信息犯罪与计算机取证 第八章 电子证据分析与评估
本章重点内容: 证据归档的含义、证据标签、证据标记、 证据日志、证据分析的内容及相应工具、 电子证据的证据属性和证据能力(资 格)、电子证据的证明力等。
本章学习要求: 通过本章的学习,了解证据归档的相关 注意事项,熟悉电子证据分析的内容及 相应工具,掌握与电子证据有关的法律 规范。
8.1 证据归档 8.1.1 证据归档概述 证据归档是指将处理完毕且具有保存价 值的证据材料经系统整理后交由专门人 员保存备案(备查)的过程。
我国《刑事诉讼法》第114条规定:“对 于扣押的物品、文件,要妥善保管或者封 存,不得使用或者损毁。”又《公安机关 办理刑事案件程序规定》第218条第2款规 定:“对于可以作为证据使用的录音带、 录像带、电子数据存储介质,应当记明案 由、对象、内容,录取时间、地点、规 格、类别、应用长度、文件格式及长度 等,并妥善保管。”由此可见,证据归档 过程主要是通过证据标签、证据标记和证 据日志等环节完成。
在电子证据归档和保存时,一般应做到以下几点: 第一,为原始介质或司法鉴定复制品填写 证据标签,且为所有介质贴上恰当的标签。 第二,将每一项最优证据记录在证据日志 中。 第三,鉴定时,尽可能在所取得的证据的 司法鉴定副本上进行。 第四,证据管理员应该确保为证据选用适 当的存储介质进行原始的镜像备份,并保 证所有的证据在规定日期进行处理。
8.1.2 证据标签、标记和日志 1. 证据标签 证据标签是记录证据在案件周期内完整 经历的标签。所有搜集的证据应当做好 标签,为搜索到的每一项证据记录以下 信息: 信息(证据)来源,包括地点和人物。 信息(证据)是否需要许可才能调查。 信息(证据)的描述。 如果是证据存储设备,还包括该设备中包 含的信息(内容)。
获得信息(证据)的时间和日期。 最早接收证据的人员全名和签字。 与证据有关的案件以及标签号码。 任何经手过证据的人员,以及他们取走证 据和归还的时间、使用证据的目的都必须 完整地记录下来。
2. 证据标记 证据标签做好后,证据本身(如硬盘、 光盘等)应该做上标记。对于证据副 本,可以通过在证据上贴上一个小标 签,随需要而更改。 如果是为原始证据做标记,建议在原始 证据媒介上的不同地方写上原始证据获 取人的姓氏,以便能够很容易地辨认出 原始证据以及迅速判断出是谁获得该证 据。
案例标号以及证据标签编号 证据搜集时间和日期 内容简述 同时署名及注明日期,这样做有助于确 定证据没有被别人修改或是篡改。证据 标记样式如图8-1(a)和(b)所示。
(a) 经过标记的硬盘 (b) 经过标记的硬盘放在抗静电袋中 图8-1 证据标记样式
3. 证据日志 对于所调查的每个案件的所有证据都应 当由专门的证据管理员接收和存储,并 在接收时将证据的接收情况记录到证据 日志中。
证据日志应包括以下内容: 证据标签号 日期 所执行的操作 执行该操作的人员 对所操作的媒介的信息识别(如将证据 转移到另一个媒介上或将数据返回给原 拥有者等)
8.1.3 证据归档工具 除了采取上述的证据标签、标记和日志 等环节对电子证据进行归档之外,还可 以运用一些工具软件来辅助电子证据归 档过程。
比较典型的证据归档工具是NTI公司的 软件NTI-Doc。 此外,还有Guidance Sofwtare公司的 Encase工具,它可以对调查结果采用 html或文本方式显示,并可打印出来。
8.2 证据分析 8.2.1 证据分析的内容 取证后获得的证据还是最原始的形式, 为了揭示其与案件的相关性,需要对证 据进行分析和检查。 证据的分析是整个取证过程的核心和关 键。
8.2.2 证据分析工具 1. 硬盘分区表的分析(DiskSig工具) 分区表的内容是我们最后提交法庭报告 的一项重要内容,同时也决定着下一步 分析工具的采用。
2. 文件系统目录树的浏览及其打印(Filelist工具) NTI公司的Filelist工具是一个磁盘目录 工具,可以将系统里的文件按照上次使 用的时间顺序进行排列,让分析人员可 以建立用户在该系统上的行为时间表。 它与DOS系统、Windows、Windows 95、Windows 98、Windows NT、 Windows 2000和Windows XP系统都兼 容。
