电子数据取证期末考试题习题及答案

1、说明在Python中常用的注释方式包括哪些？

答：①单行注释：行首# ②多行注释：三个单引号或三个双引号包括要注释的内容

③编码注释：#coding=utf-8或#coding=gbk ④平台注释：#！usr/bin/python

2、说明在Python中单引号、双引号和三引号之间的区别。

答：①单引号和双引号通常用于单行字符串的表示，也可通过使用\n换行后表示多行字符串②三单引号和三双引号通常用于表示多行字符串以及多行注释，表示多行时无需使用任何多余字符。③使用单引号表示的字符串中可以直接使用双引号而不必进行转义，使用双引号表示的字符同理；三引号中可直接使用单引号和双引号而无需使用反斜杠转转义，三引号表示的字符串中可以输出#后面的内容。

3、说明在Python中的代码a,b=b,a实现了什么功能。答：a,b数值互换

4、Python提供了哪两种基本的循环结构。答：For，while

5、Python中的常用可迭代对象包括哪些？

答：①序列，包括列表、元组、字典、集合及range

②迭代器对象③生成器对象④文件对象

6、Python2.7的标准库hashlib中包含的hash算法包括哪些？

答：MD5，SHA1，SHA256，SHA512。

？7、在Python编程中，常见的结构化输出文件格式包括哪些。答：Csv,xml,html,json 8、在Python编程中，变量名区分英文字母的大小写，基于值的内存管理方式，使用缩进来体现代码之间的逻辑关系。（√）

9、Python中的lambda函数也就是指匿名函数，通常是在需要一个函数，但是又不想去命名一个函数的场合下使用。（√）

10、在Python中如果需要处理文件路径，可以使用（OS ）模块中的对象和方法。

11、在Python中的字符串和元组属于不可变序列，列表、字典、集合属于可变序列。（√）

12、在Python中集合数据类型的所有元素不允许重复。（√）

13、在Python中如何创建只包含一个元素的元组？答：tuple1=(a, )

14、在Python中字典数据类型的“值”允许重复，“键”不可以重复。（√）

15、说明Python用什么方法操作Excel文件。

答：依靠第三方模块库xlrd、xlwt、xlutils和pyExcelerator等。

Xlrd主要用于读取Excel文件，xlwt主要用来写Excel文件，xlutils结合xlrd可以达到修改Excel 文件的目的，openpyxl可以对Excel文件进行读写操作。

16、说明Python中的异常处理机制except的用法。

答：①except：#捕获所有异常

except：<异常名>：#捕获指定异常

except：<异常名1，异常名2）：#捕获异常1或异常2

except：<异常名>，<数据>：#捕获指定异常及其附加的数据

except：<异常名1，异常名2>：<数据>：#捕获异常名1或异常名2及附加的数据库②一般使用try：……except：……进行异常处理，try子句中的代码块放置可能出现异常的语句，except子句中的代码块处理异常。

Try：

try块#被监控的语句

except Exception[as reason]：

except块#处理异常的语句

③try：……except：……else结构④try：……except：……finally结构

⑤try：……except：……except：……else：……finally……结构

17、在Python中一切都是对象，Python3.x的汉字编码默认使用UTF-8。在Python中使用对象不需要提前声明。内置函数help()，dir()的作用。

答：①help（obj）返回对象obj的帮助信息（查看函数或模块用途的详细说明）

②dir（obj）返回指定对象或模块obj的成员列表，如果不带参数则返回当前作用域内所有标识符（获取当前模块的属性列表）。

18、常见的U盘文件系统类型包括哪些？答：FAT32、FAT16、exFat、NTFS

19、常见的证据镜像文件格式有哪些？答：E01、aff、dd、vmdk、gho

20、在取证中单向哈希函数的主要用途包括哪些。

答：证据保全、搜索、黑名单、白名单、变化检测。

21、常见的硬盘接口类型有哪些。答：IDE、SCSI、SATA、SAS。

22、硬盘在存储数据之前，一般需经过低级格式化，分区和高级格式化这三个步骤之后才能使用，其作用是在物理硬盘上建立一定的数据逻辑结构。（√）

23、传统硬盘由很多盘片组成，每个盘片被划分为若干个同心圆，称为柱面。（√）

24、Rainbow是什么，有何用处？

答：彩虹表，用于加密散列函数逆运算的预先计算好的表，为破解密码的散列值而准备（用于破解哈希函数，哈希值和消息对应）。

25、UTC是什么时间？时间分析中纪元是什么？不同操作系统中纪元的值是什么？

答：协调统一时间（协调世界时），在全球大部分国家作为官方时间源的基础。一个纪元被定义为一个显著的事件，标志着一段时期的开始。

大多数系统的纪元开始于1970年1月1日。UNIX系统：1970年1月1日0时Windows系统：1601年1月1日0时Macintosh系统：1904年1月1日0时26、如何调查计算机打印了哪些文件？

答：通过后台打印文件分析来证明使用者试图打印了哪些数据，调查打印历史记录。①文件恢复（.SPL,.SHD）恢复方式为签名恢复、关键字恢复等②获取打印内容：使用自动化的软件或Encase手工恢复。

27、调查Prefetch的方法是什么，取证意义在哪里？

28、写出调查以62开头的19位银行卡号的GREP表达式，写出搜索.SPL文件中的EMF头的GREP表达式答：①[^#]62##[- ,]####[- ,] ####[- ,] ####[- ,]###[^#] ②\x01.{40,40}EMF 29、Windows 7系统的注册表文件在什么路径？分别是哪几个文件？如何调查操作系统的网络连接使用过的IP地址。

