電子物證

與傳統(tǒng)證據(jù)相比較，電子物證有以下五個(gè)特點(diǎn)：

電子物證高科技性

電子物證的高科技性使取證變得便捷和高效，具體表現(xiàn)為收集電子物證快速，保存和固定電子物證便利（電子物證信息量雖大，卻占用很小的物理空間并易于保存）。但要求取證技術(shù)人員具備與電子物證相關(guān)的技術(shù)專業(yè)知識(shí)與技能，并配備SDII服務(wù)器恢復(fù)系統(tǒng)等專業(yè)的電子物證勘驗(yàn)取證設(shè)備。

電子物證存儲(chǔ)和提交形式多樣性

電子物證以文本、圖形、圖像、動(dòng)畫、音頻、視頻等多種信息形成、存儲(chǔ)于計(jì)算機(jī)硬盤、軟盤、光盤、磁帶等設(shè)備及介質(zhì)中的，其生成和還原卻離不開相關(guān)的計(jì)算機(jī)等電子設(shè)備。電子物證的提交形式相應(yīng)地表現(xiàn)為文書、計(jì)算機(jī)硬盤、光盤等介質(zhì)，因而具有與書證、視聽資料、物證等證據(jù)種類相同或相似的表現(xiàn)形式，并隨著科技成果的不斷增加，電子物證的提交形式將會(huì)更加多樣化。

電子物證客觀實(shí)在易變性

電子物證一經(jīng)生成必然會(huì)在計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中留下相關(guān)的痕跡或記錄并被保存于系統(tǒng)自帶日志（系統(tǒng)日志、安全日志等）或第三方軟件形成的日志中，客觀真實(shí)地記錄了案件事實(shí)情況，但由于計(jì)算機(jī)數(shù)字信息存儲(chǔ)、傳輸不連續(xù)和離散，容易被截取、監(jiān)聽、剪接、刪除，同時(shí)還可能由于計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、物理系統(tǒng)的原因，造成其變化且難有痕跡可尋。因此在進(jìn)行電子物證勘驗(yàn)提取時(shí)，必須配備專業(yè)的數(shù)據(jù)恢復(fù)設(shè)備以保證電子物證的絕對(duì)完整、準(zhǔn)確。

電子物證存在的廣域性

電子物證因行為人使用網(wǎng)絡(luò)的種類不同或目的不同而存在于局域網(wǎng)或互聯(lián)網(wǎng)中，而在遍布全球的互聯(lián)網(wǎng)中的各地網(wǎng)絡(luò)服務(wù)商提供的服務(wù)器就會(huì)留有電子物證?；陔娮游镒C的這一特性，使人們對(duì)電子物證所在地的認(rèn)識(shí)有了新突破，因而，取證活動(dòng)將常常不局限于一地區(qū)、一國(guó)界，且由于各地區(qū)、各國(guó)分屬不同的法域，對(duì)電子物證的法律規(guī)定自然存在差異，必然帶來取證的障礙和沖突。

電子物證實(shí)時(shí)準(zhǔn)確性

計(jì)算機(jī)及網(wǎng)絡(luò)的使用，是一個(gè)實(shí)時(shí)產(chǎn)生電子物證的過程，除了使用者操作下形成的電子物證外，還存在計(jì)算機(jī)及網(wǎng)絡(luò)針對(duì)使用者的操作活動(dòng)自動(dòng)記錄的相關(guān)電子物證，特別是網(wǎng)絡(luò)中電子物證都是實(shí)時(shí)形成的，并可以通過取證獲得具體、詳細(xì)而準(zhǔn)確的時(shí)間記載以及變化情況。即使遭到人為篡改或系統(tǒng)故障等外在因素的破壞，仍可以使用SDII服務(wù)器恢復(fù)系統(tǒng)等專業(yè)電子物證勘驗(yàn)設(shè)備，通過數(shù)據(jù)恢復(fù)手段進(jìn)行電子物證的恢復(fù)、固定和提取。電子物證的這一特性決定了他具有其它證據(jù)種類難以比肩的優(yōu)越性。同時(shí)也使實(shí)時(shí)犯罪線索搜集與其它取證活動(dòng)成為可能并富有成效。

