电子物证最终版
电子物证检验剖析-2019年精选文档
电子物证检验剖析电子物证检验(Electronic Forensics )是关于识别、发现、提取、保存、恢复、显示、分析电子设备中产生、存储或传输的与案件相关电子数据的一门新兴法庭科学技术。
是在犯罪调查中鉴别、发现、重建、检验证据的重要技术手段,由于法庭科学的技术和理论同样可以应用到电子物证检验中,可以为处理、分析电子证据提供、技术手段和技术方法,因此电子物证检验应遵循法庭科学的方法和体系。
、电子物证检验概述1.电子物证的特点与传统证据相比,电子证据具有的特点包括:1)表现形式多样性:不仅可以用文字、图像和声音等多种方式进行传输存储,而且还可将上述多种形式综合形成“多媒体”形式。
2)依赖介质性:需要借助一定的介质存在,如计算机硬盘、光盘等。
3)易破坏性:特别是数字化的电子证据,容易被修改或删除,并且不易找到其改变的痕迹。
4)易复制性:可以方便地进行多种形式的复制。
5)时限性:如一些人为设定的“逻辑炸弹”,过了某一时限就会删除某些电子数据。
6)易传播性:电子证据可以不受地域甚至国界限制通过网络无限地快速传播,如电子邮件可以瞬间扩散到世界的各个角落。
2.电子物证的优越性正是由于电子物证具有一系列传统证据所没有的特点,因此电子物证检验与传统物证检验相比具有一定的难度,且其效力在法庭上的确认也面临着不一样的程序。
但电子物证检验过程中,也有一些传统物证检验所不具备的可利用的优越性,具体表现在:1)可以将原数字证据精确复制,在对这些数字证据检验时还可对复制的证据进行检验,以避免对原证据的损坏。
2)使用适当的工具通过与原有证据进行比较,可以方便地检测出电子证据是否已经被改变或破坏。
3)完全消除证据相对困难,即使从磁盘上“删除,”还可能通过电子工具进行“恢复”。
4)当完全消除电子证据时,其拷贝数据还可能保存在别的介质上。
由于电子物证检验的结果往往能够更加直接的说明犯罪案件事实或证明犯罪活动的存在,因此能够有效地提供侦查线索和法庭证据。
计算机犯罪中的电子物证检验 (2)
计算机犯罪中的电子物证检验
电子物证检验是计算机犯罪调查中的重要环节,通过对电子设备、存储介质和网络数
据的分析和提取,来收集、保护和分析证据以支持法庭的审理。
以下是电子物证检验
的一般步骤和方法:
1. 保护现场:在开始电子物证检验前,确保现场被妥善保护,以防止证据被破坏或篡改。
2. 收集证据:收集相关设备和介质,如电脑、手机、存储设备等,并保持其完整性,
避免误操作或污染。
可以使用专业工具和技术来提取和获取数据。
3. 数据提取:使用合适的技术和工具来提取设备和介质中的数据。
这可能包括恢复被
删除的文件、分析日志文件、提取网络通信数据等。
4. 数据分析:对提取的数据进行分析,寻找与调查相关的信息和证据。
这可能包括查
找通信记录、查阅文件内容、分析网络活动等。
5. 数据验证:验证提取的数据的完整性和可靠性,确保其没有被篡改或修改。
6. 数据处理和报告:对分析的结果进行整理和处理,提供详细的报告和解释,确保证
据的可信度和可理解性。
7. 法庭准备:将分析结果和证据整理成法庭可接受的形式,准备好供法庭审理使用的
文件和材料。
需要注意的是,电子物证检验需要专业的技术和工具,以确保证据的完整性和可靠性。
同时,检验人员需要遵守相关的法律和规定,确保调查的合法性和隐私保护。
电子证据法律范本规范电子证据的法律框架
电子证据法律范本规范电子证据的法律框架电子证据法律范本:规范电子证据的法律框架随着技术的不断发展,电子证据在法律实践中的使用逐渐成为一个重要的议题。
为了确保电子证据的合法性和可靠性,各国纷纷制定相关的法律框架来规范电子证据的收集、保存和使用。
本文将介绍电子证据的法律框架,并分析其在保护当事人权益和维护司法公正方面的意义。
一、电子证据的定义和形式验证电子证据是指通过电子设备产生、传输和保存的证据,其形式多样,包括电子邮件、短信记录、社交媒体聊天记录、云端存储数据等。
为了确保电子证据的真实性和完整性,法律框架规定了形式验证的要求。
当事人需要提供相关的技术证据,证明电子证据在收集和保存过程中未经篡改。
二、电子证据的获取和保全电子证据的获取和保全是电子证据法律框架的核心内容。
为了确保证据的合法获取和可靠性,框架规定了以下主要要求:1. 合法获取:当事人在收集电子证据时必须遵守相关的法律规定,并获得合法的授权。
例如,在刑事案件中,警察需要获得搜查证或逮捕令,才能合法收集电子证据。
