電子取證流程

　　電子證據，是指在計算機或計算機系統執行過程中產生的，以其記錄內容來證明案件事實的電磁記錄物。以下是小編為您整理的，希望對您有幫助。

　　如下

　　一、電子取證的操作流程

　　***1***受理案件

　　調查機關在受理案件時，要詳細記錄案情，全面地瞭解潛在的與案件事實相關的電子證據材料，如涉案的計算機系統、印表機等電子裝置的情況，包括系統日誌、IP地址、網路執行狀態、日常裝置軟體使用情況、受害方和犯罪嫌疑人的資訊科技水平等。

　　***2***保護涉案現場

　　取證人員進入現場後，應迅速封鎖整個計算機區域，將人、機、物品之間進行物理隔離;保護目標計算機系統，及時維持計算機網路執行狀態，保護諸如行動硬碟、U盤、光碟、印表機、錄音機、數碼相機等相關電子裝置，檢視各類裝置連線及使用情況，在操作過程中要避免任何更改系統設定、硬體損壞、資料破壞或病毒感染等情況的發生，以免破壞電子證據的客觀性或造成證據的丟失。

　　***3***收集電子證據

　　由於電子證據的脆弱性，在證據收集過程中，應當由調查人員或是聘請的司法鑑定專家檢查硬體裝置，切斷可能存在的其他輸入、輸出裝置，保證計算機儲存的資訊在取證過程中不被修改或損毀。之後對原始儲存介質進行備份，在備份過程中，應當使用安全只讀介面，使用防寫技術進行操作，備份結束後檢查備份檔案是否與原檔案一致，注意在此過程中需要進行全程錄影並要求有第三方現場見證，以保證電子證據的客觀真實性。

　　***4***固定和保管電子證據

　　在對計算機中的資料和資料進行備份過程後，應當及時記錄各裝置的基本資訊、備份的時間、地點、資料來源、提取過程、使用方法、備份人及見證人名單並簽名。在儲存電子證據時，必須按照科學方法保全，要遠離磁場、高溫、灰塵、潮溼、靜電環境，避免造成電磁介質資料丟失，防止破壞重要的線索和證據。還要注意防磁，特別是使用安裝了無線電通訊裝置的交通工具運送電子證據時，要關掉車上的無線裝置，以免其工作時產生的電磁場破壞計算機及軟盤、磁帶等儲存的資料。

　　***5***分析電子證據

　　在電子證據分析階段，應當使用相應的備份資料進行非破壞性分析，即通過一定的資料恢復方法將嫌疑人所刪除、修改、隱藏和加密的證據進行儘可能的恢復，在恢復出來的檔案資料中分析查詢相關線索和證據。同時，詳細記錄資料恢復方法、操作步驟、操作時間、地點、人員資訊等內容，以使證據經得起法庭的質證。

　　***6***歸檔電子證據

　　應及時整理取證與分析鑑定的結果並進行分類歸檔儲存，主要包括證據收集時，對涉案電子裝置的檢查結果，即調查時間、地點、硬碟分割槽情況、作業系統版本、裝置執行狀態等;取證分析階段，裝置備份完整性、使用者系統資訊、日常軟體操作情況以及對電子證據的分析結果和評估報告等相關資訊。讓偵查人員、鑑定人員、檢察官在需要檢視證據時，可以迅速的找到並瞭解相關證據資料。

　　二、電子取證的基本原則

　　***1***依法取證原則

　　1、主體合法，電子證據的取證與司法鑑定主體必須具備法定的取證與司法鑑定資格，只有具備合法的調查取證與司法鑑定身份，才能執行相應的取證與司法鑑定活動。2、物件合法，在調查取證過程中，對於與案件事實無關的資料，不能進行任意地取證，以免侵犯了所有人的隱私權等合法權益。3、手段合法，要求取證人員符合技術操作規範，取證所使用的工具和程式必須通過國家有關主管部門的評測。4、過程合法，要保證備份資料與原始檔一致;在不改變資料的前提下對其進行分析;要利用傳統的音視訊採集工具，對取證過程進行全程記錄，保證證據連續性;要有兩個合法的取證人員同時在場取證;整個取證和鑑定過程必須主動接受監督。

　　***2***無損取證原則

　　1、為了防止由於對涉案裝置、系統的操作而損毀某些電子證據，造成證據收集不充分，在電子取證的過程中，不能對涉案裝置、系統進行任何修改操作，以維護涉案裝置、執行環境等全部資訊的完整狀態。在資料分析階段，必須先通過只讀鎖對原始資料進行映象拷貝，然後再對拷貝資料進行分析，以保證電子證據的客觀性。2、電子證據的實質是儲存在電磁介質中的電磁資訊，如果受到外界磁場影響，有可能被消磁而損壞原始資料，因此，對於收集到的電子證據應妥善保管，採取遠離高磁場、高溫環境、避免靜電、潮溼、灰塵和擠壓等措施，以保證電子證據的完整性。

　　***3***全面取證原則

　　在電子取證與鑑定過程中，應該儘可能地全面調查取證，認真分析電子證據的來源並進行全方位、多角度的取證和分析，在確保證據與案件事實關聯的基礎上，將獲得的所有電子證據結合案件的其他證據，相互印證，排除矛盾的電子證據，最終形成完整的證據鏈條。

　　***4***及時取證原則

　　電子證據一般是在作業系統執行過程中自動、實時生成，系統經過一段時間的執行，很可能會造成資訊系統的變化，如網路的稽核記錄、系統日誌、程序通訊資訊都會或多或少產生變化，這些資料資訊則不再能夠如實反映案件事實。因而電子證據具有一定的時效性，在確定取證物件之後，應該儘早收集證據，保證相關電子資料沒有受到任何破壞或損失，維持其與案件事實的關聯性。