电子数据取证工具共36页

国家市场监管总局关于印发《市场监督管理行政执法电子数据取证暂行规定》的通知文章属性•【制定机关】国家市场监督管理总局•【公布日期】2024.04.07•【文号】国市监稽规〔2024〕4号•【施行日期】2024.04.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】市场规范管理正文市场监管总局关于印发《市场监督管理行政执法电子数据取证暂行规定》的通知国市监稽规〔2024〕4号各省、自治区、直辖市和新疆生产建设兵团市场监管局（厅、委），总局各司局、各直属单位：《市场监督管理行政执法电子数据取证暂行规定》已经2024年4月1日市场监管总局第10次局务会议通过，现印发给你们，请认真贯彻执行。

市场监管总局2024年4月7日市场监督管理行政执法电子数据取证暂行规定目录第一章总则第二章电子数据取证一般规定第三章查封、扣押原始存储介质第四章现场提取电子数据第五章网络在线提取电子数据第六章电子数据的检查分析第七章电子数据证据的存储第八章附则第一章总则第一条为了规范市场监督管理行政执法电子数据取证工作，提升执法人员电子数据取证能力，提高行政执法效能，根据《中华人民共和国行政处罚法》《中华人民共和国行政强制法》《市场监督管理行政处罚程序规定》等有关规定,制定本规定。

第二条市场监督管理部门及其执法人员在行政执法过程中围绕电子数据的收集提取、查封扣押、检查分析、证据存储等活动，适用本规定。

第三条市场监督管理部门及其执法人员应当遵守法定程序，遵循有关技术标准，全面、客观、及时收集、提取涉案电子数据，确保电子数据的真实、合法。

电子数据作为证据使用时，应当符合证据的合法性、真实性、关联性要求。

第四条市场监督管理部门依法向有关单位或个人收集提取电子数据，有关单位或个人应当如实提供。

执法人员对履行职责过程中知悉的国家秘密、商业秘密、个人隐私应当依法保密。

第五条市场监督管理部门接收或依法调取的其他国家机关收集、提取的与案件相关的电子数据,经查证属实可以作为行政执法案件的证据使用。

浅谈大数据下的电子数据取证摘要；电子数据是指在计算机应用、通信、现代管理技术和其他电子技术手段的基础上形成的客观信息，包括文字、图形符号、数字、字母等。

随着计算机和网络技术的普及，基于网络的电子商务活动和许多其他人际关系大量涌现。

电子文件已成为传递信息和记录事实的重要载体。

在这些领域，一旦发生纠纷或事件，相关电子文件将成为重要证据。

收集电子数据证据。

这是一个法庭认可的过程，完全可靠、有说服力，并在法庭上确定、收集、保护、分析、存储和呈现计算机和相关外围设备中的电子数据。

因为计算机和网络技术在过去20年里发展迅速。

可以说，电子数据采集构成了一个新的科学和司法领域。

关键词；电子数据；电子取证；检察；取证方法前言大数据正在改变我们的生活和思维方式。

大数据的基本方法是数据挖掘，其主要价值在于预测。

在大数据时代，出现了新的电子证据收集方法，大数据挖掘技术也为电子证据的发现提供了新的思路。

在大数据时代，最需要的不仅仅是通过大数据处理技术努力使电子证据收集发挥更大的作用，更要关注大数据的基本价值对电子证据的影响，及时完善电子证据收集的权利和义务，建立当事人公平获取证据的制度。

1.大数据时代背景当你访问搜索网站时，有些搜索引擎公司会记录下搜索习惯，并根据这些信息自动为你推荐广告。

在电商网站购物时，一些电商公司会根据你的购物偏好，自动推荐相关产品；开车出发时，电子导航系统会自动定位并指示方向。

这些功能有助于计算机存储、分析和处理海量数据。

现在，大数据可以用来实现远程无法想象的梦想。

21世纪是数据信息大发展的时代，移动互联网、社交网络、电子商务等大大拓展了互联网的边界和应用范围。

同时，物联网、车联网、GPS、医学影像、安全监控、金融、电信都在疯狂地产生数据，各种数据迅速膨胀、壮大。

大数据引发了生活、工作和思维的变革。

2电子数据取证的概述2.1电子数据取证的涵义按照现行通用的学理上的分析，电子数据取证的含义可以表述为：“对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保存、提取和归档的过程，这一概念的表述将电子数据取证的范围不仅涵盖对计算机及配套设备的取证，也包括了对其他信息设备进行取证。

