电子取证考试资源都是干货

2024-01-08 17:56:39

1.1什么是电子数据

《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》

电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据

特点：非直观、易变动、多样性

电子数据包括但不限于下列信息、电子文件：（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；（四）文档、图片、音视频、数字证书、计算机程序等电子文件。以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定

1.2什么是电子数据取证

电子数据取证通常理解为采用技术手段，获取、分析、固定电子数据作为认定事实的科学过程。

2013年1月1日新的刑诉法明确规定：“可以用于证明案件事实的材料，都是证据。”将电子数据列入第八类新的证据类型，从此电子数据无疑是新的证据之王。

1.3电子数据取证基本流程

1.4散列值（哈希值）

由散列算法生成的信息摘要就叫散列值，也称为哈希值

常见散列算法：MD4、MD5、SHA-1、SHA-256

散列值只和数据内容有关，和文件属性无关。

哪些情况会影响散列值的计算:扇区范围；坏扇区；数据线损坏；数据内容不同。

电子数据取证基本原则

不损害原则:任何执法人员不能采取任何改变嫌疑人计算机或存储介质中数据的行为.

找到Windows系统中的虚拟内存文件？

问题1：虚拟内存的页面文件的文件命是什么？Pagefile.sys

问题2：虚拟内存的页面文件默认在什么位置？C盘的隐藏文件

问题3：虚拟内存是不是越大越好？否，虚拟内存是一种系统内存管理技术,在硬盘中划出一部分特殊空间,当物理内存不够用的时候,电脑就会自动调用硬盘中的特殊空间来充当内存使用。虚拟内存太大,系统就会花费更多的工夫进行切换和数据交换,非但不会增加系统的效率,反而有可能会降低系统的效率,

问题4：虚拟内存文件可以放在其他分区？可以，但只能放在一个盘中

避免使用原始证据原则:利用专门的复制设备将原始存储介质（主要是硬盘）中的电子数据完全复制下来，后续取证分析过程都是基于复制产生的副本进行。
记录所作的操作:调查过程中，应记录电子证据的相关操作，第三方应能根据之前记录的操作，取得相同的结果。
遵循相关的法律法规:各个国家及地区都有相应的法律法规，应根据当地法律法规来进行电子数据取证。

公安部：《计算机犯罪现场勘验与电子证据检查规则》05[161]

《公安机关电子数据鉴定规则》08.6

《公安机关办理刑事案件电子数据取证规则》（2019年2月1日执行）

最高人民检察院：

《人民检察院电子证据鉴定程序规则（试行）》09.4

中华全国律师协会：《律师办理电子数据证据业务操作指引》12.12

两高一部：《收集提取和审查判断电子数据规定》（2016.10.1）

电子数据取证常见基本概念

1.未分配空间：如果我们在Windows系统下，打开资源管理器，查看其中一个分区的属性，那么就可以看到这样的一张饼图。蓝色部分是“已用空间”，粉红色部分是“可用空间”。 “已用空间” 指的就是该分区已经存储的文件占用的空间，“可用空间”指的就是尚未被占用的磁盘空间，这些可用空间是不是就是没有数据呢？ ?可用空间不一定就是没有数据。如果文件被删除，那么该文件占用的空间就会被释放，它原来占用的那些磁盘空间就变成可用空间。 ?

在电子数据取证领域，一般用“未分配”和“已分配”来描述磁盘空间的占用情况，其实“未分配空间”就是对应“可用空间”， “已分配空间”就对应“已用空间”。

2.簇：文件存储的最小单位，簇由多个扇区组成。

3.文件残留区：文件系统在存储一个文件时，一般会给它分配一个存储空间大小，Windows的文件系统一般是以“簇”为单位来进行文件的存储分配管理。

如果我们编辑一个只有3个字节内容的文件，然后保存为文本文件，我们去查看文件的属性，会发现文件的大小是3字节，占用空间可能是4KB或者更大。Windows中看到的文件属性中的大小就是文件的逻辑大小，4KB就是其物理大小，即文件系统分配给该文件的全部空间，即使该文件用不完这些空间，但是它也占用这整个空间，其它文件不能再用。