電子物證勘驗(yàn)提取通常會(huì)用下幾種方法：

電子物證數(shù)據(jù)獲取

一是對(duì)計(jì)算機(jī)系統(tǒng)數(shù)據(jù)和文件的安全拷貝技術(shù)。這種技術(shù)主要研究如何在全面獲取數(shù)據(jù)的同時(shí)，避免對(duì)原始介質(zhì)進(jìn)行破壞和干擾。二是對(duì)被刪除被破壞的電子物證進(jìn)行數(shù)據(jù)恢復(fù)。主要包括對(duì)已刪除文件的恢復(fù)、重建技術(shù)；對(duì)slack磁盤空間、未分配空間、緩存和自由空間的信息發(fā)掘技術(shù)；對(duì)交換文件、緩存文件、臨時(shí)文件的復(fù)原技術(shù)；對(duì)陰影技術(shù)的重新獲取技術(shù)等。

電子物證數(shù)據(jù)分析

一是日志分析技術(shù)。通過日志分析，可以了解系統(tǒng)受到了哪些攻擊，以及哪些遠(yuǎn)程主機(jī)訪問了該主機(jī)。這可以幫助偵查人員確定作案時(shí)間以及作案過程；二是根據(jù)已獲得的文件或數(shù)據(jù)的詞、語法和寫作（編程）風(fēng)格，推斷出其可能的作者。這對(duì)于確定有害程序的原始作者極為重要。

電子物證數(shù)據(jù)破譯

主要包括：數(shù)據(jù)解密技術(shù)、密碼破譯技術(shù)；對(duì)電子介質(zhì)中被保護(hù)信息的強(qiáng)行訪問技術(shù)等。

據(jù)統(tǒng)計(jì)，目前英國(guó)警察局、法國(guó)內(nèi)務(wù)部、印度警察局、印度海軍等全球電子物證勘驗(yàn)提取技術(shù)較發(fā)達(dá)的機(jī)構(gòu)，都在使用SDII服務(wù)器恢復(fù)系統(tǒng)等一些大型的精密電子物證勘驗(yàn)設(shè)備，一方面可以節(jié)約高科技人員成本，另一方面大型精密設(shè)備的使用可以最大限度的避免可能造成的取證失誤，最快速、高效、完整的提取電子物證。

電子物證電子物證勘驗(yàn)設(shè)備介紹

電子物證快速取證分析系統(tǒng)Digital Forensics System是效率源專門為提取電子物證的一套現(xiàn)場(chǎng)勘查及實(shí)驗(yàn)室綜合解決方案，集電子物證預(yù)檢、證據(jù)固化與校驗(yàn)、數(shù)據(jù)提取、數(shù)據(jù)恢復(fù)、數(shù)據(jù)分析、電子司法報(bào)告為一體，具有符合司法取證流程、全中文觸摸、加密硬盤提取、損壞介質(zhì)提取、更多介質(zhì)支持等特點(diǎn)，包含“現(xiàn)場(chǎng)勘察”、“移動(dòng)偵查”、“手機(jī)檢驗(yàn)”“檢驗(yàn)鑒定”等多個(gè)系列完整的設(shè)備供應(yīng)和實(shí)驗(yàn)室整體綜合解決方案，對(duì)于臺(tái)式機(jī)、筆記本、服務(wù)器、相機(jī)、攝像機(jī)、智能手機(jī)、U盤、錄音筆、記憶棒、工控機(jī)、醫(yī)療設(shè)備等多功能產(chǎn)品都能進(jìn)行快速取證，支持的存儲(chǔ)介質(zhì)類型包括機(jī)械硬盤、固態(tài)硬盤、筆記本硬盤、移動(dòng)硬盤、U盤、SD卡、CF卡等，用戶遍及公安、檢察、司法、院校、實(shí)驗(yàn)室等多個(gè)系統(tǒng)及行業(yè)。

SDII服務(wù)器恢復(fù)系統(tǒng)是全球最大的存儲(chǔ)載體數(shù)據(jù)恢復(fù)研發(fā)機(jī)構(gòu)---美國(guó)SecuData公司，于2010年度研發(fā)的一款世界級(jí)的專業(yè)服務(wù)器數(shù)據(jù)恢復(fù)、視頻數(shù)據(jù)恢復(fù)系統(tǒng)，也是全球唯一同時(shí)支持服務(wù)器SAS/SCSI存儲(chǔ)載體的電子物證勘驗(yàn)恢復(fù)系統(tǒng)。

獨(dú)有的電子物證勘驗(yàn)恢復(fù)系統(tǒng)

