|
在临场初步处置的基础上,应进一步迅速采取措施获取证据。
1、实地勘验
通过实地勘验收集现场上遗留的原始资料、数据参数等。勘验过程中主要是针对“硬件、软件、管理制度和人员状况”等方面进行取证调查。这其中既包括传统意义上的取证(如:勘验手印、足迹、工具痕迹;拍摄现场照片、绘制现场图等),又包括对“网络证据”⑦的勘验。
在这里,我们不谈传统意义上的取证,而重点介绍“网络证据”的勘验问题。
“网络证据”,主要是指在硬件、软件、管理制度等方面可以反映网络犯罪行为真实情况的物证、书证及视听资料等。比如,在数据传送与接收过程中形成的电磁记录与命令记录;现场上各种系统硬件的连接状态、连接方式;屏幕显示的系统运行参数、运行结果;打印输出的结果;工作人员的日志记录等。对这些证据的勘验,常用的有记录、封存、备份、收集等手段。
记录,就是用适当的方式将现场上各种仪器设备的连接、配置状况和运行状态,各种电缆线的布线方式(串、并联方式、有无破损断裂),各种插头、插座、开关的工作状态等等情况记录下来。通过记录,保存案发当时的现场状况。进而通过综合电磁记录、命令记录,当事人、知情人、技术人员的回忆,工作日志记录等方面的证据,了解系统软硬件原始状态,并通过原始状态与现场遗留状况的比较,发现各种异常现象或者推断作案人使用的作案工具、作案手法。可用于现场记录的方法包括现场照相、笔录、绘图、录像等。这些工作,有的在临场处置时已经完成,进入实地勘验以后要力求将其细化、完备化。
如,应在临场处置的基础上,进一步审查监视器所显示的任何证据,如果有必要,拍摄下计算机屏幕上显示的内容,并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线,在不会造成数据丢失的情况下,拔掉墙上的电源,一般不能用起动开关去关闭计算机。拍摄下计算机尾部的线路结构。断电前标上线路系统(用遮蔽胶带或钢笔),将端口和插槽作上标记。如果所查获的不只一个系统,应将不同的零部件分别放置,并作标记。
封存,就是对现场上可能记录有犯罪行为过程和真实情况的物品、数据等证据,采取强制性手段维持其现有状态,以备进一步的分析。封存的对象主要包括:现场内的信息系统,各种可能涉及到的磁介质,上机记录,命令记录,内部人员使用的工作记录,现场上的各种打印输出结果,传真打印件,程序备份和数据备份等等。封存当中应当注意的是:封存正在运行的信息系统,要事先做好系统工作状态、系统运行参数的记录,以防关机以后无法恢复。
备份,主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制,以便尽快恢复系统正常工作。备份的对象主要是:系统中的相关数据、系统日志文件等。备份当中应注意的问题是:对于磁介质中所有的数据按照其物理存放格式进行全盘复制,而不是简单地拷贝文件。
收集,就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是:计算机软、硬件,各种输入和输出设备,调制解调器,各种操作手册,各种连接线,同时还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时,要注意避免静电干扰。不能用塑料包装,并将其无线电设备远离磁场放置,避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外,还应将立体声喇叭之类的磁源保管好,不和上述器材放到一块。
2、实地访问
|
