1、淺論電子取證的方法電子證據(jù)，是指由計(jì)算機(jī)設(shè)備儲(chǔ)存的，經(jīng)法定程序作為證據(jù)收集固定的數(shù)據(jù)信息。電子證據(jù)，除具備一般證據(jù)屬性 外，還具有多重性、可修改性、可滅失性和技術(shù)性特點(diǎn)。隨 著計(jì)算機(jī)被廣泛應(yīng)用，計(jì)算機(jī)存儲(chǔ)設(shè)備所儲(chǔ)存的數(shù)據(jù)信息已 逐漸成為訴訟證據(jù)的一個(gè)重要來源，在取證工作中，如何搞 好電子證據(jù)的收集、固定工作就成為迫在眉睫的主要問題。、電子證據(jù)的重要性及取證的要求電子證據(jù)，除具備一般證據(jù)的客觀性和合法性外，還有以下幾個(gè)特點(diǎn)：1、證據(jù)屬書證、性的多重性。 由計(jì)算機(jī)提供的電子證據(jù)具有視聽資料、 物證等多重證據(jù)意義。電子證據(jù)的視聽資料意義，是指電子 證據(jù)能夠通過計(jì)算機(jī)輸出的畫面、聲音來證明案件事實(shí)，例

2、 如：影視畫面可以證明歷史現(xiàn)場(chǎng)情況，聲音則可以證明誰(shuí)在 什么場(chǎng)合說了什么話等 ;電子證據(jù)的書證意義， 是指電子證據(jù) 能夠通過計(jì)算機(jī)輸出的文字、數(shù)字及符號(hào)的內(nèi)容來證明案件 事實(shí)，例如：電子書信、軟件、電算化資料等 ;電子證據(jù)的物證意義，是指電子證據(jù)能夠以其被儲(chǔ)存的位置、方式以及載體的外觀形象來證明案件事實(shí)，例如：電子證據(jù)被儲(chǔ)存在不 圖，電子證據(jù)被儲(chǔ)存在計(jì)算機(jī)硬盤中或是被儲(chǔ)存在軟盤、光 盤、磁帶中將會(huì)證明這一證據(jù)文件的是否被拷貝等事實(shí)，軟 盤、光盤等電子證據(jù)載體的外觀形象，可以證明其是否受到 物理破壞的事實(shí)。電子證據(jù)屬性的多樣性，要求取證人員在 收集電子證據(jù)時(shí)，要注意到電子證據(jù)的不同證據(jù)意義。在固

3、 定電子證據(jù)時(shí)，應(yīng)當(dāng)根據(jù)案件偵查需要及電子證據(jù)的用途， 采取相應(yīng)的證據(jù)固定方法，例如：僅需要電子證據(jù)的書證意同文件夾中，可以證明存儲(chǔ)者對(duì)計(jì)算機(jī)文件的理解、使用意義時(shí)，只將電子文件打印成書面文件即可 ;而如果需要其視聽資料意義時(shí)，則應(yīng)當(dāng)采用拷貝、拍攝等方法進(jìn)行固定。2、證據(jù)內(nèi)容的可修改性。計(jì)算機(jī)儲(chǔ)存的信息是可以被修改的。電子證據(jù)可修改性有兩層含義：一是，數(shù)據(jù)信息在被作為證 據(jù)固定前可能已被修改，因而當(dāng)其被作為證據(jù)固定時(shí)，其內(nèi) 容已發(fā)生變化， 造成所取證據(jù)的失真 ;二是， 采用拷貝方式收 集的電子證據(jù)， 從證據(jù)固定到使用的過程中， 也可以被修改， 造成其在被使用時(shí)的內(nèi)容與原證據(jù)內(nèi)容不符。同時(shí)，實(shí)踐

