下载文档原格式
以案说法:第三方电子证据服务平台取证的证据效力裁判要旨:Ⅰ、证据保全采用的是某某时间戳服务中心可信时间戳互联网电子数据取证系统,通过该方式固定的被诉网页属于电子数据类证据,其生成、储存方法和保持完整性的方法,均较为可靠。
Ⅱ、保全固化证据过程中,不仅有计算机中安装的屏幕录像软件录像记录,取证前还对所用计算机的操作环境和相关的网络环境进行了一系列合理的清洁性检查,最大限度地排除了因操作者不当介入、操作计算机不清洁、网络环境不真实等因素可能对取证结果造成的影响,保证了电子数据生成、储存方法的可靠性。
Ⅲ、侵犯著作权或者与著作权有关的权利的,侵权人应当按照权利人的实际损失给予赔偿;实际损失难以计算的,可以按照侵权人的违法所得给予赔偿。
赔偿数额还应当包括权利人为制止侵权行为所支付的合理开支。
权利人的实际损失或者侵权人的违法所得不能确定的,由人民法院根据侵权行为的情节,判决给予五十万元以下的赔偿。
审理法院:山东省高级人民法院案例文号:(2018)鲁民终1607号案情简介:某某咕公司未经权利人授权,在其经营网站某某咕阅读上有偿向公众提供作品的在线阅读服务,侵害了权利人对其作品享有的信息网络传播权。
众某公司通过某某时间戳服务中心的互联网电子数据系统,对上述事实进行了电子数据固定。
人民法院认为,涉案网络页面截图、屏幕录像文件以及相关时间戳认定证书等证据可形成证据链,在没有相反证据的情况下,众某公司以时间戳服务系统固定的涉案网络页面的真实性可以确认。
某某咕公司未经权利人许可,以商业经营为目的,通过互联网向公众提供涉案图书,使公众可以在其个人选定的时间和地点获取涉案作品,侵害了众某公司所享有的信息网络传播权,判决某某咕公司承担赔偿众某公司经济损失及合理支出的法律责任。
裁判说理:一、关于众某公司使用时间戳电子数据取证系统固定的电子数据是否可以作为认定案件事实依据的问题。
某某咕公司认为,众某公司采用时间戳取证过程存在瑕疵,无法确认取证视频是否与网络连接,取证电脑是否进行清洁性检查,时间戳服务中心并非法定公证认证机构等。
律师的电子证据指南数字取证和电子数据保全的法律要点律师的电子证据指南:数字取证和电子数据保全的法律要点概述随着科技的迅猛发展和信息技术的广泛应用,电子证据在法律实践中扮演着越来越重要的角色。
律师作为法律专业人士,需要了解数字取证和电子数据保全的法律要点,以便更好地应对涉及电子证据的诉讼案件。
本文将就数字取证和电子数据保全的法律要点进行论述。
一、数字取证数字取证是指通过科技手段获取、分析和保全数字证据的过程。
在现代社会,数字取证已成为刑事诉讼和民事诉讼中必不可少的程序。
以下是数字取证的几个法律要点:1. 证据合法性在数字取证过程中,律师需要确保所取得的证据在法律上是合法的,以便在法庭上使用。
刑事诉讼中特别要注意依法获得搜查令、逮捕令等授权文件,民事诉讼中则要遵守相关法律程序和隐私保护规定。
2. 证据完整性和可信度数字证据的完整性和可信度对其在法庭上的有效性至关重要。
律师需要确保证据在取得、传输和保管过程中没有被篡改或丢失,同时要充分了解数字取证的技术原理和方法,以便对证据的可信度进行合理评估。
3. 争议证据的认定在数字取证过程中,往往会遇到争议证据的认定问题。
律师需要根据现行法律规定和法院判例,正确评估和举证争议证据的适用性和效力,以取得有利的诉讼结果。
二、电子数据保全电子数据保全是指采取措施确保电子数据在取证过程中的完整性和可用性,以保证其证据价值和法律效力。
以下是电子数据保全的几个法律要点:1. 数据保全原则律师在电子数据保全过程中需遵循几个原则,包括数据完整性原则、数据保密性原则、数据可用性原则等。
