| 问题 | 电子证据的复杂取证方式 |
| 释义 | 电子证据的取证规则、取证方式都有别于传统证据,传统的证据收集手段、认证都不能完全照搬使用,因此,网络犯罪中证据的提取、固定有一定难度。尽管如此,针对案件的具体情况,利用电子证据自身的特点,可以进行取证,为案件的侦破提供帮助。 电子证据的复杂取证方式 复杂取证,是指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取,如被加密或是被人为的删改、破坏的情况下,如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括: 1、解密。所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件。如:用Word软件制作的密码文件,选用Word软件解译;解密后,将对案件有价值的文件,即可进行一般取证;在解密的过程中,必要的话,可以采取录象的方式。同时应当将被解密文件备份,以防止因解密中的操作使文件丢失或因病毒损坏。如:在办理一起某国际投资公司的职务犯罪案件中,侦查人员在搜查办公室时发现,其使用办公桌的抽屉和文件橱内有11张微机软盘,怀疑盘内存有其犯罪的重要证据,取回后立即送技术科进行检验,我技术人员按要求,进行了详细检验,无病毒,并查清了这些软盘中用Word软件所制作的文件,并加入了密码,即针对所用软件采用了AdvancedWord97PasswordRecovery1.23软件成功的破译了其中的密码,解出了108份文件,从而掌握了其犯罪的重要书证,又扩大了办案线索,使案件深入发展。 2、恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成,一般是较难篡改的。因此,当发生网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。如1997年7月底,重庆市某农业大学学生处计算机办公网遭到破坏,直接影响到8月份即将开始的招生工作。侦查人员在接到报案后,及时进行了现场保护,从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程,这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的,侦查人员通过这个线索找到了源程序,破获了全案。如果数据连同备份都被改变或删除,可以在系统所有者的协助下,通过计算机系统组织数据的链指针进入小块磁盘空间,从中发现数据备份或修改后的剩余数据,进行比较分析,恢复部分或全部的数据。另外,也可以使用一些专门的恢复性软件,如Recover98、RecoverNTEXPD等。 3、测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验)。主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。 |
| 随便看 |
|
法律咨询免费平台收录17839362条法律咨询问答词条,基本涵盖了全部常用法律问题的释义及解答,是法律学习及实务的有利工具。