電子取證特性及電子取證方法信息社會使我們融入了數字世界，信息網絡改變了人們的工作、生活模式。這種信息載體的革命性變革也引發了諸多法律問題，與訃算機相關的訴訟不斷出現,一種新的證據形式一一電子證據成為人們研究與關注的焦點。電子證據即為電子數據證據，也被稱作汁算機證據、數據證據、網上證據等。電子證據一般理解為電子數據形成的證據，通常是指在計算機或計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。它是現代信息社會產生的新的證據種類。電子證據的承載介質是包括硬盤、軟盤、光盤等在內的il?算機軟、硬件，毫無疑問它具有一般證據所具有的客觀存在性，既是可信的、準確的、完整的、符合法律法規的，同時它乂具有自身的特殊性。掌握了電子證據獨特的性質，有助于我們在公共信息網絡安全監察工作中解決和排除涉及電子證據的收集、審查、質證、采信等方面的困難和障礙。電子證據的產生、儲存和傳輸，都必須借助于計算機技術、存儲技術、網絡技術等，離開了高科技含量的技術設備，電子證據就無法保存和傳輸，所以電子證據的形成具有高科技性；電子證據實質上是一堆按編碼規則處理成的“0”和“1”的二進制信息,是通過看不見摸不著的訃算機語言記載的，其數據是以磁性介質保存，它乂具有無形性；電子數據以“比特”的形式存在，是非連續的，…改動、偽造不易留下痕跡，數據或信息被人為地篡改后，如果沒有可對照的副本、映像文件則難以查清、難以判斷，電子證據還表現為易改動性；人為的惡意刪除、誤操作、電腦病毒、電腦故障等等原因，均有可能造成電子證據的消失，電子證據乂呈現易消失性；電子證據綜合了符號、編碼、文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，其外在表現形式具有多樣性;此外，電子證據還具直觀性強、收集迅速、易于保存、傳送方便、占用空間少、復制后可反復重現、便于操作等特性。電子證據的上述性質，決定了其取證過程有別于許多傳統的取證方法，它對司法和訃算機科學領域都提出了新的研究課題。作為計算機領域和法學領域的一門交義科學，電子證據取證正逐漸成為人們研究與關注的焦點。電子證據取證應遵循及時性、合法性、全面性、專業人士取證、潛在證人協助、利用專門技術工具等原則,要考慮電子證據的生成、電子證據的傳送與接收、電子證據的存儲、電子證據的收集這四個方面的因素，才能保證電子證據的真實性、合法性。在快播一案中，我們第一次接觸電子數據取證，印象最深刻的就是電子證據對系統的依賴性使得在收集電子證據時，不能僅收集電子證據,還需收集與系統穩定性及軟件的使用等情況的證明。因為電子證據的真實程度和能證性很大程度上取決于所依賴系統的質量和性能等方面的因素，只有借助于高靈敬度、高性能、高質量的技術設備,才能獲得高度真實和能證性強的電子證據。如果電子證據的內容使用質量低劣、性能極差的設備記錄下來的，就不能反映案件事實發生的全過程，；即使是高質量的設備，如果使用時介質超過了其本身的性能程度也會出現差誤和失真。因此，對電子證據存在的系統和技術設備的性能及可靠程度，必要時需要系統管理人員、證據制作人就相關情況作出證明。其次，電子證據的脆弱性可能導致證據被篡改、破壞及復制，這就要求對在收集電子證據時一定要保證收集的證據符合可采性的要求，一般而言，要求收集的電子證據是原件。英美證據法的最佳證據規則就要求在證明書面文件（包括錄音、照片或者X光片等）的內容時，除非有例外情況，當事人必須出示原件作為證據，這一規則同樣適用于電子證據。但就電子證據而言，復制件也是可以作為證據使用的。因為設立最佳證據規則的最初LI的在于防止錯誤或欺詐行為，理山主要是書面文件復制件的精確性不高，但對于可以精確復制的電子證據來說,復制件與其本身具有相同效力，完全可以將其視為原件。美國聯邦證據規則笫1001條對原件的解釋就是：“文件或錄音的原件即該文字或錄音資料本身，或者山制作人或簽發人使其具有與原件同等效力的副本、復本。照片的原件包括底片或任何由底片沖洗出來的照片等。如果數據儲存在電腦或類似設備中，任何從電腦中打印或輸出的能準確反映有關數據的可讀物均為原件。”原件并不必然是原文件或數據本身，只要是能夠準確反映電子文件或數據內容的輸出物都可以被視為原件。依此種解釋,在不具有法律規定的例外情況下，最佳證據規則并不構成電子證據在訴訟中應用的障礙，最佳證據規則完全適用于電子證據。我國《關于行政訴訟證據若干問題的規定》第64條也對電子郵件等新類型證據作出規定：“以有形載體固定或顯示的電子數據交換、電子郵件以及其他數據資料，其制作情況和真實性經過對方當事人確認,或以公證等其他有效方式予以證明的，與原件具有同等的證明效力。”