3. 关键字(词)的搜索(dtSearch和Filter_1工具) 使用特制的取证程序检查主引导区记录 和引导扇区。特别要注意那些标记为已 损坏的簇,应使用工具仔细检查,因为 其中可能藏有有效的证据。
4. 被删除文件的恢复(EasyRecovery和WinHex等工具) 在完成关键字(词)搜索的工作后,需 要时还应该找回已经被删除的文件。这 可以使用一些恢复工具软件进行恢复。 例如:可利用第7章中介绍的 EasyRecovery、DataExplore 、WinHex、 PC 3000等工具软件进行恢复
除此之外,还有Lazarus工具软件可以恢 复因服务器超时、网络原因、服务器崩 溃、停电等原因造成的文件丢失。 图8-4(a)、(b)和(c)所示的是 Lazarus工具软件的部分工作界面。
(a)
(b)
(c) 图8-2 Lazarus工具软件的部分工作界面
5. 文件系统中残留数据的检查和寻找(Net Threat Analyzer工具) 对文件系统中未分配空间和闲散空间残 留数据的检查和寻找,这方面工具软件 中,最著名的是NTI公司的软件系统 Net Threat Analyzer。
6. 证据的备份和可读性文件的制作(Ghost和Linux dd等工具) 证据的备份可以通过本书第6章中介绍 的各种镜像工具软件,如Ghost、R- Drive Image、DiskImage、SafeBack、 Linux dd、SnapBack DatArrest等,以及 镜像拷贝机、储存卡拷贝机完成。
8.3 证据评估 诉讼证据是指法律规定的,经查证属实, 能够用以证明案件真实情况的一切事实。 因此,诉讼证据应当具有客观性、关联 性和合法性(法律性)。
另一方面诉讼证据必须具有证据能力 (或资格)才能呈上法庭作为定案依据, 诉讼证据的证明力则是证据对于案件认 定的影响力。
8.3.1 电子证据的法律地位 我国的《民事诉讼法》和《刑事诉讼法》 都没有直接把电子证据列为法定的证据 形式。然而,电子证据的出现及其愈加 重要的社会和法律作用,对证据的原有 划分体系造成了一定的影响,电子证据 的法律地位问题一直以来是学术界的争 论焦点之一,主要存在的观点包括“书 证说”、“视听资料说”、“混合证据 说”和“独立证据说”等观点。
1.电子证据与书证 书证是以文字、图画、符号等表达的思 想内容来证明案件事实的文字材料。因 此,“书证说”认为电子证据与书证一 样也是以其包含的内容证明案件事实, 应当将电子证据视为书证,以书证规则 对电子证据进行规制。
2.电子证据与视听资料 视听资料是指以录音、录像、电子计算机 以及其他科技设备所储存的信息资料证明 案件事实情况的一种证据。 最高人民检察院颁布的《检察机关贯彻刑 诉法若干问题的意见》中规定:“视听资 料是指以图像和声音形式证明案件真实情 况的证据。包括与案件事实、犯罪嫌疑人 以及犯罪嫌疑人实施反侦查行为有关的录 音、录像、照片、胶片、声卡、视盘、电 子计算机内存信息资料等。”
3.电子证据与其它证据种类 有的观点认为传统证据都具有电子形式, 因此建议在不影响七种证据形式划分的 基础上,将电子证据并入现有的七种证 据中,形成电子物证、电子书证、电子 视听资料、电子证人证言、电子当事人 陈述、电子鉴定结论以及电子勘验检查 笔录等七小类。
4.确立电子证据的独立法律地位 电子证据本身所固有的区别于传统证据 形式的独特属性及电子证据获取的特有 原则是电子证据以新的证据形式独立运 作的先决条件。
有关电子证据的各种问题将会更加复杂 化和技术化。 因此将电子证据与其他传统证据形式加 以区分,确立其独立的法律地位既是必 要的也是重要的。
8.3.2 证据属性 对于诉讼证据的属性,或称诉讼证据的 特性,我国法学界对此主要有“两性 说”、“三性说”、“新三性说”、 “五性说”等。
1.电子证据的客观性问题 证据的客观性要求是其具有真实性的前 提。 (1)电子证据的来源、形成、制作过 程及设备情况等正常,无被修改破坏情 况。
