电子数据取证问题及对策建议

电子数据取证问题及对策建议

[摘要]修改后的刑事诉讼法第48条首次将“电子数据”纳入法定证据范围，并与视听资料同列为第八种刑事证据。实践中在电子证据取证方面存在诸问题须引起重视，通过对其原因分析提出相关对策建议。

[关键词]电子证据；技术人员；取证

为了保证新刑事诉讼法的正确实施，发挥电子证据在证明犯罪中的作用，如何获取电子证据就成为一个重要问题须引起重视。

一、电子证据取证中遇到的问题

从目前司法实践看，职务犯罪日趋隐秘化和高科技化，这为侦查工作带来了很大的难度和挑战，需要检察机关充分运用科技手段，收集电子证据。但由于电子证据是一种新证据，一般侦查人员又不懂这方面技术，因而实践中在电子证据取证方面遇到以下主要问题：

一是技术人员与侦查人员配合不够默契。技术人员与侦查人员分属不同的部门，平时接触少，所以在实际的工作中技术人员与侦查人员配合不很默契。这里所说的“配合”包括外出取证前准备阶段的配合、外出取证过程中的配合、外出取证回来后对数据进行分析时的配合。首先是外出取证前准备阶段的配合问题，如自侦部门在办理案件过程中，如果认为犯罪嫌疑人或有关人员的电脑或者存储设备中存在有关证据需要收集的，就会要求技术人员跟随前往外出收集，但案件的基本情况仍需保密。由于每个现场都有它的特异性，如果事先不告知技术人员，到取证现场后，技术人员往往会出现措手不及或准备不充分的情况，这时就会导致取证效率低、取证效果不理想、更有甚者会导致证据流失的问题。其次是取证过程中的配合问题，由于搜查现场会出现各种各样的突发问题，需要侦查人员与技术人员的默契配合。最后是外出取证回来后对数据进行分析时的配合。技术人员就删除数据进行恢复后，对数据对案件的侦破作用知之甚少。

二是取证中遇到的一些技术难题。随着科技的高速发展，职务犯罪中往往出现一些高新设备和技术，需要技术人员熟悉各种设备，掌握各种技术和知识。只有这样，才能保证技术有效地收集到所需要的电子证据。但从目前司法实践看，由于技术人员的培训不及时，往往难以跟上时代前进的步伐，笔者在实践中就遇到一些技术难题，比如在一次外出取证时，要对犯罪嫌疑人的一台电脑的硬盘作复制键时，但发现机器是处于开机状态的，于是按照规程，直接拔掉机箱后的电源，结果硬盘出现了坏道。另一次是对一台CANON相机的SDRAM卡中的删除数据进行恢复，已知这台相机上存储有5天的照片，相机上的照片只是被误删除了，没有被格式化，而且没有覆盖新数据，但在使用X-WAY、ENCASE、PHOTORECOVER等软件进行恢复时，发现只恢复出前3天的数据，后两天100多张照片没有了。

(完整版)电子数据取证标准

电子数据取证标准 随着全球信息化的飞速发展，越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据；此外，在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒， 商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿，截止2013年12月，我国网民规模达到6.18亿，这就意味着2014年中国网民每人平均损失达243元。 电子数据取证技术，是信息安全领域的一个全新分支，逐渐受到人们的重视，它不仅是法学在计算机科学中的有效应用，而且是对现有网络安全体系的有力补充。近年来，我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一，电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。 电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。 我国电子证据的标准化工作起步较晚，但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》（以下简称《决定》）从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定，即“鉴定人和鉴定机构从事司法鉴定业务，应当遵守法律、法规，遵守职业道德和职业纪律，尊重科学，遵守技术操作规范。” 部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》（公 信安[2005]281号）明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定 规程规定的义务；2006年《公安机关鉴定机构登记管理办法》（公安部令第83号）明确 将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中；2007年《司法 鉴定程序通则》（司法部令第107号）对鉴定人采纳技术标准问题做出了详细的要求，其 第22条规定，“司法鉴定人进行鉴定，应当依下列顺序遵守和采用该专业领域的技术标准 和技术规范：（一）国家标准和技术规范；（二）司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范；（三）该专业领域多数专家认可的技术标 准和技术规范…..”

