如何獲取電子證據(jù)

電子證據(jù)的取證規(guī)則、取證方式都有別于傳統(tǒng)證據(jù)，傳統(tǒng)的證據(jù)收集手段、認證都不能完全照搬使用，因此，網(wǎng)絡(luò)犯罪中證據(jù)的提取、固定有一定難度。盡管如此，針對案件的具體情況，利用電子證據(jù)自身的特點，可以進行取證，為案件的偵破提供幫助。
     （一）電子證據(jù)的一般取證方式一般取證，是指電子證據(jù)在未經(jīng)偽飾、修改、破壞等情形下進行的取證。主要的方式有：1、打印。對網(wǎng)絡(luò)犯罪案件在文字內(nèi)容上有證明意義的情況下，可以直接將有關(guān)內(nèi)容打印在紙張上的方式進行取證。打印后，可以按照提取書證的方法予以保管、固定，并注明打印的時間、數(shù)據(jù)信息在計算機中的位置（如存放于那個文件夾中等），取證人員 等。如果是普通操作人員進行的打印，應(yīng)當采取措施監(jiān)督打印過程，防止操作人員實施修改、刪除等行為。
     2、拷貝。是將計算機文件拷貝到軟盤、活動硬盤或光盤中的方式。首先，取證人員應(yīng)當檢驗所準備的軟盤、活動硬盤或光盤，確認沒有病毒感染。拷貝之后，應(yīng)當及時檢查拷貝的質(zhì)量，防止因保存方式不當?shù)仍蚨鴮?dǎo)致的拷貝不成功或感染有病毒等。取證后，注明提取的時間并封閉取回。
     3、拍照、攝像。如果該證據(jù)具有視聽資料的證據(jù)意義，可以采用拍照、攝像的方法進行證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。同時對取證全程進行拍照、攝像，還具有增加證明力、防止翻供的作用。
     4、制作司法文書。一般包括檢查筆錄和鑒定。檢查筆錄是指對于取證證據(jù)種類、方式、過程、內(nèi)容等在取證中的全部情況進行的記錄。鑒定是專業(yè)人員就取證中的專門問題進行的認定，也是一種固定證據(jù)的方式。使用司法文書的方式可以通過權(quán)威部門對特定事實的認定作為證據(jù)，具有專門性、特定性的特點，具有較高的證明力。主要適用于對具有網(wǎng)絡(luò)特色的證據(jù)的提取，如數(shù)字簽名、電子商務(wù)等，目前在我國專門從事這種網(wǎng)絡(luò)業(yè)務(wù)認證的中介機構(gòu)尚不完善，處在建立階段。如1998年，經(jīng)廣東省人民政府批準成立了以提供電子認證服務(wù)為主營業(yè)務(wù)的廣東省電子商務(wù)認證中心，到目前為止，該中心已簽發(fā)各類數(shù)字證書超過6萬張，為用戶在Internet網(wǎng)絡(luò)的電子商務(wù)活動提供了安全保障。
     5、查封、扣押。對于涉及案件的證據(jù)材料、物件，為了防止有關(guān)當事人進行損毀、破壞，可以采取查封、扣押的方式，將有關(guān)材料置于司法機關(guān)保管之下。可以對通過上述幾種方式導(dǎo)出的證據(jù)進行查封、扣押，也可以對于一些已經(jīng)加密的證據(jù)進行。如在侵犯商業(yè)秘密的案件查辦中，公安機關(guān)依法查封、扣押了辦公用具及商業(yè)資料，將硬盤從機箱里拆出，在筆錄上注明“扣押X品牌X型號硬盤一塊”。由于措施得當，證據(jù)提取及時，既有效地證據(jù)犯罪，也防止了商業(yè)秘密的泄露。對于已經(jīng)加密的數(shù)據(jù)文件進行查封、扣押，往往需要將整個存儲器從機器中拆卸出來并聘請專門人員對數(shù)據(jù)進行還原處理，這種情況下進行的查封、扣押措施必須相當審慎，以免對原用戶、或其他合法客戶的正常工作造成侵害，一旦硬件損壞或誤操作導(dǎo)致數(shù)據(jù)不能讀取或數(shù)據(jù)毀壞，其帶來的損失將是不可估量的。
