电子物证,是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。
电子物证的定义
电子物证是指以
存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。除了具有物证的客观性和可知性之外,电子物证还具有非直观性和多态性、电子物理和诉讼证据的双重属性。电子物证的提取与固定,首先对载有电子物证信息数据的物理实体进行扣押、封存,再采用专门的技术方法对物理实体中的电子信息数据进行提取和固定,形成电子物证。为了维系电子物证的客观真实性,在获取电子物证时,应采用取证专用的数据拷贝机和电子物证勘验取证技术,附加上时间戳信息数据,一次性提取和固定介质载体中的全部电子物证信息。
电子物证的特点
与传统证据相比较,电子物证有以下五个特点:
高科技性
电子物证的高科技性使取证变得便捷和高效,具体表现为收集电子物证快速,保存和固定电子物证便利(电子物证信息量虽大,却占用很小的物理空间并易于保存)。但要求取证技术人员具备与电子物证相关的技术专业知识与技能,并配备
SDII服务器恢复系统等专业的电子物证勘验取证设备。
存储和提交形式多样性
电子物证以
文本、图形、
图像、动画、音频、视频等多种信息形成、存储于计算机硬盘、
软盘、光盘、磁带等设备及介质中的,其生成和还原却离不开相关的计算机等电子设备。电子物证的提交形式相应地表现为文书、计算机硬盘、光盘等介质,因而具有与书证、视听资料、物证等证据种类相同或相似的表现形式,并随着科技成果的不断增加,电子物证的提交形式将会更加多样化。
客观实在易变性
电子物证一经生成必然会在
计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志(
系统日志、
安全日志等)或第三方软件形成的日志中,客观真实地记录了案件事实情况,但由于计算机数字信息存储、传输不连续和离散,容易被截取、监听、剪接、删除,同时还可能由于计算机系统、网络系统、物理系统的原因,造成其变化且难有痕迹可寻。因此在进行电子物证勘验提取时,必须配备专业的
数据恢复设备以保证电子物证的绝对完整、准确。
存在的广域性
电子物证因行为人使用网络的种类不同或目的不同而存在于局域网或互联网中,而在遍布全球的互联网中的各地网络服务商提供的服务器就会留有电子物证。基于电子物证的这一特性,使人们对电子物证所在地的认识有了新突破,因而,取证活动将常常不局限于一地区、一国界,且由于各地区、各国分属不同的法域,对电子物证的法律规定自然存在差异,必然带来取证的障碍和冲突。
实时准确性
计算机及网络的使用,是一个实时产生电子物证的过程,除了使用者操作下形成的电子物证外,还存在计算机及网络针对使用者的操作活动自动记录的相关电子物证,特别是网络中电子物证都是实时形成的,并可以通过取证获得具体、详细而准确的时间记载以及变化情况。即使遭到人为篡改或系统故障等外在因素的破坏,仍可以使用SDII服务器恢复系统等专业电子物证勘验设备,通过
数据恢复手段进行电子物证的恢复、固定和提取。电子物证的这一特性决定了他具有其它证据种类难以比肩的优越性。同时也使实时犯罪线索搜集与其它取证活动成为可能并富有成效。
表现形式
电子物证实质是电子的、电磁的、光学的、磁性的等相似性能的信息或数据信息,经
输出设备显示为人们所能识别的文字、符号、图形、图像、动画、音频、视频等各种信息形式。体现于计算机及其网络的电子物证形式表现为:
存在于计算机系统内的:
①统日志文件
②备份介质;
④交换区文件;
⑥硬盘未分配的空间(一些刚刚被删除的文件可以在这里找到);
⑦系统缓冲区。
存在于网络内的:
①防火墙日志;
③其它网络工具所产生的记录和日志等。
上述证据形式是从技术角度简单归纳的取证对象,从法律和技术双重的角度将取证对象可分为,
数据电文证据、附属信息证据和系统环境证据(具体含义和分类意义详见前文学理分类),刑事电子物证的取证活动应针对每一案件事实,分别明确取证的数据电文证据,附属信息证据和系统环境证据的内容和范围,前述三个相关联的证据构成了一份完整的证明体系,确保电子物证具有真实性和可靠性。
勘验提取
电子物证勘验提取通常会用下几种方法:
数据获取
一是对计算机系统数据和文件的安全拷贝技术。这种技术主要研究如何在全面获取数据的同时,避免对原始介质进行破坏和干扰。二是对被删除被破坏的电子物证进行数据恢复。主要包括对已删除文件的恢复、重建技术;对slack磁盘空间、
未分配空间、缓存和自由空间的信息发掘技术;对交换文件、缓存文件、临时文件的复原技术;对阴影技术的重新获取技术等。
数据分析
一是日志分析技术。通过日志分析,可以了解系统受到了哪些攻击,以及哪些远程主机访问了该主机。这可以帮助侦查人员确定作案时间以及作案过程;二是根据已获得的文件或数据的词、语法和写作(
编程)风格,推断出其可能的作者。这对于确定有害程序的原始作者极为重要。
数据破译
主要包括:
数据解密技术、密码破译技术;对电子介质中被保护信息的强行访问技术等。
据统计,目前英国警察局、法国内务部、印度警察局、印度海军等全球电子物证勘验提取技术较发达的机构,都在使用
SDII服务器恢复系统等一些大型的精密电子物证勘验设备,一方面可以节约高科技人员成本,另一方面大型精密设备的使用可以最大限度的避免可能造成的取证失误,最快速、高效、完整的提取电子物证。
电子物证勘验设备介绍
电子物证快速取证分析系统Digital Forensics System是
效率源专门为提取电子物证的一套现场勘查及实验室综合解决方案,集电子物证预检、证据固化与校验、数据提取、数据恢复、数据分析、电子司法报告为一体,具有符合司法取证流程、全中文触摸、加密硬盘提取、损坏介质提取、更多介质支持等特点,包含“现场勘察”、“移动侦查”、“手机检验”“检验鉴定”等多个系列完整的设备供应和实验室整体综合解决方案,对于台式机、笔记本、服务器、相机、摄像机、智能手机、U盘、录音笔、记忆棒、工控机、医疗设备等多功能产品都能进行快速取证,支持的存储介质类型包括
机械硬盘、固态硬盘、
笔记本硬盘、
移动硬盘、U盘、SD卡、CF卡等,用户遍及公安、检察、司法、院校、实验室等多个系统及行业。
SDII服务器恢复系统是全球最大的存储载体
数据恢复研发机构---美国SecuData公司,于2010年度研发的一款世界级的专业
服务器数据恢复、
视频数据恢复系统,也是全球唯一同时支持服务器SAS/SCSI存储载体的电子物证勘验恢复系统。
独有的电子物证勘验恢复系统
SDII服务器SAS/SCSI电子物证勘验恢复系统是在
服务器数据恢复系统的平台上加入公安司法行业所需要的电子证据获取、固定、分析功能,特别是针对中国警方目前广泛使用的“天网监控”恢复取证,“用友财务”“金碟财务”系统恢复取证进行了特别优化,达到最佳支持率,同时可无缝兼容ENCASE/FTK/XWAYS等所有司法取证分析软件;
⊙特别支持公安执法部门SAS/SCSI存储介质/天网
视频监控/电子物证获取恢复利器
⊙服务公安部门打击经济犯罪、刑事犯罪、黑恶势力犯罪、网络犯罪;构建平安社会
⊙采用工业级硬盘仓设计,目标物证存储无需连接线
⊙windows友好界面,一体工控键盘设计,操作简单