电子取证技术的三大方向

电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。 在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 （1）目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。 （2）现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究，目前有基于主机追踪方法的Caller ID，基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题，提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化研究，对于应用层根据信息论和编码理论，提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现，当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用，公安执法机关还缺乏有效的工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套计算机取证的流程，提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准，制度以及取证原则、流程、方法等，到目前为止，还没有专门的机构对计算机

电子证据新技术培训心得体会范文_心得体会.doc

2015年电子证据新技术培训心得体会范文_ 心得体会 7月13日至7月17日，我有幸在济南山东省检察官培训学院参加了省院组织的证据培训。培训时间虽只有短短的一周，但却让我受益匪浅，收获颇丰。培训内容包括电子现场勘验、网络及数据保全、数据恢复及密码破解、MAC取证分析技术、缺陷存储在检察办案中的应用、手机芯片取证技术和物理、逻辑取证新方法、话单分析及定位技术、取证规范及文书制作、云计算和大数据等相关内容。授课老师既有省院专家领导又有各市级院的业务能手和电子数据取证专业的专家，他们结合自身以及常见案例进行授课，给我们呈现了一节又一节的饕餮盛宴。内容翔实、形式新颖的课程，让我们这些初次接触电子证据的小白们眼前一亮、豁然开朗。这次培训对我今后正确履行岗位职责，做好检察技术工作给予了很大帮助，同时也为我今后从事电子数据取证工作打下坚实的基础。短短一周的让我有了许多切身的体会。 一、找准定位，发挥自己专业 此次培训让我深刻了解到电子数据取证需要强大的专业知识背景，尤其要求通信工程专业及计算机硬件专业知识，同时对于手机的Adroid、IOS系统等都需要有强大的专业知识与实践能力。作为计算机专业出身的我来说，虽然学习了7年的计算机知识，但是这方面专业能力还远远不够，学校以及实习期间一直从事软件测试、ERP等方面的工作，对于电子数据所要求的通信工程、单片机以及计算机硬件等专业知识的欠缺让我倍感压力。但

是有句话说的好，压力就是动力、学习是前进的源泉。因此在感到压力的同时，要不断的学习，向领导学习，向同事学习，向其他兄弟院有经验的同志们学习。 二、勇于实践，敢于探索，运用电子取证设备为检察工作增砖添瓦。 纵使思忖千百度，不如躬身下地锄。培训期间，淄博院的曹茂虹和济宁市院的周广春两名同志结合自身经历以及工作经验所讲解的电子数据取证常见案例，我初步了解了话单分析、伪基站检验鉴定等相关领域以及电子证据取证流程等内容，深受启发，同时也让我坚定了在以后的工作中要不断的自我充电，多多学习，并勇于实践，只有不断地学习和实践才能将工作做的更好。此次培训期间印象深刻的还有专家讲解的WiHex的使用，通过WiHex软件结合计算机本身分区的相关知识可以快速解决诸如U盘打不开，文件打开出现乱码等问题，让我受益匪浅，同时也让我深感计算机专业的博大精深以及我对计算机专业某些方面知识的匮乏。因此在以后的工作中要勇于实践，敢于探索，在探索和实践中增加自己的知识，在电子取证方面有所建树。 三、善于交流，不断丰富自己 此次培训，让我了解到高检院以及其他兄弟院在电子取证方面的成就。省院领导讲解的云计算与大数据的简介让我了解了什么是云计算和大数据，以及云计算和大数据对我们以后的电子数据取证方面的作用。与省院领导、兄弟院业务能手的交流，我了解了电子取证的发展趋势以及前景，在取证过程中进行数据恢复的技巧等。同时也了解到高检院的电子证据取证云平台在试运行，为以后大家进行电子数据方面的交流学习提供了便捷。 天生我材必有用。随着电子信息技术的不断发展，电子

电子数据取证在侦查中的应用

电子数据取证在侦查中的应用 二、电子数据取证的现状电子数据取证与侦查结合的程度和效果如何，取决于技术与侦查协作机制是否完善。在现阶段，检察机关的技术部门与侦查部门结合远不如公安机关技侦部门与侦查的协作，这与检察机关的工作性质有关，也与检察业务的特点有关。检察业务主要是法律监督，包括侦查职能也是为履行法律监督职能而设，技术部门的主要业务之一主要是对案件中的技术性证据进行审查监督，而其他的鉴定和技术协助等也都没有与侦查密切衔接，这是由于刑诉法没有赋予检察机关使用技术侦查手段，侦查部门对技侦手段的使用不通过技术部门，所以在工作实践中，有了需要技术部门提供协助的时侯，也往往想不起来向技术部门提出。两个部门各自有自己的工作方法和方式，如果不是同一个主管检察长管理，两者之间配合有着非常大的障碍。技术部门经费紧张，在配合办案时，牵涉到经费问题都无从解决，如果侦查部门不能提供帮助，技术人员就难以融入办案组正常开展工作。侦查工作有非常强的时效性，需要技术支持及时有效，而技术部门承担的工作比较繁多，人员又少，有时不能及时提供所需数据，或者不能判明哪个案件或情况更需要优先支持，造成侦查部门感到用技术部门不方便。再有其他方面根深蒂固的成见，侦技协作机制就成了好说不好做的一

