電子取證特性及電子取證方法信息社會使我們?nèi)谌肓藬?shù)字世界，信息網(wǎng)絡(luò)改變了人們的工作、生活模式。這種信息載體的革命性變革也引發(fā)了諸多法律問題，與訃算機相關(guān)的訴訟不斷出現(xiàn),一種新的證據(jù)形式一一電子證據(jù)成為人們研究與關(guān)注的焦點。電子證據(jù)即為電子數(shù)據(jù)證據(jù)，也被稱作汁算機證據(jù)、數(shù)據(jù)證據(jù)、網(wǎng)上證據(jù)等。電子證據(jù)一般理解為電子數(shù)據(jù)形成的證據(jù)，通常是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。它是現(xiàn)代信息社會產(chǎn)生的新的證據(jù)種類。電子證據(jù)的承載介質(zhì)是包括硬盤、軟盤、光盤等在內(nèi)的il?算機軟、硬件，毫無疑問它具有一般證據(jù)所具有的客觀存在性，既是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，同時它乂具有自身的特殊性。掌握了電子證據(jù)獨特的性質(zhì)，有助于我們在公共信息網(wǎng)絡(luò)安全監(jiān)察工作中解決和排除涉及電子證據(jù)的收集、審查、質(zhì)證、采信等方面的困難和障礙。電子證據(jù)的產(chǎn)生、儲存和傳輸，都必須借助于計算機技術(shù)、存儲技術(shù)、網(wǎng)絡(luò)技術(shù)等，離開了高科技含量的技術(shù)設(shè)備，電子證據(jù)就無法保存和傳輸，所以電子證據(jù)的形成具有高科技性；電子證據(jù)實質(zhì)上是一堆按編碼規(guī)則處理成的“0”和“1”的二進(jìn)制信息,是通過看不見摸不著的訃算機語言記載的，其數(shù)據(jù)是以磁性介質(zhì)保存，它乂具有無形性；電子數(shù)據(jù)以“比特”的形式存在，是非連續(xù)的，…改動、偽造不易留下痕跡，數(shù)據(jù)或信息被人為地篡改后，如果沒有可對照的副本、映像文件則難以查清、難以判斷，電子證據(jù)還表現(xiàn)為易改動性；人為的惡意刪除、誤操作、電腦病毒、電腦故障等等原因，均有可能造成電子證據(jù)的消失，電子證據(jù)乂呈現(xiàn)易消失性；電子證據(jù)綜合了符號、編碼、文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，其外在表現(xiàn)形式具有多樣性;此外，電子證據(jù)還具直觀性強、收集迅速、易于保存、傳送方便、占用空間少、復(fù)制后可反復(fù)重現(xiàn)、便于操作等特性。電子證據(jù)的上述性質(zhì)，決定了其取證過程有別于許多傳統(tǒng)的取證方法，它對司法和訃算機科學(xué)領(lǐng)域都提出了新的研究課題。作為計算機領(lǐng)域和法學(xué)領(lǐng)域的一門交義科學(xué)，電子證據(jù)取證正逐漸成為人們研究與關(guān)注的焦點。電子證據(jù)取證應(yīng)遵循及時性、合法性、全面性、專業(yè)人士取證、潛在證人協(xié)助、利用專門技術(shù)工具等原則,要考慮電子證據(jù)的生成、電子證據(jù)的傳送與接收、電子證據(jù)的存儲、電子證據(jù)的收集這四個方面的因素，才能保證電子證據(jù)的真實性、合法性。在快播一案中，我們第一次接觸電子數(shù)據(jù)取證，印象最深刻的就是電子證據(jù)對系統(tǒng)的依賴性使得在收集電子證據(jù)時，不能僅收集電子證據(jù),還需收集與系統(tǒng)穩(wěn)定性及軟件的使用等情況的證明。因為電子證據(jù)的真實程度和能證性很大程度上取決于所依賴系統(tǒng)的質(zhì)量和性能等方面的因素，只有借助于高靈敬度、高性能、高質(zhì)量的技術(shù)設(shè)備,才能獲得高度真實和能證性強的電子證據(jù)。如果電子證據(jù)的內(nèi)容使用質(zhì)量低劣、性能極差的設(shè)備記錄下來的，就不能反映案件事實發(fā)生的全過程，；即使是高質(zhì)量的設(shè)備，如果使用時介質(zhì)超過了其本身的性能程度也會出現(xiàn)差誤和失真。因此，對電子證據(jù)存在的系統(tǒng)和技術(shù)設(shè)備的性能及可靠程度，必要時需要系統(tǒng)管理人員、證據(jù)制作人就相關(guān)情況作出證明。其次，電子證據(jù)的脆弱性可能導(dǎo)致證據(jù)被篡改、破壞及復(fù)制，這就要求對在收集電子證據(jù)時一定要保證收集的證據(jù)符合可采性的要求，一般而言，要求收集的電子證據(jù)是原件。