一、概述
电子物证是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。除了具有物证的客观性和可知性之外,电子物证还具有非直观性和多态性、电子物理和诉讼证据的双重属性。电子物证的提取与固定,首先对载有电子物证信息数据的物理实体进行扣押、封存,再采用专门的技术方法对物理实体中的电子信息数据进行提取和固定,形成电子物证。为了维系电子物证的客观真实性,在获取电子物证时,应采用取证专用的数据拷贝机和电子物证勘验取证技术,附加上时间戳的信息数据,一次性提取和固定介质载体中的全部电子物证信息。
二、特点
与传统证据相比较,电子物证有以下五个特点:
1、高科技性
电子物证的高科技性使取证变得便捷和高效,具体表现为收集电子物证快速,保存和固定电子物证便利(电子物证信息量虽大,却占用很小的物理空间并易于保存)。但要求取证技术人员具备与电子物证相关的技术专业知识与技能,并配备SDII服务器恢复系统等专业的电子物证勘验取证设备。
2、存储和提交
电子物证以文本、图形、图像、动画、音频、视频等多种信息形成、存储于计算机硬盘、软盘、光盘、磁带等设备及介质中的,其生成和还原却离不开相关的计算机等电子设备。电子物证的提交形式相应地表现为文书、计算机硬盘、光盘等介质,因而具有与书证、视听资料、物证等证据种类相同或相似的表现形式,并随着科技成果的不断增加,电子物证的提交形式将会更加多样化。
3、客观实在易变性
电子物证一经生成必然会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志(系统日志、安全日志等)或第三方软件形成的日志中,客观真实地记录了案件事实情况,但由于计算机数字信息存储、传输不连续和离散,容易被截取、监听、剪接、删除,同时还可能由于计算机系统、网络系统、物理系统的原因,造成其变化且难有痕迹可寻。因此在进行电子物证勘验提取时,必须配备专业的数据恢复设备以保证电子物证的绝对完整、准确。
4、存在的广域性
电子物证因行为人使用网络的种类不同或目的不同而存在于局域网或互联网中,而在遍布全球的互联网中的各地网络服务商提供的服务器就会留有电子物证。基于电子物证的这一特性,使人们对电子物证所在地的认识有了新突破,因而,取证活动将常常不局限于一地区、一国界,且由于各地区、各国分属不同的法域,对电子物证的法律规定自然存在差异,必然带来取证的障碍和冲突。
5、实时准确性
计算机及网络的使用,是一个实时产生电子物证的过程,除了使用者操作下形成的电子物证外,还存在计算机及网络针对使用者的操作活动自动记录的相关电子物证,特别是网络中电子物证都是实时形成的,并可以通过取证获得具体、详细而准确的时间记载以及变化情况。即使遭到人为篡改或系统故障等外在因素的破坏,仍可以使用SDII服务器恢复系统等专业电子物证勘验设备,通过数据恢复手段进行电子物证的恢复、固定和提取。电子物证的这一特性决定了他具有其它证据种类难以比肩的优越性。同时也使实时犯罪线索搜集与其它取证活动成为可能并富有成效。
三、表现形式
电子物证实质是电子的、电磁的、光学的、磁性的等相似性能的信息或数据信息,经输出设备显示为人们所能识别的文字、符号、图形、图像、动画、音频、视频等各种信息形式。体现于计算机及其网络的电子物证形式表现为:
1、存在系统内:(1)统日志文件;(2)备份介质;(3)入侵者残留物:如程序、脚本、进程、内存映像;(4)交换区文件;(5)临时文件;(6)硬盘未分配的空间(一些刚刚被删除的文件可以在这里找到);(7)系统缓冲区。
2、存在网络内:(1)防火墙日志;(2)IDS日志;(3)其它网络工具所产生的记录和日志等。
四、勘验提取
电子物证勘验提取通常会用下几种方法:
1、数据获取
一是对计算机系统数据和文件的安全拷贝技术。这种技术主要研究如何在全面获取数据的同时,避免对原始介质进行破坏和干扰。二是对被删除被破坏的电子物证进行数据恢复。主要包括对已删除文件的恢复、重建技术;对slack磁盘空间、未分配空间、缓存和自由空间的信息发掘技术;对交换文件、缓存文件、临时文件的复原技术;对阴影技术的重新获取技术等。
2、数据分析
一是日志分析技术。通过日志分析,可以了解系统受到了哪些攻击,以及哪些远程主机访问了该主机。这可以帮助侦查人员确定作案时间以及作案过程;二是根据已获得的文件或数据的词、语法和写作(编程)风格,推断出其可能的作者。这对于确定有害程序的原始作者极为重要。
3、数据破译
主要包括:数据解密技术、密码破译技术;对电子介质中被保护信息的强行访问技术等。
据统计,目前英国警察局、法国内务部、印度警察局、印度海军等全球电子物证勘验提取技术较发达的机构,都在使用SDII服务器恢复系统等一些大型的精密电子物证勘验设备,一方面可以节约高科技人员成本,另一方面大型精密设备的使用可以最大限度的避免可能造成的取证失误,最快速、高效、完整的提取电子物证。
4、设备介绍
电子物证快速取证分析系统Digital Forensics System是效率源专门为提取电子物证的一套现场勘查及实验室综合解决方案,集电子物证预检、证据固化与校验、数据提取、数据恢复、数据分析、电子司法报告为一体,具有符合司法取证流程、全中文触摸、加密硬盘提取、损坏介质提取、更多介质支持等特点。