律师需根据具体案件的需要制定合理的电子数据保全措施,并确保这些措施能够保护当事人的合法权益。
2. 数据备份和恢复电子数据备份和恢复在电子数据保全中占据重要地位。
律师需要指导当事人做好数据备份的工作,以防意外损失。
同时,律师要了解数据恢复的方法和技术,以便在必要时进行数据恢复操作。
3. 数据加密和存储数据加密和安全存储是保障电子数据安全的有效手段。
可信时间戳技术在电子物证取证中的应用摘要:文章通过论述了可信时间戳技术在电子物证取证中的应用,并构建了在刑事案件的侦查中,将可信时间戳与电子物证技术相结合的取证方案,既可以有效的解决电子物证在取证中所存在的相关问题,同时,还由于可信时间戳本身的权威性与唯一性,大大增强了电子物证的不可抵赖性和所取证据的权威性。
关键词:可信时间戳电子物证取证应用近几年来,随着社会主义市场经济的发展,互联网和计算机等电子产业的发展势头也愈加的迅猛,然而,电子物证作为刑事案件中的一种新型的物证类型,被我国的公安部门或司法机关等越来越广泛的运用于实际的刑侦办案过程中,因此,电子物证鉴定机构应该不断的提高对电子物证的鉴定技术,规范并完善鉴定流程。
1 可信时间戳的含义可信时间戳是指由权威、可信的时间戳服务中心所颁发的电子文件凭证,要求其产生的时间和文件内容并未被篡改和伪造,并具有法律效应。
除此之外,它还具备权威性、唯一性、可靠性、不可抵赖性、保密性、操作性强和高效等特点。
比较常见的可信时间戳机制有:线性连接机制、简单时间戳、树形机制以及分布式协议。
国家授时中心肩负着对我国标准时间的产生、保持、和发播职责,是我国最权威的时间服务机构。
因此,获取可信时间戳的可信时间的唯一权威渠道是国家授时中心,并且有国家授时中心对其进行监督,从而有效的避免了犯罪嫌疑人对电子物证持有异议并抵赖,保证了电子物证在刑事案件中的公信力和严肃性。
2 构建可信时间戳的电子物证取证平台关于构建可信时间戳的电子物证取证平台的具体内容是指对互联网和计算机进行常规的取证工作,比如说,对聊天信息记录、网络数据证据和在线视频记录的电子物证数据的采集和固化。
同时,还包括对证据包的下载、关键字搜索、哈希验算、取证操作日志记录和文件签名验证等证据的采集工作,而且也支持在线和离线等方式的采集取证,并且将采集到的数据进行固化,不仅保证了电子物证取证途径的合法性,还保证了电子证据的权威性和唯一性,从而提高了在信息网络时代下电子物证取证的公信力和可靠性。
电子取证的防护要求与保密措施电子取证是指通过收集、分析和保留电子数据,以作为法律证据的过程。
随着电子技术的不断发展和广泛应用,电子取证在刑事调查、争议解决和企业内部调查等领域日益重要。
然而,由于电子数据容易篡改和破坏,电子取证的防护要求和保密措施也变得越来越重要。
首先,电子取证的防护要求包括对设备和网络的保护。
设备应该安装有最新的安全补丁和防火墙软件,以防止恶意软件和网络攻击。
此外,设备应该定期进行安全检查和漏洞扫描,以及定期备份和恢复测试,以确保数据的安全性和可靠性。
网络也应该有安全措施,如加密和访问控制,以防止未经授权的访问和数据泄露。
其次,电子取证的保密措施包括对电子数据的访问控制和加密。
只有授权人员才能访问和处理电子数据,并且应该有严格的身份验证和权限控制机制。
同时,所有的数据和通信都应该进行加密,以防止信息在传输过程中被窃取或篡改。
对于特别敏感的电子数据,还可以采用多重加密和两因素认证等更高级的保护措施。
第三,电子取证的保密措施还包括对取证过程的保密。
在电子取证过程中,应该采取必要的措施来保护取证人员、设备和数据的安全。
取证人员应该签署保密协议,并接受专业培训,以确保他们能够正确、安全地执行取证任务。
