你好,歡迎來到司法鑒定服務網!

全國服務熱線

0662-6322769
電子數據證據現場獲取步驟

時間:2018-03-29 15:16 來源:司鑒院

電子數據證據現場獲取步驟主要內容為電子數據鑒定中電子數據證據現場識別、收集、獲取和保存步驟。

5 步驟

5.1 制定方案

在進行電子數據證據現場獲取之前,需分析案情并根據具體情況制定詳細的方案,包括: a) 明確現場獲取的目的和范圍; b) 明確參加現場獲取的人員,需明確分工,落實責任; SF/Z JD0400002——2015 2 c) 明確進行現場獲取需攜帶的移動儀器設備; d) 明確現場獲取采用的方法和步驟; e) 明確現場獲取的順序; f) 明確現場獲取操作可能造成的影響。

5.2 記錄現場

現場取證人員應在到達現場后,立即對現場狀況通過拍照或錄像等的方式進行記錄并予以編號保存,以便需要時可以進行驗證或重建系統。

5.3 現場靜態獲取

對于已經關閉的系統,在法律允許的范圍內并在獲得授權的情況下,應對相關電子設備和存儲介質進行獲取(封存),方法如下: a) 采用的封存方法應當保證在不解除封存狀態的情況下,無法使用被封存的存儲介質和啟動被封存電子設備; b) 封存前后應當拍攝或者錄像被封存電子設備和存儲介質并進行記錄,照片或者錄像應當從各個角度反映設備封存前后的狀況,清晰反映封口或張貼封條處的狀況; c) 對系統附帶的電子設備和存儲介質也應實施封存。

5.4 現場動態獲取

對于運行中的系統,應進行電子數據證據的動態獲取,其中又具體分為易丟失數據的提取和固定、在線獲取以及電子設備和存儲介質的封存三個部分。

5.4.1 易丟失數據的提取和固定易丟失數據的提取和固定應遵照以下步驟: a) 固定保全內存數據,特別是以下數據: 1) 打開并未保存的文檔; 2) 最近的聊天記錄; 3) 用戶名及密碼; 4) 其他取證活動相關的文件信息。 b) 獲取系統中相關電子數據證據的信息,包括: 1) 存儲介質的狀態,確認是否存在異常狀況等; 2) 正在運行的進程; 3) 操作系統信息,包括打開的文件,使用的網絡端口,網絡連接(其中包括 IP 信息,防火墻配置等); 4) 尚未存儲的數據; 5) 共享的網絡驅動和文件夾; 6) 連接的網絡用戶; 7) 其他取證活動相關的電子數據信息。 c) 確保證據數據獨立于電子數據存儲介質的軟硬件,邏輯備份證據數據以及屬性、時間等相關信息。

5.4.2 在線獲取在線獲取應在現場不關閉電子設備的情況下直接分析和提取電子系統中的數據,包括: a) 打開的聊天工具中的聊天記錄; SF/Z JD0400002——2015 3 b) 打開的網頁; c) 打開的郵件客戶端中的郵件; d) 其他取證活動相關的電子數據信息。

5.4.3 電子設備和存儲介質的封存在法律允許的范圍內并在獲得授權的情況下,結合實際情況進行分析,對系統是否需關閉作出判斷并采取相應的措施。其中,對于已經關閉的系統的處理方式參照 5.3。對于不能關閉的電子設備和存儲介質,應遵循以下幾點: a) 采用的封存方法應當保證在不解除封存狀態的情況下,電子設備和存儲介質可保持原有運行狀態; b) 對于有特殊要求的電子設備和存儲介質(如手機等無線設備),應保證電子設備和存儲介質的封存方式完全屏蔽, 不因電磁等影響而發生實質性改變; c) 封存前后應當拍攝或者錄像被封存電子設備和存儲介質并進行記錄,照片或者錄像應當從各個 d) 角度反映設備封存前后的狀況,清晰反映封口或張貼封條處的狀況。

5.5 電子數據證據的固定保全從現場獲取的上述所有電子數據證據需遵照以下幾個方式進行固定保全: a) 完整性校驗方式:計算電子數據和存儲介質的完整性校驗值,并進行記錄; b) 備份方式:復制、制作原始存儲介質的備份,并依照5.3 規定的方法封存原始存儲介質; c) 封存方式:對于無法計算存儲介質完整性校驗值或制作備份的情形,應當依照 5.4.4 規定的方法封存原始存儲介質,并記錄不計算完整性校驗值或制作備份的理由; d) 保密方式:潛在電子數據證據的保密是一個要求,無論是業務要求或法律要求(如隱私)。潛在電子數據證據應以確保數據機密性的方式保存。

斗地主百人牛牛模式