物理大小与逻辑大小之间的差异部分就是文件残留区。当一个文件原来是4KB，后来用户删除了该文件，那么它占用的空间就释放出来，这个簇就变成未分配簇，当又有一个新文件（例如1024字节）要存储到这个空间时，那么就覆盖了该空间的前1024字节，后面的3096字节的数据还在原处，这部分实际上就是文件残留区。因此文件残留区往往是之前其它已删除文件遗留下来的数据。

隐藏文件

硬盘加密:硬件方式：笔记本支持从BIOS中直接设置硬盘密码；软件方式： SafeBoot等

虚拟磁盘：True Crypt、Best Crypt、Private Disk、PGP Desktop

信息隐写：Image Galaxy、Image Hide、Steganmography

Office文件：office、PDf

反取证

硬盘加密软件方式： SafeBoot

虚拟磁盘：True Crypt、Best Crypt、Private Disk、PGP Desktop

信息隐写：Image Galaxy、Image Hide、Steganmography

突网工具：无界、自由门

数据擦除：无影无踪

历史记录

电子数据取证过程中，经常需要分析各种类型的历史记录文件，从而发现用户的行为痕迹或用户访问系统的历史记录。这些历史记录文件对于调查或多或少都有参考价值。

比较典型的有

上网历史记录：不管用户用什么浏览器来浏览网页，通常都会留下相应的网站访问记录，通过对上网历史记录的分析，可以掌握嫌疑人访问互联网的情况。

IIS访问日志（互联网信息服务）：在一些涉黑的案件中，黑客可能入侵了Web服务器，那么可以通过分析Web服务器软件(如微软的IIS)的访问日志文件，了解所有用户的访问记录，访问时间，提交的URL参数等信息，访问IP地址，从而掌握攻击者的来源及攻击时间。

除了上述两种历史记录文件，还有操作系统日志（事件日志）应用程序、安全日志。

防火墙日志，路由器日志等，这些都是电子数据取证过程经常需要分析的数据。

临时文件

Office 文档编辑时产生的临时文件

C:\Windows\Temp\*.tmp

C:\Documents and Settings\Username\Local Settings\Temporary Internet Files

公安部2005年颁布的《计算机犯罪现场勘查与电子证据检查规则》对现场勘验检查给予明确定义。

现场勘验检查：是指在犯罪现场实施勘验，以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。

电子数据现场勘查的任务是,发现、固定、提取与犯罪相关的电子证据及其他证据，进行现场调查访问，制作和存储现场信息资料，判断案件性质，确定侦查方向和范围，为侦查破案提供线索和证据。

电子数据现场勘验整体流程

勘查准备：了解案情、人员准备（安全保障组、现场勘查组）、见证人、设备准备

针对高楼，嫌疑人跳窗逃跑可能性较小，但嫌疑人抛弃计算机存储介质的情况比较多，例如：移动硬盘、U盘、笔记本计算机等等。

《公安机关办理刑事案件电子数据取证规则》（后面简称规则）第十二条规定：对扣押的原始存储介质，应当会同在场见证人和原始存储介质持有人（提供人）查点清楚，当场开列《扣押清单》；第二十一条：由于客观原因无法由符合条件的人员担任见证人的，应当在《电子数据现场提取笔录》中注明情况，并全程录像，对录像文件应当计算完整性校验值并记入笔录。而在两高一部联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（后文简称规定）的第二十七条规定：电子数据的收集、提取程序有下列瑕疵，经补正或者作出合理解释的，可以采用；不能补正或者作出合理解释的，不得作为定案的根据：

笔录或者清单上没有侦查人员、电子数据持有人（提供人）、见证人签名或者盖章的。

现场安保：

目的：保障人身安全、保障设备安全

策略：1.确定重点搜索区域，并首先进行保护好现场相关的证物

何谓重点区域？有计算机的办公区域、服务器机房、重点人员办公室、财务室、阻止正在破坏的行为

查看现场是否有正在破坏的行为：如硬盘正在格式化、碎纸机正在工作。如果发现此类情况应立刻停止或切断该设备的电源；如果打印机正在打印，应该让其继续打印完
隔离对象：禁止对象接触设备及任何电源，搜查对象身上可能存在的存储设备，如优盘、MP3、PDA、数码相机、手机等；防止第一批进入的现场抓捕人员无意中切断电源。

