一�����、概述
電子物證是指以存儲于介質載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數(shù)據(jù)及其附屬物�����。除了具有物證的客觀性和可知性之外,電子物證還具有非直觀性和多態(tài)性�、電子物理和訴訟證據(jù)的雙重屬性。電子物證的提取與固定����,首先對載有電子物證信息數(shù)據(jù)的物理實體進行扣押、封存�,再采用專門的技術方法對物理實體中的電子信息數(shù)據(jù)進行提取和固定,形成電子物證�。為了維系電子物證的客觀真實性,在獲取電子物證時�,應采用取證專用的數(shù)據(jù)拷貝機和電子物證勘驗取證技術,附加上時間戳的信息數(shù)據(jù)���,一次性提取和固定介質載體中的全部電子物證信息��。
二���、特點
與傳統(tǒng)證據(jù)相比較,電子物證有以下五個特點:
1�����、高科技性
電子物證的高科技性使取證變得便捷和高效,具體表現(xiàn)為收集電子物證快速�,保存和固定電子物證便利(電子物證信息量雖大,卻占用很小的物理空間并易于保存)�。但要求取證技術人員具備與電子物證相關的技術專業(yè)知識與技能,并配備SDII服務器恢復系統(tǒng)等專業(yè)的電子物證勘驗取證設備�����。
2�、存儲和提交
電子物證以文本、圖形�����、圖像����、動畫、音頻�、視頻等多種信息形成��、存儲于計算機硬盤��、軟盤�����、光盤、磁帶等設備及介質中的���,其生成和還原卻離不開相關的計算機等電子設備��。電子物證的提交形式相應地表現(xiàn)為文書�、計算機硬盤����、光盤等介質,因而具有與書證���、視聽資料����、物證等證據(jù)種類相同或相似的表現(xiàn)形式���,并隨著科技成果的不斷增加���,電子物證的提交形式將會更加多樣化。
3��、客觀實在易變性
電子物證一經生成必然會在計算機系統(tǒng)、網(wǎng)絡系統(tǒng)中留下相關的痕跡或記錄并被保存于系統(tǒng)自帶日志(系統(tǒng)日志�、安全日志等)或第三方軟件形成的日志中,客觀真實地記錄了案件事實情況�,但由于計算機數(shù)字信息存儲、傳輸不連續(xù)和離散��,容易被截取���、監(jiān)聽�、剪接��、刪除�,同時還可能由于計算機系統(tǒng)、網(wǎng)絡系統(tǒng)�����、物理系統(tǒng)的原因���,造成其變化且難有痕跡可尋��。因此在進行電子物證勘驗提取時,必須配備專業(yè)的數(shù)據(jù)恢復設備以保證電子物證的絕對完整���、準確��。
4��、存在的廣域性
電子物證因行為人使用網(wǎng)絡的種類不同或目的不同而存在于局域網(wǎng)或互聯(lián)網(wǎng)中�����,而在遍布全球的互聯(lián)網(wǎng)中的各地網(wǎng)絡服務商提供的服務器就會留有電子物證��?;陔娮游镒C的這一特性,使人們對電子物證所在地的認識有了新突破�,因而,取證活動將常常不局限于一地區(qū)�����、一國界���,且由于各地區(qū)�、各國分屬不同的法域�,對電子物證的法律規(guī)定自然存在差異,必然帶來取證的障礙和沖突����。
5���、實時準確性
計算機及網(wǎng)絡的使用,是一個實時產生電子物證的過程���,除了使用者操作下形成的電子物證外���,還存在計算機及網(wǎng)絡針對使用者的操作活動自動記錄的相關電子物證,特別是網(wǎng)絡中電子物證都是實時形成的�����,并可以通過取證獲得具體����、詳細而準確的時間記載以及變化情況。即使遭到人為篡改或系統(tǒng)故障等外在因素的破壞����,仍可以使用SDII服務器恢復系統(tǒng)等專業(yè)電子物證勘驗設備,通過數(shù)據(jù)恢復手段進行電子物證的恢復�、固定和提取。電子物證的這一特性決定了他具有其它證據(jù)種類難以比肩的優(yōu)越性��。同時也使實時犯罪線索搜集與其它取證活動成為可能并富有成效。
三��、表現(xiàn)形式
電子物證實質是電子的�、電磁的���、光學的���、磁性的等相似性能的信息或數(shù)據(jù)信息,經輸出設備顯示為人們所能識別的文字����、符號、圖形����、圖像、動畫��、音頻�����、視頻等各種信息形式���。體現(xiàn)于計算機及其網(wǎng)絡的電子物證形式表現(xiàn)為:
1�、存在系統(tǒng)內:(1)統(tǒng)日志文件;(2)備份介質�����;(3)入侵者殘留物:如程序�、腳本、進程�、內存映像;(4)交換區(qū)文件���;(5)臨時文件���;(6)硬盤未分配的空間(一些剛剛被刪除的文件可以在這里找到);(7)系統(tǒng)緩沖區(qū)��。
2����、存在網(wǎng)絡內:(1)防火墻日志;(2)IDS日志���;(3)其它網(wǎng)絡工具所產生的記錄和日志等�����。
四�、勘驗提取
電子物證勘驗提取通常會用下幾種方法:
1、數(shù)據(jù)獲取
一是對計算機系統(tǒng)數(shù)據(jù)和文件的安全拷貝技術����。這種技術主要研究如何在全面獲取數(shù)據(jù)的同時����,避免對原始介質進行破壞和干擾。二是對被刪除被破壞的電子物證進行數(shù)據(jù)恢復����。主要包括對已刪除文件的恢復、重建技術���;對slack磁盤空間��、未分配空間����、緩存和自由空間的信息發(fā)掘技術���;對交換文件�����、緩存文件���、臨時文件的復原技術����;對陰影技術的重新獲取技術等����。
2、數(shù)據(jù)分析
一是日志分析技術���。通過日志分析�����,可以了解系統(tǒng)受到了哪些攻擊�,以及哪些遠程主機訪問了該主機�。這可以幫助偵查人員確定作案時間以及作案過程;二是根據(jù)已獲得的文件或數(shù)據(jù)的詞、語法和寫作(編程)風格�,推斷出其可能的作者。這對于確定有害程序的原始作者極為重要�����。
3����、數(shù)據(jù)破譯
主要包括:數(shù)據(jù)解密技術、密碼破譯技術�;對電子介質中被保護信息的強行訪問技術等�����。
據(jù)統(tǒng)計����,目前英國警察局、法國內務部��、印度警察局�、印度海軍等全球電子物證勘驗提取技術較發(fā)達的機構,都在使用SDII服務器恢復系統(tǒng)等一些大型的精密電子物證勘驗設備�,一方面可以節(jié)約高科技人員成本,另一方面大型精密設備的使用可以最大限度的避免可能造成的取證失誤,最快速����、高效、完整的提取電子物證�����。
4����、設備介紹
電子物證快速取證分析系統(tǒng)Digital Forensics System是效率源專門為提取電子物證的一套現(xiàn)場勘查及實驗室綜合解決方案,集電子物證預檢���、證據(jù)固化與校驗�����、數(shù)據(jù)提取��、數(shù)據(jù)恢復����、數(shù)據(jù)分析����、電子司法報告為一體�����,具有符合司法取證流程����、全中文觸摸�、加密硬盤提取、損壞介質提取����、更多介質支持等特點。
聊天消息