同时,所有的取证活动都应该被记录和监控,以便追溯和审计。
最后,电子取证的保密措施还包括对取证结果的保护。
取得的证据应该加密存储,并设立访问控制和审计机制,以防止未经授权的访问和篡改。
如果需要共享或提交取证结果,应该采取安全的传输方式,并在传输过程中进行加密和签名,以确保取证结果的完整性和真实性。
总之,电子取证的防护要求和保密措施对于确保电子数据的安全性和可靠性至关重要。
只有通过采取必要的技术和管理措施,才能保护电子取证过程的安全和保密,从而确保取得的证据能够被可靠地使用和接受。
除了设备和网络的保护以及对数据的加密和访问控制,电子取证还需要其他的保密措施来保护整个取证过程的安全性和保密性。
首先,电子取证的保密措施需要确保取证的机密性。
浅议电子数据证据保全公证随着互联网的快速发展,电子数据越来越多地被应用于各个领域。
由于电子数据的特殊性,其可伪造性和隐私性问题也日益凸显。
在互联网时代,如何保证电子数据的真实性和完整性成为一个迫切的问题,而电子数据证据保全公证成为解决这一问题的重要手段之一。
电子数据证据保全公证是指对电子数据进行固化保全,并公正鉴定其真实性和完整性的行为。
电子数据保全的首要任务是保护电子数据的可靠性,防止其被篡改或者伪造。
公证作为具有法律效力的证明手段,能够为电子数据的真实性提供有效的保障。
在电子数据证据保全公证中,保全的方法和技术是至关重要的。
目前,常见的保全方法包括数字签名、时间戳、存证链等。
数字签名是一种利用密钥对电子数据进行加密和鉴定的技术,可以确定电子数据的来源和完整性。
时间戳是指通过第三方机构,为电子数据附加时间戳信息,以证明其存在和生成时间。
存证链是将电子数据与一系列时间戳相结合,形成一个链式的证明过程,确保电子数据的可追溯性和保全性。
这些保全技术的应用可以有效防止电子数据的篡改和伪造,提高公证的可信度。
电子数据证据保全公证需要依赖于专业的第三方机构进行操作。
第三方机构应具备专业的技术和设备,能够对电子数据进行安全存储和保全。
第三方机构在公证过程中应遵循公正、独立、保密的原则,确保证据的真实和公正。
第三方机构还应建立科学的管理体系,确保电子数据的可追溯性和可持续性。
对于电子数据的保全公证,法律法规的规范也至关重要。
应制定相应的法律法规来明确电子数据的证据地位和保全要求。
还应对电子证据的收集、保全和使用等环节进行规范,以保障电子数据证据的合法性和有效性。
电子数据证据保全公证面临着一些挑战和问题。
由于电子数据的可复制性和传播性,保全措施可能会受到攻击或绕过。
第二,电子数据的保全需要消耗大量的资源和成本,对于一些中小企业和个人而言可能难以承担。
目前相关法律法规尚不完善,对电子数据证据保全的规范性和指导性还有待提高。
电子取证网络解决方案
电子取证网络解决方案,在当今数字化时代,电子取证变得越来越重要。
随着互联网的普及和信息技术的发展,犯罪活动也逐渐转移到了网络空间中。
因此,合法机构和执法部门需要采取措施来确保能够及时、准确地获取、保存和分析与电子证据相关的信息。
为了解决这一问题,一个综合性的电子取证网络解决方案应该具备以下关键特点:
1. 高效的数据获取:解决方案应该能够帮助用户以快速、高效的方式获取需要的电子证据数据。
这可能涉及到从各种设备和存储媒介中收集数据,包括电脑、移动设备、云存储等。
2. 安全的数据保存:解决方案应该提供安全的数据存储功能,确保收集到的电子证据不会被篡改或丢失。
同时,解决方案还应该遵循相应的法律和隐私保护规定,确保数据的合规性和保密性。
3. 高级数据分析和可视化功能:解决方案应该具备高级的数据分析和可视化功能,帮助用户快速发现、分析和理解电子证据中的有用信息。
