《電子數(shù)據(jù)取證技術(shù)》課件-第1章

1.電子數(shù)據(jù)取證概述目錄CONTENTS1.1電子數(shù)據(jù)1.1.1電子數(shù)據(jù)的概念1.1.2電子數(shù)據(jù)的表現(xiàn)形式及分類1.2電子數(shù)據(jù)證據(jù)1.2.1電子數(shù)據(jù)證據(jù)概念1.2.2電子數(shù)據(jù)證據(jù)特點(diǎn)1.3電子數(shù)據(jù)取證1.3.1電子數(shù)據(jù)取證的概念1.3.2電子數(shù)據(jù)取證的原則1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展.1.1電子數(shù)據(jù)1.1.1電子數(shù)據(jù)的概念電子數(shù)據(jù)，也稱為電子證據(jù)，是指以電子數(shù)據(jù)形式存在并可以用于證明案件事實(shí)的材料。它的概念的源自20世紀(jì)90年代初，計(jì)算機(jī)取證證據(jù)國(guó)際化組織（IOCE）創(chuàng)建了目前在數(shù)字取證領(lǐng)域中享有盛譽(yù)的“數(shù)字取證科學(xué)工作組（SWGDE）”。這個(gè)工作組創(chuàng)先提出了“計(jì)算機(jī)潛在證據(jù)（latentevidenceonacomputer）”的概念，這個(gè)概念就是現(xiàn)在“電子證據(jù)”概念的雛形。1991年，在美國(guó)召開的第一屆國(guó)際計(jì)算機(jī)調(diào)查專家會(huì)議（InternationalAssociationofComputerInvestigativeSpecialists，IACIS）上，首次提出“計(jì)算機(jī)證據(jù)”（ComputerEvidence）的概念，將其定義為“可以識(shí)別、恢復(fù)、提取、保存、形成報(bào)告并使之成為法律證據(jù)的電子形式存儲(chǔ)的信息（ElectronicallyStoredInformation，ESI）”，這為打擊計(jì)算機(jī)犯罪提供了法律基礎(chǔ)。[劉浩陽:《電子數(shù)據(jù)取證》，清華大學(xué)出版社，2015年，p3]1.1.1電子數(shù)據(jù)的概念20世紀(jì)90年代中期，音頻及視頻技術(shù)不斷從模擬方式向數(shù)字方式轉(zhuǎn)變，這使得“計(jì)算機(jī)證據(jù)”概念在數(shù)字犯罪偵查領(lǐng)域中顯露出了它的局限性。因此，包含數(shù)字視頻和音頻證據(jù)的、更為廣泛的新概念—“數(shù)字證據(jù)（digitalevidence）”應(yīng)運(yùn)而生，并在1998年3月2日在維吉尼亞州舉行的美國(guó)聯(lián)邦犯罪調(diào)查實(shí)驗(yàn)室研討會(huì)上被正式提出。[楊衛(wèi)平.分布式計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)研究[D].中南大學(xué),2006.]從20世紀(jì)90年代初開始，有關(guān)制定“數(shù)字證據(jù)”標(biāo)準(zhǔn)以及提供“數(shù)字證據(jù)”檢驗(yàn)框架的工作一直沒有停止。在這種需求下，SWGDE在1998年8月的年會(huì)中發(fā)表了“數(shù)字取證”中關(guān)于電子證據(jù)的相關(guān)標(biāo)準(zhǔn)和需遵循的基本原則，這些標(biāo)準(zhǔn)和基本原則于1999年10月發(fā)表在英國(guó)倫敦舉行的“國(guó)際高技術(shù)犯罪與取證會(huì)議”（InternationalHi-TechCrimeandForensicsConference，IHFC）上，使電子證據(jù)的概念得到明確。1.1.1電子數(shù)據(jù)的概念在我國(guó)，全國(guó)人大通過《刑事訴訟法》修正案之前，電子數(shù)據(jù)的法律地位一直不明確，這也導(dǎo)致司法實(shí)踐中對(duì)電子數(shù)據(jù)的運(yùn)用于法無據(jù)。1996年的《刑事訴訟法》并未將電子數(shù)據(jù)列為證據(jù)，我國(guó)法律體系也沒有將電子數(shù)據(jù)納入所謂證據(jù)體系當(dāng)中。此外，圍繞電子證據(jù)本身也存在著理論界與法律界的諸多爭(zhēng)議，主要集中在兩點(diǎn)：一是電子證據(jù)的法律地位如何確立；二是如何確定電子證據(jù)的司法效力。隨著云計(jì)算、物聯(lián)網(wǎng)等互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，傳統(tǒng)犯罪快速向互聯(lián)網(wǎng)遷移，犯罪手段不斷翻新，電子數(shù)據(jù)在證明案件事實(shí)的過程中發(fā)揮著越來越重要的作用，缺乏電子數(shù)據(jù)的支撐將難以認(rèn)定相關(guān)犯罪事實(shí)。將電子數(shù)據(jù)作為一種新的證據(jù)種類加以規(guī)定，已是必然選擇。2013年1月1日施行的《中華人民共和國(guó)刑事訴訟法》為適應(yīng)刑事訴訟的實(shí)踐需要，將“電子數(shù)據(jù)[《中華人民共和國(guó)刑事訴訟法》第四十八條。]”增設(shè)為法定的證據(jù)類型，這也是我國(guó)首次將“電子數(shù)據(jù)”列入證據(jù)類型之中。1.1.1電子數(shù)據(jù)的概念《刑事訴訟法（2013年修訂）》第四十八條（《刑事訴訟法（2018年修正）》第50條）規(guī)定了證據(jù)的八種類型：（一）物證；（二）書證；（三）證人證言；（四）被害人陳述；（五）犯罪嫌疑人、被告人供述和辯解；（六）鑒定意見；（七）勘驗(yàn)、檢查、辨認(rèn)、偵查實(shí)驗(yàn)等筆錄；（八）視聽資料、電子數(shù)據(jù)?！缎淌略V訟法》的這一改變，進(jìn)一步豐富了證據(jù)的外延，有利于規(guī)范司法實(shí)務(wù)部門對(duì)于電子數(shù)據(jù)的提取和應(yīng)用，更好地證明案件事實(shí)。之后，《民事訴訟法》、《行政訴訟法》都將“電子數(shù)據(jù)”列為證據(jù)類型。從而在國(guó)家法律上對(duì)“電子數(shù)據(jù)”這一名稱進(jìn)行了統(tǒng)一的界定。1.1.1電子數(shù)據(jù)的概念《刑事訴訟法》第四十八條雖然將“電子數(shù)據(jù)”首次納入法定證據(jù)種類之一，卻并沒有進(jìn)一步明確電子數(shù)據(jù)證據(jù)的概念、證明規(guī)則、證明力的認(rèn)定標(biāo)準(zhǔn)等基礎(chǔ)和關(guān)鍵問題，電子證據(jù)的可采性和證明力認(rèn)定這兩大根本性難題在現(xiàn)有法律層面沒有得到解決。直到2016年9月，最高人民法院、最高人民檢察院、公安部印發(fā)了《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》，其中的第一條明確定義電子數(shù)據(jù)證據(jù)為“案件發(fā)生過程中形成的，以數(shù)字化形式存儲(chǔ)、處理、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)?！