网络取证是电子数据取证的重要组成部分,其规范开展对于打击网络犯罪、维护网络安全至关重要,规范的网络取证应遵循以下原则和步骤:
-
合法性原则:取证主体、程序、方法必须符合《刑事诉讼法》、《网络安全法》、《公安机关办理刑事案件电子数据取证规则》等法律法规,取证人员应具备相应资质,并严格遵守法定程序,严禁非法侵入计算机系统、非法获取数据等行为。
-
及时性原则:电子数据易被篡改、删除或丢失,发现犯罪线索或案发后,应立即采取保护现场、固定证据、封存设备、进行网络保全等措施,防止数据灭失。
-
完整性原则:必须保证电子数据的原始性、真实性和未被篡改,取证过程应使用专业工具,对原始数据进行哈希校验(如MD5、SHA-256),并制作镜像文件(镜像备份),确保后续分析在副本上进行,不破坏原始介质。
-
可追溯性原则:整个取证过程(从发现、固定、提取、分析、提交到法庭质证)必须形成完整的证据链,记录操作人员、时间、地点、使用的工具、步骤、结果等全部环节,并生成取证报告,所有操作应有全程录像或笔录。
-
标准流程:
- 现场保护:第一时间封锁现场,防止无关人员操作终端或服务器。
- 证据固定:对计算机、服务器、移动存储设备、网络设备等进行封存、拍照或录像,对网络环境(如路由器、交换机)中的数据进行镜像或快照。
- 数据提取:使用经认证的取证工具(如FTK、EnCase、X-Ways等)提取硬盘、内存、网络流量、日志文件、数据库、云存储中的数据,提取过程应记录所有命令和操作。
- 数据恢复与分析:对提取的数据进行恢复(如分区表、文件碎片)、解密、关键词搜索、时间线分析、关联分析等。
- 证据保管:建立严格的证据保管链,记录证据从提取到移交的全过程,防止证据被污染或丢失。
- 出具报告:形成具有法律效力的《电子数据取证报告》,包含取证人员、时间、地点、工具、方法、提取的数据内容、分析结果等,并附哈希值等校验信息。
-
技术规范:使用符合国家标准的取证工具,避免操作不当导致数据损坏,对于网络远程取证(如对境外服务器),需遵守国际司法协助或双边协议,对云服务中的电子数据取证,需遵循专门规范(如《云计算服务安全评估办法》)。
-
回避与保密:取证人员与案件有利害关系时应回避,对取证过程中知悉的国家秘密、商业秘密、个人隐私等信息,必须严格保密。
-
监督与审查:取证过程应接受检察机关、法院、辩护律师等主体依法进行的监督,在法庭上,电子数据的真实性、关联性、合法性(“三性”)需经质证和审查。
不建议、不鼓励您自行尝试上述取证操作,正规的网络取证工作必须由具备相应资质的司法机关、执法部门或授权的网络取证机构,在法定程序下开展,公民个人或企业若发现网络犯罪线索或遭受网络侵害,应第一时间报警,由专业执法机关介入,切勿自行取证,以免破坏证据、触犯法律或损害自身权益。
