1.3.1 實施步驟
國內對計算機取證與司法鑑定過程標準化的研究還沒有形成一個較完整的體系,目前的研究主要集中在取證與司法鑑定的實施方面.涉及電子證據的調查提取同樣應遵循傳統證據調查提取的原則,步驟,但由於電子證據自身的物理特性和技術特徵,又決定了計算機取證與司法鑑定同傳統取證與司法鑑定有所區別,如犯罪現場,收集分析證據材料,採用的技術工具,調查人員構成等方面都存在差異.計算機取證與司法鑑定的實施及其有區別於傳統證據調查的環節主要包括以下方面.
1.受理案件
受理案件是調查機關了解案件,發現證據的重要途徑,是調查活動的起點,是依法開展工作的前提和基礎.因此受理案件可以算是展開計算機取證與司法鑑定工作的準備階段.
調查機關在受理案件時,要詳細記錄案情,全面地了解潛在的與案件事實相關的電子證據材料,如涉案的計算機系統,印表機等電子設備的情況,尤其是IP位址,域名,網路運行狀況,設備的日常使用管理,受害方和犯罪嫌疑人的信息技術水平和虛擬現場.
2.保護涉案現場
任何一個案件的現場都是犯罪"痕跡"集中的地點,是蒐集證據的首要場所,對計算機等高科技犯罪案件也不例外.計算機網路將地理位置上分散的計算機連線在一起,利用網路環境實施攻擊,入侵計算機系統,網路欺詐,網路侵權等案件時,犯罪嫌疑人往往利用自己,別人或網咖里的計算機實施攻擊,入侵網路上的其他計算機,向網路上用戶散布欺詐信息等犯罪行為,證據材料通常遺留在網路中,因此涉及計算機網路的案件現場較之傳統案件現場更複雜,目前,在訴訟過程中起到關鍵作用的大部分證據,是受到破壞影響的計算機系統,網路環境中的數據資料,因而有學者把電子證據所處的虛擬現場分為單機現場和網路現場.還有專家把計算機犯罪案件的現場根據不同情況進行分類,例如按現場在計算機案件發展過程中所處的地位和作用分為主體現場和關聯現場,按計算機案件的形成過程分為預備犯罪現場,實施犯罪現場和掩蓋犯罪現場,按犯罪現場有無變動和性質分為原始現場,變動現場,偽造現場和偽裝現場等.因此以犯罪嫌疑人實施犯罪行為的場所為標準,將涉案的現場分為犯罪嫌疑人實施犯罪行為的"作案現場",網路環境中可能存有證據線索的"關聯現場"和造成犯罪後果的"發案現場".
計算機取證與司法鑑定時,首要之事是凍結作案現場和發案現場的計算機系統,保護目標計算機系統,及時地維持計算機網路環境的狀態,保護諸如錄音機,數位相機,計算機設備等作案工具中的線索痕跡,如鍵盤,印表機,相機上留下的作案人的指紋,網路連線等設備外觀的情況等,在操作過程中務必避免發生任何更改系統設定,硬體損壞,數據破壞或病毒感染的情況發生,以免破壞電子證據的客觀性或造成證據的丟失.目前的計算機犯罪基本上由內部人員實施,或者由外部人員通過網路實施,只要犯罪嫌疑人有所察覺,就會立即採取手段銷毀證據,因此涉案現場一旦確定,必須迅速加以保護,進行檢查.
3.收集電子證據
對於計算機犯罪,通常需要收集的證據資料主要來自涉案的計算機系統,網路管理者與ISP商(網路服務提供商).系統,網路管理者與ISP商的配合,顯然會是計算機犯罪調查成功的重要因素.在此期間,主要注意收集以下數據信息:計算機審核記錄,包括使用者賬號,IP位址,起止時間及使用時間等;客戶登錄資料,包括申請賬號時填寫的姓名,聯絡電話,地址等基本資料;犯罪事實資料,即證明該犯罪事實存在的數據資料,包括文本,螢幕界面,原始程式等,如侵權著作,淫穢畫面等.
研究分析本案是屬於何種犯罪類型,了解犯罪嫌疑人的職業身份,動機目的和犯罪手法等,例如計算機系統日誌檔案能產生審計痕跡,記錄下任何重要的網路活動,包括使用者進入計算機的時間,所取用的資料,檔案,程式,進行過哪些操作,何時離開系統以及哪些行為被拒絕等操作.依據這些"電子指紋",就可以找出究竟是何人所為,使用者是來自系統內部還是外部.
