电子取证技术措施研究
2016-11-02牛耕
牛耕
摘要:随着计算机在生活中的普及及在各领域中的广泛应用,网络犯罪、电子商务纠纷等事件也层出不穷。电子证据自然产生并走进了司法领域。电子取证涉及法律及计算机技术,开展电子取证技术研究,对于保障司法公正有着十分重要的现实意义。
关键词:电子取证;程序;技术
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)18-0040-02
1 电子证据取证概述
作为新生事物,电子证据自诞生那天起就引起了人们的广泛关注,在法律界也争议不断。虽然已经出现在了法律条文中,但是仅模糊地用“视听资料”来形容,至于是否包含电子证据,包含哪些电子证据尚不能明确界定。在命名上也是各有所表,有计算机证据、数字证据、网络证据等称呼。电子本身所具有的高科技性及复杂性,给其下定义也带来了难题。一般认为,电子证据就是以高科技电子载体为证据,具体包括电子文件、电子材料、聊天内容、视听音像等与计算机及电子产品有关的内容。
电子证据具有以下几个特点:首先是科技性高。获得电子证据是一项技术性很强的工作,没有高深的专业技术是不行的;其次是多样性。这主要表现在存储、传播和表现形式方面,可以存储在硬盘或U盘,可以互相转换或远程传输,可以表现为文件或视频等;还有就是脆弱性。电子证据的保存会因操作不当而丢失,也会受不法分子的攻击而被篡改,因此保证电子证据的完整性与真实性问题多,困难大。
2 电子取证技术措施
对于电子证据取证,在我国目前的法律法规中表意还很不明确,于是导致在具体的司法实践中也难以实务操作。从法律的角度出发,采用高新技术与相应方法,通过法律理念与技术方法的完美结合,提供有效的电子证据。
2.1 电子取证程序
电子取证程序与传统的取证程序大同小异。
首先确定和保护证据现场。以网络犯罪为例,规模小者如一台电脑的家庭用户,规模大者如拥有数百台电脑的计算中心;运用个人网络终端可以作案,运用国际互联网也可以作案。那么,在进行电子证据取证现场确定时,现场就是计算机本身,通过对计算机硬件的扣留查验,寻找犯罪嫌疑人网络犯罪的时间与具体内容,从而成为证实犯罪的电子证据。对于犯罪证据的收集,犯罪事实的认定方面,保护好证据取证现场至关重要。与普通警察封锁犯罪现场,搜索证物不同的是,网络警察要及时冻结计算机系统,让犯罪分子无法破坏证据。在提取证据时,使该电脑避免与互联网连接,避免黑客入侵与病毒感染的状况发生。
其次是发现和识别证据。每台电脑存储的内容都很多,哪些是与犯罪有关的内容,哪些是与犯罪无关的内容,要逐一筛选核实。所以说电子证据的发现和识别是一项细心且繁重的工作。将这些证据查实并安全保持之后,可以将冻结电脑联网,再次对聊天记录、电子邮件、上网记录等情况进行全盘清查,确保犯罪证据确凿无遗漏。
接着就是安全保存证据。前面已经提及,将犯罪者运用电脑查封后,立马进行证据提取,提取出的证据要固定下来,这样以便在电脑联网时,即是受到网络黑客的恶意入侵或病毒感染也不会前功尽弃。如何进行安全保存证据,常用的方法如表1所示:
然后是分析和鉴定证据。对证据掌握之后,随后进行的就是分析与鉴定。也就是对犯罪嫌疑人洗脱罪名的一次机会。是不是有人借用电脑作案呢?本着公平公正的原则,必须对犯罪证据进行分析和鉴定。分析的内容很多,如所谓的犯罪证据是不是被别有用心之人恶意制作或篡改?犯罪嫌疑人在何时,采用何种手段进行犯罪的?登陆密码是否有他人知晓等等问题。结合分析情况进行鉴定,如个人电脑就要鉴定个人登陆时间,假如该台电脑晚上8时进行了犯罪行为,你却身在外地,那么具体是谁实施了犯罪行为要落实到人。从电脑上查找出的犯罪证据是不是原件,要进行真伪鉴定。通过对电脑系统的检测来鉴定犯罪行为是不是被恶意软件控制或病毒感染而造成的。总之,通过鉴定的电子证据才可以在后来的庭审过程中被采纳及认同。所以,电子证据的鉴定一定要有资质的合法单位来完成。
