杨 勇

湖南警察学院，湖南 长沙 410138

0 引言

我国自1978年实施改革开放政策以及在新世纪加入世界贸易组织（WTO）以来，我国在各个领域都取得了较为快速地发展。其中，侦查技术就发生了根本性的变化，侦查技术逐渐发展成为以信息技术为主体的专业的科学技术，通过融入信息技术，这就使得侦查的效率变得十分之高，各种犯罪行为也在信息技术这双“慧眼”的监视下一个个被侦破，这也在很大程度上减少了犯罪行为的发生。因此，可以说电子物证现场取证技术是时代的进步，也是信息技术发展到一定阶段的重要产物。本文主要对电子物证的现场取证技术的相关内容及重要组成部分进行了阐述，以及对电子物证取证及检验的重要意义以及作用进行了论述。具体的方法为主要是对欧美以及国内的有关电子物证现场取证技术方面的资料进行了研究，最终得出了电子物证现场取证及检验的涵义、取证对象、具体的方法以及特点等方面进行了介绍，进而得出这样的结论：电子物证现场取证技术关乎到识别、发现、提取、保存、恢复以及分析鉴定等方面的科学技术，能够为案件侦查提供必要的证据，从而增加了犯罪侦查的效率。

1 电子数据的预检

在正式确定目标物证之前，要对其进行电子数据预检，其主要目的就是为了对相关案件加以锁定和发现，以及对整个的发生过程进行事先安排。由于电子数据具有很多特点，如易复制、易损坏以及易传播等特点，现场调查取证的工作人员应该加强对证据安全的风险意识进行提高，以不断提高电子数据的原始性以及完整性。

1.1 对手机的预检

目前，手机主要分为3种类型，即GSM、CDMA和CDMA/GSM3种类型。对于数据的存储一般使用的是SIM卡、手机本身带有的内存以及扩展卡（或者称为可以替换的存储卡），此种存储介质的一大特点就是保存了与案件有关的电子数据如通话记录、信息、记事本、视频信息等，而这些信息往往都与发生的案件有很大的联系，因此这种渠道来获取电子数据也是电子物证现场取证的一个重点内容。现场取证的工作人员能开启手机对相关数据进行预检，在对手机进行预检时，应该注意应该对相关信号进行屏蔽，除了该案件需要对拨人电话或者发短信息的人实施跟踪。这样做的主要的原因就是手机处于一种全开放的在线工作状态，这就可能会发生随时将信息泄漏出去的现象，而且短信也可能会被删除或是被泄漏出去，而这些被泄漏出去的信息往往和案件有很大的关系。因此，笔者认为，应该加强对手机信息加以保护，以避免手机信息的外泄而影响了案件的快速侦查。

1.2 对电子计算机设备中的电子数据进行预检

现场的调查取证人员为了对运行中的检验设备以及设备中的电子数据进行预检，一般都会按照常规的方式进行开机查阅，然后对系统中的相关文件加以浏览，那么这样做的坏处就是很有可能对所储存的电子数据的有关属性进行了改变，电子数据的属性改变了，就会带来一定的风险。这些风险主要包括如下几个方面：改变了系统中的文件时间属性，对于Windows各个系统的影响是不同的，其中对于Windows98系统而言，会造成约为300个文件属性的改变，对于Windows2000系统，一般会造成约为500个文件属性发生改变，如果此案件要涉及到电脑开机时间的取证与检验，那么势必会导致取证及检验的条件发生重要的扭变。因此，可以说现场取证调查工作人员不要对处于关机状态下的设备中硬盘的电源，拔下硬盘数据线，将BIOS的引导设备修改为软盘，阻断被预检的硬盘启动系统，之后采用专用的系统启动盘(如专用的Encase启动盘)重新启动系统。

2 涉案设备封存收缴时应该注意的几个问题

2.1 涉案实体对象封存收缴

对于涉案实体对象封存收缴，是一种获取物证十分重要的方式。当前时期下，涉案实体对象主要分为四个方面，即存储的介质、文档、电子设备及其他资料。其中，存储介质主要有以下几个方面，即硬盘、软盘、U盘、光盘、磁带以及各类存储卡等，上述这些设备可以存储相关的数据。电子设备主要包括PC机等、mp4、手机、数码设备、集线器、路由器、磁带机以及数据线等，这些设备可以对电子物证进行外在的反映。文档以及其他资料主要包括计算的程序方面的内容以及各种设备的用户手册、打印的各类文档资料等。上述设备主要是对电子数据进行记录。

2.2 开机状态的设备的封存收缴

对于开机状态的设备而言，一般不能对其进行简单的处理，大部分人都会将电源直接关闭进行收缴封存，如果按照这样做的话，势必会使得重要的数据受到破坏以及丢失，且对后续的数据分析以及取证检验增加更大的技术难度。例如一个正在运行的应用系统，将电源关闭之后，可能会造成两个方面的不良后果：1）使得内存中处于动态运行的程序以及文件的相关数据大量丢失，这样就会使得屏幕上所显示的全部信息不能很好地重现；2）各种存储介质中的相关数据即使能够进行很好的克隆和备份，但是对于需要在实际运行中分析检验的专用系统，重新搭建系统运行环境，则很有可能会遇到系统启动密码，文件加密、应用系统运行时需要支持的各种工具软件的安装等。

3 电子物证现场取证的具体方法

当现场调查取证的工作人员在进行现场取证时，由于受到各种外界条件的影响以及限制，根本无法对正在运行的系统进行停止处理或者对设备封存收缴，尤其是在面对某些专用的应用系统，例如金融、医疗以及大型的网站等，对系统进行停止运行势必会对被调查部门或者是用户正常的工作秩序造成一定程度的影响或是伤害，它们会承受经济上的巨大损失以及风险，但是对于现场调查取证的工作人员而言，对相关的电子数据实施静态或是动态的分析，面对巨大的存储数据，一是对其分析相当耗时；二是令人难以承受。所以，笔者认为，现场调查的工作人员应该选择那些物理存储介质中的电子数据，当前时期下，随着信息技术以及其他各类技术的快速发展，对电子数据的获取主要采用的技术方法是对物理存储介质的实体镜像以及逻辑进行复制。目前各国普遍使用的保存数据的方法为物理存储介质的实体镜像，同时它也是世界各个国家司法鉴定机构普遍认为最好的取证方式之一。物理存储介质的实体镜像，可以实现对整个物理存储介质进行逐步的整体复制，对于在这个过程中所复制的目标数据不仅包括操作系统中可以进行访问的正常数据文件，而且还包括了操作系统不能进行识别的已经被删除的文件、文件碎片以及没有进行磁盘空间分配等，在上述空间中可能包含了文件删除之后没有被覆盖的大量残余的信息，而这些数据一般与已经发生的案件具有十分密切的关系。所谓逻辑复制指的就是对物理存储介质中的某个分区或是文件进行复制，这些文件以及分区，操作系统可以进行正常地访问。

[1]尹春社.对电子数据现场获取存在问题的分析与探讨[J].刑事技术，2008(3).

[2]李盛，朱秀云，韩杰，等.电子物证检验中常用数据恢复工具对比研究[J].刑事技术，2008(4).

[3]王桂强.电子物证检验[J].刑事技术，2003(4).

[4]罗文华.信息上传操作在客户端主机中留有痕迹的检验[J].刑事技术，2010(1).

[5]徐茂.犯罪嫌疑人手机储存信息在侦查破案中的价值刍议[J].铁道警官高等专科学校学报，2008(6).