现场拍照

在对现场展开调查前，应通过拍照、录像等方式记录下当时的状态，如设备的位置、连接状态、显示器屏幕信息等等。

现场概貌照 1.进门前由案发现场门口向现场内部拍照

2.进入现场后，采用十字定位法对现场内部计算机所在位置进行拍照

现场中心照 1.对现场计算机的整体摆放情况拍照

对现场计算机屏幕显示情况进行拍照（屏保状态、激活后计算机桌面原始情况等）

3.对现场计算机机箱、机箱各接口情况拍照

明细照 1.介质原始状态照

2.介质正反照

3.封存后介质状态照

收集相关物证

注意识别哪些设备是与案件相关：

?纸质文件/材料，如便笺、已打印资料等；

?移动存储介质，如U盘、移动硬盘、光盘；

?计算机及其外部设备，如电池、充电器、磁盘阵列卡、扩展卡等；

?手持设备（如手机、GPS导航仪等）；

?各种连接线；

现场中的手机勘察

手机的数据来源：

1. 机身存储

手机的内存（RAM）与闪存（Flash）:

计算机内存相当于手机的内存；

计算机硬盘相当于手机的闪存。

2.外置存储

苹果伴侣：专为苹果产品所设计的外置存储

SD卡：大量用于Android移动终端

其他：其它类型的扩展卡；计算机中存储的手机数据

3. SIM卡\UIM卡

SIM卡：主要由中国移动和中国联通两家运营商提供

UIM卡：目前仅由中国电信提供

4. 云存储

常见移动终端云存储应用：iCloud、百度云、360云、华为云等

自动备份音乐，照片，视频，应用程序，书籍等到远端服务器

同步至其它移动终端设备(如：iPad,Mac等)

移动运营商/执法部门数据

手机现场勘查整体流程

手机的开启飞行模式和关闭无线链接的重要性：对现场中手机必须第一时间断开所有的网络链接，否则有数据被远程锁定或擦除的风险。

采取必要的手机信号屏蔽措施：信号屏蔽袋/盒

手机外围设备的收集：

ü 充电器、电池

ü 相关数据传输线缆

ü 移动终端相关可移动存储媒介（如内存卡）

ü? 购买终端或SIM卡得到的文档手册，这些资料会提供终端的

详细信息还往往包含开机密码、PIN码和PUK码

手机上各类APP账号信息获取

对于智能终端，有时需要询问或获取如下信息：

ü聊天工具账号密码

ü各类网站账号密码

ü支付工具账号密码

ü邮箱账号和密码

需要现场对手机数据提取的情形

根据《规则》第十六条第五款规定需通过现场提取电子数据排查可疑存储介质的，可以现场提取电子数据。

现场中的计算机勘查

计算机处理原则：

l先判断计算机开关机状态

l总原则：开机状态，不立即关机；关机状态，不随意开启其系统

计算机黑屏但未关机的三种状态：

电脑待机：将系统切换到该模式后，除了内存，电脑其他设备的供电都将中断。

电脑休眠：将系统切换到该模式后，系统会自动将内存中的数据全部转存到硬盘上一个休眠文件中，然后切断对所有设备的供电。

电脑睡眠：这种模式结合了待机和休眠的所有优点。将系统切换到睡眠状态后，系统会将内存中的数据全部转存到硬盘上的休眠文件中（这一点类似休眠），然后关闭除了内存外所有设备的供电，让内存中的数据依然维持着（这一点类似待机）。这样，当我们想要恢复的时候，如果在睡眠过程中供电没有发生过异常，就可以直接从内存中的数据恢复（类似待机），速度很快；但如果睡眠过程中供电异常，内存中的数据已经丢失了，还可以从硬盘上恢复（类似休眠）。