盵《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第一條。]這一定義清晰地闡述了電子數(shù)據(jù)證據(jù)的本質(zhì)就是二進(jìn)制數(shù)字，而文本、視頻、音頻、圖像等只不過是電子數(shù)據(jù)證據(jù)的不同表現(xiàn)形式，這樣定義電子數(shù)據(jù)證據(jù)有利于我們對(duì)其本質(zhì)的認(rèn)識(shí)。1.1.2電子數(shù)據(jù)的表現(xiàn)形式及分類作為一種新型的證據(jù)類型，電子數(shù)據(jù)即是一種獨(dú)立的證據(jù)，也可以被視為其他7類證據(jù)的數(shù)據(jù)化?！巴叻N傳統(tǒng)證據(jù)形式相比，應(yīng)該說電子證據(jù)來源于七種證據(jù)，是將各種傳統(tǒng)證據(jù)部分剝離出來而泛稱的一種新證據(jù)形式”。《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》的第一條采取“概括＋列舉＋排除”的方式，對(duì)電子數(shù)據(jù)作了明確界定。具體而言，第1款對(duì)電子數(shù)據(jù)作了概括規(guī)定：“電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲(chǔ)、處理、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)?！敝韵薅椤鞍讣l(fā)生過程中”，是為了將案件發(fā)生后形成的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等電子化的言詞證據(jù)排除在外。1.1.2電子數(shù)據(jù)的表現(xiàn)形式及分類根據(jù)《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第一條第2款的規(guī)定：“電子數(shù)據(jù)包括但不限于下列信息、電子文件：（一）網(wǎng)頁、博客、微博客、朋友圈、貼吧、網(wǎng)盤等網(wǎng)絡(luò)平臺(tái)發(fā)布的信息；（二）手機(jī)短信、電子郵件、即時(shí)通信、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息；（三）用戶注冊(cè)信息、身份認(rèn)證信息、電子交易記錄、通信記錄、登錄日志等信息；（四）文檔、圖片、音視頻、數(shù)字證書、計(jì)算機(jī)程序等電子文件?！?.1.2電子數(shù)據(jù)的表現(xiàn)形式及分類根據(jù)解讀，以數(shù)字化形式存儲(chǔ)的音視頻屬于電子數(shù)據(jù)而非試聽資料，而以模擬信號(hào)存儲(chǔ)的磁帶、錄像帶等音視頻仍然屬于視聽資料。此外，上述信息雖然都屬于電子數(shù)據(jù)，但是對(duì)于不同類型的電子數(shù)據(jù)的取證程序要求可能存在差別，如對(duì)于通信信息的收集、提取可能涉及技術(shù)偵查措施，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)。根據(jù)刑訴法的規(guī)定，不同類型的證據(jù)在取證方法、取證程序上有不同的要求，對(duì)證據(jù)審查判斷的要點(diǎn)也不同，鑒于這個(gè)原因，《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第一條第3款的規(guī)定：“以數(shù)字化形式記載的證人證言、被害人陳述以及犯罪嫌疑人、被告人供述和辯解等證據(jù)，不屬于電子數(shù)據(jù)。確有必要的，對(duì)相關(guān)證據(jù)的收集、提取、移送、審查，可以參照適用本規(guī)定”。1.2電子數(shù)據(jù)證據(jù)1.2

電子數(shù)據(jù)證據(jù)所謂證據(jù)就是指能夠證明案件真實(shí)情況的事實(shí)。證據(jù)的基本功能就在于它具有證明一定事實(shí)存在與否的作用。證據(jù)在司法證明中的作用是無庸質(zhì)疑的，它是法官判定罪與非罪的標(biāo)準(zhǔn)。因此，獲取證據(jù)，是正確使用法律的前提條件和基礎(chǔ)。隨著信息時(shí)代的發(fā)展，電子數(shù)據(jù)以一種全新的證據(jù)形式出現(xiàn)在法庭上。電子數(shù)據(jù)證據(jù)是由于計(jì)算機(jī)犯罪而產(chǎn)生的，是懲罰計(jì)算機(jī)犯罪分子的必要條件。電子數(shù)據(jù)取證的主要任務(wù)就是獲取電子數(shù)據(jù)證據(jù)。1.2.1電子數(shù)據(jù)證據(jù)概念作為一種由現(xiàn)代電子技術(shù)引發(fā)的新型證據(jù)，電子數(shù)據(jù)證據(jù)目前在世界范圍內(nèi)對(duì)其含義的理解可謂眾說紛紜。從英文表述方式來看，常見的就不下十種，主要包括“ElectronicEvidence”、“DigitalEvidence”、“ComputerEvidence”、“Computer-BasedEvidence”、“Computer-producedEvidence”、“Computer-createdEvidence”等。從中文表達(dá)方式來看，常見的也有近十種，除了“電子數(shù)據(jù)證據(jù)”之外，還有“電子證據(jù)”、“電子物證”、“計(jì)算機(jī)證據(jù)”、“計(jì)算機(jī)數(shù)據(jù)證據(jù)”、“數(shù)字證據(jù)”、“電子文件證據(jù)”等。雖然在用語的表達(dá)上有所分歧，但是均從不同角度表明，電子數(shù)據(jù)證據(jù)是同電子技術(shù)、數(shù)字技術(shù)或計(jì)算機(jī)存在密切聯(lián)系，可以說沒有電子技術(shù)、數(shù)字技術(shù)或計(jì)算機(jī)的存在就不會(huì)有電子數(shù)據(jù)證據(jù)的出現(xiàn)。我國(guó)證據(jù)法學(xué)家認(rèn)為，電子數(shù)據(jù)證據(jù)是存儲(chǔ)有電子數(shù)據(jù)的電、磁、光記錄物，這些電子數(shù)據(jù)是在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的，并能夠以其內(nèi)容證明案件事實(shí)，它們可以轉(zhuǎn)換為不同的輸出表現(xiàn)形式。[丁麗萍.網(wǎng)絡(luò)取證及計(jì)算機(jī)取證的理論研究[J].信息網(wǎng)絡(luò)安全,2010(12):38-41.]1.2.1電子數(shù)據(jù)證據(jù)概念在《刑事訴訟法》修正案頒布之前，我國(guó)三大訴訟法沒有將電子數(shù)據(jù)作為獨(dú)立的證據(jù)種類，而是根據(jù)電子數(shù)據(jù)證據(jù)的某些特征，在相關(guān)法律和司法解釋中給出了比較模糊的規(guī)定，從而導(dǎo)致在司法實(shí)踐中只能通過對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行公證轉(zhuǎn)化為書證，或申請(qǐng)司法鑒定轉(zhuǎn)化為鑒定結(jié)論來使用電子數(shù)據(jù)證據(jù)，其效能和廣泛應(yīng)用被嚴(yán)重限制。