这可以包括数据挖掘、数据可视化、文本分析等技术。
4. 多平台支持:解决方案应该能够兼容多种操作系统和设备,例如Windows、Mac、Android等。
这样才能满足不同用户的需求,从而提供更广泛的服务。
5. 报告生成和执法支持:解决方案应该能够生成详尽的报告,并提供法律部门进行调查和起诉所需的支持。
这包括可搜索的报告文档、可视化图表、证物链等。
通过采用综合性的电子取证网络解决方案,用户可以更加高效地进行电子取证工作,确保证据的完整性和可靠性。
这对于提高执法部门的效率,加强犯罪打击力度非常重要。
安全工程师如何进行网络取证和数字取证在数字化时代,网络安全成为了一个极其重要的话题。
随着越来越多的重要信息和数据存在于网络上,对网络取证和数字取证的需求也日益增加。
作为一名安全工程师,了解和掌握网络取证和数字取证的方法和技巧,对于确保网络安全和调查取证工作的顺利进行至关重要。
本文将介绍安全工程师如何进行网络取证和数字取证的流程和注意事项。
一、什么是网络取证和数字取证网络取证是指通过对网络上的数据流和活动进行收集和分析,获得有价值的证据以支持安全调查和取证工作。
数字取证则是指通过对存储在各种数字设备上的数据进行分析和还原,获取重要信息和证据的过程。
网络取证和数字取证常常联系密切,因为大部分的数字取证工作都离不开网络取证的支持。
二、网络取证的流程1. 收集证据:安全工程师首先需要确定调查的范围和目标,并根据需要收集相关的网络流量数据、日志文件、监控录像等证据材料。
这些材料可以帮助分析人员还原事件的发生过程,并找到关键的蛛丝马迹。
2. 分析证据:收集到的证据需要进行仔细的分析和解读。
安全工程师可以利用网络分析工具、取证工具等进行数据的还原和整理,寻找异常行为、痕迹和关联信息。
分析证据的过程需要耐心和细致,确保每一个细节都不被忽略。
3. 提取证据:在分析证据的基础上,安全工程师需要从海量的数据中提取有关联的证据。
这些证据可以是特定的通信记录、文件、图片等。
提取证据的过程需要依靠专业的取证工具和技术,确保证据的完整性和可信度。
4. 保存证据:提取到的证据需要妥善保存以备后续的调查和使用。
安全工程师应该采用加密和防篡改的方式对证据进行保护,确保其不被篡改或者泄露,同时保留合法的获取渠道和手段的相关记录。
三、数字取证的流程1. 确定调查范围:安全工程师需要明确数字取证的调查范围和目标。
这可以包括确定需要调查的数据存储介质、关键的时间段以及可能涉及的相关人员等。
2. 获取物证:根据调查的目标,安全工程师需要采取合适的手段和技术,获取存储在各种数字设备上的物证,如电脑、手机、存储卡等。
可信时间戳的取证逻辑
可信时间戳是一种用于证明数据在特定时间存在或操作发生的数字证据。
其取证逻辑主要包括以下几个方面:
1. 时间戳的生成,可信时间戳的生成需要依赖于可信的时间戳服务机构,该机构通常会使用加密算法和时间同步机制来确保时间戳的准确性和安全性。
生成时间戳的过程需要确保时间戳的唯一性和不可篡改性。
2. 数据的签名,在获取时间戳时,需要将需要证明的数据进行数字签名,以确保数据的完整性和真实性。
数字签名通常使用非对称加密算法,通过私钥对数据进行签名,同时可以使用公钥对签名进行验证。
3. 时间戳的存证,生成时间戳后,需要将时间戳与数据关联存储,以便日后证明数据的存在时间。
存证可以采用区块链等不可篡改的方式,确保时间戳的可信性和可追溯性。
4. 时间戳的验证,在需要证明数据存在时间时,可以通过时间戳服务机构提供的验证接口对时间戳进行验证,以确保时间戳的有
效性和真实性。
同时也需要对数据的签名进行验证,以确保数据的
