常重要。其檢驗必須強調程序的科學合法性，確保提取檢統應滿足使用者處理多種存儲介質的需求。實現對案件與物證唯一性，對檢驗工具的監控，通過系統自動生成具有法定證據效力的檢驗結果。

系統功能模塊包括用戶接口模塊，物證提取模塊，檢驗分析模塊，用戶提取模塊中完成電子物證的受理，物證信息的錄入，物證提取模塊中完成收集設備與提取信息。檢驗分析模塊中完成提取摘要信息，關鍵字匹配。生成法定證據模塊功能是收集數據與生成報告。

電子物證的提取步驟為現場勘查，拍照記錄，離線提取，封裝保存等，執行取證對各步驟情況進行記錄歸檔。確保證據具備法定效力。電子物證的提取類型包括實物物證與邏輯物證。實物物證包括電子設備，存儲介質與文檔資料，邏輯物證包括易失性數據與非易失性數據。提取邏輯物證分為復制電子設備存儲所有電子信息與所需電子信息，應根據案件情況決定取證方式。提取中必須保障現場電子設備的電子安全，避免發生數據破壞。以便為翻轉現場還原提供直接依據。

構建電子物證檢驗系統目標是針對被保護狀態下采集的電子物證進行檢驗分析，使電子物證成為偵破認定犯罪的有力證據。建立功能完善的專業電子物證檢驗系統，需具備計算機電子設備數據檢驗能力。實現系統要加入數據信息與綜合管理。

三、電子物證提取檢驗污染問題

一些硬盤帶有系統軟件，部分工作人員直接使用帶系統軟件的硬盤啟動導致硬盤文件時間變化；如將帶有檢材信息的移動硬盤直接連接到非取證計算機設備中，殺毒軟件反復讀取分析文件數據信息內容，易導致篡改硬盤中信息數據被。將硬盤介入到帶有系統的檢材計算機中，系統自動對硬盤中數據進行掃描記錄，易造成信息數據泄露。

因工作人員對錄音等設備操作不當，在常規性檢查中因誤操作導致機器自動錄音錄像，導致物證資料丟失。若在物證鑒定中直接打開手機等設備，如調查當事人手機中短信等信息，未打開屏蔽網絡設備，易導致原本檢材內容改變，如手機內存已滿，接收新短信導致原短信被刪除。

在未準確把握計算機性能時，如對按照系統還原軟件，啟閉計算機會導致計算機中的數據丟失。對設備保護不當亦會導致證據丟失。將設備放在潮濕等環境中，或設備保護措施不到位，導致設備碰撞損壞，也會影響物證的取證。

四、電子物證提取檢驗污染防治

應針對案件具體情況，判斷是否需連接網絡。如在持續性網絡犯罪案件中保持網絡暢通，通過網絡獲取犯罪信息，斷開網絡為保護網絡系統穩定性，避免入侵網絡者篡改數據。加強管理現場工作人員，防止出現破壞數據信息的行為。查看運行中的計算機設備，避免破壞運行程序。犯罪現場發現電子設備后要避斷電導致緩存數據丟失。認真檢查犯罪現場，避免周圍磁場影響硬件設備運行。

在犯罪現場要關注部分非電子設備數據的證據信息，如日記本內容等，現場搜查時，需注意小物件的擺放位置，做好拍照記錄工作。搜查計算機設備時，應關注設備是否存在藍牙等外部連接情況，避免信息被盜取泄露。

針對犯罪中被抓案件，如網絡賭博等行為，工作人員可對現場網頁進行截屏保存，成為有法律效力的電子物證。如計算機處于關機狀態，不可進行開機操作，如需開啟設備，應將源計算機硬盤數據復制下，打開設備調查取證，以保證信息不會丟失。打開系統后，需校對計算機時間，及時做好檔案記錄工作。

總之，隨著電子設備與網絡技術的普及，很多犯罪案件都涉及到電子設備，需依靠相關司法工作人員提取電子物證輔助案件偵破。電子物證在提取檢驗中涉及多個環節，應做好電子物證的保護工作，避免電子物證被竊取破壞，保證電子物證的法律效力。