我國(guó)舊的《刑事訴訟法》將電子數(shù)據(jù)證據(jù)定義為“以錄音帶、錄像帶、光盤、電腦和其他科學(xué)技術(shù)設(shè)備儲(chǔ)存的電子音像信息證明案件的證據(jù)”。這一定義明顯地將電子數(shù)據(jù)證據(jù)歸為視聽資料，沒有反映出電子數(shù)據(jù)證據(jù)的本質(zhì)。1.2.1電子數(shù)據(jù)證據(jù)概念隨著電子證據(jù)在證明案件事實(shí)的過程發(fā)揮越來越重要的作用，電子數(shù)據(jù)證據(jù)可以作為證據(jù)使用已達(dá)成共識(shí)，而且相關(guān)諸如《合同法》、《電子簽名法》等法律法規(guī)以及司法解釋當(dāng)中也有所提及。但我國(guó)法律體系對(duì)于電子證據(jù)的法律地位卻始終沒有確定。因此上，一直存在著電子證據(jù)法律地位的爭(zhēng)議，有前者認(rèn)為電子數(shù)據(jù)證據(jù)就是傳統(tǒng)證據(jù)，并力圖將其劃為書證或視聽材料等傳統(tǒng)證據(jù)類別當(dāng)中，也有學(xué)者認(rèn)為電子證據(jù)應(yīng)該是一種新型的獨(dú)立證據(jù)類型。新《刑事訴訟法》第48條雖然將“電子數(shù)據(jù)”首次納入法定證據(jù)種類之一，卻并沒有進(jìn)一步明確電子數(shù)據(jù)證據(jù)的概念、證明規(guī)則、證明力的認(rèn)定標(biāo)準(zhǔn)等基礎(chǔ)和關(guān)鍵問題，電子證據(jù)的可采性和證明力認(rèn)定這兩大根本性難題在現(xiàn)有法律層面沒有得到解決。直到《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》的出臺(tái)，才從法律層面對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行了定義。1.2.2

電子數(shù)據(jù)證據(jù)特點(diǎn)在司法實(shí)踐中．并不是所有的證據(jù)材料都可以呈堂以證明案件事實(shí)。只有具有證明力的證據(jù)才符合法律規(guī)定的資格，這種“證明力”在英美證據(jù)法律制度中被稱為證據(jù)的可采性。在我國(guó)的司法實(shí)踐中，衡量證據(jù)材料是否具有證明力通常有3個(gè)標(biāo)準(zhǔn)，即客觀性、關(guān)聯(lián)性、和合法性。電子數(shù)據(jù)作為一種新型證據(jù)，和傳統(tǒng)證據(jù)一樣，都應(yīng)遵循證據(jù)的三性。

1.電子數(shù)據(jù)證據(jù)的“三性”（1）客觀性考察電子數(shù)據(jù)證據(jù)在生成、存儲(chǔ)、傳輸過程有無剪接、刪改、替換的情況，其內(nèi)容是否前后一致，符合邏輯。（2）關(guān)聯(lián)性分析電子數(shù)據(jù)證據(jù)與案件事實(shí)有關(guān)聯(lián)，關(guān)聯(lián)程度如何.（3）合法性違反法定程序取得的電子數(shù)據(jù)證據(jù)應(yīng)予排除。1.2.2

電子數(shù)據(jù)證據(jù)特點(diǎn)2.電子數(shù)據(jù)證據(jù)的特殊性與傳統(tǒng)證據(jù)一樣，電子數(shù)據(jù)證據(jù)必須是可信的、準(zhǔn)確的、完整的、使法官信服的、符合法律法規(guī)的、可為法庭所接受的。但與傳統(tǒng)證據(jù)相比，除了傳統(tǒng)證據(jù)的“三性”外，電子數(shù)據(jù)證據(jù)還具有一定的特殊性，正是這些特點(diǎn)決定了電子數(shù)據(jù)證據(jù)的優(yōu)越性和不足。在保存方式上，電子數(shù)據(jù)證據(jù)需要借助一定的介質(zhì)。這與傳統(tǒng)證據(jù)有很大不同。如傳統(tǒng)書證主要的載體是紙張等可書寫物質(zhì)，傳統(tǒng)證人證言主要借助人的記憶，傳統(tǒng)物證主要借助于各種物品、痕跡與物質(zhì)等；而電子數(shù)據(jù)證據(jù)則離不開硬盤、存儲(chǔ)卡、光盤、芯片、磁帶等存儲(chǔ)介質(zhì)。在傳播方式上，電子數(shù)據(jù)證據(jù)可以無限地快速傳播，如電子郵件、聊天信息可以通過互聯(lián)網(wǎng)在瞬間傳播到世界每一個(gè)角落。而傳統(tǒng)證據(jù)只能在物理空間傳遞，如通過當(dāng)事人交接、移送的方式進(jìn)行。傳統(tǒng)證人的證言傳播開來后雖然在原始出處仍然存在，但往往會(huì)發(fā)生重大出入，而電子數(shù)據(jù)證據(jù)的傳遞實(shí)質(zhì)上屬于信息的精確復(fù)制，在感知方式上，電子數(shù)據(jù)證據(jù)必須借助電子設(shè)備，且不能脫離特定的系統(tǒng)環(huán)境。如果沒有專門的電子設(shè)備進(jìn)行顯示，無論多么形象、真實(shí)可靠的內(nèi)容，都只能停留在各種存儲(chǔ)介質(zhì)中，而不能被人們所感知，也不能為法庭所認(rèn)可和采信。綜上所述，將電子證據(jù)的特性歸納為以下幾點(diǎn)：1.2.2

電子數(shù)據(jù)證據(jù)特點(diǎn)（1）技術(shù)依賴性與其他證據(jù)不同，電子數(shù)據(jù)證據(jù)的形成與存在必須依賴于現(xiàn)代電子設(shè)備和技術(shù)實(shí)現(xiàn)，電子數(shù)據(jù)證據(jù)的提取與展現(xiàn)也必須借助電子設(shè)備、通過一定的技術(shù)手段來實(shí)現(xiàn)。因此，電子數(shù)據(jù)證據(jù)本質(zhì)上是以電子形式存儲(chǔ)或傳輸?shù)臄?shù)據(jù)，具有技術(shù)依賴性。（2）隱蔽性與其他傳統(tǒng)證據(jù)相比較，電子數(shù)據(jù)證據(jù)是以虛擬形態(tài)保存的。傳統(tǒng)證據(jù)的內(nèi)容和形態(tài)可以直接感知，而電子數(shù)據(jù)證據(jù)則是將信息以電磁等形式存在于介質(zhì)之上。例如硬盤存儲(chǔ)信息時(shí)，通過磁性材料而形成的電磁場(chǎng)將電子信息記錄下來；而在向光盤中記錄信息時(shí)，是利用激光通過將信息以凹凸點(diǎn)的形式記錄在光盤上。這些數(shù)字信息以“0”和“1”表示，通過排列組合來表示特定數(shù)值的數(shù)據(jù)，其內(nèi)容無法為人們直接感知。所以記錄方式的隱蔽性是電子數(shù)據(jù)與傳統(tǒng)證據(jù)最本質(zhì)的區(qū)別，也是電子數(shù)據(jù)最根本的特點(diǎn)。1.2.2