2. 保全措施:为了保证电子证据的完整性和可靠性,法律框架规定了一系列保全措施,如镜像备份、数字签名、时间戳等。
这些措施有助于防止证据被篡改或丢失,同时确保证据的可追溯性。
3. 保密和权限控制:电子证据往往包含大量的个人敏感信息,为了保护当事人的隐私权和数据安全,法律框架要求相关人员对电子证据进行合理的保密措施和权限控制。
三、电子证据的认可和认证电子证据的认可和认证是保证电子证据在法庭上有效使用的关键步骤。
为了确保证据的可靠性和真实性,法律框架规定了以下要求:1. 鉴定程序:在电子证据的认证过程中,法庭需要依据相关的法定程序进行证据鉴定,包括对证据的收集、保全、完整性和来源等方面进行审查。
2. 专业证人:电子证据往往涉及复杂的技术问题,法律框架鼓励当事人聘请专业证人提供相关的技术解释和证明,以确保证据的可靠性和可信度。
3. 反驳权利:当事人对电子证据的真实性和合法性有异议时,法律框架保障了当事人的反驳权利,可以通过提供反证或相关的技术分析来质疑电子证据。
电子物证最终版
本重点所有内容都为个人猜测,仅为大家复习提供一个方向,是非不再辩诉,此版为最终版本,之后不再更新。
最后感谢万一组合、满红姐对本重点的付出。
另选择题在题库中,估计题库总题在80~150之间,建议大家像做科一般多做两遍即能达到很高的正确率。
电子物证填空题1.电子数据的特点:表现形式的多样性与复杂性、依赖介质与无形性、易破坏性、易复制性、时限性、易传播性。
2.电子数据的审查:客观性审查、关联性审查、法律性审查。
3.电子数据取证:现场勘查检查、远程勘验、电子物证检验。
4.电子物证的固定方法:完整性校验方法、备份方法、封存方法。
5.电子物证检验:提取数据、检验数据、分析数据并得出结果、形成鉴定文书4个阶段。
6.电子物证检验的常用技术和工具①保全备份技术及工具镜像——Linux dd 命令、Encase、Forensic Toolkit、SafeBack、NTI;硬件克隆——The Forensic Dossier、DC8201、Image MASSter Solo-IV②数据擦除技术及工具同上③数据恢复技术及工具FinalData。
EasyRecovery。
FileRecovery。
PhotoRecovery。
Encase。
Forensic Toolkit。
GetFree。
R-Studio ④数据搜索技术及工具Encase。
Forensic Toolkit。
X-Ways Forensic资源管理器⑤密码破解技术及工具Encase。
Forensic Toolkit。
X-Ways Forensic⑥文件一致性检验技术及工具Encase。
Forensic Toolkit。
MD5SUM7.存储介质的擦除:存储介质的擦除标准(ChinaBMB21-2007 (6次))、命令擦除法、软件擦除法、硬件擦除法8.保全备份:命令备份法(#dd if=/dev/hdb of=/dev/hdc)软件备份法、硬件备份法9.电子物证检验工具encase:①案例文件:一个案例详细信息的文件②证据文件:encase分析方法的核心部分是证据文件③哈希值:根据文件或磁盘内容生成的用于描述文件唯一性的数字,即数字指纹④文件签名:.doc、.jpeg⑤文件松弛区:文件逻辑结束位置和物理结束位置之间的区域,这个区域的字节是以前文件残留下来的⑥GREP:#(0~9),?(重复0或者1次)详情P55,实际在多选题有出现过。
计算机犯罪中的电子物证检验
计算机犯罪中的电子物证检验
在计算机犯罪调查中,电子物证检验是非常重要的一部分。
它涉及到对电子设备和数
字信息的收集、分析和鉴定,以确定是否存在犯罪行为的证据。
下面是电子物证检验的一些主要步骤:
1. 收集物证:根据调查的需要,收集包括计算机、手机、存储设备等在内的电子设备,以及与犯罪行为相关的数字信息,如文件、电子邮件、聊天记录等。
2. 保存物证:确保对收集到的物证进行正确的保存和保护,以免干扰证据的完整性和
真实性。
这包括使用特殊的工具和方法,以防止数据被意外删除或更改。
3. 分析数据:对收集的电子物证进行详细的分析,以寻找潜在的证据。
这可能包括从
硬盘、内存和其他存储设备中提取数据,重建删除或损坏的文件,并分析文件的元数
据和日志。
4. 鉴定物证:确定电子物证与犯罪行为之间的联系和可靠性。
这可能包括对数据的验证,确认数字签名和时间戳的有效性,以及使用专业的工具和技术来识别和分析隐藏
的信息。
