扫描二维码联系我们
时间:2012-02-07 09:38 来源:未知 作者:admin 点击:次
为了让电子证据被公认有用,我们必须在进行电子证据调查时遵循一定的有效原则,整合目前大环境下对电子证据的认识,我们认为:电子证据必须有以下特征或特性:
(1)被法庭认可
证据要被法庭认可是计算机取证的最基本的原则,证据必须能够用于法庭或者任何相关的地方。如果不符合这个原则,相当于花了钱,但是没有对作案现场取证。
(2)与案件有关联
如果不能把证据跟作案活动进行关联,就不能证明任何事情,必须证明证据与作案活动有本质的关联。
(3)完整
仅仅显示一个人经历了作案过程的证据是不够的。不仅要收集那些能够帮助证明作案人做了什么的证据,从完整的角度考虑,还有必要收集那些能够证明作案嫌疑人并没有作案的证据,或者收集那些可能降低证据可靠性的证据,也就是说要考虑所得到的证据的可靠程度。与之类似,要采集那些要么证明有罪要么能够开脱罪责的证据,非此即彼。
(4)真实可靠
提供的电子证据必须毫无疑问,缺凿、正确、准确。
(5)令人信服
所出示和提供的证据必须非常清楚、容易理解和让法庭信服。当法官不懂二进制代码的时候,无法把存储器里面的大块的二进制代码拿来作证据。如果以法庭能够真正了解的格式化的形式提交证据,还要指出或证明或揭示这些被格式化了的内容与原来的二进制代码之间的直接关系,否则没有任何办法向法官证明证据不是捏造的。
计算机证据调查取证的注意事项
遵循以上提出的五个建议规则,就可以开始正确地取证了,但是本文建议要遵循以下的注意事项:
(1)不对原始数据进行任何处理,或者将对原始数据的处理处置降低到力所能及的程度。
一旦已经完成了原始数据母版的制作,就尽量不要改动它,包括尽量不要改动其中的原始数据,即使要处理也只在拷贝的件上进行。对原始数据的任何改动都会影响后期对拷贝件进行的分析以及分析后得到的结果的正确性。
一定要确保没有运行过任何会修改所有文件的存取时间的程序,也不要运行会移动和删除等任何操作以及影响取证以后进行分析的程序。
(2)对曾经做过的任何改动给出说明,并详细记录和保留对这些改动的说明。
有时候,改动是不可避免的,这时,对改动的本质、幅度、深度和改动的原因进行详细的书面记录是绝对必须的;对发生的任何细微的变化或者变动或者改动都必须进行说明,不仅仅对数据变化进行说明,就是在物理上的变化,比如拔掉硬件部件也要进行详细说明和文字记录。
(3)遵循计算机取证的五个原则
既然计算机取证工作有五条原则可以遵循,那就必须遵循他们。如果没有遵循,结果可能就是浪费了时间和金钱。遵循计算机取证的这些原则,对于成功地完成取证工作是至关重要的。
(4)不要超过自己的认知范围
如果没有真正搞懂自己在做什么,那么就很难知道自己做了那些改动,也就不能准确地描述自己到底在做什么,所做的记录就没有意义。如果发现超过了自己的知识范围,在时间还允许的时候,在继续进行取证工作之前要多学习或者多请教那些懂行的人。千万不要勉为其难,否则会毁坏现场和毁坏你的案子。
(5)遵照相关的法律法规开展工作,要获得进行操作的许可,比如获准以后才进行写入(得到写的许可)。
在调查取证的过程中,有可能需要接触和拷贝敏感数据或者得到系统用户曾经使用过的某些语句,这时候,要考虑很多管理上的细节。在开始取证调查之前,获得写或者标识的许可处理和对调查范围的清晰指令是非常重要的。没有得到授权许可和操作范围清晰的工作指令,就贸然采取行动,可能会,或者被认为会没有遵循安全策略,最后产生的后果要自己去承担。在计算机取证的时候,如果发现有质疑的地方,一定要跟那些懂行的人交流,在必要的时候还要征求法律方面的建议。
也强烈地建议,在案件还没有发生之前就要先制定出一套正确的包括计算机取证的应急响应议案等在内的相关政策策略,这将能确保证据不丢失并能节省时间的重要措施。
(6)尽量精确地获取系统的印象(镜像)
这跟第(1)点有些类似,所不同的是这里是对系统进行拷贝,那里是对数据进行拷贝,应该能够清楚地描述他们之间的区别。
(7)做好验证证据的准备
如果不愿意验证所取得的证据,在进行下一步之前,也可以选择暂时停下来。没有取证员在场确认那些在取证的过程中产生的文档的有效性,得到的证据和文档将变成成道听途说,是不允许的。最终还是要进行验证确认才行。
(8)确保所有行动能够再现
在按照所描述的取证过程没有得到与所得到的证据是相同的这个结论之前,是不会有人相信所得到的证据的,这也意味着取证的行动计划不能建立在不正确的基础上。
(9)努力尽快地完成取证工作
工作进度越快,数据被改变的可能性越小。如果不在恰当的时间取证,有效证据有可能完全消失。当然这并不是说,取证工作可以草率一些,仍然需要准确地收集各种信息,尽力记录所有可能记录的一切。如果碰到了集成的复杂的系统,为了有效地工作还有必要组织一个能够并行工作的取证团队,但是对其中的单个系统还是需要有计划有组织地开展,也许自动处理某些任务可能会加快工作进展。
(10)按照从容易变化的证据到固定不变的证据这样的顺序开展取证工作
有些电子证据比其他的更容易变化,由于这个原因,必须先采集那些容易变化的证据。
(11)在着手取证之前不要关机
在取证之前一定不要关闭系统。如果关闭系统,不仅会丢失有效的证据,作案人设置的木马程序还有可能启动因而关闭脚本程序等重要的作案线索,计算机上的即插即用的设备也会改变系统的配置,很多临时文件也会被删除。如果重新启动计算机系统会更糟糕,那会导致丢失更多的有价信息,更要避免重新启动计算机系统。
作为一个通用的规则,要坚持完成对受害磁盘的分析工作并将其重新存储,在此之前请一定不要再把这个受害磁盘作为系统引导盘。
(12)不要在受害系统上运行任何程序
因为作案人有可能留下木马程序隐藏在系统里面,有可能被无意触动导致取证必须得到的某些证据被改变或者毁灭,任何被用到的程序都要求存放在只读存储器上并要处于静态链接状态。