英美證據(jù)法的最佳證據(jù)規(guī)則就要求在證明書面文件（包括錄音、照片或者X光片等）的內(nèi)容時，除非有例外情況，當(dāng)事人必須出示原件作為證據(jù)，這一規(guī)則同樣適用于電子證據(jù)。但就電子證據(jù)而言，復(fù)制件也是可以作為證據(jù)使用的。因為設(shè)立最佳證據(jù)規(guī)則的最初LI的在于防止錯誤或欺詐行為，理山主要是書面文件復(fù)制件的精確性不高，但對于可以精確復(fù)制的電子證據(jù)來說,復(fù)制件與其本身具有相同效力，完全可以將其視為原件。美國聯(lián)邦證據(jù)規(guī)則笫1001條對原件的解釋就是：“文件或錄音的原件即該文字或錄音資料本身，或者山制作人或簽發(fā)人使其具有與原件同等效力的副本、復(fù)本。照片的原件包括底片或任何由底片沖洗出來的照片等。如果數(shù)據(jù)儲存在電腦或類似設(shè)備中，任何從電腦中打印或輸出的能準(zhǔn)確反映有關(guān)數(shù)據(jù)的可讀物均為原件?！痹⒉槐厝皇窃募驍?shù)據(jù)本身，只要是能夠準(zhǔn)確反映電子文件或數(shù)據(jù)內(nèi)容的輸出物都可以被視為原件。依此種解釋,在不具有法律規(guī)定的例外情況下，最佳證據(jù)規(guī)則并不構(gòu)成電子證據(jù)在訴訟中應(yīng)用的障礙，最佳證據(jù)規(guī)則完全適用于電子證據(jù)。我國《關(guān)于行政訴訟證據(jù)若干問題的規(guī)定》第64條也對電子郵件等新類型證據(jù)作出規(guī)定：“以有形載體固定或顯示的電子數(shù)據(jù)交換、電子郵件以及其他數(shù)據(jù)資料，其制作情況和真實性經(jīng)過對方當(dāng)事人確認(rèn),或以公證等其他有效方式予以證明的，與原件具有同等的證明效力?！薄蛾P(guān)于民事訴訟證據(jù)的若干規(guī)定》笫22條規(guī)定：“調(diào)查人員調(diào)查收集計算機數(shù)據(jù)或者錄音、錄像等視聽資料的，應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體。提供原始載體確有困難的，可以提供復(fù)制件。提供復(fù)制件的，調(diào)查人員應(yīng)當(dāng)在調(diào)查筆錄中說明其來源和制作經(jīng)過?！痹俅?，電子證據(jù)的可挽救性及隱蔽性，決定了收集電子證據(jù)的活動要全面、綜合地進(jìn)行，運用高科技手段檢測是否有隱藏文件及硬盤中是否有被刪除的證據(jù)，或依當(dāng)事人舉證,可確認(rèn)或推知文件曾在該存儲介質(zhì)中存放，但之后乂被刪除，則可以對其運用相關(guān)技術(shù)恢復(fù)。對于恢復(fù)刪除文件的證明力，應(yīng)大于未被刪除的文件。因電子證據(jù)的這種特點,取證主體在取證時是不應(yīng)只局限于已發(fā)現(xiàn)和收集的證據(jù)，還要對磁盤中已被刪除但可恢復(fù)的文件進(jìn)行收集，以盡可能地查明案件事實。在看過了兒個案例之后,我們通過作業(yè)和實驗的形式，進(jìn)一步的了解了電子取證的技術(shù)。理解了電子取證過程中的各個技術(shù)細(xì)節(jié)。為保證涉案計算機系統(tǒng)中數(shù)據(jù)證據(jù)的原始完整性，應(yīng)在備份完成后，封存涉案的汁算機及其相關(guān)的設(shè)備。其中包括各種打印結(jié)果、存儲介質(zhì)、工作日志等。對不能停止運行的訃算機系統(tǒng)，如果要求必須在短時間內(nèi)恢復(fù)運行則應(yīng)采用鏡像備份，并將系統(tǒng)的狀態(tài)及環(huán)境等進(jìn)行詳細(xì)的記錄。刑事偵查人員和計?算機作業(yè)技術(shù)人員一同收集一切與案件有關(guān)資料，清理現(xiàn)場,提取證據(jù)，進(jìn)行關(guān)聯(lián)分析。同時創(chuàng)建時間表,排除犯罪嫌疑人和劃定重點嫌疑人，各時間段日志文件的記錄事件，刑事偵查人員調(diào)查和詢問知情人、犯罪嫌疑人分析時間性信息，并要求犯罪嫌疑人提供計算機系統(tǒng)相關(guān)的所有信息。利用一些支持軟件和對備份的數(shù)據(jù)來分析案件發(fā)生前后系統(tǒng)的狀態(tài)、日志記錄以及數(shù)據(jù)的情況，提交分析結(jié)果。LI前，計算機取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化，計算機犯罪取證還需要更高的技術(shù)。