1. 數字取證的基本原則和一般步驟是怎樣的
數字證據的取證原則和方法
數字證據是計算機和網路科技高速發展的產物,是將法律與高科技相結合的一種新形式的證據。數字證據的取證規則、取證方式都有別於傳統證據,需要通過特定的技術手段進行分析和獲取,因此在數字證據的取證過程中應當注意規范取證流程,遵循一定的原則和方法。
一、數字證據的取證程序應嚴格規范
1.證據現場的保護。取證人員進入現場後,應迅速封鎖整個計算機區域,將人、機、物品之間進行物理隔離;保護好計算機日誌,對數據進行備份,切斷遠程式控制制;封存現場的信息系統、各種可能涉及到的磁介質、內部人員使用的工作記錄、程序備份和數據備份;提取涉案計算機硬碟、移動磁介質、光碟等,特別應注意對當事人隨身攜帶的存儲介質的提取。
2.證據的提取和固定。提取和固定數字證據時,一個重要的原則就是確保對目標計算機中的原始數據不產生任何改動和破壞,只有這樣,才能保證數字證據的真實性、完整性和安全性。在取證過程中,應在對案件有關的計算機中的數據和資料不進行任何改動或損壞的前提下進行備份,記錄備份的時間、地點、數據來源、提取過程、使用方法、備份人及見證人名單並簽名。
3.證據的分析。應當注意的是,所有的檢查和分析工作應該在備份件上進行,以保證原始證據的可靠性和可信性。對數字證據進行數據分析,必須考慮計算機的類型,採用的操作系統,是否有隱藏的分區,有無可疑外設,有無遠程式控制制、木馬程序及當前計算機系統的網路環境。對數據進行全面的分析,還應該注意檢查所有的日誌文件,對在該系統上使用過的用戶操作時間以及操作記錄進行登記,查看可能進入或使用過該機器系統的可疑程序。
二、數字證據取證過程中應注意保持證據原始性
1.對原始數據進行備份後利用備份的數據進行分析,不能對原始數據直接進行分析。要在不破壞原始介質的前提下,對所獲得的數據進行分析,從而提取出有效證據。為保證原始介質數據的完整性,在進行數據分析之前,必須對原始數據進行鏡像拷貝,然後對拷貝進行分析。
2.對原始數據要進行冗餘備份。數字證據在保存時應該有兩個或兩個以上完整的拷貝。冗餘備份一方面避免了由於數字證據本身的不穩定性造成備份數據的丟失,另一方面還可以在數據分析過程中同時對拷貝文件進行調查和分析,提高取證效率。
3.在備份復制過程中,以及對備份復制的硬碟或鏡像文件進行數據分析、恢復、檢驗時,應當使用安全只讀介面,使用防寫技術進行操作。對重要證據文件還應採取必要的加密技術和數字簽名等技術,並且應當記錄分析過程所使用的設備型號、序列號,所使用的軟體的名稱、版本號、具體操作過程以及檢查結果等,製作相應的工作記錄或檢驗文書。
4.詳細記錄取證全程,保證證據連續性。將數字證據從獲取生成之後到提交法庭作為審判依據的過程中產生的變化都進行記錄和說明。在移動硬體之前,把被提取的設備在現場中的相對位置、具體外觀和連接狀態用照相、錄像、繪圖、文字的形式記錄下來,用攝像機記錄檢驗分析的全過程,尤其對解除封存狀態、檢查過程的關鍵操作、重新封存等主要步驟應當多角度錄像。
5.保障硬體環境安全可靠。存儲數字證據的介質必須按照科學方法保全,應該遠離磁場、高溫、灰塵、潮濕、靜電環境,避免造成電磁介質數據丟失,防止破壞重要的線索和證據。還要注意防磁,特別是使用安裝了無線電通訊設備的交通工具運送數字證據時,要關掉車上的無線設備,以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等存儲的數據。