電子證據(jù)是計(jì)算機(jī)網(wǎng)絡(luò)科技與法律相結(jié)合的一種新的證據(jù)類型。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，在司法實(shí)踐中涉及到電子物證的實(shí)例越來(lái)越多，電子證據(jù)的取證規(guī)則、取證方式都不同于傳統(tǒng)證據(jù)，需要通過(guò)特定的技術(shù)方法進(jìn)行獲取和分析，所以在電子證據(jù)的取證過(guò)程中應(yīng)當(dāng)規(guī)范取證流程和取證方法。

一、電子證據(jù)取證規(guī)則

鑒于電子證據(jù)本身所具有的無(wú)形、多樣和易被破壞等特點(diǎn)，任何人為因素或其他不定因素導(dǎo)致的對(duì)電子數(shù)據(jù)的修改、刪除、覆蓋都無(wú)形當(dāng)中加大了電子證據(jù)取證的難度，因此電子證據(jù)取證工作是相對(duì)困難的，必須要掌握一定的計(jì)算機(jī)知識(shí)，依照準(zhǔn)確嚴(yán)格的方法和程序。

1、保護(hù)證據(jù)現(xiàn)場(chǎng)。

證據(jù)現(xiàn)場(chǎng)的保護(hù)是電子取證的前提條件，也是電子取證程序的第一步。

其對(duì)于收集犯罪證據(jù)及認(rèn)定犯罪事實(shí)有重要影響。如果犯罪嫌疑人事先得到消息，就很可能立即銷毀或者修改電子證據(jù)導(dǎo)致取證無(wú)效，因此必須快速對(duì)證據(jù)現(xiàn)場(chǎng)實(shí)施保護(hù)措施。

取證人員進(jìn)入現(xiàn)場(chǎng)后，應(yīng)迅速封鎖整個(gè)計(jì)算機(jī)及相關(guān)電子設(shè)備區(qū)域，實(shí)行人機(jī)物理隔離；

如計(jì)算機(jī)處于開機(jī)狀態(tài)，應(yīng)保護(hù)好計(jì)算機(jī)日志，對(duì)數(shù)據(jù)進(jìn)行備份，切斷遠(yuǎn)程控制；

封存現(xiàn)場(chǎng)的信息系統(tǒng)、各種可能涉及到的其他電子設(shè)備，內(nèi)部人員使用的工作記錄、程序備份和數(shù)據(jù)備份；

提取涉案計(jì)算機(jī)硬盤、移動(dòng)存儲(chǔ)介質(zhì)、光盤等，應(yīng)特別注意對(duì)當(dāng)事人隨身攜帶的手機(jī)和存儲(chǔ)介質(zhì)的提取。

有效的保護(hù)證據(jù)現(xiàn)場(chǎng)能夠避免電子證據(jù)受到破壞，保護(hù)好數(shù)據(jù)信息資料，防止發(fā)生人為更改數(shù)據(jù)、損壞硬盤、感染病毒等破壞電子證據(jù)的情況。

2、提取和固定電子證據(jù)。

電子證據(jù)的提取和固定是整個(gè)電子取證的基礎(chǔ)，也是電子證據(jù)得以運(yùn)用的前提，指的是用一定的形式將電子證據(jù)固定下來(lái)，加以妥善保管，以便將來(lái)進(jìn)行數(shù)據(jù)分析和認(rèn)定案件事實(shí)時(shí)使用。

電子證據(jù)丟失風(fēng)險(xiǎn)大且難以彌補(bǔ)，如果取得的電子證據(jù)沒(méi)有進(jìn)行正確的證據(jù)固定，則可能會(huì)導(dǎo)致電子證據(jù)喪失可采性和證明力。

因此電子證據(jù)的提取和固定是保證其有效的重要措施。

3、電子證據(jù)的數(shù)據(jù)分析。

電子取證數(shù)據(jù)分析是指運(yùn)用計(jì)算機(jī)技術(shù)和信息網(wǎng)絡(luò)技術(shù)，對(duì)提取到的電子數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)能夠體現(xiàn)案件事實(shí)相關(guān)的數(shù)據(jù)，以確定電子證據(jù)應(yīng)該采納的內(nèi)容和方向。

電子取證數(shù)據(jù)分析是電子取證的核心和關(guān)鍵，所有的分析工作應(yīng)該在克隆硬盤或備份文件上進(jìn)行，以保證原始證據(jù)的可靠性和合法性。

二、電子證據(jù)取證的方法

常用的取證技術(shù)方法有數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)挖掘技術(shù)和密碼破解技術(shù)等。

1、數(shù)據(jù)復(fù)制技術(shù)。

電子取證中的數(shù)據(jù)復(fù)制指的是將合法提取的電子設(shè)備上的數(shù)據(jù)備份到另外一個(gè)或幾個(gè)計(jì)算機(jī)硬盤中，從而保證源數(shù)據(jù)與備份數(shù)據(jù)的一致性。

在電子取證過(guò)程中，如果我們直接在被調(diào)查的電子設(shè)備中對(duì)電子證據(jù)進(jìn)行分析操作，很可能會(huì)由于誤操作或設(shè)備故障導(dǎo)致原始數(shù)據(jù)遭到損壞，比如直接開啟涉案計(jì)算機(jī)就會(huì)導(dǎo)致系統(tǒng)日志的修改，這將嚴(yán)重影響電子證據(jù)的完整性和合法性，進(jìn)而影響到后續(xù)的取證工作。