01防止计算机系统进入锁屏状态

02不得使用目标系统上的程序实施数据提取

03不得使用消耗大量资源的软件实施数据提取

04不得将提取的信息存储在目标系统原有的存储介质中

05记录操作过程，保护易丢失数据的完整性和真实性

个人电脑开机状态处理流程

时间核准固定

使用计算机访问“国家授时中心网站”核查计算机时间：

http://www.time.ac.cn/stime.asp

国家授时中心简介-国家标准时间的产生、保持和发播公司

内存固定 ?（重要文件虚拟内存hiberfil.sys ）

计算机内存获取工具：

1Dumplt/Win32dd

2取证大师

3FTK Imager

4现勘精灵（接入现勘精灵前要先关闭杀毒程序）

注意：软件和内存文件要存储在外置存储介质

剪切板数据固定

剪切板数据导出方式：使用工具clipbrd.exe

计算机桌面信息固定：

通过拍照、摄像、截图等方式记录计算机桌面窗口信息

检查用户运行的应用程序、相关文档文件等

应用程序固定

对正在运行的应用程序及时导出相关信息，比如即时通讯工具QQ、微信、阿里旺旺聊天记录及联系人等信息，同时对应的QQ空间、邮箱等内容也可对应固定。

BitLocker加密

虚拟容器加密

ESF加密（用户个人证书解密）

镜像文件制作

介质镜像文件制作：?可以有效并且无误的保持原始检材的副本，取证分析过程可以在副本文件上进行。其获取数据包括：所有有效数据、删除数据、未分配空间中的数据。

常见格式：E01(含md5值）、dd、L01

关闭机器

现场计算机取证完成后，应按合理的方式关闭计算机：

个人计算机→直接断电

计算机关机状态处理流程：

①拆卸硬盘

②进入BIOS查看系统时间，并固定

《规则》中收集、提取电子数据措施：

扣押、封存原始存储介质；

现场提取电子数据；

网络在线提取电子数据；

冻结电子数据；

调取电子数据；

打印、拍照或者录像。

ü无法扣押原始存储介质并且无法提取电子数据的；

ü存在电子数据自毁功能或装置，需要及时固定相关证据的；

ü需现场展示、查看相关电子数据的。

现场勘验的电子数据收集、提取流程

扣押、封存原始存储介质

前提：在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据，能够扣押原始存储介质的，应当扣押、封存原始存储介质，并制作笔录，记录原始存储介质的封存状态。

要求：保证在不解除封存状态的情况下，无法使用或者启动被封存的原始存储介质，必要时，具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存；

封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况，清晰反映封口或者张贴封条处的状况；必要时，照片还要清晰反映电子设备的内部存储介质细节；

封存手机等具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施。

文书要求：

u《扣押清单》：一式三份，写明原始存储介质名称、编号、数量、特征及其来源等，由侦查人员、持有人（提供人）和见证人签名或者盖章，一份交给持有人（提供人），一份交给公安机关保管人员，一份附卷备查。无法确定原始介质持有人的，由见证人签名或者盖章，并在有关笔录中注明。由于客观原因无法由符合条件的人员担任见证人的，应当在有关笔录中注明情况，并对扣押原始存储介质的过程全程录像。

应当在笔录中注明的情形：

u原始存储介质及应用系统管理情况，网络拓扑与系统架构情况，是否由多人使用及管理，管理及使用人员的身份情况；

u原始存储介质及应用系统管理的用户名、密码情况；

u原始存储介质的数据备份情况，有无加密磁盘、容器，有无自毁功能，有无其它移动存储介质，是否进行过备份，备份数据的存储位置等情况；

u其他相关的内容。

现场提取电子数据

ü对于无法扣押电子数据的情形，可以做电子数据现场提取：

u原始存储介质不便封存的；

u提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的；

u案件情况紧急，不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的；

u关闭电子设备会导致重要信息系统停止服务的；

u需通过现场提取电子数据排查可疑存储介质的；

u正在运行的计算机信息系统功能或者应用程序关闭后，没有密码无法提取的；

u其他无法扣押原始存储介质的情形。

无法扣押原始存储介质的情形消失后，应当及时扣押、封存原始存储介质。

现场提取电子数据规定：

u不得将提取的数据存储在原始存储介质中；

u不得在目标系统中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当在笔录中记录所安装的程序及目的；

u应当在有关笔录中详细、准确记录实施的操作。

文书要求：

n《电子数据现场提取笔录》：注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点，并附《电子数据提取固定清单》；

n《电子数据提取固定清单》：注明类别、文件格式、完整性校验值等，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。

n《登记保存清单》：对无法扣押的原始存储介质且无法一次性完成电子数据提取的，经登记、拍照或者录像后，可以封存后交其持有人（提供人）保管，并且开具《登记保存清单》一式两份。