第一章测试1.根据洛卡德物质交换（转移）原理，下列说法正确的是（）。

A:嫌疑人会获取所侵入计算机中的电子数据；另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。

B:两个对象接触时，物质不会在这两个对象之间产生交换或者转移。

C:网络犯罪过程中，嫌疑人使用的电子设备同被害者使用的电子设备、网络之间的电子数据不存在相互交换。

D:网络犯罪中的电子数据或“痕迹”都是自动转移或交换的结果，受人为控制，不仅保存于作为犯罪工具的计算机与处于被害地位的计算机中，而且在登录所途经的有关网络节点中也有保留。

答案:A2.电子数据作为证据使用的基本特性包括( )。

A:客观性、合法性、电子性B:客观性、真实性、电子性C:客观性、合法性、关联性D:客观性、虚拟性、关联性答案:C3.电子数据取证架构包括下列哪些（）组成。

A:技术层B:对象层C:证据层D:基础层答案:ABCD4.电子数据取证与应急响应在哪些方面存在不同（）。

A:过程B:使用的方法和技术C:实施主体D:目标答案:ACD5.要做好电子数据取证，不仅要掌握电子数据的物理存储知识，还必须掌握电子数据的逻辑存储知识。

（）A:对B:错答案:A第二章测试1.通常使用（）来保障电子证据的“真实性”与“有效性”。

A:数据恢复技术B:数据获取技术C:数字校验技术D:克隆技术答案:C2.物理修复包括（）。

A:物理故障修复B:固件修复C:文件级修复D:芯片级修复答案:ABD3.以下属于FAT32文件系统逻辑结构的是（）。

A:MFTB:FATC:DBRD:FDT答案:BCD4.电子数据存储介质按照存储原理分为磁存储、电存储和光存储。

（）A:对B:错答案:A5.下列属于常见外部存储介质接口的是（）。

A:IDEB:SCSIC:SATAD:USB答案:ABCD第三章测试1.下列说法哪个是正确的（）。

A:视听资料就是电子数据B:电子数据与视听资料二者有本质区别。

一是电子数据范围更广，不但包含了视听资料的一部分，还涵盖网络数据、文本数据等诸多范围。

电子数据取证标准随着全球信息化的飞速发展，越来越多的数据以电子形式保存。

信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据；此外，在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。

但是如同潘多拉的魔盒，商务类应用的快速发展也伴随着互联网违法犯罪不断增长。

有数据显示2013年中国网民在互联网上损失近1500亿，截止2013年12月，我国网民规模达到6.18亿，这就意味着2014年中国网民每人平均损失达243元。

电子数据取证技术，是信息安全领域的一个全新分支，逐渐受到人们的重视，它不仅是法学在计算机科学中的有效应用，而且是对现有网络安全体系的有力补充。

近年来，我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一，电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。

电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。

因此，取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。

我国电子证据的标准化工作起步较晚，但是国家对于相关标准工作十分重视。

《全国人大常委会关于司法鉴定管理问题的决定》（以下简称《决定》）从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定，即“鉴定人和鉴定机构从事司法鉴定业务，应当遵守法律、法规，遵守职业道德和职业纪律，尊重科学，遵守技术操作规范。