完整性和真实性。
5. 法律效力,在一些司法领域,可信时间戳可以作为证据使用,但具体的法律效力需要根据不同国家或地区的法律规定来确定。
总的来说,可信时间戳的取证逻辑包括时间戳的生成、数据的
签名、时间戳的存证、时间戳的验证以及法律效力等方面,通过这
些环节的完整和严密,可以确保时间戳的可信性和证据的有效性。
计算机网络安全事件溯源与取证的流程与工具推荐在计算机网络安全领域,溯源与取证是非常重要且关键的流程。
当网络安全事件发生时,溯源与取证可以帮助我们追踪攻击者的行踪并获取证据,以便对其进行追责和法律起诉。
本文将介绍计算机网络安全事件溯源与取证的流程和一些常用的工具推荐。
首先,让我们来了解一下计算机网络安全事件溯源与取证的流程。
这个流程通常可以分为以下几个步骤:1. 收集证据:当发生安全事件时,我们首先需要及时采集、收集相关的证据。
这些证据可以包括系统日志、网络流量数据、攻击行为截图等。
2. 保护现场:在开始取证之前,重要的一步是保护现场,以确保证据的完整性和可信度。
我们需要通过隔离受影响的主机或网络设备,防止进一步的破坏和篡改。
3. 分析取证:在收集到足够的证据之后,需要对其进行分析。
这可以包括分析攻击者的行为方式、攻击所利用的漏洞等,以帮助我们更好地理解攻击过程。
4. 追踪溯源:通过分析取证的过程中,我们可能会发现一些指向攻击者身份或位置的线索。
通过这些线索,我们可以进一步追踪攻击者的溯源,找到攻击发起的起点。
5. 收集信息:在追踪溯源的过程中,我们需要收集更多的信息来确认攻击者的身份和行为。
这可能包括从互联网上获取相关的情报和数据,与其他安全团队或机构进行合作等。
6. 报告与记录:最后一步是准备相关的报告和记录。
这些报告可以用来向上级管理人员或执法部门报告情况,以便进行进一步的处理和起诉。
在进行计算机网络安全事件溯源与取证的过程中,使用适合的工具是非常重要的。
以下是一些常用的工具推荐:1. Wireshark:Wireshark是一款强大的网络数据包分析工具,可以用来捕获和分析网络流量数据。
它可以帮助我们识别异常的网络活动和攻击行为。
2. Volatility:Volatility是一款用于内存取证的开源工具。
它可以帮助我们提取和分析受感染系统的内存映像,以获取有关攻击者活动的重要信息。
3. Sleuth Kit:Sleuth Kit是一套用于数字取证的开源工具集。
业 务 研 究66档案管理1/2020总第242期1 可信时间戳服务在档案证据价值维护工作中的应用背景单轨制推动之下的单套制归档,乃是信息化发展之必然趋势,数字形态的电子档案在馆藏中的比例将不断增加。
数字档案易篡改、易损毁、易受病毒感染等特点极易造成其法律证据价值的丢失。
对此,档案界必须尽早施策,加以管控,否则将对档案机构存史、存证功能的发挥产生无可挽回的影响。
进入新世纪以来,国内外在电子证据效力方面的研究不断深入,司法审判过程中也常常涉及对电子文件法律证据价值的判定,如“微信商标异议复审行政纠纷案”[1]“86版《西游记》音乐作品著作权纠纷案”[2]等。
在法律层面,新修订发布的《刑事诉讼法》《民事诉讼法》《行政诉讼法》均已确立了电子数据作为独立证据形式的法律地位[3][4][5],《电子签名法》《电子商务法》等法律文件中也对电子文件的证据价值做了强调[6][7],但如何才能充分保障电子文件的法律证据价值,维系其作为证据的不可抵赖性是我们必须关注的方面。
对于档案机构而言,更要关注在档案管理过程中的证据性保障,确保电子档案作为证据在利用过程中的无条件采信。
在众多案件的审判过程中,基于可信时间戳服务的电子数据保全形式受到关注。