答：\User\用户名，Default、SAM、Security、Software、System

调查IP地址:用Encase添加证据文件，找到与网络适配器有关的文件HKLM\System\CurrentControlset\Services\TCPip\Parameters\Interfaces\GUID

30、在Windows 系统中带有SPL，SHD扩展名的文件是什么文件？

答:后台打印文件，是在打印机打印页面时用于在硬盘上存储打印文稿的临时文件。

31、有哪三种类型的预读取文件？

答：引导轨迹预读取文件、应用程序预读取文件、宿主应用程序预读取文件。

32、Unicode编码范围在0000—007F之间的字符，编码成为UTF-8后为1字节，Unicode编码范围在0080—07FF之间的字符，编码成为UTF-8后为2字节，

Unicode编码范围在0800—FFFF之间的字符，编码成为UTF-8后为3字节，

33、什么是Base64编码？

答：按照RFC2045的定义，Base64被定义为：Base64内容传送编码被设计用来把任意序列

的8位字节描述为一种不易被人直接识别的形式。它是将要传送的信息转化为64个ASCII 字符（"A”-“Z”,”a”-“z”,”0”-“9”,”+”,”/”）组成的字符串的编码方式。

它的原理是将字符流顺序放入一个24位的缓冲区，先来的占高位，缺字符的地方补0，然后将缓冲区截断成为4个部分，每次取出6位，按照其值选择中的字符作为编码后的输出，直到全部输入数据均完成转换，即为Base64编码。

34、什么是大端（big endian）和小端（Little endian）？答：大端和小端是字节的顺序，对多字节编码，在传输和处理过程中先处理高字节的叫大端，反之叫小端。

35、TXT文件头的EFBBBF，FFFE，FEFF各代表什么字符编码？

答：EFBBBF：UTF-8 FFFE：UTF-16，Little-endian FEFF：UTF-16，Big-endian

36、解释GB2312。

答：GB2312是国家标准总局发布的信息交换用汉字编码字符集，是一种汉字编码方案。它表示约7445个简体汉字，使用2个连续的字节表示一个汉字。为与ASCII码区分，规定这2个字节的最高位为1，高字节从A1到F7，低字节从A1到FE，保持与ASCII码的兼容。

※37、什么是文件签名？文件签名有什么作用？Encase的文件签名验证有哪四种结果？答：文件签名是文件头的一段十六进制数据，能标志一个文件的真实文件类型。

①match:扩展名与文件签名所指类型一致

②直接给出文件类型:扩展名已知，文件签名是其他文件扩展的值

③Unknow:文件签名库中未收录④Bad signature:文件头和文件扩展名不匹配

APP作业

一、综合作业

※1. 通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A代表Access，表示最后访问时间；C代表Create，表示创建时间；下列哪个解释是正确的？（在FAT32格式的分区中，A中仅包含日期，不包含时间）。

※2.Windows7系统不支持的文件系统（HFS）。※3.MacOS的文件系统是（HFS/HFS+ ）。※4. 文件后缀名的说法中，不正确的是（可以通过改变文件的后缀名修改文件的类型）。

※5. NTFS文件系统具有的功能（支持长文件名、压缩文件和目录、支持超过4GB的大文件）。

6. 在Windows XP操作系统中，扩展名为.url的文件可以引导浏览器访问指定的网站，它通常位于的文件夹是（）文件夹。

7. IE浏览器的Temporary Internet Files 文件夹包含的信息有（访问过的Web页面文件（在随后的加速可能会利用到）、Web邮件残留物、作用类似于数据库，用于管理缓存文件的index.dat文件）。

8. 电子邮箱的（注册资料、邮件内容、容量大小、登录记录）都保存在邮件服务器中。

9.使用IE访问网站，网站能够获得访问者端的一系列信息，包括（）。

10.文件系统需记录（）。

11.文件属性包括（创建时间、访问时间、修改时间，物理大小，文件名称，所在物理位置）。

12.Windows事件日志中，常见的日志类型有（系统日志、应用程序日志、安全日志）。16. 在默认设置的Windows XP系统中，将一个.TXT文件从移动硬盘（NTFS文件系统）复制到系统的C盘（NTFS文件系统）的桌面文件夹，并修改了此文件的文件名、扩展名。请问此文件的三个时间属性，以及哈希值，哪些会改变，如何改变？

18.什么是E01文件？

答：Encase使用的默认证据（镜像文件）文件格式（的后缀）。

19.什么是Windows操作系统注册表？

答：操作系统注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息，它包括

了计算机的硬件配置，包括自动配置的设备和已有的各种设备的说明、状态属性以及各种状态信息和数据。通过它可以控制硬件、软件、用户环境和操作系统界面的数据信息文件。20.什么是Unicode编码？

二、复习备考题-单选

1.常见的司法取证中的硬盘镜像格式有（Gho、AFF、E01 ）。

2.下列关于对位复制和创建镜像的说法中，哪个是错误的？（D ）

A.一般情况下，对位复制时，目标盘容量要求大于等于源盘容量

B.制作DD镜像时，能够将500G源盘的完整DD镜像生成到500G的目标盘中

C.一般情况下，源盘生成压缩的E01镜像，占用的空间小于同一块盘生成的DD镜像

D.用专门的镜像哈希计算工具，计算的同一块硬盘的DD和E01镜像哈希值是相同的

※3. 在Windows 7操作系统中，注册表文件NTUser.dat通常保存（\User\用户名）中。4. 当正常关闭一台计算机后，通常情况下（内存中存放的数据、运行的进程、当前的网络链接、当前的登录用户）会丢失。

