浅谈计算机电子证据的采集与固定
----付雪松 近年来,计算机技术高速发展和普及,网络犯罪作为新出现的一种犯罪形式也渗透到互联网的各个领域,随着我们对网络犯罪研究的深入,电子证据作为一种新的证据种类的趋势越来越明显。在公安基层科所队,目前也经常遇到计算机取证现场。在实际办案过程中,办案人员除面对传统案件要素外,难免会遇到计算机取证等问题。笔者在实际工作中,就“电子证据的采集与固定”的相关问题作一简要阐述。
一、电子证据的特征
计算机犯罪作为一种新的犯罪形式如同传统犯罪一样,必然会留下犯罪痕迹,其犯罪过程和事实的证明形式除传统方式外还包括计算机电子信息所记录的各项数据,而在一些案件特别是计算机网络犯罪案件中,这些通过电子信息所记录的数据成为证据不可缺少的重要组成部分,而这些电子信息就是我们所称的电子证据。电子证据有自己特有的特性。
1、隐蔽性和高科技性。
我们知道,一般的犯罪都会在犯罪现场多少留下一些蛛丝马迹,而利用信息通讯技术针对或者借助于信息网络实施的网络犯罪则不同。由于网络的“电子化”和“虚拟化”的特点,我们在日常生活中所能看见和听见的图像、色彩、声音等,在网上全部变成数字0和1的终端显现或者电磁、声波等,甚至人也是以某一符号或代码在活动,从而变的
符号化和电子化。网络犯罪的行为人正是通过对声波、电磁波、程序、数据等信息的操作来实现犯罪目的,其作案的目标也往往是无形的频率、磁场、电子数据和程序等,而对无线电发射装置、硬件、信息载体等有形物体并不造成任何损害。而且,由于电脑等信息工具处理的资料数量非常庞大,难以人工进行检查,犯罪证据又多存于信息记录器如程序、数据等无形信息中,不仅便于行为人携带,也容易更改或销毁,几乎不留下任何痕迹。因此,网络犯罪具有很强的隐蔽性,往往难以发现。这样以来,计算机犯罪嫌疑人需要具备一定的计算机知识,甚至"专家级"的计算机操作能力才可能实施计算机犯罪,与之相应的即是电子证据的采集、审查、认定和案件的侦破要求办案人员具备专门的训练和技能。
2、表现形式多样性
电子证据的外在表现形式具有多样性,而且在实际案例中的表现更具有复杂性。网络犯罪的形式多种多样,电子证据可以是一封E-MAIL,可以是一个带毒的数据包,可以在网络上对他人进行诽谤造谣的言论。以黑客犯罪为例,虽然每台计算机的IP地址具有唯一性,但黑客们可以很轻易的盗用他人IP或者使用特殊工具隐藏、改变自己的真实IP,使得网络犯罪并不同于其他犯罪可以从证据上直观地了解案情、确定嫌疑人。
3、 数据的易损坏,易失效性
电子证据极容易被篡改、伪造、破坏或毁灭,电子数据信息是以“0”“1”的形式存在的,是非连续的。数据或信息被人为地篡改后,
如果没有可对照的副本、映像文件则难以查清、难以判断,这样的电子数据已经失效。另外电子证据是由计算机信息系统自动处理的,计算机不可能作证,其可靠性自然大打折扣。在刑事诉讼中,只有经过专业人士非常认真的审查判断,在判定电子证据真实性的前提下,以鉴定结论或者"专家证人"的形式才能作为证据使用。
二、实际侦办案件中电子取证出现的问题,主要表现在三个方面:
1、电子取证对象难
由于取证的对象是网络犯罪。如前所述,网络犯罪具有超时空性、隐蔽性强等特点,而且,使得电子证据变得无影无形,极难发现。电子证据兼具多重特性(文字、图象、声音、打印成为书面形式等),极容易被篡改、伪造、破坏、毁灭,不宜保存,从而决定了电子取证比普通取证要难的多。
2、电子取证的技术难
由于网络犯罪本身属于技术性很强的犯罪,对技术的要求非常高,这无疑对司法人员提出了巨大挑战。司法实践中要求每个司法人员都掌握网络技术本来就是不可能的,实际上,真正掌握网络技术的司法人员是极少数的。隔行如隔山,没有专业技术,要想顺利进行电子取证其难度可想而知。
3、电子取证收集方法难
收集方法不当,导致证据破坏、甚至毁灭。电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术,要想调取与再现相应的电子证据也必须借助一定的技术设备、通过一定的技
术手段来实现。计算机上的各种文字、图片、声音、动画、视频、数据库等都以不同的文件格式进行保存,要想打开它也必须通过相应的工具软件和编辑软件才能打开,如EXCEL的电子表格必须用EXCEL打开。否则的话就很容易造成文件的破坏,如WPS文档用WORD软件进行强行打开的话,里面就会显示乱码,如果再进行一下保存就改变了里面的内容。另外计算机上的文件、电子邮件和图像即使曾被删除,也依然可以被恢复,如果没有进行恰当的保护,继续往计算机里面存入信息,这样很可能在被删除的文件所在的区域写入新的内容,就造成了该文件无法恢复,证据也毁灭了。
三、为了使收集到的电子数据能成为证据,在进行电子取证时要遵循下列要求:
1、必须做好对目标计算机系统和现场的保护。当到达现场时,我们应立即切断计算机电源,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不给违法犯罪分子破坏证据提供机会,避免发生任何的更改系统设置、数据破坏或病毒感染的情况。必要时可将机器搬到一个限制进入的安全地方。
2、必须全面的查找证据。首先向计算机使用、维护人员调查清楚,有无为计算机设置密码及密码的组成,计算机的软件情况(包括已使用的软件有哪些、软件的来源;软件的维护情况),计算机的使用情况,案件所涉及的资料存放于存储设备的什么位置,有无备份,在虚拟网络中所涉及的有关帐号和密码。接着开始搜索目标系统中的所有文件,包括现存的正常文件,已经被删除但仍存在于磁盘上的文件,隐藏文
件,受到密码保护的文件和加密文件。对发现的已删除文件,全部或尽可能恢复;最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。然后将可疑的文件或数据罗列出来,对数据量特别大的电子证据文件如网络防火墙和NIDS的日志,可先对其光盘备份进行原始数据保全。对于不是在本地的信息,应通过协查的方法将以提取和封存。
3、做好电子证据的保护和固定。由于电子证据可能被不留痕迹的修改或破坏,所以我们应尽快采用相应的方式予以提取固定。考虑到在计算机取证中有些案件可能在短时间内难以解决或是重大案件,这时我们必须对相应储存介质进行原始的镜像备份,拷贝所有的原始信息。取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查,首先进行病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先杀毒,后打开文件检查。检查完毕后,应将镜像备份的介质打上封条放在安全的地方,对获取的电子证据采用安全措施进行保护。非相关人员不准操作存放电子证据的计算机,不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。
随着计算机网络及其相关技术的发展,打击计算机网络犯罪技术也需要随之不断发展,计算机侦查取证工具已有很多,取证工作的成败主要取决于技术人员的经验和智力,证据的自动获取技术还没有。所以,计算机侦查取证技术的发展方向之一就是取证技术的自动化,另一个发展趋势则是设计出对证据数据的操作尽可能少的取证工具。
浅谈计算机电子证据的采集与固定
----付雪松 近年来,计算机技术高速发展和普及,网络犯罪作为新出现的一种犯罪形式也渗透到互联网的各个领域,随着我们对网络犯罪研究的深入,电子证据作为一种新的证据种类的趋势越来越明显。在公安基层科所队,目前也经常遇到计算机取证现场。在实际办案过程中,办案人员除面对传统案件要素外,难免会遇到计算机取证等问题。笔者在实际工作中,就“电子证据的采集与固定”的相关问题作一简要阐述。
一、电子证据的特征
计算机犯罪作为一种新的犯罪形式如同传统犯罪一样,必然会留下犯罪痕迹,其犯罪过程和事实的证明形式除传统方式外还包括计算机电子信息所记录的各项数据,而在一些案件特别是计算机网络犯罪案件中,这些通过电子信息所记录的数据成为证据不可缺少的重要组成部分,而这些电子信息就是我们所称的电子证据。电子证据有自己特有的特性。
1、隐蔽性和高科技性。
我们知道,一般的犯罪都会在犯罪现场多少留下一些蛛丝马迹,而利用信息通讯技术针对或者借助于信息网络实施的网络犯罪则不同。由于网络的“电子化”和“虚拟化”的特点,我们在日常生活中所能看见和听见的图像、色彩、声音等,在网上全部变成数字0和1的终端显现或者电磁、声波等,甚至人也是以某一符号或代码在活动,从而变的
符号化和电子化。网络犯罪的行为人正是通过对声波、电磁波、程序、数据等信息的操作来实现犯罪目的,其作案的目标也往往是无形的频率、磁场、电子数据和程序等,而对无线电发射装置、硬件、信息载体等有形物体并不造成任何损害。而且,由于电脑等信息工具处理的资料数量非常庞大,难以人工进行检查,犯罪证据又多存于信息记录器如程序、数据等无形信息中,不仅便于行为人携带,也容易更改或销毁,几乎不留下任何痕迹。因此,网络犯罪具有很强的隐蔽性,往往难以发现。这样以来,计算机犯罪嫌疑人需要具备一定的计算机知识,甚至"专家级"的计算机操作能力才可能实施计算机犯罪,与之相应的即是电子证据的采集、审查、认定和案件的侦破要求办案人员具备专门的训练和技能。
2、表现形式多样性
电子证据的外在表现形式具有多样性,而且在实际案例中的表现更具有复杂性。网络犯罪的形式多种多样,电子证据可以是一封E-MAIL,可以是一个带毒的数据包,可以在网络上对他人进行诽谤造谣的言论。以黑客犯罪为例,虽然每台计算机的IP地址具有唯一性,但黑客们可以很轻易的盗用他人IP或者使用特殊工具隐藏、改变自己的真实IP,使得网络犯罪并不同于其他犯罪可以从证据上直观地了解案情、确定嫌疑人。
