网站首页  法律咨询  法律百科

请输入您要查询的法律知识:

 

问题 电子物证的鉴定
分类
解答

一、电子物证的分类

电子物证是一个庞杂的证据体系,可以依据不同标准进行分类。而在理论上对电子物证进行科学分类,是电子物证
鉴定顺利开展的基础。

1、模拟信号和数字信号的电子物证

以信息承载方式为标准,电子物证可分为模拟信号的电子物证和数字信号的电子物证两种。模拟信号是通过信息中的某些特征的具体数值或量(如电压信号的幅度、相位、频率、脉冲信号的幅度或持续时间等)来记载电子信息的内容;数字信号是通过信号的离散状态的各种可能组合所赋予各种数值或其他信息的方法来承载电子信息的内容。当模拟信号成为电子物证时,就是模拟信号的电子物证;当数字信号成为电子物证时,就是数字信号的电子物证。

模拟信号所记录的数据具有连续性,在复制时有一定的损耗,删改痕迹容易被识别,因为这些变化必然会破坏信息甚至是背景噪声的连续性。而数字信号所记录的数据呈离散状态,以二进制为例,在信息内容上只是将某种实际的物理量区分成相对应的“0”和1”两种孤立的值。在将某一数字信息复制到另一载体中时,虽然也读取实际的物理信号,但是并不传递所读取的物理信号,而是通过解码得到这些物理信号所表示的“。”和“1”这两种状态,然后将这两种状态传输给接收方,由接收方完全按照自己的处理方式,再将这些“o^和u”以某种方式进行编码,写人到实际的物理载体中,从而生成一定的物理量,读取时再通过自己的处理方式,将写人的这些物理量翻译成相应的“0”和"1"。由此可见,数字信息在两种载体之间进行传递时,所对应的物理信号本身没有任何的传递关系和对应关系。

随着技术的进步,越来越多的系统开始采用数字技术,称为数字信号系统。它们又以计算机和计算机网络为核心,几乎都可以与计算机/计算机网络系统进行沟通。而各种数字系统的存储系统都设计成层次结构,因而具有灵活性和可升级性。当然,目前数字信号并没有完全取代模拟信号。从技术鉴定的角度来看,数字信号的电子物证是关注的重点,
而两种制式的电子物证是否出现过相互转换则是检验的重中之重。

2、单机电子物证和网络电子物证

依照所处环境的不同,数字信号的电子物证可分为单机电子物证和网络电子物证。前者是由某一台计算机生成和存储的,所处的是一个封闭的系统;后者是由若干计算机构成的网络生成和存储的,所处的是一个开放性网络。在封闭系统中,电子物证的来源比较单一,主要集中于单机的硬盘、光盘、软盘乃至内存等存储介质中;而在开放性网络系统中,
电子物证的来源相对不确定,可谓分散于虚拟网络的各种角落。
按照国际标准化组织1984年提出的一个与特定硬件无关的网络体系模型—开放式系统互联(OSI )模型,计算机网络中最高层、最接近用户的一层是应用层,然后依次往下分别是表示层、会话层、传输层、网络层、数据链路层、物理层。每一层都被赋予特定的功能,同时隐藏了下一层的技术细节。川其中,电子物证可能依附于上述任一层,这就给鉴定工作带来了困难。从这个意义上讲,网络电子物证是鉴定工作的难点。下一节将以数字信号的网络电子物
证为例,阐述有关鉴定的机理和技术。

二、电子物证鉴定的特点

电子物证鉴定和传统物证鉴定遵守相同的基本原则和原理。首先,它们都需要采用经过认可的、科学的技术方法,通过合法的、标准化的操作规程,获得真实可靠的检验结果,以满足严谨的司法程序对证据的严格审查:其次,它们都必须保证提取和检验物证的技术方法不能改变物证包含的信息内容,以保证检验结果的真实性。再次,检验鉴定人员必须经过专业培训并具备资质,因为他们是电子物证检验的主体,是影响检验结果和质量的决定性因素。最后,它们都必须采取建立物证保管链条和保存检验记录等表明物证检验结果真实性措施。然而.作为一门新的物证检验专业,电子物证检验也有其本身的特点:

1、电子技术和电子设备发展速度极快,并且主要受市场驱动,使得电子物证检验技术必须及时跟随发展。传统物证检验的技术一般是在研究机构或实验室引导下逐渐发展进步的,发展的主动性在物证检验行业。电子物证检验技术主要受市场驱动这一特点,使电子物证检验技术的发展呈现被动性,并给检验方法的标准化带来较大困难。

2、电子物证是极易损坏的和脆弱的。它有可能因为不适当的处置或检验而被改变、损坏或毁坏。基于这样的原因,要特别小心对待电子物证检材,用正
确的方法提取、包装、保存和检验电子物证。