※5.（IDE接口）存储设备不支持热插拔。 6.（文件夹）无法计算哈希值。

？7.理论传输速度最快的存储设备接口是（USB3.0 ）。SATA3.0

8.常见的Linux操作系统（CentOS、红旗、Ubuntu）。

9. 下列关于EFS加密的说法中，不正确的是？（EFS加密后的文件必须输入密码才能打开）。

10.常见的虚拟机软件（VMware、Virtual PC、VirtualBox）。

11.用户的活动信息有（USB使用记录、最近打开的文件、最近运行的程序）。

12.易失性数据有（内存数据、当前系统进程、运行的服务）。

13. 关于制作硬盘复制件的原因中，（制作复制件的同时，不能够修复部分物理损坏的源盘）。

14.智能手机操作系统有（Android、Windows Mobile、iOS）。

15.关键词搜索时的繁体字编码方案是（Big5）。

16．下列关于文件大小和文件占用空间大小的说法中，正确的是（文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区）。

17．Windows7系统虚拟内存对应的文件是（pagefile.sys ）。

18. .pst文件是（Outlook ）邮件客户端的本地文件夹。

19. 当一块硬盘被连接到计算机上时，Windows系统已经为其分配盘符，但双击该盘符提示是否需要格式化磁盘，不可能存在的原因是？（该硬盘是一块从未使用过的全新的硬盘）。

20. 下面关于文件哈希值的说法，哪种是错误的?（D ）

A.两个内容完全一样的文件，其哈希值相同

B.哈希值具有单向不可逆性，不能通过修改哈希值还原文件的内容

C.为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性

D.当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值进行比对一致性

21. Encase Forensic是业界文明的司法取证软件，它是（Guidance Software）公司开发的。

22. 操作系统的用户使用痕迹（artifacts）可以定义为（与特定用户使用偏好有关的信息、关于计算机通用设置的信息、计算机上存储的用户活动的信息、用来简化用户操作体验的信息）。

23. 当在EnCase中创建一个新的案例时，案例选项对话框提示用户输入的信息包括（案件的名字、查员的名字、缺省的输出文件保存路径、缺省的临时文件保存路径）。

24. NTFS分区下的元文件有（$MFT、$Boot、$Secure ）。

25.适用于RAR文件的密码破解方法有（暴力破解、掩码破解、字典破解）。

三、复习备考题-综合

1.ASCII中非打印字符“07”代表（响铃）。

2. 下列关于文件头说法错误的是（C ）

A．文件头位于一个文件开始的部分。B．文件头是一般是一串十进制字符。

C．文件头的内容决定了操作系统能否识别该文件并用相应的程序打开或运行该文件。D．文件头数据如果被改动过，即使文件的扩展名不变，也很可能导致文件无法打开。

3. 嫌疑人将多个JPEG图片的文件的扩展名改为其他名称，需要通过(文件签名分析)才能找到这些文件。

4. 以下关于文件删除的说法中，不正确的是：（C ）

A文件目录项的首字节改变为十六进制值E5 B文件数据所占的簇被更新为未分配状态C文件数据被填充为00h。D文件的数据仍然保留在原位置。

5.常见的文件系统格式有（FAT32、NTFS、HFS ）。

6.硬盘数据存储和磁盘管理的最基本单元是（扇区）。

7. 以下关于硬盘的逻辑结构说法不正确的是（C ）

A每个盘片有两个面，这两个面都是用来存储数据的

B随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道

C磁道被划分成若干个段，每个段称为一个扇区。扇区的编号是按0,1，……顺序进行的

D硬盘柱面、磁道、扇区的划分表面上是看不到任何物理痕迹的

8. 关于关键词搜索，（通过正则表达可以实现关键词模糊匹配和批量搜索）。

9. 磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹就叫做（磁道）。

10. 下列有关硬盘镜像文件制作说法不正确的是（D ）。

A.取证过程中常用的硬盘镜像文件格式包括.DD/.AFF/.E01/.img/.vmdk/.gho等格式。

B. Aff与E01格式支持镜像压缩，可根据实际需求选择压缩比，减少文件占用的空间与镜像制作的时间。

C.制作镜像的过程中一定要计算哈希值，用以确保和追溯嫌疑盘及其镜像文件中数据的原始性

D.同一块硬盘制作出的任何格式镜像文件的哈希值一定是相同的。11. 关于硬盘复制，错误的是( B )。

A硬盘复制过程中不应该改变源盘中的数据B硬盘复制过程中要先对源盘进行格式化C硬盘复制前先接入硬盘再打开电源开关D硬盘复制机不需要再接外接只读锁

12. 金山WPS 2010版本以及Microsoft Office 系列办公软件中的默认字符编码格式是（Unicode ）。13.常见的硬盘接口类型有（IDE、SATA、SCSI、SAS）。

14．在windows操作系统中，打开本地注册表的命令是regedit和（regedt32）。

15. 一台计算机主机采用静态地址IP接入网络后，其IP地址通常记录在（注册表）中，MAC地址通常记录在（网卡）中，在系统运行时读入内存。

16. 磁盘上数据能够读写的最小单位是（扇区），文件读写（或分配）的最小单位是（簇）。

17.NTFS文件系统默认簇的大小为8K字节。（×）

18. 中文版本的Office软件以GB-2312编码保存文件内容。（×）

19. 在Windows中，命令dxdiag可以检查网络IP地址。（×）

20. exFAT 是一种磁盘接口标准。（×）21. EFS只能在NTFS卷上使用。（√）

22.当设置好时间同步服务器后，计算机系统的时间就与（计算机所设定时区）同步。

23.Windows系统的链接文件（或快捷方式）文件后缀是什么？对其分析的取证意义是什么？答：.lnk，对其取证可以找出最近的操作行为，每一个lnk文件都有自己的创建、修改和访问时间，可对这些时间进行分析。

