电子证据取证技术培训

① 电子证据的收集主体

答案是A，辩护人不能作为电子证据的收集主体。
利用计算机电子取证技术手段为办案服务，日益受到司法人员的重视。目前的侦查实践中，在计算机电子证据的取证过程中，需要考虑的问题主要包括以下几点:
(一) 计算机电子证据的收集主体。鉴于电子证据易于删改和隐蔽性强的特点，对其进行收集必须由国家司法机关认可的专业技术人员进行，而非任何人员(包括一般办案人员)都可进行。这里的专业技术人员是指专业技术部门中能胜任具体案件办理、具有相关电子知识和电子技术的人员。
(二)电子证据收集的取证权力。根据刑事诉讼法规定，侦查部门有权检查、复制和调取与案件有关的一切资料，从而为传统的侦查取证提供了有力的法律支持。但对于计算机取证过程中所采用的一些取证方式和实施的一些取证行为是否符合法律规定，是否需要有相应的授权和许可，还应该尽快明确。
(三)电子证据的证明力。一般讲，与案件事实存在着直接的、内在联系的证据，其证明效力较强;反之，则较弱。由于计算机证据容易被伪造、篡改，而且被伪造、篡改后不留痕迹，再加上计算机证据由于人为的原因或环境和技术条件的影响容易出错，故习惯将计算机证据归入间接证据。从目前的侦查取证来看，计算机取证也是处在辅助取证的地位，主要的作用是获取与案件相关的线索，起辅助证明作用。
(四)取证原则。1.取证过程合法原则。这一原则要求计算机取证过程必须按照法律的规定公开进行，从而得到真实且具有证明效力的证据。2.冗余备份原则。即对于含有计算机证据的介质至少制作两个副本，原始介质应存放在专门的证据室由专人保管，复制品可以用于计算机取证人员进行证据的提取和分析。3.严格管理过程原则。含有计算机证据介质的移交、保管、开封、拆卸的过程必须由侦查人员、犯罪嫌疑人(或委托见证人)和技术人员共同完成，每一个环节都必须检查真实性和完整性，并制作详细的笔录，由上述行为人共同签名。4. 环境安全原则。该原则是指存储计算机证据的介质应远离高磁场、高温、灰尘、积压、潮湿、腐蚀性化学试剂等。在包装计算机设备和元器件时尽量使用纸袋等不易产生静电的材料，以防止静电消磁。环境安全的原则还要求防止人为地损毁数据。
目前我国电子证据取证工作无论是技术、人们的意识还是执行部门的操作规程都存在一定的困难:(一)没有对计算机取证制定相关的操作规程。在调取计算机数据过程中，往往是凭借侦查人员或技术人员的主观能动性和个人经验进行，而这样容易导致越权取证的发生。此外，在取证实施过程中随意性太大，可能会遗漏一些重要检查事项。(二)缺乏用于电子取证的专业工具。目前，在调取电子证据时所使用的工具，缺乏国家机关相应的专业资格认证，技术上还缺乏拥有自主知识产权的电子证据取证工具。(三)系统、数据解密问题。在实际工作中，会遇到因为获取不到系统口令、文件密码而无法进入相关系统、打开可疑数据文件的情况，从而导致侦查线索断失。
随着信息化程度的提高，计算机取证将成为侦查取证工作的重点环节。加强和提高对侦查工作中计算机取证问题的认识和重视，逐步建立和完善计算机取证体系，才能保证今后侦查取证工作的顺利开展:(一)制定符合法律、法规的计算机取证规程。计算机证据的采集和鉴别不仅技术含量高，而且往往涉及一些法律上还没有明确规定的问题。所以，充分认识计算机取证所隐藏的风险，尽快明确相关的法律问题，制定相应的计算机取证规程，才能在今后的司法实践中避免出现不必要的法律纠纷。 (二)加强对侦查人员和技术人员的相关培训。加强对计算机证据以及取证过程所涉及的法律问题的研究，提高认识，不断尝试和总结适用于计算机电子取证的方法和技术，学习使用通用的数据恢复工具和加密、解密、信息隐藏工具。(三)加强对电子证据取证工具的专业机构技术认证。目前，技术上还缺乏经过专业机构认证的、拥有自主知识产权的电子证据取证工具。通过引入相关的计算机取证工具，降低取证操作的复杂度。

