计算机取证流程

5.7.3　计算机取证流程

计算机取证过程和技术比较复杂，在打击计算机犯罪时，执法部门还没有形成统一标准的程序来进行计算机取证工作。计算机取证的一般步骤应由以下几个部分组成，如图5－6所示。

图5－6　计算机取证流程

（1）保护目标系统：在计算机取证过程中，首先需要冻结计算机系统，避免发生任何的更改系统设置、硬件破坏、数据破坏或病毒感染等情况。

（2）电子证据确定：从存储在大容量介质的海量数据中，区分哪些是有用数据，哪些是垃圾数据，以便确定那些由犯罪者留下的活动记录作为主要的电子证据，并确定这些记录存在哪里、是怎样存储的。

（3）电子证据收集：取证人员在计算机犯罪现场收集电子证据的工作包括收集系统的硬件配置信息和网络拓扑结构，备份或打印系统原始数据，以及收集关键的证据数据到取证设备，并将有关的日期、时间和操作步骤详细记录等。

（4）电子证据保护：采用有效措施保护电子证据的完整性和真实性，包括用适当的存储介质（如ROM或CDROM）进行原始备份，并将备份的介质打上封条放在安全的地方；对存放在取证服务器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系统的运行状态等安全措施进行保护，非相关人员不准操作存放电子证据的计算机；不轻易删除或修改与证据无关的文件，以免引起有价值的证据文件的永久丢失。

（5）电子证据分析：对电子证据的分析并得出结果报告是电子证据能否在法庭上展示，作为起诉计算机犯罪嫌疑人的犯罪证据的重要过程。分析包括用一系列的关键字搜索获取最重要的信息；对文件属性、文件的数字摘要和日志进行分析；分析Windows交换文件、文件碎片和未分配空间中的数据；对电子证据作一些智能相关性的分析，即发掘同一事件的不同证据间的联系；完成电子证据的分析后给出专家证明，这与侦查普通犯罪时法医的角色类似。

（6）归档：对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理，形成能提供给法庭的呈堂证据。

另外，在处理电子证据的过程中，为保证数据的可信度，必须确保“证据链”的完整性即证据保全，对各个步骤的情况进行归档，包括收集证据的地点、日期、时间和人员、方法及理由等，以使证据经得起法庭的质询。调查人员在收集、保护和分析电子证据时，每一个步骤都必须填写证据保全表格。