5. 生成报告:将检验的结果进行整理和总结,生成详细的报告。
这个报告应该包括对
发现的证据的描述、技术分析的结果、鉴定的结论和建议。
需要注意的是,电子物证检验需要由经验丰富的专业人员进行。
他们需要具备计算机
取证、数据恢复、加密技术等方面的知识和技能,并遵守法律和道德规范,以确保调
查的公正性和合法性。
电子证据检查的法律规定(3篇)
第1篇随着信息技术的飞速发展,电子证据在各类诉讼案件中扮演着越来越重要的角色。
电子证据,即以电子数据形式存在的证据,包括但不限于电子邮件、聊天记录、网页信息、视频、音频文件等。
为了规范电子证据的收集、审查和使用,我国制定了一系列法律法规。
以下将对电子证据检查的法律规定进行详细阐述。
一、电子证据的定义与特征1. 定义根据《中华人民共和国民事诉讼法》第七十六条的规定,电子证据是指以电子数据形式存在的,能够证明案件事实的数据。
电子证据包括但不限于以下几种:(1)电子邮件、短信、即时通讯软件聊天记录等电子信息;(2)网页信息、数据库信息等网络信息;(3)录音、录像、图像等视听资料;(4)电子合同、电子票据等电子文件。
2. 特征(1)客观性:电子证据以电子数据形式存在,具有客观性,不易被篡改;(2)易逝性:电子证据易受病毒、硬件故障等因素影响,存在易逝性;(3)复杂性:电子证据涉及技术问题,需要具备一定专业知识的人进行审查;(4)关联性:电子证据与其他证据之间可能存在关联性,需要综合分析。
二、电子证据检查的法律规定1. 收集与提取(1)根据《中华人民共和国刑事诉讼法》第一百四十三条的规定,侦查人员应当依法收集、提取电子证据,并制作相应的证据材料。
(2)根据《中华人民共和国民事诉讼法》第七十七条的规定,当事人可以自行收集、提取电子证据,也可以委托他人收集、提取。
(3)根据《中华人民共和国行政诉讼法》第三十九条的规定,行政机关应当依法收集、提取电子证据,并制作相应的证据材料。
2. 审查与认定(1)根据《中华人民共和国刑事诉讼法》第一百四十六条的规定,审查电子证据,应当结合案件具体情况,对证据的真实性、关联性、合法性进行审查。
(2)根据《中华人民共和国民事诉讼法》第七十八条的规定,审查电子证据,应当审查其来源、制作过程、存储环境等,确保其真实性、关联性和合法性。
(3)根据《中华人民共和国行政诉讼法》第四十条的规定,审查电子证据,应当审查其来源、制作过程、存储环境等,确保其真实性、关联性和合法性。
电子证据鉴定法律规定(3篇)
第1篇一、引言随着信息技术的飞速发展,电子证据在司法实践中扮演着越来越重要的角色。
电子证据具有证明力强、易于保存、便于传输等特点,为司法实践提供了有力支持。
然而,由于电子证据的特殊性,其鉴定问题也日益凸显。
为规范电子证据鉴定工作,保障司法公正,我国陆续出台了一系列法律法规。
本文将从电子证据鉴定法律规定入手,对相关法律法规进行梳理和分析。
二、电子证据鉴定法律规定概述1. 《中华人民共和国刑事诉讼法》《刑事诉讼法》是我国电子证据鉴定法律规定的基石。
根据该法第54条规定,电子证据应当符合以下条件:(1)具有合法来源;(2)具有真实性;(3)具有关联性。
同时,该法第58条规定,鉴定人应当具备下列条件:(1)具有相关专业知识和技能;(2)具备良好的职业道德;(3)与案件当事人没有利害关系。
2. 《中华人民共和国民事诉讼法》《民事诉讼法》对电子证据鉴定也作出了明确规定。
根据该法第70条规定,电子证据应当符合以下条件:(1)具有合法来源;(2)具有真实性;(3)具有关联性。
同时,该法第72条规定,鉴定人应当具备下列条件:(1)具有相关专业知识和技能;(2)具备良好的职业道德;(3)与案件当事人没有利害关系。
3. 《中华人民共和国行政诉讼法》《行政诉讼法》对电子证据鉴定同样作出了规定。
根据该法第40条规定,电子证据应当符合以下条件:(1)具有合法来源;(2)具有真实性;(3)具有关联性。
同时,该法第42条规定,鉴定人应当具备下列条件:(1)具有相关专业知识和技能;(2)具备良好的职业道德;(3)与案件当事人没有利害关系。
4. 《电子证据鉴定办法》《电子证据鉴定办法》是我国电子证据鉴定工作的具体实施规范。
该办法对电子证据鉴定机构、鉴定人、鉴定程序等方面作出了详细规定。
三、电子证据鉴定法律规定的主要内容1. 鉴定机构的设立与资质根据《电子证据鉴定办法》第5条规定,设立电子证据鉴定机构,应当具备以下条件:(1)有符合本办法规定的名称、组织机构和章程;(2)有固定的办公场所;(3)有符合本办法规定的鉴定人;(4)有必要的仪器设备;(5)有健全的内部管理制度。
