三分钟带你快速看懂电子数据取证！ | 打击网络犯罪必备知识

发布时间:2017年9月19 14:17

　　经过WannaCry勒索病毒事件，网络犯罪已经史无前例地成为了大众焦点，如何惩治这些在网络中的违法之人是大家都关心的问题。本文旨在揭开电子数据取证的神秘面纱，用最简单的语言和方式让大家了解网络犯罪在法律面前是如何“伏法”的，若有描述不当之处，还请各位取证专家不吝指教。

　　为打击网络犯罪而生的电子数据取证，是计算机学科与法学学科交叉的一门学科，而这门学科还可能涉及到逻辑学、密码学、数据学等等，确实是个难度较大、对取证人员的素质要求较高的行业。(但谁说咱们就不行呢?)

　　一、 什么是取证?

　　常规取证：有调查取证权的组织或个人为了查明案件事实的需要，向有关单位或个人依法进行调查和收集证据。

　　要理解取证，我们首先要知道一个概念：

　　物质交换原理

　　又称为“洛卡德物质交换原理”，这个原理指出：犯罪的过程实际上是一个物质交换的过程，作案人作为一个物质实体在实施犯罪的过程中总是跟各种各样的物质实体发生接触和互换关系;因此，犯罪案件中物质交换是广泛存在的，是犯罪行为的共生体，这是不以人的意志为转移的规律。

　　简单来说，就是两个对象接触就一定会交换物质并在对方处留下痕迹。

　　形象地说，如果你打我一巴掌，我的脸上会留下你的手印、汗渍、划痕等，而你的手上也会有我的皮肤组织、汗渍等，这样一来通过证据的吻合度是可以判断出究竟是谁打了我(真不明白为什么要举这么个例子……)

　　电子数据同样遵循这个原理，网络罪犯也会留下“手印”，但这个痕迹只有专业的取证人员才能看得到。物质交换原理是电子数据取证的理论基础，而取证就是寻找各种犯罪交换后留下的痕迹作为证据的活动。

　　二、电子数据就是电子证据吗?

　　是的!

　　1991年，在美国召开的第一届国际计算机调查专家会议上首次提出“计算机证据(Computer Evidence)”的概念，随之有更多的名称如“电子证据”、“数字证据”、“电子物证”等让人迷茫不已。后来我国的诉讼法将“电子数据”列为证据类型，由此统一了名称。也就是说，在取证行业里所说的电子数据，就是指的电子证据。

　　小编查阅了不少中外资料，发现对于电子数据的定义并没有一个完全一致的说法。

　　例

　　美国国家司法机关(NIJ)的定义：“Digital evidence is information stored or transmitted in binary form that may be relied on in court.”

　　《人民检察院电子证据鉴定程序规则》：“电子证据是指由电子信息技术应用而出现的各种能够证明案件真实情况的材料及其衍生物”。

　　等等等等。但大体上没有太多差别，因此小编结合了刘浩阳主编的《电子数据取证》一书，将定义内容归纳如下，方便大家理解：

　　“电子数据”定义

　　1. 数字形式的数据(信息)

　　2. 能够证明案件的的真实情况

　　好，那么电子数据究竟在哪里获得?

　　这就到了大家熟悉的部分了——电子数据的载体。说白了，就是你现在拿着的手机!当然还不止于此，所有能够储存电子数据的设备都能算，电脑、平板、数码相机、路由器、GPS、复印机、打印机……(省略一千字)

　　三、电子数据取证是个什么过程?

　　明白了取证和电子数据的概念，接下来我们聊聊两者的结合。

　　前面提到了，关于电子数据的定义难以统一，那么说到电子数据取证的流程就更是众说纷纭。在这里，小编给大家一个简单粗暴的理解范本，学术定义还请参考各权威机构的文献。

　　就不举例各家的定义了，根据小编自己的理解，电子数据取证的过程可以用一句话概括：

　　把数字形式的证据转化为报告形式的过程。

　　但是，这个转化形式的过程却涉及法律标准、技术手段、工具使用等等多领域复杂的内容，那可不是几句话能说得清楚的。本文重点是整体了解电子数据取证，至于细节我们以后慢慢深究。

　　下图是电子数据取证过程步骤：

　　▍证据收集

　　证据收集这个步骤也是争议的一个焦点：究竟要不要算在取证过程中?因为现场收集证据一般被看作是警察的职责。

　　小编之所以把它归进来，一是想告诉大家完整的流程，二是认为证据收集的过程会影响后面的取证结果，因此应该被纳为取证的环节之一。

　　首先我们要知道电子数据的脆弱性，它很容易被破坏：病毒、删除、覆盖等都会导致电子数据改变和丢失。因此在现场收集证据的时候，常规收集物证的警察可能会在不知情的情况下改变了关键的证据(比如切断电源)或者遗漏了重要的证据，甚至是保存电子证据不当。

　　鉴于电子证据的特殊性，现场必须要专业的取证人员给予指导和协助，才能最大程度上地保存所有的证据，因此这也应该是取证人员要参与的环节——始于取证对象的锁定和收集。

　　▍数据获取

　　在收集完了所有证据后，接下来就得把无形的电子证据从有形的设备中获取出来。说起来是给数据换个地方存储，但实施起来却是个不简单的过程。

　　我们要考虑到这两点：

　　1. 转储过程是否会改变原始设备上的原始数据?(证据一旦被改变了就没有法律效应了)

　　2. 怎么证明你在转储过程中没有改变任何数据?

　　这就涉及到“镜像”和“写保护”的概念了，这两个概念就是专门解决以上两个问题的，后期我们还会分别介绍这两个概念的原理以及需要使用的工具。

　　▍数据分析

　　获取到数据后，分析是找到罪证的关键。要从各种信息数据中找到嫌疑人与犯罪事实之间的联系，其中涉及到的专业技术和取证工具就更多了，不同案件要用到的分析方法也不同，这需要调动取证人员综合能力，靠的是经验积累。

　　数据分析中的技术点每一个都能作为一个单独的课题来研究很久，这是取证的重中之重，敬请期待我们高阶的各项专题干货吧。

　　▍报告撰写

　　将整个取证过程以日志的形式详细记录下来，尤其是能证明犯罪事实的关键证据。

　　四、电子数据取证的目标

　　电子数据取证的终极目标是：为法庭审判提供合法的证据。

　　为实现这个终极目标，取证人员可能会设置一些小目标，如：恢复数据、破解密码等等。但是这些小目标只是取证的技术手段之一，找到犯罪证据才是核心。因此，取证人员不会单单囿于一个技术点的突破上，而是会从逻辑出发，分析寻找证据。只要能够合法地找到完整的证据链，可以为法庭提供有说服力的报告，这个过程就算圆满完成。

　　总之，如今的生活，电子数据几乎参与到了方方面面直至每个细节，你想得到或想不到的地方都存在关于你的电子数据，这些电子数据能客观记录许多你不曾留意的信息，所以才能够给嫌疑人一锤定音，成为定罪的关键依据。

　　版权说明：如非注明，本站文章均为天宇宁达原创，转载请注明出处和附带本文链接。也可以在我们的公众号查看最新文章(扫一扫二维码关注我们订阅号)：

数据安全与取证公众号     

数据安全与取证(ID：Cflab_net)