② 计算机司法鉴定的电子证据的取证技术

（一）一般取证技术
一般取证技术是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有：
1.打印。对网络犯罪案件在文字内容上有证明意义的情况下，可以直接将有关内容打印在纸张上的方式进行取证。
2.拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先，鉴定人员应当检验所准备的软盘、活动硬盘或光盘，确认没有病毒感染。
3.拍照、摄像。如果该证据具有视听资料的证据意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。
4.制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定，也是一种固定证据的方式。
5.查封、扣押。对于涉及案件的证据材料、物件，为了防止有关当事人进行损毁、破坏，可以采取查封、扣押的方式，将有关材料置于司法机关保管之下。
6.公证。由于电子证据极易被破坏、一旦被破坏又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。
（二）复杂取证技术
复杂取证是指需要专业鉴定人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取，如被加密或是被人为删改、破坏的情况下，如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括：
1.解密。所需要的证据已经被行为人设置了密码，隐藏在文件中时，就需要对密码进行解译。在找到相应的密码文件后，请鉴定人员选用相应的解除密码口令软件。
2.恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理程序组成，一般是较难篡改的。因此，当发生计算机犯罪，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。
3.测试。电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试。
所有的分析都是在复制的硬盘上进行的，复制以及取证过程的每一步骤，取证系统都会进行 MD5 的校验，如果每次的校验值一致，那么就证明在取证过程中没有修改电子数据。

③ 什么是电子取证学

英盛观察来为您解答：自
关于什么是电子取证，我国学术界亦存在广狭义两种观点。狭义说将电子取证与“ComputerForensics”等同起来。
例如，有人认为，电子取证是“将计算机系统视为犯罪现场，运用先进的技术工具，按照规程全面检查计算机系统，提取、保护并分析与计算机犯罪相关的证据，以期据此发起诉讼”。
取证的主要过程包括保护和勘查现场、获取物理数据、分析数据、追踪源头、提交结果等。
也有人认为，电子取证“也称计算机法医学，它是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。
还有人认为，电子取证就是“运用软件技术和工具，按照预定的步骤检查计算机系统和相关外部设备，保护、提取和分析计算机系统和相关外部设备，保护、提取和分析计算机犯罪的痕迹，并产生具有法律效力的电子证据的过程。

④ 什么是数字取证技术

计算机犯罪来取证（数字取证）也源被称为计算机法医学，是指把计算机看做犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。
数字取证主要是对电子证据识别、保存、收集、分析和呈堂，从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。

以下讲义可以参考下。

⑤ 如何收集电子证据

作为打击计算机犯罪关键的电子证据（也称计算机证据），则因其独特性而成为理论界的一个重要研究课题。而已成为打击计算机犯罪的首要任务，笔者认为在实践中，收集电子证据时应注意以下几点：
一是严格依法进行各种电子证据的提取收集。为了保证电子证据通过计算机及外部设备的处理，将储存在计算机内的电、磁、光记录物转换成能够让人们识别的文字、数字、符号、图形等方式来反映案件的事实，除按照刑事诉讼法和《公安机关办理刑事案件程序规定》所规定的收集证据的方法和程序外，同时应注意以下几点：一是必须由二人以上进行提取操作，并在提取电子证据并进行文书化后的证据材料上签名，如有证人或犯罪嫌疑人在场的也应签名；二是必须提交关于提取电子证据过程的文字说明材料，并注意提取证据涉及到的硬盘等存贮介质上具体文件的存贮位置、文件名、文件后缀等细节；三是提取的电子证据内容来源必须与原始计算机和备份硬盘、软盘的编号一致；四是要确定作案时间，注意计算机信息网络的上机时间和以北京时间表示的实际作案时间之间的差异。
二是深入细致地查找线索，全面客观调查取证。由于计算机犯罪与传统的犯罪不同，其行为人多是受过一定教育和技术训练，具有相当技能而且熟悉计算机技术的人员。按照犯罪心理，他们会想方设法利用计算机自身易篡改、伪造的特点，制造假象、隐匿或销毁罪证，从而使案件更加错综复杂。我们可以通过磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的状态，也可通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改的痕迹。
三是积极利用证人、犯罪嫌疑人配合协作取证。随着计算机技术的发展，操作系统的更新换代日益频繁，应用系统也因开发工具、开发人员的不同而存在差异。因此在加强计算机知识和技能培训外，还必须积极利用证人、犯罪嫌疑人配合协作，从他们那里初步了解操作系统、储存数据的硬盘位置、文件目录等等，然后开展取证工作。
四是利用科学方法，做好证据固定保全。电子证据的固定和保全，有利于刑事诉讼，除落实专人保管外，必须考虑作案工具的环境、电子证据的备份和电子证据的知识产权问题。原则上不应将证据存放在硬盘并和原作案工具的操作系统相分离。因为计算机程序和操作系统至关重要，一旦脱离系统再安装很有可能造成软件冲突而无法读取；同时应进行证据多备份原则。首先是将证据拷贝到软盘中，再进行外接硬盘的拷贝，形成双备份；此外对涉及知识产权问题的证据要依法保全和固定，防止引起知识产权的诉讼。