電子數(shù)據(jù)證據(jù)特點(diǎn)（3）易破壞性電子數(shù)據(jù)證據(jù)以電子信息的形式存儲(chǔ)在電磁介質(zhì)上，較之傳統(tǒng)的證據(jù)而言，電子數(shù)據(jù)證據(jù)更易被篡改，且可不留痕跡。環(huán)境的影響，例如供電故障、硬件故障、病毒、人為操作，都會(huì)導(dǎo)致電子數(shù)據(jù)改變和滅失，從而影響到電子數(shù)據(jù)的真實(shí)性和完整性。因此電子數(shù)據(jù)的記錄方式及介質(zhì)的特殊性和網(wǎng)絡(luò)空間的特性決定了它自身具有一定的易破壞性。（4）穩(wěn)定性電子數(shù)據(jù)證據(jù)中的一些信息隱藏在它的元數(shù)據(jù)或者本身之外，同時(shí)對(duì)電子數(shù)據(jù)的影響會(huì)使之留下痕跡。電子數(shù)據(jù)證據(jù)這一特點(diǎn)，可以使得大量不為人知的電子數(shù)據(jù)被保存下來，使得電子數(shù)據(jù)可以作為證據(jù)使用的效力大大增加。因?yàn)橐獙?duì)磁盤上的數(shù)據(jù)信息、網(wǎng)絡(luò)環(huán)境中的實(shí)時(shí)信息、計(jì)算機(jī)運(yùn)行狀態(tài)的系統(tǒng)信息等進(jìn)行修改而又不留下修改的操作痕跡是很難做到的。通過數(shù)據(jù)恢復(fù)、數(shù)據(jù)挖掘等技術(shù)手段可以發(fā)現(xiàn)對(duì)數(shù)據(jù)信息修改的“蛛絲馬跡”，并有可能恢復(fù)原始數(shù)據(jù)信息。因此，可以說電子證據(jù)較之傳統(tǒng)證據(jù)更具有安全性和穩(wěn)定性。1.2.2

電子數(shù)據(jù)證據(jù)特點(diǎn)（5）開放性從司法實(shí)踐來看，電子數(shù)據(jù)證據(jù)越來越多的與互聯(lián)網(wǎng)聯(lián)系在一起，而網(wǎng)絡(luò)的一個(gè)重要特點(diǎn)是可以不受時(shí)空限制獲取電子數(shù)據(jù)，這是電子數(shù)據(jù)的開放性的表現(xiàn)，也是對(duì)該類證據(jù)的收集亟需加以規(guī)范的地方。（6）表現(xiàn)形式的多樣性電子數(shù)據(jù)證據(jù)的表現(xiàn)形式是多種多樣的，可以是文本、圖像、音頻、視頻等，將多種表現(xiàn)形式融為一體是電子數(shù)據(jù)證據(jù)獨(dú)有的特點(diǎn)。這要求電子數(shù)據(jù)取證工具具有識(shí)別多種形式的電子數(shù)據(jù)證據(jù)的能力。由于電子證據(jù)的這些特點(diǎn)，使得對(duì)其取證既是可行的，也是復(fù)雜的。在計(jì)算機(jī)犯罪行為日益猖獗，犯罪手段越發(fā)隱蔽的情況下，打擊和遏制計(jì)算機(jī)犯罪，需要向法庭提供充分、可靠、有說服力的電子證據(jù)，以證明計(jì)算機(jī)犯罪。要依靠法律手段對(duì)犯罪行為進(jìn)行制裁，而制裁的依據(jù)是提高電子數(shù)據(jù)取證技術(shù)，有效地獲取嫌疑人留下的“痕跡”，并以證據(jù)的形式提供給法庭。1.3電子數(shù)據(jù)取證1.3

電子數(shù)據(jù)取證電子數(shù)據(jù)取證技術(shù)，亦稱為計(jì)算機(jī)取證技術(shù)，是信息安全領(lǐng)域的一個(gè)全新分支，它不僅是法學(xué)在計(jì)算機(jī)科學(xué)中的有效應(yīng)用，也是對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的有力補(bǔ)充。電子數(shù)據(jù)取證技術(shù)涉及從計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備中獲取、保存、分析、出示相關(guān)電子證據(jù)的法律、程序、技術(shù)問題。電子數(shù)據(jù)取證為打擊計(jì)算機(jī)犯罪提供了科學(xué)的方法和手段，并提供了法庭所需要的合適證據(jù)。為了更好的打擊計(jì)算機(jī)犯罪，我們需對(duì)電子數(shù)據(jù)取證的相關(guān)概念、電子數(shù)據(jù)取證的原則以及電子數(shù)據(jù)取證發(fā)展歷史等進(jìn)行深入的研究。1.3.1電子數(shù)據(jù)取證的概念關(guān)于電子數(shù)據(jù)取證的定義多種多樣，目前還沒有一個(gè)權(quán)威的部門給出統(tǒng)一的定義，但可以肯定的是，電子數(shù)據(jù)取證的定義是從計(jì)算機(jī)取證逐步發(fā)展而來。計(jì)算機(jī)取證（ComputerForensics）一詞由計(jì)算機(jī)專家國(guó)際聯(lián)盟（InternationalAssociationofComputerInvestigativeSpecialists，IACIS）在1991年舉行的會(huì)議上首次提出，并在2001年舉行的十三屆國(guó)際事件響應(yīng)與安全組論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST，）上被稱為當(dāng)時(shí)的主要議題。2001年召開的數(shù)字取證研討會(huì)（DFRW）定義了數(shù)字取證學(xué)（DigitalForensicScience，也稱計(jì)算機(jī)取證）的概念。這次會(huì)議的總結(jié)報(bào)告指出：數(shù)字取證學(xué)就是指計(jì)算機(jī)取證的框架（Framework）、模型（Model）、技術(shù)環(huán)境抽象（AbstractionsforTechnicalEnvironment）以及有關(guān)證據(jù)和過程的重要的概念（Conception）。這一文獻(xiàn)為計(jì)算機(jī)取證的理論研究奠定了基礎(chǔ)。[丁麗萍.網(wǎng)絡(luò)取證及計(jì)算機(jī)取證的理論研究[J].信息網(wǎng)絡(luò)安全,2010(12):38-41.]1.3.1電子數(shù)據(jù)取證的概念LeeGarber在IEEESecurity發(fā)表的文章中認(rèn)為，計(jì)算機(jī)取證就是分析硬盤、光盤、軟盤、zip盤、Jazz盤、內(nèi)存緩沖以及其他存儲(chǔ)形式的存儲(chǔ)介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程。作為計(jì)算機(jī)取證方面的資深人士，JuddRobbins給出如下定義:“計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取。證據(jù)可以在計(jì)算機(jī)犯罪或誤用這一大范圍中收集，包括竊取商業(yè)機(jī)密、竊取或破壞知識(shí)產(chǎn)權(quán)和欺詐行為等”。美國(guó)的計(jì)算機(jī)緊急事件響應(yīng)組（ComputerEmergencyResponseTeam，CERT）和取證咨詢公司NTI（NewTechnologiesIncorporated）進(jìn)一步擴(kuò)展了該定義：“計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔”。世界著名的計(jì)算機(jī)取證機(jī)構(gòu)SANS認(rèn)為：“計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)定的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)”。