在北京高院发布的2016年知识产权司法保护十大典型案例中,时间戳作为维护知识产权的可信工具受到司法界的重视。
时间戳与其认证的电子数据均具有唯一对应性,时间戳中包含电子数据“指纹”、产生时间、时间戳服务中心信息等,其作用在于通过第三方权威机构来保障和证明各类电子文档、录音录像、照片、软件代码等电子数据内容的完整性和产生的时间点。
[8]目前,越来越多的机构开始关注这一第三方证据保全形式,档案机构应根据司法程序规定,引入可信时间戳服务模式,对电子档案或电子档案数据包实施固化保全,保障电子档案数据的证据性价值。
2 电子档案证据的取证原则2.1 过程规范原则。
电子档案数据来源多样,其证据属性保存状况不一,在电子档案数据的取证过程中,要严格依据相关法律法规规定,结合电子证据的属性要求,规范取证流程。
可信时间戳互联网电子数据取证及固化保全操作指引(V1.0)二0 一七年七月发布单位:联合信任时间戳服务中心(北京联合信任技术服务有限公司)版权声明:北京联合信任技术服务有限公司拥有该操作指引全部版权目录摘要 (3)第一章总则 (4)第二章可信时间戳取证固化业务操作指南 (5)摘要由于数据电文(电子证据)具有易被无痕篡改、原始性认定困难的特点,在司法实践中往往给双方当事人和裁判过程带来困扰,为了有效解决这一问题,联合信任时间戳服务中心结合可信时间戳的特点和司法实践特制定本指引。
本指引对利用可信时间戳完成基于互联网的电子数据取证及固化保全,进行了较为全面的说明,包括技术术语的解释、时间戳服务机构的介绍、适用范围、操作过程、参考判例等。
重要提示:本指引旨在对基于互联网的电子数据取证方法进行说明,按本方法取证可最大程度避免伪造、篡改证据的可能。
使用者应根据取证的实际场景设计取证环节和步骤,亦可添加取证内容用以证明取证过程和还原事实真相。
司法机构具有独立的裁决权,本指引不构成对使用者的任何承诺!第一章总则第1条制定指引的目的和依据1. 目的本指引旨在使互联网中的电子证据的采集、固化符合有关证据原始性的要求,指导司法机关、行政机构、执法人员、律师、当事人利用可信时间戳对互联网电子数据进行客观、真实的取证和固化,用以还原事实真相、减少事实争议、降低取证费用。
2. 依据根据《中华人民共和国电子签名法》、《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国行政诉讼法》及《中华人民共和国律师法》等法律法规的有关规定,结合互联网电子证据的特点,制定本指引。
第2条缩略语与名词解释时间戳服务机构(以下简称“TSA1”):是指由国家授时中心进行授时与守时保障的联合信任时间戳服务中心。
该中心由北京联合信任技术服务有限公司(以下简称“联合信任”)负责运营和技术支持,官方网址为。
可信时间戳(TTS2):是指由联合信任时间戳服务中心签发的时间戳。
用于证明电子数据(文件)申请TSA 认证的时间和内容完整性。
可信时间戳互联网电子数据取证及固化保全(以下简称“TSA 取证”或“可信时间戳取证”):是指采用TSA 的可信时间戳为主要技术保障手段,结合互联网电子证据的特点而开展的电子数据取证及固化保全活动。
通过该方法可以最大程度的还原事实真相、防止证据灭失和篡改,以实现客观真实的反应互联网电子数据的存在性且符合电子证据完整性的要求。
按照要求完成的取证过程及固化后形成的电子文件,通常用于庭审过程中的举证环节,且具有较强的去抗辩性。
第3条可信时间戳取证的适用范围及场景本方法适用于等各类涉及互联网络的电子证据取证,如网页、电子邮件、网络图片、音频、视频影像、软件代码、文字、微信、微博等需要固定电子证据、防止证据灭失的场景。