24.请写出Encase中用来搜索中国电信公司手机号的GREP表达式。

答：[^#]?1[358]#########[^#]

25.列举四种常见的操作系统。答：Windows、Linux、MacOS、Unix

26.列举三种智能手机用到的操作系统。答：Android、Windows Mobile、iOS

27.什么是硬盘只读锁？答：硬盘只读锁是一种使接入的硬盘只能处于读状态的设备，用于在电子取证中保护原盘数据不被错误操作删改。

28.什么是文件系统（File system）？

答：文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构，即在存储设备上组织文件的方法。

四、编程

1.编写Python程序，生成包含1000个0-100之间的随机整数，然后统计每个元素出现的次数。

import random

a_list =[]

for i in range(1,1001,1):

b = random.random()

b = b*10000//100

a_list.append(b)

a_zidian = {}

print(a)

for j in range(1,101,1):

c = int(a_list[j])

if (c in a_zidian):

a_zidian[c] = a_zidian[c]+1

else:

a_zidian[c] = 1

print(a_zidian)

2.编写一段程序，要求用户输入1个列表，2个整数。然后以整数作为下标，输出列表中介于2个下标之间的元素构成的子列表。例如输入的列表是[1,2,3,4,5,6,7,8,9]，整数是2，5。那么输出是[3,4,5,6]

ist1 = input("请输入一个列表：")

list1 = eval(list1)

start,end = eval(input("请输入两个数："))

print(list1[start:end])

电子数据取证和网络信息安全行业分析报告

电子数据取证和网络信息安全 行业分析报告

目录 一、公司简介：中国电子数据取证龙头企业 (3) 二、电子数据取证行业国内龙头 (4) 1、电子数据取证主要针对电子犯罪 (4) 2、“电子证据”列入法律，行业进入快速成长期 (5) 3、区域深入，行业拓展，新产品三件利器确保业绩增长 (7) 4、电子数据取证产品更新速度快，行业空间足够大 (10) 5、国外电子数据取证行业的发展情况 (12) 6、行业壁垒高，市场份额比较集中 (14) 三、互联网内容搜索具有先发优势，市场空间大 (17) 1、公安市场占有率第一，提供专用服务器提升单位毛利 (17) 2、舆情监测市场空间测算 (18) 3、行业参与者不多，商用市场潜力大 (20) 四、云计算打通与电子取证的桥梁，切入大众消费市场 (21) 1、美国领军企业电子取证云计算业务情况 (21) 2、云服务打通与电子数据取证硬件的桥梁，带来模式升级 (22) 五、商业模式独特，竞争优势明显 (24) 1、技术创新带来新的需求，新品研发能力领先行业 (24) 2、国内真正能够提供专业领域全面云服务的企业 (25) 3、战略思路清晰，产品+服务模式升级 (25) 六、财务分析 (26) 1、收入增速快，期间费用率有所上升 (26) 2、盈利预测 (27) 七、主要风险 (30)

一、公司简介：中国电子数据取证龙头企业 美亚柏科是一家专注于电子数据取证和网络信息安全的企业，公司围绕电子数据取证和网络信息安全产品两大产品，并由其衍生出五大服务。 公司近三年来营业收入增长快速，2011年收入同比增长42.83%，净利润同比增长49.85%。从产品结构来看，电子数据取证收入占比

2017年电子取证行业美亚柏科分析报告

(此文档为word格式，可任意修改编辑！） 2017年6月

正文目录 一、取证-数据-服务，2G-2B-2C模式清晰 (5) 1、围绕电子数据的四大产品+四大服务 (7) 2、电子取证仍为第一主业，大数据信息化平台加速 (9) 3、高研发投入保持高毛利率，内生+外延并进 (12) 3.1 坚持高研发投入，维持65%+高毛利率 (12) 3.2 外延拓展技术和行业，顺应客户需求开发专项执法设备 (13) 二、电子取证独占鳌头，一带一路启动海外市场 (16) 1、电子证据形态日益丰富、取证要求日趋严格，扩大行业规模 (16) 2、公司产品覆盖全面，顺应技术趋势不断升级创新 (19) 3、拓展海外，区县下沉深入渗透 (21) 三、大数据信息化市场数倍于取证设备，正值高速成长期 (23) 1、大数据信息化大势所趋，数据平台推动业务向事中事前延伸 (24) 2、百亿网络安全市场大有可为 (25) 3、由公安向各行政执法部门及企业延伸 (28) 四、大数据服务民生，打开更大成长空间 (29) 五、相关建议 (31) 风险提示： (33)