為了出現(xiàn)避免這種情況，電子證據(jù)的提取和分析工作不能直接在原計(jì)算機(jī)上進(jìn)行，除非涉案計(jì)算機(jī)在取證現(xiàn)場(chǎng)處于開機(jī)狀態(tài)，利用在線取證工具對(duì)內(nèi)存及其他易失數(shù)據(jù)進(jìn)行提取和固定后，再對(duì)涉案計(jì)算機(jī)進(jìn)行后續(xù)處理。

2、數(shù)據(jù)恢復(fù)技術(shù)。

數(shù)據(jù)恢復(fù)就是把被破壞或由硬件故障等各種原因?qū)е聛G失的數(shù)據(jù)還原成可見(jiàn)的正常數(shù)據(jù)。

在犯罪實(shí)施過(guò)程中，犯罪嫌疑人可能會(huì)更改或者刪除一些與犯罪事實(shí)相關(guān)的數(shù)據(jù)，案件發(fā)生后，犯罪嫌疑人也可能在得到一些風(fēng)聲后人為的破壞電子證據(jù)，因此數(shù)據(jù)恢復(fù)技術(shù)是電子取證過(guò)程中常用的提取數(shù)據(jù)手段。

數(shù)據(jù)恢復(fù)技術(shù)大多依靠一些數(shù)據(jù)恢復(fù)工具軟件來(lái)實(shí)現(xiàn)。

3.數(shù)據(jù)挖掘技術(shù)。

數(shù)據(jù)挖掘技術(shù)是指從大量的、模糊的、隨機(jī)的應(yīng)用數(shù)據(jù)中提取潛在有利于案件偵破或直接反映犯罪事實(shí)的信息的過(guò)程。

隨著信息技術(shù)的發(fā)展，各種數(shù)據(jù)量成倍增長(zhǎng)，如何快速的從海量數(shù)據(jù)中提取到有價(jià)值的信息成為電子取證工作的重中之重。

因此我們需要對(duì)提取的電子數(shù)據(jù)進(jìn)行分析，運(yùn)用關(guān)聯(lián)規(guī)則提取犯罪信息的關(guān)聯(lián)特征，挖掘出各種與案件有關(guān)的信息證據(jù)。

4.密碼破解技術(shù)。

在某些情況下，文件夾或者文件被設(shè)置了密碼保護(hù)，這就需要對(duì)文件夾或者文件進(jìn)行破譯解密，如對(duì)加密后的壓縮文檔，需要利用密碼破解工具軟件對(duì)其破譯解密后，才能分析出其是否與案件有關(guān)聯(lián)，進(jìn)行一般取證。

三、電子證據(jù)取證需要注意的問(wèn)題

電子取證是一項(xiàng)極其細(xì)致的工作，電子證據(jù)可能由于操作者的失誤、硬件故障、突然斷電、感染病毒等各種因素而丟失，因此與傳統(tǒng)證據(jù)相比較，對(duì)電子證據(jù)的提取和審查就有更大的困難。

電子取證過(guò)程中除了必須掌握正確的取證規(guī)則和取證方法之外，為了保證獲取證據(jù)的法律有效性，取證過(guò)程應(yīng)當(dāng)注意以下幾個(gè)問(wèn)題：

1、對(duì)原始數(shù)據(jù)要進(jìn)行冗余備份。提取的電子證據(jù)應(yīng)該有兩個(gè)或兩個(gè)以上完整的拷貝。

冗余備份既可以避免由于電子證據(jù)不穩(wěn)定性造成的備份數(shù)據(jù)丟失，還可以在數(shù)據(jù)分析過(guò)程中同時(shí)對(duì)拷貝文件進(jìn)行調(diào)查和分析，以提高分析取證的工作效率。

2、在備份復(fù)制過(guò)程中，以及對(duì)備份的硬盤或鏡像文件進(jìn)行數(shù)據(jù)分析檢驗(yàn)時(shí)，應(yīng)當(dāng)使用寫保護(hù)技術(shù)進(jìn)行操作，并采取加密技術(shù)和數(shù)字簽名等技術(shù)，以確保提取到的電子證據(jù)的真實(shí)性、準(zhǔn)確性和合法性。

3、通過(guò)照相、錄像等形式將電子證據(jù)從提取之后到提交法庭作為審判依據(jù)的過(guò)程中產(chǎn)生的所有變化都進(jìn)行記錄和說(shuō)明。

在移動(dòng)涉案硬件之前，把需提取的設(shè)備在現(xiàn)場(chǎng)中的位置、外觀及連接狀態(tài)用照相、錄像等形式記錄下來(lái)，并采用錄像的方式記錄檢驗(yàn)分析的全過(guò)程，尤其對(duì)改變封存狀態(tài)、分析過(guò)程的關(guān)鍵操作等重要步驟時(shí)應(yīng)當(dāng)進(jìn)行多角度錄像，以提高證據(jù)的合法性。

4、保障電子取證的工作環(huán)境安全可靠。

存儲(chǔ)電子證據(jù)的介質(zhì)必須遠(yuǎn)離磁場(chǎng)、避免高溫、避免灰塵、避免潮濕的環(huán)境中科學(xué)存放，避免電子設(shè)備損壞，防止重要的線索和證據(jù)被破壞。

還要注意阻止無(wú)線信號(hào)干擾，在對(duì)手機(jī)等無(wú)線通訊設(shè)備進(jìn)行取證時(shí)，一定要在防屏蔽環(huán)境中進(jìn)行，如手機(jī)屏蔽袋或者屏蔽室內(nèi)，以免無(wú)線通訊時(shí)產(chǎn)生的數(shù)據(jù)污染待提取數(shù)據(jù)。