1TSA 是Time Stamp Authority 的缩写·2TTS 是Trusted Time Stamp 的缩写·第4条可信时间戳网页证据固化的原则基于可信时间戳的网页电子数据固化的设计原理是以联合信任时间戳服务中心作为第三方,以可信时间戳作为保障电子数据原始性的技术手段,按照规范的操作流程对取证计算机及网络环境进行安全性和清洁性检查后,对整个取证过程全程录像记录,并对录像文件申请可信时间戳认证。
采用该方法取证后,可在事后追溯取证过程、方法及内容,形成完整的证据链。
该取证方法不依赖于取证人员,避免了取证过程可能产生的伪造、篡改等证据瑕疵。
第二章可信时间戳取证固化业务操作指南第5条事前准备:取证计算机需要使用window 操作系统,版本号不限。
1. 获取可信时间戳使用权限,并测试可以正常申请时间戳。
在联合信任时间戳服务中心官方网站()注册并缴费。
2. 下载安装屏幕录像软件建议使用KK 屏幕录像机软件(也可以使用其他录屏软件,KK 录像机下载地址:/),安装完成后需要对软件的录屏清晰度、录音功、录像文件存放地址能等进行设置和熟悉。
3. 安装PDF 文档阅读器建议安装福昕阅读器或Adobe Reader PDF 阅读器。
用于查看时间戳认证证书(pdf 格式)。
4. 安装公安部认可的杀毒软件及系统更新事先对取证计算机进行更新病毒库、杀病毒木马及系统更新。
5. 连接互联网测试计算机可正常访问互联网,并保障网络畅通。
6. 制定取证预案根据取证场景事先进行取证预案设计,防止取证过程中证据不能正确获取。
如是否能够正常访问并查看到被取证的内容、是否需要下载、是否需要用户名密码登陆等。
制定预案的目的是能在正式取证时流畅操作,避免重复。
第6条固化取证操作步骤说明:以下步骤的目的是能在事后举证所固定电子证据的真实来源和内容,主要步骤包括取证计算机的安全性、清洁性检查;互联网连接的真实性检查;电子证据内容的TSA 固化;取证过程录像的TSA 固化等。
取证人员可根据案件需要增加必要的取证内容,如ICP 备案查询等证明电子证据来源的必要信息。
第一步:打开屏幕录像软件开始录屏录像内容应保证能够清晰展现每个操作步骤及所获内容,重要的操作步骤可对其进行语音形式的描述。
第二步:计算机安全性及清洁性检查➢打开杀毒软件对计算机查杀病毒和木马。
注:正常状态为没有任何木马病毒。
➢清理上网记录:用于采集和固化网页证据的浏览器应进行上网记录清除,清除操作可以使用浏览器自带功能或者第三方软件。
清除记录包括:临时文件、cookie、历史记录、下载历史记录、表单数据、自动填充保存的密码、ActiveX 筛选和跟踪保护数据以及其他形式的可用于保留历史上网记录的数据。
注:正常状态为清理干净。
➢打开任务管理器(单击右键打开),查看程序与进程。
注:需要查看所有现实的进程,以备事后证明没有非法进程。
➢检查hosts 文件,在C:Windows\System32\drivers\etc 路径下用记事本打开host 文件,查看文件内容。
以保证取证计算机未经人为篡改系统、未被连接到虚拟网站,确定当前计算机访问的网站或获得的电子证据均来源于互联网,确保电子证据来源的唯一性,是保证相关电子证据有效性与证明力的前提。
注:hosts 文件内容一般正常为空,如果有内容需要查看是否作了影响取证的虚拟链接指向。
第三步:互联网连接真实性检查➢在IE 浏览器的I nternet 选项下的“连接”中点击“局域网”设置,以保证没有连接代理。
注:代理设置需要为“关”或空状态。
提示:IE浏览器暂时无法申请时间戳,可使用其他浏览器代替(如谷歌,火狐等),做相应的清洁步骤。