图目录 图1：美亚柏科围绕“电子数据”的采集、分析及应用开展业务 (5) 图2：美亚柏科业务产品拓展的三个维度 (6) 图3：美亚柏科2G-2B-2C的业务发展模式 (7) 图4：公司的阶段性新增业绩驱动因素 (7) 图5：公司的业务框架体系 (8) 图6：公司的四大产品+四大服务 (9) 图7：公司2010年以来营业收入CAGR超过30% (10) 图8：公司归母净利润也一直稳健增长 (10) 图9：电子取证设备是公司第一大主业（2016） (11) 图10：公司大数据信息化业务营收占比快速提升 (11) 图11：公司各项业务毛利率水平（2016） (12) 图12：公司一直保持高的研发投入 (13) 图13：公司外延布局高度协同 (14) 图14：出入境自助办证一体机 (15) 图15：公司无人机防御系统 (16) 图16：电子数据存储介质层出不穷 (17) 图17：电子取证从事后向实时过渡，从静态向动态延伸 (17) 图18：美亚柏科“存证云”规范行政执法全流程 (19) 图19：公司电子取证产品顺应技术趋势和客户需求升级创新 (20) 图20：武汉大千专注视频分析及刑侦领域 (21) 图21：一带一路拓展海外，区县下沉深入渗透 (22) 图22：厦门是“海上丝绸之路”的核心区 (22) 图23：网络安全硬件市场规模 (25) 图24：网络安全软件市场规模 (26) 图25：公司自主的云安全服务商“安全狗” (26) 图26：公司部分网络空间安全产品及服务 (27) 图27：2014年舆情监测系统市场需求单位分布 (27) 图28：美亚柏科占比舆情监测市场份额6.17% (28) 图29：公司“祥云”城市公共安全平台 (30)

(完整版)电子数据取证标准

电子数据取证标准 随着全球信息化的飞速发展，越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据；此外，在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒， 商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿，截止2013年12月，我国网民规模达到6.18亿，这就意味着2014年中国网民每人平均损失达243元。 电子数据取证技术，是信息安全领域的一个全新分支，逐渐受到人们的重视，它不仅是法学在计算机科学中的有效应用，而且是对现有网络安全体系的有力补充。近年来，我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一，电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。 电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。 我国电子证据的标准化工作起步较晚，但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》（以下简称《决定》）从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定，即“鉴定人和鉴定机构从事司法鉴定业务，应当遵守法律、法规，遵守职业道德和职业纪律，尊重科学，遵守技术操作规范。” 部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》（公 信安[2005]281号）明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定 规程规定的义务；2006年《公安机关鉴定机构登记管理办法》（公安部令第83号）明确 将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中；2007年《司法 鉴定程序通则》（司法部令第107号）对鉴定人采纳技术标准问题做出了详细的要求，其 第22条规定，“司法鉴定人进行鉴定，应当依下列顺序遵守和采用该专业领域的技术标准 和技术规范：（一）国家标准和技术规范；（二）司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范；（三）该专业领域多数专家认可的技术标 准和技术规范…..”

电子取证技术的三大方向

电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。 在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 （1）目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。 （2）现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究，目前有基于主机追踪方法的Caller ID，基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题，提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化研究，对于应用层根据信息论和编码理论，提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现，当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用，公安执法机关还缺乏有效的工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套计算机取证的流程，提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准，制度以及取证原则、流程、方法等，到目前为止，还没有专门的机构对计算机

电子证据新技术培训心得体会范文_心得体会.doc

2015年电子证据新技术培训心得体会范文_ 心得体会 7月13日至7月17日，我有幸在济南山东省检察官培训学院参加了省院组织的证据培训。培训时间虽只有短短的一周，但却让我受益匪浅，收获颇丰。培训内容包括电子现场勘验、网络及数据保全、数据恢复及密码破解、MAC取证分析技术、缺陷存储在检察办案中的应用、手机芯片取证技术和物理、逻辑取证新方法、话单分析及定位技术、取证规范及文书制作、云计算和大数据等相关内容。授课老师既有省院专家领导又有各市级院的业务能手和电子数据取证专业的专家，他们结合自身以及常见案例进行授课，给我们呈现了一节又一节的饕餮盛宴。内容翔实、形式新颖的课程，让我们这些初次接触电子证据的小白们眼前一亮、豁然开朗。这次培训对我今后正确履行岗位职责，做好检察技术工作给予了很大帮助，同时也为我今后从事电子数据取证工作打下坚实的基础。短短一周的让我有了许多切身的体会。 一、找准定位，发挥自己专业 此次培训让我深刻了解到电子数据取证需要强大的专业知识背景，尤其要求通信工程专业及计算机硬件专业知识，同时对于手机的Adroid、IOS系统等都需要有强大的专业知识与实践能力。作为计算机专业出身的我来说，虽然学习了7年的计算机知识，但是这方面专业能力还远远不够，学校以及实习期间一直从事软件测试、ERP等方面的工作，对于电子数据所要求的通信工程、单片机以及计算机硬件等专业知识的欠缺让我倍感压力。但

是有句话说的好，压力就是动力、学习是前进的源泉。因此在感到压力的同时，要不断的学习，向领导学习，向同事学习，向其他兄弟院有经验的同志们学习。 二、勇于实践，敢于探索，运用电子取证设备为检察工作增砖添瓦。 纵使思忖千百度，不如躬身下地锄。培训期间，淄博院的曹茂虹和济宁市院的周广春两名同志结合自身经历以及工作经验所讲解的电子数据取证常见案例，我初步了解了话单分析、伪基站检验鉴定等相关领域以及电子证据取证流程等内容，深受启发，同时也让我坚定了在以后的工作中要不断的自我充电，多多学习，并勇于实践，只有不断地学习和实践才能将工作做的更好。此次培训期间印象深刻的还有专家讲解的WiHex的使用，通过WiHex软件结合计算机本身分区的相关知识可以快速解决诸如U盘打不开，文件打开出现乱码等问题，让我受益匪浅，同时也让我深感计算机专业的博大精深以及我对计算机专业某些方面知识的匮乏。因此在以后的工作中要勇于实践，敢于探索，在探索和实践中增加自己的知识，在电子取证方面有所建树。 三、善于交流，不断丰富自己 此次培训，让我了解到高检院以及其他兄弟院在电子取证方面的成就。省院领导讲解的云计算与大数据的简介让我了解了什么是云计算和大数据，以及云计算和大数据对我们以后的电子数据取证方面的作用。与省院领导、兄弟院业务能手的交流，我了解了电子取证的发展趋势以及前景，在取证过程中进行数据恢复的技巧等。同时也了解到高检院的电子证据取证云平台在试运行，为以后大家进行电子数据方面的交流学习提供了便捷。 天生我材必有用。随着电子信息技术的不断发展，电子