計(jì)算機(jī)取證機(jī)構(gòu)Sensei信息技術(shù)咨詢公司則將計(jì)算機(jī)取證簡(jiǎn)單概括為對(duì)電子證據(jù)的收集、保存、分析和陳述。Enterasys公司的CTO、辦公網(wǎng)絡(luò)安全設(shè)計(jì)師DickBussiere認(rèn)為：“計(jì)算機(jī)取證，是指把計(jì)算機(jī)看作犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行法醫(yī)式的解剖，搜索確認(rèn)犯罪及其犯罪證據(jù)，并據(jù)此提起訴訟的過程和技術(shù)”。1.3.1電子數(shù)據(jù)取證的概念我國(guó)重慶郵電大學(xué)的陳龍教授等人提出[陳龍、王國(guó)胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào),2015(6):1.]，計(jì)算機(jī)取證是運(yùn)用計(jì)算機(jī)及其相關(guān)科學(xué)和技術(shù)的原理和方法獲取與計(jì)算機(jī)相關(guān)證據(jù)以證明某個(gè)客觀事實(shí)的過程。它包括計(jì)算機(jī)證據(jù)的確定、收集、保護(hù)、分析、歸檔以及法庭出示。我國(guó)網(wǎng)安部門的劉浩陽提出[劉浩洋、李錦、劉曉宇：《電子數(shù)據(jù)取證》，清華大學(xué)出版社2015年版，第7頁。]，電子數(shù)據(jù)取證涉及法律和技術(shù)兩個(gè)層面，其實(shí)質(zhì)為“采用技術(shù)手段，獲取、分析、固定電子數(shù)據(jù)作為認(rèn)定事實(shí)的科學(xué)”。這是能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f服性的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子數(shù)據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程，是對(duì)存儲(chǔ)介質(zhì)中保存的數(shù)據(jù)所進(jìn)行的一種科學(xué)的檢查和分析方法。對(duì)于電子數(shù)據(jù)取證來說，取和證是一個(gè)閉環(huán)的過程，最終的目標(biāo)是形成“證據(jù)鏈”。1.3.2電子數(shù)據(jù)取證的原則由于各國(guó)在法律、道德和意識(shí)形態(tài)上存在差異，取證與司法鑒定原則在具體使用上可能有所不同。在國(guó)內(nèi)，學(xué)者對(duì)有關(guān)電子數(shù)據(jù)取證原則有不同的論述，但在法律上還缺乏相應(yīng)的規(guī)定。由于網(wǎng)絡(luò)技術(shù)的無國(guó)界性，各國(guó)電子數(shù)據(jù)取證原則的目的都是為保證獲取證據(jù)的合法性、客觀性和關(guān)聯(lián)性。因此，綜合起來電子數(shù)據(jù)取證原則應(yīng)該包括以下幾個(gè)方面：1.依法取證原則任何證據(jù)的有效性和可采用性都取決于證據(jù)的客觀性、與案件事實(shí)的關(guān)聯(lián)性和取證活動(dòng)的合法性。首先，調(diào)查取證的人員要合法，應(yīng)經(jīng)過相關(guān)培訓(xùn)，具備法定資質(zhì)；其次，作為電子數(shù)據(jù)取證的對(duì)象范圍應(yīng)明確確定，不能對(duì)與案件事實(shí)無關(guān)的數(shù)據(jù)隨意取證；第三、取證所使用的方法必須符合相關(guān)技術(shù)標(biāo)準(zhǔn)，工具必須通過國(guó)家有關(guān)主管部門的評(píng)測(cè)；第四、取證必須按照法律的規(guī)定公開進(jìn)行。采取非法手段獲取的證據(jù)是不具備可采用性的，所以，也就喪失了其證明力。1.3.2電子數(shù)據(jù)取證的原則2.保護(hù)證據(jù)完整性原則《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第五條規(guī)定“對(duì)作為證據(jù)使用的電子數(shù)據(jù)，應(yīng)當(dāng)采取以下一種或者幾種方法保護(hù)電子數(shù)據(jù)的完整性：（一）扣押、封存電子數(shù)據(jù)原始存儲(chǔ)介質(zhì)；（二）計(jì)算電子數(shù)據(jù)完整性校驗(yàn)值；（三）制作、封存電子數(shù)據(jù)備份；（四）凍結(jié)電子數(shù)據(jù)；（五）對(duì)收集、提取電子數(shù)據(jù)的相關(guān)活動(dòng)進(jìn)行錄像；（六）其他保護(hù)電子數(shù)據(jù)完整性的方法”。第十六條規(guī)定“電子數(shù)據(jù)檢查，應(yīng)當(dāng)對(duì)電子數(shù)據(jù)存儲(chǔ)介質(zhì)拆封過程進(jìn)行錄像，并將電子數(shù)據(jù)存儲(chǔ)介質(zhì)通過寫保護(hù)設(shè)備接入到檢查設(shè)備進(jìn)行檢查；有條件的，應(yīng)當(dāng)制作電子數(shù)據(jù)備份，對(duì)備份進(jìn)行檢查；無法使用寫保護(hù)設(shè)備且無法制作備份的，應(yīng)當(dāng)注明原因，并對(duì)相關(guān)活動(dòng)進(jìn)行錄像”。1.3.2電子數(shù)據(jù)取證的原則一般情況下，為了避免電子數(shù)據(jù)在分析處理過程中遭受意外損壞，對(duì)電子證據(jù)做多個(gè)備份是必要的。不應(yīng)在原始介質(zhì)上進(jìn)行分析，而應(yīng)對(duì)原始介質(zhì)做備份，然后將原始介質(zhì)作為證據(jù)保存起來，檢驗(yàn)在備份上進(jìn)行。因?yàn)?，有時(shí)使用寫保護(hù)設(shè)備長(zhǎng)時(shí)間地對(duì)原始證據(jù)盤進(jìn)行分析，也可能會(huì)造成對(duì)原始硬盤的損害。比如，原始證據(jù)盤已經(jīng)存在一定的壞扇區(qū)或弱扇區(qū)，如果長(zhǎng)時(shí)間對(duì)硬盤進(jìn)行分析，可能損害原始硬盤。因此推薦的做法是先用硬盤復(fù)制機(jī)將原始硬盤復(fù)制一個(gè)或多個(gè)副本，再將原始證據(jù)盤封存，后續(xù)都通過只讀鎖對(duì)證據(jù)副本硬盤進(jìn)行分析。在特殊情況下，如需訪問在原始計(jì)算機(jī)或存儲(chǔ)介質(zhì)中的數(shù)據(jù)，該人員必須有能力勝任此操作，且操作的全過程必須進(jìn)行錄像，并能給出相關(guān)解析說明要訪問原始證據(jù)的理由。1.3.2電子數(shù)據(jù)取證的原則3.及時(shí)取證原則

