電子取證特性及電子取證方法信息社會使我們?nèi)谌肓藬?shù)字世界，信息網(wǎng)絡改變了人們的工作、生活模式。這種信息載體的革命性變革也引發(fā)了諸多法律問題，與訃算機相關的訴訟不斷出現(xiàn),一種新的證據(jù)形式一一電子證據(jù)成為人們研究與關注的焦點。電子證據(jù)即為電子數(shù)據(jù)證據(jù)，也被稱作汁算機證據(jù)、數(shù)據(jù)證據(jù)、網(wǎng)上證據(jù)等。電子證據(jù)一般理解為電子數(shù)據(jù)形成的證據(jù)，通常是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。它是現(xiàn)代信息社會產(chǎn)生的新的證據(jù)種類。電子證據(jù)的承載介質(zhì)是包括硬盤、軟盤、光盤等在內(nèi)的il?算機軟、硬件，毫無疑問它具有一般證據(jù)所具有的客觀存在性，既是可信的、準確的、完整的、符合法律法規(guī)的，同時它乂具有自身的特殊性。掌握了電子證據(jù)獨特的性質(zhì)，有助于我們在公共信息網(wǎng)絡安全監(jiān)察工作中解決和排除涉及電子證據(jù)的收集、審查、質(zhì)證、采信等方面的困難和障礙。電子證據(jù)的產(chǎn)生、儲存和傳輸，都必須借助于計算機技術、存儲技術、網(wǎng)絡技術等，離開了高科技含量的技術設備，電子證據(jù)就無法保存和傳輸，所以電子證據(jù)的形成具有高科技性；電子證據(jù)實質(zhì)上是一堆按編碼規(guī)則處理成的“0”和“1”的二進制信息,是通過看不見摸不著的訃算機語言記載的，其數(shù)據(jù)是以磁性介質(zhì)保存，它乂具有無形性；電子數(shù)據(jù)以“比特”的形式存在，是非連續(xù)的，…改動、偽造不易留下痕跡，數(shù)據(jù)或信息被人為地篡改后，如果沒有可對照的副本、映像文件則難以查清、難以判斷，電子證據(jù)還表現(xiàn)為易改動性；人為的惡意刪除、誤操作、電腦病毒、電腦故障等等原因，均有可能造成電子證據(jù)的消失，電子證據(jù)乂呈現(xiàn)易消失性；電子證據(jù)綜合了符號、編碼、文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，其外在表現(xiàn)形式具有多樣性;此外，電子證據(jù)還具直觀性強、收集迅速、易于保存、傳送方便、占用空間少、復制后可反復重現(xiàn)、便于操作等特性。電子證據(jù)的上述性質(zhì)，決定了其取證過程有別于許多傳統(tǒng)的取證方法，它對司法和訃算機科學領域都提出了新的研究課題。作為計算機領域和法學領域的一門交義科學，電子證據(jù)取證正逐漸成為人們研究與關注的焦點。電子證據(jù)取證應遵循及時性、合法性、全面性、專業(yè)人士取證、潛在證人協(xié)助、利用專門技術工具等原則,要考慮電子證據(jù)的生成、電子證據(jù)的傳送與接收、電子證據(jù)的存儲、電子證據(jù)的收集這四個方面的因素，才能保證電子證據(jù)的真實性、合法性。在快播一案中，我們第一次接觸電子數(shù)據(jù)取證，印象最深刻的就是電子證據(jù)對系統(tǒng)的依賴性使得在收集電子證據(jù)時，不能僅收集電子證據(jù),還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明。因為電子證據(jù)的真實程度和能證性很大程度上取決于所依賴系統(tǒng)的質(zhì)量和性能等方面的因素，只有借助于高靈敬度、高性能、高質(zhì)量的技術設備,才能獲得高度真實和能證性強的電子證據(jù)。如果電子證據(jù)的內(nèi)容使用質(zhì)量低劣、性能極差的設備記錄下來的，就不能反映案件事實發(fā)生的全過程，；即使是高質(zhì)量的設備，如果使用時介質(zhì)超過了其本身的性能程度也會出現(xiàn)差誤和失真。因此，對電子證據(jù)存在的系統(tǒng)和技術設備的性能及可靠程度，必要時需要系統(tǒng)管理人員、證據(jù)制作人就相關情況作出證明。