介紹
從恢復已被破壞的計算機數據及提供相關的電子資料證據就是電子取證,從已被破壞的計算機數據及其它存儲電子資料的設備中恢復相關的電子資料的設備就是電子取證設備。
信息收集
由於電子證據的特殊性,在收集電子證據時,首先需由提供證據單位的計算機操作人員打開電腦,查找所需收集的證據。當找到證據時,取證人員應通過顯示器觀察和確認該檔案的形成時間。然後由操作人員打開檔案,由取證人員確認該檔案系所要收集的證據後,採用相應的方式予以提取固定。在查找證據過程中,如遇檔案找不到或打不開等問題,應及時通知專業人員予以協助。同時,為確保電子證據的原始性、真實性、合法性,在電子證據的收集時應採用專業的數據複製備份設備將電子證據檔案複製備份,要求數據複製設備需具備唯讀設計以及自動校準等功能,這對電子取證設備的要求也大大提升。
套用
電子物證數據恢復技術的出現,無疑迅速彌補了公安機構對高科技電子數據獲取技術這一“剛需”要求。以常見的針對存儲介質的電子物證數據恢復技術為例,如何快速、有效地從存儲介質中獲取有力的電子物證,對案件的順利偵破具有重要作用,這也是為什麼數據恢復技術會在當下高科技案件的偵破工作中扮演越來越重要的角色的重要原因。
電子取證設備
目前國內的計算機取證設備不少,包括Data Copy King多功能複製擦除檢測一體機、Data Compass數據指南針司法取證專版(簡稱DC)、網警計算機犯罪取證勘察箱等。DCK硬碟複製機不僅硬碟複製速度達到創記錄的7GB/min,同時該硬碟複製機還具備8GB/min的數據銷毀功能,以及硬碟檢測、Log日誌記錄生成、唯讀口設計等,可自動發現解鎖HPA、DCO隱藏數據區,在將嫌疑硬碟中的數據完整複製到目標硬碟的同時,確保取證數據的全面客觀。
硬碟作為計算機最主要的信息存儲介質,是計算機取證的重要獲取內容,也是目前各種計算機取證工具的主要方向。目前國內外市場上,用於硬碟拷貝、數據獲取的專業產品較多:
1.有為司法需要而特殊設計的硬碟複製機Data Copy King、MD5、SF-5000、SOLO II硬碟拷貝機
2.有適合 IT業硬碟複製需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、 Echo 硬碟拷貝機
3.有以軟體方式實現硬碟數據全面獲取的取證分析軟體,如FTK、 Encase 、 Paraben's Forensic Replicator
4.有綜合軟體獲取和硬拷貝方式的取證勘察箱,如 Image MASSter Road MASSter 、“天宇”移動介質取證箱、“網警”計算機犯罪取證勘察箱
5.此外,還有通過 USB 接口、1394接口、PCMCIA、並口等方式的硬碟獲取設備及附屬檔案,如 LinkMasster II 、 CloneCard 、 USB WriteProtect 、 Desktop WriteProtect 、“天宇”全能拷貝王等等。
如何充分地利用這些已有的計算機取證工具,提高國內法律部門的計算機取證水平,有效地打擊犯罪行為具有重要的意義。