數字證據是計算機和網絡技術飛速發展的產物,是法律與高科技相結合的壹種新的證據形式。數字證據的取證規則和方法不同於傳統證據,需要通過特定的技術手段進行分析和獲取。因此,在數字證據的取證過程中,要註意規範取證過程,遵循壹定的原則和方法。
首先,應嚴格規範獲取數字證據的程序。
1.保護證據現場。取證人員進入現場後,應迅速封鎖整個電腦區域,對人、機、物進行物理隔離;保護電腦日誌,備份數據,切斷遠程控制;封存現場信息系統、可能涉及的各種磁介質、內部人員使用的工作記錄、程序備份和數據備份;提取計算機硬盤、可移動磁介質、光盤等。,並特別註意提取當事人攜帶的存儲介質。
2.證據的提取和固定。在提取和固定數字證據時,壹個重要的原則是確保目標計算機中的原始數據不會被更改或破壞。只有這樣,才能保證數字證據的真實性、完整性和安全性。在取證過程中,應當對計算機中與案件有關的數據、資料進行備份,不得塗改、損毀,並記錄時間、地點、數據來源、提取過程、使用方法、備份人、證人名單等,並簽名。
3.證據分析。需要註意的是,所有的檢驗和分析都應該在備份副本上進行,以確保原始證據的可靠性和可信度。數字證據的數據分析必須考慮計算機的類型、采用的操作系統、是否有隱藏分區、是否有可疑外設、是否有遠程控制、特洛伊木馬程序以及當前計算機系統的網絡環境。要對數據進行綜合分析,還要註意檢查所有的日誌文件,登記使用過系統的用戶的操作時間和記錄,檢查可能進入或使用過機器系統的可疑程序。
二、在數字證據收集過程中,要註意保持證據的原始性。
1.原始數據備份後,不能直接對原始數據進行分析。在不破壞原始介質的前提下,對獲取的數據進行分析,提取有效證據。為了確保原始媒體數據的完整性,在數據分析之前,必須對原始數據進行鏡像,然後再進行分析。
2.應對原始數據進行冗余備份。數字證據在保存時應有兩份或更多完整的副本。冗余備份壹方面避免了由於數字證據本身的不穩定性造成備份數據的丟失,另壹方面也可以在數據分析過程中對復制的文件進行調查分析,提高取證效率。
3.在備份和復制過程中,以及在備份和復制硬盤或鏡像文件的數據分析、恢復和檢查過程中,應使用安全的只讀界面和寫保護技術進行操作。對重要的證據文件還應采用必要的加密技術和數字簽名技術,記錄分析過程中所用設備的型號和編號、所用軟件的名稱和版本號、具體操作過程和檢驗結果,並制作相應的工作記錄或檢驗文書。
4.詳細記錄取證全過程,保證證據的連續性。記錄並說明數字證據從獲得、生成到提交法庭作為審判依據的變化。在移動硬件前,以照片、視頻、圖紙、文字等形式記錄現場提取設備的相對位置、具體外觀、連接狀態,並用攝像機記錄檢查分析的全過程,特別是啟封狀態、檢查過程中的關鍵操作、重新密封等主要步驟,要多角度記錄。
5.確保硬件環境的安全性和可靠性。存儲數字證據的介質必須按照科學方法保存,並應遠離磁場、高溫、灰塵、潮濕和靜電環境,避免電磁介質的數據丟失和重要線索、證據的損壞。還應註意防磁,特別是使用裝有無線電通訊設備的車輛運送數字證據時,應關閉車上的無線設備,避免其工作時產生的電磁場損壞儲存在電腦、軟盤和磁帶中的數據。