电子证据取证规则
电子证据取证规则Title: Rules of Electronic Evidence Collection。
Electronic evidence, also known as digital evidence, refers to any information that is stored or transmitted in digital form and can be used in legal proceedings to prove a fact or support a claim. With the increasing use of electronic devices and the internet, electronic evidence has become an important source of evidence in many legal cases, including criminal investigations, civil lawsuits, and administrative proceedings. However, collecting electronic evidence is not as simple as collecting physical evidence, as it involves a number of technical, legal, and ethical issues. In this article, we will discuss the rules of electronic evidence collection, including the types of electronic evidence, the methods of collection, the admissibility of electronic evidence, and the challenges and best practices of electronic evidence collection.Types of Electronic Evidence。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本重点所有内容都为个人猜测,仅为大家复习提供一个方向,是非不再辩诉,此版为最终版本,之后不再更新。
最后感谢万一组合、满红姐对本重点的付出。
另选择题在题库中,估计题库总题在80~150之间,建议大家像做科一般多做两遍即能达到很高的正确率。
电子物证填空题1.电子数据的特点:表现形式的多样性与复杂性、依赖介质与无形性、易破坏性、易复制性、时限性、易传播性。
2.电子数据的审查:客观性审查、关联性审查、法律性审查。
3.电子数据取证:现场勘查检查、远程勘验、电子物证检验。
4.电子物证的固定方法:完整性校验方法、备份方法、封存方法。
5.电子物证检验:提取数据、检验数据、分析数据并得出结果、形成鉴定文书4个阶段。
6.电子物证检验的常用技术和工具①保全备份技术及工具镜像——Linux dd 命令、Encase、Forensic Toolkit、SafeBack、NTI;硬件克隆——The Forensic Dossier、DC8201、Image MASSter Solo-IV②数据擦除技术及工具同上③数据恢复技术及工具FinalData。
EasyRecovery。
FileRecovery。
PhotoRecovery。
Encase。
Forensic Toolkit。
GetFree。
R-Studio ④数据搜索技术及工具Encase。
Forensic Toolkit。
X-Ways Forensic资源管理器⑤密码破解技术及工具Encase。
Forensic Toolkit。
X-Ways Forensic⑥文件一致性检验技术及工具Encase。
Forensic Toolkit。
