|
2.电子证据的复杂取证方法
复杂取证,是指需要专业技术人员协助进行的电子证据收集活动。多用于电子证据不能顺利获取,如被加密或者被认为修改破坏的情况下,如计算机病毒或者黑客的侵入。这些情况下常用的取证方式包括以下几种:
1)解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。如:用Word软件制作的密码文件,选用Word软件解译;解密后,将对案件有价值的文件,即可进行一般取证;在解密的过程中,必要的话,可以采取录象的方式。同时应当将被解密文件备份,以防止因解密中的操作使文件丢失或因病毒损坏。如:在办理一起某国际投资公司的职务犯罪案件中,侦查人员在搜查办公室时发现,其使用办公桌的抽屉和文件橱内有11 张微机软盘,怀疑盘内存有其犯罪的重要证据,取回后立即送技术科进行检验,我技术人员按要求,进行了详细检验,无病毒,并查清了这些软盘中用Word软件所制作的文件,并加入了密码,即针对所了Advanced Word 97 Password Recovery 1.23软件成功的破译了其中的密码,解出了108份文件,从而掌握了其犯罪的重要书证,又扩大了办案线索,使案件深入发展。
2)恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,一般是较难篡改的。因此,当发生网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。如1997年7月底,重庆市某农业大学学生处计算机办公网遭到破坏,直接影响到8月份即将开始的招生工作。侦查人员在接到报案后,及时进行了现场保护,从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程,这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的,侦查人员通过这个线索找到了源程序,破获了全案。 如果数据连同备份都被改变或删除,可以在系统所有者的协助下,通过计算机系统组织数据的链指针进入小块磁盘空间,从中发现数据备份或修改后的剩余数据,进行比较分析,恢复部分或全部的数据。另外,也可以使用一些专门的恢复性软件,如Recover98、RecoverNT EXPD等。
3)测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。[10]
(三)电子证据的保全
随着计算机技术的飞速发展,计算机的运行速度加快、功能增强、操作简单易行。对电子信息的拷贝、复制、隐匿和清除,瞬间即可完成。因此,电子证据的脆弱性,使人们不由不怀疑其作为呈堂证据的可信度、真实性和安全性。以下仅谈一下对于电子证据的保全的一点看法.保全又分一般的保全和公证两种。
1.常规保全
同传统的证据保全相比,电子证据的保全有一定的特殊性,它主要体现为虚拟空间保全,因此更需要创造一些崭新的方法,或者说是需要变通传统的保全方法。仅就电子证据的常规保全来说,它因电子证据的差别而有不同:1)对于电子证人证言、电子当事人陈述等言词占据而言,常用的方法是制作讯问笔录和录制资料等;2)对于电子物证和电子视听资料而言,常用的保全方法是勘验并制作勘验笔录、绘图、拍照或者录象加以扣押和封存、提取原始介质;3)对于电子书证常用的保全方法是除了扣押外还包括缩微、复制、存档在扣押、缩微、复制、存档是应该会同在场见证人和持有人查点清楚,并当场开列清单一式多份;4)对于电子笔录,常用的保全方法是打印出来加以核正,然后签字盖章封存,附卷妥善保管,不得损坏和随意销毁。当然在实践中通常采用多种方式对电子证据进行保全。
|
