如何獲取電子證據(jù)
電子證據(jù)的取證規(guī)則、取證方式都有別于傳統(tǒng)證據(jù),傳統(tǒng)的證據(jù)收集手段、認(rèn)證都不能完全照搬使用,因此,網(wǎng)絡(luò)犯罪中證據(jù)的提取、固定有一定難度。盡管如此,針對案件的具體情況,利用電子證據(jù)自身的特點(diǎn),可以進(jìn)行取證,為案件的偵破提供幫助。
(一)電子證據(jù)的一般取證方式
一般取證,是指電子證據(jù)在未經(jīng)偽飾、修改、破壞等情形下進(jìn)行的取證。主要的方式有:
1、打印。對網(wǎng)絡(luò)犯罪案件在文字內(nèi)容上有證明意義的情況下,可以直接將有關(guān)內(nèi)容打印在紙張上的方式進(jìn)行取證。打印后,可以按照提取書證的方法予以保管、固定,并注明打印的時(shí)間、數(shù)據(jù)信息在計(jì)算機(jī)中的位置(如存放于那個(gè)文件夾中等),取證人員 等。如果是普通操作人員進(jìn)行的打印,應(yīng)當(dāng)采取措施監(jiān)督打印過程,防止操作人員實(shí)施修改、刪除等行為。
2、拷貝。是將計(jì)算機(jī)文件拷貝到軟盤、活動(dòng)硬盤或光盤中的方式。首先,取證人員應(yīng)當(dāng)檢驗(yàn)所準(zhǔn)備的軟盤、活動(dòng)硬盤或光盤,確認(rèn)沒有病毒感染。拷貝之后,應(yīng)當(dāng)及時(shí)檢查拷貝的質(zhì)量,防止因保存方式不當(dāng)?shù)仍蚨鴮?dǎo)致的拷貝不成功或感染有病毒等。取證后,注明提取的時(shí)間并封閉取回。
3、拍照、攝像。如果該證據(jù)具有視聽資料的證據(jù)意義,可以采用拍照、攝像的方法進(jìn)行證據(jù)的提取和固定,以便全面、充分地反映證據(jù)的證明作用。同時(shí)對取證全程進(jìn)行拍照、攝像,還具有增加證明力、防止翻供的作用。
4、制作司法文書。一般包括檢查筆錄和鑒定。檢查筆錄是指對于取證證據(jù)種類、方式、過程、內(nèi)容等在取證中的全部情況進(jìn)行的記錄。鑒定是專業(yè)人員就取證中的專門問題進(jìn)行的認(rèn)定,也是一種固定證據(jù)的方式。使用司法文書的方式可以通過權(quán)威部門對特定事實(shí)的認(rèn)定作為證據(jù),具有專門性、特定性的特點(diǎn),具有較高的證明力。主要適用于對具有網(wǎng)絡(luò)特色的證據(jù)的提取,如數(shù)字簽名、電子商務(wù)等,目前在我國專門從事這種網(wǎng)絡(luò)業(yè)務(wù)認(rèn)證的中介機(jī)構(gòu)尚不完善,處在建立階段。如1998年,經(jīng)廣東省人民政府批準(zhǔn)成立了以提供電子認(rèn)證服務(wù)為主營業(yè)務(wù)的廣東省電子商務(wù)認(rèn)證中心,到目前為止,該中心已簽發(fā)各類數(shù)字證書超過6萬張,為用戶在Internet網(wǎng)絡(luò)的電子商務(wù)活動(dòng)提供了安全保障。
5、查封、扣押。對于涉及案件的證據(jù)材料、物件,為了防止有關(guān)當(dāng)事人進(jìn)行損毀、破壞,可以采取查封、扣押的方式,將有關(guān)材料置于司法機(jī)關(guān)保管之下。可以對通過上述幾種方式導(dǎo)出的證據(jù)進(jìn)行查封、扣押,也可以對于一些已經(jīng)加密的證據(jù)進(jìn)行。如在侵犯商業(yè)秘密的案件查辦中,公安機(jī)關(guān)依法查封、扣押了辦公用具及商業(yè)資料,將硬盤從機(jī)箱里拆出,在筆錄上注明“扣押X品牌X型號硬盤一塊”。由于措施得當(dāng),證據(jù)提取及時(shí),既有效地證據(jù)犯罪,也防止了商業(yè)秘密的泄露。對于已經(jīng)加密的數(shù)據(jù)文件進(jìn)行查封、扣押,往往需要將整個(gè)存儲器從機(jī)器中拆卸出來并聘請專門人員對數(shù)據(jù)進(jìn)行還原處理,這種情況下進(jìn)行的查封、扣押措施必須相當(dāng)審慎,以免對原用戶、或其他合法客戶的正常工作造成侵害,一旦硬件損壞或誤操作導(dǎo)致數(shù)據(jù)不能讀取或數(shù)據(jù)毀壞,其帶來的損失將是不可估量的。
6、公證。由于電子證據(jù)極易被破壞、一旦被破還又難以恢復(fù)原狀,所以,通過公證機(jī)構(gòu)將有關(guān)證據(jù)進(jìn)行公證固定是獲取電子證據(jù)的有效途徑之一。2001年3月的新浪網(wǎng)《育兒論壇》被控刊載有損害他人名譽(yù)權(quán)的文章,南京市第三公證處接受申請,對新浪網(wǎng)頁上的《育兒論壇》內(nèi)容進(jìn)行了保全證據(jù)公證:對操作電腦的步驟,包括電腦型號、打開電腦和進(jìn)入網(wǎng)頁的程序以及對電腦中出現(xiàn)的內(nèi)容進(jìn)行復(fù)制等全過程進(jìn)行了現(xiàn)場監(jiān)督,在現(xiàn)場監(jiān)督和記錄的同時(shí),對現(xiàn)場情況進(jìn)行拍照。之后,公證人員出具保全證據(jù)公證書。但是,由于公證具有高成本、低效率的特點(diǎn),也不能在電子證據(jù)的獲取上片面迷信公證的方式,應(yīng)當(dāng)根據(jù)案件的具體情況,具體決定采取上述哪種方式進(jìn)行取證。