4、中 由于存在著后一種可修改性，在庭示證據(jù)時(shí)辯方會(huì)就證據(jù)是 否被修改提出質(zhì)疑，而控方如提不出未進(jìn)行修改的證據(jù)，則 法庭會(huì)不采信該證據(jù)。電子證據(jù)內(nèi)容的可修改性，要求取證 人員在收集和固定電子證據(jù)時(shí)，一是要注意收集和固定有關(guān) 數(shù)據(jù)信息形成時(shí)間方面的證據(jù)，如計(jì)算機(jī)中有關(guān)該文件形成 時(shí)間的記錄，與其他有關(guān)該信息形成時(shí)間的證據(jù)進(jìn)行比較， 確認(rèn)該數(shù)據(jù)信息是否被修改過 ;二是注意對(duì)電子證據(jù)內(nèi)容的現(xiàn)場(chǎng)固定，如通過現(xiàn)場(chǎng)錄像、現(xiàn)場(chǎng)打印等方式進(jìn)行可視性固 定。另外，電子證據(jù)被作為視聽資料使用前，檢察人員應(yīng)當(dāng)注意對(duì)電子證據(jù)內(nèi)容的審查，防止在出庭時(shí)出現(xiàn)差錯(cuò)。3、證據(jù)內(nèi)容的可滅失性。計(jì)算機(jī)儲(chǔ)存的信息會(huì)因人為刪蓋、病 毒感染

5、、物理破壞等原因滅失。電子證據(jù)的可滅失性，要求 取證人員在收集和固定電子證據(jù)時(shí)，一是一但發(fā)現(xiàn)電子證 據(jù)，應(yīng)當(dāng)立即收集， 防止證據(jù)被毀滅 ；二是在計(jì)算機(jī)中未發(fā)現(xiàn)原有文件時(shí)，應(yīng)當(dāng)及時(shí)通過電子證據(jù)專業(yè)技術(shù)人員查找原 因，判明能否恢復(fù) ;三是盡量采用現(xiàn)場(chǎng)打印的方法收集電子證據(jù)；四是如果采取拷貝方法收集電子證據(jù)， 應(yīng)當(dāng)現(xiàn)場(chǎng)檢查拷貝 質(zhì)量，防止因拷貝了病毒等原因打不開所收集到的計(jì)算機(jī)文件；五是存放和使用存有拷貝證據(jù)的軟盤、光盤、 磁帶時(shí)應(yīng)當(dāng) 注意安全，例如，存放時(shí)應(yīng)當(dāng)遠(yuǎn)離強(qiáng)磁場(chǎng)，使用時(shí)應(yīng)當(dāng)注意 計(jì)算病毒的檢測(cè)。 4、證據(jù)的技術(shù)性。電子證據(jù)的技術(shù)性主要表現(xiàn)為： 計(jì)算機(jī)儲(chǔ)存的信息是通過特殊技術(shù)方法形成的 很多

6、情況下，發(fā)現(xiàn)、收集、固定和使用電子證據(jù)需要一定 計(jì)算機(jī)技術(shù)；數(shù)據(jù)信息中的軟件能夠以其特定的技術(shù)性語(yǔ) 言來證據(jù)案件事實(shí)。電子證據(jù)的技術(shù)性，要求取證人員應(yīng)當(dāng) 了解或通曉計(jì)算機(jī)技術(shù)，以便于及時(shí)采取相應(yīng)的技術(shù)方法收 集證據(jù)，調(diào)查案情。電子證據(jù)的技術(shù)性，還要求在涉及與軟件的制作、使用等專門性問題時(shí)，應(yīng)指派或聘請(qǐng)專業(yè)技術(shù)人 的簡(jiǎn)單取證。如有不需要專業(yè)技術(shù)人員協(xié)助進(jìn)行的數(shù)據(jù)證據(jù) 的收集和固定活動(dòng)是簡(jiǎn)單取證。對(duì)不涉及計(jì)算機(jī)使用或維護(hù) 人員的案件，可以采取簡(jiǎn)單取證程序收集和固定電子證據(jù)。員進(jìn)行鑒定。、如何對(duì)電子證據(jù)進(jìn)行取證（一）電子證據(jù)取證時(shí)，首先由提供證據(jù)單位的計(jì)算機(jī)操作人員打開計(jì)算 機(jī)，查找所需收集的證據(jù)。

