电子证据的固定采集与展示业务操作指引(3)

第六十六条 Windows系列操作系统和UNIX是最常见也是应用最广的两种操作系统。鉴于操作系统使用之广泛性，本指引仅涉及Windows操作系统中，相关电子证据的固定采集。

第六十七条 从技术上说，几乎Windows操作系统中的每一项事务都可以在一定程序上被审计。因此，获取各种系统日志是确定电子证据的必要步骤。

很好

第六十八条 访问Windows操作系统维护的各种日志可以获得以下信息：

1、确定计算机在某一时间段内被使用和登录系统的用户；

2、跟踪登录者对特定应用程序的使用；

3、跟踪审核策略的变更，看是否有防御性的策略变化；

4、跟踪用户权限（如非法提高的访问权限）的变化，以及用户和组的变更。

第六十九条 查看注册表是获得当前计算机中，可能具有电子证据性质的系统数据的有效途径。

第七十条 在固定采集系统数据及用户数据时，为保护原始数据，确保证据的有效性不被破坏，通常情况下，采取以下三种方法进行数据备份，对系统进行完整复制：

1、利用磁盘镜像工具对移交的证据介质进行复制。

2、通过添加一个硬盘驱动器的方法创建映象。

3、通过网络发送映象。

无论以上述哪种方式固定采集系统数据，创建数据副本，都需要对原始驱动器和最后的映象文件执行数据完整性校验。

第七十一条 数据完整性校验可以通过专用的校验工具软件进行。建议使用专用的电子取证硬盘复制机（如TALON、QUEST）进行硬盘复制。上述设备均支持MD5 256位校验功能，确保原始数据与复制数据的一致性。

第七十二条 在封闭的计算机系统中固定采集电子证据，尤其应注意检查并固定采集下列文件：

1、扩展名为.pst的Microsoft Outlook电子邮件文件。

Windows系列操作系统默认的存储路径为：Documents and Settings\<User Account>\Local Settings\Application Data\Microsoft\Outlook ；

2、回收站中的文件；

3、扩展名为.tmp的检查临时文件；

4、恢复被删除的文件，有相当多的工具软件如Norton可以恢复系统中被删除的文件；

5、Internet历史记录；

第七节 来源于移动存储设备的电子证据

很好

第七十三条 来源于移动存储设备的电子证据通常可分为两类：

1、保存在可移动的电磁或光学介质上的电子数据，如移动硬盘、CDROM光盘等。此外，数码设备中使用的格式卡如CD卡、CF卡、MS记忆棒、手机中的SIM卡等也可以归入此类。

2、保存具备一定计算机功能的移动数字设备中的电子数据，如手机、PDA、车载GPS等。

第七十四条 对保存在可移动的电磁或光学介质（载体）上的电子数据，应当提取原物并将之作为证物使用。

第七十五条 由于原物是以其记载内容而非其自身作为证据使用。因此，可利用相应的硬件设备或软件工具导出或读取有关介质（载体）中的数据，并对导出或读取的数据进行分析。

第七十六条 对上述介质（载体）中的数据进行导出或读取的过程，建议通过公证机关或中立第三方进行并对全过程予以记录，以保证相关数据的真实性。

第七十七条 对于移动数字设备中的电子数据，如不具备提取保存原物之条件，应当按上条之要求与途径，对其中的电子数据进行固定采集。

第七十八条 在固定采集移动数字设备中的电子数据时，应将该设备品牌、型号、操作系统、使用说明书等内容作为环境数据一并固定采集。

第七十九条 固定采集使用手机产生的电子证据时，除了以手机为对象进行固定采集外，还可以通过该手机的通讯网络运营商（中国联通、中国移动、中国电信）进行相关电子证据的固定采集。

第八十条 固定采集通讯网络运营商所保存的手机使用产生的电子证据，建议通过以下两种途径：

1、通过互联网登录运营商的网上营业厅，查询并固定相关的电子证据信息如通话记录、短信记录等等。同时，申请公证机关对此过程进行证据保全公证。

2、通过申请调查令的方式，向通讯网络运营商调取相关手机的通讯记录等数据或内容。

第八十一条 司法实践中，手机短信内容可作为证据使用已无争议。对手机短信内容的固定采集，建议通过公证机关对其进行证据保全的方式进行。

第八十二条 根据现行相关规定，手机号码的开通使用已实行实名制。但基于通讯网络运营商对用户通讯自由与个人隐私之保护，手机机主或使用人身份的确认，需要通过申请人民法院调查令之方式才能使固定采集的电子证据具有合法性。

很好

第四章 电子证据的展示

第八十三条 电子证据作为一种新型的证据形式，要使其发挥证明相关法律事实、法律行为等案件事实的作用，须按照相关证据规则的要求进行证据展示。

第八十四条 在电子证据展示过程中，应充分考虑所掌握电子证据的种类、特征以及区别于其他类型证据的特点，采用科学的展示方法，以便其获得相应的证据证明效力。 第八十五条 展示的电子证据应当包括以下三个方面：

1、证据内容，即电子证据所包含的、可以用来证明某些案件事实的证据或材料。

2、附属信息，指证据内容数据产生、变更、消失的数据，如系统日志、访问时间、IP地址、网站域名归属等。

3、环境数据，指支持电子证据的硬件及软件所产生的数据，如系统的版本数据、系统文档等。

上述三个方面如有缺失，则会直接影响电子证据的真实性、合法性、有效性，甚至导致电子证据不被采信。

第八十六条 由于电子证据的原始状态是一组电子数据（如计算机文件使用的是二进制数据。），需进行一定的程序还原才能显示其内容，并且显示或提取的都是文件的副本。通常情况下，通过以下方法来完成电子证据的展示：

1、通过计算机打印输出的方法；

2、通过计算机读取并处理移动存储介质内电子数据的方法；

3、将计算机系统本身作为证据，以模拟和演示特定条件下计算机的性能证明计算机系统本身的可靠性；

4、将计算机系统所带硬盘作为证据，通过计算机读取处理硬盘数据，展示硬盘内容作为证据展示；或，

5、上述四种方法的结合使用。

第八十七条 在电子证据展示过程中，建议以书面方式提交电子证据信息内容的目录、数据的组织方法、操作系统和应用程序以及正确读取查询信息内容的文档资料。 第八十八条 建议对电子证据的展示，在律师指导下，由专业技术人员进行操作和演示。必要时，由专业技术人员就相关技术问题直接作出说明和解释。

第八十九条 对于涉及技术问题较为专业、复杂的电子证据，建议在电子证据展示的同时，采取以下方法对电子证据中较为专业的技术部分进行解释与说明：

1、申请专家证人对电子证据中相对专业、复杂的部分进行解释与说明；

2、采取模拟演示的方法对电子证据进行解释与说明；

很好

3、使用专用的司法分析软件如ENCASE、FTK （Forensic Toolkit），运用其中的证据监督链（Chain of Custody）信息来对电子证据尤其对其完整性与真实性进行解释与说明。

第五章 附 则

第九十条 本指引由中华全国律师协会信息网络与高新技术专业委员会委托江苏省律师协会电子商务与信息网络业务委员会制定。

第九十一条 本指引系根据现有的电子信息技术而拟定，并非强制性规定，仅供律师在实际业务中参考与借鉴。本指引将根据计算机技术、数字通讯技术及网络技术的不 …… 此处隐藏：1478字，全部文档内容请下载后查看。喜欢就下载吧 ……