”部门规章和规范性文件层面也有类似规定。

2005年《公安机关电子数据鉴定规则》（公信安[2005]281号）明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定规程规定的义务；2006年《公安机关鉴定机构登记管理办法》（公安部令第83号）明确将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中；2007年《司法鉴定程序通则》（司法部令第107号）对鉴定人采纳技术标准问题做出了详细的要求，其第22条规定，“司法鉴定人进行鉴定，应当依下列顺序遵守和采用该专业领域的技术标准和技术规范：（一）国家标准和技术规范；（二）司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范；（三）该专业领域多数专家认可的技术标准和技术规范…..”在我国电子数据鉴定领域，要真正贯彻以上法律法规的规定，国家标准和技术规范、行业标准和技术规范等标准的制定和发布是前提。

公安机关办理刑事案件电子数据取证规则文章属性•【制定机关】公安部•【公布日期】2019.01.02•【文号】•【施行日期】2019.02.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】刑事犯罪侦查正文公安机关办理刑事案件电子数据取证规则第一章总则第一条为规范公安机关办理刑事案件电子数据取证工作，确保电子数据取证质量，提高电子数据取证效率，根据《中华人民共和国刑事诉讼法》《公安机关办理刑事案件程序规定》等有关规定，制定本规则。

第二条公安机关办理刑事案件应当遵守法定程序，遵循有关技术标准，全面、客观、及时地收集、提取涉案电子数据，确保电子数据的真实、完整。

第三条电子数据取证包括但不限于：（一）收集、提取电子数据；（二）电子数据检查和侦查实验；（三）电子数据检验与鉴定。

第四条公安机关电子数据取证涉及国家秘密、警务工作秘密、商业秘密、个人隐私的，应当保密；对于获取的材料与案件无关的，应当及时退还或者销毁。

第五条公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据可以作为刑事案件的证据使用。

第二章收集提取电子数据第一节一般规定第六条收集、提取电子数据，应当由二名以上侦查人员进行。

必要时，可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。

第七条收集、提取电子数据，可以根据案情需要采取以下一种或者几种措施、方法：（一）扣押、封存原始存储介质；（二）现场提取电子数据；（三）网络在线提取电子数据；（四）冻结电子数据；（五）调取电子数据。

第八条具有下列情形之一的，可以采取打印、拍照或者录像等方式固定相关证据：（一）无法扣押原始存储介质并且无法提取电子数据的；（二）存在电子数据自毁功能或装置，需要及时固定相关证据的；（三）需现场展示、查看相关电子数据的。

根据前款第二、三项的规定采取打印、拍照或者录像等方式固定相关证据后，能够扣押原始存储介质的，应当扣押原始存储介质；不能扣押原始存储介质但能够提取电子数据的，应当提取电子数据。

电子取证实验室设备图片和设备说明
电子取证实验室设备图片和说明
数据分析展示中心 ED-SP9100
双屏数据分析工作站ED-SP9200
多功能维修工作站ED-SP11
双屏数据分析工作站ED-SP9205
双工位数据分析工作站ED-LB9100
电子取证实验室设备图片和说明
信息化前台ED-PU9901
电子取证实验室设备图片和说明
虚拟化数字沙盘ED-SP9500
新一代电脑桌ED-PU9601
新一代电脑桌ED-PU9600
电子取证实验室设备图片和说明
多媒体工作台ED-SP9300
单工位双屏分析工作台ED-LB9101
双屏数据分析工作站ED-SP9201
电子取证实验室设备图片和说明
多媒体工作台ED-SP9302
多媒体L型工作台ED-SP9303
单工位多媒体工作台ED-SP9305
电子取证实验室设备图片和说明
多媒体会议桌ED-PU9500
信息化前台ED-PU9900

freeware
NoClone
Reasonable

Find duplicate files
50 USD
Notepad++
Don HO

Texteditor
freeware
PC Inspector - File Recovery
Collect the evidence a running system
freeware
GNU utilities for Win32
GNU utilities for Win32

Common GNU utilities to native Win32
DivX Inc.