7、當(dāng)找到證據(jù)時(shí)，取證人員應(yīng)當(dāng)通 過顯示器觀察和確認(rèn)該文件的形成時(shí)間。然后由操作人員打 開文件，由取證人員確認(rèn)該文件系所要收集的證據(jù)后，采用 相應(yīng)的方式予以提取固定。在查找證據(jù)過程中，如遇文件找 不到或打不開等問題，應(yīng)及時(shí)通知電子證據(jù)專業(yè)技術(shù)人員予 以協(xié)助。常用的固定電子證據(jù)的方式，有打印和拷貝兩種。通常情況下應(yīng)當(dāng)采用打印方式，或兩種方式同時(shí)使用。只有 在文件較多不方便現(xiàn)場(chǎng)打印的情況下，才可以單獨(dú)使用拷貝 方式。采用打印方式取證，是將計(jì)算機(jī)文件打印到紙張上。打印文件時(shí)，取證人員必須現(xiàn)場(chǎng)監(jiān)督打印過程，防止計(jì)算機(jī) 操作人員在打印過程中修改文件。打印完畢后，可以按照書 證的固定方法，予以固定，但應(yīng)當(dāng)注明

8、數(shù)據(jù)信息在計(jì)算機(jī)中 的位置 （如存放于那個(gè)文件夾中等 ）。采用拷貝方式取證，是將計(jì)算機(jī)文件拷貝到軟盤、光盤中。取證人員應(yīng)當(dāng)自備計(jì)算 機(jī)，拷貝后，將軟盤或光盤插入自備計(jì)算機(jī)中進(jìn)行檢查。首 先進(jìn)行病毒檢測(cè)，然后打開文件檢查拷貝的質(zhì)量。如通過檢 測(cè)發(fā)現(xiàn)病毒，則應(yīng)當(dāng)先消毒，后打開文件檢查。無論采取那 種取證方式，在固定證據(jù)后，應(yīng)當(dāng)現(xiàn)場(chǎng)制作檢查筆錄。檢查 筆錄主要記載電子證據(jù)的收集和固定情況。包括：案由。參加檢查的人員姓名及職務(wù)。檢查的簡(jiǎn)要過程。主要包括檢查時(shí)間、檢查地點(diǎn)及檢查順序等。檢查中出現(xiàn)的問題 及解決方法。取證方式及取證份數(shù)。參與檢查的人員簽名。 提供電子證據(jù)人員簽名。（二）電子證據(jù)的復(fù)雜取證。

9、如有需要專業(yè)技術(shù)人員協(xié)助進(jìn)行的電子證據(jù)的收集和固定活動(dòng)就是復(fù)雜取證。對(duì)涉及計(jì)算機(jī)使用、維護(hù)人員的犯罪案件，就應(yīng)當(dāng)采取復(fù)雜取證程序收集和固定電子證據(jù)。1、現(xiàn)場(chǎng)檢查與現(xiàn)場(chǎng)訪問，首先由計(jì)算機(jī)專家檢查硬件設(shè)備，切斷 可能存在的其他輸入、輸出設(shè)備，保證計(jì)算機(jī)儲(chǔ)存的信息在 取證過程中不被修改或損毀。與此同時(shí)，偵查人員應(yīng)當(dāng)詢問 計(jì)算機(jī)使用或維護(hù)人員下列問題：有無為計(jì)算機(jī)設(shè)置密碼 及密碼的組成。計(jì)算機(jī)的軟件情況：已使用的軟件有哪些;軟件的來源，如軟件是購(gòu)買的還是自行設(shè)計(jì)的等；軟件的維護(hù)情況，例如：由誰(shuí)負(fù)責(zé)軟件的維護(hù)、調(diào)整，對(duì)軟件 作過哪些修改等。計(jì)算機(jī)的使用情況：如何進(jìn)行計(jì)算機(jī) 的日常管理；誰(shuí)能夠打開并使用計(jì)

