关于当前电子物证取证工作的探讨

胡丹

衡水市人民检察院

关于当前电子物证取证工作的探讨

胡丹

衡水市人民检察院

依照法律程序，运用科学的技术手段，准确及时地发现、提取以及分析有关电子物证，是当前案件侦查部门所面临的一个全新的课题。

电子物证；取证；恢复

现代社会是一个电子信息时代，伴随着电子信息技术以及网络技术的迅猛发展，在众多犯罪作案中会经常出现各种电子物证，因此电子物证检验工作显得尤为重要。电子物证检验是关于发现、识别、提取、保存、恢复、显示、分析和鉴定电子设备中存在的电子信息（电子证据）的科学技术。在犯罪案件侦查工作过程中，只要根据正规的程序，通过科学技术手段获得的合法电子证据，完全能够被法庭所采信。所以，如何依照法律程序，运用科学的技术手段，准确及时地发现、提取以及分析有关电子物证，是当前案件侦查部门所面临的一个全新的课题。

电子证据的取证方式、取证规则都是不同于传统证据的，对于传统证据的收集手段、认证就不能完全照搬使用了，因此，电子证据的提取、固定是有一定难度的。尽管如此，根据案件的具体情况，利用电子证据自身的特点，并对其进行取证，可以为案件的侦破提供帮助。

一、电子证据的一般取证方式一般取证

电子证据的一般取证是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有：

1、打印。在文字内容上有证明意义的网络犯罪案件，可以直接把有关内容直接打印出来进行取证。打印后，可以按照提取书证的方法予以保管、固定，并注明打印的时间、数据信息在计算机中的位置（如存放于那个文件夹中等）、取证人员等。如果是普通操作人员进行的打印，应当监督打印过程，防止原内容被修改、删除等。

2、拷贝。是将对侦办案件有价值的计算机文件拷贝到U盘、光盘或活动硬盘中。在拷贝之前，取证人员要检验所准备的u盘、光盘或活动硬盘，确认没有感染病毒。拷贝之后，也要及时对拷贝的质量进行检查，防止因保存方式不当等原因而导致拷贝不成功等。取证后，同样要注明提取的时间并封闭取回。

3、拍照、摄像。如果该证据是视听资料，可以采用拍照、摄像的方法进行证据的提取和固定，以便充分、全面地体现证据的证明作用。同时对取证全程进行拍照、摄像，起到防止翻供和增加证明力的作用。

4、制作司法文书。一般包括检查笔录与鉴定。检查笔录是指对于取证证据方式、种类、内容、过程等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定，也是一种固定证据的方式。

5、查封、扣押。对于涉及案件的证据材料、物件，可以采取查封、扣押的方式来防止其被损毁或破坏，并由司法机关进行保管、查封、扣押。由于措施得当，证据提取及时，既有效地证明犯罪，也防止了商业秘密的泄露。对于已经加密的数据文件进行查封、扣押，往往需要将整个存储器从机器中拆卸出来并聘请专门人员对数据进行还原处理，这种情况下进行的查封、扣押措施必须相当审慎，以免对原用户、或其他合法客户的正常工作造成侵害，一旦硬件损坏或误操作导致数据不能读取或数据毁坏，其带来的损失将是不可估量的。

二、电子证据的复杂取证方式复杂取证

电子证据的复杂取证方式复杂取证是指需要专业技术人员协助进行的电子证据的收集和固定工作。多使用于电子证据不能顺利获取，如被人为的破坏、删改或被加密、计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括：

1、恢复。当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据看不见、无法读取、丢失。数据恢复(Data recovery)是指通过技术手段，将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、Mp3等等设备上丢失的电子数据进行抢救和恢复的技术。文件恢复软件是指把从硬盘或U盘等存储设备上永久删除（即从回收站里永久删除或按shift+del永久删除）的文件恢复过来的软件。由于NTFS、FAT等文件系统在文件删除时并不是立即把文件所有内容从存储设备上清掉，因此利用一些工具软件可以把这些文件恢复过来。常用的数据恢复软件有：顶尖数据恢复软件、迅龙数据恢复软件、安易硬盘数据恢复软件、Recuva(硬盘数据恢复软件)、RecoverNT EXPD等等。

2、解密。所需要的证据已经被行为人设置了密码，隐藏在文件中时，这就需要对密码进行解译。在找到相应的密码文件后，请专业人员选用相应的解除密码口令软件。如：用Word软件制作的密码文件，选用Word软件解译；解密后，将对案件有价值的文件，即可进行一般取证；在解密的过程中，必要的话，可以采取录象的方式。同时应当将被解密文件备份，以防止因解密中的操作使文件丢失或因病毒损坏。如：在办理一起某国际投资公司的职务犯罪案件中，侦查人员在搜查办公室时发现，其使用办公桌的抽屉和文件橱内有11张微机软盘，怀疑盘内存有其犯罪的重要证据，取回后立即送技术科进行检验，我技术人员按要求，进行了详细检验，无病毒，并查清了这些软盘中用Word软件所制作的文件，并加入了密码，即针对所用软件采用了Advanced Word 97 Password Recovery 1.23软件成功的破译了其中的密码，解出了108份文件，从而掌握了其犯罪的重要书证，又扩大了办案线索，使案件深入发展。

3、测试。电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试（侦查实验）。主要是使用事先制作的测试文件，经测试确认软件有问题时，则由计算机专家对软件进行检查或提取固定。

三、与电子证据相关的几项工作

1.制定电子证据的取证制度。

电子证据的特点，决定了电子证据的收集、固定和使用工作的特殊性。因此，检察机关有必要建立电子证据的取证制度，以规范电子证据的收集、固定活动，使办案人员能够及时有效的收集到电子证据，也为电子证据的在法庭上的合法使用提供依据。

2.注重对电子证据专家的培养。

一则，电子证据所涉及的技术是不断发展的，相关取证人员都需要不断学习、研究和掌握新的技术方法；二则，虽然电子证据专家各有所长，但为了方便证据的收集与固定，计算机专家需要熟悉诉讼程序、证据规格和电算化等业务，司法会计专家和侦查人员也需要了解计算机知识。因此，检察机关应当注意对电子证据专家的业务培训，不断提高他们的专业机能，使之在工作中能够得心应手。

随着信息化程度的提高，电子证据取证将成为侦查取证工作的重点环节。加强对侦查人员和技术人员的相关培训，加强和提高对侦查工作中电子证据取证问题的认识和重视，加强对电子证据以及取证过程所涉及的法律问题的研究，逐步建立和完善电子证据取证体系。