Codec
freeware
d'peg!
SomeWare

Dublicate image file finder
30 USD
dtSearch DESKTOP
dtSearch

Searching of desktop-accessible files
200 USD
E-mail Examiner
Paraben Forensic

Forensic examination of email
200 USD
Encase Forensic
Guidance Software

Computer forensics
Watch partially downloaded videos
freeware
Base Converter
Break Point Software

Convert binary, octal, decimal and hex

●什么是散列值？
-由散列算法生成的信息摘要叫散列值，也 称为哈希值。
●常见的散列值算法有：
- MD5 - SHA-1 - SHA-265 - ......
●散列值的意义：校验数据的完整性、原始性
▶公安部
-《计算机犯罪现场勘验与电子证据检查规则》(公信安[2005]161号）
▶高检、高法
-《最高人民法院、最高人民检察院关于办理计算机信息安全刑事案
- 使用软件和工具，按照一些预先定义的程序全面的检查计算机系统，
以提取和保护有关犯罪证据
-计算机、平板电脑、手机、CD/DVD、打印机、扫描仪、GPS导航
仪、照相机、摄像机、各种存储卡等.....
电子数据概念
• 从某种意义上讲，电子数据鉴定（检验）就是对涉案存储介质进行特殊形式 的"痕检"，提取出与案情有关的内容，如：
件应用法律若干问题的解释》（法释[2011]19号）
▶其他
-《网络商品交易及有关服务行为管理暂行办法》
-《互联网信息服务管理办法》
-《关于工商行政管理机关电子数据取证工作的指导意见》 -《信息安全等级保护管理办公》(公通字[2007]43号) -《互联网安全保护技术措施规定》 -《通信网络安全防护管理办法》
复制下来，后续取证分析过程都是基于复制产生的副本进行。
◆原则三：记录所做的操作
-调查过程中，应记录电子证据的相关操作，第三方应能根据之前记录的操
作，取得相同的结果。 ◆原则四：遵循相关法律法规 -各个国家及地区都有相应的法律法规，应根据当地法律法规来进行电子数 据取证
▶应用领域
- 公检法机关（公安、检察院、法院、部队）
- 办公文档 - 电子邮件 - 即时聊天记录 - 上网记录 - 多媒体文件 - 数据库文件 - 账号密码 - 日志文件 - 其他类型电子数据

我国电子数据取证存在的主要问题——以刑事诉讼为视角陈瑞君;王云峰【摘要】自从2010年“两个证据规定”的公布到2012年刑事诉讼法的修改,电子数据终于以基本法的形式与视听资料并列,正式被规定为法定证据种类之一,这无疑为公检法三机关办理刑事案件提供了巨大的便利和法律支撑.然而,由于电子数据其本身具有的特殊性质,使得执法人员在取证方面存在很多诸如取证不及时、取证不完整、取证专业人才紧缺等方面的问题.解决这些问题对于我国司法机关提高刑事案件办案质量,推动以审判为中心的司法改革显得尤为重要.【期刊名称】《贵州警官职业学院学报》【年(卷),期】2017(029)006【总页数】4页(P39-42)【关键词】刑事诉讼;电子数据;调查取证【作者】陈瑞君;王云峰【作者单位】甘肃政法学院,甘肃兰州730070;甘肃政法学院,甘肃兰州730070【正文语种】中文【中图分类】D915自20世纪末，以计算机科学技术为代表的信息化时代的到来使得犯罪手段愈加呈现出多样化、复杂化和智能化的态势。

计算机、手机等设备的出现也让网络犯罪有了诞生的土壤，电子数据作为犯罪证据以及如何提取等相关法律问题不得不被提上日程。

2010年“两个证据规定”的出台促使2012年刑事诉讼法修改时将电子数据与视听资料并列，正式成为证据法定种类之一。

而电子数据最终能否在法庭上作为证据使用，关键环节就在于侦查部门对电子数据的取证过程是否有理有据。

证据的收集作为查明案件事实的基本前提，是完成证明任务、实现证明过程的基础。

因此，电子取证对于提高公检法三机关办理刑事案件效率，确定是否有犯罪行为发生等至关重要，这要求工作人员在取证过程中必须牢牢坚持及时、完整、合法三原则，防止冤假错案的发生。

按照去年“两高一部”① 指最高人民法院、最高人民检察院和公安部。

联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称《电子数据规定》）中对电子数据的界定，电子数据是指案件发生过程中形成的，以数字化形式存储、处理、传输的能够证明案件事实的数据。

