第3章节计算机取证的法学问题课件(362KB).ppt

确定性级别 描述/指令 匹配类型 示例 C0 证据与已知事实相矛盾 错误的/不正确的 检查员在IE浏览器上发现了漏洞，IE浏览器允许某个特定网站上的脚本创建可疑的文件、桌面快捷方式和IE收藏 嫌疑犯并非是有目的地在系统上创建了这些项目 C1 证据是非常有疑问的 非常不确定 丢失了记录文件入口，或是有篡改的迹象 C2 只有一个证据来源，没有保护机制以防证据被篡改 某种程度的不确定性 没有其他证据的电子邮件标题、sulog登录以及系统日志 C3 证据来源难以篡改，但不能肯定得到结论 有可能 数据显示某次入侵来自波兰，但后来又有来自韩国的联系 计算机证据的确定性等级 确定性级别 描述/指令 匹配类型 示例 C4 证据受到保护以防篡改，证据未受到保护以防篡改，但多个独立来源的证据是一致的 很有可能 Web服务器崩溃，tepwrapper的日志Web服务器日志数据都有显示来自某个公寓 C5 证据来自多个独立来源，并且受到保护以防篡改，但不敢绝对肯定 几乎是确定的 IP地址、用户帐号、通信量检测等都表明来自某个家庭 C6 证据是防止篡改的，毫无疑问的 确定的 现在难以想象，今后可能存在 续表 3.2.4 数字时间的不确定性 时间因素是在取证分析、审理案件过程中人们判定事件、犯罪行为的具体发生情况的重要依据。通常采取的做法是根据证据的时间建立事件时间表，将证据按照其在时间上的先后次序排列起来，由此分析出证据之间的关系，做出正确的判断。对于涉及到计算机犯罪的案件，不仅需要发掘物理证据之间的联系，而且需要将计算机证据同物理证据联系起来。 时间是计算机证据的重要组成部分，计算机所做的每项工作都会有相关时间的记录，但是这个时间通常都是不准确的。导致证据时间不准确的因素很多，系统时间的偏移、计算机所处时区的不同、人为的错误解释等。 当我们需要根据证据的准确时间建立时间链时，时间误差就会影响到时间链的建立，从而影响到最终的判案，因此，分析判断时间的准确程度是非常重要的。 3.3 计算机取证实践 3.3.1 计算机取证主体 3.3.2 计算机证据的原则 3.3.3 计算机取证手段 3.3.4 取证中的证据保全 3.3.1 计算机取证主体 我国现行刑事诉讼法第四十三条规定：“审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。” 因此，我国法律只授权给审判人员、检察人员、侦查人员有取证权利，而且必须是依照法定程序。然而，虽然，在中央和省级公安机关成立了公共信息网络安全监察机构，司法人员在取证时，大多数情况还需借助电子技术专家。对于其取证主体的合法性很少审查 。 因此，必须设立专门的计算机取证实验室，现在美国至少70％的法律部门拥有自己的计算机取证实验室。 就我国国情而言，可以从一些高校、研究机构或机关通过公开招聘、选拔考试等方式选出一些通晓硬件和软件的计算机专家、熟悉计算机作案手段的侦查人员等组成取证实验室成员，从法律上赋予他们专门从事电子取证的权利，并对他们的行为及其所产生的法律后果进行规定，形成电子证据取证制度。这些可以参照我国的司法鉴定机构有关方面的做法和经验，同时要加强对实验室取证人员的后期培训。 3.3.2 计算机取证的原则 关联性原则 分析汁算机数据或信息与案件事实有无关联，关联程度如何，是否实质性关联，其中附属信息与系统环境往往要相互结合，才能与案件事实发生实质性关联。确定能够证明案件事实的计算机证据、附属信息证据和系统环境证据，并排除相互之问的矛盾。因此，根据案件当事人与计算机证据的关联，可以决定计算机证据的可采性。 合法性原则 违反法定程序取得的证据应予排除。我国刑事诉讼法第四十三条规定：“审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据，严禁刑讯逼供和以威胁、引诱、欺骗以及其他非法的方法收集证据。”根据《电子签名法》第五条规定：“符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求： 能够有效地表现所载内容并可供随时调取查用； 能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”除非有相反证据，否则法官应当有理由相信基于CA认证体系下的电子数据都是真实的，有数字签名并通过其验证的文档也都是真实的。 客观性原则 考察计算机证据在生成、存储、传输过程有无剪接、删改、替换的情况，其内容是否前后一致、通顺、符合逻辑。我国《电子签名法》第八条：“审查数据电文作为证据的真实性，应当考虑以下因素： 生成、储存或者传递数据电文方法的可靠性； 保