電子證據(jù)的獲取具有實(shí)效性，一旦確定對(duì)象后，應(yīng)盡快提取證據(jù)，防止證據(jù)變更和丟失。因?yàn)殡娮幼C據(jù)的最重要的特點(diǎn)之一就是易破壞性，必須盡早搜集證據(jù)，并保證其沒有受到任何破壞。這一原則要求計(jì)算機(jī)證據(jù)的獲取要有一定的時(shí)效性。電子證據(jù)從形成到獲取之間間隔的時(shí)間越長(zhǎng)，被刪除、毀壞和修改的可能性就越大。因此，確定取證對(duì)象后，應(yīng)該盡可能早地獲取電子證據(jù)，保證其沒有受到任何破壞和損失。1.3.2電子數(shù)據(jù)取證的原則4.證據(jù)連續(xù)性原則為了在法庭采用的時(shí)候能證明整個(gè)調(diào)查取證過程的合法性、真實(shí)性和完整性，電子證據(jù)從最初的獲取狀態(tài)到法庭提交狀態(tài)之間（包含證據(jù)的移交、保管、開封、拆卸等過程），如果存在任何變化都能有明確說明此過程中沒有人對(duì)證據(jù)進(jìn)行惡意的篡改，這也就是取證過程中一直強(qiáng)調(diào)的“證據(jù)連續(xù)性”（ChainofCustody）原則?！蛾P(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第十四條規(guī)定“收集、提取電子數(shù)據(jù)，應(yīng)當(dāng)制作筆錄，記錄案由、對(duì)象、內(nèi)容...等，由偵查人員、電子數(shù)據(jù)持有人（提供人）簽名或者蓋章；電子數(shù)據(jù)持有人（提供人）無法簽名或者拒絕簽名的，應(yīng)當(dāng)在筆錄中注明，由見證人簽名或者蓋章。有條件的，應(yīng)當(dāng)對(duì)相關(guān)活動(dòng)進(jìn)行錄像”。在取證過程中，應(yīng)該記錄相關(guān)的重要操作步驟及其細(xì)節(jié)，如所有可能接觸證據(jù)的人、接觸時(shí)間、以及對(duì)電子證據(jù)進(jìn)行的相關(guān)操作。任何取證分析的結(jié)果或結(jié)論可以在另外一名取證人員的操作下重現(xiàn)。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展1．面臨的問題（1）培訓(xùn)流于形式，嚴(yán)重滯后發(fā)展需求電子數(shù)據(jù)取證是一個(gè)嚴(yán)謹(jǐn)?shù)倪^程，因?yàn)樗枰戏稍V訟的要求。因此，取證機(jī)構(gòu)必須從“人、機(jī)、料、法、環(huán)、測(cè)”等多個(gè)方面規(guī)范電子數(shù)據(jù)取證工作。而排在第一位的“人”更是整個(gè)質(zhì)量管理體系中的重中之重，電子數(shù)據(jù)取證對(duì)取證人員的經(jīng)驗(yàn)和專業(yè)素養(yǎng)有著極高的要求，這在CNAS-CL08:2013、CNAS-CL27：2014以及《司法鑒定人登記管理辦法》、《公安機(jī)關(guān)鑒定人登記管理辦法》等文件中進(jìn)行了明確的規(guī)定。鑒定人專業(yè)素養(yǎng)不是與生俱來的，只有通過科學(xué)培養(yǎng)、系統(tǒng)學(xué)習(xí)，才能打造高素質(zhì)的鑒定隊(duì)伍。因此，培訓(xùn)是提高鑒定人專業(yè)素養(yǎng)、確保鑒定質(zhì)量的必要手段。目前，我國(guó)的在該領(lǐng)域的培訓(xùn)工作還處于起步階段，與國(guó)際上的人才培訓(xùn)和認(rèn)證發(fā)展相差甚遠(yuǎn)。盡管在公安類院校和政法類大學(xué)開設(shè)了相關(guān)課程，但是與實(shí)戰(zhàn)相差甚遠(yuǎn)，效果也不盡人意。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展大多數(shù)電子數(shù)據(jù)鑒定機(jī)構(gòu)只能通過參加由CNAS或者能力驗(yàn)證提供者組織的能力驗(yàn)證活動(dòng)來發(fā)現(xiàn)問題、查找不足。目前，國(guó)內(nèi)尚未有權(quán)威的電子數(shù)據(jù)取證的培訓(xùn)認(rèn)證體系，一是缺少培訓(xùn)的分級(jí)分類，既包括對(duì)不同背景、不同知識(shí)層次人員制定不同的培訓(xùn)計(jì)劃，也包括對(duì)電子數(shù)據(jù)不同領(lǐng)域，不同難度制定出分層次的培訓(xùn)計(jì)劃；二是缺少權(quán)威的成體系的教材，目前市面上關(guān)于電子數(shù)據(jù)取證的書籍林林總總，但是沒有一套真正成體系的教材，歸根結(jié)底還是缺少培訓(xùn)認(rèn)證的頂層設(shè)計(jì)；三是沒有成熟的師資隊(duì)伍，部分高校的教師基本理論功底扎實(shí)，但是缺少大量公安一線實(shí)戰(zhàn)工作經(jīng)驗(yàn)的積累，一線優(yōu)秀取證人員又缺少展示自己，將自己經(jīng)驗(yàn)轉(zhuǎn)化為教學(xué)成果的平臺(tái)；四是缺少權(quán)威的培訓(xùn)認(rèn)證制度，目前只是根據(jù)相關(guān)規(guī)定達(dá)到一定知識(shí)背景和工作年限就可以取得鑒定人資格，但對(duì)于電子數(shù)據(jù)取證工作，這是遠(yuǎn)遠(yuǎn)不夠的，需要有關(guān)部門盡快制定一套行之有效的認(rèn)證制度，并由權(quán)威機(jī)構(gòu)或部門進(jìn)行認(rèn)證。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展國(guó)際上，電子數(shù)據(jù)取證領(lǐng)域的培訓(xùn)已經(jīng)成為一種成熟產(chǎn)業(yè)，既有基于產(chǎn)品的認(rèn)證培訓(xùn)，如EnCase認(rèn)證調(diào)查員（EnCE）和AccessData認(rèn)證調(diào)查員（ACE），也有包含電子數(shù)據(jù)取證整個(gè)技術(shù)體系的綜合培訓(xùn)，如計(jì)算機(jī)入侵調(diào)查取證員（CHFI）、計(jì)算機(jī)檢驗(yàn)員（CCE）、計(jì)算機(jī)取證檢驗(yàn)員（CFCE）、GIAC認(rèn)證取證分析員（GCFA）、認(rèn)證取證檢驗(yàn)員（GCFE）等。要想把電子數(shù)據(jù)取證的培訓(xùn)做到位，首先，必須建立適應(yīng)中國(guó)國(guó)情的電子數(shù)據(jù)取證培訓(xùn)體系，要有國(guó)家權(quán)威部門進(jìn)行的頂層設(shè)計(jì)。同時(shí)，要借鑒國(guó)際培訓(xùn)經(jīng)驗(yàn)，立足于國(guó)際視野，在吸納國(guó)外先進(jìn)理念的同時(shí)，建立具有中國(guó)特色的體系化、專業(yè)化的培訓(xùn)教案、師資隊(duì)伍和認(rèn)證制度。目前，公安部和司法部相應(yīng)機(jī)構(gòu)已經(jīng)著手編撰了一系列關(guān)于電子數(shù)據(jù)取證的教材，并且結(jié)合每年的能力驗(yàn)證活動(dòng)、大比武、警務(wù)技術(shù)改革等一系列方式，加強(qiáng)對(duì)取證人員進(jìn)行培訓(xùn)。