2.2 电子取证技术
今非昔比,电子证据越来越多地进入到了人们的生活当中。这是时代所需,也是法律必须,更要技术支撑。时代在发展,科技在进步,如电子商务的崛起,需要人们在欢喜雀跃的同时,也要冷静明晰,犯罪分子也是与时俱进的,网上多少这样的案件啊,今天银行卡的钱消失了,明天信用卡被刷爆了;今天QQ被盗了,明天微信也不是自己的了。出现以上类似问题,网络警察就要登上前台了。
2.2.1 数据恢复技术
电子取证最主要运用的就是数据恢复技术。没有傻瓜把证据活生生地摆在你面前,普通警察需要通过现场勘查以及走访询问来搜集证据,网络警察则要通过数据恢复来掌握证据。数据恢复技术是一项技术含量高,工作难度大的活计,只有将犯罪嫌疑人已经删除、有意破坏的信息恢复原貌,才能查明犯罪动机,甚至犯罪过程。但是,电脑存储的介质很多,如硬盘,光盘,U盘等,虽然只是通过电脑操作而内容并未存入电脑,从技术方面上讲,只要通过电脑操作的内容,都会在电脑中留下印迹,原理就不再解释了。所以说,即便有的证据被删除了,也还是有恢复复原的可能,前提就是问题发现的要及时,新数据没能完全覆盖时,短期内被删除的数据完全可以重见天日。文件一旦恢复,其创始时间,修改时间等关键数据也就一目了然了。
2.2.2 数据复制技术
一旦通过数据恢复技术发现了有关证据,就要进行复制备份。联网复制是不可取的,说不定犯罪嫌疑人已经准备了,通过网络攻击来销毁证据。这就需要应用磁盘镜像复制技术进行信息拷贝。以我国目前使用的NORTON及GHOST的本地镜像为例,其功能已经相当强大了,可以对坏扇区及校验错误的CRC数据进行拷贝备份,方便了下一步的取证分析。
2.2.3 数据过滤技术
如何从海量的数据中提取有用的信息?这就需要采用数据过滤技术。通过使用该技术,在网络犯罪取证中,只要对电子证据源数据进行分析,运用关联规则,就可以将犯罪行为之间的关联特征一并搜出;运用应用分类算法甄别犯罪嫌疑人是否具有犯罪的动机及行为;运用联系分析法分析电脑程序与用户的序列关系,理清先后次序,提供有效数据。
2.2.4 蜜罐取证技术
这就是兵法上讲的“诱敌深入、关门打狗”的战略。当犯罪嫌疑人的电脑被控制之后,因其犯罪证据就在电脑中,势必会聘请电脑黑客枕戈待旦进行网络攻击,对储存的不利信息进行修改或破坏。蜜罐取证技术就是为了对付黑客应运而生的。蜜罐技术会主动暴露虚拟的网络漏洞,引诱黑客入侵。网络警察一方面对黑客入侵的过程进行全程记录,另一方面还会迅速锁定黑客的位置,最终实现人证物证俱在的结果。
当然,还可以运用日志分析技术,对犯罪嫌疑人每日的网上操作情况进行分析;通过网络实名制制度,对IP号具体到人,然后利用网络监控及定位技术,可以很快的锁定犯罪嫌疑人。
3 小结
计算机技术的发展,网络化生活的到来,电子证据会逐渐成为不久的将来人们最主要的证据类型。希望国家在《诉讼法》修订方面也要与时俱进,让电子证据早日堂堂正正地迈进人民法庭。
参考文献:
[1] 朱翔.电子取证技术的发展与规范[J].警察技术,2006(4).
[2] 刘泽.信息化警务模式下网络取证技术完善的研究[J].网络安全技术与应用,2012(1).
[3] 彭建新,周元建.iOS设备取证技术研究[J].中国人民公安大学学报(自然科学版),2012(4).