MD5SUM7.存储介质的擦除:存储介质的擦除标准(ChinaBMB21-2007 (6次))、命令擦除法、软件擦除法、硬件擦除法8.保全备份:命令备份法(#dd if=/dev/hdb of=/dev/hdc)软件备份法、硬件备份法9.电子物证检验工具encase:①案例文件:一个案例详细信息的文件②证据文件:encase分析方法的核心部分是证据文件③哈希值:根据文件或磁盘内容生成的用于描述文件唯一性的数字,即数字指纹④文件签名:.doc、.jpeg⑤文件松弛区:文件逻辑结束位置和物理结束位置之间的区域,这个区域的字节是以前文件残留下来的⑥GREP:#(0~9),?(重复0或者1次)详情P55,实际在多选题有出现过。
10.电子物证检验与分析过程与对应表单:①案件受理——《鉴定委托书》《固定电子证据清单》《封存电子证据清单》《委托鉴定检材清单》《原始证据使用记录》《鉴定受理登记表》《不予受理函》②检材的保存及处理——《送检(补充)检材和样本》③检验与分析——《鉴定管理流程表》④相关文书的形成与签发——《鉴定文书审批单》《备考表》⑤出庭等。
11.案例管理及证据操作案例结构:由证据文件、案例文件、encase程序配置文件3部分组成证据操作:encase证据文件(.e01、.e02、.e03)包含已获取的设备内容,集合了可分析的元数据、设备的哈希值以及所获得的设备内容;逻辑证据文件(.101、.102、.103)包含了在预览嫌疑计算机中的文件时,复制出来的有代表性的个别文件;原始数据镜像;单个文件包括目录12.证据的分析与检验文本样式包括①ASCII:美国信息交换标准代码②GB2312:国标码(中华人民共和国国家汉字信息交换用编码)③GB10830:国标10830汉字字符集④Big-5:大五码(繁体中文字符集)⑤Unicode:统一码、万国码、单一码⑥UTF-8:万国码13.RAID :告诉你已知条件问你采取哪一种RAID级别。
(如采用RAID0/1/2/3/4/5/6等)14.数据搜索物理搜索:不考虑逻辑存储关系,针对物理扇区进行搜索;逻辑搜索:按照逻辑存储关系在文件中进行遍历搜索。
15.FTK2.0检验工具:是第一个且唯一的一个集成Oracle数据库的司法工具。
16.文件系统和存储层分配单元层没个分配单元的大小取决于3个方面:文件系统类别、分区大小和系统管理员的经验。
17.Quick View Plus:万能文件查看工具。
18.日志文件的检验①日志保存路径:%systemroot%\system32\config②应用程序日志后缀:AppEvent.evt③安全日志后缀:SecEvent.evt④系统日志后缀:SysEvent.evt⑤Win7日志多了一个XML的格式⑥服务器日志:Windows系统下网络服务器日志格式主要有:Microsoft IIS日志文件格式(Microsoft IIS Log Format)、NCSA公用日志文件格式(NCSA Common Log File Format)、W3C扩展日志文件格式(W3C Extended Log File Format)和ODBC日志记录格式(即根据已知英文你翻译对应的中文意思)19.常见的数据库日志:保存路径%ORACLE_BASE%\admin\SID\bdump 注册表的键值:Windows日志目录项五大根键:HKCR:HKEY_CLASSES_ROOT(缩写HKCR)HKCU:HKEY_CURRENT_USER(缩写HKCU)HKLM:HKEY_LOCAL_MACHINE(缩写HKLM)HKU:HKEY_USERHKCC:HKEY_CURRENT_CONFIG(缩写HKCC)1.HKCU(1)OpenSaveMRU——对话框窗口历史记录(2)RecentDocs——最近运行文件(3)RunMRU——开始—》运行执行过的命令(4)UserAssist——用户访问过的系统对象(5)TypedURLs——最近20个地址栏输入的URL地址及文件路径2.HKLM(1)Uninstall———计算机上的安装程序(2)Run——自动运行的程序名及路径FAT或NTFS 文件系统EXT2或EXT3文件系统应用级存储层文件文件信息分类层目录或文件夹目录存储空间管理层FAT或MFT Inode或数据位图分配单元层簇块数据分类层分区分区物理层绝对扇区或C/H/S绝对扇区文件系统存储层(3)HKLM Services——Windows服务程序(4)GUID——网卡最后设置的IP地址、默认网关(5)USB——所有的USB设备(6)USBSTOR——曾经使用过的USB设备20.交换文件的检验:交换文件即虚拟内存所使用的隐藏系统文件。
当系统内存不足是,会把内存中临时不用的内容交换到页交换文件中,文件名为pagefile.sys。
在命令行使用dir/ah21.打印脱机文件:SHD是一个镜像文件,包含打印操作的信息;SPL是打印的数据。