     6、公證。由于電子證據(jù)極易被破壞、一旦被破還又難以恢復(fù)原狀，所以，通過公證機構(gòu)將有關(guān)證據(jù)進行公證固定是獲取電子證據(jù)的有效途徑之一。2001年3月的新浪網(wǎng)《育兒論壇》被控刊載有損害他人名譽權(quán)的文章，南京市第三公證處接受申請，對新浪網(wǎng)頁上的《育兒論壇》內(nèi)容進行了保全證據(jù)公證：對操作電腦的步驟，包括電腦型號、打開電腦和進入網(wǎng)頁的程序以及對電腦中出現(xiàn)的內(nèi)容進行復(fù)制等全過程進行了現(xiàn)場監(jiān)督，在現(xiàn)場監(jiān)督和記錄的同時，對現(xiàn)場情況進行拍照。之后，公證人員出具保全證據(jù)公證書。但是，由于公證具有高成本、低效率的特點，也不能在電子證據(jù)的獲取上片面迷信公證的方式，應(yīng)當根據(jù)案件的具體情況，具體決定采取上述哪種方式進行取證。
     （二）電子證據(jù)的復(fù)雜取證方式復(fù)雜取證，是指需要專業(yè)技術(shù)人員協(xié)助進行的電子證據(jù)的收集和固定活動。多使用于電子證據(jù)不能順利獲取，如被加密或是被人為的刪改、破壞的情況下，如計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：1、解密。所需要的證據(jù)已經(jīng)被行為人設(shè)置了密碼，隱藏在文件中時，就需要對密碼進行解譯。在找到相應(yīng)的密碼文件后，請專業(yè)人員選用相應(yīng)的解除密碼口令軟件。如：用Word軟件制作的密碼文件，選用Word軟件解譯；解密后，將對案件有價值的文件，即可進行一般取證；在解密的過程中，必要的話，可以采取錄象的方式。同時應(yīng)當將被解密文件備份，以防止因解密中的操作使文件丟失或因病毒損壞。如：在辦理一起某國際投資公司的職務(wù)犯罪案件中，偵查人員在搜查辦公室時發(fā)現(xiàn)，其使用辦公桌的抽屜和文件櫥內(nèi)有11 張微機軟盤，懷疑盤內(nèi)存有其犯罪的重要證據(jù)，取回后立即送技術(shù)科進行檢驗，我技術(shù)人員按要求，進行了詳細檢驗，無病毒，并查清了這些軟盤中用Word軟件所制作的文件，并加入了密碼，即針對所用軟件采用了Advanced Word 97 Password Recovery 1.23軟件成功的破譯了其中的密碼，解出了108份文件，從而掌握了其犯罪的重要書證，又擴大了辦案線索，使案件深入發(fā)展。
     2、恢復(fù)。大多數(shù)計算機系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成，一般是較難篡改的。因此，當發(fā)生網(wǎng)絡(luò)犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞的，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進行比較、恢復(fù)，獲取定案所需證據(jù)。如1997年7月底，重慶市某農(nóng)業(yè)大學(xué)學(xué)生處計算機辦公網(wǎng)遭到破壞，直接影響到8月份即將開始的招生工作。偵查人員在接到報案后，及時進行了現(xiàn)場保護，從網(wǎng)絡(luò)的5號無盤站上得到了一個破壞程序正對系統(tǒng)進行的破壞過程，這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的，偵查人員通過這個線索找到了源程序，破獲了全案。 如果數(shù)據(jù)連同備份都被改變或刪除，可以在系統(tǒng)所有者的協(xié)助下，通過計算機系統(tǒng)組織數(shù)據(jù)的鏈指針進入小塊磁盤空間，從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)，進行比較分析，恢復(fù)部分或全部的數(shù)據(jù)。另外，也可以使用一些專門的恢復(fù)性軟件，如Recover98、RecoverNT EXPD等。
     3、測試。電子證據(jù)內(nèi)容涉及電算化資料的，應(yīng)當由司法會計專家對提取的資料進行現(xiàn)場驗證。驗證中如發(fā)現(xiàn)可能與軟件設(shè)計或軟件使用有關(guān)的問題時，應(yīng)當由司法會計專家現(xiàn)場對電算化軟件進行數(shù)據(jù)測試（偵查實驗）。主要是使用事先制作的測試文件，經(jīng)測試確認軟件有問題時，則由計算機專家對軟件進行檢查或提取固定。