电子数据取证在侦查中的应用

电子数据取证在侦查中的应用 二、电子数据取证的现状电子数据取证与侦查结合的程度和效果如何，取决于技术与侦查协作机制是否完善。在现阶段，检察机关的技术部门与侦查部门结合远不如公安机关技侦部门与侦查的协作，这与检察机关的工作性质有关，也与检察业务的特点有关。检察业务主要是法律监督，包括侦查职能也是为履行法律监督职能而设，技术部门的主要业务之一主要是对案件中的技术性证据进行审查监督，而其他的鉴定和技术协助等也都没有与侦查密切衔接，这是由于刑诉法没有赋予检察机关使用技术侦查手段，侦查部门对技侦手段的使用不通过技术部门，所以在工作实践中，有了需要技术部门提供协助的时侯，也往往想不起来向技术部门提出。两个部门各自有自己的工作方法和方式，如果不是同一个主管检察长管理，两者之间配合有着非常大的障碍。技术部门经费紧张，在配合办案时，牵涉到经费问题都无从解决，如果侦查部门不能提供帮助，技术人员就难以融入办案组正常开展工作。侦查工作有非常强的时效性，需要技术支持及时有效，而技术部门承担的工作比较繁多，人员又少，有时不能及时提供所需数据，或者不能判明哪个案件或情况更需要优先支持，造成侦查部门感到用技术部门不方便。再有其他方面根深蒂固的成见，侦技协作机制就成了好说不好做的一

句空话。但是，只要领导支持，建立坚强有效的制度制约，还是能够推行这一机制的，现实中也确有一批侦技协作非常成功的实践者，技术为侦查提供帮助，助推侦查业务腾飞；侦查为技术提供发展的条件，技术有了好的工作条件，从而为侦查提供更好的服务，形成了良性互动。 三、检察机关工作中电子数据取证的应用电子数据取证是检察机关的“技术侦查”，电子数据是存在于嫌疑人所使用或接触的电子设备中，它存在于一个完全不可见而又客观存在的虚拟世界中，比如这样一个案例，一个行贿人甲为了获取非法利益，他想通过向掌握权力的乙行贿的方法以达目的，首先甲要通过电话联系乙，这就产生了通话记录和短信记录等电子数据，其次，他要约见甲，共赴一个地点，通过两者的车辆的GPS或手机基站信息，可以通过两者的位置信息为见面提供佐证，这里的GPS信息和手机基站话单也是电子数据，见面谈话时，乙为保证自己的目的能够有保障的达到，他很有可能对谈话内容进行录音，这个录音文件也是电子数据，而公安的天网监控系统的录像资料也是证明这个过程的辅助材料，这些电子记录的录像资料也是电子数据，甲与乙如果经常干这样的勾当，他们也很可能会对这些非法交易进行记账，在现今科技高度发达的时代，记账一般都以电子方式进行，这些电子账本也是电子数据。最后，他们对各自银行账户的操作，依然留下存取的记录，这个银行计算机系统

电子数据取证原则与步骤

电子数据取证原则与步骤 电子物证检材提取有二种基本形式：提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物，或者是电子设备内含有大量与案件相关的信息，就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时，应考虑同时提取该计算机的外围硬件，如打印机、磁盘驱动器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明犯罪的证据，或者电子信息是非法占有的，这时候电子物证检材提取的焦点是电子设备内的电子信息内容，而不是硬件本身。提取电子信息物证检材通常有二种选择：复制电子设备储存的所有电子信息，或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要决定。 网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。如果一个计算机网络涉及犯罪活动，电子数据证据通常分布在多台计算机中，应尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验，一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。 第一节电子数据取证原则 电子数据取证的原则：1．尽早地搜集整理证据，能够得到第一手的信息，并尽可能地做到取证的过程公正和公开； 2．不要破坏或改变证据，尽可能少的改变系统状态，在不对原有物证进行任何改动或损坏的前提下获取证据； 3．证明所获取的证据和原有的数据是相同的；4．在不改变数据的前提下对其进行分析；5．在取证时使用的软件应是合法的。 为此，在进行电子物证检验的过程中，要采取以下做法来保证原证据不被改变或损坏： 1．尽早收集证据，以防原证据被改变或计算机系统状态被改变；