3、电子物证检验的场所不像传统物证检验那样限干可控制的实验室环境,而是可能在各种场所进行检验。

4、电子物证检材性质和状况差异较大,这是因为市场上电子设备有多种操作系统、不同存储方式和各种应用程序。每个检材需要的检验方法和技术条件可能不同,因此很难用单一的标准化方法检验所有物证检材,并给电子物证检验设备提出更高要求。

5、电子物证检验结果与传统物证检验有所不同。

最常见的电子物证信息内容检验的结论是叙述性的,只是客观叙述检验过程中发现的电子信息内容和描述检验方法和条件,没有传统物证检验鉴定结论那样的专家解释性意见。此外,电子物证信息内容检验一般是从检材介质包含的大量信息中挑选出有证据作用的信息,而传统物证检验大多是试图在检材中找到尽可能多的有用信息。

6、电子物证检验更加依赖于案件侦查掌握的情况。

传统物证检验一般只需要了解与检材样本相关的情况,不需要了解更多的案件调查情况。专家主要是依据检测结果而做出鉴定意见,案件调查情况在检验中只扮演很次要的角色,这样可以避免鉴定人受案情干扰产生偏见,进而影响检验鉴定结论的客观性。相反地,电子物证信息内容检验的效果主要依赖于案件调查掌握情况的准确性,因此电子物证检验专家与侦查人员有更加紧密的关系。由于计算机存储器可能含有大量信息,人工逐一阅读检查每个文档资料是不现实的,需要根据案件调查掌握的情况决定检验查找信息的方式和关键词语,有针对性地查找出与案件相关的、有证据价值的信息,才能够保证检验效果和效率。虽然案件侦查情况在电子物证检验中扮演了非常重要角色,但电子物证检验结果是电子设备中客观存在的文档资料,因此案情不会影响检验结果的真实性:

7、相对传统证据而言,电子证据的真实性更加容易受到质疑,这是电子证据遇到的最大挑战,因为许多人认为电子证据是潜在的,并且在某种程度上也容易被改变而不留下痕迹,特别是数字信息:因此,电子物证检验必须特别注意采取措施保证其检验结果的真实性,包括采用可靠的检材提取和保存方法、制定标准化的检验程序和技术方法、严格程序管理和监督、保持完整的物证保管链条等措施。保证电子物证检验提取的信息是检材中原始存在的信息,并且在检验过程中不被改变,是保证电子物证检验结果真实性的基础。

8、电子物证检验结果往往能够更加直接的说明犯罪案件事实或证明犯罪话动。与犯罪案件相关的电子信息往往能够直接表明案件事实,因此能够非常有效地提供侦查线索和法庭证据。

三、电子物证鉴定的具体操作

1、电子物证鉴定对象

 电子物证鉴定对象是各种电子设备和部件、或电子设备中储存或传输的电子信息。这些电子设备或电子信息成为电子物证检验的检材有四种可能的原因:它们被作为犯罪活动的工具;创门是犯罪活动侵害的目标;它们是犯罪活动的赃物;它们保存记录了与犯罪活动相关的电子信息。检验这些电子设备中的电子信息,有可能找到能够证明它们与犯罪活动相关联的证据,或找到能够说明犯罪活动事实的证据。
计算机及其附属设备是犯罪案件中最常见的电子物证检材,如个人电脑、笔记本电脑、服务器、外置硬盘、软盘、光盘、u盘、打印机、扫描仪、软件加密狗等。其它电子物证检材还有掌上电脑、电话机、传呼机、复印机、刷卡机、智能卡、数字照相机及存储介质、摄像机和录像机及存储介质,GPs等。
除了很可能出现在计算机网络犯罪的案件外,电子物证检材也常常存在于各种不同类型的传统犯罪案件中,如经济诈骗、恐吓骚扰、敲诈勒索、儿童性虐待、凶杀、赌博、贩卖毒品、行贿受贿、组织卖淫、信用盗窃、侵犯版权等。在传统犯罪案件侦查中搜寻提取含有电子证据的检材,可能对案件侦查有意想不到的帮助。