其次，電子證據(jù)的脆弱性可能導致證據(jù)被篡改、破壞及復制，這就要求對在收集電子證據(jù)時一定要保證收集的證據(jù)符合可采性的要求，一般而言，要求收集的電子證據(jù)是原件。英美證據(jù)法的最佳證據(jù)規(guī)則就要求在證明書面文件（包括錄音、照片或者X光片等）的內(nèi)容時，除非有例外情況，當事人必須出示原件作為證據(jù)，這一規(guī)則同樣適用于電子證據(jù)。但就電子證據(jù)而言，復制件也是可以作為證據(jù)使用的。因為設立最佳證據(jù)規(guī)則的最初LI的在于防止錯誤或欺詐行為，理山主要是書面文件復制件的精確性不高，但對于可以精確復制的電子證據(jù)來說,復制件與其本身具有相同效力，完全可以將其視為原件。美國聯(lián)邦證據(jù)規(guī)則笫1001條對原件的解釋就是：“文件或錄音的原件即該文字或錄音資料本身，或者山制作人或簽發(fā)人使其具有與原件同等效力的副本、復本。照片的原件包括底片或任何由底片沖洗出來的照片等。如果數(shù)據(jù)儲存在電腦或類似設備中，任何從電腦中打印或輸出的能準確反映有關數(shù)據(jù)的可讀物均為原件。”原件并不必然是原文件或數(shù)據(jù)本身，只要是能夠準確反映電子文件或數(shù)據(jù)內(nèi)容的輸出物都可以被視為原件。依此種解釋,在不具有法律規(guī)定的例外情況下，最佳證據(jù)規(guī)則并不構成電子證據(jù)在訴訟中應用的障礙，最佳證據(jù)規(guī)則完全適用于電子證據(jù)。我國《關于行政訴訟證據(jù)若干問題的規(guī)定》第64條也對電子郵件等新類型證據(jù)作出規(guī)定：“以有形載體固定或顯示的電子數(shù)據(jù)交換、電子郵件以及其他數(shù)據(jù)資料，其制作情況和真實性經(jīng)過對方當事人確認,或以公證等其他有效方式予以證明的，與原件具有同等的證明效力。”《關于民事訴訟證據(jù)的若干規(guī)定》笫22條規(guī)定：“調(diào)查人員調(diào)查收集計算機數(shù)據(jù)或者錄音、錄像等視聽資料的，應當要求被調(diào)查人提供有關資料的原始載體。提供原始載體確有困難的，可以提供復制件。提供復制件的，調(diào)查人員應當在調(diào)查筆錄中說明其來源和制作經(jīng)過?！痹俅?，電子證據(jù)的可挽救性及隱蔽性，決定了收集電子證據(jù)的活動要全面、綜合地進行，運用高科技手段檢測是否有隱藏文件及硬盤中是否有被刪除的證據(jù)，或依當事人舉證,可確認或推知文件曾在該存儲介質(zhì)中存放，但之后乂被刪除，則可以對其運用相關技術恢復。對于恢復刪除文件的證明力，應大于未被刪除的文件。因電子證據(jù)的這種特點,取證主體在取證時是不應只局限于已發(fā)現(xiàn)和收集的證據(jù)，還要對磁盤中已被刪除但可恢復的文件進行收集，以盡可能地查明案件事實。在看過了兒個案例之后,我們通過作業(yè)和實驗的形式，進一步的了解了電子取證的技術。理解了電子取證過程中的各個技術細節(jié)。為保證涉案計算機系統(tǒng)中數(shù)據(jù)證據(jù)的原始完整性，應在備份完成后，封存涉案的汁算機及其相關的設備。其中包括各種打印結果、存儲介質(zhì)、工作日志等。對不能停止運行的訃算機系統(tǒng)，如果要求必須在短時間內(nèi)恢復運行則應采用鏡像備份，并將系統(tǒng)的狀態(tài)及環(huán)境等進行詳細的記錄。刑事偵查人員和計?算機作業(yè)技術人員一同收集一切與案件有關資料，清理現(xiàn)場,提取證據(jù)，進行關聯(lián)分析。同時創(chuàng)建時間表,排除犯罪嫌疑人和劃定重點嫌疑人，各時間段日志文件的記錄事件，刑事偵查人員調(diào)查和詢問知情人、犯罪嫌疑人分析時間性信息，并要求犯罪嫌疑人提供計算機系統(tǒng)相關的所有信息。利用一些支持軟件和對備份的數(shù)據(jù)來分析案件發(fā)生前后系統(tǒng)的狀態(tài)、日志記錄以及數(shù)據(jù)的情況，提交分析結果。