➢在命令窗口(开始菜单搜索框中输入“cmd”调出命令窗口)输入“ipconfig/all”命令,显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP 配置信息。
➢在命令窗口输入“ping 目标页面域名”(如ping ),利用“ping”命令可以检查网络是否连通及显示目标网站的IP 地址。
应用格式:Ping 空格IP 地址。
注意有些网站设置禁止ping 命令,可能无法显示ping 的结果,但是不影响取证的真实性。
➢在命令窗口输入“tracert 目标网页域名”,以确认连接到目标页面网络服务器的路径,保证接入网站的真实性。
Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP 数据包访问目标所采取的路径。
➢登陆门户网站的方式核实网络连接正常,最好访问带有日期标示的网页(例如,国家授时中心 和联合信任时间戳服务中心 )。
第四步取证与固化➢在取证计算机桌面创建一个存放证据的空文件夹。
➢打开需要取证的网页,查找需要固化的证据。
将证据另存为图片、网页或其他格式文件。
针对电子邮件取证可以将邮件另存为*.eml 格式文件。
➢打开时间戳服务中心官方网站 ,进入时间戳申请系统,在存放证据的文件夹中找到需要认证的文件,对证据文件申请可信时间戳认证,申请成功后下载时间戳证书(*.tsa)和时间戳认证证书(pdf),打开时间戳认证证书(pdf)查看证书内容。
注:1、时间戳证书*.tsa 是一个加密格式的电子证书,用于和对应的证据文件匹配,在时间戳中心的验证平台进行验证。
该电子证书不能用一般程序打开。
2、时间戳认证证书(*.pdf)主要记载电子证据的认证时间、对应证据文件的HASH 值、时间戳签发机构信息等内容。
在此处打开的目的是显示证据的取证时间,防止事后编辑篡改取证过程录像。
该时间应该与取证录像结束后申请时间戳的时间形成合理的证据链。
➢取证结束后把录屏视频文件申请时间戳认证,并下载对应的时间戳证书和时间戳认证证书。
注:录像结束后应在尽可能短的时间内对该取证过程录像申请可信时间戳认证。
避免事后举证时被质疑取证过程录像文件有编辑、修改内容的可能。
第7条固化后电子证据整理完整的电子证据取证及固化包应包括:1. 电子证据文件、对应的时间戳认证证书(pdf 格式)及时间戳文件(后缀名为.tsa 的文件)。
2. 屏幕录像文件、对应的时间戳认证证书(pdf 格式)及时间戳文件(后缀名为.tsa 的文件)。
3. 可以根据需要对证据文件重新命名,但不可以修改证据内容,否则无法通过验证。
4. 在时间戳中心()网站的验证平台验证所有证据,查看是否能通过验证。
5. 根据取证实际情况书写《可信时间戳电子证据取证及固化说明》,简述取证过程及需要证明的事项。
(格式参见附件《可信时间戳电子证据取证及固化说明》样例)第8条证据提交与使用1. 证据包内容刻录光盘或使用U 盘等介质存储。
2. 提交给司法机构的证据包括:电子证据:取证过程录像(屏幕录像、摄像机录像)、TSA 固化的电子证据及其对应的时间戳证书和时间戳认证证书;《可信时间戳电子证据取证及固化说明》、《可信时间戳互联网电子数据取证及固化保全操作指引》(可选,用以说明取证过程)。
纸质证据:时间戳认证证书打印件、证据说明文件打印件。
3. 证据使用:所提交电子证据在证据交换、质证据环节需要进行验证,以勘验证据来源、证据原始性、完整性、关联性等。
证据验证:登陆 时间戳官方网站验证平台进行验证,验证时须使用证据文件和时间戳文件(*.tsa),可验证所取电子证据是否被篡改以及取证时间、取证内容、取证过程等证据要素。
