电子证据是由技术发展引发的,在取证过程中,必须借助一些专用工具。
数据提取和分析工具是网络取证专家工具包中最基本的工具。其中既包括操作系统中已经存在的一些命令行工具,也包括专门的工具软件和工具包。
主要有:适用于不同驱动器的空磁盘、可移动式刻录机、扫描仪、笔记本电脑、调制解调器等等。
二、由于电子证据表现形式的多样性,因此在收集时应区别对待: 1、手机短信形式电子证据的收集。近年来,手机短信成为人们的重要联络方式,由于其具有便捷性和隐蔽性,也被犯罪分子作为重要的犯罪手段和犯罪工具使用,如利用短信指挥犯罪活动或者直接进行诈骗活动。在这类案件中,若能收集该类证据,对证实案件往往起到一锤定音的作用,因为每个手机用户的手机号码和入网证号都是唯一的,短信发出后,接收者手机又能显示对方的手机号码。这样就可以确定发送者是谁,起到证实案件事实的作用。在收集该类证据时,可以采取以下方法:一是在接收信息者未将短信删除的情况下,直接将此信息予以储存,并将手机封存,作为最终审判的证据材料。二是在与案件有关的短信被删除的情况下,可以通过手机短信运行商来调取短信内容。在收集时,可以通过运行商的储存信息将对应的手机短信的发送时间、双方手机号及内容打印出来,并由在场的工作人员签字盖章证实出处,以供侦查和审判使用。
2、电子邮件形式电子证据的收集。电子邮件是基于因特网而产生的一种新型通信方式,其与传统的通信方式的区别在于,它把人们所要表达的意思转化为数字信号,并通过网络传输呈现在对方的电脑屏幕上。电子邮件在民事诉讼中已经得到确认,如我国《合同法》规定合同的书面形式包括电子数据邮件形式。在刑事诉讼领域中,司法机关的解释中也有所体现,但对如何收集并未规定。收集时应首先了解电子邮件的特征,电子邮件区别于其他形式电子证据的特点是每个电子邮件使用者必有一个电子信箱,而每个电子信箱其用户名、账户名以及密码是唯一的,纯电子邮件的信头都带有收发件人、网址及收发时间。任何人掌握了某一注册用户的用户名、账户名、密码,就可以收发或删除邮件。当然,对于一般人来说,直接在收件箱中修改文件并不是容易的事,因为收件箱中的文件为只读文件,拒绝修改。即使将其另存,也只改变其位置,并不能改变其属性。
针对电子邮件的上述特点,在收集时必须有一个前提,即保证所收集的电子邮件是在安全环境下的邮件,也就是说该邮件所存在的计算机硬件运行系统是安全的,电子邮件没有遭到病毒或黑客侵袭,否则收集到的证据材料是缺乏意义的。要满足这种条件,收集的人员必须具备一定的计算机和网络技术,同时还要有一定的设备。在民事诉讼中,最高人民法院在《关于民事诉讼证据的若干规定》中规定了专家出庭作证的做法,这种做法在国外称为技术顾问制度。在收集电子证据中聘请专门技术人员,在出庭时由其对收集情况进行说明。专业人员收集时,可以通过打印或拷贝的方法将其固定起来,在法庭上可以通过多媒体示证的方式将电子邮件的内容及用户名等直接显示出来。
3、网络聊天形式电子证据材料的收集。网络聊天是随网络技术的发展出现的一种及时双向沟通的通信方式,主要有两种:聊天室聊天和QQ聊天。聊天室聊天是通过网站上开设的聊天室进行“一人对多人”的公聊,而QQ聊天是指“一对一”的私聊,相对于电子邮件来讲,存在的环境更加开放,收集起来更难。因此,在收集网络聊天证据时要收集三类证据:一是聊天内容证据,包括聊天对话的内容,也包括聊天者简单的个人信息,当然这些信息一般是虚假的,须借助收集到的上网IP地址及上网使用的网络进行佐证;第二类是系统环境证据,即我们借助的计算机硬件和软件数据是否正常,用以辅助证明网络聊天证据的可靠性;第三类是附属信息证据,如IP地址、所借助的服务器、上网账号、信息传递的路径等,从而将聊天者与某个特定的行为人联系起来。对于聊天内容,可以通过网络服务商以拷贝、打印的方式收集,在网络服务商未保存的情况下,可以从聊天者双方电脑记录中收集,并将其以拷贝或打印的方式固定下来。对于被篡改的聊天记录,可以聘请专门技术人员对其进行恢复,因为当前的技术足以证实每一次硬盘的擦写记录都可以进行恢复,计算机对文件的修改也不是完全意义的删除或覆盖。对此收集的证据,我们可以由相关专家出具鉴定结论的方式予以固定,在运用时可以作为再生证据加以运用。朔州市公安局科技处