2、电予物证鉴定的提取和保存

电子物证鉴定工作的第一阶段是识别、提取和保存电子物证检材和样本。识别电子物证检材包含两方面的意义:一是识别含有电子信息的硬件,二是识别与犯罪活动相关的电子信息:识别硬件电子物证检材相对容易,而识别电子信息物证检材则要求提取人员了解犯罪案件的性质,并熟悉计算机硬件系统、操作系统和应用程序等。
类似于传统物证,提取电子物证检材最重要的原则是以能够保持被检验物证检材的证据价值的方式处置物证检材样本,保持物证证据价值不仅仅是指检材物品的物理完整性,也包括其所包含的电子信息的完整性。
电子物证检材提取有二种基本形式:提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物,或者是电子设备内含有大量与案件相关的信息,就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时,应考虑同时提取该计算机的外围硬件,如打印机、磁盘驱动器、扫描仪、软盘和光盘等。
如果在案件中电子信息可能被用作犯罪工具,或者电子信息是非法占有的,或者电子设备仅仅用于储存了少量犯罪记录,这时候电子物证检材提取的焦点是电子设备内的电子信息内容,而不是硬件本身提取电子信息物证检材通常有二种选择:复制电子设备储存的所有电子信息,或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要、如果有足够的时间并且还不能够确定需要搜寻的信息内容,但又怀疑电子设备储存的电子信息中含有关键证据,复制提取全部信息是很有必要的。提取全部电子信息物证检材的基本做法是用外置存储器,采用镜像复制方式,拷贝复制电子设备中储存的电子信息如果在现场搜查时需要及时地在电子设备中找到线索,或者在电子设备中只有很小一部分电子信息是证据,则更实际的做法是在现场搜查电子信息内容,然后只复制需要的电子信息作为检材,并在现场检查复制提取结果。无论是提取全部电子信息还是提取选定的电子信息,为了保证复制提取的电子信息的可行性,至少应复制二份检材。复制提取电子信息检材必须用完全空白的新磁盘、新格式化的移动硬盘或一次性写人光盘,以防止旧盘上原有的信息对物证的于扰。
网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改:如果一个计算机网络涉及犯罪活动,电子证据通常分布在多台计算机中,收集提取所有硬件或网络中全部电子信息作为物证检材是不现实的。提取网络计算机内的电子证据需要更多的计算机技术和案件调查经验,一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子证据丢失或提取不完整的严重后果。
在涉及电子物证检材的犯罪现场,可能还存在一些与电子证据有关联的非电子信息物证,如记录在纸张中的口令、打印的文字、图表和照片、硬件和软件手册等。这些相关的非电子物证检材可能对后期的犯罪侦查或电子物证检验有重要帮助,因此在提取电子物证检材也应同时提取这些相关物品检材。

3、电子物证鉴定要求和作用

鉴定电子物证检材和样本,有可能得到有证据价值或侦查作用的电子信息内容或鉴定结论。电子物证鉴定的要求和作用可以分为四大类型。最常见的应用类型是电子信息内容检验,包括搜寻与犯罪相关的文件资料、读取加密文件、恢复和读取被删除的文件、读取被损坏存储介质中的文件等,其检验结果是能够证明犯罪事实或能够提供侦察线索的文件资料。在相关计算机中搜寻、发现有证据或侦查价值的文件资料,已经成为犯罪案件侦查中非常有效的常规做法。

电子物证鉴定的第二类应用是电子信息的真实性检验,其检验结果是说明电子物证是否真实的意见。对于一些与案件事实有很强关联性,但可能会因其真实性受到质疑而影响其证明力的电子信息,需要通过检验鉴定判断其真实性。这类鉴定包括录音或录像资料是否被编辑修改过、数字照片是否被改动编制等。

第三类电子物证鉴定会应用是电子设备硬件和软件运行情况和性能检验,其检验结果是客观的测试结果报告。这种检验包括硬件的功能和状况,软件的内容和应用性能等检验。

第四类电子物证检验应用是电子信息同一认定检验,其检验结果是专家做出的认定或否定结论。这类应用包括软件源程序比较检验、电子信息内容比较检验、数字影像与嫌疑照相机比对检验、声音比对检验、人像比对检验等。

四、我国当前的电子物证鉴定技术

 当前我国使用的电子物证鉴定技术软件有很多种,但它门的功能是相对确定的。以此为标准,当前的电子物证鉴定
伎术可分为:

1、对比分析技术。将收集的程序、数据、备份等与当前运行的程序、数据进行对比,从中发现篡改的痕迹。

2、关键字查询技术。对所调查的系统硬盘备份,用关键字匹配查询,从中发现问题。

3、数据恢复技术。案件发生后,有的当事人会毁灭证据,因此对破坏和删除的数据要进行有效分析,才能从中发现蛛丝马迹。

4、残留数据分析技术。文件存储在磁盘后由于文件实际长度要小于或等于实乐占用簇的大小,在分配给文件的储存空间中,大于文件长变的区域会保留原来磁盘存储的数据,利用这些数据可分析滋盘中储存的数据内容。

5、磁盘储存空闲空间的数据分听技术。磁盘在使用过程中的删除、修改、复制等操作,实际上只是将文件原来占用的磁盘空间释放掉,标识为空闲区域,重新向系统开放,没有实际被覆盖删除。

6、磁盘后备文件、镜像文件、交换文件、临时文件分析技术。有时软件在运行过程中会产生一些重要文件,其记录、备份着整个系统行的重要信息,对这些文件的分析可以发现重要证据。

7、记录文件的分析技术。目前一些新的系统软件和应用钦件增加了对操作文件的相应操作记录,这些文件名和地址
可以提供一些线索和证据。以下择其要者进行论述。
随便看

 

法问网是一个自由、开放的法律咨询及法律援助免费平台,为用户提供法律咨询、法律援助、法律知识等法律相关服务。

 

Copyright © 2002-2024 lawask.net All Rights Reserved
更新时间:2025/4/7 7:12:38