通常,犯罪分子在作案後可能會徹底刪除或者混淆證據以隱藏犯罪行為,而且計算機系統中的某些事件,如正在進行的檔案修改,已經發生的進程中斷,內部進程通信和記憶體的使用情況等,或許不會在被攻擊的系統中留下事後線索.因而需要實時取證,以獲取全面充分的證據,支持調查人員得出具有較強確定性的結論.目前越來越多的網路侵權,網路欺詐等網路犯罪需要這類實時,動態數據信息來證明案件事實,事後靜態的取證與司法鑑定方法不能獲取這類實時證據,因此要採用動態蒐集證據方法獲取系統,設備的實時狀態,以構成能夠客觀,完整地反映犯罪實施過程的證據鏈.在證據收集過程中,收集直接關係案件事實的數據信息自不待言,但是也不能忽視諸如數碼相片的數字信息證據,網路環境參數,各硬體之間的連線情況等細節信息的收集.
由於電子證據的刪改性,根據無損取證與司法鑑定原則,應由調查人員或是聘請的取證與司法鑑定專家對原始存儲介質進行備份,以保證電子證據的客觀真實性.同時備份過程應當由嫌疑人,被害人或在場人共同確認,以免日後對證據的可采性滋生爭議.
目前有些受害方攜帶計算機主機,硬碟,計算機主機等可疑證物到調查機關報案,受害方為保護自己的隱私,商業秘密等信息,對電子郵件,硬碟內容等進行了刪改操作,致使電子證據材料的客觀性遭到破壞,無法保證其可采性,通常會受到嫌疑人或檢察機關,法院的質疑,不能被作為訴訟證據使用.又如一起在智慧財產權界引起爭議的案件中,專門研究智慧財產權法的專家學者在狀告某公司在網際網路上不經同意連載他們的作品,侵犯其著作權之時,卻也被某公司指稱其代理人在向調查機關提供侵權的電子證據時,未經授權,擅自使用了該公司的"某閱讀軟體"被反訴非法使用軟體.
4.固定與保管電子證據
由於電子證據的刪改性,為保護證據的完整性,客觀性,必須對電子證據進行固定和保管,考慮到有些案例可能要花上兩三年時間來解決,因此首先套用適當的儲存介質(如mass storage,DVD或CD-ROM)進行原始的鏡像備份.電子證據內容實質是電磁信號,極為脆弱,如經消磁即無法回復,因此搬運,保管電子證據時不應靠近磁性物品防止被磁化,提取的磁性存儲介質,必須妥善地保存在紙袋或紙盒內,置於防碰撞的位置,不可只以紙袋或塑膠袋封存;對於計算機和磁性存儲介質,不可放置在安有無線電接收設備的汽車內,不能放置於溫度過高或過低的環境中;另外存儲介質如磁帶或磁碟發霉或潮濕,即難以讀取其存儲的記錄內容,因而應將電子證據放置在防潮,乾燥的地方;對獲取的電子證據採用安全措施進行保護,非相關人員不準操作存放電子證據的設備;不可輕易刪除或修改與證據無關的檔案,以免引起有價值的證據檔案的永久丟失.
5.分析電子證據
分析前必須先將證據資料備份以完整保存證據,尤其是應該將硬碟,隨身碟,快閃記憶體,PDA記憶體,數位相機的存儲卡等存儲介質進行鏡像備份,即"克隆",必要時還可以重新製作備份證據材料,分析電子證據時應該對備份資料進行非破壞性分析,即通過一定的數據恢複方法將嫌疑人刪除,修改,隱藏的證據進行儘可能的恢復,在恢復出來的檔案資料中分析查找線索或證據.
6.歸檔電子證據
應整理取證與司法鑑定的結果並進行分類歸檔保存,以供法庭作為訴訟證據,主要包括對涉案電子設備的檢查結果;涉及計算機犯罪的日期和時間,硬碟的分區情況,作業系統和版本;使用取證與司法鑑定技術時,數據信息和作業系統的完整性,計算機病毒評估情況,檔案種類,軟體許可證以及對電子證據的分析結果和評估報告等所有相關信息.尤其值得注意的是,在計算機取證與司法鑑定的過程中,為保證證據的可信度,必須對取證與司法鑑定各個步驟的情況進行記錄,歸檔,包括蒐集證據的時間,地點,人員,方法以及理由等,以使證據經得起法庭的質詢.