(4) 被入侵服务器后端数据库是MySQL。
第12章 电子数据取证综合案例分析
12.2.2 制订证据固定计划 对服务器的远程证据固定大致包括以下3个步骤： (1) 收集被入侵服务器的系统信ቤተ መጻሕፍቲ ባይዱ，包括进程、端口、
历史命令执行记录、系统日志、磁盘、内存等信息。 (2) 提取被入侵服务器 Web应用配置和相关数据。 (3) 提取被入侵服务器数据库配置和相关数据。
运行安装完成的PuTTY工具，弹出的配置对话框如图 12-1所示。
第12章 电子数据取证综合案例分析
图12-1 配置对话框
第12章 电子数据取证综合案例分析
设置远程服务器的IP地址，单击“Open”按钮进入登 录界面，输入用户名及对应的密码，即可进入系统。
启动屏幕录像软件FSCapture，勾选“Full Screen”单选 按钮，再单击“Record”按钮，如图12-2所示。
并根据目标服务器的情况制订证据固定计划。对被入侵服务 器情况介绍如下：
(1) 被入侵服务器属于阿里云服务器，委托方提供了该 服务器的IP 地址、连接用户名及密码。
(2) 被入侵服务器操作系统是Linux，可直接使用SSH客 户端远程登录。
(3) 被入侵服务器Web服务是Apache，使用的编程语言 为PHP。
第12章 电子数据取证综合案例分析
12.1.2 取证要求 委托方提取委托要求如下： (1) 对被攻击服务器中的网站、数据库、日志等涉案相
关数据进行证据固定。 (2) 对上述证据固定结果进行分析，提取攻击者IP、攻
击时间、攻击方法。 (3) 提取攻击者使用的银行卡、身份证等信息并分析攻
击者转移资金的方法。 (4) 对攻击者的攻击行为进行分析，找出攻击者使用的

索和证据。
数字取证的流程与规范
流程
数字取证的流程包括案件受理、现场勘查、数据提取、数据分析、证据固定和报 告编写等步骤。
规范
数字取证应遵循一定的规范和标准，如国际标准化组织（ISO）发布的《电子数 据取证过程标准》等。同时，在实际操作中，还需要遵守相关法律法规和伦理道 德要求，确保数字取证的合法性和公正性。
数字取证的技术手段
数据恢复技术
通过特定的技术手段，恢复被删 除、格式化或损坏的数字数据， 以获取与案件相关的电子数据证
据。
数据分析技术
对提取的数字数据进行深入分析 ，包括文件类型识别、文件内容 解析、元数据提取等，以发现和 验证与案件相关的线索和证据。
数据挖掘技术
利用统计学、机器学习等方法， 对大量数字数据进行挖掘和分析 ，以发现隐藏在数据中的模式、 趋势和异常，为案件侦破提供线
06
技术工具介绍：数字取证 技术应用工具
工具一：恶意软件分析系统演示
静态分析
通过反汇编、反编译等技术手段，对恶意软件进行静态分析，提 取关键信息，如恶意行为、代码结构等。
动态分析
在受控环境下运行恶意软件，监控其行为并进行记录，以便后续 分析和取证。
恶意软件识别
利用已知恶意软件样本库进行比对，快速识别恶意软件及其变种 。
定义
数字取证是指利用计算机科学、法学、侦查学等学科的理论和技术，对数字设 备、数字数据、数字信息进行收集、保全、检验、分析、认定，以提供具有法 律效力的电子数据证据的过程。
原理
数字取证遵循数据恢复、数据分析和数据挖掘的基本原理，通过对数字设备中 存储的数据进行提取、恢复、分析和挖掘，以发现和验证与案件相关的电子数 据证据。
工具二：数据恢复软件在数字取证中的应用