3、 数据的易损坏,易失效性
电子证据极容易被篡改、伪造、破坏或毁灭,电子数据信息是以“0”“1”的形式存在的,是非连续的。数据或信息被人为地篡改后,
如果没有可对照的副本、映像文件则难以查清、难以判断,这样的电子数据已经失效。另外电子证据是由计算机信息系统自动处理的,计算机不可能作证,其可靠性自然大打折扣。在刑事诉讼中,只有经过专业人士非常认真的审查判断,在判定电子证据真实性的前提下,以鉴定结论或者"专家证人"的形式才能作为证据使用。
二、实际侦办案件中电子取证出现的问题,主要表现在三个方面:
1、电子取证对象难
由于取证的对象是网络犯罪。如前所述,网络犯罪具有超时空性、隐蔽性强等特点,而且,使得电子证据变得无影无形,极难发现。电子证据兼具多重特性(文字、图象、声音、打印成为书面形式等),极容易被篡改、伪造、破坏、毁灭,不宜保存,从而决定了电子取证比普通取证要难的多。
2、电子取证的技术难
由于网络犯罪本身属于技术性很强的犯罪,对技术的要求非常高,这无疑对司法人员提出了巨大挑战。司法实践中要求每个司法人员都掌握网络技术本来就是不可能的,实际上,真正掌握网络技术的司法人员是极少数的。隔行如隔山,没有专业技术,要想顺利进行电子取证其难度可想而知。
3、电子取证收集方法难
收集方法不当,导致证据破坏、甚至毁灭。电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术,要想调取与再现相应的电子证据也必须借助一定的技术设备、通过一定的技
术手段来实现。计算机上的各种文字、图片、声音、动画、视频、数据库等都以不同的文件格式进行保存,要想打开它也必须通过相应的工具软件和编辑软件才能打开,如EXCEL的电子表格必须用EXCEL打开。否则的话就很容易造成文件的破坏,如WPS文档用WORD软件进行强行打开的话,里面就会显示乱码,如果再进行一下保存就改变了里面的内容。另外计算机上的文件、电子邮件和图像即使曾被删除,也依然可以被恢复,如果没有进行恰当的保护,继续往计算机里面存入信息,这样很可能在被删除的文件所在的区域写入新的内容,就造成了该文件无法恢复,证据也毁灭了。
三、为了使收集到的电子数据能成为证据,在进行电子取证时要遵循下列要求:
1、必须做好对目标计算机系统和现场的保护。当到达现场时,我们应立即切断计算机电源,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不给违法犯罪分子破坏证据提供机会,避免发生任何的更改系统设置、数据破坏或病毒感染的情况。必要时可将机器搬到一个限制进入的安全地方。
2、必须全面的查找证据。首先向计算机使用、维护人员调查清楚,有无为计算机设置密码及密码的组成,计算机的软件情况(包括已使用的软件有哪些、软件的来源;软件的维护情况),计算机的使用情况,案件所涉及的资料存放于存储设备的什么位置,有无备份,在虚拟网络中所涉及的有关帐号和密码。接着开始搜索目标系统中的所有文件,包括现存的正常文件,已经被删除但仍存在于磁盘上的文件,隐藏文
件,受到密码保护的文件和加密文件。对发现的已删除文件,全部或尽可能恢复;最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。然后将可疑的文件或数据罗列出来,对数据量特别大的电子证据文件如网络防火墙和NIDS的日志,可先对其光盘备份进行原始数据保全。对于不是在本地的信息,应通过协查的方法将以提取和封存。
3、做好电子证据的保护和固定。由于电子证据可能被不留痕迹的修改或破坏,所以我们应尽快采用相应的方式予以提取固定。考虑到在计算机取证中有些案件可能在短时间内难以解决或是重大案件,这时我们必须对相应储存介质进行原始的镜像备份,拷贝所有的原始信息。取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查,首先进行病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先杀毒,后打开文件检查。检查完毕后,应将镜像备份的介质打上封条放在安全的地方,对获取的电子证据采用安全措施进行保护。非相关人员不准操作存放电子证据的计算机,不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。
随着计算机网络及其相关技术的发展,打击计算机网络犯罪技术也需要随之不断发展,计算机侦查取证工具已有很多,取证工作的成败主要取决于技术人员的经验和智力,证据的自动获取技术还没有。所以,计算机侦查取证技术的发展方向之一就是取证技术的自动化,另一个发展趋势则是设计出对证据数据的操作尽可能少的取证工具。