句空话。但是，只要领导支持，建立坚强有效的制度制约，还是能够推行这一机制的，现实中也确有一批侦技协作非常成功的实践者，技术为侦查提供帮助，助推侦查业务腾飞；侦查为技术提供发展的条件，技术有了好的工作条件，从而为侦查提供更好的服务，形成了良性互动。 三、检察机关工作中电子数据取证的应用电子数据取证是检察机关的“技术侦查”，电子数据是存在于嫌疑人所使用或接触的电子设备中，它存在于一个完全不可见而又客观存在的虚拟世界中，比如这样一个案例，一个行贿人甲为了获取非法利益，他想通过向掌握权力的乙行贿的方法以达目的，首先甲要通过电话联系乙，这就产生了通话记录和短信记录等电子数据，其次，他要约见甲，共赴一个地点，通过两者的车辆的GPS或手机基站信息，可以通过两者的位置信息为见面提供佐证，这里的GPS信息和手机基站话单也是电子数据，见面谈话时，乙为保证自己的目的能够有保障的达到，他很有可能对谈话内容进行录音，这个录音文件也是电子数据，而公安的天网监控系统的录像资料也是证明这个过程的辅助材料，这些电子记录的录像资料也是电子数据，甲与乙如果经常干这样的勾当，他们也很可能会对这些非法交易进行记账，在现今科技高度发达的时代，记账一般都以电子方式进行，这些电子账本也是电子数据。最后，他们对各自银行账户的操作，依然留下存取的记录，这个银行计算机系统

电子取证技术

电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 什么是电子取证技术 电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 假定一个电子邮件的接收者是https://www.360docs.net/doc/b63092881.html,公司,该邮件的头部显示在接收者和发送者之间有四个节点。其中第三和第四个在系统内,是https://www.360docs.net/doc/b63092881.html,公司内部的电子邮件系统,并且可能在https://www.360docs.net/doc/b63092881.html,公司内部的电子邮件日志中有记录。如果不知道其它的两个节点的服务器,可以通过Whois 和Better-Whois进行查询。这两个服务程序搜索包含注册用户名和IP 地址的数据库,例如通过使用Whois搜索https://www.360docs.net/doc/b63092881.html, 这个域名时,可以得到该域名所有者的名字、地址、联系方式,以及负责解析该域名的域名服务器等信息。 如果发送者的地址不是伪造的话,就可以很容易地找到邮件的发送者,因为只需找到在邮件发送时谁在使用邮件服务器就可以了,这通常可以在邮件服务器的日志中找到。 电子邮件取证追踪所面临的困境从上面看,似乎电子邮件的取证追踪非常简单,然而实际情况通常并非如此。因为Whois 和Better-Whois虽然有助于找到电子邮件的发送者,但它们却无法确定该发送者的地址是否是伪造的。目前的电子邮件服务器在发送邮件时通常是没有认证的,也就是说用户可以在无需密 码的情况下使用他人的电子邮箱发送信件,所以在大多数情况下,虽然可以找到邮件发送者的账号,但却不能因此就断定邮件就是由该账号的用户所发送的,这就是电子邮件取证追踪所面临的困境,此时通常还要使用其它方面的证据才能断定。 电子邮件的取证追踪发送者的难题

