收集電子證據(jù)應(yīng)注意的八個問題（一）

收集電子證據(jù)應(yīng)注意的八個問題（二）如何選擇證據(jù)源

收集電子證據(jù)應(yīng)注意的八個問題（三）如何找到以及保護(hù)電子證據(jù)

收集電子證據(jù)應(yīng)注意的八個問題（四）不懂計算機(jī)相關(guān)知識怎么辦

五、哪里可以找到證據(jù) 

1、數(shù)據(jù)文件可能存儲于下列計算機(jī)系統(tǒng) 

辦公室桌上電腦/工作站 

筆記本電腦 

家用電腦 

私人助理/秘書/職員的電腦 

掌上型電腦設(shè)備 

網(wǎng)絡(luò)文件服務(wù)器/主機(jī)/袖珍型電腦 

* 為保證獲取包括殘留數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)，建議從本地電腦的硬盤上拷貝數(shù)據(jù)時制作鏡像拷貝。 

2、備份磁帶 

系統(tǒng)整體備份（每月/每周/增加的） 

系統(tǒng)癱瘓恢復(fù)備份（站外存儲） 

個人或“特別”備份（需尋找磁盤和其他便攜式介質(zhì)） 

3、其他介質(zhì)資源 

磁帶檔案 

被替換/拆除的驅(qū)動器 

軟盤和其他便攜式介質(zhì)（如光盤、盒式壓縮磁盤） 

六、如何保護(hù)已得到的證據(jù) 

1． 對所有的介質(zhì)進(jìn)行寫保護(hù)和病毒檢查。 

一旦得到了你所要的資料，你會怎么看它們呢？你擁有的是一堆混雜在一起的影像拷貝、備份磁帶、磁盤、光盤和其他介質(zhì)。

在你做任何其他事情之前，必須保證你得到的每一個介質(zhì)的完整性。

這需要兩個關(guān)鍵性的步驟，即寫保護(hù)和病毒檢查。 

寫保護(hù)可以防止介質(zhì)被添加數(shù)據(jù)。這種措施可以保證你在利用收集到的證據(jù)工作時，證據(jù)不會被刪改。

因此在你使用證據(jù)之前一定要對它們進(jìn)行寫保護(hù)。寫保護(hù)的程序多種多樣，但都相當(dāng)簡單。 

同樣，病毒檢查也可以防止證據(jù)被改寫并且也是你必須對你所擁有的證據(jù)進(jìn)行的處理。

而使用最新版本的查毒軟件是尤為重要的。如果發(fā)現(xiàn)病毒，就應(yīng)記錄全部信息然后立即通知該介質(zhì)的制造者。不要擅自對該介質(zhì)進(jìn)行清理，否則會改變原有的證據(jù)。 

2．保留監(jiān)視鏈 

監(jiān)視鏈能從最初始的證據(jù)追蹤到當(dāng)庭提供的證據(jù)。

對于電子證據(jù)而言，監(jiān)視鏈?zhǔn)侵陵P(guān)重要的，因為以電子方式存儲的證據(jù)修改起來相對容易，證明這條鎖鏈?zhǔn)请娮幼C據(jù)鑒別過程中的重要工具。 

保留電子證據(jù)的監(jiān)視鏈至少需要證實下列內(nèi)容： 

1）任何信息未被添加或更改 

2）已制作了完整的拷貝 

3）復(fù)制過程可靠 

4）所有的介質(zhì)都是安全的。對所有的介質(zhì)進(jìn)行寫保護(hù)和病毒檢測是保留監(jiān)視鏈的眾多環(huán)節(jié)中的首要要求，其次就是要制作鏡像拷貝。 

可靠的拷貝程序有三個特征。 

第一，該程序的質(zhì)量和可靠性必須符合行業(yè)標(biāo)準(zhǔn)。這包括用來創(chuàng)建拷貝的軟件和拷貝所依存的介質(zhì)。一個基本標(biāo)準(zhǔn)就是司法機(jī)關(guān)是否應(yīng)用并信賴這種軟件。

第二，制作的拷貝必須能夠作為獨(dú)立的證據(jù)。簡言之，這些拷貝要足以讓你的對手和法院認(rèn)為是精確的。

第三，拷貝必須能防篡改。 

給介質(zhì)加上安全防護(hù)措施能保證你的原始拷貝不被篡改。正如你建立任何文檔后都會制作工作備份一樣，你也要創(chuàng)建數(shù)據(jù)的工作備份。 

當(dāng)你從備份介質(zhì)上調(diào)取數(shù)據(jù)使用時，一定要確定你能追蹤到每一個文檔或文件的源頭。