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展（2）標(biāo)準(zhǔn)重復(fù)嚴(yán)重，質(zhì)量較差、修訂周期過長(zhǎng)與國(guó)際相比，我國(guó)發(fā)布的電子數(shù)據(jù)取證和鑒定領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范看上去數(shù)量很多，但是由于標(biāo)準(zhǔn)制訂機(jī)構(gòu)之間缺乏協(xié)調(diào)和統(tǒng)一規(guī)劃，導(dǎo)致標(biāo)準(zhǔn)內(nèi)容出現(xiàn)重復(fù)現(xiàn)象嚴(yán)重。以國(guó)家標(biāo)準(zhǔn)為例，僅有的4個(gè)國(guó)標(biāo)中，有2個(gè)方向重復(fù)，分別出自不同部門。不僅是行業(yè)標(biāo)準(zhǔn)和司法鑒定技術(shù)規(guī)范幾乎大部分重復(fù)，行業(yè)標(biāo)準(zhǔn)本身間也存在重復(fù)現(xiàn)象。而作為標(biāo)準(zhǔn)，其基本要求之一就是要統(tǒng)一，要得到各部門、社會(huì)各界的共同認(rèn)可。此外，個(gè)別申報(bào)標(biāo)準(zhǔn)的部門對(duì)標(biāo)準(zhǔn)把關(guān)不嚴(yán)，只是注重申報(bào)數(shù)量，不注重其質(zhì)量，導(dǎo)致某些標(biāo)準(zhǔn)中出現(xiàn)了嚴(yán)重的錯(cuò)誤。電子數(shù)據(jù)鑒定實(shí)驗(yàn)室如果在實(shí)際案件中按照標(biāo)準(zhǔn)進(jìn)行操作，將會(huì)帶來不可避免的風(fēng)險(xiǎn)。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展而標(biāo)準(zhǔn)一旦制定，一段時(shí)間內(nèi)不會(huì)修訂。以行業(yè)標(biāo)準(zhǔn)為例，一個(gè)標(biāo)準(zhǔn)從立項(xiàng)到發(fā)布，大約周期在3年時(shí)間。而要進(jìn)行重新修訂，周期一般大于5年，這個(gè)僅僅是立項(xiàng)的周期，還不是實(shí)際發(fā)布的周期。在各類電子設(shè)備發(fā)展迅速的今天，標(biāo)準(zhǔn)的實(shí)踐意義不突出。針對(duì)目前取證標(biāo)準(zhǔn)混亂的情況，我國(guó)已開始著手建立關(guān)于電子數(shù)據(jù)取證的標(biāo)準(zhǔn)體系。目前，全國(guó)刑事技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)電子物證檢驗(yàn)分技術(shù)委員會(huì)在參考借鑒國(guó)際上研究成果和標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合我國(guó)的實(shí)際國(guó)情，著手制定了符合我國(guó)實(shí)際工作需求的電子數(shù)據(jù)取證標(biāo)準(zhǔn)體系及相關(guān)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)體系的草案已經(jīng)通過了業(yè)內(nèi)專家的評(píng)審。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展相應(yīng)的，電子數(shù)據(jù)取證活動(dòng)中也應(yīng)以三性原則為指導(dǎo)，針對(duì)電子證據(jù)的自身特性，從各個(gè)方面規(guī)范電子數(shù)據(jù)取證工作。由于電子數(shù)據(jù)取證是一門綜合性的學(xué)科，涉及到磁盤分析、加密解密、日志信息挖掘、數(shù)據(jù)庫技術(shù)、媒體介質(zhì)的物理分析等方面，如果沒有合適的取證工具，依賴人工實(shí)現(xiàn)就會(huì)大大降低取證過程的速度和取證結(jié)果的可靠性。隨著大容量磁盤和動(dòng)態(tài)證據(jù)信息的出現(xiàn)，手工取證的可行性也日漸降低。所以，電子數(shù)據(jù)鑒定工作需要相應(yīng)的工具軟件和外圍設(shè)備來支持。調(diào)查取證成功與否很大程度上取決于取證人員是否熟練掌握了足夠的、合適的、高效的取證工具。由此可見，在電子數(shù)據(jù)取證過程中熟練運(yùn)用軟件工具的是非常重要的。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展（3）設(shè)備準(zhǔn)確度難以保證，缺乏相應(yīng)產(chǎn)品準(zhǔn)入機(jī)制由于電子數(shù)據(jù)取證是一門綜合性的新興學(xué)科，如果沒有合適的取證工具，依賴人工實(shí)現(xiàn)就會(huì)大大降低取證過程的效率和取證結(jié)果的準(zhǔn)確性。所以，電子數(shù)據(jù)取證成功與否很大程度上取決于取證人員是否熟練掌握了足夠的、可靠的、高效的取證工具。目前，中國(guó)在電子數(shù)據(jù)取證領(lǐng)域的研發(fā)實(shí)力和技術(shù)積累已經(jīng)走在國(guó)際前列，擁有了包括電子數(shù)據(jù)取證的硬件（硬盤復(fù)制機(jī)、只讀鎖、取證工作站）以及取證軟件（計(jì)算機(jī)取證分析、手機(jī)取證分析）等全系列自主研發(fā)的取證產(chǎn)品，成為繼美國(guó)后第二個(gè)擁有電子數(shù)據(jù)取證軟硬件綜合研發(fā)能力的國(guó)家。但是，在取證產(chǎn)品的檢測(cè)上與國(guó)際相比處于明顯劣勢(shì)，既沒有編制取證工具的測(cè)試標(biāo)準(zhǔn)，也沒有形成配套的標(biāo)準(zhǔn)化測(cè)試鏡像。很多取證產(chǎn)品為了搶占市場(chǎng)，往往沒有經(jīng)過縝密的測(cè)試就推向市場(chǎng)。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展在取證工具的標(biāo)準(zhǔn)化方面，美國(guó)一直走在世界各國(guó)前列。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）認(rèn)為隨著取證工作復(fù)雜性的增加，取證設(shè)備軟件本身的可靠性成為影響取證結(jié)果的關(guān)鍵性因素之一。電子數(shù)據(jù)取證設(shè)備軟件自身的可靠性和取證結(jié)果的準(zhǔn)確度迫切需要權(quán)威驗(yàn)證。因此，NIST于2004年開展了計(jì)算機(jī)取證工具測(cè)試項(xiàng)目（CFTT）。2013年，美國(guó)建立了網(wǎng)絡(luò)取證電子技術(shù)資料交換中心（CyberFETCH），與CFTT一起進(jìn)行電子數(shù)據(jù)取證工具的評(píng)測(cè)。CFTT和CyberFETCH項(xiàng)目被公認(rèn)為最權(quán)威的關(guān)于電子數(shù)據(jù)取證工具的標(biāo)準(zhǔn)和指南。通過這兩個(gè)項(xiàng)目，美國(guó)建立了全美統(tǒng)一的取證工具基線，節(jié)約了各執(zhí)法機(jī)構(gòu)進(jìn)行取證工具測(cè)試的成本，確保執(zhí)法部門、司法部門以及其他法律組織在電子數(shù)據(jù)取證中使用的工具有效性。