电子取证技术

电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 什么是电子取证技术 电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 假定一个电子邮件的接收者是https://www.360docs.net/doc/b914346109.html,公司,该邮件的头部显示在接收者和发送者之间有四个节点。其中第三和第四个在系统内,是https://www.360docs.net/doc/b914346109.html,公司内部的电子邮件系统,并且可能在https://www.360docs.net/doc/b914346109.html,公司内部的电子邮件日志中有记录。如果不知道其它的两个节点的服务器,可以通过Whois 和Better-Whois进行查询。这两个服务程序搜索包含注册用户名和IP 地址的数据库,例如通过使用Whois搜索https://www.360docs.net/doc/b914346109.html, 这个域名时,可以得到该域名所有者的名字、地址、联系方式,以及负责解析该域名的域名服务器等信息。 如果发送者的地址不是伪造的话,就可以很容易地找到邮件的发送者,因为只需找到在邮件发送时谁在使用邮件服务器就可以了,这通常可以在邮件服务器的日志中找到。 电子邮件取证追踪所面临的困境从上面看,似乎电子邮件的取证追踪非常简单,然而实际情况通常并非如此。因为Whois 和Better-Whois虽然有助于找到电子邮件的发送者,但它们却无法确定该发送者的地址是否是伪造的。目前的电子邮件服务器在发送邮件时通常是没有认证的,也就是说用户可以在无需密 码的情况下使用他人的电子邮箱发送信件,所以在大多数情况下,虽然可以找到邮件发送者的账号,但却不能因此就断定邮件就是由该账号的用户所发送的,这就是电子邮件取证追踪所面临的困境,此时通常还要使用其它方面的证据才能断定。 电子邮件的取证追踪发送者的难题

2021年电子数据取证企业三年发展战略规划

2021年电子数据取证企业三年发展战略规划 2021年1月

目录 一、公司发展战略 (3) 二、公司整体经营目标及主要业务经营目标 (3) 1、整体经营目标 (3) 2、主要业务经营目标 (3) （1）产品策略 (4) （2）渠道策略 (4) （3）价格策略 (4) （4）服务策略 (4) （5）行业区分策略 (5) （6）品牌延伸策略 (5) 三、具体发展计划 (5) 1、产品开发计划 (5) 2、技术创新计划 (6) 3、人力资源计划 (6) 四、主要风险及对策 (7) 1、行业未来发展不确定性风险 (7) 2、产品销售季节性不均衡的风险 (8) 3、核心技术及人员流失的风险 (9) 4、应收账款发生坏账的风险 (10) 5、互联网技术和移动互联网进步带来的产品开发风险 (10)

一、公司发展战略 公司将坚持自主研发和技术创新及科学的运营模式，为客户提供精良的互联网取证及电子数据取证产品和周到的互联网信息安全服务，以尽快建立公司在细分市场的领先优势，为公司未来发展成为国内领先的电子数据局取证与互联网安全产品及服务商奠定坚实的基础。 二、公司整体经营目标及主要业务经营目标 1、整体经营目标 未来两到三年，公司将主要围绕互联网取证、电子数据取证两大产品体系，深入研究多项关键技术，持续推进技术创新和模式创新，将产品销售对象由公安机关延伸至其它司法部门（检察院、法院）、行政执法部门（海关、税务、工商等）等客户群体，实现企业稳步发展。 2、主要业务经营目标 目前公司的营业收入中，互联网取证产品占主导地位，属公司主打畅销产品。在未来三年，公司将进一步巩固和提高互联网取证产品在现有公安行业市场的领先地位。同时，公司正积极加大移动互联网取证产品的研发生产和市场销售的投入力度，努力打入国际市场并使企业获得更快发展。

电子数据取证问题及对策建议

电子数据取证问题及对策建议 [摘要]修改后的刑事诉讼法第48条首次将“电子数据”纳入法定证据范围，并与视听资料同列为第八种刑事证据。实践中在电子证据取证方面存在诸问题须引起重视，通过对其原因分析提出相关对策建议。 [关键词]电子证据；技术人员；取证 为了保证新刑事诉讼法的正确实施，发挥电子证据在证明犯罪中的作用，如何获取电子证据就成为一个重要问题须引起重视。 一、电子证据取证中遇到的问题 从目前司法实践看，职务犯罪日趋隐秘化和高科技化，这为侦查工作带来了很大的难度和挑战，需要检察机关充分运用科技手段，收集电子证据。但由于电子证据是一种新证据，一般侦查人员又不懂这方面技术，因而实践中在电子证据取证方面遇到以下主要问题： 一是技术人员与侦查人员配合不够默契。技术人员与侦查人员分属不同的部门，平时接触少，所以在实际的工作中技术人员与侦查人员配合不很默契。这里所说的“配合”包括外出取证前准备阶段的配合、外出取证过程中的配合、外出取证回来后对数据进行分析时的配合。首先是外出取证前准备阶段的配合问题，如自侦部门在办理案件过程中，如果认为犯罪嫌疑人或有关人员的电脑或者存储设备中存在有关证据需要收集的，就会要求技术人员跟随前往外出收集，但案件的基本情况仍需保密。由于每个现场都有它的特异性，如果事先不告知技术人员，到取证现场后，技术人员往往会出现措手不及或准备不充分的情况，这时就会导致取证效率低、取证效果不理想、更有甚者会导致证据流失的问题。其次是取证过程中的配合问题，由于搜查现场会出现各种各样的突发问题，需要侦查人员与技术人员的默契配合。最后是外出取证回来后对数据进行分析时的配合。技术人员就删除数据进行恢复后，对数据对案件的侦破作用知之甚少。 二是取证中遇到的一些技术难题。随着科技的高速发展，职务犯罪中往往出现一些高新设备和技术，需要技术人员熟悉各种设备，掌握各种技术和知识。只有这样，才能保证技术有效地收集到所需要的电子证据。但从目前司法实践看，由于技术人员的培训不及时，往往难以跟上时代前进的步伐，笔者在实践中就遇到一些技术难题，比如在一次外出取证时，要对犯罪嫌疑人的一台电脑的硬盘作复制键时，但发现机器是处于开机状态的，于是按照规程，直接拔掉机箱后的电源，结果硬盘出现了坏道。另一次是对一台CANON相机的SDRAM卡中的删除数据进行恢复，已知这台相机上存储有5天的照片，相机上的照片只是被误删除了，没有被格式化，而且没有覆盖新数据，但在使用X-WAY、ENCASE、PHOTORECOVER等软件进行恢复时，发现只恢复出前3天的数据，后两天100多张照片没有了。