SDII服務(wù)器SAS/SCSI電子物證勘驗(yàn)恢復(fù)系統(tǒng)是在服務(wù)器數(shù)據(jù)恢復(fù)系統(tǒng)的平臺(tái)上加入公安司法行業(yè)所需要的電子證據(jù)獲取、固定、分析功能，特別是針對(duì)中國(guó)警方目前廣泛使用的“天網(wǎng)監(jiān)控”恢復(fù)取證，“用友財(cái)務(wù)”“金碟財(cái)務(wù)”系統(tǒng)恢復(fù)取證進(jìn)行了特別優(yōu)化，達(dá)到最佳支持率，同時(shí)可無縫兼容ENCASE/FTK/XWAYS等所有司法取證分析軟件；

⊙特別支持公安執(zhí)法部門SAS/SCSI存儲(chǔ)介質(zhì)/天網(wǎng)視頻監(jiān)控/電子物證獲取恢復(fù)利器

⊙服務(wù)公安部門打擊經(jīng)濟(jì)犯罪、刑事犯罪、黑惡勢(shì)力犯罪、網(wǎng)絡(luò)犯罪；構(gòu)建平安社會(huì)

⊙采用工業(yè)級(jí)硬盤倉(cāng)設(shè)計(jì)，目標(biāo)物證存儲(chǔ)無需連接線

⊙windows友好界面，一體工控鍵盤設(shè)計(jì)，操作簡(jiǎn)單2100433B

電子物證是指以存儲(chǔ)于介質(zhì)載體中的電磁記錄或光電記錄對(duì)案件事實(shí)起證明作用的電子信息數(shù)據(jù)及其附屬物。除了具有物證的客觀性和可知性之外，電子物證還具有非直觀性和多態(tài)性、電子物理和訴訟證據(jù)的雙重屬性。電子物證的提取與固定，首先對(duì)載有電子物證信息數(shù)據(jù)的物理實(shí)體進(jìn)行扣押、封存，再采用專門的技術(shù)方法對(duì)物理實(shí)體中的電子信息數(shù)據(jù)進(jìn)行提取和固定，形成電子物證。為了維系電子物證的客觀真實(shí)性，在獲取電子物證時(shí)，應(yīng)采用取證專用的數(shù)據(jù)拷貝機(jī)和電子物證勘驗(yàn)取證技術(shù)，附加上時(shí)間戳信息數(shù)據(jù)，一次性提取和固定介質(zhì)載體中的全部電子物證信息。

電子物證實(shí)質(zhì)是電子的、電磁的、光學(xué)的、磁性的等相似性能的信息或數(shù)據(jù)信息，經(jīng)輸出設(shè)備顯示為人們所能識(shí)別的文字、符號(hào)、圖形、圖像、動(dòng)畫、音頻、視頻等各種信息形式。體現(xiàn)于計(jì)算機(jī)及其網(wǎng)絡(luò)的電子物證形式表現(xiàn)為：

電子物證存在于計(jì)算機(jī)系統(tǒng)內(nèi)的：

①統(tǒng)日志文件

②備份介質(zhì)；

③入侵者殘留物：如程序、腳本、進(jìn)程、內(nèi)存映像；

④交換區(qū)文件；

⑤臨時(shí)文件；

⑥硬盤未分配的空間（一些剛剛被刪除的文件可以在這里找到）；

⑦系統(tǒng)緩沖區(qū)。

電子物證存在于網(wǎng)絡(luò)內(nèi)的：

①防火墻日志；

②IDS日志；

③其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。

上述證據(jù)形式是從技術(shù)角度簡(jiǎn)單歸納的取證對(duì)象，從法律和技術(shù)雙重的角度將取證對(duì)象可分為，數(shù)據(jù)電文證據(jù)、附屬信息證據(jù)和系統(tǒng)環(huán)境證據(jù)（具體含義和分類意義詳見前文學(xué)理分類），刑事電子物證的取證活動(dòng)應(yīng)針對(duì)每一案件事實(shí)，分別明確取證的數(shù)據(jù)電文證據(jù)，附屬信息證據(jù)和系統(tǒng)環(huán)境證據(jù)的內(nèi)容和范圍，前述三個(gè)相關(guān)聯(lián)的證據(jù)構(gòu)成了一份完整的證明體系，確保電子物證具有真實(shí)性和可靠性。

吉林省公安廳物證鑒定中心。

山東省公安廳物證鑒定研究中心。