10、算機(jī)；計(jì)算機(jī)是否出現(xiàn) 過影響或可能影響文件質(zhì)量的故障 （如病毒感染等 ），故障是如何解決的。案件所涉及的資料存放于存儲(chǔ)設(shè)備的什么位 置，有無備份。對(duì)計(jì)算機(jī)使用者拒絕提供密碼的情形，可考 慮由計(jì)算機(jī)專家解密，但由于解密工作可能會(huì)對(duì)計(jì)算機(jī)儲(chǔ)存 的資料造成損害，因而在做出這一決定時(shí)，應(yīng)當(dāng)十分慎重。檢查計(jì)算機(jī)文件時(shí)，計(jì)算機(jī)專家應(yīng)當(dāng)注意對(duì)隱蔽文件的查 找。有備份的，應(yīng)由計(jì)算機(jī)專家同時(shí)檢查備份文件，查明備份文件與原文件是否一致。2、提取證據(jù)按照前述方法打印和拷貝計(jì)算機(jī)文件，固定電子證據(jù)。如發(fā)現(xiàn)在備份文件與原文件不一致時(shí)，應(yīng)當(dāng)同時(shí)提取備份文件。3、電子證據(jù)內(nèi)容涉及電算化資料的，應(yīng)當(dāng)由會(huì)計(jì)專家對(duì)提取的資料進(jìn)行

11、現(xiàn)場(chǎng) 驗(yàn)證。驗(yàn)證中如發(fā)現(xiàn)可能與軟件設(shè)計(jì)或軟件使用有關(guān)的問題時(shí)，應(yīng)當(dāng)由會(huì)計(jì)專家現(xiàn)場(chǎng)對(duì)電算化軟件進(jìn)行數(shù)據(jù)測(cè)試（偵查實(shí)驗(yàn)）。經(jīng)測(cè)試確認(rèn)軟件有問題時(shí)， 則由計(jì)算機(jī)專家對(duì)軟件進(jìn)行檢查或提取固定。 4、制作檢查筆錄除前述檢查筆錄的內(nèi)容外，對(duì)解密、數(shù)據(jù)測(cè)試等過程也應(yīng)當(dāng)作出詳細(xì)的記錄。5、對(duì)復(fù)雜取證過程中可能會(huì)遇到的問題，在檢查前應(yīng)當(dāng)有所預(yù)測(cè)，并制定相應(yīng)的處置方案。例如：考慮到計(jì)算機(jī)操作 人員可能不提供密碼，計(jì)算機(jī)專家應(yīng)當(dāng)攜帶解密工具；對(duì)可 能需要進(jìn)行數(shù)據(jù)測(cè)試的，司法會(huì)計(jì)專家應(yīng)當(dāng)攜帶事先制作的測(cè)試文件。必要時(shí)，可以指派視聽技術(shù)人員對(duì)取證及軟件測(cè)試過程進(jìn)行錄像。、電子證據(jù)收集與固定工作任重道遠(yuǎn) 配備電子證據(jù)專業(yè)技術(shù)人員以便進(jìn)行全面的取證工作。專業(yè)技術(shù)人員成員應(yīng)當(dāng)由通曉硬件和軟件計(jì)算機(jī)人員、熟悉 電算化程序的司法會(huì)計(jì)專家、熟悉計(jì)算機(jī)作案手段的偵查、 公訴人員組成。 制定電子證據(jù)的取證制度。 電子證據(jù)的特點(diǎn)， 決定了電子證據(jù)的收集、固定和使用工作的特殊性。因此， 有必要建立電子證據(jù)的取證制度，以規(guī)范電子證據(jù)的收集、 固定活動(dòng)，使辦案人員能夠及時(shí)有效的收集到電子證據(jù)，也 為電子證據(jù)的在法庭上的合法使用提供依據(jù)。注重對(duì)電子證 據(jù)