NIST甚至根據(jù)該項(xiàng)目手機(jī)取證設(shè)備測(cè)試過程中反映出來的情況對(duì)國(guó)家標(biāo)準(zhǔn)SP800-101《移動(dòng)智能設(shè)備取證指南》進(jìn)行了修訂。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展目前，我國(guó)對(duì)于取證設(shè)備還沒有制定準(zhǔn)入制度，針對(duì)取證工具的檢測(cè)標(biāo)準(zhǔn)也僅有GA/T754-2008和GA/T755-2008，隨著取證領(lǐng)域和技術(shù)的不斷發(fā)展，大量新型取證工具的涌現(xiàn)，這些標(biāo)準(zhǔn)已不能滿足實(shí)戰(zhàn)的需要。我國(guó)應(yīng)積極學(xué)習(xí)NIST建立的取證設(shè)備的測(cè)試機(jī)制，建立一個(gè)切合我國(guó)實(shí)際國(guó)情，符合工作需要的取證工具檢驗(yàn)檢測(cè)標(biāo)準(zhǔn)體系，并制定相應(yīng)的準(zhǔn)入機(jī)制，由授權(quán)的權(quán)威機(jī)構(gòu)對(duì)產(chǎn)品（包括同一產(chǎn)品的不同版本）進(jìn)行檢驗(yàn)和定期檢測(cè)，以保障電子數(shù)據(jù)取證工作的有效性、可靠性和穩(wěn)定性。所幸，關(guān)于取證工具的可靠性問題已經(jīng)引起了廣泛關(guān)注，如何對(duì)此類工具進(jìn)行評(píng)測(cè)也已經(jīng)提上相應(yīng)機(jī)構(gòu)的議事日程。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展2．發(fā)展的趨勢(shì)在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算以及物聯(lián)網(wǎng)為代表的新一代網(wǎng)絡(luò)快速發(fā)展的背景下，網(wǎng)絡(luò)社會(huì)與物理社會(huì)相互交織、融為一體，改變了傳統(tǒng)的互聯(lián)網(wǎng)計(jì)算模式和體系結(jié)構(gòu)，也改變了傳統(tǒng)的取證方式。計(jì)算機(jī)犯罪是科技發(fā)展中的必然產(chǎn)物，而且隨著技術(shù)的創(chuàng)新而不斷轉(zhuǎn)變，加大信息安全防范技術(shù)和電子數(shù)據(jù)取證技術(shù)的研究力度勢(shì)在必行。如何研制出在新型網(wǎng)絡(luò)環(huán)境下進(jìn)行電子數(shù)據(jù)取證的工具成為取證廠商亟待解決的一大難題。因此，加大電子數(shù)據(jù)取證工具的研究力度勢(shì)在必行。展望未來，電子數(shù)據(jù)取證將會(huì)向著以下幾個(gè)方向發(fā)展：1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展（1）取證技術(shù)與新興技術(shù)結(jié)合電子數(shù)據(jù)取證技術(shù)是一門跨領(lǐng)域的綜合性學(xué)科，因此必將通過和其它數(shù)字技術(shù)進(jìn)行結(jié)合才能取得發(fā)展，要克服當(dāng)前的局限性就要吸收多學(xué)科的研究成果。隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)、云計(jì)算、大數(shù)據(jù)以及物聯(lián)網(wǎng)技術(shù)等各種新技術(shù)不斷涌現(xiàn)，必將對(duì)電子數(shù)據(jù)取證技術(shù)的發(fā)展產(chǎn)生較大的影響。而在這種情況下，只有通過有效的結(jié)合手段才能推動(dòng)電子數(shù)據(jù)取證技術(shù)的發(fā)展。（2）取證工具高速化、自動(dòng)化、專業(yè)化與智能化發(fā)展如今電子證據(jù)以不同形式分布在計(jì)算機(jī)、路由器、入侵檢測(cè)系統(tǒng)和移動(dòng)存儲(chǔ)等不同設(shè)備上。所以，未來需要功能更強(qiáng)、速度更快、自動(dòng)化程度更高的取證工具，才能有效進(jìn)行電子數(shù)據(jù)取證。取證工具也將不斷利用數(shù)據(jù)挖掘、人工智能以及硬件加速技術(shù)（如多核技術(shù)等）增強(qiáng)其智能化，以應(yīng)對(duì)大數(shù)據(jù)量、復(fù)雜數(shù)據(jù)的取證分析能力。綜上，取證工具必須高速化、自動(dòng)化、專業(yè)化與智能化，才能提高和滿足不同領(lǐng)域電子數(shù)據(jù)取證調(diào)查需求。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展（3）新型加密和解密

同各種新型的智能設(shè)備不斷涌現(xiàn)相比，傳統(tǒng)的設(shè)備也在不斷發(fā)展和豐富，普通電腦和移動(dòng)設(shè)備都在安全性方面不斷強(qiáng)化，從硬件、軟件等多個(gè)角度研究加密算法。

從硬件角度，越來越多的設(shè)備將安全模塊和加密芯片固化，使用獨(dú)立的硬件來處理系統(tǒng)的數(shù)據(jù)，例如基于PC上的TPM模塊、iOS上的SecureEnclave模塊以及帶有硬件AES功能的處理器、移動(dòng)存儲(chǔ)上的各種加密芯片等，從硬件層次直接固化加密算法及密鑰信息，使這些設(shè)備的數(shù)據(jù)提取和解密難度不斷提升。

從軟件角度看，各類系統(tǒng)的加密策略不斷完善，加密算法的強(qiáng)度也在不斷提升。此外，目前各類智能應(yīng)用都在不斷提升本身數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)傳輸?shù)陌踩?.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展隨著比特幣等一系列P2P形式的數(shù)字貨幣技術(shù)的發(fā)展，其去中心化、專屬所有權(quán)、匿名性和健全性等特點(diǎn)，被一些新型網(wǎng)絡(luò)犯罪所利用，打破了傳統(tǒng)犯罪固有的獲利模式，對(duì)犯罪信息行為的取證，以及犯罪金額的認(rèn)定同傳統(tǒng)取證工作有很大不同，如何通過比特幣挖礦機(jī)、比特幣客戶端來收集、提取比特幣的金額和流轉(zhuǎn)歷史，進(jìn)一步分析比特幣流轉(zhuǎn)過程中的涉案信息，是這類電子數(shù)據(jù)取證過程中需要解決的新的問題。1.3.3電子數(shù)據(jù)取證面臨的問題與發(fā)展（4）物聯(lián)網(wǎng)設(shè)備2009年8月，溫總理“感知中國(guó)”的講話把我國(guó)物聯(lián)網(wǎng)領(lǐng)域的研究和應(yīng)用開發(fā)推向了高潮,之后物聯(lián)網(wǎng)被正式列為國(guó)家五大新興戰(zhàn)略性產(chǎn)業(yè)之一，