⑥ 电子数据取证的四大基本原则是什么电子证据的特点有哪些

所谓电子证据：我国《民事诉讼法》中规定的“电子数据”，在学术与实践中常称为“电子证据”，两者所指外延大致相同。

根据《民事诉讼法司法解释》规定，电子数据是指：通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。一般来说，电子证据指以现代信息技术为支撑的数据电文作为诉讼证据的统称。

电子证据特征：由于网络环境产生的数据极容易被改变、灭失、伪造甚至毁灭，因而电子证据作为司法认定的证据材料时，必须满足合法性、客观性、关联性三个特征。

电子证据的司法认定

《关于民事诉讼证据的若干规定》提出，质证时，当事人应当围绕证据的真实性、关联性、合法性，针对证据证明能力有误以及证明力大小进行质疑、说明与辩驳。这也是司法审判人员审查和核实电子证据的标准。

真实性：审查电子证据出处、生产时间、地点、制作参与人、形成过程等情况，据此明确证据材料内容是否客观真实、有无删改、伪造等。

关联性：诉讼人应当对纠纷中带证明事实相关联的材料给予充分证明，根据认定规则尽可能保持证据材料原始状态有助于提升电子证据的可信度。

合法性：一方面，保证证据提供主体身份合法是前提条件，不仅包括证据收集身份要合法，还包括证据审查制作、收集、提取过程中的相关主体；另一方面，是证据材料收集方法与过程需遵从法律法规。

⑦ 电子证据取证规则具体包括什么

1、申请调查取证
我国三大诉讼法和《最高人民法院关于民事诉讼证据的若干规定》、《最高人民法院关于行政诉讼证据若干问题的规定》等法律、司法解释均规定，当事人可以申请调查取证。为了使电子证据的收集和保存更具权威性，在条件具备的情况下，电子证据的收集和保存，应当尽量运用申请调查取证的方式进行。
2、电子证据的认证
认证(authentication)是指依法设立的、中立的第三人，对当事人提出具有法律意义的行为、事实或者资格等，经审查属实后作出的证明。电子证据的认证，就是依法设立的、中立的第三人对数据电文的完整可靠性及其收集程序、保存条件进行的验证。经过认证的电子证据，除非有相反证据证明它不具备完整性和可靠性并经法定程序予以确认，否则该电子证据应当被采信。我国《电子签名法》对电子签名的认证有专门规定，其它类型的电子证据的认证，也可以根据该法的规定，由依法设立的认证人给予认证。
3、电子证据的保全
证据保全分为司法保全和公证保全两种。证据的司法保全，其作用主要是对证据加以确定和保护，防止其灭失或者以后难以取得。我国《公证法》第11条规定，经自然人、法人或者其他组织申请，公证机构有权办理证据保全公证事项。根据该法第36条规定，证据公证保全的作用，不仅可以防止证据灭失或者以后难以取得，而且主要是赋予被保全的证据作为认定事实根据的法律效力。因此，鉴于电子证据脆弱性和完整性、真实性的特别要求，对电子证据进行保全，在法律事务中具有特别重要意义。
4、电子证据的鉴定
根据我国三大诉讼法和相应司法解释、以及《公安机关鉴定机构登记管理办法》规定，对电子证据可以申请进行鉴定。电子证据的鉴定，主要应当对计算机存储设备和其它电子设备中存储的电子数据进行检验鉴定，从而确认电子证据的完整性可靠性。
5、电子证据的保存
根据我国《电子签名法》第6条规定，一项满足法律、法规规定的文件保存要求的数据电文，应当具备下列条件：第一，能够有效地表现所载内容并可供随时调取查用;第二，数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;第三，能够识别数据电文的发件人、收件人以及发送、接收的时间。为什么需要特别强调电子证据的保存条件呢?因为，电子证据的保存，如果不具备相应的条件，该数据电文可能会丧失可使用性(如该数据电文被彻底删除)，其完整性和可靠性也可能会受到破坏。