LI前，計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術的變化，計算機犯罪取證還需要更高的技術。包括數(shù)據(jù)復制技術、信息加密技術、電子證據(jù)復原技術、數(shù)據(jù)截取技術、數(shù)字簽名和數(shù)字時間戳技術等。數(shù)據(jù)復制包括數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照、攝像等。如，具有視聽資料的證據(jù),可以釆用拍照、攝像的方法對取證全程進行拍照、攝像,增加證明力、防止翻供。案發(fā)后，通過數(shù)據(jù)鏡像將備份迅速恢復到另一臺主機上，在映像上進行分析工作要比在原件上操作更安全。信息加密是信息安全的主要措施之一，是通過密鑰技術,來保護在公用通信網(wǎng)絡中傳輸、交換和存儲的信息的機密性、完整性和真實性。數(shù)據(jù)加密技術是所有網(wǎng)絡上通信安全所依賴的基本技術。有三種方式:鏈路加密方式、節(jié)點對節(jié)點加密方式和端對端加密方式。鏈路加密方式是一般網(wǎng)絡通信安全主要采取這種方式。鏈路加密方式把網(wǎng)絡上傳輸?shù)臄?shù)據(jù)報文每一個比特進行加密。不但對數(shù)據(jù)報文正文加密,而且把路山信息、校驗和等控制信息全部加密。端對端加密方式山發(fā)送方加密的數(shù)據(jù)在沒有到達最終LI的地接受節(jié)點之前是不被解密的，加解密只是在源、LI的節(jié)點進行。端對端加密方式是將來的發(fā)展趨勢。電子證據(jù)復原即對不同程度上數(shù)據(jù)的破壞所進行的恢復，及不可見區(qū)域數(shù)據(jù)的恢復。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準備專門的備份。這些系統(tǒng)一般是山專門的設備、專門的操作管理組成，較難篡改。因此，當發(fā)生計算機犯罪，其中有關證據(jù)已經(jīng)被修改、破壞時，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進行比較、恢復，獲取定案所需證據(jù)。數(shù)據(jù)截取是指在犯罪者進行計算機犯罪的同時，偵查人員利用某些技術把犯罪證據(jù)進行截獲的技術。數(shù)據(jù)截取就是通過傳輸介質(zhì)進行截取,數(shù)據(jù)傳輸分為有線傳輸和無線傳輸，在有線傳輸中采用網(wǎng)絡監(jiān)聽，網(wǎng)絡監(jiān)聽需要主機網(wǎng)卡設置為混雜模式,主機就能接受本網(wǎng)段內(nèi)在統(tǒng)一物理通道上傳輸?shù)乃行畔?，來獲取本某次通信中的信息。常用的工具111Suffer、TCPDump。無線傳輸通道的截獲是通過電磁波捕獲。通過對捕獲的證據(jù)進行分析作為犯罪證據(jù)。進行數(shù)據(jù)欺騙所采取的手段主要是陷阱和偽裝等。通過構造一個虛擬等系統(tǒng)、服務或環(huán)境誘騙攻擊者對其發(fā)起進攻。這種方式多用于網(wǎng)絡攻擊中的證據(jù)的獲取，在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實攻擊或入侵行為的有力證據(jù)。蜜罐和迷網(wǎng)就是廣泛使用的陷阱工具。數(shù)字簽名和數(shù)字時間戳都可以證明數(shù)據(jù)有效性的內(nèi)容。通常要進行時間標記的信息內(nèi)容包括:被調(diào)查機器的硬盤的映像文件、關機詢被保留下來的所有信息、在收集證據(jù)過程中得到的證據(jù)、在可疑機器上得到的調(diào)查結果、調(diào)查人員每天得到的副本等。掃描技術可分為主機掃描和網(wǎng)絡掃描。端口掃描技術和漏洞掃描技術是網(wǎng)絡安全掃描技術中的兩種核心技術，并且廣泛運用于當前較成熟的網(wǎng)絡掃描器中，如Su