电子数据取证问题及对策建议

电子数据取证问题及对策建议 [摘要]修改后的刑事诉讼法第48条首次将“电子数据”纳入法定证据范围，并与视听资料同列为第八种刑事证据。实践中在电子证据取证方面存在诸问题须引起重视，通过对其原因分析提出相关对策建议。 [关键词]电子证据；技术人员；取证 为了保证新刑事诉讼法的正确实施，发挥电子证据在证明犯罪中的作用，如何获取电子证据就成为一个重要问题须引起重视。 一、电子证据取证中遇到的问题 从目前司法实践看，职务犯罪日趋隐秘化和高科技化，这为侦查工作带来了很大的难度和挑战，需要检察机关充分运用科技手段，收集电子证据。但由于电子证据是一种新证据，一般侦查人员又不懂这方面技术，因而实践中在电子证据取证方面遇到以下主要问题： 一是技术人员与侦查人员配合不够默契。技术人员与侦查人员分属不同的部门，平时接触少，所以在实际的工作中技术人员与侦查人员配合不很默契。这里所说的“配合”包括外出取证前准备阶段的配合、外出取证过程中的配合、外出取证回来后对数据进行分析时的配合。首先是外出取证前准备阶段的配合问题，如自侦部门在办理案件过程中，如果认为犯罪嫌疑人或有关人员的电脑或者存储设备中存在有关证据需要收集的，就会要求技术人员跟随前往外出收集，但案件的基本情况仍需保密。由于每个现场都有它的特异性，如果事先不告知技术人员，到取证现场后，技术人员往往会出现措手不及或准备不充分的情况，这时就会导致取证效率低、取证效果不理想、更有甚者会导致证据流失的问题。其次是取证过程中的配合问题，由于搜查现场会出现各种各样的突发问题，需要侦查人员与技术人员的默契配合。最后是外出取证回来后对数据进行分析时的配合。技术人员就删除数据进行恢复后，对数据对案件的侦破作用知之甚少。 二是取证中遇到的一些技术难题。随着科技的高速发展，职务犯罪中往往出现一些高新设备和技术，需要技术人员熟悉各种设备，掌握各种技术和知识。只有这样，才能保证技术有效地收集到所需要的电子证据。但从目前司法实践看，由于技术人员的培训不及时，往往难以跟上时代前进的步伐，笔者在实践中就遇到一些技术难题，比如在一次外出取证时，要对犯罪嫌疑人的一台电脑的硬盘作复制键时，但发现机器是处于开机状态的，于是按照规程，直接拔掉机箱后的电源，结果硬盘出现了坏道。另一次是对一台CANON相机的SDRAM卡中的删除数据进行恢复，已知这台相机上存储有5天的照片，相机上的照片只是被误删除了，没有被格式化，而且没有覆盖新数据，但在使用X-WAY、ENCASE、PHOTORECOVER等软件进行恢复时，发现只恢复出前3天的数据，后两天100多张照片没有了。

电子数据取证原则与步骤

电子数据取证原则与步骤 电子物证检材提取有二种基本形式：提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物，或者是电子设备内含有大量与案件相关的信息，就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时，应考虑同时提取该计算机的外围硬件，如打印机、磁盘驱动器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明犯罪的证据，或者电子信息是非法占有的，这时候电子物证检材提取的焦点是电子设备内的电子信息内容，而不是硬件本身。提取电子信息物证检材通常有二种选择：复制电子设备储存的所有电子信息，或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要决定。 网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。如果一个计算机网络涉及犯罪活动，电子数据证据通常分布在多台计算机中，应尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验，一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。 第一节电子数据取证原则 电子数据取证的原则：1．尽早地搜集整理证据，能够得到第一手的信息，并尽可能地做到取证的过程公正和公开； 2．不要破坏或改变证据，尽可能少的改变系统状态，在不对原有物证进行任何改动或损坏的前提下获取证据； 3．证明所获取的证据和原有的数据是相同的；4．在不改变数据的前提下对其进行分析；5．在取证时使用的软件应是合法的。 为此，在进行电子物证检验的过程中，要采取以下做法来保证原证据不被改变或损坏： 1．尽早收集证据，以防原证据被改变或计算机系统状态被改变；