电子数据取证

电子数据取证成为信息安全产业的新引擎 计算机和网络技术的迅速普及大大改变了人们的生活和生产方式，人们在享受计算机和互联网所带来的便利的同时，也面临着大量有关电子数据的安全问题，如网络信息窃取、木马病毒、网络色情、网络诈骗等等。计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件，不法分子不但可以将计算机等电子设备做为违法犯罪的目标，而且也可以将其做为实施违法犯罪的工具，所造成的危害也越来越大。 近年来在西方一些发达国家，计算机犯罪每年都在翻番，成为十分严重的社会问题。据报道美国计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿至上百亿美元。英国、德国在这方面的年损失也达几十亿美元。为了对付计算机犯罪，美国去年在网络保安工作上花费了60亿美元，英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。 我国于1986年首次发现计算机犯罪案件，进入90年代，随着我国计算机应用和普及程度的提高，涉及电子数据的违法犯罪案件呈迅猛增长态势，涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。据公安部公布的信息显示，2005年，我国刑事案件的数量为4,648,401件，2006年为4,744,136件，2007年为4,807,517件，每年呈递增趋势。据统计，这些案件中有50%的案件涉及计算机系统或网络中的电子数据，每年就有超过240万起案件需要进行电子数据取证，这里还不包括民事案件的数量。随着社会信息化水平的提高，涉及电子数据的案件在总案件中的比例还将不断提高。 如何防范侵害计算机及网络系统中的电子数据的行为，获取与之相关的电子证据，将不法分子绳之以法，已成为司法和计算机科学领域中亟待解决的重要课题。作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。 与传统的指纹、笔迹、DNA等取证对象所不同的是，电子数据取证的对象是虚拟空间的电子数据。计算机硬盘、U盘、手机、数码相机等设备中存储的电子数据，往往会遇到存储介质被损坏、数据被删除等情况无法读取，必须通过电子数据取证技术进行恢复、提取和分析，从而客观、真实地反映存储介质中的电子

(完整版)电子数据取证标准.doc

电子数据取证标准 随着全球信息化的速展，越来越多的数据以子形式保存。信息安全品、信息 安全服、安全事件理与急响等方面都离不开子据；此外，在商交易、政府服 、交流沟通、网等各种网用中也大量涉及到子据。但是如同潘多拉的魔盒， 商用的快速展也伴随着互网法犯罪不断增。有数据示2013 年中国网民在互网上失近1500 ，截止 2013 年 12 月，我国网民模达到 6.18 ，就意味着 2014 年中国网民每人平均失达243 元。 子数据取技，是信息安全域的一个全新分支，逐受到人的重，它不 是法学在算机科学中的有效用，而且是有网安全体系的有力充。近年来，我国的民事法、刑事法和行政法将子数据确立法定据种之一，子据已在我国民事、刑事和行政法活中重要作用。 子数据取是一个的程，因它需要符合法律的要求。因此，取 机构必从“人、机、料、法、” 等多个方面范子数据取工作。 我国子据的准化工作起步晚，但是国家于相关准工作十分重。《全国 人大常委会关于司法定管理的决定》（以下称《决定》）从国家基本法律面子数据定遵守技准 的做了明确定，即“ 定人和定机构从事司法定， 当遵守法律、法，遵守道德和律，尊重科学，遵守技操作范。” 部章和范性文件面也有似定。2005 年《公安机关子数据定》（公信安 [2005]281号）明确要求公安机关子数据定人当履行并遵守行准和定 程定的；2006 年《公安机关定机构登管理法》（公安部令第83 号）明确 将定机构遵守技准的情况入公安登管理部年度考核的内容中；2007 年《司法定程序通》（司法部令第107 号）定人采技准做出了的要求，其 第 22 条定，“司法定人行定，当依下列序遵守和采用域的技准 和技范：（一）国家准和技范；（二）司法定主管部、司法定行或 者相关行主管部制定的行准和技范；（三）域多数家可的技 准和技范?..”

电子取证特性及电子取证方法

电子取证特性及电子取证方法 信息社会使我们融入了数字世界，信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题，与计算机相关的诉讼不断出现，一种新的证据形式——电子证据成为人们研究与关注的焦点。 电子证据即为电子数据证据，也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据，通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件，毫无疑问它具有一般证据所具有的客观存在性，既是可信的、准确的、完整的、符合法律法规的，同时它又具有自身的特殊性。 掌握了电子证据独特的性质，有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。 电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输，所以电子证据的形成具有高科技性；电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息，是通过看不见摸不着的计算机语言记载的，其数据是以磁性介质保存，它又具有无形性；电子数据以“比特”的形式存在，是非连续的，…改动、伪造不易留下痕迹，数据或信息被人为地篡改后，如果没有可对照的副本、映像文件则难以查清、难以判断，电子证据还表现为易改动性；人为的恶意删除、误操作、电脑病毒、电脑故障等等原因，均有可能造成电子证据的消失，电子证据又呈现易消失性；电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息，其外在表现形式具有多样性；此外，电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。 电子证据的上述性质，决定了其取证过程有别于许多传统的取证方法，它对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学，电子证据取证正逐渐成为人们研究与关注的焦点。电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则，要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素，才能保证电子证据的真实性、合法性。 在快播一案中，我们第一次接触电子数据取证，印象最深刻的就是电子证据对系统