包括數(shù)據(jù)復(fù)制技術(shù)、信息加密技術(shù)、電子證據(jù)復(fù)原技術(shù)、數(shù)據(jù)截取技術(shù)、數(shù)字簽名和數(shù)字時間戳技術(shù)等。數(shù)據(jù)復(fù)制包括數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照、攝像等。如，具有視聽資料的證據(jù),可以釆用拍照、攝像的方法對取證全程進(jìn)行拍照、攝像,增加證明力、防止翻供。案發(fā)后，通過數(shù)據(jù)鏡像將備份迅速恢復(fù)到另一臺主機上，在映像上進(jìn)行分析工作要比在原件上操作更安全。信息加密是信息安全的主要措施之一，是通過密鑰技術(shù),來保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存儲的信息的機密性、完整性和真實性。數(shù)據(jù)加密技術(shù)是所有網(wǎng)絡(luò)上通信安全所依賴的基本技術(shù)。有三種方式:鏈路加密方式、節(jié)點對節(jié)點加密方式和端對端加密方式。鏈路加密方式是一般網(wǎng)絡(luò)通信安全主要采取這種方式。鏈路加密方式把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報文每一個比特進(jìn)行加密。不但對數(shù)據(jù)報文正文加密,而且把路山信息、校驗和等控制信息全部加密。端對端加密方式山發(fā)送方加密的數(shù)據(jù)在沒有到達(dá)最終LI的地接受節(jié)點之前是不被解密的，加解密只是在源、LI的節(jié)點進(jìn)行。端對端加密方式是將來的發(fā)展趨勢。電子證據(jù)復(fù)原即對不同程度上數(shù)據(jù)的破壞所進(jìn)行的恢復(fù)，及不可見區(qū)域數(shù)據(jù)的恢復(fù)。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準(zhǔn)備專門的備份。這些系統(tǒng)一般是山專門的設(shè)備、專門的操作管理組成，較難篡改。因此，當(dāng)發(fā)生計算機犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞時，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。數(shù)據(jù)截取是指在犯罪者進(jìn)行計算機犯罪的同時，偵查人員利用某些技術(shù)把犯罪證據(jù)進(jìn)行截獲的技術(shù)。數(shù)據(jù)截取就是通過傳輸介質(zhì)進(jìn)行截取,數(shù)據(jù)傳輸分為有線傳輸和無線傳輸，在有線傳輸中采用網(wǎng)絡(luò)監(jiān)聽，網(wǎng)絡(luò)監(jiān)聽需要主機網(wǎng)卡設(shè)置為混雜模式,主機就能接受本網(wǎng)段內(nèi)在統(tǒng)一物理通道上傳輸?shù)乃行畔ⅲ瑏慝@取本某次通信中的信息。常用的工具111Suffer、TCPDump。無線傳輸通道的截獲是通過電磁波捕獲。通過對捕獲的證據(jù)進(jìn)行分析作為犯罪證據(jù)。進(jìn)行數(shù)據(jù)欺騙所采取的手段主要是陷阱和偽裝等。通過構(gòu)造一個虛擬等系統(tǒng)、服務(wù)或環(huán)境誘騙攻擊者對其發(fā)起進(jìn)攻。這種方式多用于網(wǎng)絡(luò)攻擊中的證據(jù)的獲取，在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實攻擊或入侵行為的有力證據(jù)。蜜罐和迷網(wǎng)就是廣泛使用的陷阱工具。數(shù)字簽名和數(shù)字時間戳都可以證明數(shù)據(jù)有效性的內(nèi)容。通常要進(jìn)行時間標(biāo)記的信息內(nèi)容包括:被調(diào)查機器的硬盤的映像文件、關(guān)機詢被保留下來的所有信息、在收集證據(jù)過程中得到的證據(jù)、在可疑機器上得到的調(diào)查結(jié)果、調(diào)查人員每天得到的副本等。掃描技術(shù)可分為主機掃描和網(wǎng)絡(luò)掃描。端口掃描技術(shù)和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的兩種核心技術(shù)，并且廣泛運用于當(dāng)前較成熟的網(wǎng)絡(luò)掃描器中，如Su