固定證據的意義
固定證據是刑事訴訟過程中的核心步驟。刑事訴訟活動的全部過程,就是收集、審查、判斷證據並運用證據證明案件事實,在此基礎上適用法律的過程。離開證據就無法查明案件事實,談不上用刑罰懲罰犯罪,也就無刑事訴訟可言。罪行法定原則的確立,使證據在訴訟中的地位顯得更為明顯。現階段,刑事訴訟活動對證據的要求越來越嚴格,偵查人員必須將以固定證據為核心的偵查觀念貫穿於整個偵查過程,並且使所收集、固定的證據客觀、真實、全面,經得起庭審的質證。
固定證據的基本要求
證據收集與固定須符合法定程式
《刑事訴訟法》第43條規定∶"審判人員、檢察人員、偵查人員必須依照法定程式,收集能夠證實犯罪嫌疑人、被告人有罪或者無罪、犯罪情節輕重的各種證據。嚴禁刑訊逼供和以威脅、引誘、欺騙以及其他非法的方法收集證據。必須保證一切與案件有關或者了解案情的公民,有客觀地充分地提供證據的條件,除特殊情況外,並且可以吸收他們協助調查。”與此同時,刑事訴訟法還具體規定了訊問犯罪嫌疑人、被告人和詢問證人以及勘驗、檢查、搜查、扣押物證、書證、偵查實驗等偵查取證行為的程式。要求在調查取證過程中就必須嚴格按照法律規定程式收集、固定證據。據此,只有來源合法的證據才會被法律所認可。要使證據來源合法,在收集、固定證據時必須嚴格的按照程式規定的方式、步驟進行,不能圖省事而減少環節,造成證據來源不合法,導致千辛萬苦收集到的證據喪失證明力。
證據的完整性與統一性
證據的完整統一是要求證據的指向具有一致性,在對同一犯罪事實認定上相統一,不能出現認定不一致現象。偵查人員在偵查過程中不能只關注證據的種類,還應十分注意把握所收集的證據具有合法性、準確性和法律證明力。注意各類證據之間相互印證補充使之形成統一。這就要求偵查人員在偵查活動中注意做到認真細緻,克服粗放式的取證方式,避免因忽視證據收集的細節造成證據的不完整或存在漏洞,使證據的證明力減弱,給訴訟工作帶來困難。
證據收集與固定的時間性
時間對於證明犯罪來說起著十分重要的作用。據收集的時間性主要是兩方面:一是由於任何犯罪都是發生在一定的時間段內,所以收集、固定的證據中確認的時間必須與犯罪實施時間相吻合。如果所收集的證據中確認的時間沒有在案件發生的時間段內,證據就失去證明力。所以,在證據的收集、固定過程中應十分注意對時間的鎖定。二是對貪污、受賄罪行的偵查活動是偵查人員與犯罪嫌疑人鬥智鬥勇的過程,有的證據可能會隨時間的延長而消失,抓住了時間就掌握了主動權,所以對證據收集、固定一定要及時。
證據調取手續的完備性
在證據調取過程中手續一定要完備,必須在完整提取證據的同時,對一些可能會對所提取的證據產生影響的加以規定。如:證據的形成時間、過程;證據的出處;證據的持有人或保管人及持有、保管的過程;證據的提供(提取)方式;證據的提供人;證據的提取時間;證據的提取人要合法、手續要完備,程式要合法等等。只有這樣才能使所提取的證據真實反映事物的真實本質,才能讓人信服。
固定證據的方法
固定證據的方法多種多樣,通過相機記錄現場信息,使用電子取證設備保存電子信息,對嫌疑人進行審問並保存筆錄,都是固定證據的方法,只要能夠完整的保存信息即可。
電子證據固定應急解決辦法
唯讀鎖+WinHex軟體固定法
WinHex是一款以通用的16進制編輯器為核心,專門用在計算機取證、數據恢復、低級數據處理以及各種日常緊急情況下的高級磁碟編輯工具,其檔案小,一般只有1M多,速度快,功能異常強有了唯讀鎖加上WinHex,就可以開始進行證據固定了。WinHex的 “創建磁碟鏡像”功能可以將磁碟製作成.dd、.001、.e01以及.whx等擴展名的鏡像,並且同時可以計算鏡像的MD5值。由WinHex生成的鏡像檔案,不僅可以被專業取證軟體所支持,進行下一步的鑑定工作,同時,也可以把鏡像檔案還原到新的硬碟上,新生成的硬碟、鏡像檔案以及原始介質,均可以通過MD5算法進行的一致性驗證。