22.删除文件的方法:①逻辑删除——即删除到回收站;②物理删除——清空回收站;③粉碎删除——普通办法无法恢复;④数据擦除——用软件对数据擦除,普通办法无法恢复。
23.回收站的特点:FAT文件系统为RECYCLED,NTFS文件系统为RECYCLER,重命名DC0.X(X为文件后缀名)24.Cookies文件的检验:在Cookies文件夹里面,格式为“用户名@网站[数字].X”(X 为文件后缀名)25.手机取证收缴手机的保管与封装①关闭状态不要开启。
②开启状态拍照记录或文字记录,记录屏幕上信息内容、时间,及时关闭③隔离网络,防止外来短信和店货,需要手机信号屏蔽袋,用防静电指套装入防静电袋26.SIM卡短信存储原理:每个SMS空间占176字节——第1个字节:Status(状态字节)①00000000——没使用②00000001——已读③00000011——未读④00000101——已发⑤00000111——未发27.IMEI通过手机输入*#06#查得名词解释28.电子证据定义:广义——只要是以电子形式存储、处理、传输的信息都是电子数据。
狭义——即刑事诉讼法和民事诉讼中所规定的电子数据,应该是指“由电子设备产生、存储或传输的有证据价值的电子数据”,即电子数据证据,简称电子证据。
29.电子物证检验:是指公安司法鉴定机构的电子数据鉴定人员按照技术规程,运用专业知识、仪器设备和技术方法,对受理委托鉴定的检材进行检查、验证、鉴别、判定、并出具检验鉴定意见的过程。
30.数据完整性校验:是指用一种特定的算法对原始数据计算出一个校验值,然后再对校验或保全备份的数据用同样的算法计算一次校验值,如果和原始数据计算的校验值一样,就说明数据是完整的。
算法有Hash、MD5、SHA、CRC4种算法,使用最多的是hash。
31.电子数据取证的概念(不确定):对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设或电子设备中的电子数据的确定、收集、保护、分析、归档以及法庭出示的过程。
32.电子物证的概念(不确定):保存与案/事件相关电子数据的电子设备、存储介质。
33.注册表的检验(可能是3选1):分为联机注册表检验、远程注册表检验和脱机注册表检验。
①联机注册表检验在被检验计算机上直接对注册表进行检验,检验方法可以直接使用操作系统自带的注册表编辑器或注册表编辑工具reg.exe进行检验。
②远程注册表检验是通过网络对远程计算机的注册表进行联机检验,需要远程计算机开启Remote Registry服务,并且需要拥有登陆远程计算机的账号和密码。
③脱机注册表检验是指在电子物证检验工作站上对保全备份复件中的注册表进行的检验。
简答题34.电子数据的法律地位:(也许让你列举几条法律)①《中华人民共和国刑法修正案(七)》②《中华人民共和国刑事诉讼法》③《中华人民共和国民事诉讼法》④《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》⑤《关于办理死刑案件审查判断证据若干问题的规定》⑥《中国人民共和国行政诉讼法》⑦《公安机关办理行政案件程序规定》证据:(一)物证; (二)书证(三)被侵害人陈述和其他证人证言;(四)违法嫌疑人的陈述和申辩;(五)鉴定意见;(六)勘验、检查、辨认笔录,现场笔录;(七)视听资料、电子数据。
35.电子数据取证的原则:①及时性原则②合法性原则③全面性原则④专业人士取证或协助原则⑤潜在证人协助原则⑥利用专用技术工具取证原则⑦保全设备和固定原则⑧保密原则。
36.电子物证检验的基本原则:①不要对原始数据进行直接分析②检验分析数据的计算机系统及辅助软件必须保证安全、可信③分析前对数据进行签名④必须对检验过程中计算机系统的原始状态、周围环境、分析时的方法、具体操作产生的结果等进行详细描述和记录,并将文件归档,这些文件必须注明人员的姓名、操作时间、地点等附加说明⑤必须对进行检验的检材做好防水、防磁、防静电、防振保护、交接要有记录。
37.QQ聊天记录的检验①存储在%system%\用户\用户名\我的文档\TencentFiles\QQ号码②对于聊天过程中发送和接收的音频文件可以在Audio文件夹进行浏览检验;③对于聊天过程中接收的好友文件可以在FileRecv文件夹进行浏览检验;④对于聊天过程中发送的图片可以通过Image文件夹进行浏览检验;⑤聊天内容是以加密的方式保存在Msg2.0.db文件中。