电子数据取证.docx

电子证据主要指存储于计算机、移动存储设备（SD卡、CF卡、手机卡等）、安防监控系统中的各类存储介质以及网络虚拟空间中的具有能辅助司法机构侦查取证及立案的各类文字、数字、图片、音频等资料。通常情况下，电子证据取证工作都是由专业的司法侦查取证人员来完成，对技术侦查人员的要求和对相关取证设备的掌握要求较高，除了提取恶意破坏存储介质或其他发生严重损害存储设备的情况下，一般在现场通过专业数据拷贝设备就能快速完成，而面对复杂的情况，如前面提到的存储介质发生严重故障，包括硬盘坏道、电机损坏以及视频监控设备遭人为破坏等，则需要的就不只是单单的复制拷贝设备，而需要根据故障的具体情况来选择修复硬盘或镜像文件，甚至开盘换头操作了。而要实现这类故障存储介质的电子证据取证，就必须借助专业的技术、专业的设备、专业的操作环境（开盘需要在百级无尘室内进行），这样才能保证电子证据取证的完整性、安全性以及高效性。目前，我国的电子证据取证水平已经逐渐与国际接轨，相关技术甚至超越世界发达国家水平，领居世界前列，如效率源科技旗下的Data Compass数据恢复指南针、SDII9000 Frensics超级鹰眼服务器及视频分析取证专版、SD Iphone Mobile 苹果手机恢复取证系统等都是国内电子证据取证技术的代表产品。近几年来，随着国内高科技案件的频现，国内的司法机构对电子证据也越来越重视，随着对电子证据取证技术设备的需求也愈发明显，当前，国内已有众多司法取证机构应用了上述效率源厂商研发生产的电子证据取证设备，且取得良好的“技术辅助办案”效果。什么是电子取证技术：电子取证技术包括动态电子取证技术和静态电子取证技术，在司法取证实践中，取证人员经常会面临静态电子取证技术问题。静态电子取证技术是针对可能含有证据的非在线计算机、硬盘、软盘、光盘、存储卡、手机、PDA设备等进行证据获取的技术，包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据过滤、数据挖掘技术等。电子取证技术发展水平：目前，在司法取证工作中，数据恢复常被用于电子证据的搜集提取中，这项技术主要用于把犯罪嫌疑人经过文件删除或者格式化磁盘的数字证据恢复出来。由于磁盘的格式化只不过是对用于访问文件系统的各种表进行重新构造，删除文件的操作也仅是在文件头做删除标志，故原有的数据仍然存放在磁盘的空闲块列表中，因此可以通过数据恢复技术加以收集作为潜在的电子证据。电子取证技术相关产品：我国的电子取证技术，当前也取得了不少成绩与进步，其中最常见的数据恢复技术已经可以同全球发达国家的技术相媲美，如我国数据恢复研发企业效率源旗下的“3+1”司法取证方案、SDII9000F视频取证设备更是在国际上备受瞩目，成为目前为止最具代表的电子取证设备。据了解，这类设备目前专供于国内外司法机构、取证单位，对其他行业还未正式开放发售。事实上，从计算机取证软件和工具实现过程的分析中可以发现，当前国内外电子数据取证技术还存在很大局限性。这主要表现在两方面：（1）电子数据取证所面临的入侵者的犯罪手段和犯罪技术的变化。这主要是指反取证技术的发展。反取证技术就是删除或隐藏证据使取证调查失效，包括数据擦除、数据隐藏和数据加密等3类，这些都给取证工作带来新的挑战。（2）电子数据取证技术是一个新的研究领域，致力于专业技术研发的机构还比较少。尽管个别公司投入了大量的人力物力在研究上，但由于国内没有相关的专业技术认证标准，因此不仅使得我国研发公司在获证方面困难重重，也让取证部门在选择工具时缺乏可比性，这就使得取证权威性受到质疑。计算机取证设备　　对电子证据的获取、分析和发现是打击各种犯罪行为全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。 　　硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的效率源硬盘复制机Data Copy King、MD5、SF-5000、SOLO II硬盘拷贝机，有适合 IT业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、 Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如 FTK 、 Encase 、 Parabens Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如 Image MASSter Road MASSter 、“