(完整版)电子数据取证标准.doc

电子数据取证标准 随着全球信息化的速展，越来越多的数据以子形式保存。信息安全品、信息 安全服、安全事件理与急响等方面都离不开子据；此外，在商交易、政府服 、交流沟通、网等各种网用中也大量涉及到子据。但是如同潘多拉的魔盒， 商用的快速展也伴随着互网法犯罪不断增。有数据示2013 年中国网民在互网上失近1500 ，截止 2013 年 12 月，我国网民模达到 6.18 ，就意味着 2014 年中国网民每人平均失达243 元。 子数据取技，是信息安全域的一个全新分支，逐受到人的重，它不 是法学在算机科学中的有效用，而且是有网安全体系的有力充。近年来，我国的民事法、刑事法和行政法将子数据确立法定据种之一，子据已在我国民事、刑事和行政法活中重要作用。 子数据取是一个的程，因它需要符合法律的要求。因此，取 机构必从“人、机、料、法、” 等多个方面范子数据取工作。 我国子据的准化工作起步晚，但是国家于相关准工作十分重。《全国 人大常委会关于司法定管理的决定》（以下称《决定》）从国家基本法律面子数据定遵守技准 的做了明确定，即“ 定人和定机构从事司法定， 当遵守法律、法，遵守道德和律，尊重科学，遵守技操作范。” 部章和范性文件面也有似定。2005 年《公安机关子数据定》（公信安 [2005]281号）明确要求公安机关子数据定人当履行并遵守行准和定 程定的；2006 年《公安机关定机构登管理法》（公安部令第83 号）明确 将定机构遵守技准的情况入公安登管理部年度考核的内容中；2007 年《司法定程序通》（司法部令第107 号）定人采技准做出了的要求，其 第 22 条定，“司法定人行定，当依下列序遵守和采用域的技准 和技范：（一）国家准和技范；（二）司法定主管部、司法定行或 者相关行主管部制定的行准和技范；（三）域多数家可的技 准和技范?..”

电子取证特性及电子取证方法

电子取证特性及电子取证方法 信息社会使我们融入了数字世界，信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题，与计算机相关的诉讼不断出现，一种新的证据形式——电子证据成为人们研究与关注的焦点。 电子证据即为电子数据证据，也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据，通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件，毫无疑问它具有一般证据所具有的客观存在性，既是可信的、准确的、完整的、符合法律法规的，同时它又具有自身的特殊性。 掌握了电子证据独特的性质，有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。 电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输，所以电子证据的形成具有高科技性；电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息，是通过看不见摸不着的计算机语言记载的，其数据是以磁性介质保存，它又具有无形性；电子数据以“比特”的形式存在，是非连续的，…改动、伪造不易留下痕迹，数据或信息被人为地篡改后，如果没有可对照的副本、映像文件则难以查清、难以判断，电子证据还表现为易改动性；人为的恶意删除、误操作、电脑病毒、电脑故障等等原因，均有可能造成电子证据的消失，电子证据又呈现易消失性；电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息，其外在表现形式具有多样性；此外，电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。 电子证据的上述性质，决定了其取证过程有别于许多传统的取证方法，它对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学，电子证据取证正逐渐成为人们研究与关注的焦点。电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则，要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素，才能保证电子证据的真实性、合法性。 在快播一案中，我们第一次接触电子数据取证，印象最深刻的就是电子证据对系统

电子数据取证

电子数据取证成为信息安全产业的新引擎 计算机和网络技术的迅速普及大大改变了人们的生活和生产方式，人们在享受计算机和互联网所带来的便利的同时，也面临着大量有关电子数据的安全问题，如网络信息窃取、木马病毒、网络色情、网络诈骗等等。计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件，不法分子不但可以将计算机等电子设备做为违法犯罪的目标，而且也可以将其做为实施违法犯罪的工具，所造成的危害也越来越大。 近年来在西方一些发达国家，计算机犯罪每年都在翻番，成为十分严重的社会问题。据报道美国计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿至上百亿美元。英国、德国在这方面的年损失也达几十亿美元。为了对付计算机犯罪，美国去年在网络保安工作上花费了60亿美元，英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。 我国于1986年首次发现计算机犯罪案件，进入90年代，随着我国计算机应用和普及程度的提高，涉及电子数据的违法犯罪案件呈迅猛增长态势，涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。据公安部公布的信息显示，2005年，我国刑事案件的数量为4,648,401件，2006年为4,744,136件，2007年为4,807,517件，每年呈递增趋势。据统计，这些案件中有50%的案件涉及计算机系统或网络中的电子数据，每年就有超过240万起案件需要进行电子数据取证，这里还不包括民事案件的数量。随着社会信息化水平的提高，涉及电子数据的案件在总案件中的比例还将不断提高。 如何防范侵害计算机及网络系统中的电子数据的行为，获取与之相关的电子证据，将不法分子绳之以法，已成为司法和计算机科学领域中亟待解决的重要课题。作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。 与传统的指纹、笔迹、DNA等取证对象所不同的是，电子数据取证的对象是虚拟空间的电子数据。计算机硬盘、U盘、手机、数码相机等设备中存储的电子数据，往往会遇到存储介质被损坏、数据被删除等情况无法读取，必须通过电子数据取证技术进行恢复、提取和分析，从而客观、真实地反映存储介质中的电子