電子取證流程如下
一、電子取證的操作流程
(1)受理案件
調查機關在受理案件時,要詳細記錄案情,全面地瞭解潛在的與案件事實相關的電子證據材料,如涉案的計算機系統、印表機等電子裝置的情況,包括系統日誌、ip地址、網路執行狀態、日常裝置軟體使用情況、受害方和犯罪嫌疑人的資訊科技水平等。
(2)保護涉案現場
取證人員進入現場後,應迅速封鎖整個計算機區域,將人、機、物品之間進行物理隔離;保護目標計算機系統,及時維持計算機網路執行狀態,保護諸如行動硬碟、u盤、光碟、印表機、錄音機、數碼相機等相關電子裝置,檢視各類裝置連線及使用情況,在操作過程中要避免任何更改系統設定、硬體損壞、資料破壞或病毒感染等情況的發生,以免破壞電子證據的客觀性或造成證據的丟失。
(3)收集電子證據
由於電子證據的脆弱性,在證據收集過程中,應當由調查人員或是聘請的司法鑑定專家檢查硬體裝置,切斷可能存在的其他輸入、輸出裝置,保證計算機儲存的資訊在取證過程中不被修改或損毀。之後對原始儲存介質進行備份,在備份過程中,應當使用安全只讀介面,使用防寫技術進行操作,備份結束後檢查備份檔案是否與原檔案一致,注意在此過程中需要進行全程錄影並要求有第三方現場見證,以保證電子證據的客觀真實性。
(4)固定和保管電子證據
在對計算機中的資料和資料進行備份過程後,應當及時記錄各裝置的基本資訊、備份的時間、地點、資料來源、提取過程、使用方法、備份人及見證人名單並簽名。在儲存電子證據時,必須按照科學方法保全,要遠離磁場、高溫、灰塵、潮溼、靜電環境,避免造成電磁介質資料丟失,防止破壞重要的線索和證據。還要注意防磁,特別是使用安裝了無線電通訊裝置的交通工具運送電子證據時,要關掉車上的無線裝置,以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等儲存的資料。
(5)分析電子證據
在電子證據分析階段,應當使用相應的備份資料進行非破壞性分析,即透過一定的資料恢復方法將嫌疑人所刪除、修改、隱藏和加密的證據進行儘可能的恢復,在恢復出來的檔案資料中分析查詢相關線索和證據。同時,詳細記錄資料恢復方法、操作步驟、操作時間、地點、人員資訊等內容,以使證據經得起法庭的質證。
(6)歸檔電子證據
應及時整理取證與分析鑑定的結果並進行分類歸檔儲存,主要包括證據收集時,對涉案電子裝置的檢查結果,即調查時間、地點、硬碟分割槽情況、作業系統版本、裝置執行狀態等;取證分析階段,裝置備份完整性、使用者系統資訊、日常軟體操作情況以及對電子證據的分析結果和評估報告等相關資訊。讓偵查人員、鑑定人員、檢察官在需要檢視證據時,可以迅速的找到並瞭解相關證據資料。
電子取證流程如下
一、電子取證的操作流程
(1)受理案件
調查機關在受理案件時,要詳細記錄案情,全面地瞭解潛在的與案件事實相關的電子證據材料,如涉案的計算機系統、印表機等電子裝置的情況,包括系統日誌、ip地址、網路執行狀態、日常裝置軟體使用情況、受害方和犯罪嫌疑人的資訊科技水平等。
(2)保護涉案現場
取證人員進入現場後,應迅速封鎖整個計算機區域,將人、機、物品之間進行物理隔離;保護目標計算機系統,及時維持計算機網路執行狀態,保護諸如行動硬碟、u盤、光碟、印表機、錄音機、數碼相機等相關電子裝置,檢視各類裝置連線及使用情況,在操作過程中要避免任何更改系統設定、硬體損壞、資料破壞或病毒感染等情況的發生,以免破壞電子證據的客觀性或造成證據的丟失。
(3)收集電子證據
由於電子證據的脆弱性,在證據收集過程中,應當由調查人員或是聘請的司法鑑定專家檢查硬體裝置,切斷可能存在的其他輸入、輸出裝置,保證計算機儲存的資訊在取證過程中不被修改或損毀。之後對原始儲存介質進行備份,在備份過程中,應當使用安全只讀介面,使用防寫技術進行操作,備份結束後檢查備份檔案是否與原檔案一致,注意在此過程中需要進行全程錄影並要求有第三方現場見證,以保證電子證據的客觀真實性。
(4)固定和保管電子證據
在對計算機中的資料和資料進行備份過程後,應當及時記錄各裝置的基本資訊、備份的時間、地點、資料來源、提取過程、使用方法、備份人及見證人名單並簽名。在儲存電子證據時,必須按照科學方法保全,要遠離磁場、高溫、灰塵、潮溼、靜電環境,避免造成電磁介質資料丟失,防止破壞重要的線索和證據。還要注意防磁,特別是使用安裝了無線電通訊裝置的交通工具運送電子證據時,要關掉車上的無線裝置,以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等儲存的資料。
(5)分析電子證據
在電子證據分析階段,應當使用相應的備份資料進行非破壞性分析,即透過一定的資料恢復方法將嫌疑人所刪除、修改、隱藏和加密的證據進行儘可能的恢復,在恢復出來的檔案資料中分析查詢相關線索和證據。同時,詳細記錄資料恢復方法、操作步驟、操作時間、地點、人員資訊等內容,以使證據經得起法庭的質證。
(6)歸檔電子證據
應及時整理取證與分析鑑定的結果並進行分類歸檔儲存,主要包括證據收集時,對涉案電子裝置的檢查結果,即調查時間、地點、硬碟分割槽情況、作業系統版本、裝置執行狀態等;取證分析階段,裝置備份完整性、使用者系統資訊、日常軟體操作情況以及對電子證據的分析結果和評估報告等相關資訊。讓偵查人員、鑑定人員、檢察官在需要檢視證據時,可以迅速的找到並瞭解相關證據資料。