(二)電子證據(jù)的復(fù)雜取證方式
復(fù)雜取證,是指需要專業(yè)技術(shù)人員協(xié)助進(jìn)行的電子證據(jù)的收集和固定活動(dòng)。多使用于電子證據(jù)不能順利獲取,如被加密或是被人為的刪改、破壞的情況下,如計(jì)算機(jī)病毒、黑客的襲擾等。這種情況下常用的取證方式包括:
1、解密。所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼,隱藏在文件中時(shí),就需要對密碼進(jìn)行解譯。在找到相應(yīng)的密碼文件后,請專業(yè)人員選用相應(yīng)的解除密碼口令軟件。如:用Word軟件制作的密碼文件,選用Word軟件解譯;解密后,將對案件有價(jià)值的文件,即可進(jìn)行一般取證;在解密的過程中,必要的話,可以采取錄象的方式。同時(shí)應(yīng)當(dāng)將被解密文件備份,以防止因解密中的操作使文件丟失或因病毒損壞。如:在辦理一起某國際投資公司的職務(wù)犯罪案件中,偵查人員在搜查辦公室時(shí)發(fā)現(xiàn),其使用辦公桌的抽屜和文件櫥內(nèi)有11 張微機(jī)軟盤,懷疑盤內(nèi)存有其犯罪的重要證據(jù),取回后立即送技術(shù)科進(jìn)行檢驗(yàn),我技術(shù)人員按要求,進(jìn)行了詳細(xì)檢驗(yàn),無病毒,并查清了這些軟盤中用Word軟件所制作的文件,并加入了密碼,即針對所用軟件采用了Advanced Word 97 Password Recovery 1.23軟件成功的破譯了其中的密碼,解出了108份文件,從而掌握了其犯罪的重要書證,又?jǐn)U大了辦案線索,使案件深入發(fā)展。
2、恢復(fù)。大多數(shù)計(jì)算機(jī)系統(tǒng)都有自動(dòng)生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能,有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準(zhǔn)備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成,一般是較難篡改的。因此,當(dāng)發(fā)生網(wǎng)絡(luò)犯罪,其中有關(guān)證據(jù)已經(jīng)被修改、破壞的,可以通過對自動(dòng)備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù),獲取定案所需證據(jù)。如1997年7月底,重慶市某農(nóng)業(yè)大學(xué)學(xué)生處計(jì)算機(jī)辦公網(wǎng)遭到破壞,直接影響到8月份即將開始的招生工作。偵查人員在接到報(bào)案后,及時(shí)進(jìn)行了現(xiàn)場保護(hù),從網(wǎng)絡(luò)的5號無盤站上得到了一個(gè)破壞程序正對系統(tǒng)進(jìn)行的破壞過程,這一破壞程序的運(yùn)行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的,偵查人員通過這個(gè)線索找到了源程序,破獲了全案。 如果數(shù)據(jù)連同備份都被改變或刪除,可以在系統(tǒng)所有者的協(xié)助下,通過計(jì)算機(jī)系統(tǒng)組織數(shù)據(jù)的鏈指針進(jìn)入小塊磁盤空間,從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù),進(jìn)行比較分析,恢復(fù)部分或全部的數(shù)據(jù)。另外,也可以使用一些專門的恢復(fù)性軟件,如Recover98、RecoverNT EXPD等。
3、測試。電子證據(jù)內(nèi)容涉及電算化資料的,應(yīng)當(dāng)由司法會計(jì)專家對提取的資料進(jìn)行現(xiàn)場驗(yàn)證。驗(yàn)證中如發(fā)現(xiàn)可能與軟件設(shè)計(jì)或軟件使用有關(guān)的問題時(shí),應(yīng)當(dāng)由司法會計(jì)專家現(xiàn)場對電算化軟件進(jìn)行數(shù)據(jù)測試(偵查實(shí)驗(yàn))。主要是使用事先制作的測試文件,經(jīng)測試確認(rèn)軟件有問題時(shí),則由計(jì)算機(jī)專家對軟件進(jìn)行檢查或提取固定。
(聲明:本站所使用圖片及文章如無注明本站原創(chuàng)均為網(wǎng)上轉(zhuǎn)載而來,本站刊載內(nèi)容以共享和研究為目的,如對刊載內(nèi)容有異議,請聯(lián)系本站站長。本站文章標(biāo)有原創(chuàng)文章字樣或者署名本站律師姓名者,轉(zhuǎn)載時(shí)請務(wù)必注明出處和作者,否則將追究其法律責(zé)任。) |