《關于民事訴訟證據的若干規定》笫22條規定：“調查人員調查收集計算機數據或者錄音、錄像等視聽資料的，應當要求被調查人提供有關資料的原始載體。提供原始載體確有困難的，可以提供復制件。提供復制件的，調查人員應當在調查筆錄中說明其來源和制作經過。”再次，電子證據的可挽救性及隱蔽性，決定了收集電子證據的活動要全面、綜合地進行，運用高科技手段檢測是否有隱藏文件及硬盤中是否有被刪除的證據，或依當事人舉證,可確認或推知文件曾在該存儲介質中存放，但之后乂被刪除，則可以對其運用相關技術恢復。對于恢復刪除文件的證明力，應大于未被刪除的文件。因電子證據的這種特點,取證主體在取證時是不應只局限于已發現和收集的證據，還要對磁盤中已被刪除但可恢復的文件進行收集，以盡可能地查明案件事實。在看過了兒個案例之后,我們通過作業和實驗的形式，進一步的了解了電子取證的技術。理解了電子取證過程中的各個技術細節。為保證涉案計算機系統中數據證據的原始完整性，應在備份完成后，封存涉案的汁算機及其相關的設備。其中包括各種打印結果、存儲介質、工作日志等。對不能停止運行的訃算機系統，如果要求必須在短時間內恢復運行則應采用鏡像備份，并將系統的狀態及環境等進行詳細的記錄。刑事偵查人員和計?算機作業技術人員一同收集一切與案件有關資料，清理現場,提取證據，進行關聯分析。同時創建時間表,排除犯罪嫌疑人和劃定重點嫌疑人，各時間段日志文件的記錄事件，刑事偵查人員調查和詢問知情人、犯罪嫌疑人分析時間性信息，并要求犯罪嫌疑人提供計算機系統相關的所有信息。利用一些支持軟件和對備份的數據來分析案件發生前后系統的狀態、日志記錄以及數據的情況，提交分析結果。LI前，計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化，計算機犯罪取證還需要更高的技術。包括數據復制技術、信息加密技術、電子證據復原技術、數據截取技術、數字簽名和數字時間戳技術等。數據復制包括數據備份、數據鏡像、拍照、攝像等。如，具有視聽資料的證據,可以釆用拍照、攝像的方法對取證全程進行拍照、攝像,增加證明力、防止翻供。案發后，通過數據鏡像將備份迅速恢復到另一臺主機上，在映像上進行分析工作要比在原件上操作更安全。信息加密是信息安全的主要措施之一，是通過密鑰技術,來保護在公用通信網絡中傳輸、交換和存儲的信息的機密性、完整性和真實性。數據加密技術是所有網絡上通信安全所依賴的基本技術。有三種方式:鏈路加密方式、節點對節點加密方式和端對端加密方式。鏈路加密方式是一般網絡通信安全主要采取這種方式。鏈路加密方式把網絡上傳輸的數據報文每一個比特進行加密。不但對數據報文正文加密,而且把路山信息、校驗和等控制信息全部加密。端對端加密方式山發送方加密的數據在沒有到達最終LI的地接受節點之前是不被解密的，加解密只是在源、LI的節點進行。端對端加密方式是將來的發展趨勢。電子證據復原即對不同程度上數據的破壞所進行的恢復，及不可見區域數據的恢復。大多數計算機系統都有自動生成備份數據和恢復數據、剩余數據的功能，有些重要的數據庫安全系統還會為數據庫準備專門的備份。這些系統一般是山專門的設備、專門的操作管理組成，較難篡改。因此，當發生計算機犯罪，其中有關證據已經被修改、破壞時，可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復，獲取定案所需證據。數據截取是指在犯罪者進行計算機犯罪的同時，偵查人員利用某些技術把犯罪證據進行截獲的技術。數據截取就是通過傳輸介質進行截取,數據傳輸分為有線傳輸和無線傳輸，在有線傳輸中采用網絡監聽，網絡監聽需要主機網卡設置為混雜模式,主機就能接受本網段內在統一物理通道上傳輸的所有信息，來獲取本某次通信中的信息。常用的工具111Suffer、TCPDump。無線傳輸通道的截獲是通過電磁波捕獲。通過對捕獲的證據進行分析作為犯罪證據。進行數據欺騙所采取的手段主要是陷阱和偽裝等。通過構造一個虛擬等系統、服務或環境誘騙攻擊者對其發起進攻。這種方式多用于網絡攻擊中的證據的獲取，在攻擊者不知情的情況下，取證系統就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實攻擊或入侵行為的有力證據。蜜罐和迷網就是廣泛使用的陷阱工具。數字簽名和數字時間戳都可以證明數據有效性的內容。通常要進行時間標記的信息內容包括:被調查機器的硬盤的映像文件、關機詢被保留下來的所有信息、在收集證據過程中得到的證據、在可疑機器上得到的調查結果、調查人員每天得到的副本等。掃描技術可分為主機掃描和網絡掃描。端口掃描技術和漏洞掃描技術是網絡安全掃描技術中的兩種核心技術，并且廣泛運用于當前較成熟的網絡掃描器中，如Su