3、具备静态取证功能，可以对接入的硬盘进行取证分析；可实现对开机状态下的计算机进行在线分析。
4、具备动态取证功能，可实现在虚拟环境下的动态取证功能；
5、可以对视频的内容按照时间定义进行数据分析。支持NTFS、FAT16/32、CDFS、HFS等常用文件系统，支持MBR、GPT等常见分区方式，支持单独目录和文件加载并不破坏原始数据，支持常见window7、window xp、window2003的32位或64位操作系统并支持绕过密码登录操作系统。可选择不解析文件系统加载，支持定义磁盘结束扇区。
15、提供具体应用软件的安装光盘。供应商应提供所投现场取证设备的生产厂家授权函原件以及原厂售后服务承诺函原件，为整套设备部件提供两年免费质保服务和免费培训（具体内容见合同）。
（四）基本设备配置及参数要求（参考）
配件名称
配件规格
数量
电子数据勘查箱
勘查箱实现防水、抗震
1
取证专用便携式电脑
（如为一体设计，应可满足上述功能和性能要求）
5、支持搜索和检测PST以及OST等格式的电子邮件；支持图片相似度对比；可实现对取证硬盘的数据镜像或生成复制盘。可提供独立于被取证盘的操作系统环境，并提供屏幕截图等取证方式。
6、获取的电子数据可使用Encase、FTK等常见专业取证分析软件进行分析。
性能要求：
1、供应商应提供设备的生产厂家授权函原件以及原厂售后服务承诺函原件。为整套设备部件提供两年免费质保服务和免费培训。
2、无论涉嫌计算机处于开机状态还是关机状态，均可对数据其进行搜索和提取；支持同时搜索和提取多台计算机；
3、支持数据深度搜索，包含已删除数据以及磁盘未分配空间中的数据；
4、支持搜索和提取嫌疑计算机中内存数据、在线硬盘数据、安装的应用程序、上网纪录、操作系统信息、IE缓存、网络配置、聊天纪录、用户密码、内存数据以及Google地图等内容；

⼯具⾰命：电⼦数据取证的“百晓⽣兵器谱”本⽂由Igor Mikhailov原创，Rockie、Leon编译，转载请注明。

译者注：本⽂不同于以往所见罗列“XXX的10种⼯具”并配上⼈云亦云、泛泛介绍的⽔⽂，或者⼚商以推⼴产品为⽬的的软⽂。

本⽂作者具有丰富的⼯具使⽤经验，并发表了⾃⼰较为客观的独到见解。

虽然列出的⼯具种类不尽完善，但对需要了解国际上⼯具发展趋势或者⼯具功能的从业⼈员具有⼀定的参考价值。

*编译本⽂不代表译者认同其全部观点。

伊⼽尔·⽶哈伊洛夫（Igor Mikhailov）是Group-IB计算机取证与恶意代码研究实验室的⼀名电⼦数据取证专家，下图展⽰他所⽤⼯具的硬件加密狗。

仅这些⼯具的成本就超过数万美元，这还不包括其它免费和付费的软件产品。

哪个⼯具更适合于检验鉴定？本⽂将分享⼀些电⼦数据取证软硬件⼯具解决⽅案及评价。

1、⼿机取证：硬件类Cellebrite UFED Touch 2最初是为现场取证⽽开发的产品，在概念设计上有两个分⽀：定制平板电脑Cellebrite UFED Touch 2（或安装在检验⽤台式机或笔记本上的类似Cellebrite UFED Touch 2的软件UFED 4PC）——仅⽤于数据提取。

UFED Physical Analyzer软件——⽤于分析从移动设备中提取的数据。

该产品的设计理念是借助Cellebrite UFED Touch 2在现场提取数据，然后在实验室中⽤UFED Physical Analyzer分析这些数据。

该产品的实验室版本是两个独⽴的软件产品：UFED 4PC和UFED Physical Analyzer，都安装在鉴定⼯作站上。

⽬前为⽌，这个复合软件可以从尽可能多的移动设备中提取数据。

在分析过程中使⽤UFED Physical Analyzer可能会遗漏某些数据，这是因为⼀些旧的bug在新版本中被⼤致修复了，但仍然修复不完全。