計算機司法鑑定

從理論上講，計算機鑑定人員能否找到犯罪證據取決於：有關犯罪證據必須沒有被覆蓋；取證軟體必須能找到這些數據；鑑定人員能知道這些檔案，並且能證明它們與犯罪有關。因此，計算機司法鑑定範圍是具有局限性的，它一般集中於對計算機內的存儲的數據進行鑑定，有時也包括對計算機中軟體、程式進行功能性鑑定，對取證過程中取得的證據鏈進行鑑定。其中計算機內的數據包括各種存儲介質以及通過網路實時傳輸的數據。如：軟碟、硬碟、優盤、 ZIP 盤、 JAZ 盤、磁帶、磁光碟、 CDROM 、 CDR 、 CDRW 、 DVD 、 MO 、 CF 卡、 MS 卡、 SD 卡、 MMC 卡等，網路硬碟、電子信箱等；對軟體、程式的功能鑑定包括是否為盜版軟體、是否存在軟體侵權行為等。鑑定檔案格式包括電子表格、 Word 文檔、資料庫、文本檔案、日誌檔案、電子郵件、圖片、視頻檔案、聲音檔案、交換檔案、臨時檔案等。

1.專業數據複製，保持數據的原始性。取證分析的數據是被分析機器上數據的原始逐位比特複製來的，對原始數據不做直接分析。

2.保持數據在分析和傳遞過程中的完整性。專業數據取證計算機，確保分析軟硬體環境不會改變分析的數據，數據傳遞過程中數據沒有改變。

3.保持證據的連續性。如果確實需要改變數據，必須保證證據的連續性，即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化。

4.取證過程的可認證性。也就是說，整個過程是受到監督的，由鑑定人員所做的所有調查取證工作都應該受到由其他方委派的專家的監督。

5.取證過程和結論的可重現性。由於電子證據的特殊性，任何取證分析的結果或結論可以在另外一名鑑定人員的操作下重現。

（一）一般取證技術

一般取證技術是指電子證據在未經偽飾、修改、破壞等情形下進行的取證。主要的方式有：

1.列印。對網路犯罪案件在文字內容上有證明意義的情況下，可以直接將有關內容列印在紙張上的方式進行取證。

2.拷貝。是將計算機檔案拷貝到軟碟、活動硬碟或光碟中的方式。首先，鑑定人員應當檢驗所準備的軟碟、活動硬碟或光碟，確認沒有病毒感染。

3.拍照、攝像。如果該證據具有視聽資料的證據意義，可以採用拍照、攝像的方法進行證據的提取和固定，以便全面、充分地反映證據的證明作用。

4.製作司法文書。一般包括檢查筆錄和鑑定。檢查筆錄是指對於取證證據種類、方式、過程、內容等在取證中的全部情況進行的記錄。鑑定是專業人員就取證中的專門問題進行的認定，也是一種固定證據的方式。

5.查封、扣押。對於涉及案件的證據材料、物件，為了防止有關當事人進行損毀、破壞，可以採取查封、扣押的方式，將有關材料置於司法機關保管之下。

6.公證。由於電子證據極易被破壞、一旦被破壞又難以恢復原狀，所以，通過公證機構將有關證據進行公證固定是獲取電子證據的有效途徑之一。

（二）複雜取證技術

複雜取證是指需要專業鑑定人員協助進行的電子證據的收集和固定活動。多使用於電子證據不能順利獲取，如被加密或是被人為刪改、破壞的情況下，如計算機病毒、黑客的襲擾等。這種情況下常用的取證方式包括：

1.解密。所需要的證據已經被行為人設定了密碼，隱藏在檔案中時，就需要對密碼進行解譯。在找到相應的密碼檔案後，請鑑定人員選用相應的解除密碼口令軟體。

2.恢復。大多數計算機系統都有自動生成備份數據和恢複數據、剩餘數據的功能，有些重要的資料庫安全系統還會為資料庫準備專門的備份。這些系統一般是由專門的設備、專門的操作管理程式組成，一般是較難篡改的。因此，當發生計算機犯罪，其中有關證據已經被修改、破壞的，可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復，獲取定案所需證據。

3.測試。電子證據內容涉及電算化資料的，應當由司法會計專家對提取的資料進行現場驗證。驗證中如發現可能與軟體設計或軟體使用有關的問題時，應當由司法會計專家現場對電算化軟體進行數據測試。

所有的分析都是在複製的硬碟上進行的，複製以及取證過程的每一步驟，取證系統都會進行 MD5 的校驗，如果每次的校驗值一致，那么就證明在取證過程中沒有修改電子數據。