网络在线提取电子数据

ü提取的前提：对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取。

ü提取要求：网络在线提取应当计算电子数据的完整性校验值；必要时，可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

ü提取内容：

n远程计算机信息系统的访问方式；

n提取的日期和时间；

n提取使用的工具和方法；

n电子数据的网络地址、存储路径或者数据提取时的进入步骤等；

n计算完整性校验值的过程和结果。

文书要求：

n《网络在线提取笔录》：注明电子数据的来源、事由和目的、对象，提取电子数据的时间、地点、方法、过程，丌能扣押原始存储介质的原因，并附《电子数据提取固定清单》

n《电子数据提取固定清单》：注明类别、文件格式、完整性校验值等，由侦查人员签名或者盖章。

网络远程勘验

ü网络在线提取时需要进一步查明下列情形之一的，应当对远程计算机信息系统进行网络远程勘验：

n需要分析、判断提取的电子数据范围的；

n需要展示或者描述电子数据内容或者状态的；

n需要在远程计算机信息系统中安装新的应用程序的；

n需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的；

n需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的；

n其他网络在线提取时需要进一步查明有关情况的情形。

组织要求：

n由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件，上级公安机关认为有必要时，可以直接组织指挥网络远程勘验。

n网络远程勘验应当由符合条件的人员作为见证人，无见证人情况应全程录像。

文书要求：

n《远程勘验笔录》：详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。

n《电子数据提取固定清单》：远程勘验并且提取电子数据的，在《远程勘验笔录》注明有关情况，并附《电子数据提取固定清单》。

n对计算机信息系统进行多次远程勘验的，在制作首次《远程勘验笔录》后，逐次制作补充《远程勘验笔录》。

n网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的，应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。

需要全程同步录像的情形：

n严重危害国家安全、公共安全的案件；

n电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件；

n社会影响较大的案件；

n犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件；

n其他需要全程同步录像的重大案件。

冻结电子数据

ü需要冻结电子数据的情形：

n数据量大，无法或者不便提取的；

n提取时间长，可能造成电子数据被篡改或者灭失的；

n通过网络应用可以更为直观地展示电子数据的；

n其他需要冻结的情形。

冻结电子数据的措施：

n计算电子数据的完整性校验值；

n锁定网络应用账号；

n采取写保护措施；

n其他防止增加、删除、修改电子数据的措施。

文书要求：

n《协助冻结电子数据通知书》：经县级以上公安机关负责人批准，制作《协助冻结电子数据通知书》，注明冻结电子数据的网络应用账号等信息，送交电子数据持有人、网络服务提供者或者有关部门协助办理。

n《解除冻结电子数据通知书》：不需要继续冻结电子数据时，应当经县级以上公安机关负责人批准，在三日以内制作《解除冻结电子数据通知书》，通知电子数据持有人、网络服务提供者或者有关部门执行。

n冻结电子数据的期限为六个月。有特殊原因需要延长期限的，公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。

调取电子数据

ü文书要求：

n《调取证据通知书》：公安机关向有关单位和个人调取电子数据，应当经办案部门负责人批准，开具《调取证据通知书》，注明需要调取电子数据的相关信息，通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章，并附完整性校验值等保护电子数据完整性方法的说明锁定网络应用账号；

n《办案协作函》：公安机关跨地域调查取证的，可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后，在传来的法律文书上加盖本地办案部门印章后，代为调查取证。

电子数据检查

ü电子数据检查概念：对扣押的原始存储介质或者提取的电子数据，需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式，以进一步发现和提取不案件相关的线索和证据时，可以进行电子数据检查。

ü人员要求：应当由二名以上具有与业技术的侦查人员进行。必要时，可以指派或者聘请有与门知识的人参加。

ü电子数据移交：应当办理移交手续，并按照以下方式核对电子数据：

n 核对其完整性校验值是否正确；

n 核对封存的照片不当前封存的状态是否一致。

电子数据检查遵循原则：

n通过写保护设备接入到检查设备进行检查，或者制作电子数据备份、对备份进行检查；

n无法使用写保护设备丏无法制作备份的，应当注明原因，并全程录像；

n检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况；

n检查具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。