办案中如何对电子证据进行取证?
(一)、办案现场如有不需要专业技术人员协助进行的数据证据的收集和固定活动是简单取证。对不涉及计算机使用或维护人员的犯罪案件,可以采取简单取证程序收集和固定电子证据。取证时,首先由提供证据单位的计算机操作人员打开计算机,查找所需收集的证据。 当找到证据时,取证人员应当通过显示器观察和确认该文件的形成时间。然后由操作人员打开文件,由取证人员确认该文件系所要收集的证据后,采用相应的方式予以提取固定。在查找证据过程中,如遇文件找不到或打不开等问题,应及时通知电子证据专业技术人员予以协助。 常用的固定电子证据的方式,有打印和拷贝两种。通常情况下应当采用打印方式,或两种方式同时使用。只有在文件较多...全部
(一)、办案现场如有不需要专业技术人员协助进行的数据证据的收集和固定活动是简单取证。对不涉及计算机使用或维护人员的犯罪案件,可以采取简单取证程序收集和固定电子证据。取证时,首先由提供证据单位的计算机操作人员打开计算机,查找所需收集的证据。
当找到证据时,取证人员应当通过显示器观察和确认该文件的形成时间。然后由操作人员打开文件,由取证人员确认该文件系所要收集的证据后,采用相应的方式予以提取固定。在查找证据过程中,如遇文件找不到或打不开等问题,应及时通知电子证据专业技术人员予以协助。
常用的固定电子证据的方式,有打印和拷贝两种。通常情况下应当采用打印方式,或两种方式同时使用。只有在文件较多不方便现场打印的情况下,才可以单独使用拷贝方式。采用打印方式取证,是将计算机文件打印到纸张上。
打印文件时,取证人员必须现场监督打印过程,防止计算机操作人员在打印过程中修改文件。打印完毕后,可以按照书证的固定方法,予以固定,但应当注明数据信息在计算机中的位置(如存放于那个文件夹中等)。采用拷贝方式取证,是将计算机文件拷贝到软盘、光盘中。
取证人员应当自备计算机,拷贝后,将软盘或光盘插入自备计算机中进行检查。首先进行病毒检测,然后打开文件检查拷贝的质量。如通过检测发现病毒,则应当先消毒,后打开文件检查。
无论采取那种取证方式,在固定证据后,应当现场制作检查笔录。
检查笔录主要记载电子证据的收集和固定情况。包括:
①案由。
②参加检查的人员姓名及职务。
③检查的简要过程。主要包括检查时间、检查地点及检查顺序等。
④检查中出现的问题及解决方法。
⑤取证方式及取证份数。
⑥参与检查的人员签名。
⑦提供电子证据人员签名。
(二)、办案现场如有需要专业技术人员协助进行的电子证据的收集和固定活动就是复杂取证。对涉及计算机使用、维护人员的犯罪案件,就应当采取复杂取证程序收集和固定电子证据。
1、现场检查与现场访问,首先由计算机专家检查硬件设备,切断可能存在的其他输入、输出设备,保证计算机储存的信息在取证过程中不被修改或损毁。与此同时,侦查人员应当询问计算机使用或维护人员下列问题:
⑴有无为计算机设置密码及密码的组成。
⑵计算机的软件情况:
①已使用的软件有哪些;
②软件的来源,如软件是购买的还是自行设计的等;
③软件的维护情况,例如:由谁负责软件的维护、调整,对软件作过哪些修改等。
⑶计算机的使用情况:
①如何进行计算机的日常管理;
②谁能够打开并使用计算机;
③计算机是否出现过影响或可能影响文件质量的故障(如病毒感染等),故障是如何解决的。
⑷案件所涉及的资料存放于存储设备的什么位置,有无备份。对计算机使用者拒绝提供密码的情形,可考虑由计算机专家解密,但由于解密工作可能会对计算机储存的资料造成损害,因而在做出这一决定时,应当十分慎重。
检查计算机文件时,计算机专家应当注意对隐蔽文件的查找。有备份的,应由计算机专家同时检查备份文件,查明备份文件与原文件是否一致。
2、提取证据按照前述方法打印和拷贝计算机文件,固定电子证据。如发现在备份文件与原文件不一致时,应当同时提取备份文件。
3、电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。
4、制作检查笔录除前述检查笔录的内容外,对解密、数据测试等过程也应当作出详细的记录。
5、对复杂取证过程中可能会遇到的问题,在检查前应 当有所预测,并制定相应的处置方案。例如:
①考虑到计算机操作人员可能不提供密码,计算机专家应当携带解密工具;
②对可能需要进行数据测试的,司法会计专家应当携带事先制作的测试文件。
③必要时,可以指派视听技术人员对取证及软件测试过程进行录像。收起