USB接口防寫法
按照規範的工作流程,如果沒有隻讀鎖,是絕對禁止對電子介質進行進一步操作的,哪怕是接到電腦上看一下。但是有些緊急情況是不允許人員花費太多時間去尋找唯讀設備。在這種情況下,我們可以利用作業系統進行技術處理,人為的製作出一個軟體唯讀鎖來使用。眾所周知,隨身碟之所以能夠如此快速的替代軟碟、ZIP盤等其他存儲設備,除了它個頭小、存儲容量大、攜帶方便等因素外,更主要的原因是USB接口已經成為每台電腦的必備接口之一。包括前面我們介紹的唯讀鎖等專用設備,基本上都是通過USB接口連線到分析電腦裡面。然而,在沒有隻讀鎖的情況下,通過硬碟接口轉USB接口設備,雖然可以讓我們正確識別原始介質硬碟,但是也會造成證據破壞等問題。既然都要通過USB接口,如果把USB接口變成唯讀狀態,就可以不通過唯讀鎖直接把介質接進電腦裡面。下面介紹一個方法將USB接口設定成唯讀,這樣不管接入的設備是唯讀還是非唯讀,系統均不會往介質裡面寫入數據。
操作方法如下:打開註冊表編輯器:開始→運行→輸入Regedit.exe,確定後打開如下位置:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr,在Control項目上面單機滑鼠右鍵,選擇新建→項,輸入名稱StorageDevicePolicies,然後打開項StorageDevicePolicies在右邊的面板上空白處單擊右鍵,新建Dword值,新建名為:WriteProtect,數值為1即可啟動USB防寫。這樣,當調查人員或者系統要向USB存儲設備寫入數據的時候,就會出現防寫警告,不能寫入數據。USB軟體防寫開啟以後,就可以根據前面介紹的方法,用EnCase或者WinHex進行下一步的工作了。這個方法對於任何可以轉換成USB接口的介質,如硬碟、存儲卡、移動硬碟、SIM卡等等,均是有效的。需要提醒的是,這個方法必須在WindowsXPSP2下面或者Windows Server2003 SP1下面運行才有效。建議調查人員在使用該方法之前,先用隨身碟等其他介質進行一下測試後再正式接入原始介質。如果有的機器是專門用於檢測用的,那么也可以把這個修改做成註冊表檔案,每次需要將USB防寫的時候雙擊運行即可,非常方便使用。
光碟啟動法
我們知道,Windows作業系統為了提高系統的運行效率,在磁碟正確識別到以後,立即對磁碟進行系統檔案的寫入,雖然這個提高了系統的運行速度和效率,但是對於我們鑑定工作來說並不是件好事,因為這會導致磁碟內數據受到破壞,造成證據失效,也正是這個原因,才禁止將原始介質直接接入系統內。在有些時候,當我們既沒有隻讀鎖、也沒有硬碟轉USB接口設備的時候,比如碰到1.8英寸的硬碟,這時候,我們就必須要依託系統本身的硬體系統,結合其他軟體進行固定工作。一般我們推薦用LiveCD的方法來進行,LiveCD就是一種利用光碟內的系統鏡像把電腦啟動起來的技術,由於其使用的是RAMDisk技術,不會涉及到電腦裡面的硬碟信息,因此,使用這種光碟,可以很輕鬆的把機器啟動起來。我們這裡指的並不是WinPE系統,因為它也是基於Windows架構的系統,仍然會改變硬碟裡面的數據。我們指的是類似於Helix之類的基於Linux的LiveCD系統。
Helix是一個非常容易使用、快速、強大的LiveCD系統,可以用於動態取證、事件回響以及電子調查等,用該光碟系統啟動電腦,對原始介質內的數據完。