(2)电子证据的内容是否真实。刑事 证据的内容就是指能够证实案件情况的 客观事实。
① 自认方法。 ② 推定方法。 ③ 证人具结方法。 ④ 专家鉴定方法。 ⑤ 电子签名方法。
2.电子证据的关联性问题 证据的“关联性”,是指证据必须与待 证明的案件事实或其他争议事实具有一 定的联系,即指证据必须与案件事实有 本质性的联系且对案件事实有证明作 用。
3.电子证据的合法性问题 合法性是指证据的取证主体、形式及收 集程序或提取方法必须符合法律的有关 规定。 如果关于电子证据的司法过程非法,电 子证据在诉讼中的价值必然受到质疑, 甚至丧失证据价值, 因此,电子证据的合法性要求是其法律 上有效性的必要内容。
(1)取证主体的合法性。 (2)取证人员的合法性 (3)取证程序的合法性。
8.3.3 证据能力 证据能力,又称证据资格,指事实材料 成为诉讼中的证据所必须具备的条件, 即法律对事实材料成为诉讼中的证据在 资格上的限制。
1.我国法律中对于电子证据证据能力的规定 电子证据的证据能力是法律规定的关于 何种电子证据能够进入诉讼活动和其他 证明活动的采用标准,是法官评判某一 电子证据应否在诉讼活动中被采纳的法 律上的要求。
最高人民法院《关于民事诉讼证据的若 干规定》第22条对电子证据的可采性标 准作出了规定:“调查人员调查收集计 算机数据或者录音、录像等视听资料的 应当要求被调查人提供有关资料的原始 载体。提供原始载体确有困难的可以提 供复制件。提供复制件的调查人员应当 在调查笔录中说明其来源和制作经过。”
最高人民检察院《关于侦查机关侦查工 作贯彻刑诉法若干问题的意见》第三部分 第5条规定了视听资料证据的审查和采信 规则:“对接受和调取的视听资料是否存 在矛盾。对通过审查尚不能判定真伪的视 听资料,要及时聘请有关视听技术专家进 行鉴定。”该条提出审查和采信电子证据 的原则,同时规定了审查的具体内容,如 来源、获取时间和过程、是否存在疑点、 不同证据之问的一致性,以及获取视听资 料的条件、技术、动机、目的等,该条提 出的审查、采信标准具有一定的参考价值。
2.域外对于电子证据证据能力的规定 关于电子证据的证据能力,各国相关立 法之间有一定的差别。
英美法系国家 认证规则一般认为,某一种电子证据要 在诉讼活动中被采纳,必须对案件的实 质问题具有证明作用,同时不被各种排 除规则所排除,如传闻规则、最佳证据 规则、鉴证规则、非法证据排除规则等。 依照这些认证规则,电子证据必须具有 事实上的关联性和法律上的有效性才能 被采纳。
大陆法系国家 较少规定电子证据的证据能力,一般只 规定电子证据取证规则或者取证措施, 依照法定程序收集到的与案件事实相关 的电子证据一般都具有证据能力。
8.3.4 证明力 证据的证明力又称为证据价值或证据力, 是指证据对于案件事实认定的证明意义 或影响力。 证据的证明力往往是通过单纯的证据规 则来判断的。
认定电子证据最主要的工作包括对电子 证据可靠性的认定以及电子证据完整性 认定。
1.电子证据的可靠性认定 (1)直接认定的方法。某一证据要保 证其可靠性,必须在其运行的各个环节 都有辅助证据加以证明,即构成保管锁 链。 ① 电子证据形成环节。 ② 电子证据的收集环节。 ③ 电子证据的传输环节。 ④ 电子证据的存储环节。
(2)间接推定的方法。间接推定方法 是指将对电子证据可靠性的认定转移为 对其他因素可靠性的认定,通过对其他 因素可靠性的认定来推定某一电子证据 具有可靠性的做法。
2.电子证据的完整性认定 电子证据的完整性是考察电子证据证明 力的一个特殊指标,传统证据是没有这 一标准的。它主要包括:电子证据本身 的完整性以及电子证据所依赖的计算机 系统的完整性。
思考与练习 1. 简述证据归档的含义,以及证据标签、 证据标记、证据日志在电子证据归档中的 重要性。 2. 简述电子证据分析的内容和常见工具。 3. 简述电子证据的客观性问题所包含的内 容。 4. 试述电子证据的证据属性所包含的内 容。 5. 如何证明电子证据的可靠性? 6. 如何证明电子证据的完整性? 7. 简述电子证据评估的含义。 8. 如何理解电子证据的可采性和证明力?