⑧ 电子证据司法鉴定有专门的检验机构吗如果有，资质如何取得

你做这个鉴定就有了。在鉴定报告里就有

⑨ 电子物证如何取证

电子证据取证规则具体包括：
一、不符合法定形式的电子数据证据，不符合法定形式的电子数据依法应当排除。
二、证据的来源形式不合法的电子数据证据，所谓证据的来源形式不合法，是指证据的取得途径不合法。以下几种途径获取的证据均为非法证据，应当依法予以排除。
1.通过暴力、威胁、引诱的方式获取的电子数据；
2.通过非法窃取的方式获得的证据。比如通过雇佣黑客恶意侵入个人电脑或网络的方式获得的电子数据证据应当排除。
三、取证程序和手段违法的电子数据证据：
1.取证程序违法的电子数据证据应当予以排除。收集、调取电子数据证据应当依照法律的规定进行。
2.取证手段违法的电子数据证据应当予以排除。当事人调查收集电子数据证据，要依法进行，不得通过侵犯他人合法权益的方式获取证据
四、电子取证应严格规范取证程序：鉴于电子证据本身所具有的无形、多样和易被破坏等特点，任何人为因素或其他不定因素导致的对电子数据的修改、删除；
覆盖都无形当中加大了电子证据取证的难度，因此电子证据取证工作是相对困难的，必须要掌握一定的计算机知识，依照准确严格的方法和程序。
根据《关于互联网法院审理案件若干问题的规定》第十一条，当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。

⑩ 电子证据取证需要在什么样的环境中进行目前我国的电子证据取证技术水平怎么样

电子证据主要指存储于计算机、移动存储设备（SD卡、CF卡、手机卡等）、安防监控系统中的各类存储介质以及网络虚拟空间中的具有能辅助司法机构侦查取证及立案的各类文字、数字、图片、音频等资料。通常情况下，电子证据取证工作都是由专业的司法侦查取证人员来完成，对技术侦查人员的要求和对相关取证设备的掌握要求较高，除了提取恶意破坏存储介质或其他发生严重损害存储设备的情况下，一般在现场通过专业数据拷贝设备就能快速完成，而面对复杂的情况，如前面提到的存储介质发生严重故障，包括硬盘坏道、电机损坏以及视频监控设备遭人为破坏等，则需要的就不只是单单的复制拷贝设备，而需要根据故障的具体情况来选择修复硬盘或镜像文件，甚至开盘换头操作了。

而要实现这类故障存储介质的电子证据取证，就必须借助专业的技术、专业的设备、专业的操作环境（开盘需要在百级无尘室内进行），这样才能保证电子证据取证的完整性、安全性以及高效性。目前，我国的电子证据取证水平已经逐渐与国际接轨，相关技术甚至超越世界发达国家水平，领居世界前列，如效率源科技旗下的Data Compass数据恢复指南针、SDII9000 Frensics超级鹰眼服务器及视频分析取证专版、SD Iphone Mobile 苹果手机恢复取证系统等都是国内电子证据取证技术的代表产品。近几年来，随着国内高科技案件的频现，国内的司法机构对电子证据也越来越重视，随着对电子证据取证技术设备的需求也愈发明显，当前，国内已有众多司法取证机构应用了上述效率源厂商研发生产的电子证据取证设备，且取得良好的“技术辅助办案”效果。