电子数据证据取证要求
科技
2025-02-05 07:57
山东
发现
电子数据证据发现是指搜索、识别电子数据证据的过程,包含但不限于如下要求。a)应发现电子数据证据的不同表现形式,必要时制定相关方案。d)应及时识别相关设备的电力供应状态,采用电池供电的设备应及时保持电力供应。e)应及时识别现场网络覆盖情况和相关设备的网络状态。f)应注意识别与记录电子数据证据其他相关信息,包含但不限于设备或网络的密码等。
电子数据证据收集是指将电子数据证据介质从其原始位置移置到实验室或其他受控环境的过程,包含但不限于如下要求。a)若存在易失性数据,应直接对易失性数据进行提取。b)不存在易失性数据的情况下,应根据电子数据证据介质情况直接移除电源或正常关机。c)应及时收集与电子数据证据相关的信息、材料,包含但不限于记录密码的纸张、设备线缆、充电器等。
电子数据证据提取是指创建电子数据证据副本的过程,包含但不限于如下要求。a)对于客观条件无法提取的电子数据证据,应及时进行冻结。b)提取易失性数据时,应同时生成操作过程记录和录像记录。c)同一介质可以采用物理提取、逻辑提取的方法提取电子数据证据时,优先采用物理提取的方法。d)对于具备复制条件的电子数据证据介质,应使用电子数据证据介质复制工具进行镜像,电子数据证据复制工具应符合GA/T 754要求。e)对于具备写保护条件的电子数据证据介质,应使用写保护设备接入到检验设备上进行后续操作,写保护设备应符合GA/T 755要求。f)对于无需启动即可提取电子数据证据的介质,优先选择在不启动状态下提取电子数据证据。
电子数据证据固定是指进行电子数据证据原始性、完整性保护的过程,包含但不限于如下要求。a)应对收集、提取的电子数据证据进行标记,以便数据之间的关联。b)应对提取的电子数据证据与原始数据进行完整性校验并生成完整性校验值,保护数据原始性和完整性。c)无法进行完整性校验时,应同时生成操作过程记录和录像记录。d)应使用稳定性良好的介质保存已提取的电子数据证据,并进行封存。
电子数据证据分析是指对收集的原始存储介质或者提取的电子数据,通过恢复、破解、搜索、仿真、关联、统计、比对、反编译等方式,进一步获取与案件相关线索、证据的过程,包含但不限于如下要求。b)应通过写保护设备接入到分析设备进行分析,或者制作电子数据备份并进行分析。c)分析具有无线通信功能的原始介质,应采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。d)解除封存、重新封存前后应拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。e)电子数据证据分析工作结束后,应制作电子数据证据分析文书,记录基本情况、分析方法、分析过程和结果,并由参加分析的人员签名。
电子数据证据检验是指采取量测、检查、试验等方法,对特定环境下电子数据的变化、改变电子数据的操作行为、软硬件具备的特定功能或性能等情形进行验证的过程,包含但不限于如下要求。b)对于检验目标为独立于数字化设备的软件时,应对保全后的检验目标进行检验;对于检验目标为数字化设备的整机系统,应对数字化设备整机系统进行检验。c)检验使用的电子设备、网络环境等应与原环境一致或者基本一致并确保检验环境的安全;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验。d)禁止影响非实验环境计算机信息系统正常运行的检验行为。e)电子数据证据检验,应使用相关手段客观记录检验过程。f)解除封存、重新封存前后应拍摄被检验目标,清晰反映封口或者张贴封条处的状况。g)电子数据证据检验工作结束后,应制作电子数据证据检验文书,记录检验的条件、方法、过程和结果,并由参加检验的人员签名。
鉴定
电子数据证据鉴定是指具备资格的鉴定人运用科学技术或者专门知识对电子数据证据中涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动,包含但不限于如下要求。a)电子数据证据司法鉴定应由具有司法鉴定资质机构委派至少两名取得司法鉴定执业资格的人员实施。b)应审核检材或样本的送检状态,使用拍照、录像等方式记录其外观和标识,确认委托方要求鉴定的电子数据,从技术层面确认委托鉴定要求的有效性和可行性,引导其提出科学、合理、明确的鉴定要求并予以确定。c)对可制作电子数据副本的检材应先制作电子数据副本并进行完整性校验,制作完成后检材应妥善保管;对不能制作电子数据副本的,应在操作过程中采取写保护措施并采用拍照、录像等方式记录所有对检材的操作行为。d)如遇特殊情况,需要以检材作为操作对象并可能对其造成修改时,必须经委托人书面同意,并记录说明所有对检材的具体操作及结果。e)电子数据证据鉴定的操作过程应严格遵守方案所选择的鉴定方法,合理使用设备仪器进行电子数据证据鉴定。f)电子数据证据鉴定完成后应出具鉴定文书,客观反映鉴定的由来、鉴定过程,经过检验、论证得出鉴定意见的,鉴定文书由参与鉴定的鉴定人签名并加盖司法鉴定机构的司法鉴定专用章,对鉴定意见有不同意见的,应当注明。
g)网络信息及其他状态的描述,包含但不限于IP/域名等。g)提取的电子数据证据的存储位置、文件名、完整性校验值等信息;i)鉴定编号、鉴定要求、鉴定方法、操作过程、鉴定发现及结果。工作过程录像文件的说明文档应包括但不限于以下内容:
应在电子数据证据介质上粘贴标识,无法直接粘贴标识的,可在外包装上进行标识。电子数据证据介质应集中放置在防磁、防静电的存储环境中。电子数据证据介质在流转过程中应办理交接手续,妥善保存,防止其损坏或遗失并核对其完整性校验值是否正确和封存的照片与当前封存的状态是否一致。(计算机与网络安全)