部分固定法
還有一種就是在手中沒有任何設備、沒有任何軟體工具的情況下,只能對特定的對象進行固定。當然這個是比較迫不得已的,因為固定特定的對象,意味著你已經非常明確鑑定的對象、鑑定的內容,只需要固定一些數據就足夠完成鑑定工作了。一般的做法是,在有第三方人員或者送檢人員在場的情況下,把需要的特定檔案全部複製出來到其他設備,然後把所有檔案壓縮打包,並用WimMD5或者WinHex計算檔案壓縮檔的MD5值,把壓縮檔和MD5值記錄下來並由第三方人員或者送檢人員簽字確認就可以了。因為MD5值是對特定檔案唯一性識別的方法,只要檔案的內容確定後,其MD5值是不會發生變化的,在後期的鑑定工作中,只要MD5值沒有變化,就可以說明我們鑑定的是同一個檔案。從程式上說,此時鑑定的對象就只是壓縮檔案,而不存在送檢介質的說法。
複雜證據的提取和固定
複雜取證,指需要專業技術人員協助進行的電子證據的收集和固定活動。多使用於電子證據不能順利獲取,被加密或是被人為地刪改、破壞的情況下,計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括:
①解密
所需要的證據已經被行為人設定了密碼,在檔案中時,就需要對密碼進行解譯。在找到相應的密碼檔案後,請專業人員選用相應的解除密碼口令軟體。如:Word軟體製作的密碼檔案,選用Word軟體解譯解密後,件有價值的檔案,可進行一般取證。在解密的過程中如必要的話,可採取錄像的方式。同時應當將被解密檔案備份,以止因解密中的操作使檔案丟失或因病毒損壞。如在辦理一起某國際投資公司的職務罪案件中,偵察員在搜查辦公室時發現其使用辦公桌的抽屜和檔案櫥內有11張微機軟碟,懷疑盤記憶體有其犯罪的重要證據,取回後立即送技術科進行檢驗,我技術人員按要求進行了詳細檢驗並查清了這些盤中用Word軟體所製作的檔案已加入了密碼,即針對所用軟體採用了Ad-vanced Word 97 Password Recovery1.23軟體成功地破譯了其中的密碼,從而解出了108份檔案,掌握了其犯罪的重要書證,擴大了辦案線索,使得案件深入發展。
②恢復
大多數計算機系統都有自動生成備份數據和恢複數據、剩餘數據的功能,有些重要的資料庫安全系統還會為資料庫準備專門的備份。這些系統一般是由專門的設備、專門的操作管理組成,一般情況下較難篡改。因此當發生網路犯罪時,其中有關證據已經被修改、破壞的,可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復並獲取定案所需證據。如1997年7月底,重慶市某農業大學學生處計算機辦公網遭到破壞,直接影響到8月份即將開始的招生工作。偵查人員在接到報案後及時進行了現場保護,從網路的5號無盤站上獲取了一個破壞程式正對系統進行的破壞過程。這一破壞程式的運行痕跡是由於犯罪人疏忽沒能把自身刪掉而遺留的, 偵查人員通過這個線索找到了源程式,最終破獲了全案。如果數據連同備份都被改變或刪除,可以在系統所有者的協助下通過計算機系統組織數據的鏈指針進入小塊磁碟空間,從中發現數據備份或修改後的剩餘數據進行比較分析,然後恢復部分或全部的數據。另外,也可以使用一些專門的恢復性軟體,如Recover 98、Recover NTEXPD等。
③測試
電子證據內容涉及電算化資料時應當由司法會計專家對提取的資料進行現場驗證。驗證中如發現可能與軟體設計或軟體使用有關的問題時,應當由司法會計專家現場對電算化軟體進行數據測試(偵查實驗)。主要過程為使用事先製作的測試檔案,經測試確認軟體有問題時,則由計算機專家對軟體進行檢查或提取固定。
